Adatkezelési tájékoztató
MÓRANET NONPROFIT KÖZHASZNÚ KFT.
Adatvédelmi Szabályzata
Jelen szabályzat felülvizsgálata és karbantartása minden év március 31-ig, illetve jogszabályváltozás és adatvédelmi incidens esetén, soron kívül történik.
Hatályba lépett: 2025.11.30.
Alkalmazandó: 2025.11.30.
Tartalom
1.1. A Szabályzat célja és hatálya. 4
1.2. Fogalmi meghatározások. 4
1.3. Kapcsolódó jogszabályok. 7
1.4. Adatvédelmi alapelvek, jogalapok. 8
- Rendezvényszervezésből adódó adatkezelés. 10
- Közösségi oldalon való jelenlét és marketing tevékenységből adódó adatkezelés. 10
- Banki adatokkal kapcsolatos adatkezelés. 10
- Kamerák használatából adódó személyes adatok kezelése. 10
- Foglalkoztatásból adódó személyes adatok kezelése. 10
- Állásra pályázók adatainak kezelése. 10
- Hírlevéllel kapcsolatos adatok kezelése. 10
- Rendezvényeken készített fotó, videó készítése miatti személyes adatok kezelése. 10
3.1. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak. 11
3.2. Az érintett tájékoztatása az adatvédelmi incidensről 11
4.1. Előzetes tájékoztatás. 12
4.2. Hozzáféréshez való jog. 13
4.3. Helyesbítéshez való jog. 13
4.4. Törléshez való jog (elfeledtetés joga) 14
4.5. Korlátozáshoz való jog. 14
4.6. Adathordozhatósághoz való jog. 15
4.7. Tiltakozáshoz való jog. 15
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást 16
4.8. Hatósági jogorvoslathoz való jog. 16
4.9. Eljárás az adatkezeléssel kapcsolatos jog gyakorlásának sikertelensége esetén. 17
4.10. Adatvédelmi tisztviselő (DPO) 17
4.11. Titoktartási kötelezettség. 17
4.13. Az érintett kérelme esetén alkalmazandó eljárás. 19
5. Az adatfeldolgozással kapcsolatos szabályok. 19
6. Adatbiztonsági intézkedések. 21
6.1. Adminisztratív biztonság. 23
6.1.1. Hardver-szoftver nyilvántartás. 23
6.2.2. Környezeti védelem.. 24
6.2.3. Szállítási védelem.. 25
6.3.4. Kártékony kódok elleni védelem (vírusírtás) 26
1. Általános ismertető 1.1. A Szabályzat célja és hatálya
E Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a(z) MÓRANET NONPROFIT KÖZHASZNÚ KFT. (Továbbiakban: adatkezelő) tevékenysége megfeleljen Az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK - (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
A Szabályzat célja továbbá, hogy meghatározza az adatkezelő által kezelt személyes adatok körét, az adatkezelés módját, valamint biztosítsa az adatvédelem és adatkezelés alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését annak érdekében, hogy a felhasználó természetes személyek magánszférájának a tiszteletben tartása megvalósuljon az érintettek személyes adatainak gépi feldolgozása, illetőleg kezelése során.
A Szabályzat személyi hatálya kiterjed
a Móranet Nonprofit Kft., annak munkavállalói, szerződéses partnerei és mindazon természetes személyek, akiknek adatait a társaság kezeli. A jelen szabályzatban rögzített adatkezelési tevékenység természetes személyek személyes adataira irányul.
a) Az adatkezelő valamennyi munkavállalójára, valamint az eseti jelleggel munkavégzésre igénybe vett dolgozóra.
b) Az adatfeldolgozóra.
c) A fentieken kívül mindazon személyre, aki az adatkezelő -vel bármilyen szerződéses jogviszonyban áll és az adatkezelő -vel kapcsolatos adatokat kezel, dolgoz fel.
