Az Agapé Gyülekezet Keresztény Egyesület ADATVÉDELMI SZABÁLYZATA

Tartalomjegyzék

 

  1. FEJEZET.. 3

ÁLTALÁNOS RENDELKEZÉSEK.. 3

  1. § Bevezetés. 3
  2. § A Szabályzat célja, hatálya. 3
  3. § Az Adatkezelő megnevezése. 4
  4. § Fogalommeghatározások. 4
  5. § Adatkezelési alapelvek. 5
  6. § Adatkezelés módja. 6
  7. A) Hozzájáruláson alapuló adatkezelés. 6
  8. B) Szerződés teljesítéséből eredő adatkezelés. 7
  9. C) Jogszabályi kötelezettség teljesítésén alapuló adatkezelés: 7
  10. D) Létfontosságú érdek védelméből eredő adatkezelés. 8
  11. § A személyes adatok továbbításának esetei 8
  12. § Az adatok megismerésére jogosultak köre. 8
  13. § Adatfeldolgozók igénybevétele. 8
  14. FEJEZET.. 9

AZ ÉRINTETT JOGAI. 9

  1. § Tájékoztató az érintett jogairól 9
  2. A) Előzetes tájékozódáshoz való jog. 9
  3. B) Az érintett hozzáférési joga. 11
  4. C) A törléshez való jog (elfeledtetéshez való jog”) 12
  5. D) Az adatkezelés korlátozásához való jog. 13
  6. E) Az adathordozhatósághoz való jog. 13
  7. F) A tiltakozáshoz való jog. 14
  8. G) Döntéshozatal egyedi ügyekben, beleértve a profilalkotást 14
  9. H) Korlátozások. 15
  10. I) Az érintett tájékoztatása az adatvédelmi 16
  11. J) A felügyeleti hatóságnál történő panasztételhez való jog. 16
  12. K) Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog 17
  13. § Kiskorúak és korlátozottan cselekvőképes személyes adatainak védelme. 17
  14. § Az adatvédelmi tisztviselő és hatásvizsgálat 17

III. FEJEZET.. 18

ADATBIZONSÁGI INTÉZKEDÉSEK, ADATVÉDELMI INCIDENSKEZELÉS. 18

  1. § Adatbiztonsági intézkedések. 18
  2. § Az adatvédelmi incidens fogalma. 19
  3. § Adatvédelmi incidensek kezelés, orvoslása. 19
  4. § Az adatvédelmi incidens bejelentése a felügyeleti hatóságnál 20
  5. § Adatvédelmi incidensek nyilvántartása. 20
  6. § Intézkedések az érintett kérelme alapján. 20
  7. FEJEZET.. 21

MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK.. 21

  1. § Munkaviszony létesítését megelőzően folytatott adatkezelés. 21
  2. § A munkaviszony fennállása alatt folytatott adatkezelés. 22
  3. § Egyéb, a munkaviszonnyal összefüggő adatkezelés. 23
  4. fejezet.. 24

Az egyesület által üzemeltetett weboldallal összefüggő adatkezelés  24

  1. § Az Egyesület honlapjára látogatók adataival kapcsolatos tájékoztatás. 24
  2. FEJEZET.. 25

ZÁRÓ RENDELKEZÉSEK.. 25

  1. § Intézkedések a szabályzat megismertetése. 25

 

FÜGGELÉK

1. függelék Adatlap tagfelvételi kérelemhez és a személyes adatok hozzájáruláson alapuló kezeléséhez
2. függelék Nyilvántartás adatkezelési/adatfeldolgozói tevékenységekről
3. függelék Nyilvántartás adatvédelmi incidensekről
4. függelék Adatkérő lap kép- és hanganyag hozzájáruláson alapuló kezeléséhez
5. függelék Adatkérő lap személyes adatok, valamint kép-és hanganyag hozzájáruláson alapuló kezeléséhez rendezvény során
6. függelék Hozzájárulás személyes adatok kezeléséhez, valamint kép-és hanganyag felhasználásához rendezvény során honlapon történő jelentkezéskor
7. függelék Szülői hozzájáruló nyilatkozat személyes adatok, valamint kép-és hanganyag hozzájáruláson alapuló kezeléséhez
8. függelék Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez – címjegyzékben való szerepeltetéséhez

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

 

 

1. § Bevezetés

 

Az Agapé Gyülekezet Keresztény Egyesület (továbbiakban: Egyesület) az adatkezelési tevékenységét – a megfelelő belső szabályok, technikai és szervezési intézkedések meghozatalával – úgy végzi, hogy az maradéktalanul megfeleljen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK GDPR Rendelet hatályon kívül helyezéséről szóló, AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 GDPR RENDELETÉNEK – (2016. április 27.) azaz a GDPR Rendelet – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) rendelkezéseinek.

 

2. § A Szabályzat célja, hatálya

 

(1) A Szabályzat célja azon belső rendelkezések megállapítása és adatkezelési intézkedések megalapozása, amelyek biztosítják, hogy az Egyesület adatkezelő tevékenysége megfeleljen a 1. § Bevezetésben felhívott, vonatkozó hatályos Európai Uniós és hazai jogszabályoknak.

 

(2)  Jelen Szabályzat tárgyi hatálya minden, természetes személyre vonatkozó személyes adat Egyesület általi kezelésére terjed ki. A Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

 

(3) Az Egyesület adatkezelésének céljai:

