ADATVÉDELMI SZABÁLYZAT
Preambulum
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info. tv.) 24. § (3) bekezdésében, valamint 2018. május 25. napjától alkalmazandó 2016/679 EU rendeletben („általános adatvédelmi rendelet”, a továbbiakban GDPR) foglaltaknak megfelelően, a személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Alaptörvényben meghatározott alapvető jog érvényesülésének biztosítására – Jogszabályokban és Alapszabályban biztosított jogkörében eljárva a Kuratórium a Bekk Snooker Klub Alapítvány Adatvédelmi és Adatbiztonsági Szabályzatát az alábbiak szerint állapítja meg:
I. Fejezet Általános rendelkezések
1. A Szabályzat célja
1. § Az Bekk Snooker Klub Alapítvány (a továbbiakban: ALAPÍTVÁNY ) Adatvédelmi és Adatbiztonsági Szabályzatának (a továbbiakban: Szabályzat) célja, az ALAPÍTVÁNY tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Magyarország Alaptörvényében (a továbbiakban: Alaptörvény) meghatározott alapvető jog érvényesülésének biztosítása, illetve az ALAPÍTVÁNY által kezelt személyes és különleges adatok jogosulatlan felhasználásának megakadályozása érdekében a személyes és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírások meghatározása.
2. A Szabályzat hatálya
2. § (1) A Szabályzat hatálya kiterjed az ALAPÍTVÁNY minden személyes adatot érintő adatkezelésére, valamennyi szakosztályára, szervére, tagjára, alkalmazottjára (függetlenül a foglalkoztatási jogviszony jogi jellegétől).
(2) A Szabályzat hatálya kiterjed továbbá az ALAPÍTVÁNY-nyal szerződéses kapcsolatban álló valamennyi természetes és jogi személyre, valamint jogi személyiség nélküli szervezetre (beleértve ezen szervezetek alkalmazottjait is). Biztosítani kell, hogy a jelen bekezdés körébe tartozó szervezetek, valamint személyek a Szabályzatot a szükséges mértékben megismerjék, a velük kötött polgári jogi szerződésnek erre vonatkozóan utalást kell tartalmaznia, vagy az adott személyek, szervezetek képviselői erről önálló nyilatkozatot is tehetnek.
3. § (1) A közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjére az Info tv. (2011. évi CXII. Tv.), illetőleg a GDPR rendelkezései irányadók.
(2) Amennyiben a közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítése során személyes adatok kezelése (így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala stb.) válna szükségessé, úgy – a személyes adatok kezelését illetően – a jelen Szabályzat rendelkezései az irányadóak.
4. § A jelen szabályzat tárgyi hatálya kiterjed az ALAPÍTVÁNY tevékenysége során keletkező valamennyi iratban és adathordozón, egyéb eszközön található személyes adatok védelmére, illetve kezelésére.
3. A Szabályzat elkészítése, módosítása, valamint érvényesítése
5. § (1) A Szabályzat elkészítése és szükség szerinti módosítása az ALAPÍTVÁNY Kuratóriumának feladat- és hatáskörébe tartozik.
(2) A Szabályzatban előírtak betartatásáért hatás- és jogosultsági körében minden érintett önálló szakosztály, illetőleg szerv vezetője felelős.
(3) Az ALAPÍTVÁNY alkalmazottai feladataik ellátása közben személyes adatot csak a vonatkozó jogszabályok és belső szabályzatok előírásainak figyelembevételével, az adatvédelemre vonatkozó alapelvek tiszteletben tartásával kezelhetnek. Ez a kötelezettség megfelelően vonatkozik az ALAPÍTVÁNY megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre, amit az adatfeldolgozóval kötött írásbeli szerződésben kifejezésre kell juttatni és ennek figyelembevételével kell kialakítani a szerződés feltételeit.
4. Értelmező rendelkezések
A személyes adatokkal kapcsolatos fogalmak és értelmezések
6. § E Szabályzat alkalmazása során:
A Szabályzat alkalmazása során:
1. információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak azon tartalma, mely szerint mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;
2. adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az érintett információs önrendelkezési jogának érvényesítése érdekében;
3. személyes adat: az érintettre vonatkozó bármely információ;
4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
5. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
6. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
7. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
8. adatállomány: az egy nyilvántartásban kezelt adatok összessége;
9. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
10. közös adatkezelő: az az adatkezelő, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;
11.adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
12. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
13. közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
14. nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet és annak alárendelt szervei, továbbá olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre;
15. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
16. adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
17. adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
18. adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; 18 19.adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
20. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
21. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
22. anonimizálás: olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítási lehetőségének végleges kizárását;
23. biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
24. cookie (sütik): a felhasználó böngészőjén keresztül annak winchesterére kerülő információs (általában sima szöveg) file, ami egyértelműen azonosítja a felhasználót a következő látogatás alkalmával;
25. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
26. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;
27. azonosítható természetes személy:az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
28. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;
29. harmadik ország: minden olyan állam, amely nem EGT-állam.
30. IP cím: valamennyi hálózatban, amelyben a kommunikáció a TCP/IP-protokoll szerint folyik, a szervergépek IP-címmel, azaz azonosítószámmal rendelkeznek, amelyek az adott gépek hálózaton keresztüli azonosítását teszik lehetővé. Tudvalévő, hogy minden hálózatra kapcsolt számítógép rendelkezik IP címmel, amelyen keresztül beazonosítható.
31. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,
32. genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;
33. egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
34. Nemzeti Adatvédelmi és Információszabadság Hatóság: NAIH , akinek a jogállását és feladatait az Info tv. 38.§-a határozza meg (a továbbiakban: Hatóság);
35. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
36. profilalkotás: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
37. természetes személyazonosító adatok: az érintett családi- és utóneve, születéskori neve, anyja neve, születési helye és ideje;
38. álnevesítés: személyes adat olyan módon történő kezelése, amely – a személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
39. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
II. Fejezet
Az adatkezelés alapelvei
7. § (1) A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az ALAPÍTVÁNY alkalmazottjai személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhetnek, ha ahhoz az érintett kifejezetten – írásban, különleges adat esetében az adott adatra vonatkozóan konkrétan – hozzájárult.
(2) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
e) az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
f) az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
(3) Az adatkezelő felelős az (2) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
(4) Az ALAPÍTVÁNY által, illetve annak munkaszervezetében – a cél megvalósulásához szükséges mértékben és ideig – csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
(5) Az ALAPÍTVÁNY alkalmazottai és külső megbízottjai a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó magyar jogszabályok és a GDPR előírásainak betartásával kezelhetnek.
(6) Személyes adat kezelésére csak az ALAPÍTVÁNY alapszabályában meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés.
A személyes adatok kezelését, gyűjtését:
- jogszerűen, célhoz kötötten és tisztességesen, az érintett számára átlátható módon kell végezni,
- az adatokat nem lehet ezekkel a célokkal össze nem egyeztethető módon sem gyűjteni, sem kezelni
- az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre, adattakarékosságra kell korlátozódniuk, pontosnak és szükség esetén naprakésznek kell lenniük.
