Adatvédelem

Vaskakas Bábszínház

9022 Győr, Czuczor Gergely u. 17.

Honlap: https://vaskakas.hu 

Telefon: +36 96 512 690
Tel.: +36 20 261 5965
Email: vaskakas@vaskakas.hu 

A VASKAKAS BÁBSZÍNHÁZ

ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA

Hatályos: 2022. november 1-től

  1. Bevezetés

a Vaskakas Bábszínház (székhelye: 9022 Győr, Czuczor Gergely u. 17., képviseli: Kocsis Rozi igazgató), a továbbiakban: Adatkezelő), mint adatkezelő, magára nézve kötelezőnek ismeri el jelen Szabályzat tartalmát. Kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés megfelel a jelen szabályzatban és a hatályos jogszabályokban meghatározott elvárásoknak.

Az Adatkezelő elkötelezett a személyes adatok védelmében, kiemelten fontosnak tartja az érintett személyek, beleértve munkavállalói és szerződéses partnerei információs önrendelkezési jogának tiszteletben tartását. Adatkezelő a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.

Adatkezelő az alábbiakban ismerteti adatkezelési elveit, bemutatja azokat az elvárásokat,  amelyeket saját magával, mint adatkezelővel szemben megfogalmazott, és betart. Adatkezelési alapelvei, szabályai összhangban vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban Info törvény) szabályaival.

  1. Fogalmak

1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 

2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; 

3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából; 

4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják; 

5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni; 

6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető; 

7. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; 

8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; 

9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak; 

10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy  bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak; 

11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez; 

12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; 

13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered; 

14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat; 

15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról; 

16. „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában; 

17. „személyes adatok határokon átnyúló adatkezelése”: a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket; 

18. „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét; 

19. „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás; 

20. „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

  1. A Szabályzat tárgyi és személyi hatálya

A Szabályzat tárgyi hatálya kiterjed az Adatkezelőnél személyes adatokkal végzett minden adatkezelésre és adatfeldolgozásra, függetlenül annak kezelési módjától

A Szabályzat személyi hatálya kiterjed az Adatkezelőnél munkavégzésre irányuló jogviszonyban álló valamennyi személyre, az Adatkezelő ügyfeleire és az ő törvényes képviselőikre.

Jelen szabályzat területi hatálya kiterjed az Adatkezelő székhelyére és mindenkori működési helyére. 

  1. Az adatkezelés elvei

A személyes adatok: 

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”); 

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztet-hetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”); 

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”); 

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”); 

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”); 

Az adatmegsemmisítés jegyzőkönyve jelen szabályzat 10. számú mellékletét képezi.

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). 

Az adatkezelő felelős az fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

Fenti elvek érvényesülésének segítése érdekében az adatkezelő a tervezett új adatkezeléseket megfelelő időben, de mindenképpen a tervezett új adatkezelést megelőző 30 nappal előbb bejelenti az adatvédelmi tisztviselő részére a 5. számú melléklet alkalmazása révén. Új adatkezelés nem történhet az adatvédelmi tisztviselő véleményének kikérése, a megfelelő adatvédelmi tájékoztató elkészítése és közzététele, illetve az esetlegesen elkészítendő egyéb dokumentumok elkészítése, módosítása nélkül.

  1. Az adatkezelés jogszerűsége

Az adatkezelés jogalapját az Adatkezelő minden adatkezelési folyamatnál meghatározza. Az adatkezelésre jogalapot csak a GDPR 6. cikk (1) és 9. cikk (2) bekezdésekben rögzítettek szerint határoz meg a Szervezet.

Adatkezelő az adatkezelési rendszerét úgy alakítja ki, hogy minden személyes adatra vonatkozóan bizonyítani tudja, mikor, milyen formában történt a személyes adat felvétele és milyen tájékoztatást kapott az érintett a személyes adat felvételekor.   

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül, azaz valamelyik jogalap az adatkezelő rendelkezésére áll.

  1. Érintett hozzájárulása:

1) Amennyiben az adatkezelés az érintett hozzájárulásán alapszik, úgy az érintett hozzájárulását bizonyítható módon be kell szerezni. Ráutaló magatartással kivételes esetben járulhat hozzá az érintett az adatkezeléshez.

Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt, vagy nyilvánosságra hozatal céljából általa átadott adatok tekintetében. Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.

2) Adatkezelő valamennyi adatkezelési folyamatát úgy határozza meg jelen Szabályzat kiadásakor és minden, a későbbiekben bevezetendő adatkezelés esetén, hogy ha annak jogalapja az érintett hozzájárulása, úgy képes legyen annak bizonyítására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

3) Az érintett hozzájárulása csak abban az esetben tekinthető megfelelőnek, ha az önkéntes és megfelelő (előzetes) tájékoztatáson alapul. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely egyidejűleg más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Amennyiben az érintett hozzájárulása nem állapítható meg egyértelműen, illetve nem igazolható, hogy az megfelelő tájékoztatáson alapult, a hozzájárulás nem szolgálhat az adatkezelés jogalapjaként. 

5) Az érintett hozzájárulásának az egyes ügyek vonatkozásában jól elkülöníthetőnek kell lennie. 

6) A hozzájáruló nyilatkozat bármely olyan részét, amely a GDPR rendelkezéseivel ellentétes, érvénytelennek kell tekinteni. 

8) Az érintett a hozzájárulását bármikor visszavonhatja. A ráutaló magatartással megtett hozzájárulás csak írásban vonható vissza. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon, világos, és egyértelmű módon teszi lehetővé Adatkezelő, mint annak megadását. 

Az adatkezelő munkatársa a visszavonás tényét az adatkezelés során rögzíti, az adatot a továbbiakban nem kezeli, de az adat helyét „a hozzájárulás visszavonva” jelzéssel jelöli meg.

A hozzájárulás általános mintája jelen szabályzat 9. számú mellékletében található, írásbeli hozzájárulását az adatkezeléshez azonban a mintától függetlenül is kiállíthatja, megadhatja az érintett személy.

b) szerződés teljesítése: 

Az adatkezelés ebben az esetben olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

c) jogi kötelezettség teljesítése: 

Az adatkezelés ezen jogalap esetén az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Jogi kötelezettség alatt az uniós vagy magyar jogszabályi rendelkezéseket kell érteni.

d) Jogos érdek: 

Ebben az esetben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. A jogos érdeken alapuló adatkezelés meghatározása előtt el kell végezni az ún. érdekmérlegelési tesztet (4. sz. melléklet), amelynek során először azonosítani kell az adatkezelő jogos érdekét, a súlyozás ellenpontját képező adatalanyi érdeket és az érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat. Az érdekmérlegelési tesztet az Adatkezelő feladat ellátással érintett munkatársa, illetve az új adatkezelést kezdeményező, illetve az adatkezelést meghatározó szervezeti egység vezetője készíti el. Ezt követően az adatkezelő érintett munkatársa, vagy az adatkezelő képviselője az érdekmérlegelési tesztet megküldi az adatvédelmi tisztviselőnek az új adatkezelés GDPR-nak való megfelelés szempontjából történő előzetes véleményezése érdekében. Az adatvédelmi tisztviselő az utolsó kért információt követő 5 munkanapon belül megadja véleményét. Az adatvédelmi tisztviselő feladata a kapott információk alapján további információ kérése, illetve a rendelkezésre bocsátott információk véleményezése, nem feladata az adatkezelő által adott információk valódiságának és teljességének vizsgálata. Az adatkezelés megkezdése előtt az adatkezelő az adatvédelmi tisztviselő írásos véleményének figyelembevétele mellett dönt az adatkezelés megkezdéséről, annak kialakításáról. Az adatvédelmi tisztviselő által véleményezett érdekmérlegelési teszteket az adatkezelő tartja nyilván.

Érdekmérlegelés alapján személyes adat kezelésére az érintett további külön hozzájárulása nélkül, valamint a hozzájárulásának a visszavonását követően kerülhet sor az alábbi feltételek fennállása esetén:

  • a személyes adatok felvételére az érintett hozzájárulásával került sor,
  • az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából vagy
  • az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából kerül sor, feltéve, hogy ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

A jogos érdekre hivatkozás nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

e) Létfontosságú érdek: 

Az ebben az esetben történő adatkezelés az érintett életének vagy más természetes személy létfontosságú érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. (Létfontosságú érdekre hivatkozással történhet pl. az adatkezelés humanitárius katasztrófák esetében, ideértve, azt az esetet is, ha arra a járványok és terjedéseik nyomon követéséhez van szükség.)

f) Közérdek, vagy közhatalmi jogosítvány gyakorlásának keretében feladat végrehajtása: 

Az adatkezelés ebben az esetben közérdekű feladat, vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. Az adatkezelés jogalapját az uniós, vagy a magyar jog állapíthatja meg. 

  1. A személyes adatok különleges kategóriáinak kezelése

A különleges adatok kategóriái különösen: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. A GDPR szerint a különleges adatok kezelése csak az alábbi kivételes esetekben lehetséges:

a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, és uniós vagy tagállami jog nem tiltja a hozzájárulás-adást.

b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi; 

c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni; 

d)az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára; 

e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott; 

f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el; 

g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő; 

h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a GDPR-ban említett feltételekre és garanciákra figyelemmel; 

i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan; 

j) az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő; 

    1. Munkaügyi adatkezelések

Az adatkezelőnek a munkaügyi adatkezelések tekintetében az adatvédelmi előírásokat a munkavégzésre irányuló jogviszonyokat szabályozó speciális munkajogi szabályok rendelkezéseivel összhangban kell értelmeznie és alkalmaznia. A dolgozók személyes adatai kizárólag célhoz kötötten, a jogviszony létesítésével, teljesítésével, fenntartásával vagy megszűnésével kapcsolatban kezelhetők. Új belépő munkavállalót munkába állásának napján egyértelműen és részletesen írásban tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról és arról, hogy kik ismerhetik meg az adatokat. A foglalkoztatottak személyi adatait Adatkezelő részben az érintett hozzájárulása alapján, részben jogszabályi előírások alapján kezeli.

Az Adatkezelőnél foglalkoztatottak jogviszonyára 

  • a Munka Törvénykönyvéről szóló 2012. évi I. törvény és
  • az előadó-művészeti szervezetek támogatásáról és sajátos foglalkoztatási szabályairól szóló 2008. évi XCIX. törvény
  • az előadó-művészeti szervezetek támogatásáról és sajátos foglalkoztatási szabályairól szóló 2008. évi XCIX. törvény felhatalmazása alapján az egyes művészi és művészeti munkakörökről, valamint a betöltésükhöz szükséges képesítési és egyéb feltételek részletes szabályairól szóló 122/2011. (VII. 15.) Korm. rendelet előírásait kell alkalmazni.

