Főoldal
/
Adatvédelmi szabályzat

Az Utánpótlásért Vértes Sport Egyesület (a továbbiakban: Adatkezelő, Egyesület, UVSE) az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban GDPR/Rendelet), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény előírásai szerint az alábbi Adatvédelmi szabályzatot (a továbbiakban Szabályzat) alkotja.

A GDPR az Európai Parlament és a Tanács rendelete, amely így teljes egészében kötelező és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamban, így Magyarországon is.

Az Adatkezelő pontos megnevezése, elérhetőségei:

Adatkezelő megnevezése:Utánpótlásért Vértes Sport Egyesület
Adatkezelő adószáma:19293927-1-11
Adatkezelő székhelye:2800 Tatabánya, Feszty Á. u. 130.
Adatkezelő képviselője:Balatoni Péter elnök
Telefon:+36 (20) 663 4493
E-mail:info@utanpotlasert.hu
Honlap:www.utanpotlasert.hu

1. A Szabályzat célja

Az Egyesület Szabályzatának célja,

  • az Egyesület tevékenysége során, a tudomására jutott személyes adatok védelme.
  • hogy biztosítsa a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.
  • biztosítani a GDPR III. fejezetében meghatározott érintetti jogokat azzal, hogy meghatározza az adatvédelmi elvek gyakorlati megvalósulását és az Adatkezelő által folytatott adatvédelmi folyamatokat.

2. A Szabályzat hatálya

A Szabályzat személyi hatálya kiterjed minden olyan személyre, aki az Adatkezelővel fennálló, így különösen munka-, adatfeldolgozói-, megbízási jogviszonya alapján (továbbiakban: az Adatkezelő munkatársa) személyes adatokhoz hozzáfér, vagy azok birtokába jut.

A Szabályzat tárgyi hatálya kiterjed az Egyesület működése során felmerülő adatkezelésekre, adatfeldolgozásra, minden folyamatra, melynek során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése történik.

A Szabályzat időbeli hatálya annak kihirdetésétől visszavonásáig tart.

3. A Szabályzat elkészítése, módosítása, valamint érvényesítése

A Szabályzat elkészítése és szükség szerinti módosítása az Egyesület Elnökének feladat- és hatáskörébe tartozik.

Az Egyesület alkalmazottai, megbízottjai személyes adatot csak a vonatkozó jogszabályokban foglaltak szerint, jelen Szabályzatban és adatkezelési tájékoztatókban előírtak figyelembevételével, az adatvédelemre vonatkozó alapelvek tiszteletben tartásával kezelhetnek. Ez a kötelezettség megfelelően vonatkozik az Egyesület megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve egyéb szervezetekre.

4. Értelmező rendelkezések

A Szabályzatban használt fogalmak megegyeznek a GDPR 4. cikkében meghatározott értelmező fogalommagyarázatokkal, figyelemmel az Infotv. 2. § (2) bekezdésében foglaltakra.

  • Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.).;
  • Érintett jelen Szabályzat alkalmazásában:
    Azonosított vagy azonosítható természetes személy, különösen az Egyesület saját dolgozója, munkatársa, munkavállalója, valamint munkavégzésre irányuló egyéb jogviszonyban foglalkozatottja, az Egyesületnél úszásra jelentkező, gyermek, gyermek törvényes képviselője, az Egyesületet támogató stb.
  • Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.).;
  • Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokra, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.).;
  • Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.).;
  • Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.).;
  • Érintett jogai, a GDPR 12-21. cikkében szabályozott jogok:
    ➢ tájékoztatás joga,
    ➢ hozzáférési jog,
    ➢ helyesbítéshez való jog,
    ➢ törléshez való jog,
    ➢ adatkezelés korlátozhatóságához való jog,
    ➢ adathordozhatósághoz való jog,
    ➢ tiltakozáshoz való jog.;
  • Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés).;
  • Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.).;
  • Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.).;
  • Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.).;
  • Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.).;
  • Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.).;
  • Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.).;
  • Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.).;
  • Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.).;
  • Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.).;
  • Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.).;
  • Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.).;
  • EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.).;
  • Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.).;
  • Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.).;
  • Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.).;
  • Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.).;
  • Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.).;
  • Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.).;
  • Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.).;
    (Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében a GDPR-ban, valamint az Infotv-ben meghatározottak szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság – a továbbiakban NAIH/Hatóság – gyakorolja.)
  • Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
    • a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,
    • b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy
    • c) panaszt nyújtottak be az említett felügyeleti hatósághoz (GDPR 4. cikk 22.).