(7) Az ALAPÍTVÁNY által kezelt – vagy az ALAPÍTVÁNY feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
(8) Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
(9) A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
(10) Az ALAPÍTVÁNY adatkezelést végző alkalmazottja, megbízottja a vonatkozó jogszabályokban rögzített fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért.
(11) A 16. életévét be nem töltött kiskorú érintett személyes adatainak kezelésére vonatkozó hozzájáruló nyilatkozat, illetve minden egyéb jognyilatkozat érvényességéhez az érintett törvényes képviselőjének jóváhagyása szükséges. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.
(12) Egészségügyi adatot az ALAPÍTVÁNY az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényben meghatározott célból, az ott meghatározott esetekben, illetve a jogosult – megfelelő tájékoztatáson alapuló – írásbeli hozzájárulása esetén kezelhet. A hozzájáruló nyilatkozatban a tájékoztatás lényeges tartalmára kifejezetten ki kell térni.
8. § Az adatkezelés jogszerűsége és az adatkezelő feladatai
(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
9. § Az adatkezelő feladatai
(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.
(3) A GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti kötelezettségeit.
10. § Beépített és alapértelmezett adatvédelem
(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e szabályzatban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
(3) A GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti az e § (1) és (2) bekezdésében előírt követelményeket.
11. § Az adatfeldolgozó
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a GDPR 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan az előzőekben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a GDPR 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely a jelen szakaszban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Jelen pont alkalmazási körében az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
12. § Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés
Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.
13. § Az adatok tárolásának alapvető szabályai:
- olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (papír és/vagy elektronikus),
- a személyes adatok ennél hosszabb ideig történő – papír alapú és elektronikus – tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel,
- az alapítványi gazdasági események feldolgozásának, kezelésének és tárolásának számítógépes adatfeldolgozás útján történő megvalósulása esetén, valamint internetes e-mail levelező program és egyéb internetes kapcsolattartás adatvédelmi és információ biztonsági szabályai jelen szabályzat (tájékoztató) 1. sz. mellékletében található
- az adatok kezelését, tárolását fenti szigorú előírások mellett és azokra figyelemmel oly módon kell végezni, hogy az előírt, megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelme.
14.§ Az adatkezelés jogalapja
(1) Jelen szabályzat hatálya alatt és eltérő jelzés hiányában az adatkezelés önkéntes hozzájáruláson alapul. Az alapítványban sportegyesületi tagsági viszony létesítésének a feltétele bizonyos személyes adatok rendelkezésre bocsátása. A belépési nyilatkozathoz kapcsolt adatvédelmi tájékoztató figyelembevételével minden az alapítvány sportegyesületi tagsági felvételt kezdeményező személy konkrétan és egyértelműen hozzájárul a tagsági viszonya létesítésével egyidejűleg meghatározott személyes adatainak az ALAPÍTVÁNY részéről történő kezeléséhez. A hozzájárulás hatálya a tagsági viszony időtartamával egyezik meg. A sportegyesületi tagsági viszonyt megszüntető személy tagsági viszonyának megszűnésével megszűnik az adatok kezelésére vonatkozó felhatalmazás. Az ALAPÍTVÁNY ez esetben köteles haladéktalanul visszaállításra nem alkalmas módon törölni a kilépő személy nála nyilvántartott személyes adatait, kivéve, ha egyértelmű és jogos érdeke fűződik azok tovább kezeléséhez.
(2) Az ALAPÍTVÁNY általános adatvédelmi tájékoztatójának hirdetménye a jelen szabályzat 2. sz. mellékletét képezi, és az ALAPÍTVÁNY általános adatvédelmi tájékoztatója jelen szabályzat 4. sz. mellékletében, az ALAPÍTVÁNY által használt adatkezelési hozzájárulási nyilatkozat minta jelen szabályzat 3. és 3/A. sz. mellékletében találhatók. A hozzájáruló nyilatkozatot az adatkezelés fennmaradásának időpontjáig meg kell őrizni. A hozzájárulás kérése során biztosítani kell, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta az adatkezeléshez, és hogy azt milyen formában tette meg. A hozzájárulásnak önkéntesnek kell lenni, ha az adatkezelés egyszerre több célt is szolgál, a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ez egyben az adat törlését is megköveteli.
(3) A tag és egyéb személy a személyes adatai kezeléséhez a hozzájárulását
a) külön adatkezelési hozzájárulásban;
b) a honlap használatával, vagy
c) a személyes adatok önkéntes rendelkezésre bocsátásával és az adatkezelőnek való megküldésével adja meg.
Amennyiben az adott személy harmadik személyek személyes adatait adja meg az adatkezelő részére, úgy szavatol azért, hogy a harmadik személy hozzájárulását az adatkezeléshez beszerezte vagy egyéb törvényi jogalappal rendelkezik az adatok továbbításához.
(4) A személyes adatok kezelésének jogalapja az az érintett személyek önkéntes és kifejezett hozzájárulása (az Infotv. 5. § (1) bek. b) pontja, továbbá 2018. május 25. napjától alkalmazandó 2016/679 EU rendelet („általános adatvédelmi rendelet”) 6. cikk (1) bekezdés (a) pontja alapján), amely hozzájárulás bármikor, korlátozás nélkül visszavonható. Amennyiben az érintett a személyes adatait az adatkezelő számára önkéntesen megadja, ám a hozzájárulását később visszavonja, úgy a személyes adatok további kezelése lehet szükséges 2018. május 25. napjától az általános adatvédelmi rendelet (GDPR 6. cikk (1) bekezdés (f) pontja alapján) az ALAPÍTVÁNY-re vonatkozó jogi kötelezettség teljesítése céljából vagy az ALAPÍTVÁNY vagy valamely harmadik személy elsőbbséget élvező jogos érdekének érvényesítése céljából, melyről az ALAPÍTVÁNY az érintett részére külön tájékoztatást nyújt.
(5) A hozzájárulás visszavonása sportegyesületi tag esetén maga után vonja a tagsági viszony megszüntetését.
(6) Eltérő jelzés hiányában a belépő, tag vagy egyéb személy a jelen szabályzatban foglalt feltételek elfogadásáról belépés, vagy regisztráció során, külön nyilatkozat útján nyilatkozik. Amennyiben regisztráció nem lehetséges vagy a egyéb személy nem regisztrál, úgy az érintett Felhasználó kérelmére indult ügyben, vagy kapcsolatfelvételkor az adatkezelő vélelmezi a Felhasználó rendelkezésre bocsátott személyes adatai kezeléséhez megadott hozzájárulását, amennyiben személyes adatait önkéntesen adatkezelő rendelkezésére bocsátotta.