6.1.1. A munkavállalók foglalkoztatással összefüggő adatainak kezelésére vonatkozó szabályok:

A munkavállalók adatait tartalmazó adathordozókat rendezetten, biztonságos helyen kell tárolni. 

A munkavállalók adatkezelését az igazgató/intézményvezető (igazgató továbbiakban: intézményvezető) által kijelölt munkaügyi ügyintéző(k) végzik, az adminisztrációs feladatokat ellátó munkatárs(ak) közreműködésével. 

Az adatkezelés során gondoskodni kell arról, hogy – személyi iratra csak olyan adat, illetve megállapítás kerülhessen, amelynek alapja közokirat, vagy a munkavállaló írásbeli nyilatkozata, rendelkezése, bíróság, vagy más hatóság döntése, jogszabályi rendelkezése. 

A jogviszonnyal összefüggő adat helyesbítésre és törlésre kerül, ha a személyi iraton szereplő adat már nem megfelelő, illetve, ha a munkavállaló írásbeli hozzájárulásának beszerzése az önkéntes adatszolgáltatás körébe tartozó adatok nyilvántartását megelőzően nem történt meg. 

A munkavállaló személyes adatai az arra jogosult szervek (pl. bíróság stb.) számára írásos megkeresést követően, postai úton ajánlott küldeményként, ill. e-mailben (kézbesítési visszaigazolást kérve), vagy személyesen átvételi elismervény kiállítását követően továbbíthatók.

Adattovábbításra az intézményvezető jogosult, az erre kijelölt adminisztrációs feladatokat ellátó munkatárs közreműködésével. 

A munkavállaló jogai és kötelezettségei

A munkavállaló saját személyi anyagába, a róla vezetett, személyes adatait tartalmazó nyilvántartások rá vonatkozó részébe betekinthet, azokról másolatot vagy kivonatot kérhet, illetve kérheti adatai helyesbítését, kijavítását. 

A munkavállaló az általa szolgáltatott adatai helyesbítését és kijavítását az intézményvezetőtől írásban kérheti. Az intézményvezető – az erre kijelölt adminisztrátor útján is – a kérelem indokait alátámasztó okirat bemutatását is kérheti. A munkavállaló felelős azért, hogy az általa a munkáltató részére átadott, bejelentett adatok hitelesek, pontosak, teljesek és aktuálisak legyenek. 

A munkavállaló adatainak változásáról 8 napon belül értesíti az intézményvezetőt/a munkaügyi feladatokat ellátó ügyintézőt, aki 3 napon belül köteles intézkedni és az adatokat aktualizálni. 

A személyi irat 

Munkavállalói szempontból személyi irat minden adathordozó, amely a munkaviszony létesítésekor, fennállása alatt, megszűnésekor, illetve azt követően keletkezik és a munkavállaló személyével összefüggésben adatot, megállapítást tartalmaz. 

A személyi iratok körébe az alábbiak sorolandók: munkaszerződés, munkaviszony létesítésével, módosításával kapcsolatos dokumentumok, a munkaviszonnyal összefüggő egyéb iratok és a munkavállaló saját kérelmére kiállított, vagy önként átadott adatokat tartalmazó iratok. 

Személyi irat, illetve az abban található személyes adatok kezelése

A személyi iratokba betekinteni jogosult szervek és személyek: intézményvezető, a munkaügyi feladatokat ellátó ügyintéző(k), a munkavállaló felettese(i), a bérszámfejtést végző, feladatkörének keretei között a törvényességi ellenőrzést végző szerv, fegyelmi eljárást lefolytató testület vagy személy. Ezen túl személyi iratok, vagy az azokban található egyes adatok csak jogszabály által szabályozott módon adhatók át más személyek, szervek, hatóságok, bíróságok részére. 

A munkaviszony jogviszony létesítésekor összeállításra kerül a munkavállaló személyi anyaga, melynek részei: önéletrajz, végzettséget, szakképzettséget igazoló dokumentumok másolata, hatósági erkölcsi bizonyítvány bemutatásakor készült feljegyzés/jegyzőkönyv, adatkezeléshez történő hozzájárulás, munkaszerződés és a munkaviszony létesítésével kapcsolatos dokumentumok, a korábbi jogviszonyokat igazoló dokumentumok, nyilatkozatok, munkaköri leírás, munkaköri alkalmasság igazolása, továbbképzési igazolások. 

Az erkölcsi bizonyítványok kezelése:

A munkaviszony létesítéséhez minden esetben – a Munka Törvénykönyvének 44/A. §-ában előírtak alapján – eredeti hatósági erkölcsi bizonyítvány bemutatását kéri a munkára jelentkezőktől az Adatkezelő. Az erkölcsi bizonyítvány ellenőrzését az intézményvezető, vagy az általa megbízott, adminisztrátori feladatokat ellátó személy látja el. Ennek során ellenőrzésre kerül az okirat 

  1. érvényessége és
  2. tartalma.

Hatósági erkölcsi bizonyítványban található adatot Adatkezelő az érintett hozzájárulása alapján kezel, melyet megelőzően tájékoztatja az érintettet az adatkezelés céljáról, mely a munkakörre való érdemesség eldöntése. 

Annak érdekében, hogy Adatkezelő bizonyítani tudja, hogy a felvételi eljárás során megvizsgálta az erkölcsi bizonyítvány érvényességét, az Adatkezelő intézményvezetője, vagy az általa megbízott, adminisztrátori feladatokat végző személy feljegyzést készít a bemutatott eredeti hatósági erkölcsi bizonyítvány 

  • kiállításának dátumáról,
  • okmányszámáról
  • a kapcsolódó kérelem azonosítójáról. 

A feljegyzésben rögzítendő adatok nem bűnügyi személyes adatok. Ezen adatok alapján a BM Nyilvántartások Vezetéséért Felelős Helyettes Államtitkárság rendszerében utólag minden, 2013. 01. 01-ét követően kiállított erkölcsi bizonyítvány valódisága és tartalma ellenőrizhető. 

Adatkezelő a munkaviszony fennállása alatt nem tárol és nem továbbít erkölcsi bizonyítványt sem eredeti formában, sem fénymásolatként. A személyesen bemutatott okirat minden esetben az érintettnél marad. 

6.1.2. Harmadik személyek munkaviszonnyal kapcsolatosan megadott személyes adatainak kezelése

A munkaviszony kapcsán beszerzett harmadik személy adatai (pl. pótszabadság, családi adókedvezmény kapcsán vagy baleset esetén értesítendő személy megjelölésekor) a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők.

Abban az esetben, ha a foglalkoztatott harmadik személy adatait adja meg, úgy a harmadik személytől köteles az adatkezeléshez a harmadik személy hozzájárulását megszerezni, mellyel Adatkezelő igazolni tudja, hogy a harmadik személy adatainak kezelésére felhatalmazással rendelkezik. A nyilatkozat a jelen szabályzat 8. sz. mellékletét képezi. 

6.1.3. Munkavállalók technikai eszközeinek ellenőrzésével kapcsolatos adatkezelés

Adatkezelő mint munkáltató a munkaviszonnyal összefüggő magatartása körében ellenőrizheti a foglalkoztatottakat. Az ellenőrzésre az Mt. 11. § (1)-(2) bekezdése ad jogalapot. Az Adatkezelő ellenőrzése körében a Munka Törvénykönyvének betartásával jár el. Adatkezelő előzetesen tájékoztatja a foglalkoztatottakat azoknak a technikai eszközöknek az alkalmazásáról, amelyek a foglalkoztatott ellenőrzésére szolgálnak. 

Adatkezelő a munkavállalóknak indokolt esetben, munkavégzés céljára biztosít számítógépet, e-mail címet és internet-hozzáférést. Ezen eszközöket az Adatkezelő munkavégzés céljából biztosítja, azokon magáncélú személyes adatok tárolása tilos, a foglalkoztatott rendelkezésére bocsátott e-mail fiók személyes levelezési célra nem használható. Amennyiben ezen eszközök ellenőrzésére sor kerül, az esetleges tiltás ellenére tárolt személyes adatokat Adatkezelő megismerheti. Magáncélú személyes adatokat a munkavállaló a magyar adatvédelmi hatóság irányelvei szerint ismerheti meg a foglalkoztatottak részére átadott eszközök esetében. 

6.1.4. Egészségügyi alkalmassággal kapcsolatos egészségügyi adatok kezelése

Adatkezelő az egészségügyi alkalmasság eldöntése céljából egészségügyi szolgáltatótól származó alkalmassági eredmény alapján dönt az adott (leendő) munkavállaló egészségügyi alkalmasságáról. Adatkezelő kizárólag az egészségügyi alkalmasság tényét bizonyító adatot kezeli. 

Amennyiben a munkaviszony létrejöttének folyamata során derül ki, hogy az adott érintett alkalmatlan a munkakör betöltésére és emiatt a munkaviszony nem jön létre vagy ennek hatására szűnik meg, úgy az adatkezelés határideje és módja is ezzel párhuzamos.

6.2 Álláspályázatok kezelése

Anonimizált álláshirdetések közzététele tilos. 

A pályázati felhívásban meg kell jelölni:

a)  a munkáltató és a betöltendő munkakör, vezetői beosztás megnevezését,

b)  a munkakörbe tartozó, illetve a beosztással járó lényeges feladatokat,

c) a pályázat elnyerésének valamennyi feltételét,

d) a pályázat részeként benyújtandó iratokat, igazolásokat, továbbá

e) a pályázat benyújtásának feltételeit és elbírálásának határidejét.

A pályázó minden esetben (pályázati felhívás és anélkül történő álláspályázás esetén is) köteles a pályázatához csatolni az arról szóló nyilatkozatát, hogy a pályázati anyagában foglalt személyes adatainak a pályázati eljárással összefüggésben szükséges kezeléséhez hozzájárul. Ilyen hozzájárulás hiányában a pályázati anyagban található, illetve az érintetthez tartozó személyes adat nem kezelhető, annak adathordozóját – a hiányosság észlelését követően – haladéktalanul vissza kell juttatni az érintett részére (amennyiben a küldemény az Adatkezelőhöz visszaérkezik, a dokumentumot a visszaérkezés napján meg kell semmisíteni), illetve az e-mailben benyújtott pályázati anyagot az érintett értesítését követően haladéktalanul meg kell semmisíteni.

