Adatkezelési és Adatbiztonsági Szabályzat
1. Általános rendelkezések
1 A Szabályzat célja
1.1 Jelen szabályzat (a továbbiakban: Szabályzat) célja, hogy
- meghatározza a Patronage’99 Alapítvány a személyes adatok kezelését, valamint a személyes adatokat tartalmazó manuális vagy számítógépes nyilvántartások kezelésének rendjét,
- biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését,
- megakadályozza az adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását, jogosulatlan nyilvánosságra hozatalát, továbbá
- mindezek alapján szabályozza a Patronage’99 Alapítvány szervezeti egységeinél történő – személyes adatok kezelésére vonatkozó – adatkezelés rendjét.
1.2 A Szabályzat személyi és tárgyi hatálya
A Szabályzat személyi hatálya kiterjed Patronage’99 Alapítvány valamennyi adatkezelést, adatfeldolgozást végző munkavállalójára, továbbá Patronage’99 Alapítvánnyal szerződéses jogviszonyban álló természetes és jogi személyre, illetve egyéb gazdálkodó szervezetre a velük kötött szerződésben, illetve a titoktartási nyilatkozatban rögzített mértékben.
A Szabályzat tárgyi hatálya kiterjed Patronage’99 Alapítvány bármely szervezeti egységénél folytatott valamennyi – személyes adatokat érintő – számítógépes és manuális adatkezelésre, illetve adatfeldolgozásra.
1.3 Kapcsolódó jogszabályok
- 2013. évi V. törvény a Polgári Törvénykönyvről (a továbbiakban: Ptk.),
- 2012. évi C. törvény a Büntető Törvénykönyvről,
- 2012. évi I. törvény a munka törvénykönyvéről,
- Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR),
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Iötv.),
- 1995. évi CXXV. törvény a nemzetbiztonsági szolgálatokról,
- 2009. évi CLV. törvény a minősített adat védelméről,
- 2013. évi CCXXXVII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról (a továbbiakban: Hpt.),
- 1997. évi LXXX. törvény a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről,
- 2007. évi CXXXVI. törvény a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról,
1.4 Értelmező rendelkezések
A Szabályzat alkalmazása során:
- „érintett”: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
- „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
- „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
- „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
- „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
- „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
- „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
- „vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
- „vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
- „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
- „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
- „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
- az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
- az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
- panaszt nyújtottak be az említett felügyeleti hatósághoz;
- „személyes adatok határokon átnyúló adatkezelése”:
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
- „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
- „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (1) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;
- „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre.
2. A személyes adatok kezelésére vonatkozó elvek
A személyes adatok:
- kezelését a Patronage’99 Alapítvány jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi („jogszerűség, tisztességes eljárás és átláthatóság”);
- gyűjtését a Patronage’99 Alapítvány csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon; („célhoz kötöttség”);
- az adatkezelés céljai szempontjából megfelelőek és relevánsak, és a szükségesre korlátozódnak („adattakarékosság”);
- pontosak és szükség esetén naprakészek; a Patronage’99 Alapítvány minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse („pontosság”);
- tárolása olyan formában történik, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; („korlátozott tárolhatóság”);
- kezelését a Patronage’99 Alapítvány oly módon végzi, hogy biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
3. Az adatkezelés szabályai
3.1 Az adatkezelés jogszerűsége
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.
A PATRONAGE’99 ALAPÍTVÁNY a személyes adatokat az általa végzett tevékenység kapcsán közte és az érintett között létrejött szerződésből folyó kötelezettség teljesítése és jogosultság gyakorlása végett, továbbá az általa végzett vállalkozásfejlesztési tevékenység keretében szervezett rendezvényekhez, eseményekhez kapcsolódóan, az Érintettek önkéntes hozzájárulása alapján kezeli.
Az Érintett önkéntes hozzájárulása alapján történő adatkezelésre csak akkor kerülhet sor, ha az Érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet.
Az Érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről a Patronage’99 Alapítvány tájékoztatja.
A Patronage’99 Alapítvány az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatja az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait Patronage’99 Alapítvány , mint adatkezelő a GDPR, illetőleg az Iötv. alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Ha az adatkezelés célja Patronage’99 Alapítvány -val írásban kötött szerződés végrehajtása, a szerződés tartalmazhat minden olyan információt, amelyet a személyes adatok kezelése szempontjából – a GDPR, illetőleg az Iötv. alapján – az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevétele esetén az igénybevétel tényét. A szerződés félreérthetetlen módon tartalmazza, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
3.2. Ügyféladatok
A 3.1. pont szerinti adatkezelések során alábbi ügyféladatok kezelhetők:
– személyi azonosító adatok
– demográfiai adatok (pl.: kor, nem, munkaviszony)
– jövedelem adatok
– elérhetőségi adatok (pl.: cím, telefonszám).
