1. A Szabályzat célja
A jelen Adatkezelési és Adatvédelmi Szabályzat (a továbbiakban: Szabályzat) szabályozza az Adatkezelő által a természetes személyek személyes adataira vonatkozó adatkezelési folyamatait, továbbá biztosítsa az Érintettek jogait. A Szabályzat célja meghatározni a személyes adatok kezelésével és védelmükkel összefüggő technikai és szervezési intézkedéseket. A Szabályzat az Adatkezelő belső dokumentuma és az adatvédelmi jogszabályok szerinti tartalmú nyilvános adatkezeléssel és adatvédelemmel kapcsolatos információkat az adatvédelmi és adatkezelési tájékoztató tartalmazza.
1.1. Az Adatkezelő adatai
- Név: Land Plan Kft.
- Székhely: 9012 Győr, Ménfői u. 64.
- Cégjegyzékszám: 08-09-028190
- Adószám: 25586505-2-08
- Nyilvántartó bíróság: Győri Törvényszék Cégbírósága
- Telefonszám: +3696 900 490
- E-mail cím: hotel@landplanhotel.hu
2. A Szabályzat hatálya
2.1. Időbeli hatály
A Szabályzat 2018.05.25. napján lép hatályba. A Szabályzat hatályban marad mindaddig, amíg az Adatkezelő meg nem szűnik vagy a jelen Szabályzat egyidejű hatályon kívül helyezésével új Szabályzat nem kerül létrehozásra.
2.2. Személyi hatály
A Szabályzat hatálya kiterjed:
- azokra a természetes személyekre, akikkel kapcsolatban az Adatkezelő személyes adatokat kezel vagy feldolgoz (Érintett),
- az Adatkezelő nevében adatkezelési tevékenységet végző személyekre (munkavállalók vagy más munkavégzésre irányuló jogviszonyban álló személy),
- az adatfeldolgozó nevében adatfeldolgozási tevékenységet végző személyekre (munkavállalók vagy más munkavégzésre irányuló jogviszonyban álló személy).
Az Adatkezelő valamennyi munkavállalója vagy más munkavégzésre irányuló jogviszonyban álló közreműködője köteles saját munkakörében vagy feladatkörében megtenni minden tevékenységet annak érdekében, hogy a jelen Szabályzatban foglaltak érvényre jutását elősegítse és megvalósítsa.
2.3. Tárgyi hatály
A Szabályzat tárgyi hatálya kiterjed a jelen Szabályzat személyi hatálya alá tartozó Adatkezelő által az adatkezelési tevékenységek során kezelt vagy feldolgozott személyes adatokra.
3. Adatvédelemre és adatbiztonságra vonatkozó jogszabályok
A jelen Szabályzat szempontjából adatvédelmi és adatbiztonsági tartalmú jogszabályok különösen az alábbiak:
- AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (GDPR),
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.),
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.),
- évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről
- A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII.tv (Grt.)
- az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Ekertv.)
- a számvitelről szóló 2000. évi C. törvény (Számvtv.),
- a fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fgytv.).
- a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény
- a Munka Törvénykönyvéről szóló 2012. évi I. tv. (Mt.)
4. Fogalom meghatározások
Személyes adat: azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.)
- Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.)
- Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.)
- Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.)
- Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.)
- Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.)
- Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.)
- Az Érintett hozzájárulása: az Érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.)
- Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.)
- Felügyeleti hatóság: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.)
5. Adatvédelmi és adatbiztonsági szabályok
5.1. Alapelvek
Az Adatkezelő tiszteletben tartja a személyes adatok kezelésére vonatkozó és GDPR 5. cikkben rögzített elveket, mely szerint:
„(1) A személyes adatok:
- a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
- b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
- c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
- d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
- e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
- f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).”
A fenti elvek betartását az Adatkezelő különösen az alábbiak szerint biztosítja:
- az a) pont szerinti jogalapok meghatározását az adatkezelési tevékenységek nyilvántartása (AKNy) tartalmazza,
- a b) pont szerinti adatkezelési tevékenység célmeghatározást az Adatkezelő célmeghatározások iratmintáját az 1. sz. melléklet tartalmazza, az adatkezelési nyilvántartás mintáját a 2. sz. melléklet tartalmazza,
- a c) pont szerinti kezelt személyes adatok körét az AKNy tartalmazza,
- a d) pont szerinti adatkezelés időtartamát az AKNy tartalmazza,
- az e) pont szerinti adattárolással és adattörléssel kapcsolatos szervezési és technikai intézkedéseket (vagy az azokra való utalást) a jelen Szabályzat tartalmazza,
- az f) pont szerinti szervezési és technikai intézkedéseket, (vagy az azokra való utalást) a jelen Szabályzat tartalmazza,
- az elszámoltathatóság elvének való megfelelés érdekében a dokumentációs kötelezettségeket a jelen Szabályzat tartalmazza.