  1. Az Egyesületet látogató vendégek önkéntesen megadott adatait elsődlegesen további rendezvényekről való értesítési lehetőség céljából kezeli. Az adatok másodsorban a kapcsolattartást, bátorítást, valamint a meghívások kézbesítését szolgálják.
  2. Az Egyesületi tagok személyes adatainak nyilvántartása és kezelése a rendezvényekről való értesítést, a kapcsolattartást, a látogatást, a segítségnyújtást szolgálja.
  3. Az Egyesületi önkéntesek személyes adatainak nyilvántartása és kezelése a humán erőforrás azonosításához, a munkaszervezés helyes tervezhetősége céljából történik, kötelező és cél szerinti nyilvántartás, valamint a kapcsolattartást, a látogatást, a segítségnyújtást szolgálja.
  4. Az Egyesületi munkavállalók személyes adatainak nyilvántartása, jellegéből adódóan kötelező és cél szerinti nyilvántartás, valamint a kapcsolattartást szolgálja.
  5. Az Egyesületi szerződéses partnerek-vállalkozók adatainak nyilvántartása a jogviszony fennállása alatt, illetve a számvitelről szóló 2000. évi C. törvény előírásainak megfelelő adattartalommal, céllal, valamint időtartammal történik.
  6. Könyvelés, számlakezelés, költségvetés kezelése, vagyongazdálkodás, bérszámfejtési anyagok nyilvántartása a számvitelről szóló 2000. évi C. törvény előírásainak megfelelő adattartalommal, céllal, valamint időtartammal történik.
  7. Az Egyesület konferenciaszervezése, eseményszervezése során az önkéntes részvételi szándékok írásos jelzéseként a regisztrációs adatlap kitöltésével a résztvevők által megadott személyes adatok nyilvántartása kizárólag cél szerinti, és meghatározott időtartammal történik.
  8. Az Egyesület a rendezvényein készült fotók, videók rögzítéséhez, tárolásához, közzétételéhez a felvételeken szereplők írásbeli hozzájárulásával rendelkezik.

 

 

3. § Az Adatkezelő megnevezése

 

Adatkezelő: Agapé Gyülekezet Keresztény Egyesület

Székhely: 1181 Budapest, Kondor Béla sétány 18.

Adószám: 18297337-1-43

Egyesület vezetője: Perjesi István

Telefonszám: +36 1 603-1819

E-mail cím:

Honlap: www.agapegyulekezet.hu

Adatkezelésért felelős személy: Varga Tünde Magdolna

 

4. § Fogalommeghatározások

 

E Szabályzat alkalmazásában irányadó értelmező rendelkezéseket a GDPR Rendelet 4. cikke tartalmazza, mely szerint:

  1.  személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
  2. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
  3. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
  4. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
  5. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
  6. álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
  7. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
  8. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
  9. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
  10. az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
  11. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
  12. felügyeleti hatóság: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
  13. érintett felügyeleti hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
  14. a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
  15. b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
  16. c) panaszt nyújtottak be az említett felügyeleti hatósághoz;
  17. személyes adatok határokon átnyúló adatkezelése:
  18. a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
  19. b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket.

 

5. § Adatkezelési alapelvek

 

(1) Jogszerűség, tisztességes eljárás, átláthatóság

Az adatok kezelését meghatározott jogalap szerint végezzük; az adatok tisztességes és az érintett által átlátható módon történik. Az adatkezeléssel kapcsolatos információkat pontos, átlátható, könnyen hozzáférhető formában, egyszerű és érthető nyelvezettel adjuk meg.

 

(2) Célhoz-kötöttség

Az adatok csak meghatározott, egyértelmű és jogszerű célból gyűjtjük. Az adatok további kezelése kizárólag ezen – jogszerű – célokkal összhangban történik.

 

(3) Adattakarékosság

Az adattakarékosság alapelvének értelmében az adatgyűjtés és az adatkezelés azokra az adatokra korlátozzuk, amelyek a kívánt cél eléréséhez ténylegesen szükségesek.

 

(5) Pontosság

Az adatkezelés során az adatoknak valós idejű információkat kell tükrözniük, a nyilvántartásoknak pontosnak és naprakésznek kell lennie. Az adatokat időben töröljük.

 

(6) Korlátozott tárolhatóság

A személyes adatok érintettek azonosítását lehetővé tevő formában történő tárolása kizárólag az adatkezelés céljának eléréséhez szükséges ideig valósul meg.

 

(7) Integritás, bizalmi jelleg 

Biztosítjuk az adatok jogosulatlan és jogellenes kezelésének, véletlen elvesztésének, megsemmisülésének, illetve károsodásának megelőzését.

 

(8) Elszámoltathatóság

A fenti alapelvek maradéktalan betartásával biztosítjuk az érintettek számára a biztonságos adatkezelést, és az arról történő információkérést. Az Egyesületnek képesnek kell lennie az alapelveknek való megfelelés igazolására.

 

6. § Adatkezelés módja

 

Az adatkezelés történhet:

  1. az érintett hozzájárulása (GDPR Rendelet cikk 1) bekezdés a) pont) alapján, vagy
  2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, (GDPR Rendelet 6. cikk 1) bekezdés b) pont), vagy
  3. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR Rendelet cikk 1) bekezdés c) pont), vagy
  4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; (GDPR Rendelet cikk 1) bekezdés d) pont), vagy
  5. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (GDPR Rendelet cikk 1) bekezdés f)).

 

A) Hozzájáruláson alapuló adatkezelés

 

(1)  A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez adatkérő lapon kell kérni.

 

(2) Hozzájárulásnak minősül az is, ha az érintett az Egyesület internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekmény is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

 

(3) A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.

 

(4) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a GDPR Rendeletet, kötelező erővel nem bír.

 

(5) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

 

(6) Az Egyesület általános adatkezelési tájékoztatóját honlapján elérhetővé teszi az érintettek számára. E tájékoztató célja, hogy az érintetteket nyilvánosan is elérhető formában az adatkezelés megkezdése előtt és annak folyamán is egyértelműen és részletesen tájékoztassa az adataik kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az Infotv.  6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ezen adatkezelési tájékoztatót a legfontosabb adatkezelési lépések mindegyikénél külön linkkel jelölve megismerhetővé kell tenni (például egy regisztráció esetében a regisztráció előtt, a regisztráció folyamatánál stb.). E tájékoztató elérhetőségéről az érintetteket tájékoztatni kell.

 

(7) A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

 

B) Szerződés teljesítéséből eredő adatkezelés 

 

Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. [GDPR Rendelet 6. cikk b)]

 

C) Jogszabályi kötelezettség teljesítésén alapuló adatkezelés:

 

Ebben az esetben nincs szükség az Érintett személy hozzájárulásának beszerzésére. A kezelt adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az adatkezelés alapjául szolgáló jogszabály rendelkezései az irányadók.