Patronage’99 Alapítvány nem kezeli a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatokat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokat, az egészségügyi adatokat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatokat.
3.3. Az adatkezelés határideje
Patronage’99 Alapítvány és az érintett között létrejött szerződésből folyó kötelezettség teljesítése és jogosultság gyakorlásának megszűnésétől számított tíz év. Az Érintett hozzájárulásán alapuló adatkezelés esetében Patronage’99 Alapítvány az Érintett hozzájárulásának visszavonásáig kezeli az adatot.
4. Az érintett jogai
4.1 Tájékoztatáshoz való jog
Ha Patronage’99 Alapítvány az Érintettre vonatkozó személyes adatokat az érintettől gyűjti, a személyes adatok megszerzésének időpontjában az Érintett rendelkezésére bocsátja a következő információkat:
- a Patronage’99 Alapítvány kiléte és elérhetőségei;
- a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
- adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
- adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya.
A fenti információk mellett Patronage’99 Alapítvány a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az Érintettet a következő kiegészítő információkról tájékoztatja:
- a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
- az Érintett azon jogáról, hogy kérelmezheti Patronage’99 Alapítvány -től a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
- az Érintett önkéntes hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
- arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
Ha a személyes adatokat Patronage’99 Alapítvány nem az Érintettől szerezte meg, az Érintett rendelkezésére bocsátja a következő információkat:
- Patronage’99 Alapítvány kiléte és elérhetőségei;
- a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
- az érintett személyes adatok kategóriái;
- a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
- adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat-
A fenti információk mellett Patronage’99 Alapítvány az Érintett rendelkezésére bocsátja az Érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
- a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- az Érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
- az Érintett önkéntes hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
- a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
- a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
4.2. Az érintett hozzáférési joga
Az Érintett jogosult arra, hogy Patronage’99 Alapítvány -tól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- az adatkezelés céljai;
- az érintett személyes adatok kategóriái;
- azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
- adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
- a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
4.2 Helyesbítéshez való jog
Az Érintett kérésére Patronage’99 Alapítvány indokolatlan késedelem nélkül helyesbíti az Érintettre vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az Érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
4.3 A törléshez való jog („az elfeledtetéshez való jog”)
Az érintett kérésére Patronage’99 Alapítvány indokolatlan késedelem nélkül törli az Érintettre vonatkozó személyes adatokat, Patronage’99 Alapítvány az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törli, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az Érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az Érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat Patronage’99 Alapítvány -re alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
A fenti intézkedést Patronage’99 Alapítvány nem alkalmazza, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
4.4 Az adatkezelés korlátozásához való jog
Az Érintett kérésére Patronage’99 Alapítvány korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy Patronage’99 Alapítvány ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- Patronage’99 Alapítvány -nak már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az Érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy Patronage’99 Alapítvány jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Patronage’99 Alapítvány az Érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
4.5 Az adathordozhatósághoz való jog
Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
- az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
- az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog gyakorlása során az Érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
4.6 A tiltakozáshoz való jog
Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben Patronage’99 Alapítvány a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Patronage’99 Alapítvány indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet a jogainak gyakorlását célzó kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról Patronage’99 Alapítvány a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást Patronage’99 Alapítvány elektronikus úton adja meg, kivéve, ha az Érintett azt másként kéri.
Ha Patronage’99 Alapítvány nem tesz intézkedéseket az Érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az Érintett részére szolgáltatott információkat és az Érintett jogainak gyakorlása során hozott intézkedéseket Patronage’99 Alapítvány díjmentesen biztosítja.
Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, Patronage’99 Alapítvány , figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) ésszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
5. Adatvédelmi tisztviselő
Patronage’99 Alapítvány adatvédelmi tisztviselőt nem alkalmaz.
6. Adatvédelmi nyilvántartás
6.1. Patronage’99 Alapítvány minden, Patronage’99 Alapítvány -nél folytatott, illetve Patronage’99 Alapítvány megbízásából vagy érdekében végzett adatkezelésről nyilvántartást vezet, amely dokumentálja az adatkezeléssel kapcsolatos legfontosabb tényeket és körülményeket.