5.2. Az adatkezelés jogszerűsége
5.2.1. A személyes adatok kezelésének jogalapjai
Az Adatkezelő személyes adatot kizárólag az alábbi esetekben, jogalapokon kezel:
- az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez /GDPR 31. cikk (1) a)/,
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges /GDPR 31. cikk (1) b)/,
- az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges /GDPR 31. cikk (1) c)/,
- az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges /GDPR 31. cikk (1) d)/,
- az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges /GDPR 31. cikk (1) e)/,
- az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek /GDPR 31. cikk (1) f)/.
Az Adatkezelő az adatkezelést túlnyomó részben a b), c) és f) pontok szerinti jogalapok alapján, kisebb részben az a) pont szerinti jogalap alapján végzi. A d) és e) pontok szerinti jogalap alkalmazása adatkezeléshez az Adatkezelő vonatkozásában nem jellemző. Az egyes adatkezelési tevékenységek pontos jogalapjait az AKNy tartalmazza.
5.2.2. Az adatkezelési jogalapokkal kapcsolatos dokumentációs kötelezettség
5.2.2.1. Hozzájárulás
Amennyiben az AKNy az adatkezelés jogalapjaként hozzájárulást jelöl meg, úgy az Adatkezelőnek képesnek kell lennie annak igazolására, hogy az Érintett a személyes adatainak kezeléséhez önkéntes, konkrét és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítással hozzájárult. A hozzájárulás nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet és amelyekkel egyértelmű beleegyezését adta az őt érintő vagy rá vonatkozó személyes adatok kezeléséhez.
Az Adatkezelő személyes adatok különleges kategóriájába tartozó adatokat kizárólag az alábbi esetekben kezel:
– az Érintett kifejezett hozzájárulása alapján,
– munkavállaló esetén foglalkoztatásra, valamint szociális biztonságra és védelemre vonatkozó jogszabályon alapuló jogi kötelezettség teljesítése érdekében.
Az Érintett által az Adatkezelő számára megküldött és különleges adatot tartalmazó dokumentumot az Adatkezelő másolat készítése nélkül és az abban levő adatok kezelése nélkül visszaszármaztatja, a jogi kötelezettség teljesítése miatti adatkezeléssel érintett dokumentum vagy adat kivételével.
Az Érintett személyes adata hozzájárulás jogalap szerint csak azt követően kezelhető, hogy az Érintett dokumentált hozzájáruló nyilatkozata papíralapon vagy elektronikus úton rendelkezésre áll. Az Érintett általi hozzájárulásra az Adatkezelő iratmintát rendszeresít.
5.2.2.2. Érdekmérlegelési teszt
Amennyiben az AKNy az adatkezelés jogalapjaként jogos érdeket jelöl meg, úgy érdekmérlegelési teszt lefolytatása és dokumentálása szükséges. Az érdekmérlegelési teszt keretén belül meghatározásra kerül az Adatkezelő (vagy harmadik fél) jogszerű érdeke, az Érintett érdekei, alapvető jogai és szabadságai és ezen tényezők alapján kerül sor a mérlegelésre. Amennyiben a mérlegelés eredménye nem egyértelműen pozitív, úgy további biztosítékokat szükséges alkalmazni az Érintett jogainak védelméhez.
A jogos érdek jogalap esetén személyes adat – az elszámoltathatóság alapelvére is tekintettel – csak az érdekmérlegelési teszt elvégzését és annak írásbeli dokumentálását követően kezelhető.
Az érdekmérlegelési tesztet az adatkezelés megkezdését megelőzően szükséges elkészíteni az Adatvédelmi Tisztviselő és a jogi képviselő bevonásával.
Az érdekmérlegelési tesztek írásbeli dokumentációját az Adatvédelmi Tisztviselő őrzi.
5.3. Az Érintettek jogainak védelmére vonatkozó szabályozás
5.3.1. Átlátható tájékoztatáshoz és kommunikációhoz fűződő jog
5.3.1.1. GDPR 12. cikk „(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15-22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
(2) Az adatkezelő elősegíti az érintett 15-22. cikk szerinti jogainak a gyakorlását.”
Az Adatkezelő a személyes adatok kezelésére vonatkozó információkat Tájékoztatás formájában adja meg az Érintettek részére. A Tájékoztatás tömör, átlátható, érthető és könnyen hozzáférhető formátumú, világosan és közérthetően megfogalmazva tartalmazza az információkat. A Tájékoztatás írásban (papíralapon vagy elektronikus úton) kerül az Érintett részére megadásra.
Az Adatkezelő a GDPR 13.-14.cikkében rögzített kötelező tartalmi elemek szerinti iratmintákat rendszeresít, mely Tájékoztatások jogszabályoknak megfelelő időpontját külön jegyzék tartalmazza.