5. Az adatkezelés elvei

Az Adatkezelő az adatkezelés során az alábbi alapelvek alapján szervezi folyamatait:

Jogszerűség, tisztességes eljárás és átláthatóság elve [GDPR 5. cikk (1) a)]: Az Adatkezelő személyes adatot csak jogszerűen és tisztességesen kezel, az adatkezelést az érintett számára átlátható módon, többek között jelen Szabályzat és egyes releváns adatkezelési tevékenységre készített adatkezelési tájékoztató nyilvánosságra hozatalával végzi.

Célhoz kötöttség elve [GDPR 5. cikk (1) b)]: Az Adatkezelő minden esetben, ha személyes adatot kezel, az adat felvétele előtt meghatározza a személyes adat kezelésének célját, amely így előre meghatározott, egyértelmű és jogszerű. Személyes adatot az Adatkezelő az előre meghatározott céllal össze nem egyeztethető módon nem kezel. Amennyiben teljesült az adatkezelés célja és jogszabály nem írja elő kötelezően az adat további kezelését, úgy a személyes adatot az Adatkezelő törli.

Adattakarékosság elve [GDPR 5. cikk (1) c)]: Az Adatkezelő az adatkezelés során csak olyan személyes adatot kezel, amely a cél eléréséhez megfelelő és releváns, az Adatkezelő az adatkezelést csak a cél eléréséhez szükséges minimum adatmennyiségre korlátozza.

Pontosság elve [GDPR 5. cikk (1) d)]: Az Adatkezelő törekszik rá, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek és a jelen Szabályzatban foglalt módon törekszik rá, hogy a pontatlan személyes adatokat haladéktalanul törölje vagy – az érintett kérelmére vagy tudomására jutása esetén saját hatáskörben – helyesbítse.

Korlátozott tárolhatóság elve [GDPR 5. cikk (1) e)]: Az Adatkezelő személyes adatot csak úgy tárol, hogy a személyes adat érintettje csak az adatkezelés céljának eléréséig azonosítható az adatkezelés során, a személyes adatok ennél hosszabb ideig történő tárolását csak jogszabály kötelező előírása alapján végzi az Adatkezelő.

Integritás és bizalmasság elve [GDPR 5. cikk (1) f)]: Az Adatkezelő az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet.

Elszámoltathatóság elve [GDPR 5. cikk (2)]: Az Adatkezelő az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy az adatkezelés bármely pillanatában képes legyen a jelen pontban foglalt elveknek való megfelelést igazolni.

6. Az adatkezelések szabályai

Az Adatkezelő kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

Az Adatkezelő személyes adatot csak és kizárólag a GDPR 6. cikkében foglalt jogalapokkal, személyes adatok különleges kategóriáiba tartozó személyes adatot csak és kizárólag a GDPR 9. cikk (2) bekezdésében rögzített feltétel fennállása mellett kezel.

Az Adatkezelő kezelésében lévő személyes adat az adatkezelés során mindaddig megőrzi személyes adat minőségét, amíg belőle az érintett azonosított vagy azonosítható.

Az Adatkezelő akkor tekint egy adatot személyes adatnak, amennyiben rendelkezik azzal a technikai feltétellel, amely segítségével képes az adatból azonosítani az érintettet.

Az Adatkezelő csak úgy folytat adatkezelést, hogy az minden szakaszában megfelel az adatkezelési célnak.

Az Adatkezelő jelen Szabályzat vagy a konkrét adatkezelési tájékoztatás nyilvánosságra hozatalával minden esetben közli az érintettel az adatkezelés célját, az adatkezelés jogalapját, valamint az adatkezeléssel kapcsolatos, a GDPR 13-14. cikkében meghatározott tényeket.

Az Adatkezelő munkaszervezési, fizikai, informatikai és jogosultságkezelési eszközökkel gondoskodik arról, hogy illetéktelen személyek a személyes adatokat ne ismerhessék meg.

Adatkezelő munkatársai és az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek munkatársai és megbízottjai (alvállalkozói) kötelesek az adatkezelés során megismert személyes adatokat titokként megőrizni.

A személyes adatok egyetlen része vagy töredéke sem tehető közzé, nem bocsátható rendelkezésre vagy nem tárható fel semmilyen módon harmadik személy előtt, kivéve, ha a személyes adat közérdekből nyilvános adatként történő nyilvánosságra hozatalát jogszabály írja elő.