Az álláspályázatok, kapcsolódó dokumentumok (önéletrajz, motivációs levél, végzettséget tanúsító okiratok másolatai, erkölcsi bizonyítvány másolata stb.) adatkezelésének jogalapja az érintett előzetes tájékoztatáson alapuló önkéntes hozzájárulása, melyet egyoldalú jognyilatkozatával bármikor megszüntethet. Az adatkezelő az álláspályázatokkal kapcsolatosan tudomására jutott adatokat, kizárólag az álláspályázatok elbírálása céljából kezeli. 

Az intézmény az álláspályázótól kizárólag a hatósági erkölcsi bizonyítvány másolatát kéri. Amennyiben a pályázó személyesen eredeti erkölcsi bizonyítványt juttat el az intézmény részére, abban az esetben a pályázatot átvevő intézményi munkatárs köteles lefénymásolni az okiratot, és az eredetit visszaadni a pályázó részére. Személyesen benyújtott pályázat esetén az erkölcsi bizonyítvány másolati példányait kezeli az intézmény. Amennyiben a pályázó postai úton eredeti erkölcsi bizonyítványt küld az intézménynek, akkor az abban foglalt személyes adatokat az intézmény a munkaviszony létesítéséről meghozott döntés időpontjáig kezeli, ezt követően azt visszajuttatja az érintettnek. Amennyiben a küldemény az Adatkezelőhöz visszaérkezik, a dokumentum a visszaérkezés napján megsemmisítésre kerül.

A benyújtott pályázatokat, pályázó által beküldött dokumentumokat – benyújtásuk módjától függetlenül – iktatni szükséges.

Az álláspályázattal kapcsolatos dokumentumokban szereplő személyes adatok megismerésére (mind a papír alapon érkező, mind az e-mailben benyújtott pályázatok esetében) jogosult az intézményvezető, helyettese, az intézményvezető általa felkért szakmai vezető(k), valamint az intézményvezető által erre kijelölt adminisztrátor (gazdasági ügyintéző). A pályázók személyes adatait megismerni jogosultak a megszerzett információkat kötelesek bizalmasan kezelni. 

Az elektronikusan benyújtott pályázatok dokumentumait az intézményvezető által kijelölt szakmai vezető(k) kinyomtatja, majd nyomtatást követően az elektronikus üzenet – valamennyi mellékletével együtt – mentés és továbbítás nélkül visszaállíthatatlan módon törlésre kerül.

A beérkező kinyomtatott és papír alapú pályázatokat a pályázat benyújtására nyitva álló idő elteltéig az intézményvezető által kijelölt gazdasági ügyintéző zárható szekrényben a pályázattal nem érintettek személyes adataitól elkülönülten tárolja.

Az Intézményhez érkező pályázatokat az intézményvezető és/vagy helyettese, illetve az intézményvezető által erre kijelölt szakmai vezető tekinti át. A kiválasztási eljárásban érintett pályázók személyes meghallgatásán az intézményvezető, helyettese és az intézményvezető által kijelölt szakmai vezetők(k), munkatársak vesz(nek), vehetnek részt. A pályázati anyagokról, a meghallgatáson elhangzottakról feljegyzések, az érintettről levont következtetések írásban a kiválasztási eljárás egyetlen szakaszában sem készülnek. 

Az intézmény az álláspályázatot beküldők, illetve az intézményhez munkára jelentkezők nyilvános közösségi profilját nem ellenőrzi. Tilos létrehozni közösségi oldalon álprofilt, illetve a jelentkező által a nem mindenki számára nyilvánossá tett adatainak a megismerése érdekében bármilyen intézkedést tenni.

Az állást meghirdető (illetve spontán pályázatot fogadó) intézmény munkatársa nem jogosult a pályázó korábbi munkáltatójától a pályázóra vonatkozó információkat gyűjteni. Ahhoz, hogy a jelentkező másik munkáltatónál jogszerűen leinformálható legyen, ezt megelőzően be kell szerezni az érintett írásbeli hozzájárulását. 

A megfelelő jelölt kiválasztásával, vagy a pályázati eljárás eredménytelennek nyilvánításával – a kiválasztási eljárás lezárul. 

Az intézményvezető által kijelölt adminisztrátor (gazdasági ügyintéző) a kiválasztási eljárás során hozott döntésről a döntést követő 10 munkanapon belül írásban értesíti a nem nyertes pályázókat. Azon nem nyertes pályázók, akik e-mailben nyújtották be pályázatukat, e-mailben kapnak tájékoztatást. 

A pályázati kiírás nélküli álláspályázók pályázatuk Adatkezelőhöz érkezését követő 3 munkanapon belül értesítést kapnak arról, hogy az intézménynél nincs álláshely (13. sz. melléklet), és a másolati anyagként beküldött pályázati anyag az értesítés napján megsemmisítésre kerül; illetve a beküldött eredeti dokumentumot részére visszaküldi az intézmény, amennyiben pedig a küldemény az Adatkezelőhöz visszaérkezik, a dokumentum a visszaérkezés napján kerül megsemmisítésre.

Pályázati kiírás esetén az intézmény a nem nyertes pályázók által megküldött, másolatban rendelkezésre álló pályázati dokumentumokat a döntésről történő értesítés napján, jegyzőkönyv felvétele mellett megsemmisíti. Azon nem nyertes pályázók részére, akik eredeti dokumentumokat csatoltak pályázatukhoz, az Adatkezelő visszaküldi a benyújtott okiratot a pályázat eredményéről történő értesítéssel egyidejűleg. A pályázó által át nem vett küldeményt, illetve az abban található személyes adatokat, visszaérkezés esetén a visszaérkezés napján az Adatkezelő megsemmisíti.

Valamennyi adatmegsemmisítés alkalmával Adatkezelő jegyzőkönyvet állít ki a 10. sz. melléklet szerint. 

A nem nyertes pályázók értesítése a 12. sz. melléklet szerint történik. 

6.3.COOKIE (süti) alkalmazása az intézmény honlapján

Célja különböző lehet: információ gyűjtés, hogy hogyan használja az érintett adatkezelő weboldalát, megjegyzi a látogató egyéni beállításait, megkönnyíti a weboldal használatát a felhasználók számára stb. Kapcsolódhatnak munkamenethez, használat elősegítéséhez stb. 

Az Adatkezelő az általa üzemeltetett weboldalak látogatásakor sem a felhasználó IP címét, sem más személyes adatot nem rögzít. Az Adatkezelő által üzemeltetett weboldalak html kódja web-analitikai mérések céljából független, külső szerverről érkező és külső szerverre mutató hivatkozásokat tartalmazhat. A mérés kiterjed a konverziók követésére is. A web-analitikai szolgáltató személyes adatokat nem, csak a böngészéssel kapcsolatos, az egyes egyének beazonosítására nem alkalmas adatokat kezel. 

6.4. Gyermekekkel és harmadik személyekkel kapcsolatos személyes adatok

A GDPR rendelkezései szerint 14. éven aluli gyermekek nem adhatnak meg magukról személyes adatot, a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adhatja meg, illetve engedélyezheti az adatkezelést. A személyes adatok Adatkezelő rendelkezésére bocsátásával Érintett képviselője kijelenti, hogy a fentiekre figyelemmel jár el.

Ha Érintett önállóan nem jogosult a személyes adatainak az Adatkezelő rendelkezésre bocsátására, akkor az Érintett harmadik személyek (szülői felügyeletet gyakorló személyek pl. szülő, törvényes képviselő) járnak el. Az Adatkezelő a szolgáltatás igénybevétele és nyújtása során nem minden esetben szerez arról tudomást, hogy valamely harmadik személy hozzájárulására van szükség a szolgáltatás igénybevételéhez (pl. ha a kiskorú gyermek szüleinek házassága felbontásra került és szülői felügyeleti jogukat csak közösen gyakorolhatják), így a jelen pontnak való megfelelést az Érintett, illetve az Érintett érdekében eljáró személy köteles biztosítani, az Adatkezelőt ezzel összefüggésben felelősség nem terheli. 

Az Adatkezelő fenntartja magának a jogot annak ellenőrzésére, hogy valamely személyes adat kezelésére a megfelelő jogalap, illetve a jogszerű kezelés feltételei fennállnak-e. Például, ha egy személy harmadik személy nevében jár el, az Adatkezelő jogosult kérni az eljáró részére adott meghatalmazást és/vagy az Érintett személy megfelelő adatkezelési hozzájárulását az adott ügyre vonatkozóan.

6.5. Az Adatkezelő által szervezett programokkal kapcsolatos adatkezelés

Adatkezelő regisztrációhoz nem kötött (nyílt), előzetes regisztrációhoz kötött (de nyitott) és csak meghívottaknak szóló (zárt) programokat is szervezhet. 

A nyílt programokon bárki részt vehet, a regisztrációhoz kötött rendezvényeken viszont csak azok vehetnek részt, akik a regisztrációhoz feltétlenül szükséges személyes adataikat (e-mail cím) az Adatkezelő rendelkezésére bocsátják. A csak meghívottak számára rendezett programokon való részvételhez szükséges a jelentkezéshez vagy meghíváshoz szükséges személyes adatok kezelése.

A fenti programokon a részt vevők részvételükkel elfogadják, hogy az esemény dokumentálása érdekében esetenként kép- és hangfelvétel készülhet. A fényképek a résztvevőkről – kivéve egyes különös, külön hozzájárulást igénylő eseteket – kizárólagosan ún. tömegfelvételként kerülnek elkészítésre. A felvételeket Adatkezelő esetenként közzéteheti honlapján és közösségi média oldalain, illetve a támogatással megvalósuló rendezvényeken készített felvételek bekerülhetnek a szakmai beszámolóba. A támogatással készült események felvételei, amik bekerülnek a szakmai beszámolókba, közzétételre kerülnek Adatkezelő honlapján, illetve esetenként a támogató által meghatározott honlapon.

A közzétett és megőrzött felvételek esetén az Érintetteket a jelen szabályzat 11. pontjában részletezett jogosultságok illetik meg.

A felvételek az Adatkezelő rendelkezésére álló készülékkel, vagy az általa jogszerűen megbízott személy készülékével kerülnek rögzítésre. Amennyiben az adatkezelő szakembert bíz meg a felvételek elkészítésével, akkor szerződést kell vele kötni, melyben a felvételeket készítő/továbbító személy vállalja, hogy a felvételek átadása után azokat más célra nem használja fel és törli azokat minden helyről vissza nem állítható módon.

A felvételt (fotó és/vagy videó) a nyilvánosságra hozatalt követően az internetes technológia természetéből fakadóan más médiatartalom-szolgáltató is átveheti, másolhatja, saját médiaszolgáltató felületén közreadhatja. 

A felvételen szereplő személyek, illetve azok törvényes képviselői a felvétel jogszerű felhasználásáért díjazásra nem jogosultak. Az adatkezelőt nem terheli felelősség a felvétel(ek) harmadik személy(ek) általi jogtalan felhasználásáért.