(7) A fentieken túl a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a.) Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
b.) Az adatkezelés jogszabály által előírt kötelezettségnek teljesítéséhez szükséges.
c.) Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
15.§ A kezelt személyes adatok köre
(1) Az ALAPÍTVÁNY a tagok, egyéb személyek , a Kft. a versenyzők, egyéb személyek, a továbbiakban érintettek alábbi, elsődlegesen önkéntesen megadott, esetlegesen törvényi rendelkezés lapján jogszerűen hozzáférhető adatbázisból származó személyes adatait kezeli:
Kezelt adat | Adatkezelési célok |
Név: | az érintett azonosítását szolgálja a valamennyi adatkezelési cél vonatkozásában. |
Cím: | az érintett azonosítását és a kapcsolattartást szolgálja a valamennyi adatkezelési cél vonatkozásában. |
Elektronikus elérhetőség: | az érintett azonosítását és a kapcsolattartást szolgálja az előzőekben megjelölt valamennyi adatkezelési cél vonatkozásában. |
Telefonszáma: | az érintettel való kapcsolattartást szolgálja |
Természetes személyazonosító adatok:(anyja neve, születési hely és idő) | Amatőr sportolók, valamint klubtagok esetében, az életkor és a születési hely és idő, anyja neve szükséges a korosztályba soroláshoz, versenyekre, bajnokságok történő regisztrációhoz, valamint a személy azonosíthatóságához. |
Az érintett egészségügyi adatai, sportolói paraméterei | a) testtömeg; b) testmagasság; c) BMI index; d) testzsírszázalék; d) aerob kapacitásra és vázizomzat fittségére vonatkozó mérések és tesztek eredményei |
Szám- és könyvviteli kötelezettségek teljesítése érdekében rögzítendő adatók pl. adóazonosító jel, | jogszabályi kötelezettségek teljesítése |
Az érintett Facebook fiókjának elérhetősége: | az érintett azonosítását és a kapcsolattartást szolgálja. |
Munkavállalók, egyéb foglalkoztatási jogviszonyban állók személyes adatai | Munkajogi jogszabályok rögzítik a munkáltató számára, hogy a kötelezettségei teljesítés érdekében kezelje a munkavállalók bizonyos személyes adatait. |
Az érintett számítógépének IP címe, az operációs rendszer, a böngésző típusa. | az érintett azonosítását, a szolgálja. Az IP cím kezeléséről bővebb tájékoztatást a következő bekezdés tartalmaz. |
(2) Az ALAPÍTVÁNY a fentiekben jelzett egészségügyi adatokon kívül nem gyűjt különleges adatokat, esetleges tudomásár jutott ilyen adatot az adatkezelő haladéktalanul, a visszaállításra nem alkalmas módon köteles törölni, ezért kérjük, hogy ne küldjenek különleges adatot az ALAPÍTVÁNY részére.
(3) Az ALAPÍTVÁNY Honlapjának és Facebook oldalának látogatása és/vagy regisztráció során az adatkezelő technikai kiszolgálója rögzíti a felhasználók, érintettek IP címét, melyből bizonyos esetekben következtetni lehet az érintett személyre, ezen felül rögzíti az operációs rendszer, a böngésző típusát. Az adatmentésnek elsősorban technikai jellegű célja van, a rendszer folyamatos működéséhez elengedhetetlen.
(4) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. Az egészségügyi adatok annyiban kezelhetők, amennyiben ezek kezeléséhez az érintett kifejezetten hozzájárult tekintettel egészségügyi állapotának biztonságára védelme érdekében, illetőleg sportteljesítményének javítása céljából.
16.§
Az adatkezelés időtartama: adattárolás az adatok törlésének határideje
(1) Az ALAPÍTVÁNY a személyes adatokat a tagokkal érintett személyekkel fennálló jogviszony időtartama alatt kezeli, illetőleg a jogviszony megszűnését követően, ha arra jogszabály engedélyt ad.
(2) A kezelt személyes adatok legkésőbb 30 napon belül törlésre kerülnek, kivéve, ha:
a) Felhasználó az adatkezeléshez megadott hozzájárulását ennél hamarabbi időponttal vonja vissza, vagy
b) ha az adatkezelést jogszabály írja elő vagy,
c) jogszabály teszi lehetővé az adat megőrzését, például az adatkezelés korábban keletkezett számviteli bizonylatok megőrzése érdekében.
(3) Minden olyan dokumentum, amely gazdasági esemény megtörténtét dokumentálja, az számviteli bizonylatnak minősül, az ALAPÍTVÁNY a mindenkor hatályos adó- és számviteli szabályokban meghatározott őrzési időig tárolja. A szükséges mértékű, célhoz kötött adatkezelés e tekintetben a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése érelmében alapján 8 évig kerül megőrzésre. Ilyen dokumentumnak minősülnek különösen a szerződések, számlák, bizonylatok, ellenőrzések, vizsgálatok dokumentumai. A személyes adatok a polgári jogi elévülés idejéig kezelésre kerülhetnek, ha az ALAPÍTVÁNY valamely jogi igénnyel rendelkezik az érintett személlyel szemben vagy ha az érintett személy érvényesít valamilyen jogi igényt az ALAPÍTVÁNY-vel szemben.
17.§ Az adatok megismerésére jogosult lehetséges adatkezelők személye
(1) Az ALAPÍTVÁNY az érintett személyek személyes adatait az illető személy konkrét és egyértelmű hozzájárulása vagy hiányában nem továbbítja és nem teszi hozzáférhetővé harmadik személyek részére.
(2) A facebook.com útján végzett adatkezelési tevékenységekre a Facebook (adatkezelő: Facebook Ireland Ltd. 4 Grand Canal Square Grand Canal Harbour Dublin 2 Ireland) saját adatkezelési tájékoztatója irányadó.
(3) Bármely más közösségi szolgáltató útján történő adatkezelési tevékenységre az adott közösségi szolgáltató (mint adatkezelő) saját honlapján közzétett adatkezelési tájékoztatója az irányadó.
(4) A Honlap látogatása és/vagy regisztráció során az ALAPÍTVÁNY (illetve technikai kiszolgálója) rögzíti a felhasználók IP címét, melyből bizonyos esetekben következtetni lehet az érintett személyre, ezen felül rögzíti az operációs rendszer, a böngésző típusát. Az adatmentésnek elsősorban technikai jellegű célja van, a rendszer folyamatos működéséhez elengedhetetlen.
18. § Sütik
(1) Az ALAPÍTVÁNY a honlapja a hatékonyabb működése, testre szabott kiszolgálás és felhasználói élmény növelése érdekében kis adatcsomagot, ún. sütiket használ.
(2) Az ALAPÍTVÁNY honlapjának üzemeltetése során a rendszer a Cookie Tájékoztatóban tételesen felsorolt sütiket használja, amely sütik az ott megjelölt módon és időtartamig őrzi az információkat.
19. § Adatbiztonságra vonatkozó rendelkezések
(1) Az ALAPÍTVÁNY minden szükséges intézkedést megtesz az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülése elleni védelméért. Az ALAPÍTVÁNY mint adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Info. tv., (2011. évi CXII. Tv.) valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
(2) Az ALAPÍTVÁNY, mint adatkezelő, és az általa igénybe vett adatfeldolgozó, megbízott további adatkezelő, a fentiekben megjelölt személyes adatokat bizalmasan kezelik. Szükséges intézkedés gyanánt minden olyan biztonsági, technikai és szervezési intézkedést megtesznek, mely az adatok biztonságát garantálja, különösen:
- az ALAPÍTVÁNY és az Adatfeldolgozó az személyes adatokat elektronikus formában tárolja. A kezelt Személyes Adatokhoz az Adatkezelő és az Adatfeldolgozó munkavállalói közül is kizárólagosan csak a kezelt Személyes Adatokhoz kapcsolódó szolgáltatások teljesítésében résztvevő munkatársak, megbízottak férhetnek hozzá;
- a Személyes Adatok biztonsága érdekében az Adatkezelő és az Adatfeldolgozó titkosítást, álnevesítéstés más fizikai és logikai védelmi intézkedéseket alkalmaz és mindent megtesz, ami az adott helyzetben elvárható annak érdekében, hogy a kezelt személyes adatokhoz illetéktelenek ne férjenek hozzá.
