Adatkezelési Szabályzat
I. Általános rendelkezések
A Szabályzat célja
A Blockchain Solutions Zrt. (továbbiakban: Szolgáltató) elkötelezett a személyes adatok védelme és azok bizalmas kezelése mellett. Jelen Szabályzat a Szolgáltató szolgáltatási tevékenységének ellátásához szükséges személyes adatok kezelésére vonatkozó legfontosabb adatvédelmi szabályokat tartalmazza, különös tekintettel az adatkezeléssel, adattovábbítással, adatközlésekkel, adatfeldolgozással kapcsolatos adatvédelmi követelményekre.
A Szabályzat célja, hogy a az Európai Parlament és Tanács (EU) 2016/679 Rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (továbbiakban: Infotv) előírt elveknek megfelelően meghatározza a személyes adatok Szolgáltatónál történő kezelésének rendjét, biztosítsa a személyes adatok védelme uniós és nemzeti jogszabályok elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését, továbbá a Szolgáltató által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat.
Az Adatvédelmi és Adatbiztonsági Szabályzat tárgyi hatálya kiterjed a Szolgáltatónál folytatott, továbbá a Szolgáltató megbízása alapján az adatfeldolgozó által kezelt valamennyi, személyes adatot érintő, teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre.
A Szolgáltatónál az adatvédelmi tisztviselő gondoskodik arról, hogy a jelen Szabályzat hatálya alá tartozó személyek a Szabályzatot a szükséges mértékben megismerjék.
A Blockchain Solutions Zrt. fióktelepeinek vezetői az irányításuk alatt álló fióktelepeken folyó adatkezelésekre nézve további, részletező szabályokat állapíthatnak meg, amelyek nem lehetnek ellentétesek a GDPR–ban és a jelen Szabályzatban foglaltakkal.
Az e Szabályzatban nem részletezett, személyes adatok védelmével és biztonságával összefüggő további rendelkezéseket, a mindenkor hatályos Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ), valamint az Iratkezelési Szabályzat, tartalmazza.
Értelmező rendelkezések
adatalany/érintett: bármely meghatározott, személyes adat alapján azonosított, vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.
adatbiztonság: az egyes személyes adatok integritásának és bizalmasságának gyakorlati, informatikai és egyéb technikai jellegű védelme – függetlenül az adat jogi minősülésétől és információtartalmától, továbbá a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége, melyek alapján az adatkezelés kockázati tényezői – és ezzel a fenyegetettség – a szervezési, műszaki megoldásokkal és intézkedésekkel a legkisebb mértékűre csökkenthető;
adatgazda: A szolgáltató Ügyvezetője, foglalkoztatottja, alkalmazottja, együttműködő üzleti partnere (mentor) akinél a szolgáltató tevékenységével összefüggő adat keletkezik vagy ahová a vonatkozó nemzeti vagy uniós jogszabályok telepítik azt és az adat kezelését elrendelik.
adatvédelmi tisztviselő (DPO):a szolgáltató azon foglalkoztatottja/munkavállalója vagy a szolgáltató megbízásából eljáró külső személy, aki ellenőrzi a szolgáltató adatkezelési és adatfeldolgozási tevékenységét, azoknak a jogszabályoknak, valamint a Szolgáltató belső adatvédelmi és adatbiztonsági szabályzata rendelkezéseinek és az adatbiztonsági követelményeknek történő megfelelését, a szolgáltató és a munkavállalói részére adatvédelmi tanácsot ad és az adatvédelmi hatósággal a kapcsolatot tartja.
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;
automatizált adatállomány: automatikus feldolgozásra kerülő adatállomány;
az adatállomány kezelője: az a természetes vagy jogi személy, hatóság, hivatal vagy bármely más szervezet, amely az uniós vagy nemzeti jog szerint illetékes arra, hogy meghatározza az automatizált adatállomány célját, a tárolható személyes adatok fajtáját és az adatokkal végezhető műveleteket;
adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
a személyes adatot kezelő személy: A Szolgáltató ügyvezetője, munkavállalója, foglalkoztatottja, a belső adatvédelmi felelős, ideértve az adatfeldolgozásban résztvevő és a kiszervezett szolgáltatásokat nyújtó személyeket is.
címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
cookie-k („sütik”): rövid adatfájlok, melyeket a meglátogatott honlap helyez el a felhasználó számítógépén. A cookie célja, hogy az adott infokommunikációs, internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. Számos fajtája létezik, de általában két nagy csoportba sorolhatóak. Az egyik az ideiglenes cookie, amelyet a honlap csak egy adott munkamenet során (pl.: egy internetes bankolás biztonsági azonosítása alatt) helyez el a felhasználó eszközén, a másik fajtája az állandó cookie (pl.: egy honlap nyelvi beállítása), amely addig a számítógépen marad, amíg a felhasználó le nem törli azt. Az Európai Bizottság irányelvei alapján cookie-kat [kivéve, ha azok az adott szolgáltatás használatához elengedhetetlenül szükségesek] csak a felhasználó engedélyével lehet a felhasználó eszközén elhelyezni. A cookie-k ugyanis számos adatvédelmi aggályt vetnek fel, például a segítségükkel nyomon követhetőek a felhasználó böngészési szokásai.
EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.
érintett: bármely meghatározott, személyes adat alapján azonosított, vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
gépi feldolgozás: amennyiben a műveletet részben vagy egészben automatizált eszközökkel hajtják végre gépi feldolgozásnak minősül az adatok tárolása, az adatokkal végzett logikai vagy aritmetikai műveletek, az adatok megváltoztatása, törlése, visszakeresése és terjesztése;
harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
harmadik ország: minden olyan állam, amely nem EGT-állam;
információs önrendelkezési jog: Uniós jogszabályokban, valamint az Alaptörvény VI. cikkében biztosított személyiségi autonómia részét képező személyes adatok védelméhez való jog, amely szerint – a törvény adta keretek között – mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;
képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
külföldi minősített adat: az Európai Unió valamennyi intézménye és szerve, továbbá az Európai Unió képviseletében eljáró tagállam, a külföldi részes fél vagy nemzetközi szervezet által készített és törvényben kihirdetett nemzetközi szerződés vagy megállapodás alapján átadott olyan adat, amelyhez történő hozzáférést az Európai Unió intézményei és szervei, az Európai Unió képviseletében eljáró tagállam, más állam vagy külföldi részes fél, illetve nemzetközi szervezet minősítés keretében korlátozza;
mobil eszköz alkalmazás: A Szolgáltató által kifejlesztett mobil eszközökön futó számítógépes program, amely a Szolgáltató szolgáltatásának mobiltelefonos és egyéb mobil eszköz alkalmazáson keresztül történő igénybevételéhez szükséges. Az Ügyfél hozzájárul ahhoz, hogy az applikáció működése során fellépő hibák beazonosítása és javítása érdekében az aktuálisan belépett felhasználó azonosítóját az SCN rendszere nyilvántartsa.
nemzeti minősített adat: a minősítéssel védhető közérdekek körébe tartozó, a minősítési jelölést a minősített adat védelméről szóló 2009. évi CLV. törvényben, valamint felhatalmazása alapján kiadott jogszabályokban meghatározott formai követelményeknek megfelelően tartalmazó olyan adat, amelyről – a megjelenési formájától függetlenül – a minősítő a minősítési eljárás során megállapította, hogy az érvényességi időn belüli nyilvánosságra hozatala, jogosulatlan megszerzése, módosítása vagy felhasználása, illetéktelen személy részére hozzáférhetővé, valamint az arra jogosult részére hozzáférhetetlenné tétele a minősítéssel védhető közérdekek közül bármelyiket közvetlenül sérti vagy veszélyezteti és tartalmára tekintettel annak nyilvánosságát és megismerhetőségét a minősítés keretében korlátozza;
nyilvántartási rendszer: adatok bármely módon centralizált, decentralizált, funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
statisztikai adat: meghatározott természetes személlyel kapcsolatba nem hozható leíró adat;
személyazonosító adat: a családi és utónév, születéskori név, a nem, a születési hely és idő, az anya születéskori családi és utóneve, a lakóhely, a tartózkodási hely (természetes azonosító adatok), a személyi azonosító jel, a társadalombiztosítási azonosító jel, az adóazonosító jel, valamint a személyi igazolvány, útlevél, továbbá a születési anyakönyvi kivonat száma (mesterséges azonosító adatok) együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására;
személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
személyes adatok határokon átnyúló adatkezelése:
- a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
tevékenységi központ:
a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
II. A személyes adatok kezelésére vonatkozó szabályok
Az adatvédelem a személyes és ezen belül a különleges adatok olyan jogi védelme, amely az egyének magánszférájának védelmét, az érintett információs önrendelkezési jogának biztosítását célozza az érintettel kapcsolatba hozható személyes adatok kezelésének normatív szabályozása által.
Az adatvédelem alapelvei
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben a személyes adatok kezelésére a GDPR 6. cikk (1) bekezdésében meghatározott és jelen Szabályzat „Az adatok kezelésének jogalapja” c. részben kifejtett jogalapok valamelyike alapján kerül sor.