A digitális negatívok, másolatok és a sokszorosítással létrejött felvételek az adatkezelő tulajdonát képezik, a szerzői jogok őt illetik. 

Adatkezelő a székhelyén, telephelyén– általa erre szerződésben meg nem bízott – harmadik személyek által készített felvételekért felelősséget nem vállal.

6.6. Hírlevél, e-mail küldési szolgáltatással kapcsolatos adatkezelés

Érintett hozzájárulhat ahhoz, hogy részére Adatkezelő e-mailt, illetve e-mailben hírlevelet, tájékoztatást küldjön szolgáltatásairól, programjairól, újdonságairól, figyelemfelhívó ajánlásairól (VIP-tagok). A hírlevélre való feliratkozáshoz az e-mail cím megadása kötelező, ez elengedhetetlen az üzenetek kézbesítéséhez. A megadott személyes adatok valódiságáért az érintett felhasználó felel. A szolgáltatás(ok) megszüntetését érintett bármikor kérheti. Adatkezelő biztosítja, hogy a szolgáltatás(ok)sal kapcsolatosan kezelt személyes adatokhoz illetéktelenek nem férhetnek hozzá.  

  1. Az adatkezelés időtartama, további adatkezelés

Az adatkezelésre a „korlátozott tárolhatóság” elvénél leírtak szerinti időpontig kerül sor.  

Amennyiben az adatkezelő további adatkezelést kíván végezni, akkor előzetes tájékoztatatást nyújt az adatkezelés lényeges körülményeiről (adatkezelés jogszabályi háttere és jogalapja, az adatkezelés célja, a kezelt adatok köre, az adatkezelés időtartama). Az adatkezelő felhívja az érintett figyelmét arra, hogy a hatóságok törvényi felhatalmazáson alapuló, írásbeli adatkéréseit az adatkezelő köteles teljesíteni.

  1. Adattovábbítás

Az adattovábbítás jogalapja az érintett önkéntes hozzájárulása, vagy jogszabályi előírás. 

Az adatkezelő meghatározott hatóságok számára törvényi előírás alapján köteles az adattovábbításra, azonban az ilyen továbbításokról az Info törvény 15. § (2)-(3) bekezdésével összhangban nyilvántartást vezet (mely hatóságnak, milyen személyes adatot, milyen jogalapon, mikor továbbított az Adatkezelő), amelynek tartalmáról az érintett kérésére az adatkezelő tájékoztatást nyújt, kivéve, ha a tájékoztatását törvény kizárja.

  1. Az adatbiztonság

9.1. Az adatkezelés biztonsága 

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a) a személyes adatok álnevesítését és titkosítását; 

b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét; 

c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; 

d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. 

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek. 

Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket. 

9.2. Az adatvédelmi incidens, bejelentése a felügyeleti hatóságnak, érintett tájékoztatása 

Adatvédelmi incidensnek minősül a GDPR szerint a biztonság olyan sérülése, amely a kezelt személyes adatok

véletlen vagy jogellenes megsemmisítését,

véletlen vagy jogellenes elvesztését,

véletlen vagy jogellenes megváltoztatását,

jogosulatlan közzétételét,

az azokhoz való jogosulatlan hozzáférést eredményezi.

 Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. 

A „tudomásra jutás” megállapításához egy „ésszerű fokú bizonyosság” szükséges: meg kell tudni állapítani, hogy a bekövetkezett incidens valószínűsíthetően jelent-e veszélyt, kockázatot a személyes adatokra nézve. Ennek megfelelően az ennek megállapításához szükséges rövid idejű kivizsgálás időtartama nem számít bele a 72 órába. 

A tudomásszerzés történhet az érintettől, a médiából, az adatkezelő észlelése révén, adatfeldolgozó igénybevétele esetén az adatfeldolgozótól.

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. 

A fenti szabályok betartása érdekében adatvédelmi incidens észlelése esetén az észlelő haladéktalanul jelentést készít az incidensről és azt haladéktalanul elektronikus küldeményben eljuttatja az Adatkezelő vezetője és az adatvédelmi tisztviselő (DPO) részére. A bejelentést a jelen Szabályzat 3. sz. mellékletét képező adatlapon kell megtenni. A DPO a hozzá érkezett információ alapján az adatvédelmi incidenst megvizsgálja és szakmai véleményével látja el. 

Különösen magas kockázati szintűnek értékelhető az adatvédelmi incidens jellege, ha 

  • a kezelt adat olyan adatbázissal került összekapcsolásra, amelynél nincs meg az összekapcsolásra kerülő személyes adat vonatkozásában az adatkezelés jogalapja;
  • az érintetti jog gyakorlása során harmadik személy személyes adataihoz történő jogosulatlan hozzáférés történik;
  • az intézményi honlapon vagy közösségi internetes megosztó oldalon olyan személyes adat (pl. képmás, hanganyag, audiovizuális fájl) kerül közlésre, melyből az érintett beazonosíthatóvá válik;
  • megsemmisül olyan adat, amely az érintettet megillető jogszabályon alapuló kedvezményhez szükséges;
  • az érintett sajátos státuszával (pl. hátrányos helyzet) kapcsolatos adat kerül az érintett beleegyezése nélkül harmadik személy tudtára, vagy nyilvánosságra és ebből fakadóan az érintettnek érdeksérelme keletkezik. 

Amennyiben a szakmai vélemény az incidens magas kockázatát, illetve az incidens NAIH részére történő bejelentésének szükségességét támasztja alá, akkor az adatvédelmi tisztviselő haladéktalanul továbbítja javaslatát az adatkezelő vezetője, távolléte esetén a vezető helyettese részére, az intézmény vezetője (távollétében helyettese) jogosult az esemény minősítése és a bejelentés kérdésében döntést hozni. A bejelentésre irányuló döntés esetén a bejelentést indokolatlan késedelem nélkül, a GDPR által szabályozottak szerinti határidőn belül szükséges megtenni a NAIH részére. 

Bejelentés esetén a bejelentésben legalább: 

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; 

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; 

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; 

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. 

Az incidens bejelentése főszabályként a NAIH honlapján keresztül történik.

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők. 

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket (2. sz. melléklet).

Az adatvédelmi incidenssel kapcsolatos feljegyzésekbe, iratanyagba – a NAIH munkatársain kívül – harmadik személyek nem jogosultak betekinteni. 

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül: 

a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; 

b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; 

c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. 

Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását.

Az adatvédelmi tisztviselő javaslatai alapján az intézményvezető az incidens jellegétől függő intézkedéseket megteszi az adatvédelmi incidens negatív következményeinek elhárítása és a hasonló incidensek megelőzése érdekében. 

  1. Adatvédelmi hatásvizsgálat 

Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa -, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek. Az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.  Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni (a 6. sz. mellékletben meghatározott minta felhasználásával): 

a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek; 

b) a személyes adatok különleges kategóriái vagy 

c) nyilvános helyek nagymértékű, módszeres megfigyelése.

A hatásvizsgálat kiterjed legalább: 

a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket; 

b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára; 

c) az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és 

d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat. 

  1. Az adatkezelés során a felhasználót megillető jogok, jogorvoslati lehetőségek

11.1.Az érintett jogosult arra, hogy az adatkezelő és az annak megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatai vonatkozásában az e törvényben meghatározott feltételek szerint * 

a) az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon (a továbbiakban: előzetes tájékozódáshoz való jog),

b) kérelmére személyes adatait és az azok kezelésével összefüggő információkat az adatkezelő a rendelkezésére bocsássa (a továbbiakban: hozzáféréshez való jog),

c) kérelmére, valamint az e fejezetben meghatározott további esetekben személyes adatait az adatkezelő helyesbítse, illetve kiegészítse (a továbbiakban: helyesbítéshez való jog),

d) kérelmére, valamint az e fejezetben meghatározott további esetekben személyes adatai kezelését az adatkezelő korlátozza (a továbbiakban: az adatkezelés korlátozásához való jog),

e) kérelmére, valamint az e fejezetben meghatározott további esetekben személyes adatait az adatkezelő törölje (a továbbiakban: törléshez való jog).

f) kérelmére a saját helyzetével kapcsolatos okokból bármikor tiltakozzon a közérdekű vagy adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett, vagy jogos érdekre hivatkozással végzett adatkezelés ellen (tiltakozáshoz való jog)

g) kérelmére a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, ezeket az adatokat egy másik adatkezelőnek továbbítsa, ha az adatkezelés hozzájáruláson vagy szerződésen alapul (adathordozhatósághoz való jog).

Az adatkezelő az érintett jogai érvényesülésének elősegítése érdekében megfelelő műszaki és szervezési intézkedéseket tesz, így különösen

a) az érintett részére bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti, és

b) az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt elbírálja és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti. Az elintézési határidőre a GDPR hatálya alá tartozó ügyekben a GDPR-ban meghatározott határidő vonatkozik, egyéb esetekben az Infotv. által előírtak szerint kell eljárni.

Az adatkezelő az érintett jogainak érvényesülésével kapcsolatban feladatait – amennyiben jogszabály kivételt nem tesz – ingyenesen látja el.

Ha az érintett

a) a folyó évben, azonos adatkörre vonatkozóan az Info tv. 14. § b)-e) pontjaiban meghatározott jogai érvényesítése iránt ismételten kérelmet nyújt be, és

b) e kérelme alapján az adatkezelő vagy az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását az adatkezelő jogszerűen mellőzi,

az adatkezelő az érintett jogainak az a) és b) pontban foglaltak szerinti ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az érintettől.

Ha megalapozottan feltehető, hogy az Info tv. 14. § b)-e) pontjában meghatározott jogok érvényesítése iránt kérelmet benyújtó személy az érintettel nem azonos személy, az adatkezelő a kérelmet az azt benyújtó személy személyazonosságának hitelt érdemlő igazolását követően teljesíti.

11.1.1. Az előzetes tájékozódáshoz való jog érvényesülése érdekében az adatkezelő az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek megkezdését megelőzően vagy legkésőbb az első adatkezelési művelet megkezdését követően haladéktalanul az érintett rendelkezésére bocsátja

a) az adatkezelő és – ha valamely adatkezelési műveletet adatfeldolgozó végez, az adatfeldolgozó – megnevezését és elérhetőségeit,

b) az adatvédelmi tisztviselő nevét és elérhetőségeit,

c) a tervezett adatkezelés célját és

d) az érintettet e törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését.