A Tájékoztatásokat a személyes adatok kezelésének konkrét körülményeit tekintetbe véve az alábbi időpontban kell közölni:
- ha a személyes adatot az Érintettől szerezték meg, a megszerzés időpontjában,
- ha a személyes adatot nem az Érintettől szerezték meg, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül,
- ha a személyes adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első kapcsolatfelvétel alkalmával, vagy
- ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor,
- ha az Adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az Érintettet erről az eltérő célról és a GDPR 14. cikk (2) bekezdésben említett minden releváns kiegészítő információról.
A GDPR 14. cikk (5)bek. alapján az Adatkezelő jogosult az érintett tájékoztatási jog gyakorlását megtagadni az alábbi esetekben:
- a) az Érintett már rendelkezik az információval,
- b) az információ rendelkezésre bocsátása lehetetlen, aránytalanul nagy erőfeszítést igényel vagy a rendelkezésre bocsátás ténye lehetetlenné tenné vagy veszélyeztetné az adatkezelés céljának elérését és amelynek érdekében az Adatkezelő megfelelő intézkedéseket hozott az Érintett jogos érdekeinek védelme érdekében,
- c) kifejezett olyan jogszabályi előírás esetén, amely egyidejűleg az Érintett jogos érdekeinek védelméről is rendelkezik,
- d) amennyiben jogszabályban előírt szakmai titoktartási kötelezettség vagy jogszabályon alapuló titoktartási kötelezettség miatt az adatkezelésnek bizalmasnak kell maradnia.
GDPR 12. cikk (2) bek. „A 11. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 15-22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15-22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) A 13. és 14. cikk szerinti információkat és a 15-22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
- a) észszerű összegű díjat számíthat fel, vagy
- b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(6) A 11. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 15-21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
(7) Az érintett részére a 13. és 14. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.”
GDPR 11. cikk „(Azonosítást nem igénylő adatkezelés)
(1) Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.
(2) Ha az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a 15-20. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.”
Az Adatkezelő az Érintettnek a GDPR 15.-22. cikk szerinti jogai gyakorlására irányuló kérelmének dokumentált (iktatott) benyújtását követően megvizsgálja az adatkezelési tevékenységet végző munkatárs útján, szükség szerint az Adatvédelmi Tisztviselő, illetve az Adatkezelő jogi képviselője bevonásával annak érdekében, hogy megállapítsa:
– a kérelmet azonosítható Érintett, illetve arra jogosult személy nyújtotta be,
– a kérelem mely jog gyakorlására vonatkozik,
– a kérelemben foglaltak teljesítésére van-e kötelezettsége az Adatkezelőnek.
A kérelem vizsgálatát követően az Adatkezelő adatkezelési tevékenységet végző munkatársa elkészíti a visszajelzés tervezetét és azt véleményezteti az Adatvédelmi Tisztviselővel, majd indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül és díjmentesen visszajelzést ad a kérelmet benyújtó számára:
- Adatkezelő általi intézkedés megtétele,
- Adatkezelő általi intézkedés elmaradása (beleértve a visszajelzési határidő meghosszabbítását is) és ennek jogszabály szerinti indokai,
- jogorvoslati tájékoztatás (az Érintett panaszt nyújthat be a Felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával),
- a kérelemmel összefüggő kiegészítő információ, azonosítás során az Adatkezelő általi ezen adatok kezelésére vonatkozó tájékoztatás.
Az Adatkezelő a visszajelzések (válaszlevelek) egységes és jogszabályoknak megfelelő kibocsátása céljából iratmintákat rendszeresít.
Az Adatkezelő részére rendelkezésre álló egy hónapos válaszadási határidő további két hónappal meghosszabbítható abban az esetben, ha azt a kérelem összetettsége és a kérelmek száma indokolja.
Az Adatkezelő által az Érintett részéről benyújtott kérelem alapján történő intézkedés az Adatkezelő részéről megtagadható vagy a kért információ avagy az intézkedés meghozatalával járó adminisztratív költség miatt észszerű összegű díj számítható fel, ha a kérelem bizonyítottan és egyértelműen megalapozatlan vagy túlzó (különösen ismétlődő jellege miatt).
Amennyiben a kérelemben Címzett is érintett, úgy a visszajelzés (válaszlevél) megküldésével egyidejűleg arról a Címzettet is tájékoztatni kell.
5.3.2. Az Érintett hozzáférési joga
GDPR 15. cikk „(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- a) az adatkezelés céljai;
- b) az érintett személyes adatok kategóriái;
- c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
- d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
- h) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.
(3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.”
Amennyiben az Érintett a személyes adatai másolatát kéri az Adatkezelőtől, úgy az adatok megadása első alkalommal díjmentesen történik. Amennyiben az Érintett további másolatokat igényel, úgy az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat jogosult felszámítani.
Az Érintett által személyes adatai másolatára vonatkozó igény és annak teljesítése ugyanakkor nem érintheti hátrányosan mások jogait és szabadságait, így más Érintettre vonatkozó adatokat is tartalmazó dokumentum csak megfelelő anonimizálás után kerülhet kibocsátásra.