(3) Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az ALAPÍTVÁNY által kezelt nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
(4) A személyes adatok automatizált feldolgozása során további intézkedésekkel biztosítani szükséges:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
(5) Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
(6) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
(7) Az adatkezelő, illetve az adatfeldolgozó a GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a a GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e szakaszban meghatározott követelményeket teljesíti.
(8) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
20.§ Adattárolás és a tárolt adatok védelme:
- Az ALAPÍTVÁNY a természetes személyek személyes adatait papír alapon, és elektronikus adatrögzítő eszközökön egyaránt tárolja.
- A természetes személyek papír alapú személyes adatainak kezelését és tárolását az ALAPÍTVÁNY adatkezeléssel megbízott munkavállalója egyéb alkalmazottja, tisztségviselője köteles az ALAPÍTVÁNY székhelyén e célra kijelölt szekrényben végzi.
- A székhelyen biztosítani kell, hogy a illetéktelen személyek az iratokhoz ne tudjanak hozzáférni.
- Az ALAPÍTVÁNY tulajdonában álló informatikai eszközön tárolt bármely természetes személy személyes adatát úgy kell védeni, hogy az informatikai eszköz (asztali számítógép, laptop, notebook, külső adattároló, okos telefon, stb.) legalább nyolc karakterből álló hozzáférési kóddal legyen elérhető. A hozzáférési kód tetszőleges számú, de kis és nagy betűkből, és számokból kell, hogy összetevődjön. A hozzáférési kódot az adatkezelő szerv vezetője által megállapított rendszeres időközönként, de évente legkevesebb két alkalommal meg kell változtatni. Az aktuális informatikai eszközök hozzáférési kódjait az adatkezelő szerv vezetője zárható, és a felnyitást ellenőrizhető záró szalaggal ellátott fém kazettában tárolja és a tárolásra szolgáló tárgy biztonságos őrzéséről gondoskodni köteles.
- Az ALAPÍTVÁNY tulajdonában álló helyhez kötött informatikai eszközöket az adattárolásra kijelölt helyiségben kell tárolni.
- A helyhez kötött asztali számítógépekhez történő munkaidő utáni hozzáférését, energiaellátását áramellátás védelmi eszközzel kell biztosítani.
- A hordozható informatikai eszközöket a hivatali időn túl erre a célra kialakított, vagy rendszeresített biztonsági kóddal védett fém, vagy fa irattárolóba kell elzárni (laptop széf).
- A természetes személyek adatainak tárolását ellátó helyhez kötött, vagy mobil berendezések elmozdítását az ALAPÍTVÁNY illetékességi irodájából csak az adatkezelő szerv vezetője (kuratórium elnöke) előzetes engedélyével lehet végrehajtani.
- Az alapítványnál tárolt személyes adatok az ALAPÍTVÁNY székhelyén tárolására kijelölt zárható tárolódobozban kezeltek.
- A természetes személyek személyes adatainak adatfeldolgozásával érintett munkavállalók munkaszerződésébe a következő munkakörre vonatkozó előírást kell beiktatni: „ A munkavállaló köteles a munkáltató adatvédelmi és adatbiztonsági szabályzatában foglalt előírásokat maradéktalanul betartani, különös tekintettel az alapítvány tevékenységével összefüggő adatgyűjtési, adatkezelési, és adattárolási feladatok területén. Az adatkezelési tevékenysége során köteles az ALAPÍTVÁNY (munkáltató) adatvédelmi intézményrendszerének eljárási folyamatában közreműködni, az adatkezeléssel összefüggésben tudomására jutott információkat korlátlan ideig megőrizni, a Munka Törvénykönyvében meghatározott titokvédelmi szabályoknak (8.§ (4) bek.) megfelelően. Az ALAPÍTVÁNY munkavállalóhoz kapcsolódó megállapodás (nyilatkozat) minta és a foglalkoztatott személyek részére szóló adatvédelmi tájékoztató a jelen szabályzat 5. és 5/A. sz. mellékletét képezi.
Az adatkezeléssel érintetett személyek jogai és érvényesítésük
21. §
(1) A jelen szabályzat alapján érintett személyek bármikor felvilágosítást kérhet Személyes Adataik kezeléséről, és bármikor kérhetik személyes adatainak helyesbítését vagy módosítását az Adatkezelőhöz címzett levelében vagy elektronikus úton az adatkezelő alábbi elérhetőségei útján:
BEKK LÁSZLÓ kuratórium elnöke
Email: laszlo@bekksnooker.hu
Telefonszám: +36-70/452-6884
(2) Az érintett bármikor jogában áll személyes adatai szolgáltatását, közlését indoklás nélkül megtagadni, illetve a regisztráció, vagy a belépési nyilatkozattal összefüggésben tett hozzájáruló nyilatkozatait feltétel nélkül, ingyenesen visszavonni. A Felhasználó az alábbi elérhetőségen tud leiratkozni, valamint hozzájáruló nyilatkozatát visszavonni: laszlo@bekksnooker.hu. Az ALAPÍTVÁNY kérheti, hogy az érintett személy azonosítsa magát és ennek érdekében személyes adatot adjon meg.
22.§
(1) Az adatkezeléssel érintett személyek jogai
a.) Tájékoztatáshoz való jog
b.) Hozzáféréshez való jog
c.) Adatok helyesbítésének kérése
d.) Törléshez való jog
e.) Az adatkezelés korlátozásához való jog
f.) Adathordozhatósághoz való jog
g.) Tiltakozáshoz való jog
(2) Adatkezelési és adattovábbítási tájékoztatás
Az érintettre vonatkozó személyes adatok bekérésekor, más módon történő beszerzés esetén – az érintett kérelmére – az érintett rendelkezésére kell bocsátani az alábbi információkat:
a.) az adatkezelő, illetve képviselőjének megnevezése és elérhetősége
b.) a személyes adatok kezelésének célja és jogalapja
c.) a személyes adatok címzettjei
d.) a személyes adat tárolásának időtartama, illetve ezen időtartam meghatározásának szempontjai
e.) az érintett tájékoztatása a személyes adat hozzáférhetőségi, helyesbítési, törlési, stb. jogáról
f.) az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás visszavonásának jogáról
g.) a felügyeleti hatósághoz való fordulás jogáról
h.) az adatszolgáltatási elmulasztásának következményeiről
23.§ Az érintett adatkezelési joggyakorlásának belső eljárásrendje
(1) Az érintett (16 év alatti kiskorú esetén törvényes képviselője útján) személyesen vagy írásban tájékoztatást kérhet személyes adatainak kezeléséről, annak céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről.