A célhoz kötöttség elve alapján a Szolgáltatónál kizárólag oly módon lehet személyes adatot kezelni, hogy az meghatározott, egyértelmű és jogszerű célból történjen, és a személyes adatokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. Törvényben elrendelt adatkezelés esetén kizárólag az ott meghatározott célból kezelhetők a szükséges személyes adatok.
A személyes adatoknak az adattakarékosság elve alapján az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, azaz csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas, továbbá csak olyan mértékben és ideig, amely mértékben, és amely ideig ez a cél eléréséhez feltétlenül szükséges. A Szolgáltatónál foglalkoztatottak kizárólag a munkaköri leírásukban meghatározott feladataik ellátása céljából, a részükre biztosított jogosultságok rendeltetésszerű használatával kezelhetnek személyes adatot, és amennyiben az adatkezelés célja megszűnt, az adatot haladéktalanul – legkésőbb a jogszabályban előírt határidő leteltével – törölni kell. A konkrét célhoz nem köthető adatkezelés tilos.
A korlátozott tárolhatóság elvének megfelelően a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR-ban az érintettek jogainak és szabadságának védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
Az pontosság elve alapján a Szolgáltató köteles hivatalból mindent megtenni annak érdekében, hogy a kezelt személyes adatok pontosak és szükség esetén naprakészek legyenek. E körben minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék, és a naprakész jelleget rendszeres ellenőrzések útján biztosítsák. A helyesbítésre a jelen Szabályzat „Az érintett jogai” c. rész előírásait kell alkalmazni. Az adatminőség elve alapján a Szolgáltató köteles hivatalból, vagy az érintett jelzése, vagy más, hitelt érdemlő információ alapján a valóságnak nem megfelelő (hibás, hiányos, pontatlan vagy időszerűtlen) adatot helyesbíteni. A helyesbítés módjára az adott adatkezelést szabályozó jogszabály előírásait kell alkalmazni.
Az integritás és bizalmas jelleg elve alapján az adat kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
A törvényesség elve alapján az információs önrendelkezési jog az érintett hozzájárulásának hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Ennek megfelelően a Szolgáltató által személyes adat kizárólag az érintett hozzájárulásával (különleges adat esetén írásbeli hozzájárulásával) vagy törvényi felhatalmazás alapján, a jogszabályban rögzített előírásoknak megfelelően, a Szolgáltató jogszabályban foglalt feladatainak végrehajtása során kezelhető. A Szolgáltató által kezelt vagy a Szolgáltató feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott személyes adatok magáncélra való felhasználása tilos.
Az érintett előzetes tájékoztatásának kötelezettsége alapján az érintettel az adat felvétele előtt közölni kell az adatkezelés célját, valamint azt, hogy az adatszolgáltatás önkéntes vagy kötelező. Utóbbi esetben a tájékoztatáskor meg kell jelölni az adatkezelést elrendelő törvényt.
Az adatbiztonság elve alapján az adat kezelése során biztosítani kell, hogy a személyes adat illetéktelen harmadik személy tudomására ne jusson (bizalmasság), az adat illetéktelen harmadik személy által ne legyen módosítható (sértetlenség), az adat elérhető legyen a feljogosított személyek, szervezetek számára (rendelkezésre állás) valamint védeni kell az adatot sérülés, megsemmisülés ellen.
A helyesbítésről szóló értesítésre vonatkozó kötelezettség teljesítésére, illetve az értesítés mellőzésének lehetőségére minden esetben a jelen szabályzatban foglaltakat kell alkalmazni.
Az adatok kezelésének jogalapja
Személyes adat a Szolgáltatónál akkor kezelhető, ha ahhoz a GDPR 6. cikk (1) bek. a-f) pontjai szerinti, alább felsorolt feltételek legalább egyike teljesült.
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- az érintett megfelelő hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
A Szolgáltatónál a GDPR 6. cikk (1) bek. a) pontja szerinti jogalap esetén az adatkezelés alapjául kizárólag az érintett megfelelő, előzetes tájékoztatásán alapuló (lásd.: IV. fejezet Az érintettek jogainak érvényesítése), önkéntes, konkrét, egyértelmű (azaz tevőleges magatartással kifejezett) hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a szükséges személyes adatok meghatározott célból, meghatározott körben és meghatározott ideig történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére, arra, hogy hozzájárulását bármikor visszavonhatja. A 16. életévét be nem töltött gyermek esetén, a gyermek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A Szolgáltató ezért ésszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta-e meg, illetve engedélyezte (pl. betöltött életkorra vonatkozó nyilatkoztatás, 16. életévét be nem töltött gyermek esetén csak kitöltött és a törvényes képviselő által aláírt, vagy a 16. életévét be nem töltött által aláírt és a törvényes képviselő által aláírt jóváhagyó záradékkal ellátott nyilatkozat fogadható be.)
A hozzájárulást minden esetben utólag igazolható módon kell rögzíteni (pl. írásbeli hozzájárulás esetén az érintett elektronikus aláírásával megerősített nyilatkozat, online felületen a checkbox kipipálásával).
Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok, az érintett kérelmére indult más ügyben az általa megadott személyes adatok, továbbá a fentieken túl a Szolgáltató biztonsági kamerái által készített kép- és hangfelvétel tekintetében megfelelő tájékoztatás mellett az érintett hozzájárulását vélelmezni kell.
A Szolgáltató vagyonvédelmi elektronikus megfigyelőrendszerei tekintetében biztosítani kell a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény követelményeinek érvényesülését. Az adatkezelés jogalapja a Szolgáltató jogos érdeke. A Szolgáltatónál nyilvános helyek nagymértékű megfigyelése esetén – különösen, ha ezt elektronikus optikai eszközök alkalmazásával hajtják végre – biztosítani kell a GDPR követelményeinek, különösen az adatvédelmi hatásvizsgálatnak megvalósítását.
Kötelező előzetes és jól észlelhető figyelemfelhívó jelzést és tájékoztatást elhelyezni arról a tényről, hogy az adott területen elektronikus megfigyelőrendszer kerül alkalmazásra. Az írásbeli tájékoztatásnak legalább ki kell terjednie
- az adatkezelés jogalapjára,
- az egyes kamerák elhelyezésére és a vonatkozásukban fennálló célra, az általuk megfigyelt területre, tárgyra, illetőleg arra, hogy az adott kamerával közvetlen vagy rögzített megfigyelést végez-e a Szolgáltató ,
- az elektronikus megfigyelőrendszert üzemeltető személy meghatározására,
- a felvétel tárolásának helyére és időtartamára,
- a felvételek tárolásával kapcsolatos adatbiztonsági intézkedésekre,
- az adatok megismerésére jogosult személyek körére, illetőleg arra, hogy a felvételeket mely személyek, szervek részére, milyen esetben továbbíthatja,
- a felvételek visszanézésére vonatkozó szabályokra, illetőleg arra, hogy a felvételeket milyen célból használhatja fel a Szolgáltató,
- arra, hogy az érintetteket milyen jogok illetik meg az elektronikus megfigyelőrendszerrel összefüggésben és milyen módon tudják gyakorolni a jogaikat,
- arra, hogy az információs önrendelkezési joguk megsértése esetén milyen jogérvényesítési eszközöket vehetnek igénybe.
Személyes adatokat kezelni, adatállományokat vagy nyilvántartásokat létrehozni csak a GDPR-ban meghatározott, jelen fejezet „Az adatvédelem alapelvei” c. részében foglalt alapelvek betartásával lehet.
Az adatkezelés megkezdésének feltételei
A szolgáltatónál munka vagy megbízási jogviszony létesítését megelőzően a Szolgáltató ügyvezetője vagy adatvédelmi megbízottja jelen Szabályzatot átadja a munkavállaló/megbízott részére, aki ennek megismerését nyilatkozat aláírásával igazolja.
Az adatvédelemre vonatkozó jogszabályi környezet megváltozásakor, továbbá ha a Szolgáltató adatvédelmét vagy adatbiztonságát, illetve ha e Szabályzat tartalmát érintő jelentős változás következik be, a Szolgáltatónál foglalkoztatott és adatkezelésben közreműködő személyek részére adatvédelmi képzés, szükség esetén továbbképzés tartható, mely kiterjeszthető a Szolgáltató adatkezelésében közreműködő, de nem a foglalkoztatotti körbe tartozó személyekre is (a továbbiakban együtt: oktatás).
Az oktatásról a belső adatvédelmi tisztviselő az Ügyvezetővel együttműködve gondoskodik.
Az adatkezelések összekapcsolásának tilalma
Az egyes szolgáltatói adatkezelések főszabályként sem egymással, sem más adatkezelésekkel nem kapcsolhatók össze.
Összekapcsolhatóak az adatkezelések, ha ezt törvény előírja vagy ahhoz az érintett hozzájárult. Ilyenkor további követelmény, hogy az adatkezelés feltételei minden egyes adatkezelési célra, és azon belül is minden egyes személyes adatra nézve teljesüljenek.