A személyes adat másolata kizárólag az Adatkezelőnél tárolt személyes adatok másolatát jelenti, de nem foglalja magában a személyes adat felhasználásával készült bármely irat (beleértve a papíralapú és elektronikus iratot is) másolatát, mely utóbbiakra vonatkozóan az Adatkezelőnek nincsen másolat kiadási kötelezettsége a GDPR alapján.
5.3.3. A helyesbítéshez való jog
GDPR 16. cikk „Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.”
GDPR 19 cikk „Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk … szerinti valamennyi helyesbítésről….., akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.”
5.3.4. A törléshez való jog („az elfeledtetéshez való jog”)
GDPR 17. cikk „(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- b) az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- c) az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
- d) a személyes adatokat jogellenesen kezelték;
- e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- f) a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
- a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- c) a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
- d) a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.”
GDPR 19. cikk: „Az adatkezelő minden olyan címzettet tájékoztat a …, a 17. cikk (1) bekezdése …. szerinti valamennyi ….. törlésről … akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.”
Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- b) az Érintett visszavonja általános személyes adata vagy különleges adata vonatkozásában az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- c) az Érintett tiltakozik a közérdekből, közhatalmi jogosítvány jogalapja vagy a jogos érdek jogalapja szerinti adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az Érintett tiltakozik közvetlen üzletszerzés érdekében történő adatkezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik;
- d) a személyes adatokat jogellenesen kezelték;
- e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- f) a személyes adatok gyűjtésére a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az Érintett törlési joga korlátozható és az Adatkezelő a törölni kért adatokat jogszerűen továbbra is kezelheti az alábbi esetekben:
- a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából,
- b) a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából,
- c) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, a szakember titoktartási kötelezettségére, mint garanciára figyelemmel, valamint népegészségügy területét érintő közérdek alapján,
- d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben törlési jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést, vagy
- e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
5.3.5. Az adatkezelés korlátozásához való jog
GDPR 18. cikk „(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- d) az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.”
GDPR 19. cikk „Az adatkezelő minden olyan címzettet tájékoztat a …. a 18. cikk szerinti valamennyi …. adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.”
Az adatkezelés korlátozása elsődlegesen átmeneti intézkedés egy igény elbírálásáig vagy intézkedés megtételéig.
Az adatkezelés korlátozása alatt tárolni lehet, valamint az alábbi esetekben kezelni:
– az Érintett hozzájárulásával, vagy
– jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy
– más természetes vagy jogi személy jogainak védelme érdekében, vagy
– az Unió, illetve valamely tagállam fontos közérdekéből.
5.3.6. Az adathordozhatósághoz való jog
GDPR 20. cikk „ (1) Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
- a) az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
- b) az adatkezelés automatizált módon történik.
(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
(3) Az e cikk (1) bekezdésében említett jog gyakorlása nem sértheti a 17. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
(4) Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.”
Az Érintett csak a rá vonatkozó és csak az általa az Adatkezelő részére rendelkezésre bocsátott adatok vonatkozásában jogosult az adathordozhatósági jog gyakorlására ha:
– a személyes adat vagy a különleges személyes adat kezelése hozzájárulás jogalapján alapul, vagy szerződés jogalapján alapul és
– az adatkezelés automatizált módon történik.
Az adathordozhatóság joga nem sérti a törlési jogot és az adathordozhatóság nem jelenti az adatok törlését. Az adathordozhatóság joga az Adatkezelő nyilvántartásaiban tárolt személyes adatok hordozhatóságát jelenti és nem jelenti az adatokat tartalmazó papíralapú vagy elektronikus dokumentum hordozhatóságát.
5.3.7. A tiltakozáshoz való jog
GDPR 21. cikk „ (1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
(3) Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
(4) Az (1) és (2) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
(5) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
(6) Ha a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.”
Az Érintett jogosult az Adatkezelőnél tiltakozni személyes adtainak kezelése ellen csak saját helyzetével kapcsolatos okból az alábbi esetekben:
– a közérdekből, közhatalmi jogosítvány jogalapja vagy a jogos érdek jogalapja szerinti adatkezelés esetén (mely esetben az Adatkezelő csak akkor kezelheti tovább az adatot, ha igazolja az Adatkezelő jogos érdekének jogalapját), vagy
– közvetlen üzletszerzés érdekében történő adatkezelés esetén, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik (mely esetben az adat a továbbiakban nem kezelhető, hanem törlendő), vagy
– tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor az adatkezelésre és nem áll fenn közérdekű okból végzett feladat végrehajtásának jogalapja.
5.3.8. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
GDPR 22. cikk „(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:
- a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
- b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
- c) az érintett kifejezett hozzájárulásán alapul.
(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
(4) A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.”