(2) A tájékoztatást az ALAPÍTVÁNY elnöke, vagy az általa írásban megbízott személy adja meg, az adatvédelemért felelős kuratóriummal történt konzultációt követően. A tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt (legfeljebb azonban 20 napon belül) írásban kell megadni. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
(3) A tájékoztatás megtagadására irányuló döntés meghozatalában az adatvédelemért felelős kuratórium minden esetben közreműködik. Az igény elutasításával egy időben közölni kell, hogy a felvilágosítás megtagadására pontosan mely jogszabályi rendelkezés alapján került sor, valamint a rendelkezésre álló jogorvoslati lehetőségeket is. A tájékoztatás csak törvényben meghatározott okból tagadható meg.
(4) Az érintett személy bármikor kérheti személyes adatai helyesbítését, zárolását vagy törlését.
(5) Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az rendelkezésére áll, a személyes adat helyesbítésre kerül. Törlés helyett zárolásra kerül a személyes adat, ha az érintett személy ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett személy jogos érdekeit. Az így zárolt személyes adat kizárólag addig kerül kezelésre, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. Megjelölésre kerül a kezelt személyes adat, ha az érintett személy vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. Ha a helyesbítés, zárolás vagy törlés iránti kérelem nem kerül teljesítésre, úgy a kérelem kézhezvételét követő 25 napon belül az ALAPÍTVÁNY írásban közöli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait.
(6) A kötelező adatkezelések esetét ide nem értve, az érintett személy bármikor tiltakozhat személyes adatai kezelésével szemben, amennyiben az adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, továbbá törvény által meghatározott egyéb esetekben. Az ALAPÍTVÁNY az érintett személy tiltakozását annak előterjesztésétől számított legkésőbb 15 napon belül kivizsgálja. Amennyiben az érintett személy nem ért egyet a tiltakozással kapcsolatban meghozott döntéssel, a Felhasználó a döntés kézhezvételétől számított 30 napon belül pert indíthat az ALAPÍTVÁNY-vel, mint adatkezelővel szemben.
(7) A Felhasználó jogainak feltételezett megsértése esetére Infotv. 52. § (1) bekezdése szerinti vizsgálati eljárást kezdeményezhet a Nemzeti Adatvédelmi és Információszabadság Hatóság előtt (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C., telefon: +36-1-391-1400, telefax: +36-1-391-1410, e-mail: ugyfelszolgalat@naih.hu) vagy az Infotv. 22. § szerint a Felhasználó bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az a Felhasználó választása szerint – a lakóhelye szerinti törvényszék előtt is megindítható.
(5) Az ALAPÍTVÁNY az érintett jogai érvényesülésének elősegítése érdekében megfelelő műszaki és szervezési intézkedéseket tesz, így különösen
a) az érintett részére az információs önrendelkezési jogról és információszabadságról szóló törvényben meghatározott -fentiekben felsorolt – esetekben nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti, és
b) az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított, az előző bekezdésekben meghatározott időtartamon belül elbírálja és döntéséről az érintettet írásban, vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.
24. §
(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a GDPR-ben említett valamennyi információt és a GDPR szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
(2) Az adatkezelő elősegíti az érintett GDPR szerinti jogainak a gyakorlását. Az adatkezelő az érintett GDPR 15-22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
(3) A GDPR 13. és 14. cikk szerinti információkat és a GDPR 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) észszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(4) Ha az adatkezelőnek megalapozott kétségei vannak a GDPR 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
(5) Az érintett részére a GDPR 13. és 14. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.
25.§ Az érintett hozzáférési joga
(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; h) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
(3) A (2) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
26.§
Helyesbítés és törlés
A helyesbítéshez való jog
A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
(2) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(3) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(4) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a GDPR 9. cikk (2) bekezdése h) és i) pontjának, valamint a GDPR 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
d) a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
(5) Az ALAPÍTVÁNY a kezelt adatot a fentiekben meghatározott eseteken túl akkor is törli, illetve az Adatfeldolgozóval törölteti, ha az az hiányos vagy téves – és ez az állapot jogszerűen nem korrigálható, az adat törlését a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte; vagy az érintett személy kéri (ide nem értve a törvényben elrendelt -törvényen alapuló – kötelező adatkezeléseket).
27.§
(1) A valóságnak nem megfelelő személyes adat helyesbítéséről az ALAPÍTVÁNY kuratóriuma dönt. Amennyiben a helyesbítés kérelemre történik, úgy a tájékoztatásra vonatkozó, jelen Szabályzatban foglalt eljárási rend a helyesbítésre is irányadó.
(2) Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az ALAPÍTVÁNY rendelkezésére áll, a személyes adatot a feladatkör szerint illetékes személy, szervezeti adatkezelő helyesbíti.
28.§ Törlési kérelem kezelése
(1) Az érintett jogosult, az adatkezelő pedig köteles a személyes adat törlésére az alábbi esetekben:
– a személyes adatokra már nincs szükség abból a célból, amelyekből azokat gyűjtötték vagy más módon kezelték,
– az érintett visszavonja az adatkezelés alapját szolgáló hozzájárulását, és az adatkezelésnek más jogalapja nincs,
– az érintett az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés célja ellen tiltakozik és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
– a személyes adatokat jogellenesen kezelte az adatkezelő.
(2) Amennyiben az ALAPÍTVÁNY, mint az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, akkor a ALAPÍTVÁNY köteles tájékoztatni az adatot kezelő más adatkezelőket a törlés iránti kérelemről.
(3) A törlést nem kell teljesíteni, ha az adatkezelés:
a.) véleménynyilvánítás szabadságához, vagy a tájékoztatáshoz való jog gyakorlása céljából szükséges
b.) jogi igények előterjesztéséhez, érvényesítéséhez és védelméhez szükséges,
c.) jogi kötelezettség teljesítése miatt szükséges.
(4) A törlés teljesítésének elutasításáról az érintettet értesíteni kell a fenti a.) – c.) pontokra hivatkozva, és fel kell hívni az érintett figyelmét jelen szabályzatban megjelölt jogorvoslati lehetőségekre.
(5) Törlés esetén az ALAPÍTVÁNY a személyes adatot az informatikai rendszereiből visszaállíthatatlanul törli. A papír alapú dokumentációk esetében azok jegyzőkönyvi megsemmisítéséről kell gondoskodni. A jegyzőkönyvben rögzíteni kell a megsemmisített irat beazonosíthatóságához szükséges információkat, a megsemmisítés időpontját és a megsemmisítést végző személy nevét, beosztását, külső partner esetén annak nevét. Elektronikus adat visszaállíthatatlan törlésére az ALAPÍTVÁNY szakszolgáltatást vesz igénybe, arról és annak minden eljárási lépéséről jegyzőkönyvet vesz fel.
29.§ Az adatkezelés korlátozásához való jog
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát; b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
30.§ Személyes adat korlátozása iránti kérelem kezelése
(1) Az érintett az alábbi esetekben jogosult arra, hogy az adatkezelő korlátozza az adatkezelést:
– az érintett vitatja a személyes adatok pontosságát. Ilyen esetben a korlátozás arra az időtartamra vonatkozik, amely idő alatt az adatkezelő ellenőrizheti az adat pontosságát.
– az adatkezelés jogellenes és az adatkezelő ellenzi az adatok törlését
– az adatkezelőnek már nincs szüksége az adatokra, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez
– az érintett tiltakozott az adatkezelés ellen, de az adatkezelő jogos érdeke is megalapozhatja az adatkezelést. Ebben az esetben az adatkezelést korlátozni kell addig, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek az érintett jogos indokaival szemben.