Az érintettel közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

 

D) Létfontosságú érdek védelméből eredő adatkezelés

 

Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. [GDPR Rendelet 6. cikk d)]. Az adatkezelést jogszerűnek kell tekinteni akkor, ha az érintett vagy más természetes személy közérdekű érdekeinek védelmében történik. Más természetes személy létfontosságú érdekére hivatkozni egyéb jogalap hiányában lehetséges. Fontos közérdekből és létfontosságú érdekből történhet adatkezelés például humanitárius okból, járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben természeti vagy ember által okozott katasztrófák esetében.

 

  1. E) Jogos érdek érvényesítése (Érdekmérlegelési jogalap)

 

Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek [GDPR Rendelet 6. cikk f)]. Pl.  az Érintett az adatkezelő szerződéses partnere vagy képviselője (GDPR Rendelet (47) preambulum bekezdés)

 

7. § A személyes adatok továbbításának esetei

 

Az adatkezelés céljához szükséges adatok átadhatók azoknak:

  1. akik a megbízásunk alapján a számlázást, a követelések kezelését, a forgalmazás kezelését, illetőleg az ügyfél-tájékoztatást végzik,
  2. bérszámfejtést, tárhely szolgáltatást, postai- és futárszolgálat szolgáltatást, világháló-portál szolgáltatást végzik,
  3. jogviták rendezésére jogszabály alapján jogosult szervek részére,
  4. a nemzetbiztonság, a honvédelem és a közbiztonság védelme, valamint az arra hatáskörrel rendelkező nyomozó hatóságoknak, az ügyésznek, valamint a bíróságnak,
  5. a bírósági végrehajtásról szóló törvény előírásai szerint a végrehajtónak,
  6. akik részére az adatok megküldését jogszabály írja elő (pl. adóhatóság).

 

8. § Az adatok megismerésére jogosultak köre

 

A személyes adatokat az Egyesületnek a vonatkozó adatkezelési célhoz kapcsolódó hozzáférései jogosultsággal rendelkező munkavállalói ismerhetik meg.

 

9. § Adatfeldolgozók igénybevétele

 

Az Egyesület a szolgáltatásai nyújtásához adatfeldolgozókat vehet igénybe. Az adatfeldolgozók feladatai kiterjedhetnek az alábbi tevékenységek elvégzésére:

 

– bérszámfejtés,

– könyvelés.

 

Az adatfeldolgozók aktuális listájáról kérelemre írásban tájékoztatjuk az érintetteket.

 

II. FEJEZET

AZ ÉRINTETT JOGAI

 

 

10. § Tájékoztató az érintett jogairól

 

A) Előzetes tájékozódáshoz való jog

 

Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.

 

A1) Rendelkezésre bocsátandó információk, amennyiben a személyes adatokat az érintettől gyűjtik

 

(1) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

  1. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
  2. amennyiben kötelező, elérhetőségei,
  3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  4. a GDPR Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdekérvényesítés) alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
  5. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  6. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

 

(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

  1. a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
  2. az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  3. a GDPR Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  4. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  5. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  6. a GDPR Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

 

(3)  Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

 

(4)   Az (1)-(3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal. (GDPR Rendelet 13. cikk)

 

A2) Rendelkezésre bocsátandó információk, amennyiben a személyes adatokat nem az érintettől szerezték be:

 

(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

  1. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
  2. az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
  3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  4. az érintett személyes adatok kategóriái;
  5. a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  6. adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR Rendelet 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.

 

(2)   Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

  1. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  2. ha az adatkezelés a GDPR Rendelet 6. cikk (1) bekezdésének f) pontján (jogos érdek) alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
  3. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
  4. a GDPR Rendelet 6. cikk (1) bekezdésének a) pontján (az érintett hozzájárulása) vagy a 9. cikk (2) bekezdésének a) pontján (az érintett hozzájárulása) alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  5. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
  6. a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
  7. a GDPR Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

 

(3)   Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg:

  1. a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül;
  2. ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  3. ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

 

(4)  Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

 

(5)  Az (1)-(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:

  1. az érintett már rendelkezik az információkkal;
  2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR Rendelet 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
  3. az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
  4. a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

(GDPR Rendelet 14. cikk)

 

B) Az érintett hozzáférési joga

 

(1) Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

  1. az adatkezelés céljai;
  2. az érintett személyes adatok kategóriái;
  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
  4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  5. az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
  6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
  7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  8. a GDPR Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

 

(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR Rendelet 46. cikk szerinti megfelelő garanciákról.

 

(3) Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait. (GDPR Rendelet 15. cikk)

 

C) A törléshez való jog („elfeledtetéshez való jog”)

 

(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. az érintett visszavonja a GDPR Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  3. az érintett a GDPR Rendelet 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
  4. a személyes adatokat jogellenesen kezelték;
  5. a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. a személyes adatok gyűjtésére a GDPR Rendelet 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

 

(2)   Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és az előbbi (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

 

(3)   Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

  1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  2. a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  3. a GDPR Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
  4. a GDPR Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 1. pontban említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  5. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. (GDPR Rendelet 17. cikk)

 

D) Az adatkezelés korlátozásához való jog

 

(1) Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
  2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  3. az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. az érintett a GDPR Rendelet 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

 

(2)  Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

 

(3)  Az Adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja. (GDPR Rendelet 18. cikk)

 

E) Az adathordozhatósághoz való jog

 

(1) Az érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

  1. az adatkezelés a GDPR Rendelet 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
  2. az adatkezelés automatizált módon történik.

 

(2)  Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.

 

(3) E jog gyakorlása nem sértheti a GDPR Rendelet 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

 

(4) Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait. (GDPR Rendelet 20. cikk)

 

F) A tiltakozáshoz való jog

 

(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR Rendelet 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges)  alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

 

(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

 

(3) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

 

(4)   Az (1) és (2) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

 

(5)   Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

 

(6)  Ha a személyes adatok kezelésére a GDPR Rendelet 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség. (GDPR Rendelet 21. cikk)

 

G) Döntéshozatal egyedi ügyekben, beleértve a profilalkotást

 

(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

 

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

  1. az érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
  2. meghozatalát az Adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
  3. az érintett kifejezett hozzájárulásán alapul.