Az Adatkezelő jogosult automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés megvalósítani, amely az Érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, az alábbi esetekben:
- a) az Érintett és az Adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
- b) meghozatalát az Adatkezelő alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az Érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
- c) az Érintett kifejezett hozzájárulásán alapul és
- d) az a)-c) pontok szerinti adatkezelések nem különleges személyes adatra vonatkoznak (kivéve, ha a különleges személyes adat kezelése hozzájárulás alapján történik és jogszabály ezt nem tiltja, illetve az adatkezelést jogos közérdek indokolja jogszabály alapján.
5.4. Adatvédelmi Tisztviselő
5.4.1. Adatvédelmi Tisztviselő kijelölése
Az Adatkezelő a jogszabályoknak megfelelő adatkezelési tevékenység érdekében Adatvédelmi Tisztviselőt jelöl ki, akinek nevét és elérhetőségét a 3. sz. melléklet tartalmazza.
5.4.2. Az Adatvédelmi Tisztviselő feladatai:
- a) tájékoztatást és szakmai tanácsot ad az Adatkezelő alkalmazottai részére a GDPR, valamint egyéb uniós vagy hazai adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban,
- b) ellenőrzi a GDPR-nak, egyéb uniós vagy hazai rendelkezéseknek való megfelelést, a jelen Szabályzatnak történő megfelelést, ennek keretében felelős a jelen Szabályzat elkészítéséért és naprakészen tartásáért, különös tekintettel felelős az Adatkezelő Adatkezelési Tevékenységek Nyilvántartásának elkészítéséért és naprakészen tartásáért,
- c) ellenőrzi az adatkezeléssel kapcsolatos feladatkörök kijelölését, részt vesz az Adatkezelő belső audit tevékenységében, javaslatot tesz a személyes adatvédelemmel kapcsolatos szabályozásra, módosításra, véleményezi a szabályozókat a személyes adatvédelem szempontjából,
- d) szervezi és ellenőrzi az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését,
- e) szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, nyomon követi az elvégzését;
- e) együttműködik és bármely kérdésben konzultációt folytat a Felügyeleti Hatósággal, kapcsolattartási pontként szolgál a Felügyeleti Hatóság felé, ennek keretében részt vesz az Adatkezelő adatvédelmi incidenskezelési tevékenységében.
5.4.3. Adatvédelmi Tisztviselő eljárása
Amennyiben az Adatkezelő bármely munkavállalója az Adatkezelő működése körében adatkezeléssel összefüggően intézkedést igénylő körülményt észlel, az alábbiak szerint kell eljárnia:
- a) Ha valamely Érintett adatkezeléssel kapcsolatos kérelmet juttat el hozzá vagy az Adatkezelőhöz, köteles értesíteni a társasági Adatvédelmi Tisztviselőt.
- b) Ha adatvédelmi incidensre utaló eseményt tapasztal vagy ezzel kapcsolatban bármely más releváns információhoz jut, haladéktalanul köteles értesíteni az Adatkezelő legfelső szintű vezetőjét és köteles továbbítani neki a releváns dokumentumokat és információkat.
5.5. Nyilvántartások és dokumentáció
Az Adatkezelő az adatkezelési (adatfeldolgozói) tevékenységére vonatkozó jogszabályoknak való megfelelést a továbbiakban részletezendő nyilvántartások és a Szabályzatban már megjelölt dokumentáció mellett a jelen pontban megjelölt dokumentáció alapján biztosítja. Az Adatkezelő (adatfeldolgozó) a Felügyeleti Hatóság részére bocsátja rendelkezésre a nyilvántartásokat és megjelölt dokumentumokat, de ezen dokumentumok nem minősülnek nyilvános dokumentumnak.
Az Adatkezelő nyilvántartásait az Adatvédelmi Tisztviselő vezeti.
5.5.1. Adatkezelési tevékenységek nyilvántartása
Az Adatkezelő az általa végzett és személyes adatokra vonatkozó adatkezelési tevékenységekről nyilvántartást vezet (AKNy), a Szabályzat 2. sz. melléklete szerinti mintának megfelelő tartalommal.
Az adatkezelési nyilvántartást az Adatkezelő folyamatosan felülvizsgálja és naprakészen tartja, különösen az alábbiak szerint:
– új adatkezelési tevékenységek rögzítése,
– megszűnt adatkezelési tevékenységek törlése,
– adatkezelési tevékenység módosulása.
Az adatkezelési nyilvántartás képezi az alapját a Tájékoztatóknak és a tájékoztatókban kizárólag az AKNy-ben szereplő adatkezelés rögzíthető.
Az AKNy módosítására vonatkozó igényt az Adatkezelő munkaszervezete jelzi az adatvédelmi tisztségviselő felé, aki gondoskodik a nyilvántartás aktualizálásáról.
Az AKNy képezi az alapját a személyes adatokra vonatkozó törlési kötelezettség ellenőrzésének és megvalósításának. Az Adatkezelő az adatkezelési nyilvántartást negyedévente vizsgálja felül olyan esetben, ha az adattárolási idő valamely jogviszony végéhez kapcsolódik, valamint ha elévülési idővel összefüggő időtartamot rögzít. Az AKNy egyebekben naptári évenként, minden naptári év III. negyedévében kerül átfogó felülvizsgálatra.