Az Adatkezelő munkatársai kötelesek megtenni azokat az intézkedéseket, amelyek kizárják, hogy a szóban elhangzott, papíralapon vagy elektronikus formátumban rögzített személyes adatot bármely harmadik személy jogosulatlanul megismerje.

Személyes adatról papíralapú vagy elektronikus másolat csak abban az esetben készíthető, ha azt az adatkezelés folyamata szükségessé teszi vagy jogszabály előírja.

Ha az Adatkezelő valamely munkatársa a Szabályzatot megszegi, az Adatkezelő és közte lévő jogviszony jellegétől függően felelősséggel tartozik.

Ha a Szabályzatot az Adatkezelővel egyéb jogviszonyban álló személy szegi meg és ezzel kárt okoz, úgy a mindenkori Polgári törvénykönyv (a Szabályzat kiadásakor a Polgári Törvénykönyvről szóló 2013. évi V. törvény) károkozásért való felelősségre vonatkozó szabályok szerint felel.

7. Az adatkezelés jogalapjai

Az adatkezelés jogalapját az Adatkezelő minden adatkezelési folyamatnál meghatározza. Az adatkezelésre jogalapot csak a GDPR 6. cikk (1) bekezdése határoz meg, különleges adatok kezelésének tilalma alóli feloldás feltételeit a 9. cikk (2) bekezdése határozza meg.

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.

Amennyiben az adatkezelés az érintett hozzájárulásán alapul, úgy az érintett a hozzájárulását bármilyen bizonyítható módon megadhatja, így írásban (nyilatkozaton, dokumentumon, elektronikus levélben), szóban és ráutaló magatartással is. Az Adatkezelő elsődlegesen írásban (papíralapon vagy elektronikus levélben) szerzi be az érintett hozzájárulását, amelyet így az írásbeliséggel tud igazolni.

Az Adatkezelő nem tesz különbséget a hozzájárulások között azok formáját tekintve, a hozzájárulások formái egyenértékűek, de fenntartja magának a jogot, hogy egyes adatkezelések esetén a hozzájárulás egyes formáit kizárja.

Az Adatkezelő biztosítja a jogot arra is, hogy az érintett ugyanúgy, ahogy a hozzájárulást megadta, a hozzájárulását visszavonja. A ráutaló magatartással megtett hozzájárulás visszavonását csak írásban fogadja el az Adatkezelő. A hozzájárulás visszavonását elsődlegesen az info@utanpotlasert.hu e-mail címen tehető meg. Ebben az esetben a hozzájárulással kezelt adatot töröljük. A hozzájárulást bármikor vissza lehet vonni, amely azonban nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.

Amennyiben az adatkezelés jogalapja az adatkezelőre vonatkozó jogi kötelezettség, úgy e jogi kötelezettséget csak és kizárólag az Európai Unió vagy Magyarország hatályos és alkalmazandó jogszabályának kell megállapítania.

Jogi kötelezettséget az Infotv. 5. § (3) bekezdése alapján csak törvény vagy önkormányzati rendelet állapíthat meg, amennyiben azonban a jogi kötelezettség más jogforrási szinten elhelyezkedő normában vannak leszabályozva, az Adatkezelő nem tekinthet el az alkalmazásától.

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

Létfontosságú érdek különösen, de nem kizárólagosan: járvány, katasztrófa, szükséghelyzet.

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Az Adatkezelő jelenleg ilyen jogalapon nem végez adatkezelést.

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az Adatkezelő az adatkezelés megkezdése előtt az érintettek magánszférájának, érdekeinek és alapvető jogainak biztosítása érdekében érdekmérlegelési tesztet végez el.

Az érdekmérlegelési tesztet az érintett – kérelmére – bármikor megismerheti.

Az érdekmérlegelési tesztnek az alábbiakra kell kiterjednie különösen:

  • a kezelni kívánt személyes adat meghatározása,
  • annak a személynek a meghatározása, akinek a jogos érdekében az adatkezelés szükséges,
  • a jogos érdek bemutatása,
  • az adatkezelés céljának meghatározása,
  • annak vizsgálata, hogy az adatkezelés feltétlenül szükséges-e a feltárt jogos érdek érvényesítéséhez,
  • ha az adatkezelés szükséges a jogos érdek érvényesítéséhez, annak vizsgálata, hogy az érvényesíthető-e más, az érintett magánszféráját nem vagy kevésbé érintő folyamattal,
  • ha a jogos érdek nem érvényesíthető más folyamattal annak vizsgálata, hogy az adatkezelés esetén az érintett érdekei, alapjogai mennyiben korlátozódnak vagy sérülnek,
  • a jogos érdek és az érintetti alapjogi korlátozás összevetése,
  • az érdekmérlegelési teszt eredménye,
  • az érdekmérlegelési teszt elvégzésének dátuma,
  • amennyiben az érdekmérlegelési teszt eredményeként a személyes adat kezelhető, úgy az adatkezelési folyamat bevezetésének időpontjának meghatározása.