 

(3) A (2) bekezdés a. és c. pontjában említett esetekben az Adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az Adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

 

(4)  A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a GDPR Rendelet 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor. (GDPR Rendelet 22. cikk)

 

H) Korlátozások

 

(1) Az Adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a GDPR Rendelet 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

  1. nemzetbiztonság;
  2. honvédelem;
  3. közbiztonság;
  4. bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
  5. az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
  6. a bírói függetlenség és a bírósági eljárások védelme;
  7. a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
  8. az érintett védelme vagy mások jogainak és szabadságainak védelme;
  9. polgári jogi követelések érvényesítése.

 

(2)   Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

  1. az adatkezelés céljaira vagy az adatkezelés kategóriáira,
  2. a személyes adatok kategóriáira,
  3. a bevezetett korlátozások hatályára,
  4. a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
  5. az Adatkezelő meghatározására vagy az Adatkezelők kategóriáinak meghatározására,
  6. az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
  7. az érintettek jogait és szabadságait érintő kockázatokra, és
  8. az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját. (GDPR Rendelet 23. cikk)

 

  1. I) Az érintett tájékoztatása az adatvédelmi incidensről

 

(1)  Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

 

(2)  Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR Rendelet 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

 

(3)  Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

  1. az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

 

(4)   Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését. (GDPR Rendelet 34. cikk)

 

J) A felügyeleti hatóságnál történő panasztételhez való jog

 

(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e GDPR Rendeletet.

 

A felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság

Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.

Telefon: +36-1-391-1400,

Fax: +36-1-391-1410

Honlap: www.naih.hu

E-mail: ügyfélszolgá

 

(2) Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a GDPR Rendelet 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni. (GDPR Rendelet 77. cikk)

 

K) Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

 

(1)  A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, GDPR Rendelet 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e GDPR Rendeletnek nem megfelelő kezelése következtében megsértették az e GDPR Rendelet szerinti jogait.

(2)  Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve. (GDPR Rendelet 79. cikk)

 

11. § Kiskorúak és korlátozottan cselekvőképes személyes adatainak védelme

 

(1) Az Egyesület nem gyűjt és nem kezel 13 év alatti gyermekekről személyes adatokat igazolható és annak ismeretében tett szülői, vagy gondviselői hozzájárulás nélkül.  A gyermek szülei kérhetik a gyermekre vonatkozó adatok kiadását és törlését. Amennyiben az adatfeldolgozás, vagy adatkezelés során válik nyilvánvalóvá az életkor, úgy az adatok felhasználhatók a szülői hozzájárulás beszerzése céljából.

 

(2) Cselekvőképtelen és korlátozottan cselekvőképes kiskorú személy nyilatkozatához a törvényes képviselőjének hozzájárulása szükséges, kivéve azon szolgáltatás részeket, ahol a nyilatkozat a mindennapi életben tömegesen előforduló regisztrációt céloz, és különösebb megfontolást nem igényel.

 

 

12. § Az adatvédelmi tisztviselő és hatásvizsgálat

 

(1) Figyelemmel arra, hogy a GDPR Rendelet 37. Cikkében foglalt esetek egyike sem áll fenn, adatvédelmi tisztviselő kinevezésére nem került sor. E körben rögzítjük, hogy nem minősülünk közhatalmi szervnek, közfeladatot nem látunk el; fő tevékenységünk nem foglal magába olyan műveleteket, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését tennék szükségessé, továbbá nagy számban nem kezelünk különleges adatokat.

 

(2) Figyelemmel arra, hogy a GDPR Rendelet 35. Cikkében foglaltak alapján az Egyesület tevékenységével összefüggő adatkezelés annak jellegére, hatókörére, körülményére és céljaira, bizonyosan nem jár magas kockázattal a természetes személyek jogaira és szabadságaira nézve, adatvédelmi hatásvizsgálat elvégzése nem szükségszerű.

 

III. FEJEZET

ADATBIZONSÁGI INTÉZKEDÉSEK, ADATVÉDELMI INCIDENSKEZELÉS

 

 

13. § Adatbiztonsági intézkedések

 

(1)  Az Egyesület valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR Rendelet és az Infotv., érvényre juttatásához szükségesek.

 

(2) Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.

 

(3) Az Egyesület a személyes adatokat bizalmas adatként minősíti és kezeli. A munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő.   A személyes adatokhoz való hozzáférést az Egyesület jogosultsági szintek megadásával korlátozza.

 

(4) Az Egyesület az informatikai rendszereket tűzfallal védi, és vírusvédelemmel látja el.

 

(5) Az Egyesület az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.

 

(6) A személyes adatok automatizált feldolgozása során az adatkezelő további intézkedésekkel biztosítja:

  1. a jogosulatlan adatbevitel megakadályozását;
  2. az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
  3. annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
  4. annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
  5. a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
  6. azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

 

(6) Az Egyesület a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.

 

(7) A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi ás egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani.

 

(8) Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.

 

14. § Az adatvédelmi incidens fogalma

 

(1) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (GDPR Rendelet 4. cikk 12.)

 

(2) A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása; adatok nem biztonságos továbbítása, egyháztag, egyházi személy, tanuló, hallgató, ellátott, beteg, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.

 

15. § Adatvédelmi incidensek kezelés, orvoslása 

 

(1) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása az Egyesület vezetőjének feladata.

 

(2) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.

 

(3) Amennyiben az Egyesület ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell az Egyesület vezetőjét.

 

(4) Az Egyesület munkavállalói kötelesek jelenteni az Egyesület vezetőjének, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

 

(5) Adatvédelmi incidens bejelenthető az Egyesület központi e-mail címén, telefonszámán, amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

 

(6) Adatvédelmi incidens bejelentése esetén az Egyesület vezetője – az informatikai, pénzügyi és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó.  Meg kell vizsgálni és meg kell állapítani:

  1. az incidens bekövetkezésének időpontját és helyét,
  2. az incidens leírását, körülményeit, hatásait,
  3. az incidens során kompromittálódott adatok körét, számosságát,
  4. a kompromittálódott adatokkal érintett személyek körét,
  5. az incidens elhárítása érdekében tett intézkedések leírását,
  6. a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

 

(7) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

 

16. § Az adatvédelmi incidens bejelentése a felügyeleti hatóságnál

 

(1) Az adatkezelő köteles az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával a tudomásszerzést követően bejelenteni az illetékes felügyeleti hatóságnál (GDPR Rendelet 33. cikk (1) bekezdés).