Az adatkezelések jogosulatlan összekapcsolásáért az adattovábbító és a címzett adatkezelő egyaránt felelős.
Az összekapcsolást célzó adatkezelési művelet, amelynek eredményeképpen az egyes adatok együttesen sem válnak személyessé, azaz együtt sem köthetők egy konkrét személyhez, és a személyre következtetni sem lehet, nem minősül a személyes adatok összekapcsolásának.
Tájékoztatási kötelezettség új adatkezelésekről
Amennyiben a Szolgáltató valamely fióktelepe új adatkezelést kíván végezni erről a Szolgáltató ügyvezetője tájékoztatja az adatvédelmi tisztviselőt elektronikus levélben is. A tájékoztatás az adatok felvétele és az adatkezelés megkezdése előtt 30 nappal, kötelező adatkezelés esetén az adatkezelést előíró törvény hatálybalépésétől számított 10 napon belül kell végrehajtani az új adatkezelésre vonatkozóan kitöltött Nyilvántartási Adatlap elküldésével. A Nyilvántartási Adatlapot 2 példányban kell elkészíteni, amelyből egy példányt az adatkezelést végző munkavállaló vagy vezetője (ügyvezető), egy példányt az adatvédelmi tisztviselő tárol.
Az adatvédelmi tisztviselőt az új adatkezelésekről – az adatok felvétele és az adatkezelés megkezdése előtt 30 nappal, kötelező adatkezelés esetén az adatkezelést előíró törvény hatálybalépésétől számított 10 napon belül – kell tájékoztatni.
III. Adatközlések
Az adatközlések típusai
Személyes adat harmadik féllel való közlése adattovábbítás, nyilvánosságra hozatal vagy egyéb módon történő hozzáférhetővé tétel útján valósulhat meg. Adattovábbításnak minősül, ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik. Az adattovábbítás mint adatkezelési művelet is csak a GDPR 6. cikkében foglalt, megfelelő jogalap fennállása mellett történhet. Az adat nyilvánosságra hozatala esetén az adat bárki számára hozzáférhetővé válik.
Az adattovábbítás rendjére vonatkozó általános szabályok
A Szolgáltató adatkezeléseiből személyes adatot továbbítani csak a GDPR 6. cikkében foglalt jogalapok valamelyikének teljesülése esetén, a célhoz kötöttség elvének és az adatkezelés GDPR-ban foglalt, jelen Szabályzat „Az adatvédelem alapelvei” c. részében foglalt egyéb alapelveinek maradéktalan érvényesítésével lehet.
A Szolgáltató csak olyan személyes adatot továbbíthat, amely adat tekintetében a Szolgáltató adatkezelőnek minősül.
A Szolgáltató részéről a személyes adatokhoz hozzáféréssel rendelkező munkavállaló bármely hozzá érkező, adattovábbításra irányuló megkeresésről haladéktalanul, írásban tájékoztatja a Szolgáltató ügyvezetőjét.
Harmadik fél által benyújtott adattovábbítási kérelem elbírálása, az adattovábbítási feltételek fennállásának vizsgálata – a jogszabályban előírt kötelező adattovábbítás esetét kivéve – az ügyvezető, adatvédelmi tisztviselő hatáskörébe tartozik.
Szükség esetén a Szolgáltató ügyvezetője kikéri az adatvédelmi tisztviselő állásfoglalását a kérelem teljesíthetőségéről. Az adatvédelmi tisztviselő állásfoglalásáról a kérelem beérkezésétől számított 3 munkanapon belül tájékoztatja az ügyvezetőt.
A teljesíthetőség feltételei körében minden esetben meg kell vizsgálni, hogy megvan–e az adatkérés teljesítéséhez szükséges jogalap, a megkeresés megfelel–e a célhoz kötöttség elvének és és teljesülnek–e az adatkezelés egyéb alapelvei Ezen feltételeknek minden egyes továbbítandó személyes adat vonatkozásában fenn kell állniuk függetlenül attól, hogy milyen jogalap szerint történik az adatközlés.
Az adattovábbításra irányuló kérelem abban az esetben teljesíthető, ha az tartalmazza az adattovábbítás célját, jogalapját (GDPR 6. cikk c) és e) pontjai esetében az alapul szolgáló törvényi rendelkezés pontos megjelölését), a kért adatok pontos körének meghatározását, az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző jellemzőket.
Amennyiben a teljesíthetőség feltételei fennállnak, a megkeresést benyújtó harmadik fél vagy a személyes adatra igényt tartó szervezet rendelkezésére kell bocsátani az adatokat.
A Szolgáltató által kezelt személyes adatok külön megkeresésre történő egyedi és csoportos továbbításáról a Szolgáltató Adattovábbítási Nyilvántartást köteles vezetni.
A személyes adatok személyazonosításra alkalmatlan módon feldolgozott, anonimizált, statisztikai célú továbbítása megengedett.
Adattovábbítás a Szolgáltató szervezetén belül
A Szolgáltató szervezetén belül a kezelt személyes adatok kizárólag olyan fióktelepekhez továbbíthatók, amelynek jogszabályban vagy alapító okiratban foglalt feladatainak ellátásához azok szükségesek. A személyes adatok a Szolgáltató egyes fióktelepei között is csak a meghatározott feladat elvégzéséhez szükséges mértékben és ideig az adatbiztonsági előírások betartásával továbbíthatók.
A fióktelepek közötti, egyedi megkeresés alapján történő adatátadás feltételeinek fennállását minden egyes igény, illetve adatkezelés esetén egyedileg kell megvizsgálni.
Az fióktelep vezetője – szükség esetén az adatvédelmi tisztviselő véleményének kikérése után – a megkeresés kézhezvételétől számított 5 munkanapon belül dönt a teljesíthetőségről.
Az egyedi megkeresések alapján történő Szolgáltatón belüli adattovábbításokat is minden esetben dokumentálni kell. Az adattovábbításra vonatkozó iratkezelési, eljárási szabályokat az adathordozótól vagy az adatátvitel módjától függően a Szolgáltató vonatkozó belső szabályozó eszközei tartalmazzák.
Adattovábbítás külső megkeresésre
A Szolgáltató szervezetén kívüli harmadik féltől érkező, személyes adat közlésére irányuló megkeresés csak akkor teljesíthető, ha az a Szolgáltató számára előírt jogi kötelezettség teljesítéséhez, vagy közérdekű adatkezelés, illetőleg a Szolgáltatóra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (GDPR 6. cikk (1) bek. c) és e) pontok). Amennyiben az adatkezelés jogalapja az ügyfél hozzájárulása, a fentieken túl az ügyfél kifejezett hozzájárulása is megalapozhatja az adatok harmadik félhez történő adattovábbítást.
Jogszabályi feltételek fennállása esetén teljesíteni kell az adattovábbítást az alábbi esetekben:
- a Szolgáltató jövőbeni felügyeleti szervének – az irányítással összefüggő feladatok teljesítéséhez szükséges adatokra vonatkozó megkeresése;
- a bíróságnak, ügyészségnek, a törvényben meghatározott feladatkörében eljáró nyomozóhatóságnak, a bírósági végrehajtónak, valamint az államigazgatási szerveknek az egyes konkrét ügyek eldöntéséhez szükséges adatokra irányuló megkeresése;
- a nemzetbiztonsági szolgálatok bármely adatra vonatkozó megkeresése;
- törvény által a fentieken kívül elrendelt adattovábbítások.
Nem teljesíthető olyan adatigénylés, amelynek jogszerűsége – az adatigénylés, a jogalap megjelölése vagy más körülményre tekintettel – nem állapítható meg.
Az Szolgáltató adatvédelmi tisztviselője a fentebb felsorolt szervektől érkezett megkeresésekről és azok elintézéséről tájékoztatja a Szolgáltató ügyvezetőjét, a nemzetbiztonsági szolgálatoktól érkező megkeresésekről pedig 2 munkanapon belül írásban tájékoztatja őt.
Amennyiben ennek szükségét látja (pl.: a jogszabályi előírások alapján kötelezően teljesítendő adatkezelés eljárási, formai feltételei hiányoznak), a Szolgáltató ügyvezetője az adattovábbítás teljesítése előtt kikéri az adatvédelmi tisztviselő véleményét. Ebben az esetben az adatvédelmi tisztviselő az adattovábbítás feltételeinek fennállását – az adatot ténylegesen kezelő munkavállalóval közösen – előzetesen megvizsgálja, majd az adatszolgáltatás teljesíthetőségéről a kérdés hozzá való megérkezésétől számított 3 munkanapon belül véleményt ad.
A nemzetbiztonsági szolgálatok adatkérésre irányuló megkereséseiről az adatvédelmi tisztviselő soron kívül tájékoztatja a Szolgáltató ügyvezetőjét.
A nemzetbiztonsági szolgálatoktól érkező megkeresésekre, adatbetekintésekre vonatkozó adatokat – ideértve a megkeresés, betekintés tényét is – és a megtett intézkedésre vonatkozó információkat bizalmasan kell kezelni, ezekről az érintett, illetőleg más személy vagy szervezet nem tájékoztatható.