Amennyiben az érdekmérlegelési teszt eredményeként az Adatkezelő megállapítja, hogy az adatkezeléssel érintett jogos érdekkel szemben elsőbbséget élveznek az érintett érdekei és alapvető jogai, akkor ezt az adatkezelési jogalapot nem alkalmazza.

Körülmények, feltételek, amelyek esetén az Adatkezelő személyes adatok különleges kategóriáiba tartozó adatokat kezelhet

  • Az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy a hatályos magyar jog úgy rendelkezik, hogy a tilalom az érintett hozzájárulásával sem oldható fel.
  • Az adatkezelés az Adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy hatályos magyar jog lehetővé teszi.
  • Az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni.
  • Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott.
  • Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
  • Az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy a hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
  • Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy hatályos magyar jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, amennyiben az adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, akire szakmai titoktartási kötelezettség hatálya alatt áll.
  • Az adatkezelés a népegészségügy területét érintő közérdekből szükséges.
  • Az adatkezelés közérdekű archiválás, tudományos és történelmi kutatási vagy statisztikai célból szükséges olyan uniós vagy hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

8. Adatbiztonságra vonatkozó rendelkezések

Az Adatkezelő, illetőleg tevékenységi körében az Adatkezelő által megbízott adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR, valamint a jelen Szabályzat érvényre juttatásához szükségesek.

Az Adatkezelő minden szükséges intézkedést megtesz az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülése elleni védelméért.

Az Adatkezelő, illetve tevékenységi körében az adatfeldolgozója köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR, az Infotv., valamint az egyéb jogszabályok érvényre juttatásához szükségesek.

Az adatfeldolgozónak a személyes adatok kezelésével kapcsolatos jogait és kötelezettségeit a GDPR, valamint az adatkezelésre vonatkozó külön törvények keretei között az Adatkezelő határozza meg. Az általa adott utasítások jogszerűségéért az Adatkezelő felel.

Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint kezelheti, saját céljára adatkezelést nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

Szükséges intézkedés gyanánt minden olyan biztonsági, technikai és szervezési intézkedést megtesznek, mely az adatok biztonságát garantálja, különösen:

  • Az Adatkezelő és az Adatfeldolgozó a személyes adatokat elektronikusan szerveren és/vagy papíralapú formában tárolja. Az Adatkezelő által használt szerver szigorú biztonsági intézkedések mellett használják.
  • A természetes személyek papír alapú személyes adatainak kezelését és tárolását az az Adatkezelő adatkezeléssel megbízott munkavállalója, egyéb alkalmazottja, tisztségviselője köteles az Adatkezelő székhelyén e célra külön és kizárólagosan kijelölt helyiségében ellátni.
  • A kezelt személyes adatokhoz az Adatkezelő és az Adatfeldolgozó munkavállalói közül is kizárólagosan csak a kezelt személyes adatokhoz kapcsolódó szolgáltatások teljesítésében résztvevő munkatársak, megbízottak férhetnek hozzá.
  • A személyes adatok biztonsága érdekében az Adatkezelő és az Adatfeldolgozó fizikai és logikai védelmi (pl. titkosítás, álnevesítéstés) intézkedéseket alkalmaz.
  • A papíralapon kezelt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza különösen:
    • az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók.
    • a dokumentumokat jól zárható, száraz helyiségben helyezi el.
    • a személyes adatokat tartalmazó iratokhoz csak az illetékesek férhetnek hozzá.
    • az Adatkezelő adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja.
    • az Adatkezelő adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja.
    • amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza az Adatkezelő.
  • Az elektronikusan kezelt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza továbbá, különösen:
    • Az informatikai eszközön tárolt bármely természetes személy személyes adatát úgy kell védeni, hogy az informatikai eszköz (asztali számítógép, laptop, notebook, külső adattároló, okos telefon stb.) megfelelő biztonságot nyújtó jelszóval legyen védve. A hozzáférési kód tetszőleges számú, de kis és nagy betűkből és számokból kell, hogy összetevődjön. A hozzáférési kódot az Adatkezelő vezetője által megállapított rendszeres időközönként, de évente legalább két alkalommal meg kell változtatni.
    • Az informatikai eszközöket munkaidőt követően zárt helyiségben kell tárolni.
    • Az Adatkezelő által tárolt személyes adatok az Egyesület székhelyén tárolására kijelölt irodában történik, amely helyiségbe illetéktelen személyek nem léphetnek be. Az Adatkezelő rendelkezik biztonsági riasztórendszerrel, és eseti helyi lehetőségek figyelembevételével tűz esetén tűzvédelmi berendezéssel (poroltó készülék) is védeni kell. Ez az előírás egyaránt vonatkozik a papír alapú, illetve informatikai eszközön tárolt adatok biztonságos védelmére is.

Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van az Adatkezelő a technika mindenkori fejlettségére.

Az Adatkezelő és adatfeldolgozó saját költségén megfelelő technikai és szervezési intézkedéseket vezet be és tart fenn a személyes adatoknak kezelésével kapcsolatban és biztosítja a GDPR 32. cikkében előírt adatbiztonsági intézkedéseket.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe veszi az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

9. Az adatfeldolgozó

Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés Rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben.

A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja.

b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.

c) meghozza a GDPR 32. cikkben előírt intézkedéseket.

d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan az előzőekben említett feltételeket.

e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.

f) segíti az adatkezelőt a GDPR 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat.

g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.

h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely a jelen szakaszban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Jelen pont alkalmazási körében az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

A szerződés tartalmazza továbbá különösen:

  • az adatkezelést, amelybe az Adatkezelő az adatfeldolgozót bevonta,
  • az adatfeldolgozó által ellátott adatkezelői tevékenységet,
  • az adatfeldolgozás időtartamát, jellegét és célját,
  • az adatfeldolgozásra átadott adatok típusát,
  • az adatfeldolgozással érintett érintettek kategóriáit,
  • az adatkezelő jogait és kötelezettségeit,
  • az adatfeldolgozó jogait és kötelezettségeit.

10. Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

11. A kezelt személyes adatok köre – általános bemutatás

Az Adatkezelő a tagsággal rendelkező gyermekek, felnőttek, törvényes képviselők, támogatók, kapcsolatfelvételt kezdeményező, oktatók, esetleg egyéb természetes személy, mint Érintettek a konkrét adatkezelési célhoz kötött személyes adatait kezeli.

Az adatkezelő az alábbi táblázatban nevesíti a teljesség igénye nélkül személyes adatokat és adatkezelési célokat, amelyek a konkrét adatkezelési tevékenység kapcsán külön adatkezelési tájékoztatóban rögzít és tesz megismerhetővé.

Kezelt adat Adatkezelési célok
Név:
az érintett azonosítását szolgálja valamennyi adatkezelési cél vonatkozásában.
Cím:
a számlakiállításhoz kapcsolódóan kezelt adat.
Elektronikus elérhetőség:
a kapcsolattartást szolgálja valamennyi adatkezelési cél vonatkozásában.
Telefonszám:
a kapcsolattartást szolgálja valamennyi adatkezelési cél vonatkozásában.
Természetes személyazonosító adatok: (anyja neve, születési hely és idő)
csak tagok esetében, az életkor és a születési hely és idő, anyja neve az érintett azonosítását szolgálja.
Az érintett egészségügyi adata
speciális úszásoktatás biztosítása céljából kezeli.
Szám- és könyvviteli kötelezettségek teljesítése érdekében rögzítendő adatok pl. adóazonosító jel, lakcím
a jogszabályi kötelezettségek teljesítése, jogszabályoknak megfelelő számlakiállítás.
Munkavállalók, egyéb foglalkoztatási jogviszonyban állók személyes adatai
a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése), az ezekkel kapcsolatos jogosultságok elismerése és kötelezettségek teljesítése, a munkaviszonnyal összefüggő kedvezmények biztosítása, kapcsolattartás (a munkaviszony teljesítésével összefüggő együttműködés és a szerződésekben kijelölt kapcsolattartói minőség a szerződéses kapcsolattartás és szerződés teljesítése céljából).