 

(2) A bejelentésnek tartalmaznia kell:

  1. az adatvédelmi incidens jellegének ismertetését
  2. az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó, egyéb kapcsolattartó nevét és elérhetőségeit
  3. az adatvédelmi incidensből eredő, valószínűsíthető következmények ismertetését
  4. az adatkezelő által az adatvédelmi incidens orvoslására tett, vagy tervezett intézkedéseket (GDPR Rendelet 33. cikk (3) bekezdése)

 

(3) A bejelentés mellőzhető, ha az adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve (GDPR Rendelet 33. cikk (1) bekezdés). Pl. Az adatkezelő által rossz címre küldött levél, úgy érkezik vissza, hogy nem kerül felbontásra, azaz a személyes adatokhoz nem fért hozzá illetéktelen személy.

 

17. § Adatvédelmi incidensek nyilvántartása

 

(1) Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

  1. az érintett személyes adatok körét,
  2. az adatvédelmi incidenssel érintettek körét és számát,
  3. az adatvédelmi incidens időpontját,
  4. az adatvédelmi incidens körülményeit, hatásait,
  5. az adatvédelmi incidens orvoslására megtett intézkedéseket,
  6. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

 

(2) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

 

 

18. § Intézkedések az érintett kérelme alapján

 

(1) Az Egyesület, mint adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről.

 

(2) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.

 

(3)  Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

 

(4) Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

 

(5) Az Egyesület, mint Adatkezelő a GDPR Rendelet 13. és 14. cikk szerinti információkat és az érintett jogairól szóló tájékoztatást (Rendelt 15-22. és 34. cikk) és intézkedést díjmentesen biztosítja.  Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

  1. a) az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel, vagy
  2. b) megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

 

(6) Ha az Egyesületnek, mint Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

 

IV. FEJEZET

MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK

 

19. § Munkaviszony létesítését megelőzően folytatott adatkezelés

 

(1) A munkajogviszony előtt felvételre jelentkező természetes személy esetében, a kezelhető személyes adatok köre

  1. név
  2. születési név,
  3. születési ideje, helye,
  4. anyja neve,
  5. lakcíme,
  6. önéletrajz,
  7. iskolai végzettségét, szakképzettségét igazoló okmány másolata,
  8. fénykép,
  9. telefonszám,
  10. e-mail cím,
  11. a jelentkezőről készített munkáltatói feljegyzés,
  12. lelkipásztori ajánlás (ha van).

 

(2) A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.

 

(3) Az adatkezelés jogalapja: az érintett hozzájárulása.

 

(4) A személyes adatok címzettjei, illetve a címzettek kategóriái: az Egyesületnél munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók.

 

(5) A személyes adatok tárolásának időtartama: A jelentkezés, pályázat elbírálásáig. A ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta.

 

(6) A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van.  E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.

 

20. § A munkaviszony fennállása alatt folytatott adatkezelés

 

(1)  A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló személyhez fűződő jogait nem sértik.

 

(2) Az Egyesület munkáltatói jogos érdekeinek érvényesítése (GDPR Rendelet 6. cikk (1) bekezdése f)) jogcímén munkaviszony létesítése, teljesítése vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:

  1. név
  2. születési név,
  3. születési ideje, helye
  4. anyja neve,
  5. lakcíme,
  6. állampolgársága,
  7. adóazonosító jele,
  8. TAJ száma,
  9. nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
  10. telefonszám,
  11. e-mail cím,
  12. személyi igazolvány száma,
  13. lakcímet igazoló hatósági igazolvány száma,
  14. bankszámlaszáma,
  15. online azonosító (ha van)
  16. munkába lépésének kezdő és befejező időpontja,
  17. munkakör, feladatkör
  18. iskolai végzettségét, szakképzettségét igazoló okmány másolata,
  19. fénykép,
  20. önéletrajz,
  21. munkabérének, juttatásának összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
  22. munkabéréből, juttatásból jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
  23. a munkavállaló munkájának értékelése,
  24. a munkaviszony megszűnésének módja, indokai,
  25. erkölcsi bizonyítványa,
  26. a munkaköri/feladatköri alkalmassági vizsgálatok összegzése,
  27. magánnyugdíjpénztári és önkéntes kölcsönös biztosító pénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
  28. külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezését és száma,

29 munkavállalót ért balesetek jegyzőkönyveiben rögzített adatokat;

  1. a jóléti szolgáltatás, kereskedelmi szálláshely igénybevételéhez szükséges adatokat;
  2. az Egyesületnél biztonsági és vagyonvédelmi célból alkalmazott kamera és beléptető rendszer, helymeghatározó rendszerek által rögzített adatokat.

 

(3) Betegségre és szakszervezeti tagságra vonatkozó adatokat a munkáltató csak a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel.

 

(4) A személyes adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, a munkaügyi feladatokat ellátó munkavállalói és más – munkakörük, megbízatásuk szerinti – adatfeldolgozói.

 

(5) A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 3 év.

 

(6) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka törvénykönyvén és a munkáltató jogos érdekeinek érvényesítésén alapul. A munkáltató a munkaszerződés megkötésével egyidejűleg írásos tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és a személyhez fűződő jogokról.

 

21. § Egyéb, a munkaviszonnyal összefüggő adatkezelés

 

(1) Az Egyesület által a munkavállaló rendelkezésére bocsátott e-mail fiók használatával kapcsolatos adatkezelés: az Egyesület e-mail fiókot bocsát a munkavállalók rendelkezésére annak érdekében, hogy a munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy az Egyesület képviseletében levelezzenek a tagokkal, más személyekkel, szervezetekkel.

(2) Munkavállaló rendelkezésére bocsátott laptop, telefon használat: a munkáltató bizonyos munkakörben dolgozó munkavállalók számára „céges” laptopot, tabletet, telefont biztosíthat a munkájuk elvégzéséhez.