Amennyiben az AKNy-ből adatkezelési tevékenység törlésre kerül, úgy a tevékenységgel Érintett személyes adatok törlése egyidejűleg kerül megvalósításra, egyebekben pedig az előzőekben megjelölt törlési felülvizsgálati időpontokban.
Az adattörlés vonatkozásában tett intézkedések dokumentálása jegyzőkönyv felvételével történik és amely jegyzőkönyv papíralapon zároltan kerül továbbiakban tárolásra, elektronikusan pedig zárolás alá kerül.
Új adatkezelési tevékenységnek az AKNy-be való felvételét megelőzően az Adatkezelő hatásvizsgálatot végez arra vonatkozóan, hogy az adatkezelés valószínűsíthetően magas kockázattal jár-e a természetes személyek jogaira és szabadságaira nézve. A hatásvizsgálatra vonatkozó információt az AKNy tartalmazza.
5.5.2. Adatfeldolgozói nyilvántartás
Az Adatkezelő abban az esetben, ha Adatfeldolgozóként fejt ki tevékenységet, a végzett adatfeldolgozásról nyilvántartást vezet a Szabályzat 4. sz. melléklete szerinti mintának megfelelően.
Az adatfeldolgozási nyilvántartás felülvizsgálatára egyebekben az adatkezelési nyilvántartás felülvizsgálatára vonatkozó szabályok az irányadók.
5.5.3. Adatvédelmi Incidensek Nyilvántartása
Az Adatkezelő a személyes adatokra vonatkozó adatkezelési tevékenységekkel összefüggő adatvédelmi incidensekről nyilvántartást vezet a GDPR 33.cikk (5)bek. alapján. A nyilvántartás rögzíti az adatvédelmi incidenshez kapcsolódó tényeket, körülményeket, hatásokat és intézkedéseket.
Az Adatvédelmi Incidens Nyilvántartás mintáját a jelen Szabályzat 5. sz. melléklete tartalmazza.
Az Adatvédelmi Incidens Nyilvántartás folyamatos aktualizálásáról az Adatkezelő gondoskodik. Az AINy tartalmazza mindazon incidenseket, amelyek az Adatkezelő vonatkozásában bekövetkeztek, függetlenül attól, hogy az Adatkezelőnek fennáll-e bejelentési kötelezettsége a Felügyeleti Hatósághoz, avagy az Adatkezelőnek fennáll-e értesítési kötelezettsége az Érintettek felé.
5.6. Az adatkezelési tevékenységre vonatkozó általános szabályok
5.6.1. Személyes adatok tárolása, felhasználása és Adatkezelő működési körén belüli továbbítása
Az Adatkezelő a GDPR alapelveinek (Szabályzat 5.1. pont) megfelelően tárolja és használja fel, valamint továbbítja az Adatkezelőn belül és Adatkezelőn kívülre, illetve egyéb módon kezeli a személyes adatokat.
A részletes technikai intézkedéseket és biztonsági előírásokat az Adatkezelő Információbiztonsági Szabályzata tartalmazza.
Az egyéb szervezési és technikai intézkedéseket az Adatkezelő Iratkezelési Szabályzata tartalmazza.
Az Adatkezelő az adatokat – keletkezési módjuknak megfelelően – az alábbiak szerint tárolja:
- azon adatokat, amelyeket írásbeli nyilatkozat, írásbeli szerződés/megállapodás alapján kezel, az eredeti írásbeli formában, illetve az eredeti dokumentumról készített elektronikus másolat formájában tárolja,
- azon adatokat, amelyek nem írásban megtett nyilatkozatok alapján keletkeztek, hang vagy mozgóképfelvétel formájában vagy más elektronikus formában tárolja.
Az Adatkezelő a személyes adatok Adatkezelő szervezetén belüli kezelése során törekszik a papíralapú dokumentumok papíralapú vagy elektronikus másolatai továbbításának minimalizálására annak érdekében, hogy arra csak az adott feladat elvégzéséhez szükséges mértékben kerüljön sor.
5.6.2. Személyes adatok törlése
Az Adatkezelő gondoskodik az egyes személyes adatok törléséről az adatkezelési nyilvántartásban meghatározott időtartam leteltekor vagy az Érintett törlésre irányuló kérelmének elbírálására vonatkozó döntést követően haladéktalanul (a törlésre irányuló kérelembe beleértve a törlési jog gyakorlása mellett a tiltakozási jog gyakorlását is).
Az Adatkezelő a törlési kötelezettség teljesítése során törli az adatbázisból a személyes adatot egyrészről az elektronikus tárolási helyen, másrészről a papíralapon meglevő dokumentum vonatkozásában.