(3) Ha az adatkezelés korlátozás alá esik, az ilyen adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez, vagy védelméhez, illetve más természetes vagy jogi személy jogainak védelme érdekében lehet kezelni.
31.§ A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyan címzettet tájékoztat a fentiek szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
32.§ Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg
(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
c) az érintett személyes adatok kategóriái;
d) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat: a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
b) ha az adatkezelés a GDPR 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
c) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
d) a GDPR 6. cikk (1) bekezdésének a) pontján vagy a GDPR 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
e) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
g) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
(4) Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:
a) az érintett már rendelkezik az információkkal;
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
33.§ Az adathordozhatósághoz való jog
(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha: a) az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
(3) Az e szakasz (1) bekezdésében említett jog gyakorlása nem sértheti a GDPR 17. cikk rendelkezéseit. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
(4) Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.
34.§
A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben
A tiltakozáshoz való jog
(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
(3) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
(4) Az (1) és (2) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
(5) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
(6) Ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
35.§ Az ALAPÍTVÁNY tevékenységének területei, amelyek végzése során a személyes adatok kezelése megvalósul:
a.) Az ALAPÍTVÁNY tisztségviselőinek és vezető tisztségviselőinek a bírósági (cég-) nyilvántartásba történő bejegyeztetése és törlése,
b.) Az ALAPÍTVÁNY követeléseinek érvényesítésére indított, illetőleg egyéb alapon létrejött fizetési meghagyásos eljárások, esetleges peres és nemperes, valamint bírósági eljárások, egyéb hatósági és végrehajtási eljárások,
c.) Az ALAPÍTVÁNY szerződéseinek megkötése,
d.) Tagfelvételi kérelmek benyújtása és elbírálása, valamint a tagnyilvántartás vezetése
e.) Az ALAPÍTVÁNY-nál bekövetkezett szervezeti változások nyilvántartása
f.) A vállalkozásnak nem minősülő, munkavégzésre, egyéb megbízási viszonyokra kötött megállapodások kezelése
g.) Vagyonvédelmi megfigyelőrendszer (kamerarendszer) működtetése
h.) Esetleges felújítási, karbantartási munkák végzése során megkötendő szerződéskötések (kivitelezők, vállalkozók)
i.) Kuratóriumi ülések, egyéb szervezeti ülések dokumentációja,
j.) A foglalkoztatással összefüggő iratok (ideértve a az álláskeresési célú pályázó személyes adatait is),
k.) ALAPÍTVÁNY sportolóinak sporttevékenységé végzésével kapcsolatos bármely adatai, versenyjegyzőkönyvek és eredmények, statisztikák.
l.) A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését a Rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni.
36. § A személyes adatok kezelése során az adatkezelő, az adatfeldolgozást ellátó, e tevékenységgel megbízott munkavállalójának az érintettel szembeni eljárási szabályai:
- A tagi képviselet ellátása során történő adatkezelésnél köteles az ALAPÍTVÁNY az érintettel megismertetni az adatkezelési és adatvédelmi szabályzatban foglalt általános adatkezelési tájékoztatót, és adattovábbítás esetén az adattovábbítási tájékoztatót, illetve beszerezni az ahhoz kapcsolódó nyilatkozatot.
- Köteles minden szükséges intézkedést megtenni az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülés elleni védelméért.
- Az érintettektől azokat az adatokat kérheti (gyűjtheti), amelyek az adott tevékenység végzéséhez szükségesek és indokoltak. A begyűjtött, kapott adatokat csak az igényelt célra lehet felhasználni.
- Amennyiben a kezelt adatra már nincs és a jogviszony jellegéből adódóan nem is lehet szükség, úgy az adatot törölni kell az ALAPÍTVÁNY nyilvántartásából, erről az érintettet köteles értesíteni.
37.§ Az adatkezelői és az adatfeldolgozói nyilvántartás
(1) Az ALAPÍTVÁNY, mint adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet (a továbbiakban együtt: adatkezelői nyilvántartás).
(2) Az adatkezelői nyilvántartásban az adatkezelő rögzíti
a) az adatkezelő, ideértve minden egyes közös adatkezelőt is, valamint -alkalmazása esetén – az adatvédelmi tisztviselő nevét és elérhetőségeit,
b) az adatkezelés célját vagy céljait,
c) személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – körét,
d) az érintettek, valamint a kezelt adatok körét,
e) profilalkotás alkalmazása esetén annak tényét,
f) nemzetközi adattovábbítás esetén a továbbított adatok körét,
g) az adatkezelési műveletek – ideértve az adattovábbítást is – jogalapjait,
h) ha az ismert, a kezelt személyes adatok törlésének időpontját,
i) az információs önrendelkezési jogról és információszabadságról szóló törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását,
j) az általa kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket,
k) az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait.
(3) Adatfeldolgozás esetén az adatfeldolgozó az általa az egyes adatkezelők megbízásából vagy rendelkezése szerint végzett adatkezeléseiről nyilvántartást vezet (a továbbiakban: adatfeldolgozói nyilvántartás). Az adatfeldolgozói nyilvántartásban az adatfeldolgozó rögzíti:
a) az adatkezelő, az adatfeldolgozó, a további adatfeldolgozók, valamint az adatfeldolgozó
– alkalmazása esetén – adatvédelmi tisztviselőjének nevét és elérhetőségeit;
b) az adatkezelő megbízásából vagy rendelkezése szerint végzett adatkezelések típusait;
c) az adatkezelő kifejezett utasítására történő nemzetközi adattovábbítás esetén a nemzetközi adattovábbítás tényét, valamint a címzett harmadik ország vagy nemzetközi szervezet megjelölését;
d) az az információs önrendelkezési jogról és információszabadságról szóló törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását.
(4) Az adatkezelői és az adatfeldolgozói nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt – kérésére – a NAIH rendelkezésére kell bocsátani.
38. § Elektronikus napló
(1) A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az ALAPÍTVÁNY mint adatkezelő, illetőleg adatfelfolgozás esetén az adatfeldolgozó automatizált adatkezelési rendszerben (a továbbiakban: elektronikus napló) rögzíti
a) az adatkezelési művelettel érintett személyes adatok körének meghatározását,
b) az adatkezelési művelet célját és indokát,
c) az adatkezelési művelet elvégzésének pontos időpontját,
d) az adatkezelési műveletet végrehajtó személy megjelölését,
e) a személyes adatok továbbítása esetén az adattovábbítás címzettjét.
(2) Az elektronikus naplóban rögzített adatok kizárólag az adatkezelés jogszerűségének ellenőrzése, az adatbiztonsági követelmények érvényesítése, továbbá büntetőeljárás lefolytatása céljából ismerhetőek meg és használhatóak fel.
(3) Az elektronikus naplóhoz a NAIH, továbbá az előző bekezdésben meghatározott célból jogszabályban meghatározott tevékenységet folytató személy és szervezet részére – azok erre irányuló kérelmére – a sportegyesületi adatkezelő és adatfeldolgozás esetén az adatfeldolgozó hozzáférést biztosít, abból részükre adatot továbbít.
(4) Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.