 

(3) A munkavállalókra vonatkozó eseti adatkezelés: A munkáltató a munkavállalók közötti kommunikáció fejlesztése, a munkavállalók hatékonyabb együttműködésének elősegítése és bizalmi szintjének növelése, az egymás iránti tisztelet és elkötelezettség erősítése céljából csapatépítő tréningeket, egyéb rendezvényeket szervez, amelyeken való részvételi lehetőséget nyújt a munkavállalók részére.  A tevékenység során végzett adatkezelés jogalapja a munkavállaló hozzájárulása. Az érintettek köre: mindazon munkavállalók, akik a tréningen, egyéb rendezvényen részt vesznek. A személyes adatok köre: munkavállalók képmása, hangja.
Az adatok törlésének határideje: a hozzájárulás visszavonása.

 

V. fejezet

 Az egyesület által üzemeltetett weboldallal összefüggő adatkezelés

22. § Az Egyesület honlapjára látogatók adataival kapcsolatos tájékoztatás

(1) Az Egyesület honlapján tett látogatások során egy vagy több cookie -apró információcsomag, amelyet a szerver küld a böngészőnek, majd a böngésző visszaküld a szervernek minden, a szerver felé irányított kérés alkalmával – kerül küldésre a honlapot meglátogató személy számítógépére, amely(ek) révén annak böngészője egyedileg azonosítható lesz, amennyiben ehhez a honlapot meglátogató személy világos és egyértelmű tájékoztatást követően kifejezett (aktív) hozzájárulását adta a honlap további böngészésére irányuló magatartásával.

(2) A cookie-k kizárólag a felhasználói élmény javítása, a belépési folyamat automatizálása érdekében működnek. A honlapon használt sütik személy szerinti beazonosításra alkalmas információt nem tárolnak, az Egyesület személyes adatkezelést e körben nem folytat.

23. § Regisztráció, hírlevél feliratkozás

(1) Az adatkezelés jogalapja hírlevél feliratkozás esetén az érintett hozzájárulása, amelyet az Egyesület honlapján ad meg.

(2) A 2018. május 25-ét követően meghirdetett rendezvények esetén elektronikus úton, a vállalkozás által működtetett online regisztrációs felületeken, egyértelműen egy négyzet kipipálásával az érintett hozzájárulását adhatja a személyes adatai kezelésének.

a. A kezelt adatok köre hírlevél feliratkozás esetén: név, e-mail cím.

  1. A kezelt adatok köre regisztráció esetén: név, lakcím, e-mail cím, telefonszám, munkahely név és cím, jelszó.
  2. Az adatkezelés célja hírlevél feliratkozás esetén: az érintett tájékoztatása a vállalkozás által szervezett konferenciákról, rendezvényekről.
  3. Az adatok címzettjei (akik megismerhetik az adatokat) hírlevél feliratkozás, regisztráció esetén: a vállalkozás vezetője, ügyfélkapcsolatot ellátó munkatárs, a vállalkozás weblapjának üzemeltetését ellátó adatfeldolgozó munkatársai.
  4. Az adatkezelés időtartama hírlevél feliratkozás, regisztráció esetén: a hozzájárulás visszavonásáig. Hírlevél feliratkozás esetén a leiratkozásig, regisztráció esetén az érintett kérelmére történő törlésig.
  5. Az érintett a hírlevélről bármikor leiratkozhat, illetve kérheti regisztrációja (személyes adatai) törlését. A hírlevél leiratkozás az érintett részére megküldött elektronikus levelek láblécében elhelyezett leiratkozási linkre kattintva.

 

VI. FEJEZET

ZÁRÓ RENDELKEZÉSEK

 

 

24. § Intézkedések a szabályzat megismertetése

 

E Szabályzat rendelkezéseit meg kell ismertetni az Egyesület valamennyi munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége.

 

Jelen szabályzatot az Agapé Gyülekezet Keresztény Egyesület a helyben szokásos módon – szabályzatai között – közzéteszi.

 

Jelen Szabályzat a közzétételt követő napon lép hatályba.

 

 

 

  1. függelék

 

Adatlap tagfelvételi kérelemhez és a személyes adatok hozzájáruláson alapuló kezeléséhez

 

A KÉRELMEZŐ ADATAI

 

A KÉRELMEZŐ NEVE:
SZÜLETÉSI HELY, IDŐ:
ANYJA NEVE:
LAKCÍME:
TELEFONSZÁMA:
E-MAIL CÍME:
 

AZ ADATKEZELŐ ADATAI

 

AZ ADATKEZELŐ NEVE: Agapé Gyülekezet Keresztény Egyesület
CÍME: 1181 Budapest, Kondor Béla sétány 18.
KÉPVISELŐJE: Perjesi István
HONLAPJA: www.agapegyulekezet.hu
ADATKEZELÉS JOGALAPJA: Személyes hozzájárulás (GDPR 6. cikk (1) bek. a))
ADATKEZELÉS CÉLJA: Tagsági kérelem elbírálása, kapcsolattartás
A SZEMÉLYES ADATOK CÍMZETTJEI: Az adatkezelőn túl a tagfelvételi kérelem elbírálásában résztvevők
A SZEMÉLYES ADATOK TÁROLÁSÁNAK IDŐTARTAMA: A hozzájárulás visszavonásáig

 

 

TÁJÉKOZTATÁS A KÉRELMEZŐ JOGAIRÓL: Önnek joga van kérelmezni az adatkezelőtől az Önre vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint a joga van az adathordozhatósághoz.  Joga van a hozzájárulása bármely időpontban történő visszavonásához, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Joga van a felügyeleti hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság) panaszt benyújtani.  A fenti adatok megadásának hiányában a kérelme nem kerül elbírálásra. Felvétel esetén a fenti személyes adataiban bekövetkezett változást 15 napon belül kérjük bejelenteni.

A fenti információkat és tájékoztatást tudomásul vettem, fent megadott személyes adataim fentiekben megjelölt célú kezeléséhez önkéntesen, minden külső befolyás nélkül beleegyezésemet adom és kérem a tagfelvételi kérelmem elbírálását.