12. Az adatkezeléssel érintett személyek jogai és érvényesítésük

Az adatkezeléssel érintett személyek jogai

a.) Tájékoztatáshoz való jog

Amennyiben az érintett a GDPR 15. cikke szerinti hozzáférési jogával kíván élni, úgy az Adatkezelő az alábbiakról tájékoztatja:

− az adatkezelés célja vagy céljai,

− az érintett személyes adatok kategóriái,

− azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat az Adatkezelő már közölte vagy a jövőben közölni fogja,

− a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,

− a helyesbítési jog gyakorlásának szabályai,

− a törlési jog gyakorlásának szabályai,

− az adatkezelés korlátozására irányuló jog gyakorlásának szabályai,

− a tiltakozási jog gyakorlásának szabályai,

− a Nemzeti Adatvédelmi és Információszabadság Hatósághoz való panasz benyújtásának joga,

− ha a személyes adatok forrás nem az érintett, a forrásra vonatkozó minden elérhető információ,

− amennyiben az adatkezelés automatizált döntéshozatalon alapszik, úgy ennek ténye, valamint az alkalmazott logikára és arra vonatkozó érthető információk.

b.) Hozzáféréshez való jog: lásd a 12.a) pontban foglaltakat.

c.) Adatok helyesbítésének kérése

Amennyiben az érintett személyes adatának helyesbítését kéri és nem áll rendelkezésre a személyes adat, amelyre a már kezelt adatot helyesbíteni kell, hiánypótlásra hívja fel az Adatkezelő az érintettet.

Amennyiben az érintett személyes adatának helyesbítését kéri és a személyes adat rendelkezésre áll, az Adatkezelő a személyes adatot helyesbíti és azzal egyidőben írásban tájékoztatja az érintettet a helyesbítés tényéről és időpontjáról.

d.) Törléshez való jog

Az Adatkezelő az általa kezelt személyes adatot késeledelem nélkül törli, amennyiben az alábbi feltételek egyike megvalósul:

− A személyes adatokra már nincs szükség abból a célból, amelyből azt az Adatkezelő kezeli.

− Az adatkezelés jogalapja az érintett hozzájárulása és ezt a hozzájárulását az érintett visszavonja.

− Az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre.

− Az Adatkezelő tudomására jut, hogy a személyes adat kezelése jogellenes.

− Uniós vagy hatályos magyar jogban előírt jogi kötelezettség úgy teljesíthető, ha az Adatkezelő a személyes adatot törli.

− A személyes adat gyűjtése a 16. éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan kerül sor.

A személyes adatot az Adatkezelő olyan módon törli, hogy helyreállítása többé ne legyen lehetséges.

Amennyiben a személyes adat a személyes adatot hordozó adathordozóról nem törölhető, az Adatkezelő a személyes adat adathordozóját köteles megsemmisíteni.

e.) Az adatkezelés korlátozásához való jog

Az érintett kérelmezheti az Adatkezelőnél rá vonatkozóan az Adatkezelő által tárolt személyes adatok megjelölését jövőbeli kezelésük korlátozása céljából.
Az Adatkezelő az érintett kérelmére akkor korlátozza az adatkezelést, amennyiben az alábbi feltételek egyike fennáll:

− az érintett kérelmében vitatja a rá vonatkozó személyes adatok pontosságát, ebben az esetben a korlátozás arra az időtartamra vonatkozik, ameddig az Adatkezelő ellenőrzi a személyes adatok pontosságát,

− az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,

− bár az Adatkezelőnek az adatkezelés megkezdése előtt meghatározott cél eléréséhez már nincs szüksége a személyes adat kezelésére, de az érintett kérelmében igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,

− az érintett tiltakozik az adatkezelés ellen, ebben az esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

f.) Adathordozhatósághoz való jog

Amennyiben az adatkezelés jogalapja az érintetti hozzájárulás, vagy az adatkezelés szerződésen alapul, továbbá az adatkezelés automatizált módon történik, úgy az érintett jogosult arra, hogy az általa az Adatkezelő részére átadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja. Az Adatkezelő ezt különösen .xml, .doc, .jpeg, .pdf formátumban teljesíti a kérelemmel érintett személyes adatok jellegétől függően.

g.) Tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

Az Adatkezelő a tiltakozás esetén megvizsgálja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Amennyiben az Adatkezelő megállapítja, ha az előző pontban foglalt feltételek egyike sem áll fenn, a tiltakozással érintett személyes adatot nem kezeli tovább.

A jelen szabályzat alapján az érintett személy bármikor tájékoztatást kérhet személyes adatai kezeléséről, kérheti személyes adatainak helyesbítését, törlését, személyes adatai korlátozását, tiltakozhat a személyes adat kezelése ellen, visszavonhatja hozzájárulását az Adatkezelőhöz címzett levelében vagy elektronikus úton az Egyesület alábbi elérhetőségein:

Balatoni Péter Elnök
Email: iroda@utanpotlasert.hu
Telefonszám: +36209386219

Az Adatkezelő törekszik arra, hogy a tájékoztatás minden esetben a GDPR által meghatározott szabályok teljesítése mellett tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.