Adattovábbítás az EGT-államokba és az Unión kívüli országokba
Személyes adat EGT-államokba történő továbbítását a GDPR rendelkezéseivel összhangban úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás esetén nem sérülhet a természetes személyeknek az Unióban a GDPR által biztosított védelem szintje. Ennek megfelelően adattovábbításra csak akkor kerülhet sor, ha a harmadik országbeli adatkezelő vagy adatfeldolgozó a GDPR teljes betartása mellett teljesíti a GDPR-ban foglalt feltételeket.
A GDPR V. fejezetében foglaltak alapján négy esetben van lehetőség harmadik ország vagy nemzetközi szervezet részére történő adattovábbításra:
- megfelelőségi határozat alapján (GDPR 45. cikk),
- megfelelő garanciák teljesülése esetén (GDPR 46. cikk),
- különös helyzetekben biztosított feltételek esetén (GDPR 49. cikk (1) bek. g) pontig bezárólag), vagy
- ha a fentiek közül egyik sem alkalmazható, úgy végső esetben a GDPR 49. cikk (1) bekezdésének g) pontot követő utolsó részében foglalt feltételek fennállása esetén van lehetőség.
Személyes adatok nyilvánosságra hozatala
A Szolgáltatónál kezelt személyes adatok nyilvánosságra hozatala – kivéve, ha azt jogszabály rendeli el tilos.
Személyes adatok átadása döntés-előkészítési vagy statisztikai célú adatkezelésre
A Szolgáltató adatvagyona a GDPR 6. cikk a) és e) pontjában meghatározott adatkezelési feladatokhoz kapcsolódó döntés–előkészítési, hatásvizsgálati célra a vonatkozó jogszabályi előírásoknak megfelelően felhasználható. A személyes adatok e célokból való átadásának részletes eljárási szabályait a vonatkozó jogszabályok tartalmazzák.
Az anonimizálás során a természetes és mesterséges azonosítókat törölni kell. Szükség esetén az adatok pontosságának csökkentése további eszköz lehet az érintettek azonosíthatóságának elkerülésére. A pontosság csökkentése akkor megfelelő, ha a csökkentett pontosság mellett az adatok közvetve sem hozhatóak összefüggésbe az érintettel. Az adatok pontosságának csökkentése kérdésében a jelen Szabályzatban foglaltak figyelembevételével a Szolgáltató ügyvezetője – szükség esetén az adatvédelmi tisztviselő véleményének kikérése után – dönt.
A kért adatok átadását meg kell tagadni, ha azok nem foszthatók meg személyes adat jellegüktől, vagyis ha az információt nem lehet anonimizálni. A megtagadást írásban indokolni kell.
A személyes adatok statisztikai célú adatkezelésének garanciáit a GDPR 89. cikke, a részletes nemzeti szabályait a hivatalos statisztikáról szóló 2016. évi CLV. törvény, valamint a kutatás és közvetlen üzletszerzés célját szolgáló név– és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény határozza meg.
IV. Az érintettek jogainak érvényesítése
Az érintett jogai
Tájékoztatás
A GDPR III. fejezete 2. szakasza alapján megkülönböztetünk a Szolgáltató által az érintettek részére külön kérés nélkül biztosított tájékoztatást, valamint az érintett kérésére/megkeresésére adott hozzáférési jogot.
A tájékoztatás jogán belül eltérnek a rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik, valamint ha a személyes adatokat nem az érintettől szerezték meg. Az egyes tájékoztatási esetek részletszabályait az alábbi bekezdések tartalmazzák.
Tájékoztatás az érintettől gyűjtött adatok esetén
Az érintettet a személyes adatok megszerzésének időpontjában tájékoztatni kell a személyes adatainak kezeléséről, melyet az adatot ténylegesen kezelő személynek/alkalmazottnak/foglalkoztatottnak kell megadnia:
- az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
- az adatvédelmi tisztviselő elérhetőségei,
- a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
- a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
- adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
- adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
Kiegészítő információk:
- a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
- az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
- a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
- arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
- a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
A fenti tájékoztatásokat nem kell megadni, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
Tájékoztatás nem az érintettől megszerzett adatok esetén
Ha a személyes adatokat nem az érintettől szerezték meg, az érintett rendelkezésére kell bocsátani a következő információkat:
- az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
- az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
- a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
- az érintett személyes adatok kategóriái;
- a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
- adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás.
Kiegészítő információk:
- a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;
- az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
- a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
- a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
A fenti tájékoztatást az alábbiak szerint kell megadni:
- a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül;
- ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
- ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.
A fenti tájékoztatást nem kell biztosítani, ha és amilyen mértékben:
- az érintett már rendelkezik az információkkal;
- a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne;
- az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy magyar jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
- a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
Közös szabályok az érintettől gyűjtött és a nem az érintettől megszerzett adatok esetén
Mind az érintettől gyűjtött adatok, mind pedig a nem az érintettől megszerzett adatok esetén a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthető formában kell megadni az érintett részére írásban vagy más módon – ideértve az elektronikus utat is – kell megadni. A gyermekeknek címzett bármely információt világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért.
A tájékoztatás megadása csak akkor hagyható el, ha a kért adatokat az illetékes szerv a megfelelő eljárás keretében előzetesen minősített adattá nyilvánította. A tájékoztatás elmaradásának indokait az érintettel minden esetben írásban, közérthető formában közölni kell.
A tájékoztatást minden esetben az adatot kezelő fióktelep teljesíti.
Az adatot kezelő fióktelepek minden esetben kérhetik, bizonytalanság esetén pedig indokolatlan késedelem nélkül kérniük kell az az adatvédelmi tisztviselő véleményét a tájékoztatás részleteire vonatkozóan.
Hozzáférési jog
Az érintett jogosult arra, hogy a Szolgáltatótól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy hozzáférést kapjon a személyes adatokhoz és a következő információkhoz: az adatkezelés céljai, az érintett személyes adatok kategóriái, azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják (ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket), adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai, az érintett azon joga, hogy kérelmezheti a Szolgáltatótól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga, ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ, és a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR 46. cikk szerinti megfelelő garanciákról.
A Szolgáltató az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
Helyesbítés
Az érintett jogosult arra, hogy kérésére a Szolgáltató indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Törlés
Az érintett jogosult arra, hogy kérésére a Szolgáltató indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, a Szolgáltató pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat a Szolgáltatóra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Ha a Szolgáltató nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A személyes adat nem törölhető, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, a Szolgáltatóra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- a GDPR 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
- a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Az érintett kérésére a köziratokról, a közlevéltárakról és magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény rendelkezései alapján levéltári őrizetbe adandó adathordozókon tárolt személyes adatok törlése csak akkor hajtható végre, ha az adatkezelés jogellenes. Ebben az esetben az adatot minden egyéb körülménytől függetlenül törölni kell.
Adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére a Szolgáltató korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy a Szolgáltató ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- a Szolgáltató nak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Ilyen fontos közérdeknek tekintendő a Szolgáltató közfeladatainak zavartalan ellátása. Ebből következően – az érintett jogainak sérelme nélkül – a közfeladat ellátásához feltétlenül szükséges mértékben az adatok kezelhetőek.
A Szolgáltató az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa a Szolgáltató rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
- az adatkezelés a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
- az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
Az adathordozhatósághoz való jog gyakorlása nem sértheti a GDPR 17. cikkét. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. Ezen jog nem érintheti hátrányosan mások jogait és szabadságait.
Tiltakozás
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben a Szolgáltató a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
A Szolgálltató ügyvezetője vagy az adatvédelmi tisztviselő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 30 napon belül – szükség esetén az adatvédelmi tisztviselő véleményének kikérésével – megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és a döntéséről a kérelmezőt írásban tájékoztatja. A tájékoztatást másolatban megküldi az adatvédelmi tisztviselőnek.
Az érintett tiltakozása elbírálásának időtartamára az adatkezelést korlátozni kell.
Amennyiben megállapításra kerül az érintett tiltakozásának megalapozottsága, a Szolgáltató Ügyvezetője vagy adatvédelmi megbízottja gondoskodik az adatkezelés – beleértve a korábbi adatfelvételt és adattovábbítást is – megszüntetéséről és az adatok kezelésének korlátozásáról.
Megalapozott tiltakozás megállapítása esetén a Szolgáltató Ügyvezetője vagy adatvédelmi megbízottja írásban értesíti mindazokat – így a Szolgáltató más fióktelepet is –, akiknek a részére a tiltakozással érintett személyes adatot korábban továbbították. Ennek alapján utóbbiak szintén kötelesek az adatkezelés megszüntetéséről az előző bekezdésben foglaltak szerint gondoskodni.
Ha az érintett a Szolgáltatónak a tiltakozás megalapozottsága kérdésében hozott döntésével nem ért egyet, illetve ha a Szolgáltató a tiltakozás iránti kérelem elbírálására nyitva álló határidőt elmulasztja, az érintett – a döntés közlésétől illetve a határidő utolsó napjától számított 30 napon belül bírósághoz fordulhat. E lehetőségre az érintett figyelmét a döntésről való tájékoztatásban fel kell hívni.