Fentiekkel egyidejűleg, azzal azonos módon vagy az érintettnek címzetten az adatkezelő az érintett számára tájékoztatást nyújt

a) az adatkezelés jogalapjáról,

b) a kezelt személyes adatok megőrzésének időtartamáról, ezen időtartam meghatározásának szempontjairól,

c) a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – köréről,

d) a kezelt személyes adatok gyűjtésének forrásáról és

e) az adatkezelés körülményeivel összefüggő minden további érdemi tényről.

11.1.2. A hozzáféréshez való jog érvényesülése érdekében az érintettet kérelmére az adatkezelő tájékoztatja arról, hogy személyes adatait maga az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e. Ha az érintett személyes adatait az adatkezelő vagy a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli, az adatkezelő az érintett rendelkezésére bocsátja az érintett általa és a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatait, és közli vele

a) a kezelt személyes adatok forrását,

b) az adatkezelés célját és jogalapját,

c) a kezelt személyes adatok körét,

d) a kezelt személyes adatok továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – körét,

e) a kezelt személyes adatok megőrzésének időtartamát, ezen időtartam meghatározásának szempontjait,

f) az érintettet törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését,

g) profilalkotás alkalmazásának esetén annak tényét és

h) az érintett személyes adatainak kezelésével összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és az azok kezelésére tett intézkedéseket.

11.1.3. A helyesbítéshez való jog érvényesülése érdekében az adatkezelő, ha az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat – különösen az érintett kérelmére – haladéktalanul pontosítja vagy helyesbíti, illetve ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti (a továbbiakban együtt: helyesbítés). Mentesül ezen kötelezettség alól az adatkezelő, ha

a) a pontos, helytálló, illetve hiánytalan személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja a rendelkezésére, vagy

b) az érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.

Ha az adatkezelő az az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatokat helyesbíti, annak tényéről és a helyesbített személyes adatról tájékoztatja azt az adatkezelőt, amely részére a helyesbítéssel érintett személyes adatot továbbította.

11.1.4. Az adatkezelés korlátozásához való jog érvényesülése érdekében az adatkezelő korlátozza az adatkezelést,

a) ha az érintett vitatja az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára,

b) ha az adatok törlésének lenne helye, de az érintett írásbeli nyilatkozata vagy az adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára,

c) ha az adatok törlésének lenne helye, de az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig,

d) ha az adatok törlésének lenne helye, de dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, az Infor tv. 25/F. § (4) bekezdésében meghatározott időpontig.

Az adatkezelés korlátozásának időtartama alatt a korlátozással érintett személyes adatokkal az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint végezhet. Az adatkezelési korlátozás megszüntetése esetén az adatkezelő az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatja.

11.1.5. A törléshez való jog érvényesítése érdekében az adatkezelő haladéktalanul törli az érintett személyes adatait, ha

a) az adatkezelés jogellenes, így különösen, ha az adatkezelés

aa) a jogszabályban rögzített alapelvekkel ellentétes,

ab) célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,

ac) törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy

ad) jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,

b) az érintett az adatkezeléshez adott hozzájárulását visszavonja vagy személyes adatainak törlését kérelmezi, kivéve, ha az adatok kezelése az Info tv. 5. § (1) bekezdés a) vagy c) pontján vagy (2) bekezdés b) pontján alapul,

c) az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy a bíróság elrendelte, vagy

d) a jogszabályban meghatározott időtartam eltelt.

11.1.6. Ha az érintett kérelmét az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja

a) az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint

b) az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát a Hatóság közreműködésével is gyakorolhatja.

Ha az adatkezelő az általa, illetve a megbízásából vagy rendelkezése szerint eljáró adatfeldolgozó által kezelt személyes adatokat helyesbíti, törli vagy ezen adatok kezelését korlátozza, az adatkezelő ezen intézkedés tényéről és annak tartalmáról értesíti azon adatkezelőket és adatfeldolgozókat, amelyek részére az adatot ezen intézkedését megelőzően továbbította, annak érdekében, hogy azok a helyesbítést, törlést vagy az adatok kezelésének korlátozását a saját adatkezelésük tekintetében végrehajtsák.

11.1.7. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, amennyiben az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

A tiltakozáshoz való jogról az érintettnek legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

Az érintett által benyújtott, a tiltakozáshoz való jogosultság érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb 1 hónapon belül bírálja el az intézmény és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti. A nem az arra jogosulttól érkező, vagy értelmezhetetlen, pontosításra szoruló kérelem esetében a kérelmezőt hiánypótlásra kell felhívni. 

11.1.8. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az adatkezelés hozzájáruláson, vagy szerződésen alapul; és az adatkezelés automatizált módon történik.    Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. 

Ez a jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges, illetve a jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

11.1.9. Automatizált adatkezeléshez kapcsolódó jogosultság: Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, kivéve, ha az az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges; illetve ha az ilyen döntés meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy, ha az az érintett kifejezett hozzájárulásán alapul. Az automatizált adatkezelésre egyebekben a GDPR rendelkezéseit kell alkalmazni.

11.1.10 Amennyiben az érintett szóbeli kérelmet terjeszt elő, abban az esetben a kérelemről feljegyzést vagy jegyzőkönyvet kell készíteni, és ennek egy példányát az érintettnek át kell adni. 

Az eljáró munkatárs a kérelem teljesítése előtt köteles meggyőződni arról, hogy a fenti (ún. érintetti) jogok gyakorlásával kapcsolatos kérelmet az arra jogosult terjesztette elő.

Telefonon konkrét személyes adatokkal kapcsolatos, azokat érintő tájékoztatás nem adható, az adatkezeléssel kapcsolatos jogok nem gyakorolhatók. 

11.2. Jogorvoslathoz való jog

11.2.1. Jogainak érvényesítése érdekében az érintett 

a) a Hatóság (NAIH) vizsgálatát kezdeményezheti az adatkezelő intézkedése jogszerűségének vizsgálata céljából, ha az adatkezelő az Info tv. 14. §-ban meghatározott jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja, valamint

b) a Hatóság (NAIH) adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.

11.2.2. Az érintett az adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.

Azt, hogy az adatkezelés a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásoknak megfelel, az adatkezelő, illetve az adatfeldolgozó köteles bizonyítani. A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat. Ha a bíróság a keresetnek helyt ad, a jogsértés tényét megállapítja és az adatkezelőt, illetve az adatfeldolgozót

a) a jogellenes adatkezelési művelet megszüntetésére,

b) az adatkezelés jogszerűségének helyreállítására, illetve

c) az érintett jogai érvényesülésének biztosítására pontosan meghatározott magatartás tanúsítására

kötelezi, és szükség esetén egyúttal határoz a kártérítés, sérelemdíj iránti igényről is.

A bíróság elrendelheti ítéletének – az adatkezelő, illetve adatfeldolgozó azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha az ítélet személyek széles körét érinti, ha az alperes adatkezelő, illetve adatfeldolgozó közfeladatot ellátó szerv, vagy ha a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolja.

11.2.3. Ha az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel másnak kárt okoz, köteles azt megtéríteni.

Ha az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel más személyiségi jogát megsérti, az, akinek személyiségi joga sérelmet szenvedett, az adatkezelőtől, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozótól sérelemdíjat követelhet. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Az adatfeldolgozó mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy az általa végzett adatkezelési műveletek során a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségek, valamint az adatkezelő jogszerű utasításainak betartásával járt el. Az adatkezelő és az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó, továbbá a közös adatkezelők és az általuk megbízott vagy rendelkezésük alapján eljáró adatfeldolgozók a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével okozott 

a) kárért az érintettel szemben egyetemlegesen felelnek, valamint 

b) személyiségi jogsértés esetén járó sérelemdíjat egyetemlegesen kötelesek megfizetni az érintettnek. 

Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem a személyiségi jogi jogsérelmet szenvedő személy szándékos vagy súlyosan gondatlan magatartásából származott.

12.  A közérdekű és közérdekből nyilvános adatokra vonatkozó szabályok

  1. A 2011. évi CXII. törvény (Infotv. 3. § 5-6. pontok) tartalmazza a közérdekű és a közérdekből nyilvános adat fogalmát. 
  1. A közérdekű és a közérdekből nyilvános adatok (továbbiakban együtt: közérdekű adat) nyilvánosak, Adatkezelő lehetővé teszi azok megismerését, azonban ezen körbe nem sorolható személyes adat nem hozható nyilvánosságra.
  1. Az adat közérdekű vagy közérdekből nyilvános adat voltának megállapítása az intézményvezető, illetve helyettese feladata. A fogalom meghatározás alapján kell adott esetben mérlegelni, értelmezni. A közérdekből nyilvános adat esetében az valamely törvény szövegében pontosan megtalálható, azzal a kifejezéssel, hogy az az adat, vagy nyilvántartás nyilvános. Amennyiben egy adatról nem állapítható meg kétségkívül, hogy közérdekű vagy közérdekből nyilvános, az adatkérés elutasítható.
  1. Közérdekű adatot bárki igényelhet akár szóban, akár írásban, akár elektronikus módon. Az igénylést írásban az Adatkezelő székhelyére kell írásban benyújtani. A szóbeli adatigényeket az Adatkezelő munkatársa írásba foglalja a jelen szabályzat 11. számú melléklete szerint. A közérdekű adatigénylések ügyintézéséhez kapcsolódó személyes adatok kezelésről Adatkezelő honlapján tájékoztatja az érintetteket. 
  1. Az adatkezelő minden munkatársa köteles továbbítani a közérdekű adat megismerésére irányuló igényt az intézményvezető, távolléte esetén helyettese részére, akik az igény elintézése kérdésében döntenek. A nem egyértelmű vagy nem kellően konkrét igényt a kérelmet benyújtónak pontosítás céljából vissza kell juttatni. Az igény elsősorban írásban teljesítendő (tértivevényes vagy ajánlott levélben, vagy elektronikus üzenetben, kézbesítési igazolás kérése mellett). Akkor lehet szóban teljesíteni a kérelmet, ha 1. az igényelt adat a honlapon vagy más módon jogszerűen már nyilvánosságra került és így az igénylőnek írásos formában is elérhető, 2. ha az igénylő szóban kéri a választ, 3. ha az igény az Adatkezelő eljárására, az alkalmazott jogszabályokra vonatkozó általános tájékoztatással is teljesíthető, vagy 4. ha szóban azonnal teljesíthető az igény és ez az igénylő számára ekként kielégítő. 
  1. A közérdekű igények teljesítése, az esetleges költségtérítés felmerülése esetén az Infotv. rendelkezései szerint jár el Adatkezelő. Mindent meg kell tenni annak érdekében, hogy az igény teljesítése az érintett számára külön költséggel (kivéve a postázás számára felmerülő esetleges költségeit) ne járjon. Költségtérítés kérdésében az intézményvezető jogosult döntést hozni.
  1. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, az igény teljesítője a másolaton a meg nem ismerhető adatot felismerhetetlenné teszi. 
  1. Az igénynek közérthető formában kell eleget tenni. Arra hivatkozással nem lehet elutasítani az igényt, hogy annak közérthető formában nem lehet eleget tenni.
  2. Az intézményvezető által kijelölt munkatárs az érintettektől érkező kéréseket a személyes adatok védelmére vonatkozó szabályok figyelembevételével (azaz az elutasított kérelmekről, valamint az elutasítás indokairól) nyilvántartja. Az elutasított kérelmekről, valamint az elutasítások indokairól az adatvédelmi hatóságnak minden év 31. napjáig küldendő tájékoztatás megküldéséről az intézményvezető gondoskodik.
  3. Törvény eltérő rendelkezése hiányában az igénylő személyes adata csak annyiban kezelhető, amennyiben az az igény teljesítéséhez és a másolatkészítésért megállapított esetleges költségtérítés megfizetéséhez szükséges. Az igény teljesítését és a költségek megfizetését követően az intézményvezető által kijelölt munkatárs haladéktalanul törli az igénylő személyes adatát, figyelemmel az Infotv. 29. § (1a) bekezdésében foglaltakra.