 

 

 

Kelt, ______________________  20 ____ év _____________ hó _____ nap

 

 

 

____________________________

(a kérelmező aláírása)

 

 

  1. függelék

Nyilvántartás adatkezelési/adatfeldolgozói tevékenységekről

 

Az adatkezelő neve: Agapé Gyülekezet Keresztény Egyesület Az adatkezelő képviselőjének neve: Perjesi István
Az adatkezelő címe: 1181 Budapest, Kondor Béla sétány 18. A képviselő címe: 1171 Budapest, Oszlop utca 25.
Az adatkezelő telefonszáma: +36 1 603-1819 A képviselő telefonszáma: +36 70 332-1733
Az adatkezelő E-mail címe: A képviselő E-mail címe:
Az adatkezelő honlapja: www.agapegyulekezet.hu

 

(Az adatkezelő és képviselője adatainak megadása kötelező, de a nyilvántartás nem nyilvános dokumentum!)

 

adatkezelési tevékenység jogalap adatkezelés célja érintettek kezelt adattípusok törlési határidő címzettek
tisztségviselők nyilvántartása jogi kötelezettség teljesítése azonosítás egyesületi tisztségviselők név, anyja neve, lakcím tisztség megszűnése
szerződéses partnerek nyilvántartása jogi kötelezettség teljesítése fizetési kötelezettségek teljesítése, könyvelés szerződéses partnerek név, lakcím, bankszámlaszám jogviszony vagy követelés megszűnése
adományok kezelése jogi kötelezettség teljesítése könyvelés adományozók név, bankszámlaszám számviteli szabályok szerint
egyéb elérhetőségek nyilvántartása hozzájárulás kapcsolattartás egyesületi tisztségviselők, gyülekezeti vezetők, más gyülekezetek vezetői, szerződéses partnerek név, telefonszám, e-mail cím, gyülekezet neve visszavonás vagy jogviszony megszűnése
fénykép, videófelvétel készítése, honlapon történő közzététel hozzájárulás egyesületi program dokumentálása, beszámoló készítése programban résztvevők képmás visszavonás honlapkezelő

 

  1. függelék

 

Nyilvántartás adatvédelmi incidensekről

 

AZ ADATKEZELŐ:

Szervezet megnevezése: Agapé Gyülekezet Keresztény Egyesület

Székhely: 1181 Budapest, Kondor Béla sétány 18.

Adószám: 18297337-1-43

KSH szám: 18297337 9491 525 01

Képviselő: Perjesi István

Telefonszám: +36 1 603-1819

E-mail cím:

Honlap: www.agapegyulekezet.hu

INCIDENESEK:

Sorszám Időpont Leírás Érintettek köre Érintett személyes adatok Incidens hatásai Intézkedés  
               

 

 

  1. függelék

 

Adatkérő lap kép- és hanganyag hozzájáruláson alapuló kezeléséhez

 

A HOZZÁJÁRULÓ NEVE:  
ANYJA NEVE:  
SZERVEZET ESETÉN A SZERVEZET, AMELYET KÉPVISEL:   
SZERVEZET ESETÉN A SZERVEZET SZÉKHELYE:  

 

ADATKEZELŐ NEVE: Agapé Gyülekezet Keresztény Egyesület
KÉPVISELŐJE: Perjesi István
AZ ADATKEZELÉS CÉLJA:

 

A rendezvény során készített kép-és hanganyag felhasználása
AZ ADATKEZELÉS JOGALAPJA: Az érintett hozzájárulása.
A SZEMÉLYES ADATOK CÍMZETTJEI: Az adatkezelő
A SZEMÉLYES ADATOK TÁROLÁSÁNAK IDŐTARTAMA:  A rendezvényt követő 5 évig vagy a hozzájárulás visszavonásáig

 

Önnek, mint hozzájáruló személynek joga van a hozzájárulása bármely időpontban történő visszavonásához, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Joga van a felügyeleti hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság) panaszt benyújtani.

 

A fenti tájékoztatást tudomásul vettem, a készített kép-és hanganyag az Agapé Gyülekezet Keresztény Egyesület által történő felhasználásához önkéntesen, minden külső befolyás nélkül beleegyezésemet, hozzájárulásomat adom.

 

 

Kelt: 2018. június 2.

 

____________________________

aláírás

 

 

  1. függelék

 

Adatkérő lap személyes adatok, valamint kép- és hanganyag hozzájáruláson alapuló kezeléséhez rendezvény során

 

(Jelentkezési lap mellé kell tenni)

 

AZ ÉRINTETT NEVE:  
SZÜLETÉSI HELY, IDŐ:  
ANYJA NEVE:  
LAKCÍME:  
TELEFONSZÁMA:  
E-MAIL CÍME:  

 

ADATKEZELŐ NEVE: Agapé Gyülekezet Keresztény Egyesület
KÉPVISELŐJE: Perjesi István
AZ ADATKEZELÉS CÉLJA:

 

Rendezvény lebonyolításához kapcsolódó kapcsolattartás, rendezvény során készített kép-és hanganyag felhasználása
AZ ADATKEZELÉS JOGALAPJA: Az érintett hozzájárulása.
A SZEMÉLYES ADATOK CÍMZETTJEI: Az adatkezelő
A SZEMÉLYES ADATOK TÁROLÁSÁNAK IDŐTARTAMA:  A rendezvényt követő 5 évig vagy a hozzájárulás visszavonásáig

 

Önnek, mint érintett személynek joga van kérelmezni az adatkezelőtől az Önre vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint a joga van az adathordozhatósághoz. Joga van a hozzájárulása bármely időpontban történő visszavonásához, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Joga van a felügyeleti hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság) panaszt benyújtani.

A fenti tájékoztatást tudomásul vettem, fent megadott személyes adataim fentiekben megjelölt célú kezeléséhez, valamint a rendezvényen készített kép-és hanganyag az Agapé Gyülekezet Keresztény Egyesület által történő felhasználásához önkéntesen, minden külső befolyás nélkül beleegyezésemet, hozzájárulásomat adom.

 

Kelt, ______________________  20 ____ év _____________ hó _____ nap

 

____________________________

aláírás

Egyszerűsített változat:

JELENTKEZÉSI LAP A/AZ …………………….. RENDEZVÉNYRE

 

A JELENTKEZŐ NEVE:  
SZÜLETÉSI HELY, IDŐ:  
ANYJA NEVE:  
LAKCÍME:  
TELEFONSZÁMA:  
E-MAIL CÍME:  

 

…..