Az érintetti jogok érvényesítésének közös szabályai
A GDPR 15-22. cikkében foglalt kérelem nyomán hozott intézkedésekről szóló tájékoztatást indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 1 hónapon belül kell megadni az érintett részére. Ezen tájékoztatás ingyenes, azonban ha a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, abban az esetben a Szolgáltató költségtérítést állapíthat meg vagy megtagadhatja a kérelem alapján történő intézkedést. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a kérelem helyesbítéshez vezetett. Az adatvédelmi incidensről adott tájékoztatás minden esetben ingyenes.
A Szolgáltató adatvédelmi tisztviselője és valamennyi foglalkoztatottja köteles az érintettek fenti jogainak gyakorlását előmozdítani, abban minden lehetséges segítséget megadni.
A helyesbítésről, a korlátozásáról és a törlésről értesíteni kell minden címzettet, akivel, illetve amellyel a személyes adatot közölték. Az értesítés mellőzhető, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére tájékoztatni kell e címzettekről.
Ha a Szolgáltató az érintett érintetti jogosultságok (GDPR 15-22. cikk) gyakorlására irányuló kérelmét nem teljesíti, a kérelem kézhezvételét követő 1 hónapon belül írásban közli a kérelem elutasításának ténybeli és jogi indokait. A kérelem elutasítása esetén tájékoztatni kell az érintettet a bírósági jogorvoslat, továbbá a felügyeleti hatósághoz fordulás lehetőségéről.
A GDPR 23. cikk szerinti felhatalmazás alapján az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát.
A Szolgáltató Ügyvezetője vagy adatvédelmi megbízottja az érintett jogainak érvényesítésével kapcsolatosan teljesített és elutasított kérelmekről, valamint az elutasítás részleteiről nyilvántartást vezet jelen Szabályzatban foglaltak szerinti.
V. A Szolgáltató adatvédelmi intézményrendszere
Általános felelősségi szabályok
A Szolgáltató valamennyi foglalkoztatottja köteles gondoskodni a személyes adatok védelméről és az adatok, az adatkezelés biztonságáról.
Tevékenységi körén belül minden foglalkoztatott felelős az adatkezelés jogszerűségéért. A vonatkozó jogszabályokban a belső szabályozó eszközökben foglaltaknak nem megfelelő adatkezelés az adott mulasztás vagy más cselekmény jellegétől függően fegyelmi, illetve polgári jogi, büntetőjogi felelősséget von maga után.
A Szolgáltató köteles az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével okozott kárt megtéríteni. A Szolgáltató foglalkoztatottja a Szolgáltatóval fennálló jogviszonyából eredő kötelezettsége megszegésével okozott kárért a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) e vonatkozó rendelkezéseiben foglaltak szerint köteles helytállni.
Az a foglalkoztatott, aki a Szolgáltató által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst észlel, a vonatkozó jogszabályokban meghatározott felelősség mellett és a Szolgáltató előírásai szerinti személyi körnek, valamint Szolgáltató Ügyvezetőjének vagy adatvédelmi megbízottjának azt haladéktalanul bejelenteni.
A foglalkoztatott köteles megtagadni az olyan utasítás végrehajtását, amelynek teljesítésével bűncselekményt követne el, és megtagadhatja az olyan utasítás végrehajtását is, amely jogszabályba ütközne. Ez utóbbi esetben a foglalkoztatott köteles az utasítást adó figyelmét felhívni arra, hogy az utasítás végrehajtása jogszabályba ütközne. Az ilyen utasítások végrehajtásának további következményeire, valamint a megtagadásukkal kapcsolatos egyes további jogokra és kötelezettségekre az Mt. rendelkezései az irányadók.
A Szolgáltató fióktelepeinél személyes adatokat érintő adatkezelést végző foglalkoztatott köteles a tudomására jutott személyes adatokat titokként megőrizni.
Az általános kötelezettségeken túl a különböző, adatkezeléssel összefüggő tevékenységeket ellátó személyeket további hatáskörök illetik meg, valamint további felelősség terheli jelen Szabályzatban foglaltak szerint.
A Szolgáltató Ügyvezetője
A Szolgáltató Ügyvezetője irányítja és felügyeli a Szolgáltató egészére nézve az adatvédelmi feladatok ellátását, az adatvédelemre vonatkozó rendelkezések betartását.
Az adatvédelmi szempontok maradéktalan érvényesítése érdekében a Szolgáltató ügyvezetője
- kiadja az Adatvédelmi és Adatbiztonsági Szabályzatot,
- kinevezi az adatvédelmi tisztviselőt;
- az adatvédelmi feladatokat érintő kérdésekben megbízást ad a Szolgáltató képviseletére az egyes hatóságok, ellenőrző szervek előtt,
Az adatvédelmi tisztviselő
A adatvédelmi tisztviselő (a továbbiakban: adatvédelmi tisztviselő) közvetlenül a Szolgáltató ügyvezetőjének tartozik felelősséggel és e szerint látja el feladatait, szakmailag felügyeli és ellenőrzi a Szolgáltató adatvédelmi tevékenységét. Ezen feladataival összefüggésben az adatvédelmi tisztviselő
- közreműködik a Szolgáltató Adatvédelmi és Adatbiztonsági Szabályzatának az elkészítésében, rendszeresen felülvizsgálja azt, szükség esetén aktualizálására tesz javaslatot;
- közreműködik a Szolgáltató belső szabályozó eszközeinek megalkotásában, adatvédelmi szempontból véleményezi azok tervezeteit, szükség esetén javaslatot tesz az egyes rendelkezések módosítására;
- véleményt ad a fióktelepektől érkező egyedi, adatvédelmi tárgyú kérdésekben;
- adatvédelmi szempontból javaslattétellel, véleményezéssel támogatja a projekteket;
- közreműködik az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
- kivizsgálja a hozzá érkezett bejelentéseket és jogosulatlan adatkezelés észlelése esetén annak haladéktalan megszüntetésére hívja fel az adatkezelőt vagy adatfeldolgozót;
- a hozzá külső szervektől és személyektől érkező adatvédelmi tárgyú megkereséseket véleményezi, majd további intézkedésre megküldi az adat kezelésére és átadására jogosult fióktelephez;
- nyilvántartást vezet a személyes adataik kezelésével kapcsolatban az érintettektől érkezett, teljesített vagy törvényi felhatalmazás alapján elutasított kérelmekről, a közérdekű adatok megismerésére irányuló teljesített és elutasított kérelmekről, valamint mindkét esetben az elutasítások indokairól a fióktelepektől kapott kimutatások alapján, és ezekről az Infotv. hatályos előírásainak megfelelően tájékoztatja a NAIH–ot;
- szakmailag ellenőrzi a vonatkozó jogszabályokban és belső szabályozó eszközökben foglaltaknak megfelelő Szolgáltatói adatkezelést.
- az adatvédelmi szempontok érvényesülése céljából javaslatot tesz az egyes feltárt jogszerűtlenségek kiküszöbölésének módjára;
- vezeti az Adatvédelmi Nyilvántartást, Személyes adatok törlésének Nyilvántartását és az Adatvédelmi Incidensek Nyilvántartását
- adatvédelmi szempontból figyelemmel kíséri az adatvagyon–leltár elkészítését, kérésre véleményt ad, illetve amennyiben ennek szükségét látja, javaslattal élhet;
- az Ügyvezetővel együttműködik az adatvédelmi ismeretek oktatásában;
- évente legalább egy alkalommal kezdeményezi és megszervezi az adatvédelmi megbízottak részvételével, a Szolgáltató központjában tartandó szakmai konzultációt.
- ha a NAIH jogellenes adatkezelés észlelése esetén a Szolgáltató az adatkezelés vagy annak jogszerűtlensége megszüntetésére hívja fel, haladéktalanul megteszi a szükséges intézkedéseket és erről 30 napon belül tájékoztatja a NAIH–ot;
- folyamatosan ellenőrzi az adatvédelemre vonatkozó rendelkezések betartását, ennek keretében szükség esetén vizsgálatot rendel el;
- gondoskodik az adatvédelmi tevékenységek ellátásához szükséges feltételek folyamatos biztosításáról.
A Szolgáltató vezetői munkakörben foglalkoztatott munkavállalói (fióktelep vezetők)
Az egyes fióktelepek vezetői felelősek azért, hogy az általuk vezetett fióktelepeknél az adatkezelés a jogszabályokban és a jelen Szabályzatban meghatározottak szerint történjen.
Az egyes fióktelepek vezetői felelősek a jelen Szabályzatban foglalt jelentési, jelzési kötelezettségek teljesítéséért.
VI. Adatfeldolgozó, adatfeldolgozói felelősség
A GDPR Preabulum (81)-(83) bekezdései és 28. cikke határozza meg az adatfeldolgozóra és az adatfeldolgozásra vonatkozó követelményeket. Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit (különösen az utasítások betartására, titoktartásra, közreműködőkért való és egyéb felelősségi esetekre vonatkozó kötelezettségeket) és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben.