5.6.3. Adatbiztonság
Az Adatkezelő (adatfeldolgozó) a tudomány és technológia állására, a megvalósítás költségeire figyelemmel, valamint az adatkezelési tevékenységek természetes személyek jogaira és szabadságaira jelentett kockázatait figyelembe véve megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében a GDPR 32. cikk alapján, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
Az Adatkezelő (adatfeldolgozó) biztosítja, hogy az Érintettek személyes adataihoz hozzáféréssel rendelkező alkalmazottai a jogszabályoknak megfelelően kezelik a személyes adatokat (kivéve, ha ettől való eltérésre az Európai Unió vagy Magyarországi jogi aktusa kötelezi őket).
5.7. Adatfeldolgozó igénybevételének szabályai
Az Adatkezelő csak olyan Adatfeldolgozót vesz igénybe adatkezelés érdekében, amely megfelel a GDPR előírásainak. Az Adatkezelő az Adatfeldolgozótól a szerződéses jogviszony létrehozását megelőzően nyilatkozatot szerez be arra vonatkozóan, hogy az Adatfeldolgozó megfelel a GDPR előírásainak.
Az Adatfeldolgozásra vonatkozó megállapodást írásban kell megkötni az Adatfeldolgozó igénybevételére vonatkozó szerződéssel egyidejűleg vagy külön szerződésként, vagy az egyéb tartalmú szerződés részeként.
Az adatfeldolgozással összefüggő szerződéskötés szándékát a munkaszervezet előzetesen bejelenti az Adatvédelmi Tisztviselő számára annak érdekében, hogy az adatkezelési nyilvántartás, valamint az adatfeldolgozási nyilvántartás jogszerűsége biztosított legyen.
5.8. Adatvédelmi incidens
5.8.1. Az Adatvédelmi incidens megállapítása
Az Adatkezelő tudomással bír arról, hogy az adatvédelmi incidens az Érintettek számára fizikai, vagyoni, vagy nem vagyoni károkat okozhat, különösen az alábbiakat:
– Érintett adatai feletti rendelkezés elvesztése vagy jogai korlátozása,
– személyazonosság-lopás vagy személyazonossággal való visszaélés,
– pénzügyi veszteség,
– jó hírnév sérelme,
– szakmai titoktartás alá eső adatok bizalmas jellegének sérülése,
– hátrányos megkülönböztetés,
– egyéb jelentős gazdasági vagy szociális hátrány.
Az adatvédelmi incidens megállapításánál szükséges elsődlegesen megállapítani annak minőségét:
- bizalmassági incidens: adatok véletlen vagy közlése, vagy az ezekhez való hozzáférés,
- sértetlenségi incidens: adatok véletlen vagy jogellenes megváltoztatása,
- hozzáférhetőségi incidens: adatok véletlen vagy jogellenes megsemmisítése vagy elvesztése.
Amennyiben az Adatkezelő bármely munkavállalója vagy közreműködője adatvédelmi incidensről szerez tudomást vagy annak gyanúját érzékeli, haladéktalanul továbbítja az erre vonatkozó információkat az Adatvédelmi Tisztviselő felé.
Az Adatvédelmi Tisztviselő a haladéktalanul elvégzendő vizsgálat alapján feltárt tények és körülmények alapján, figyelemmel az adatvédelmi incidens kockázatértékelési eredményére is, döntési javaslatot fogalmaz meg az Adatkezelő felé az alábbiakra vonatkozóan:
- az esemény adatvédelmi incidensnek minősül-e,
- amennyiben adatvédelmi incidens következett be, úgy az jár-e kockázattal a természetes személyek jogaira és szabadságaira nézve és mely esetben a felügyeleti hatóság felé bejelentési kötelezettség áll fenn,
- a felügyeleti hatóság felé történő bejelentési kötelezettség alá eső incidens magas kockázata esetén az Érintettek tájékoztatása.
Az Adatvédelmi Tisztviselő által kialakított döntési javaslat során figyelembevételre kerülnek a bűnüldöző hatóságok jogos érdekei is olyan esetben, ha az idő előtti közlés szükségtelenül veszélyeztetné az eset körülményeinek kivizsgálását.
Az Adatvédelmi Tisztviselő általi döntési javaslat kialakítása során az Adatkezelő – eseményekkel és körülményekkel érintett – további munkavállalói is közreműködnek. A felügyeleti hatóság felé történő bejelentés megtételére, illetve az Érintettek tájékoztatására vonatkozó döntés meghozatalával egyidejűleg meghatározásra kerül az adatvédelmi incidens elhárítására tett, illetve teendő intézkedés.
5.8.2. Az adatvédelmi incidens bejelentése a Felügyeleti Hatóságnak
GDPR 33. cikk „(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(3) Az (1) bekezdésben említett bejelentésben legalább:
- a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.”
5.8.3. Az Érintett tájékoztatása az adatvédelmi incidensről
GDPR 34. cikk „(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
- a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az Érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.”
5.9. Az Érintett jogorvoslati lehetőségei
5.9.1. A Felügyeleti Hatóságnál történő panasztételhez való jog
GDPR 77. cikk „(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban -, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
(2) Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.”