Az Adatkezelő az érintett számára tájékoztatást csak és kizárólag abban az esetben nyújt, ha erre felhatalmazott munkatársa meggyőződött az érintett személyazonosságáról.

Az Adatkezelő nem rendelkezik adatvédelmi tisztviselővel, kijelölésre nem köteles.

A beérkezett kérelmet rögzítjük és a beérkezésétől számított legkésőbb egy hónapon belül tájékoztatást adunk a megtett intézkedéseinkről. Ezt a határidőt további két hónappal hosszabbíthatjuk meg, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma ezt indokolja, ellenben erről a kérelem kézhezvételétől számított egy hónapon belül, elektronikus úton vagy a megadott elérhetőségen tájékoztatjuk.

Amennyiben nem intézkedünk vagy az intézkedést nem fogadja el az Érintett, úgy jogorvoslattal élhet. Adatkezelési eljárásunkkal kapcsolatos panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy a lakóhelye, vagy tartózkodási helye szerinti törvényszékhez fordulhat.

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Cím: 1055 Budapest, Falk Miksa u. 9-11.

Levelezési cím: 1363 Budapest, Pf.: 9.

E-mail cím: ugyfelszolgalat@naih.hu

Telefonos ügyfélszolgálat: +36 (30) 683-5969 és +36 (30) 549-6838

13. Nyilvántartások

Adatkezelési tevékenységek nyilvántartása.

A nyilvántartás elektronikusan vezetve, legalább a következő információkat tartalmazza:

  • az Adatkezelő neve és elérhetősége,
  • az adatbiztonságra vonatkozó technikai és szervezési intézkedések általános leírása jelen Szabályzat vagy egyéb, technikai és szervezési intézkedéseket tartalmazó egyéb belső szabályzat vonatkozó pontjára való utalással,
  • adatkezelésenként különösen:
    • adatkezelés céljai,
    • az érintettek kategóriái,
    • a személyes adatok kategóriái,
    • olyan címzettek kategóriái, akikkel a személyes adatokat az Adatkezelő közli, vagy várhatóan közölni fogja,
    • a különböző adatkategóriák törlésére előirányzott határidők, ha lehetséges.

GDPR 30. cikk (2) bekezdés szerinti adatfeldolgozói nyilvántartás.

Incidens nyilvántartás.

A nyilvántartás elektronikus, tartalmazza legalább:

  • az érintett személyes adatok körét,
  • az adatvédelmi incidenssel érintettek körét és számát,
  • az adatvédelmi incidens időpontját,
  • az adatvédelmi incidens körülményeit,
  • az adatvédelmi incidens hatásait,
  • az elhárítására megtett intézkedéseket,
  • az adatvédelmi incidens kivizsgálásának hatására bevezetett helyesbítő-megelőző intézkedéseket.

14. Adatvédelmi incidens

Az Adatkezelő minden munkatársa köteles a tudomására jutott adatvédelmi incidenst haladéktalanul jelenteni az Elnöknek, aki megkezdi az incidens kivizsgálását.

A jelentésnek legalább az alábbi adatokat tartalmaznia kell:

  • az adatvédelmi incidenst észlelő és bejelentő személy nevét, az észlelés és bekövetkezés időpontját,
  • az adatvédelmi incidens rövid leírását,
  • az incidens látható hatását az érintettekre, esetleg megtett intézkedést az incidens következményeinek orvoslására,
  • annak tényét, hogy az észlelt adatvédelmi incidens érinti-e az Adatkezelő informatikai rendszerét vagy sem.

Az Adatkezelő az alábbi információkat lehetőségéhez mérten köteles felderíteni és értékelni, valamint jegyzőkönyvben rögzíteni különösen:

  • incidensről tudomásszerződés időpontja és helye,
  • adatvédelmi incidens következett-e be,
  • az adatvédelmi incidens bekövetkezésének időpontja és helye,
  • az adatvédelmi incidens által érintett adatok köre, száma, jellege,
  • az adatvédelmi incidenssel érintett személyek köre és száma,
  • adatkezelés jellemzői,
  • incidens jellege, következménye (bizalmasság, integritás, rendelkezésre állás sérül),
  • incidens oka,
  • érintettre gyakorolt hatás, kockázatok1 felsorolását,
  • intézkedések a kockázat megszűntetésére, kizárására, mérséklésére.