Az írásban rögzítendő adatfeldolgozásra vonatkozó szerződésnek tételesen tartalmaznia kell a GDPR 28. cikk (3) bekezdésében előírtakat, valamint az adatvédelmi incidensekkel kapcsolatos előírásokat. Adatfeldolgozásra nem köthető szerződés olyan személlyel, vagy vállalkozással, aki, vagy amely érdekelt a feldolgozandó személyes adatokat felhasználó egyéb üzleti tevékenységben. Adatfeldolgozásra nem köthető szerződés megfelelő adatfeldolgozói garanciák kikötése nélkül, melyek az adatkezelésnek a GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtását hivatottak biztosítani. A szerződésben rögzíteni kell, hogy az adatfeldolgozó segíti az adatkezelőt a GDPR 32–36. cikk szerinti kötelezettségei – különösen az adatbiztonsággal, adatvédelmi incidensekkel kapcsolatos feladatai teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért, zárolásáért és nyilvánosságra hozataláért. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót eseti vagy általános felhatalmazása nélkül nem vehet igénybe.
Adatfeldolgozó igénybevétele esetén dokumentáltan gondoskodni kell arról, hogy az adatfeldolgozásra irányuló szerződésekben jelen Szabályzat ismerete és betartása, továbbá a titoktartás, mint kötelezettség, a szerződő félre, valamint azok foglalkoztatottjaira is kiterjedjen.
VII. Az adatkezelésekkel kapcsolatos nyilvántartások vezetésének rendje
Vezetendő nyilvántartások
Az Adatvédelmi Nyilvántartás
Az Adatvédelmi Nyilvántartás naprakész kimutatás a Szolgáltató által folytatott, személyes adatokat érintő adatkezelésekről, azok legfontosabb adatairól. Az Adatvédelmi Nyilvántartás tartalmazza a Szolgáltató által kezelt, valamennyi személyes adatra vonatkozó adatkezelést.
Az Adatvédelmi Nyilvántartást folyamatosan az adatvédelmi tisztviselő vezeti.
Az adatvédelmi tisztviselő részére esetlegesen megküldendő, a fióktelepek adatkezeléseiről elkészített Nyilvántartási Adatlapok egy elektronikus példányát 5 évig meg kell őrizni a Szolgáltató telephelyén, biztosítva ezzel, hogy közvetlenül lehessen naprakész információval szolgálni a Szolgáltató adatkezeléseiről.
Az Adattovábbításra vonatkozó Nyilvántartás
A fióktelepek vezetői a GDPR-ban foglalt adatkezelési alapelvek szerint saját nyilvántartást kell vezetniük az általuk kezelt személyes adatok továbbításáról. Az Adattovábbítási Nyilvántartás (2. számú függelék) célja az érintett tájékozódási jogának érvényesíthetősége, illetve az adatátadások ellenőrizhetősége, ezért a nyilvántartást úgy kell vezetni, hogy abból megállapíthatóak legyenek az adattovábbítás részletei. E részletek alapján kell – a GDPR 13. cikke szerinti, a címzettekre vonatkozó előzetes tájékoztatáson túl – a GDPR 15. cikkében foglalt hozzáférési jog alapján kérésre tájékoztatni az érintettet arról, hogy mely személyes adatát, kinek a részére, milyen célból és mely jogalapon továbbította a szolgáltató/fióktelep.
Tekintettel a Szolgáltató széles körű feladataira és a feladatellátásához igazodóan adot esetben jogszabályban kötelezően elrendelt adattovábbításokra, ezen kötelező adattovábbítások általános jellemzőit a Nyilvántartási Adatlapon kell feltüntetni.
A nyilvántartásban azokat az adattovábbításokat kell rögzíteni jellemzően, amikor a megkeresésben a jogszabályban erre felhatalmazott szervek ( rendőrség, bíróság, ügyészség, önálló bírósági végrehajtó stb.) a GDPR 6. cikk (1) bekezdésében foglalt jogalappal, kérnek személyes adatot is tartalmazó tájékoztatást.
Az Adattovábbítási Nyilvántartásban nem kell rögzíteni azon adattovábbításokat:
- amelyeket a Szolgáltató kötelezően ellátandó, és a feladatellátáshoz igazodóan, jogszabályban kötelezően előírtan végez.
- amelyeket az érintett kérelmére indult eljárásban az érintett kérelmében foglaltak megvalósítása érdekében kell teljesíteni (pl.: az érintett a Szolgáltató adatbázisban szereplő személyes adatairól kért adatszolgáltatást, igazolást stb.).
Amennyiben informatikailag megoldható, az adattovábbító fióktelep az adattovábbítások jellemzőit kinyerheti az általa kezelt elektronikus rendszerből is, ha az így előállított adatokból megállapíthatóak az adattovábbítás tekintetében az érintett tájékoztatásához szükséges információk (adatigénylő megnevezése, adattovábbítás célja, adattovábbítás jogalapja, érintettről továbbított adatok köre, adattovábbítás időpontja). Erről a technikai megoldásról tájékoztatni kell az adatvédelmi tisztviselőt, és a megoldás jellegétől függetlenül jelen Szabályzatban foglalt adatszolgáltatási kötelezettségnek eleget kell tenni.
Az érintett tájékoztatásra vonatkozó jogosultsága – miszerint az Adattovábbítási Nyilvántartás információiból megismerheti, hogy adatszolgáltatás alanya volt–e – a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében a rendőrség, a nemzetbiztonsági szolgálatok részére történt adatszolgáltatás esetén jogszabály erre vonatkozó előírása esetén korlátozható vagy kizárható.
Az Adattovábbítási Nyilvántartásból adatigénylésre jogosult az érintetten kívül a NAIH, az adatvédelmi ellenőrzésre feljogosított személy, bűncselekmény gyanúja esetén az eljárásra hatáskörrel rendelkező nyomozó hatóság és az ügyész; az adatkezelő fióktelep vezetője és a nemzetbiztonsági szolgálatok. Az Adattovábbítási Nyilvántartásba az arra jogosultak által történő betekintést és az abból történő adattovábbítást dokumentálni kell.
Az Adattovábbítási Nyilvántartást az adott év folyamán az adattovábbítást végző fióktelepnek elektronikusan kell vezetnie, év végén az adott évre vonatkozóan ki kell nyomtatni, iktatószámmal és az adatkezelő fióktelep, továbbá adatvédelmi ellenőrzést követően a fióktelep adatvédelmi megbízott aláírásával kell ellátni. A papír alapú, adott évre vonatkozó Adattovábbítási Nyilvántartásokat 10 évig meg kell őrizni. Ezen időszakon belül a benne szereplő adatok nem törölhetők. Az Adattovábbítási Nyilvántartásból jelen Szabályzatban foglaltaknak megfelelően adatszolgáltatást kell teljesíteni.
Az Érintettek megkereséseinek Nyilvántartása
Az érintettektől saját adataikkal kapcsolatosan érkezett kérelmekre vonatkozó információkat az adatvédelmi megbízottnak az Érintettek megkereséseinek Nyilvántartásában (3. számú függelék) kell vezetni. Az elutasított kérelmeket az elutasítás indoka szerinti bontásban külön szükséges részletezni.
A Nyilvántartásban kizárólag az érintett hozzáférési joga, személyes adatainak helyesbítése, illetve – a jogszabály által elrendelt kötelező adatkezelések kivételével – törlése, az adatkezelés korlátozása, tiltakozás iránti megkeresésekre vonatkozó jellemzőket kell feltüntetni.
A Ügyvezető, fióktelep vezető, fióktelep adatvédelmi megbízottja az érintettek megkeresésére teljesített és elutasított kérelmekről a jelen Szabályzatban foglaltak szerint tájékoztatják az adatvédelmi tisztviselőt. Az adott évre vonatkozó Érintettek megkeresésének Nyilvántartását 5 évig, különleges adatok tekintetében 20 évig meg kell őrizni.
Adatvédelmi incidensek Nyilvántartása
A Szolgáltatónál az adatvédelmi tisztviselő nyilvántartást vezet a szervezetben felmerülő adatvédelmi incidensekről (5. számú függelék)
Az 5. sz. Függeléket naprakészen kell vezetni , melyet 5 évig meg kell őrizni. Az 5. sz. Függelék folyamatos elérhetőségét az adatvédelmi tisztviselőnél kell biztosítani.
A nyilvántartásban rögzíteni kell az incidenshez kapcsolódó tényeket, az incidens hatásait és az orvoslására tett intézkedéseket:
- az incidens bekövetkezésének és észlelésének időpontját, az incidens időtartamát és helyét,
- az incidens leírását, körülményeit, hatásait,
- az incidens során érintett személyes adatok körét, számosságát,
- az érintett személyek körét (konkrét számadat hiányában becsült nagyságrendjét),
- az incidens minősítését (valószínűsíthetően magas kockázattal jár-e)
- az incidens elhárítása érdekében tett intézkedések leírását, ideértve a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását is.