39. § Együttműködés a felügyeleti hatósággal
Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a (tagállami jogszabály által meghatározott) felügyeleti hatósággal – annak megkeresése alapján – együttműködik.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
Elektronikus elérhetőség: ugyfelszolgalat@naih.hu
Weboldal: http://naih.hu
40.§ Adatvédelmi incidens, Felelősség az adatkezelés jogszerűségéért
(1) Az ALAPÍTVÁNY-nek, mint adatfeldolgozónak kötelessége, hogy a munkája, tevékenysége körében bekövetkezett adatvédelmi incidensről haladéktalanul értesítse az adatkezelőt (kuratórium elnökét). Az adatvédelmi incidensekkel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást kell vezetni. A nyilvántartásnak tartalmaznia kell az adatvédelmi incidenseket, feltüntetve az incidensekhez kapcsolódó tényeket, azok hatásait, valamint a megoldásukra tett intézkedéseket. Az adatvédelmi ellenőrzések, incidensek, adatvédelmi nyilvántartásnak mintája jelen szabályzat 7. sz. mellékletében található.
(2) Az adatvédelmi incidens során alkalmazandó eljárás rendje:
a) Alacsony szintű adatvédelmi incidens:
A személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ilyen esetben az adatvédelemért felelős személy az érintett rendszer rendszergazdájával és az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdájával meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére. Rögzíti továbbá az adatvédelmi incidenst az incidensek nyilvántartásába.
b) Közepes szintű adatvédelmi incidens:
A személyes adatok csekély körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ilyen esetben az adatvédelemért felelős személy haladéktalanul, de legkésőbb a tudomásszerzéstől számított 12 órán belül munkacsoportot hív össze, amelyen részt vesz a rendszergazda, az adatgazda és az adatkezelő vezetője.
c) Magas szintű adatvédelmi incidens:
A személyes adatok széles körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ide tartozik még az adatok körétől függetlenül minden olyan eset, amikor valószínűsíthető, hogy az incidensnek az érintettre hátrányos hatása van, vagy biztosra vehető, hogy az incidensnek az érintettre hátrányos hatása van. Ilyen esetben az adatvédelmi szervezet vezetője (a közepes szintű incidensnél írtakon túlmenően) értesíti a felügyeleti hatóságot az adatvédelmi incidensről a tudomásszerzéstől számított 72 órán belül. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(4) Az adatvédelmi incidens szintjét az adatkezelő szerv vezetője, az ALAPÍTVÁNY kuratóriuma köteles megállapítani.
41.§ Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
(1) Az adatvédelmi incidenst az adatkezelő az előző paragrafusban meghatározott határidőben indokolatlan késedelem nélkül bejelenti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(3) Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e § követelményeinek való megfelelést.
42.§ Az érintett tájékoztatása az adatvédelmi incidensről
(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 41.§ (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.
43.§ Adatkezelés a foglalkoztatással összefüggően
Az ALAPÍTVÁNY alkalmazottainak és az álláskeresési céllal pályázók személyes adatainak kezelése
(1) Az ALAPÍTVÁNY személyügyi nyilvántartásának kezelésére és vezetésére, az alkalmazottak személyes adatainak kezelésére az Info tv. és a GDPR rendelkezései az irányadóak.
(2) A szakszervezeti vagy érdekképviseleti szervezeti tagságra utaló adat az érintett munkatárs írásbeli hozzájárulása alapján kezelhető.
(3) Az ALAPÍTVÁNY-hoz bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban található személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes haladéktalanul adatokat törölni kell.
(4) A munkavállalók adatainak kezelésére vonatkozó további rendelkezéseket a jelen szabályzat 5/A. sz. mellékletét képező munkavállalói megállapodás és hozzájárulás, illetőleg az 5. sz. mellékletét képező és adatkezelési tájékoztató tartalmazza.
44.§ A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések
(1) A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését e rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani. Az ALAPÍTVÁNY a saját közérdekből archivált sportegyesületi eredmény és történeti nyilvántartását a fenti szempontok figyelembevételével álnevesített formában kezeli és tartja nyilván.
III. Fejezet
45.§ Az ALAPÍTVÁNY adatvédelemi intézményrendszere
(1) Az adatvédelmi előírások alkalmazása szempontjából a ALAPÍTVÁNY mint adatkezelő szerv vezetőjének a ALAPÍTVÁNY a kuratórium elnökét kell tekinteni.
(2) Az ALAPÍTVÁNY kuratóriumának elnöke
a) felelős az ALAPÍTVÁNY adatkezelésének jogszerűségéért,
b) gondoskodik az adatkezelés személyi és tárgyi feltételeinek biztosításáról,
c) az ALAPÍTVÁNY, mint adatkezelő szerv tekintetében meghozza az adatkezelésre vonatkozó döntéseket.
(2) Az ALAPÍTVÁNY, illetőleg egyes ügyviteli szerveinek vezetői felelősek az irányításuk alá tartozó munkatársak adatkezelésének jogszerűségéért, valamint a Szabályzatban foglaltak betartásáért, illetve betartatásáért.
(3) Az adatvédelemért felelős ügyviteli szerv:
- közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
- ellenőrzi az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban: Info. tv.), a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
- kivizsgálja az ALAPÍTVÉNY részére érkezett, jogosulatlan adatkezeléssel kapcsolatos bejelentéseket;
- jogosulatlan adatkezelés észlelése esetén – ALAPÍTVÁNY kuratóriumának elnökének értesítése mellett – felszólítja az adatfeldolgozót a jogsértés megszüntetésére;
- elkészíti és folyamatosan karbantartja jelen Szabályzatot;
- közreműködik az adatvédelmi ismeretek oktatásában;
- jogi segítséget nyújt az ALAPÍTVÁNY-hoz érkező közérdekű adatigénylések megválaszolásában, kontrollálja az adatigénylések ALAPÍTVÁNY részéről történő teljesítését;
- figyelemmel kíséri az adatvédelemmel, adatbiztonsággal összefüggő jogszabályokat, tájékoztatást, felvilágosítást ad, illetve adott esetben konzultációt tart a jogszabályok helyes alkalmazása céljából;
- egyedi ügyekben kidolgozott állásfoglalásával segíti az adatvédelmi tevékenységet;
- az adatvédelmi előírások megsértésének észlelése esetén intézkedést tesz annak megszüntetésére, tájékoztatja erről az ALAPÍTVÁNY kuratóriumát, indokolt esetben kezdeményezi a felelősségre vonási eljárás lefolytatását.
.
(4) Az adatvédelemért felelős kuratórium a feladatai ellátása során az adatkezelést végző szervezeti egységtől minden olyan kérdésben felvilágosítást kérhet, az összes olyan iratba, nyilvántartásba betekinthet, illetve iratról másolatot kérhet, adatkezelést megismerhet, amely személyes adatokkal vagy közérdekű (közérdekből nyilvános) adatokkal összefügghet.
(5) Az ALAPÍTVÁNY szervei, valamint alkalmazottai kötelesek az adatvédelemért felelős kuratórium megkeresésére az adatvédelemmel kapcsolatban szükséges intézkedéseket megtenni, és a megtett intézkedésekről az adatvédelemért felelős kuratóriumi elnököt tájékoztatni.