13. Az adatvédelem szervezetrendszere, oktatás, képzés

Az adatkezelő köteles az Adatvédelmi Szabályzat rendelkezéseit betartani, és azt a munkavégzésre irányuló jogviszonyban foglalkoztatottakkal is betartatni, őket a Szabályzatból eredő kötelezettségeikről és jogaikról tájékoztatni, oktatásukról gondoskodni. A fenti feladat megszervezéséért és betartásáért az Adatkezelő vezetője felelős.

Adatkezelő adatkezeléssel kapcsolatos feladatainak ellátását adatvédelmi tisztviselő segíti. Az adatvédelmi tisztviselő (DPO) nem határozhatja meg a személyes adatok kezelésének céljait, eszközeit, nem hozhat döntést adatkezelési tevékenységről, az adatkezelés bizalmassága, sértetlensége és rendelkezésre állása kapcsán. A DPO közreműködik az adatvédelmi oktatás lebonyolításában az oktatási anyag elkészítése révén. 

14. Az adatvédelmi ellenőrzés rendszere

A DPO jogosult az adatkezelő feladatkörébe tartozó ellenőrzéseket végezni, mely eredményességének biztosítása érdekében az adatkezelő köteles teljeskörűen és a vizsgálat akadályozása nélkül adatot szolgáltatni. Az ellenőrzés célja az adatvédelemmel kapcsolatos jogszabályok és belső szabályzatok megvalósulásának elérése. Az ellenőrzés során a DPO az adatkezelő helyiségeibe beléphet, iratokba betekinthet, a dolgozóktól tájékoztatást kérhet. A megkeresésnek az érintett dolgozó a megjelölt határidőben – annak hiányában 5 munkanapon belül – köteles eleget tenni. 

Egyes célvizsgálatok esetében a DPO előzetes bejelentés nélkül is végezhet célvizsgálatot (pl. adatkezelési tájékoztatók kihelyezése). 

A vizsgálatokról a DPO vizsgálati jelentést készít, jogosult az adatkezelőnek tájékoztatást adni, javaslatokat tenni.

15. Adatvédelmi nyilvántartás 

Az adatkezelő köteles adatkezelési nyilvántartást vezetni, annak naprakészségéről gondoskodni. Az adatkezelési nyilvántartásba a DPO betekinthet. A nyilvántartás adminisztratív teendőit az adatkezelőnél az intézményvezető által megbízott személy látja el. Az adatkezelési nyilvántartás mintáját az 1. számú melléklet tartalmazza.

16. Titoktartási kötelezettség

Az intézményvezetőt és az adatkezelő alkalmazásában álló személyeket, munkatársakat hivatásuknál fogva a harmadik személyekkel szemben titoktartási kötelezettség terheli. 

A titoktartási kötelezettség a foglalkoztatási jogviszony megszűnése után is határidő nélkül fennmarad. 

A titoktartási kötelezettség nem terjed ki az adatkezelő által folytatott szakmai megbeszélésekre. A titoktartási kötelezettség kiterjed mindazokra, akik részt vettek a megbeszéléseken. 

A titoktartási kötelezettség nem vonatkozik a hatályos jogszabályokban meghatározott nyilvántartására és továbbítására. Az adatok nyilvántartását és továbbítását végzők és abban közreműködők azonban betartják az adatkezelésre vonatkozó előírásokat. 

A titoktartási nyilatkozat mintája a jelen szabályzat 7. sz. melléklete

17.  Záró rendelkezés

Jelen szabályzatot az intézmény honlapján és a helyben szokásos módon nyilvánosságra kell hozni, közzé kell tenni. 

Jelen szabályzat 2022. november 1. napján lép hatályba és visszavonásig érvényes. 

Jelen szabályzat hatályba lépésével egyidejűleg a 2018. 10.01-én kiadott Adatvédelmi szabályzat hatályát veszti.

Győr, 2022. október 17.

………..……………………………

                    Kocsis Rozi

                       igazgató   

                                                                                                                                                                                                                                                                     

Mellékletek:

  1. adatkezelési nyilvántartás mintája
  2. adatkezelési incidensek nyilvántartásának mintája
  3. adatbiztonsági incidensek bejelentésének mintája
  4. érdekmérlegelési teszt mintája
  5. tervezett új adatkezelés adatvédelmi tisztviselő részére történő bejelentéshez minta
  6. adatvédelmi hatásvizsgálat mintája
  7. Titoktartási és megismerési nyilatkozat
  8. Hozzátartozói nyilatkozat adatkezeléshez (munkaügyi ügyekben)
  9. Hozzájárulás személyes adatok kezeléséhez minta
  10. Adatmegsemmisítési jegyzőkönyv
  11. Közérdekű adat megismerésére irányuló kérelem
  12. Értesítés pályázat eredményéről
  13. Értesítés (pályázati felhíváson kívüli álláspályázók részére)
  1. számú melléklet 

Adatkezelési nyilvántartás mintája

Adatkezelő adatai

 

Neve

 

Képviselője

 

Elérhetőségei

 

Adatvédelmi tisztviselő neve

 

Adatvédelmi tisztviselő elérhetősége

 

Sorszám

Személyes adat megnevezése

Sezmélyes adat forrása

Érintettek köre

Adatkezelés célja

Személyes adat kezelésének módja ( papír alapú, vagy elektronikus dokumentumban kerül rögzítésre, utóbbi esetben milyen elektronikus rendszerekben található meg rögzítést követően

Adatkezelés jogalapja

Különböző adatkategóriák törlésére előírányzott határidő (amennyiben az őrzés határidejét jogszabály, szabályzat írja elő, a jogszabály, szabályzat pontos megnevezése

Adattovábbításra vonatkozó adatok

GDPR 32. cikk (1) bekezdése szerinti technikai és szervezési intézkedések általános leírása (pl. papír alapú dokumentumon tárolt adatok tárolásának körülményei, elektronikusan tárolt adatokhoz történő hozzáférésre vonatkozó szabályok stb.)

Adatkezelés jogalapja

Jogszabályon alapuló adatkezelés esetén, a jogszabály pontos megjelölése, hozzájáruláson alapuló adatkezelés esetén a hozzájárulást tartalmazó dokumentum megnevezése

Címzett(ek) neve és nem megkeresésre történő továbbítás esetén az adattovábbítás jogalapja 

Ezen adatkezelésbe bevont Adatfeldolgozó(k) megnevezése

Harmadik országba, nemzetközi szervezet részére történő továbbításra vonatkozó információk

GDPR 49. cikk (1) bek. második albekezdése alapján történő adattovábbítás  harmadik országok, nemzetközi szervezetek részére – megfelelő garanciák leírása

              
              
              
              
  1. számú melléklet

Adatvédelmi Incidens nyilvántartás

Sorszám

Adatvédelmi Incidens időpontja, leírása (körülményei), az érintett személyes adatok köre

Érintettek köre

Érintettek száma

Adatvédelmi Incidens oka,  hatása és következményei

Adatvédelmi Incidens elhárítására tett intézkedések

Egyéb releváns adatok, információk, utóellenőrzés eredménye, meghozott intézkedések eredményességének értékelése

       
       
       

3.számú melléklet

Adatvédelmi incidensgyanús esemény Jelentése

Az a dolgozó tölti ki, aki az adatvédelmi incidensgyanús eseményről tudomást szerzett.

I. Adatvédelmi incidensgyanús eseményt észlelő személy neve:

Adatvédelmi incidensgyanút jelentő személy neve:

Adatvédelmi incidensgyanús esemény rövid leírása:

Az adatvédelmi incidensgyanús esemény érinti az Adatkezelő informatikai rendszerét: igen – nem

Dátum: 

aláírás

Adatvédelmi incidensgyanús eseményről való tudomásszerzés időpontja: 

  1. számú melléklet

ÉRDEKMÉRLEGELÉSI TESZT

Érintett személyes adatok:

I. Az érdekmérlegelési teszt elvégzésének oka

 

II. Adatkezelő jogos érdeke

 

III. Az Érintett személyek érdekei, alapjogok

 

IV. Adatkezelő és az Érintett személyek érdekinek összevetése, az érdekmérlegelési teszt eredménye

 
  1. sz. melléklet

BEJELENTÉS 

Tervezett új adatkezelés Adatvédelmi tisztviselő részére történő bejelentéséhez 

(minta)

A tervezett új adatkezelést bevezetni kívánó Adatkezelő neve: 

Az Adatkezelő vezetője:

 

Az adatkezelés célja:

 

Az adatkezelés indoka

 

Az adatkezelés jogalapja (az Adatkezelő véleménye alapján):

 

Az adatkezelés jogalapja (az adatvédelmi tisztviselő véleménye alapján):

 

Az adatkezeléssel érintettek kategóriái:

 

Az adatkezelés során kezelt adatok kategóriái: 

 

Az adatok forrása:

 

Az adatok kezelésének időtartama:

 

Az adatkezelés során történik-e adattovábbítás, ha igen, milyen adatok, hova és milyen célból: 

 

Az adatkezelés során igénybe vesznek-e adatfeldolgozót/közreműködőt, ha igen annak neve, címe:

 

Az adatfeldolgozónak az adatkezeléssel összefüggő tevékenysége:

 

Végeztek-e hatásvizsgálatot, ha igen, mi az eredménye?