- az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Személyes adatok törlésének Nyilvántartása
A GDPR alapelveinek megfelelően a személyes adatokat törölni kell, ha az érintett visszavonta a hozzájárulását, az adatkezelés célja megszűnt vagy az adatok tárolásának jogszabályban meghatározott határideje lejárt.
Évente egyszer, az adatvédelmi tisztviselő felhívására a személyes adatot kezelő fióktelepek vezetői- az adatvédelmi megbízottak közreműködésével – felülvizsgálják a kezelésükben lévő személyes adatok körét, és amennyiben a különböző adatkörök tekintetében az adatkezelést előíró jogszabályban illetve belső szabályozó eszközben előírt határidő lejárt, gondoskodnak a személyes adatok törléséről/ /archiválásáról/selejtezéséről.
A Személyes adatok törlésének Nyilvántartását (6. számú függelék) 5 évig meg kell őrizni.
Az adatvagyon–leltár
Az adatvagyon–leltár a személyes adatok kezelésére vonatkozó nyilvántartásoknál szélesebb körű, a Szolgáltató teljes adatkezelését átfogó nyilvántartás, melynek célja az, hogy naprakész információval szolgáljon a Szolgáltató teljes védendő adatvagyonáról, azok tulajdonosairól (adatgazdák) és az egyes vagyonelemek értékéről. Mindezen információk birtokában lehet kialakítani a Szolgáltató teljes adatkezelésére vonatkozó hatékony és megfelelő szintű védelmet.
A tételes adatvagyon–leltárnak tartalmaznia kell a Szolgáltató teljes információ–vagyonát (adatok, adatbázisok, és biztonsági osztályuk, oktatási, üzemeltetési, biztonsági segédletek és nyilvántartások, hozzáférési és kezelési jogosultságok) és szoftver–vagyonát (rendszer–szoftverek, alkalmazói szoftverek, fejlesztőeszközök, szolgáltatások).
A tételes adatvagyon–leltár felvételéről és aktualizálásáról a Szolgáltató ügyvezetői gondoskodnak.
Adatszolgáltatások az adatkezelések nyilvántartásaiból
Negyedévente, a tárgynegyedévet követő 8 munkanapon belül a fióktelepek vezetői az adatvédelmi megbízottal együttműködve elektronikus formában megküldik az adatvédelmi tisztviselő részére a következő információkat:
- az Adattovábbítási Nyilvántartásból a harmadik személyektől személyes adatok továbbítására vonatkozó egyedi kérelmek adatait;
- az Érintettek megkereséseinek Nyilvántartásából az érintettektől érkezett, saját személyes adataikat érintő hozzáférés, helyesbítés, törlés, adatkezelés korlátozás, adathordozhatósághoz való jog és tiltakozás jogának gyakorlása iránti megkeresésekre vonatkozó adatokat;
- Az a–b) pont nyilvántartásainak negyedéves szöveges összesített jelentését. (4. számú függelék)
- Az adatkezelő fióktelepek vezetői az adatszolgáltatást megelőzően az Adattovábbítási Nyilvántartásban, az Érintettek megkereséseinek Nyilvántartásában, szereplő adatokat egyezteti a fióktelepek nyilvántartó rendszeréből kiszűrt adatokkal.
Évente, minden év január 8. munkanapjáig a személyes adatokat érintő adatkezelésekre vonatkozóan a fióktelepek vezetői elektronikus formában is eljuttatják az adatvédelmi tisztviselő részére a következő információkat:
- az adatkezeléskor hatályos jogszabályoknak megfelelő állapot szerint összeállított Nyilvántartási Adatlapot;
- az egyéb nyilvántartások és a negyedéves jelentések alapján a teljes évre vonatkozó éves összefoglaló jelentést (4. számú függelék).
VIII. Az adatbiztonság általános szempontjai
A Szolgáltató köteles gondoskodni a kockázatok mértékének megfelelő szintű adatbiztonságról. A továbbított, tárolt vagy más módon kezelt adatokat védeni kell az egyes veszélyeztető tényezőktől, így különösen a jogosulatlan hozzáféréstől, a véletlen vagy jogellenes megváltoztatástól, továbbítástól, elvesztéstől, nyilvánosságra hozataltól, törléstől, bármely sérüléstől, valamint a megsemmisítéstől, továbbá az alkalmazott technika megváltozásából adódó hozzáférhetetlenné válástól.
Az adatok biztonságát szolgáló intézkedések (ideértve a logikai (pl. hálózatbiztonsági intézkedések) és a fizikai (pl. belépési jogosultságok ellenőrzése) biztonsági eseményeket is) meghatározásakor és alkalmazásakor tekintettel kell lenni a tudomány és a technika mindenkori fejlettségére és a megvalósítás költségeire. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja.
A megfelelő adatbiztonsági szint meghatározásához kockázatelemzést kell készíteni az adatkezelés jellege, hatóköre, körülményei és céljai, a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatok figyelembevételével. A kockázatelemzés során a következők mentén kell haladni:
- Az adatkezelés leírása
- Az adatkezelés alapvető jellemzőinek meghatározása (így a kezelt adatok köre, jogalapja, célja, időtartama, címzettek stb.)
- Az adatáramlás folyamatának meghatározása (adat felvételétől a törlésig)
- Kockázatok azonosítása
- Belső kockázatok (ideértve az emberi (szándékos vagy gondatlan) és a nem emberi kockázati tényezőket is)
- Külső kockázatok (ideértve az emberi (szándékos vagy gondatlan) és a nem emberi kockázati tényezőket is)
- A fentiek elvégzését követően fel kell tárni a fenyegetettségeket és a kockázatot jelentő eseményeket, valamint azok érintettre gyakorolt hatását.
- Végezetül értékelni kell a fenyegetettségek bekövetkezési valószínűségét és a kockázatot jelentő események súlyosságát.
A kockázatelemzést alapul véve megfelelő technikai és szervezési intézkedéseket kell alkalmazni, ideértve többek között a következőket:
- a személyes adatok álnevesítését és titkosítását;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét, ennek során a Szolgáltató az adatok kezeléséhez használt informatikai eszközöket úgy üzemelteti, hogy a kezelt személyes adatok csak az arra feljogosítottak számára legyenek hozzáférhetőek (adat bizalmassága), de számukra folyamatos legyen az elérhetőség (rendelkezésre állás), továbbá az informatikai rendszer úgy került felépítésre, hogy a kezelt személyes adatok a hitelessége és hitelesítése biztosított legyen (adatkezelés hitelessége), amit széles körű naplózási rendszerrel biztosít, ami megfelelően támogatja és igazolja a személyes adatok szabályozott módosíthatóságát, illetve változatlanságát (adatintegritás);
- fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
Adatbiztonsági szempontból a személyes adatok és a különleges adatok egyaránt érzékeny, védendő adatnak minősülnek. Az egyes szükséges adatbiztonsági intézkedések meghatározása céljából a Szolgáltató kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából – a kockázatelemzést alapul véve – értékelni kell és a megfelelő biztonsági osztályba kell sorolni a következő bekezdésben foglaltakat is vizsgálva.
Az egyes adatkezelések biztonsági fokozatának megállapításához kockázatelemzés eredményének figyelembevételén kívül elemezni kell:
- az adatkezelésnek a Szolgáltató jogszabályban meghatározott feladatai végrehajtásában betöltött szerepét;
- a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver– és szoftvereszközök megrongálásával járó kockázatot és a várható kárt, figyelemmel arra, hogy az adatkezelés hiánya vagy az abban bekövetkezett sérülés milyen mértékben akadályozza a Szolgáltató feladatainak teljesítését;
- azt, hogy helyreállítható–e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait;
- a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét;
- azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt–e megkülönböztetett biztonsági előírásokat alkalmazni;
- az adatbiztonságot veszélyeztető más kockázati elemeket;
- azt, hogy a védelemhez szükséges feltételrendszer megteremtéséhez és fenntartásához biztosítottak–e a szükséges erőforrások.
A szükséges biztonsági intézkedéseket a tárolás módjától függetlenül minden, a Szolgáltató által kezelt személyes adat védelme érdekében meg kell tenni.
A számítógépen, hálózaton, illetve adathordozón tárolt személyes adatok biztonságának megteremtése és fenntartása céljából különös figyelmet kell fordítani a biztonsági mentésekre, az archiválásra, a tűzvédelemre, az áramellátás szünetmentességének biztosítására, a vírus és a hozzáférés–védelemre, továbbá az adathordozók biztonságos tárolására.
Számítógépen tárolt személyes adatok kezelése, a személyes adatok automatizált feldolgozása során a Szolgáltatónak biztosítania kell a jogosulatlan adatbevitel megakadályozását; az automatikus feldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását; annak ellenőrizhetőségét és megállapítását, hogy mely személyes adatokat, mikor és ki vitt be az automatikus adatfeldolgozó rendszerbe, és hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják; a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és azt, hogy a fellépő hibákról jelentés készüljön.