(További releváns információk a rendezvénnyel kapcsolatosan, pl. szállást/étkezést igényel-e stb.)

 

Jelen jelentkezési lap kitöltésével hozzájárulok a/az …………………….. lebonyolításához szükséges személyes adataim szervezők általi kezeléséhez. Hozzájárulok továbbá, hogy a/az …………………….. során készített kép-és hanganyagot az Agapé Gyülekezet Keresztény Egyesület kezelje, felhasználja. Ezzel egyidejűleg tudomásul veszem, hogy hozzájárulásomat bármikor visszavonhatom, a hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. Kijelentem, hogy a kezelt személyes adatok körét, az adatkezelés feltételeit, továbbá a jogorvoslati lehetőségeket részletesen tárgyaló Adatvédelmi Tájékoztató és Adatvédelmi Szabályzat tartalmát az Agapé Gyülekezet Keresztény Egyesület számomra megismerhetővé tette.

 

 

 

Kelt, ______________________  20 ____ év _____________ hó _____ nap

 

____________________________

aláírás

 

  1. függelék

 

Hozzájárulás személyes adatok kezeléséhez, valamint kép- és hanganyag felhasználásához rendezvény során honlapon történő jelentkezéskor

Jelen jelentkezési lap elküldésével hozzájárulok a/az …………………….. lebonyolításához szükséges személyes adataim* szervezők általi kezeléséhez. Hozzájárulok továbbá, hogy a/az …………………….. során készített kép-és hanganyagot az Agapé Gyülekezet Keresztény Egyesület kezelje, felhasználja. Ezzel egyidejűleg tudomásul veszem, hogy hozzájárulásomat bármikor visszavonhatom, a hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. Kijelentem, hogy a kezelt személyes adatok körét, az adatkezelés feltételeit, továbbá a jogorvoslati lehetőségeket részletesen tárgyaló Adatvédelmi Tájékoztató tartalmát megismertem.

* Tájékoztató a személyes adatok kezeléséről az EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE (GDPR) 13. cikke alapján tájékoztatunk, hogy a jelentkezési lapon lévő személyes adatok kezelése a/az …………………….. lebonyolítása céljából szükséges. Az Agapé Gyülekezet Keresztény Egyesület a személyes adataidat a hozzájárulásod alapján kezeli. Továbbá tájékoztatunk, hogy a jelentkezési lapon megadott személyes adataidat legfeljebb 5 évig, vagy mindaddig tároljuk, amíg nem kéred azok törlését.
Tájékoztatunk továbbá arról is, hogy a személyes adatok kezelése vonatkozásában az érintett jogairól (tájékoztatás kérése, helyesbítés, zárolás, törlés, tiltakozás) a GDPR 15-21. cikke jogorvoslati lehetőségeiről (NAIH, bíróság) a GDPR 77. és 79. cikke rendelkezik.

 

  1. függelék

 

Szülői hozzájáruló nyilatkozat személyes adatok, valamint kép- és hanganyag hozzájáruláson alapuló kezeléséhez

 

Alulírott

Név [törvényes képviselő]: ……………………………………………….

Születési hely, dátum: ……………………………..

Lakcím: ……………………………………………

Telefonszám: ……………………………………………

-továbbiakban nyilatkozó – nyilatkozom arról, hogy szülőként/törvényes képviselőként kiskorú gyermekem:

Név: ……………………………………………….

Születési hely, dátum: ……………………………..

Lakcím: ……………………………………………

-továbbiakban érintett kiskorú -személyes adatainak kezelésére vonatkozó Adatkezelési Tájékoztatót megismertem és az abban foglalt adatkezeléshez hozzájárulásomat adom.

Az érintett kiskorú törvényes képviselőjeként hozzájárulok ahhoz, hogy az Agapé Gyülekezet Keresztény Egyesület által szervezett rendezvény során az érintett kiskorú személyes adatait kezelje. Hozzájárulok továbbá, hogy a rendezvény során az érintett kiskorúról készített kép-és hanganyagot az Agapé Gyülekezet Keresztény Egyesület kezelje, felhasználja.

Az EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE (GDPR) 8. cikke alapján hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha – főszabály szerint – a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

 

Önnek, mint érintett kiskorú törvényes képviselőjének joga van kérelmezni az adatkezelőtől az érintett kiskorúra vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint a joga van az adathordozhatósághoz. Joga van a hozzájárulása bármely időpontban történő visszavonásához, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Joga van a felügyeleti hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság) panaszt benyújtani.

 

Kelt, ______________________  20 ____ év _____________ hó _____ nap

 

____________________________

törvényes képviselő aláírása

 

 

  1. függelék

 

Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez – név- és címjegyzékben való szerepeltetéséhez

 

AZ ÉRINTETT NEVE:  
LAKCÍME:  
TELEFONSZÁMA:  
E-MAIL CÍME:  

 

ADATKEZELŐ NEVE: Agapé Gyülekezet Keresztény Egyesület
KÉPVISELŐJE: Perjesi István
AZ ADATKEZELÉS CÉLJA:

 

Az Agapé Gyülekezet Keresztény Egyesület tagjaként név- és címjegyzékben történő szerepeltetés kapcsolattartás érdekében
AZ ADATKEZELÉS JOGALAPJA: Az érintett hozzájárulása.
A SZEMÉLYES ADATOK CÍMZETTJEI: Az adatkezelőn túl az Agapé Gyülekezet Keresztény Egyesület tagjai
A SZEMÉLYES ADATOK TÁROLÁSÁNAK IDŐTARTAMA:  A hozzájárulás visszavonásáig

 

Önnek, mint érintett személynek joga van kérelmezni az adatkezelőtől az Önre vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint a joga van az adathordozhatósághoz. Joga van a hozzájárulása bármely időpontban történő visszavonásához, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. Joga van a felügyeleti hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság) panaszt benyújtani.

A fenti tájékoztatást tudomásul vettem, fent megadott személyes adataim fentiekben megjelölt célú kezeléséhez önkéntesen, minden külső befolyás nélkül beleegyezésemet, hozzájárulásomat adom.

 

Kelt, ______________________  20 ____ év _____________ hó _____ nap

 

____________________________

aláírás