 

Kitöltési útmutató

Az adatkezelés célja:

A tervezett új adatkezelés esetében adatonként külön-külön meg kell jelölni az adatkezelés célját ahhoz, hogy minden egyes adatról megállapítható legyen a célhoz kötöttség, illetve kizárható legyen a készletező adatgyűjtés. Így például:

– név, születési adatok: személyazonosítás,

– adóazonosító jel: az adatkezelő adatszolgáltatása 

– egyéb adatok: pl. törvényben előírt adatszolgáltatási kötelezettség stb. 

Az adatkezelés indoka:

Itt a szervezeti egységnek saját szavaival kell leírni a tervezett új adatkezelés bevezetésének indokát a célhoz kötöttség megállapíthatósága érdekében.

Az adatkezelés jogalapja:

Itt meg kell jelölni az(oka)t a jogszabály(oka)t – ha van – amely(ek) kötelező jelleggel írj(ák)a elő az adatkezelést. Ha nincs ilyen, azt is fel kell tűntetni. Jogszabály hiányában azt kell megadni, hogy az adatkezelést bevezetni kívánó szervezeti egység szerint az adatkezelésre szerződés teljesítése érdekében (erre akkor van lehetőség, ha a Partner természetes személy) vagy az érintett hozzájárulása alapján, esetlegesen – érdekmérlegelési teszt eredménye alapján – az Adatkezelő jogos érdekében kerül sor. Közhatalmi szervek által feladataik ellátása során végzett adatkezelésre jogos érdekből nem kerülhet sor! A pontos jogalapot a Szakterület által megadott információk alapján az adatvédelmi tisztviselő állapítja meg. Kötelező adatkezelés a törvény vagy más magyar, illetve európai uniós jogszabály által előírt adatkezelés. Kötelező adatkezelés esetén a „Kötelező adatkezelés” megjelölésen túl meg kell jelölni a konkrét törvényt és a jogszabály-helyet (§-t) is. 

Az érintettek kategóriái:

Olyan általános csoportismérv szerinti megjelölés szükséges, mely kifejezi, hogy milyen természetes személyi körre terjed ki az adatkezelés. Nem elegendő pl. az „emberek” vagy „természetes személyek” kifejezés használata.

A kezelt adatok kategóriái:

Itt valamennyi, az Adatkezelő által kezelt személyes adatot tételesen fel kell sorolni (pl. név, cím, telefonszám, kamera által készített képmás, stb.). Nem elég annyit megadni pl. hogy „személyes adatok” vagy „azonosító adatok”.

Az adatok forrása:

Az adatgyűjtés megvalósulhat pl. az érintettek közvetlen megkérdezésével, ilyenkor az adatforrás maga az Érintett. A személyes adatok gyűjtése azonban más forrásból is megvalósulhat, pl. valamilyen nyilvános állami vagy önkormányzati nyilvántartásból, más adatkezelő által már korábban létrehozott adatbázisából, vagy egyéb más forrásból. Ebben az esetben az adatok forrása az Érintettől különböző személy. Ez utóbbi esetben szükséges pontosan megjelölni azt a nyilvántartást, adatkezelőt, illetve egyéb forrást, ahonnan a személyes adatok származnak.

Az adatok kezelésének várható időtartama:

Az adatkezelés időtartama az adatkezelés céljától függ, nincs rá vonatkozóan egységes szabály. Általánosságban kimondható, hogy az adatok kezelésének időtartama nem lehet korlátlan, határozatlan. Az időtartamot jogszabályon alapuló adatkezelések esetében az adott jogszabály határozza meg, míg a nem jogszabályon alapuló adatkezelések esetén az időtartam az adatkezelés céljához igazodik. Amennyiben az adatkezelés elérte a célját, azt követően törölni kell az adatokat. Szintén törölni kell a személyes adatokat, ha az érintett személy azt kéri.

  • Jogszabályon alapuló adatkezelés esetén a jogszabály pontos megnevezése és azon belül a konkrét jogszabályhely megjelölése szükséges.
  • Egyéb jogalapon alapuló adatkezelések esetén megfelelő megjelölés lehet „az érintett kérésére történő törlés”, vagy „a cél megvalósulásáig” kifejezések használata, vagy a konkrét időpont megjelölése, amelyről az adatkezelés megkezdése előtt az érintettet tájékoztatták, pl. „2025. december 31. napjáig”.

Adattovábbítás esetén a továbbított adatok fajtája:

Itt is tételesen fel kell sorolni valamennyi, az Adatkezelő által továbbított személyes adatot, valamint azt is, hogy kinek és milyen célból. 

A felsorolt adatoknak főszabály szerint meg kell egyezniük az „adatkezelés során kezelt adatok kategóriái” rovatban megjelöltekkel. Az ott megjelölt adatok közül kevesebbet lehet továbbítani, annál többet vagy mást – ott meg nem határozott adatot – azonban nem.

Az adattovábbítás címzettjei között fel kell sorolni mindent vagy mindenkit, akivel a személyes adatok közlése megtörténik. Címzett lehet harmadik fél – olyan személy, aki nem azonos az Érintettel, az Adatkezelővel és az Adatfeldolgozóval –, de más Adatkezelő és az Adatfeldolgozó is. 

Az adatfeldolgozónak az adatkezeléssel összefüggő tevékenysége:

Az adatkezelési műveletekhez kapcsolódó – főszabály szerint – technikai feladatok megnevezése. Számos ilyen tevékenység lehet az adott adatkezeléstől függően, így pl. adatrögzítés, technikai háttér biztosítása, postázás, kézbesítés, stb. A lényeg, hogy ez a tevékenység legyen konkrétan megnevezve.

                          6. számú melléklet

Adatvédelmi hatáselemzés (minta)

(……………… kapcsolatos adatkezeléshez)

  1. A hatásvizsgálat lefolytatásának indokolása
      1. kötelező-e a GDPR 35. cikk (3) bekezdése alapján a hatásvizsgálat lefolytatása?    IGEN/NEM
      2. Az adatkezelés hatásvizsgálat lefolytatása előtt valószínűsíthető magas kockázatának leírása:
      3.  
  1. A célzott adatkezelés jellemzőinek leírása:
  1. Az adatkezelő(k) és esetlegesen az adatfeldolgozó(k) személye:
  2. Az adatkezeléssel érintett személyes adatok köre:
  3. A célzott adatkezelés jellege, hatóköre, körülményei:
  4. Meghatározott, kifejezett és jogos célok meghatározása az adatkezeléshez (valamennyi célt pontosan szükséges megjelölni):
  5. érintett személyes adatok címzettei (adattovábbítás milyen címzettek részére történik):
  6. az adatkezelési művelet funkcionális (részletes) leírása:
  7. Az adatkezelés módja, a személyes adatokhoz használt eszközök (hardverek, szoftverek, hálózatok, személyek, papírok, vagy papíralapú továbbítási csatornák) leírása:
  8. Az adatokhoz hozzáférési jogosultsággal rendelkező személy(ek):
  9.  
  1. Az érintett személyes adatok kezelésének szükségessége és arányossága
  1. Az adatkezelő adatkezelés mellett szóló érvei:
  2. Az érintettek magánszférájának (jogainak és szabadságainak) várható sérelme:
  3. Az adatkezelés érintetteknek biztosított előnyei milyen arányban állnak az érintettek magánszférájának sérelmével?
  4. Az adatkezelés szükségességének értékelése: 
  5. a GDPR által előírt adatvédelmi rendelkezések betartására irányuló tervezett intézkedések, ezen belül
  • meghatározott, kifejezett és jogos célok meghatározása az adatkezeléshez:
  • adatkezelés jogszerűségének (jogalapjának) – érintett hozzájárulása, szerződés teljesítése, jogszabályi előírás, közérdekű feladat ellátása, jogos érdek, stb. – meghatározása. (A jogalapot minden cél tekintetében külön szükséges meghatározni):
  • Jogos érdek jogalap esetén az érdekmérlegelés eredménye:
  • megfelelő, releváns és a szükséges adatokra korlátozódik-e az adatkezelés 
  • korlátozott tárolási időtartam meghatározása
  1. az érintettek jogait támogató intézkedések leírása, ezen belül:
  • érintetteknek nyújtott támogatás:
  • van-e lehetősége az érintettnek utóbb hozzájárulást adni:
  • betekintési jog és adathordozhatósághoz való jog biztosított lesz-e és miként:
  • helyesbítéshez és törléshez való jog megilleti-e az érintetteket:
  • kifogásolási jog és az adatkezelés korlátozásához való jog megilleti-e az érintetteket:
  • az adatfeldolgozókkal fennálló kapcsolatok:
  • a nemzetközi adattovábbítás esetén az ahhoz kapcsolódó garanciák leírása:
  • Hatósággal történő előzetes konzultáció szükségessége, megtörténte, eredménye:
  1. Az adatkezelés miként felel meg a GDPR alapelveinek:

Alapelv

Megfelelés leírása

Tisztességes eljárás

 

Jogszerűség

 

Átláthatóság

 

Célhoz kötöttség

 

Adattakarékosság

 

Pontosság

 

Korlátozott tárolhatóság

 

Integritás és bizalmas jelleg

 

Elszámoltathatóság

 

Beépített adatvédelem

 

Alapértelmezett adatvédelem

 
  1. Az érintett jogait és szabadságait érintő kockázatok kezelése
  1. A kockázatok forrása, jellege, egyedisége és súlyossága miként került felmérésre, vagy konkrétabban mindegyik kockázat (jogosulatlan hozzáférés, nemkívánatos módosítás és az adatok eltűnése) esetében az érintettek szemszögéből
  • figyelembevételre került-e a kockázatforrás, az miként írható le:
  • a kockázat felmerülésének mi az oka:
  • Az azonosított kockázat miként határozható meg, miként minősíthető (a megfelelő rovat mellé tegyen X-et):

Elhanyagolható (A kockázattal érintett személyes adatok alapján az érintett beazonosítása majdnem lehetetlen.)

 

Csekély (A kockázattal érintett személyes adatok alapján az érintett beazonosítása nehézségekbe ütközik, de lehetséges.)

 

Jelentős (A kockázattal érintett személyes adatok alapján az érintett beazonosítása nem ütközik komoly nehézségbe.)

 

Magas (A kockázattal érintett személyes adatok alapján az érintett könnyen beazonosítható.)

 
  • az érintetek jogaira és szabadságaira esetlegesen gyakorolt hatások beazonosítása megtörtént-e olyan eseményekre vonatkozóan, mint a jogosulatlan hozzáférés, a nemkívánatos módosítás és az adatok eltűnése, ha igen, milyen megállapítások tehetők ezzel kapcsolatosan (a megfelelő rovat mellé tegyen X-et):

Elhanyagolható (A kockázat bekövetkezése az érintettek számára vagy nem jár érdemi következménnyel, vagy csak olyan mértékű kényelmetlenséggel járhat, amely könnyen kezelhető.)