6.2. Az adatvédelmi nyilvántartás az alábbiakat tartalmazza:
Az adatkezelés célja | |
Az adatkezelés jogalapja | |
Az érintettek köre | |
Az érintettekre vonatkozó adatok leírása | |
Az adatok forrása | |
Az adatok kezelésének időtartama | |
A továbbított adatok fajtája, címzettje és a továbbítás jogalapja, ideértve a harmadik országokba irányuló adattovábbításokat is | |
Az adatkezelő, valamint az adatfeldolgozó neve és címe, a tényleges adatkezelés, illetve az adatfeldolgozás helye és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenysége | |
Az alkalmazott adatfeldolgozási technológia jellege | |
A különböző adatkategóriák törlésére előirányzott határidők | |
A személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk |
7. A munkavállalók adatainak kezelése
7.1. Patronage’99 Alapítvány -ben a Szabályzatban foglaltak figyelembevételével kell ellátni a személyügyi nyilvántartás, valamint a bér- és munkaügyi nyilvántartás (a továbbiakban együtt: munkaügyi nyilvántartás) vezetését, továbbá a munkavállaló személyi iratainak és adatainak kezelését (a továbbiakban együtt: munkaügyi adatkezelés).
7.2. E szabályokat a munkaviszony létesítésére irányuló előzetes eljárásra és a munkaviszony megszüntetése során is megfelelően alkalmazni kell.
7.3. A személyügyi nyilvántartás jogszerűségéért, a személyes adatok védelméért, valamint a személyes adatokból történő adatszolgáltatásért a Főkönyvelő felelős. A személyügyi nyilvántartás vezetésével kapcsolatos feladatokat csak a munkaköri leírás alapján e feladattal megbízott munkavállaló láthatja el.
7.4. A Főkönyvelő a személyügyi nyilvántartás tekintetében, és a bér- és munkaügyi nyilvántartás tekintetében köteles biztosítani, hogy a munkavállaló a róla nyilvántartott adatokba és iratokba korlátozás nélkül betekinthessen, azokról másolatot vagy kimutatást kaphasson.
7.5. A munkavállaló kérheti adatai helyesbítését, illetve javítását, amelyet a Főkönyvelő – feltéve, hogy a munkavállaló az adat helyességét hitelt érdemlően igazolta – köteles teljesíteni.
7.6. A munkavállaló jogosult megismerni, hogy a munkaügyi adatkezelés során adatait kinek, milyen célból és milyen terjedelemben továbbították.
7.7. A munkavállaló a munkaviszony létesítésekor a személyügyi nyilvántartáshoz és a bér- és munkaügyi nyilvántartáshoz szükséges adatokat a Főkönyvelő részére köteles megadni, az adatváltozásokat pedig köteles haladéktalanul bejelenteni.
7.8. A Főkönyvelő a személyügyi nyilvántartás és a bér- és munkaügyi nyilvántartás tekintetében haladéktalanul köteles átvezetni a munkavállaló által bejelentett adatváltozásokat.
7.9. A személyügyi nyilvántartásban szereplő adatok körét a Szabályzat 1. számú melléklete, a bér- és munkaügyi nyilvántartásban szereplő adatok körét pedig a Szabályzat 2. számú melléklete tartalmazza.
8. Adatbiztonsági alapelvek
8.1. Patronage’99 Alapítvány az adatkezelési műveleteket köteles úgy megtervezni és végrehajtani, hogy biztosítsa a GDPR és az adatkezelésre vonatkozó más szabályok alkalmazását. A GDPR, mint adatkezelő, illetve az általa megbízott adatfeldolgozó tevékenységi körében gondoskodik az adatok biztonságáról. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
8.2. Patronage’99 Alapítvány -nek az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene Patronage’99 Alapítvány -nek.
8.3 Az adatbiztonsági rendszabályok érvényesítése érdekében a szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.
9. Adatvédelmi incidensek kezelése
Az adatvédelmi incidenst Patronage’99 Alapítvány indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A bejelentésben Patronage’99 Alapítvány ismerteti az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közli a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket; az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, Patronage’99 Alapítvány indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Jelen Adatkezelési és Adatbiztonsági Szabályzat 2018. május 25. napjától hatályos.
Szabó Dorottya
Alapítvány képviselője