(6) Az ALAPÍTVÁNY adatkezelésével kapcsolatos adatvédelmi kérdés, illetőleg panasz esetén az érintettek (beleértve az alkalmazottakat és külső munkavállalókat is) közvetlenül megkereshetik az adatvédelemért felelős kuratóriumi elnököt.
(7) Az ALAPÍTVÁNY jogszabályi kötelezettség, illetőleg szerződéses partneri kapcsolat fennállása esetén a szerződéses partner adatkezelési tájékoztatóját és nyilatkozatát köteles beszerezni, illetőleg annak meglétéről gondoskodni. A szerződéses partner adatkezelési tájékoztatója és nyilatkozata jelen szabályzat 8. sz. mellékletében található.
(8) Amennyiben a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az ALAPÍTVÁNY az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az ALAPÍTVÁNY dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság kérésére annak rendelkezésére bocsátja.
46. § Jogszabályi felhatalmazás nélküli speciális adatkezelés
(1) Az ALAPÍTVÁNY-nál végzett mérések, illetőleg a sportegészségügyi vizsgálatok felmérhet az érintettre vonatkozóan keletkezett sporttudományos és egészségügyi adatokat a ALAPÍTVÁNY személyhez kötötten, egyedi azonosításra alkalmas módon – erre vonatkozó jogszabályi felhatalmazás hiányában – kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott – írásbeli és konkrét – hozzájárulása alapján jogosult kezelni. A hozzájáruló nyilatkozatban az érintett félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére.
(2) Az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás szövegének legalább az alábbiakat kell tartalmaznia:
a) arra vonatkozó utalást, hogy az érintett a személyes adatai kezelésével kapcsolatos minden tényre – így különösen az adatkezelés céljára, jogalapjára, az adatkezelésre és az adatfeldolgozásra jogosult személyekre, az adatkezelés időtartamára, az adatok megismerésére jogosultak körére, továbbá az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire – kiterjedő tájékoztatást kapott;
b) utalást arra, hogy az érintett az a) pont szerinti tájékoztatást követően önként hozzájárul az általa közölt személyes adatai kezeléséhez.
(3) A 18. életévét be nem töltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez a törvényes képviselő hozzájáruló nyilatkozata is szükséges.
47. §
(1) Az érintett, illetve törvényes képviselője által az ALAPÍTVÁNY rendelkezésére bocsátott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. A hozzájárulást – a későbbi igazolhatósága érdekében – írásban kell rögzíteni.
(2) Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
48. §. Adattovábbítás, adatigénylés
(1) Az ALAPÍTVÁNY által kezelt adatokból személyes adatot továbbítani az érintett beleegyezésének hiányában csak törvényben meghatározott szerv vagy személy részére, törvényben meghatározott körben, összesített (aggregát) adatként, illetőleg egyedi azonosításra alkalmatlan módon lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével.
(2) Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adat birtokában lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett hozzájárulásával rendelkezik az adat kezeléséhez, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
(3) Az adattovábbítás feltételeinek meglétét az adatot továbbító szervezeti egység minden egyes személyes adattal összefüggésben ellenőrizni köteles. Amennyiben az adatkéréssel kapcsolatban adatvédelmi aggályok merülnek fel (pl. az adatigénylés célját, jogalapját, a bekért adatok körét, kiadhatóságát illetően) az adatvédelemért felelős kuratórium állásfoglalását kell kérni.
(4) Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza:
a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését);
b) a kért adatok körének pontos meghatározását.
(5) Amennyiben az adatigénylésből pontosan nem állapítható meg a kért adatok köre, úgy az adatigénylőt fel kell hívni az adatkérés pontosítására.
(6) Személyes adatok külföldre történő továbbítása esetén az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor egyéb esetekben az Info. tv. 8. §-ában meghatározottak szerint kell eljárni.
A természetes személyek személyes adatainak – szükség szerinti – adattovábbítási tájékoztató és nyilatkozata jelen szabályzat 6. sz. mellékletében található.
IV. fejezet
A jogellenes adatkezelés következményei
49.§
(1) Az érintett a jogainak megsértése esetén bírósághoz fordulhat, amely az ügyben soron kívül jár el.
(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az ALAPÍTVÁNY köteles bizonyítani.
(3) A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, illetve az érintett tiltakozási jogának figyelembevételére kötelezi.
(5) A bíróság elrendelheti ítéletének – az adatkezelő azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett törvényben védett jogai megkövetelik.
50. §
(1) Ha az ALAPÍTVÁNY mint adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel másnak kárt okoz, köteles azt megtéríteni. Ha az ALAPÍTVÁNY mint adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel más személyiségi jogát megsérti, az, akinek személyiségi joga sérelmet szenvedett, az adatkezelőtől, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozótól sérelemdíjat követelhet.
(2) Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Az adatfeldolgozó mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy az általa végzett adatkezelési műveletek során a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségek, valamint az adatkezelő jogszerű utasításainak betartásával járt el.
(3) Az adatkezelő és az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó, továbbá a közös adatkezelők és az általuk megbízott vagy rendelkezésük alapján eljáró adatfeldolgozók a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével okozott
a) kárért az érintettel szemben egyetemlegesen felelnek, valamint
b) személyiségi jogsértés esetén járó sérelemdíjat egyetemlegesen kötelesek megfizetni az érintettnek.
Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem a személyiségi jogi jogsérelmet szenvedő személy szándékos vagy súlyosan gondatlan magatartásából származott.
V. Fejezet
Vegyes és záró rendelkezések
51. §
(1) Jelen Szabályzat hatálybalépésétől számított 45 napon belül az ALAPÍTVÁNY szervezeti egységeinek, szerveinek vezetői kötelesek intézkedni az irányításuk alá tartozó egységek adatvédelmi gyakorlatának felülvizsgálatáról és szükség esetén a jelen Szabályzat rendelkezéseinek megfelelő eljárások kialakításáról.
(2) Az ALAPÍTVÁNYNÁL csak a tagok, munkavállalók, szerződéses partnerek adatainak kezelése történik, így a kezelt adatok sajátosságaira, az érintett személyek és munkavállalók számára tekintettel adatvédelmi biztost alkalmaznia nem kell, az ALAPÍTVÁNY NAIH nyilvántartásra nem kötelezett.
(3) Az ALAPÍTVÁNY adatvédelmi módozattal kiegészített biztosítást nem köt, erre nem kötelezett.
(4) Az ALAPÍTVÁNY sajátos működési, gazdálkodási és tevékenységi jellegére adatvédelmi hatásvizsgálatot és adatmérlegelési tesztet nem végez.
(5) Az adatkezelő jelen szabályzat tartalmi megismertetését, karbantartását, és a szabályzatban foglaltakkal kapcsolatos továbbképzést eseti külön kuratóriumi határozat szerint hajtja végre.
(6) A jelen Szabályzat nyilvános, azt a ALAPÍTVÁNY honlapján bárki által hozzáférhető módon el kell helyezni.
(7) Jelen Szabályzatot 2022. JANUÁR 9. Napján az ALAPÍTVÁNY kuratóriuma az 01/2022 (I.09). sz. határozatával elfogadta, a jelen szabályzat az elfogadását követően 2022. JANUÁR 10. napján lép hatályba.