 

Csekély (A kockázat bekövetkezése az érintettek számára olyan mértékű kényelmetlenséggel járhat, amely némi nehézséggel kezelhető.)

 

Jelentős (A kockázat bekövetkezése az érintettek számára olyan következményekkel járhat, amelyet komoly nehézségek leküzdése árán tudnak csak kezelni.)

 

Magas (A kockázat bekövetkezése az érintettekre jelentős, esetenként visszafordíthatatlan következményekkel járhat, amelyet nem tudnak kezelni.)

 
  • az esetleges jogosulatlan hozzáféréshez, nemkívánatos módosításhoz vagy adatok eltűnéséhez vezető veszélyek beazonosítása megtörtént-e, ennek mi az eredménye:
  • a kockázat bekövetkezésének mi a valószínűsége (a megfelelő rovat mellé tegyen X-et):

Elhanyagolható (A kockázat forrása alapján a kockázat bekövetkezése nem tűnik valószínűnek.)

 

Csekély (A kockázat bekövetkezésének valószínűsége korlátozott.)

 

Jelentős (A kockázat bekövetkezésére reális esély van, de korlátozható.)

 

Magas (A kockázat bekövetkezésére komoly esély van, az előre megjósolható, és nem szorítható korlátok közé.)

 
  1. Fenti kockázatok orvoslására irányuló intézkedések meghatározása:
  2. Ellenőrizhető-e és ha igen, hogyan ellenőrizhető a megtett intézkedések hatékonysága:
  1. Érdekelteket a hatásvizsgálat elkészítésébe milyen módon vonták be:
  1. adatvédelmi tisztviselő tanácsát kikérték-e, mi a véleménye:
  2. kikérték-e az érintettek véleményét, mi a megkérdezettek véleménye a tervezett adatkezeléshez
  1. Az adatkezeési műveletek kockázatának súlyosságára tekintettel szükséges-e az adatvédelmi hatósággal (Nemzeti Adatvédelmi és Információszabadság Hatóság) történő előzetes konzultáció? 

IGEN/NEM (indok leírása is szükséges)

Kelt: ………….

                                                                                                                                    ………………………………………………………

aláírás (beosztás)

7. számú melléklet

Titoktartási és megismerési nyilatkozat

Alulírott …………………………………………………. (születési hely, idő: ……………………….., anyja neve: ………………………………….., munkaköre: ………………………………………….), mint a Vaskakas Bábszínház munkatársa kijelentem, hogy tisztában vagyok azzal, hogy a munkám során tudomásomra jutott személyes adatokat tartalmazó információk, személyes adatok és személyes adatokat (is) tartalmazó dokumentumok bizalmas jellegűek. Felelősséget vállalok azért, hogy azokat a vonatkozó jogszabályi rendelkezéseknek, így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény és az Európai Parlament és a Tanács 2016/679. Rendelete személyes adatokra vonatkozó előírásainak, valamint az intézmény Adatkezelési tájékoztatóinak és az Adatvédelmi és adatbiztonsági szabályzatnak megfelelően kezelem. 

Kijelentem továbbá, hogy az Adatvédelmi és adatbiztonsági szabályzat tartalmát megismertem, és annak előírásait magamra nézve kötelezőnek ismerem el. 

Győr, …………………………………..

………………………………………………..

        foglalkoztatott olvasható neve és aláírása 

8. sz. melléklet 

Hozzátartozói nyilatkozat adatkezeléshez

Munkavállaló

Név:

 

Munkakör

 

Közvetlen hozzátartozó

Munkavállalóval való rokoni kapcsolata

 

Név: 1 2 3

 

Születési hely, idő: 1

 

Anyja neve: 1

 

Adóazonosító jele: 1 2

 

Lakcíme: 1

 

Elérhetősége: 3

 

aláírásommal hozzájárulok, hogy a Vaskakas Bábszínház (továbbiakban: Adatkezelő) adataimat a munkavállalással összefüggő kedvezmények biztosítása céljából kezelje.

Dátum:

 

Aláírás 4

 

1 Családi adókedvezmény esetén a gyermekről kitöltendő. 

2 Családi adókedvezmény esetén kitöltendő, amennyiben a családi adókedvezményt egymás között megosztják. 

3 Baleset esetén értesítendő személyként megadandó. 

4 16. életévét be nem töltött személy esetén törvényes képviselőjének aláírása 

A közalkalmazotti jogviszony kapcsán a munkavállaló hozzátartozóinak adatait is kezeli Adatkezelő kedvezmények érvényesítése céljából. Ilyen kedvezmény lehet a pótszabadság, családi adókedvezmény igénybevétele, adómentes természetbeni juttatásnak minősülő kedvezményes utazási igazolvány igénylése, adómentes iskolakezdési támogatás vagy akár a baleset esetén értesítendő személy nyilvántartása a gyors kommunikáció elősegítése céljából. A hozzátartozói nyilatkozat kitöltésével az érintett hozzájárul az adatkezeléshez.

9.számú melléklet 

Hozzájárulás személyes adatok kezeléséhez (minta)

Alulírott kijelentem, hogy a Vaskakas Bábszínház (cím: 9022 Győr, Czuczor Gergely u. 17., továbbiakban: Adatkezelő) által közzétett, …………………………….. tárgyú adatvédelmi tájékoztató tartalmát az érintett személyes adatok Adatkezelő által történő kezelését megelőzően megismertem, azt megértettem és tudomásul vettem.

Fentiek alapján az alábbiakban megjelölt személyes adatok kezelésével összefüggésben – büntetőjogi felelősségem tudatában is – a következő nyilatkozatot teszem:

Személyes adat

Adatkezelés jogalapja

Adatkezelés célja

Hozzájárulás megadása

…………………..

Érintett hozzájárulása

…………………….

 hozzájárulok

 nem járulok hozzá

…………………

Érintett hozzájárulása

…………………….

 hozzájárulok

 nem járulok hozzá

Tudomással bírok arról, hogy hozzájárulásomat bármikor visszavonhatom, a hozzájárulás visszavonása azonban nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. 

Kelt: Győr, 20……    ……………….. hó …….

              ………………………………………….

      nyilatkozatot tevő aláírása

10.sz. melléklet 

 Iktatószám:  ……………………..

Adatmegsemmisítési jegyzőkönyv

Az adatmegsemmisítésért felelős munkavállaló tölti ki!

Az adatmegsemmisítésért felelős munkavállaló neve:

Adatkezelő neve:

A megsemmisítést engedélyezte:

Az adatmegsemmisítéskor jelen lévő munkatársak:

1.

2.

3.

Az adatmegsemmisítés helye és időpontja (dátum-óra-perc):

A megsemmisítés tárgya, az adathordozók száma:

A megsemmisítéssel érintett adatkezelési folyamat megnevezése:

Az adatmegsemmisítés módja

❑ iratmegsemmisítő gép

❑ égetés

❑ zúzás

❑ darálás❑ egyéb:

…………………………………………………………………….

az adatmegsemmisítésért felelős munkavállaló aláírása

A munkatársak aláírása:

……………………………………  ……………………………..   …………………………………………

11.számú melléklet

Közérdekű adat megismerésére irányuló kérelem

Az igénylő személy vagy szervezet neve: (Nem kell megadni, ha szóban terjeszti elő igényét, és az igény teljesítése azonnal lehetséges.)

…………………………………………………………………………………….

Az igényelt közérdekű adat(ok) konkrét megjelölése: 

……………………………………………………………………………………

Az adatkérés időpontja: …………………………..……

Az adatkérés teljesítésének módja:

 Az adatokról szóbeli tájékoztatást kérek:

  Az adatokat megtekintésre kérem rendelkezésre bocsátani:

Az adatokról másolat készítését igényelem:

Csak másolatok igénylése esetében kell kitölteni az alábbi rovatokat! 

(A másolatok átadására csak egyféle – Ön által választott módon – van lehetőség!)

Az elkészített másolatot     

   személyesen            postai úton, e-mail címen keresztül 

veszem át,

kérem biztosítani, a következő címen, illetőleg személyes átvételkor a következő   elérési helyen kérek értesítést:

      Telefonszám:………………………………………

      Cím:………………………………………

      E-mail cím: ……………………………………… (E rovatok közül értelemszerűen  csak egyet szükséges kitölteni!)

….……………………………

        Igénylő

12.sz. melléklet

Értesítés pályázat eredményéről

…………..(név)

…………….(értesítési cím)

Tisztelt Pályázó!

Megköszönve Intézményünk részére benyújtott pályázatát értesítjük, hogy a meghirdetett állásra nem Ön került kiválasztásra.

Tájékoztatjuk, hogy:  

a) pályázati anyaga és az abban megadott személyes adatai a pályázat elbírálásáról szóló döntés alapján történő tájékoztatás megküldésének napján visszaállíthatatlan módon megsemmisítésre kerülnek.

b) a jelen értesítéssel együtt az Ön által eredeti dokumentumként benyújtott okirato(ka)t visszaküldjük Önnek. Amennyiben a küldemény az intézményhez visszaérkezik, a visszaérkezés napján azt intézményünk megsemmisíti.

Az Intézmény a pályázati anyagában megadott személyes adatait törlés illetve megsemmisítés után nem kezeli, személyes adatait ezt követően semmilyen módon nem tartja nyilván.

Kelt: ……………………………………..

Tisztelettel:

…………….…..…………………..

  aláírás (beosztás)

13.sz. melléklet

Értesítés 

…………..(név)

…………….(értesítési cím)

Tisztelt Pályázó!

Megköszönve Intézményünk részére benyújtott pályázatát értesítjük, hogy a pályázati anyagát 20………………-én kézhez kaptuk. 

Jelenleg Intézményünknél üres álláshely nincs, ezért tájékoztatjuk, hogy: 

a) pályázati anyagában megadott személyes adatai a pályázat elbírálásáról szóló döntés alapján történő tájékoztatás megküldése napján visszaállíthatatlan módon megsemmisítésre kerülnek.

b) a jelen értesítéssel együtt az Ön által eredeti dokumentumként benyújtott okirato(ka)t visszaküldjük Önnek. Amennyiben a küldemény az intézményhez visszaérkezik, a visszaérkezés napján azt intézményünk megsemmisíti.

A pályázati anyagában megadott személyes adatait törlés illetve megsemmisítés után intézményünk nem kezeli, személyes adatait ezt követően semmilyen módon nem tartja nyilván.

Kelt: ……………………………………..

Tisztelettel:

…………….…..…………………..

  aláírás (beosztás)