5.9.2. A Felügyeleti Hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
GDPR 78. cikk „(1) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
(4) Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.”
A per az illetékes törvényszék hatáskörébe tartozik.
5.9.3. Az Adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
GDPR 79. cikk „(1) A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
(2) Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.”
A per az illetékes törvényszék hatáskörébe tartozik.
6. Hírlevélfeliratkozás és -küldés
Mellékletek
- sz. melléklet: A személyes adatok kezelésének céljai és eszközei (minta)
- sz. melléklet: Adatkezelési tevékenységek nyilvántartása (minta)
- sz. melléklet: Adatvédelmi Tisztviselő megjelölése
- sz. melléklet: Adatfeldolgozási nyilvántartás (minta)
- sz. melléklet: Adatvédelmi incidens nyilvántartás (minta)
1.sz. melléklet
A személyes adatok kezelésének céljai és eszközei
- A személyes adatok kezelésének céljai
1. | Fő cél |
1.1 | Alcél |
1.2 | Alcél |
- A személyes adatok kezelésének eszközei
IT szolgáltatás | Típus/megjelölés | |
1. | Iktatási/Iratkezelési rendszer | |
2. | Levelezési rendszer | |
3. | Munkaügyi rendszer | |
4. | Bérrendszer | |
5. | Könyvelési rendszer | |
6. | Beléptető rendszer | |
7. | Kamerás rendszer | |
8. | GPS rendszer | |
9. | IT biztonsági rendszer | |
10. | Weblap |
2.sz. melléklet
Adatkezelőneve: Land Plan Kft. |
Adatvédelmi tisztviselő neve: Dr.Nagy Nóra |
Elérhetősége: borbely.bea@landplanhotel.hu | Elérhetősége: dr.nagy.nora.avt@upcmail.hu |
ADATKEZELÉSI TEVÉKENYSÉGEK NYILVÁNTARTÁSA
AKNy szám |
Érintetti kategória és személyes adat kategória (különleges adat külön jelölésével) |
Adatkezelés célja |
Adatkezelés jogalapja |
Adattovábbítás célja, jogalapja | Adattovábbítás címzettje | Adatkategória célzott törlési ideje |
GDPR 32. cikk (1) bek. szerinti technikai és szervezési intézkedések általános leírása a) -tájékoztatás módja – hozzájárulás léte – adatfeldolgozói szerződés léte b) – kockázati mérték – adatbizt. intézkedés |
Megjegyzések, jogszabály szerint rögzítendő egyéb adat |
1.1. | Érintetti kategória | |||||||
1.1.1 | Személyes adatkategória |
3.sz. melléklet
ADATVÉDELMI TISZTVISELŐ
MEGJELÖLÉSE ÉS ELÉRHETŐSÉGI ADATAI
Az Adatkezelő Adatvédelmi Tisztviselője: Dr. Nagy Nóra
Telefonszám: 46/412-327
Telefax szám: 46/415-623
E-mail: dr.nagy.nora.avt@upcmail.hu
4.sz. melléklet
Adatfeldolgozóneve: Land Plan Kft. |
Adatvédelmi tisztviselő neve Dr. Nagy Nóra |
Elérhetősége: borbely.bea@landplanhotel.hu | Elérhetősége: dr.nagy.nora.avt@upcmail.hu |
ADATFELDOLGOZÁSI NYILVÁNTARTÁS
Adatkezelő neve, elérhetősége, képviselője és adatkezelő adatvédelmi tisztségviselő neve és elérhetősége | Adatfeldolgozási szerződés kelte, időtartama | Érintetti kategória és személyes adatkategória | Adatfeldolgozás célja | Al-adatfeldolgozó neve, elérhetősége, képviselője és adatvédelmi tisztviselő neve és elérhetősége | Adattovábbítás célja, jogalapja | Adattovábbítás címzettje | GDPR32.cikk(1)bek. szerinti technikai és szervezési intézkedések általános leírása |
5.sz. melléklet
Adatfeldolgozóneve: Land Plan Kft. |
Adatvédelmi tisztviselő neve: Dr. Nagy Nóra |
Elérhetősége: borbely.bea@landplanhotel.hu | Elérhetősége: dr.nagy.nora.avt@upcmail.hu |
Adatvédelmi incidensek nyilvántartása
- A) Esemény
sorszám | megnevezés | AVT felé bejelentés időpont |
- B) Eseményhez kapcsolódó tények
- Mi történt?
- Hol történt?
- Mikor történt?
- Miért történt?
- C) Incidens minősítése, hatása
- Kockázati kategória
- Hatása/Következménye
- Lefolyása
- AVT javaslat időpontja
- Hatósági bejelentési kötelezettség (igen/nem)
- Időpontja, iktatószáma
- Érintetti tájékoztatási kötelezettség (igen/nem)
- Időpontja, iktatószáma
- D) Incidens orvoslása
- Azonnali Intézkedés
- Intézkedés leírása
- E) Megjegyzések