Az adatvédelmi incidens értékelése:

kockázat: elhanyagolható, korlátozott, magas

kockázat bekövetkeztének valószínűsége: elhanyagolható, korlátozott, magas

Az adatvédelmi incidens bejelentése a Hatóság részére:
Az Elnök az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, indokolatlan késedelem nélkül, de legkésőbb az incidensről való tudomásszerszerzéstől számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, köteles ennek okát igazolni a Hatóság részére.
A hatósági bejelentésnek tartalmaznia kell különösen:
– az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
– az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
– az adatvédelmi incidens jellegét, körülményeit,
– az adatvédelemért felelős személy nevét és elérhetőségét,
– az adatvédelmi incidens valószínűsíthető következményeit,
– az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.
Az érintettek tájékoztatása az adatvédelmi incidensről:
Ha a vizsgálat eredményeként megállapítást nyer, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve és az érintettek tájékoztatása szükséges, az Elnök haladéktalanul értesíti az érintetteket.
Nem kell az érintetteket tájékoztatni:
– Ha az Egyesület olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét.
– Ha az adatvédelmi incidens bekövetkezését követően az Egyesület olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg.
– Ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.

Kockázat Leírása
Elhanyagolható
Valószínűsíthetően kockázattal nem járó incidens. Az adatvédelmi incidens valószínűsíthetően egyáltalán nem, vagy csak nagyon elhanyagolható kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
Korlátozott
Valószínűsíthetően alacsony kockázattal járó incidens. Az adatvédelmi incidensnek valószínűsíthetően van kockázata a természetes személyek jogaira és szabadságaira nézve, de ez a megfelelő szervezési és technikai intézkedésekkel könnyen mérsékelhető, kizárható.
Magas
Valószínűsíthetően magas kockázattal járó incidens. Az adatvédelmi incidensnek valószínűsíthetően magas kockázata van a természetes személyek jogaira és szabadságaira nézve.

Az Egyesület a kockázatelemzés során a „Kockázatelemzés módszertanára” ajánlást tekinti irányadónak, amelyet az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) tett közzé.2

15. Hatásvizsgálat

Az Egyesület egy új adatkezelés bevezetése előtt, egy adatkezelés változása esetén hatásvizsgálatot folytat le, vagy a GDPR-ban meghatározott esetben köteles lefolytatni. A hatásvizsgálat során az Egyesület az adatkezelésből származható érintettre ható kockázatokat tárja fel, elemzi.

Az adatvédelmi hatásvizsgálat az adatkezelés jellegének, körülményeinek, céljának, hatókörének feltárására irányul. Ebben a folyamatban vizsgáljuk az adatkezelés szükségességét, azaz az adatkezelő működéséhez valóban kell-e az adatkezelés, az adatkezelési műveletet, továbbá az érintettre nézve az adatkezelés arányosságát. Mérlegeljük, hogy az adatkezelés, mint művelet arányos beavatkozás az érintett életébe, jogaira és szabadságaira nézve.

Az adatvédelmi hatásvizsgálat a GDPR betartásának, bizonyításának és az elszámoltathatóság egyik eszköze.

Az adatvédelmi hatásvizsgálatnak ki kell terjednie legalább:

– a tervezett adatkezelési művelet módszeres leírására és az adatkezelés céljainak ismertetésére,

– ha a tervezett adatkezelés jogalapja az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges jogalap, akkor az Adatkezelő által érvényesíteni kívánt jogos érdekre,

– az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára,

– az érintett jogait és szabadságait érintő kockázatok vizsgálatára,

– a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a Rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

Amennyiben az elvégzett hatásvizsgálat azt állapítja meg, hogy az adatkezelési folyamat valószínűsíthetően magas kockázattal jár, vagy az Infotv. 25/G. § (3) bekezdése alapján az adatkezelés magas kockázatát vélelmezni kell, akkor az Adatkezelő az adatkezelési folyamat megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

16. Vegyes és záró rendelkezések

Jelen 2023. 01. 01. napján 01/2023 sz. határozattal elfogadott Szabályzat az aláírás napján lép hatályba, és ezzel egyidejűleg a 2021.04.01. napján hatályba lépett 1/2021. sz. határozattal elfogadott Szabályzat hatályát veszti.

1 GDPR (75) és (85) preambulumbekezdései

2 European Union Agency for Network and Information Security: Recommendations for a methodology of the assessment of severity of personal data breaches: https://www.enisa.europa.eu/publications/dbn-severity