A manuális, azaz papír alapon kezelt adatok biztonsága érdekében a Szolgáltatónak tűz– és vagyonvédelmi szempontból biztosítania kell, hogy az irattári kezelésbe vett iratok jól zárható, száraz, tűzvédelmi és vagyonvédelmi riasztó berendezéssel ellátott helyiségben legyenek elhelyezve, hozzáférés–védelmi szempontból gondoskodnia kell arról, hogy a folyamatos, aktív kezelésben lévő iratokhoz csak az illetékes munkatársak férhessenek hozzá.
Az archiválást a Szolgáltató Iratkezelési Szabályzatának és az IBDR-ben foglaltaknak megfelelően kell végrehajtani.
Az egyes szükséges biztonsági intézkedésekre vonatkozó részletes szabályok több, különböző belső Szabályzatban kerültek rögzítésre, így az informatikai adatbiztonsági előírásokat az IBDR, a dokumentumokban, iratokban lévő adatok biztonságára vonatkozó adatkezelési szabályokat az Iratkezelési Szabályzat tartalmazza.
IX. Az adatkezelések ellenőrzése
Az adatkezelések ellenőrzésének legfőbb szempontjai a törvényesség, az e Szabályzatban és a kapcsolódó egyéb belső szabályozó eszközökben foglaltak betartása és a dokumentáltság.
Az ellenőrzést szakmai szempontból az adatvédelmi tisztviselő, kockázatelemzés alapján vagy a Szolgáltató ügyvezetője által soron kívül elrendelt ellenőrzés esetén a Belső Ellenőrzés vezetője vagy az általa kijelölt foglalkoztatott, informatikai biztonsági szempontból pedig az IBDR–ben megjelölt személy végzi.
Az ellenőrzést szakmai szempontból az adatvédelmi tisztviselő, kockázatelemzés alapján vagy a Szolgáltató ügyvezetője által soron kívül elrendelt ellenőrzés esetén a Belső Ellenőrzés vezetője vagy az általa kijelölt foglalkoztatott, informatikai biztonsági szempontból pedig az IBDR–ben megjelölt személy végzi.
Az adatvédelmi tisztviselő tárgyév január 15-ig éves ellenőrzési tervet készít, amelyet a Szolgáltató ügyvezetője hagy jóvá. Az adatvédelmi tisztviselő az éves ellenőrzési tervet a Szolgáltató ügyvezetőjének egyetértésével módosíthatja.
Az ellenőrzésekre sor kerülhet soron kívül, bejelentés vagy a munkafolyamatok során észlelt hiányosságok alapján is.
Az adatvédelmi tisztviselő az ellenőrzés megkezdése előtt köteles ellenőrzési programot készíteni. Az ellenőrzés program tartalmazza az ellenőrzés célját, tárgyát, az ellenőrzés alá vont fióktelep megnevezését, az ellenőrzendő időszakot, az ellenőrzés során irányadó, releváns jogszabályok és belső szabályozó eszközök meghatározását valamint az ellenőrzés kezdő időpontját.
Az adatvédelmi tisztviselő az ellenőrzésről az ellenőrzdendő fióktelep vezetőjét – az ellenőrzési program megküldésével – az ellenőrzés megkezdése előtt legalább 3 nappal elektronikus levélben köteles tájékoztatni.
Az adatvédelmi tisztviselő az ellenőrzés során köteles
- az ellenőrzés lefolytatásához szükséges dokumentumokat megvizsgálni,
- megállapításait, javaslatait írásba foglalni, és azokat elegendő és megfelelő bizonyítékkal alátámasztani,
- amennyiben az ellenőrzés során büntető-, szabálysértési, kártérítési illetve fegyelmi eljárás megindítására okot adó cselekmény, mulasztás vagy hiányosság gyanúja merül fel, a szükséges intézkedések megtétele érdekében haladéktalanul jelentést tenni a Szolgáltató ügyvezetőjének ,
- az ellenőrzést megfelelően dokumentálni, az ellenőrzés során készített iratokat és iratmásolatokat – az adatvédelmi előírások betartásával – az ellenőrzés dokumentációjához csatolni,
- ellenőrzési jelentést készíteni és a feltárt hiányosságokról vagy az esetleges jogellenes gyakorlatról a jelentés megküldésével a Szolgáltató ügyvezetőjét tájékoztatni, aki a jogszerű állapot helyreállításához szükséges intézkedéseket haladéktalanul megteszi.
Az ellenőrzött fióktelep vezetője és a fióktelep foglalkoztatottjai kötelesek:
- az ellenőrzés végrehajtását elősegíteni, együttműködni,
- az adatvédelmi tisztviselő részére szóban vagy írásban a kért tájékoztatást, felvilágosítást, nyilatkozatot megadni, a dokumentációkba a betekintést biztosítani, kérés esetén az eredeti dokumentumokat – másolat és jegyzőkönyv ellenében – az adatvédelmi tisztviselőnek a megadott határidőre átadni,
- saját hatáskörükbe tartozóan az ellenőrzés megállapításai és javaslatai alapján – a végrehajtásért felelősök megnevezését és a végrehajtás határidejét feltüntetve – intézkedési tervet készíteni és az intézkedéseket a megadott határidőig végrehajtani, valamint arról a Szolgáltató ügyvezetőjét és az adatvédelmi tisztviselőt tájékoztatni.
Az adatvédelmi tisztviselő a lefolytatott ellenőrzésről jelentés-tervezetet készít, amelyet észrevételezésre – 8 napos határidő megjelölésével – elektronikusan megküld az ellenőrzött ellenőrzött fióktelep vezetőjének. Soron kívül ellenőrzés esetén az adatvédelmi tisztviselő 8 napnál rövidebb határidőt is megállapíthat.
Az adatvédelmi tisztviselő az ellenőrzés alá vont fióktelep vezetőjének észrevételeit áttekinti, és az észrevételek elfogadásáról vagy elutasításáról 8 napon belül elektronikus levélben az ellenőrzött fióktelep vezetőjét értesíti.
Az észrevételek teljes vagy részleges elutasítása esetén az ellenőrzött fióktelep vezetője az adatvédelmi tisztviselőnél egyeztető megbeszélést kezdeményezhet. Az egyeztetési megbeszélésen az adatvédelmi tisztviselő, az ellenőrzött fióktelep vezetője valamint az a személy vesz részt, akinek meghívása az ellenőrzés tárgya vagy megállapításai miatt indokolt. Az adatvédelmi tisztviselő az egyeztető megbeszélésről jegyzőkönyvet készít, amely tartalmazza a megbeszélés eredményét. A jegyzőkönyvet csatolni kell az ellenőrzési jelentéshez. Az adatvédelmi tisztviselő az egyeztetés eredményétől függően a jelentéstervezetet szükség szerint módosítja.
Az adatvédelmi tisztviselő a lezárt jelentést 8 napon belül köteles a Szolgáltató ügyvezetőjének , valamint az ellenőrzött fióktelep vezetője részére megküldeni.
Az ellenőrzött fióktelep vezetője a jelentés kézhezvételét követő 8 napon belül köteles intézkedési tervet készíteni és azt a Szolgáltató ügyvezetőjének, valamint az adatvédelmi tisztviselő részére megküldeni. A Szolgáltató ügyvezetője az általa jóváhagyott intézkedési tervet eljuttatja az adatvédelmi tisztviselőnek, aki azt továbbítja az ellenőrzött fióktelep vezetőjének.
Az adatvédelmi tisztviselő a lefolytatott ellenőrzésekről, az ellenőrzések eredményét tartalmazó jelentésekről, az intézkedési tervekről és az utóellenőrzésekről folyamatosan aktualizált nyilvántartást vezet.
Az ellenőrzött fióktelep vezetője az intézkedés megtörténtét vagy az intézkedésre nyitva álló határidő lejártát követő 8 napon belül köteles beszámolót készíteni és azt az adatvédelmi tisztviselő részére megküldeni. A beszámolónak tartalmaznia kell a végrehajtott intézkedésekkel kapcsolatos rövid tájékoztatást, a végre nem hajtott intézkedés esetén annak okát, szükség esetén a határidő módosítás iránti kérelmet.
Az adatvédelmi tisztviselő az intézkedési tervek teljesítéséről félévente összefoglalót készít a Szolgáltató ügyvezetője részére.
Az adatvédelmi tisztviselő az intézkedések nyomon követése érdekében utóellenőrzést tarthat, amelynek célja, hogy az adatvédelmi tisztviselő bizonyosságot szerezzen az intézkedési tervek megfelelő végrehajtásáról. Az utóellenőrzés az ellenőrzési jelentésben leírt hiányosságokra, valamint a vonatkozó intézkedési tervek végrehajtásának ellenőrzésére terjed ki.
Függelékek
- Nyilvántartási Adatlap a Személyes Adatok Kezeléséről és Tájékoztató
- Adattovábbítási Nyilvántartás és Tájékoztató
- Érintettek Megkereséseinek Nyilvántartása
- Összesített Jelentés mintája
- Adatvédelmi Incidensek Nyilvántartása
- Személyes Adatok Törlésének Nyilvántartás és Tájékoztató
- Adatvédelmi incidensek kezelése