A Szabályzat tárgyi hatálya kiterjed
a) az adatkezelő -nél kezelt valamennyi személyes adatra,
b) informatikai rendszerben kezelt vagy feldolgozott személyes adatra,
c) adatkezelés eredményeképpen létrejött személyes adatra,
d) adatkezelő -nél a személyes adatok kezeléséhez alkalmazott valamennyi hardver- és szoftvereszközre, valamint
e) az adatkezelő tevékenységével kapcsolatos, működése során keletkező közérdekű adatra vagy közérdekből nyilvános adatra.
A szabályzat időbeli hatálya kiterjed,
jelen szabályzat időbeli hatálya a megállapításának napjától további rendelkezésig, vagy a szabályzat visszavonásának napjáig áll fenn.
1.2. Fogalmi meghatározások1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
4. „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
5. „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
6. „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
7. „Adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
8. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
9. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
10. „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
11. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
12. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
13. „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
14. „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
15. „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
16. „tevékenységi központ”:
a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
17. „képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
18. „Cég”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő Cégeket és egyesületeket is;
19. „kötelező erejű szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon csoporton vagy közös gazdasági tevékenységet folytató ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
20. „felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
21. „érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
c) panaszt nyújtottak be az említett felügyeleti hatósághoz;
22. „személyes adatok határokon átnyúló adatkezelése”:
a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
23. „releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
24. „az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (1) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;
25. „nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre.
1.3. Kapcsolódó jogszabályok• Az EU 2016/679 rendelete,
• Magyarország Alaptörvénye,
• Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.),
• Az adózás rendjéről szóló 2017. évi CL. törvény (Art.),
• A Polgári törvénykönyvről szóló 2013. évi V. törvény (Ptk.),
• A tőkepiacról szóló 2001. évi CXX. törvény (Tpt.),
• A pénzmosás megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.),
• A fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fgytv.),
• A munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.)
• A számvitelről szóló 2000. évi C. törvény (Sztv. tv.)
• 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól
1.4. Adatvédelmi alapelvek, jogalapokAz adatkezelő a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi („jogszerűség, tisztességes eljárás és átláthatóság”); gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon.
Az adatkezelésnek minden szakaszában megfelel az adatkezelés céljának.
Az adatkezelő kijelenti, hogy a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak, és csak a szükségesre korlátozódnak.
Az adatkezelő a személyes adatot csak a szükséges mértékben és ideig kezeli.
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az adatkezelő kijelenti, hogy az általa végzett minden adatkezelés megfelelő jogalappal, illetve hozzájárulással történik. (lásd 2. pont Kezelt adatok köre)
AZ ADATOK MEGISMERÉSÉRE JOGOSULTAK KÖRE
A személyes adatokat az adatkezelő, a vonatkozó adatkezelési célhoz kapcsolódó hozzáférési jogosultságokkal rendelkező munkavállalói, illetve az adatkezelő részére szolgáltatási szerződések alapján adatfeldolgozási tevékenységet végző személyek, szervezetek ismerhetik meg, az adatkezelő által meghatározott terjedelemben és a tevékenységük végzéséhez szükséges mértékben.
Az adatkezelő:
neve:
MÓRANET NONPROFIT KÖZHASZNÚ KFT.
székhelye:
6782 Mórahalom, Röszkei út 1.
e-mail címe:
rendezvenyhaz@morahalom.hu
weboldala:
-
Az adatkezelőn belüli kapcsolattartó
Neve:
Sziveri Klára
Beosztása:
ügyvezető igazgató
Telefonszáma:
06 62 281 219
Adatok továbbítása és adatfeldolgozók
Tájékoztatjuk, hogy hírlevél küldés céljából az Egy-Másért Egyesülethez továbbítjuk az adatokat.
Tájékoztatjuk, hogy helyi tv, újság működtetése céljából az HTV MÉDIA NONPROFIT KFT.-hez és Egy-Másért Ifjúsági és Közösségfejlesztő Egyesület-hez továbbítjuk az adatokat.
További adatkezelést végeznek részünkre a könyvelő iroda, informatikai szolgáltató és a projektjellegű szerződéses partnereink.
2. A kezelt adatok köreA jelen Szabályzat kizárólag a természetes személyek adatainak a kezelésére terjed ki, tekintettel arra, hogy személyes adatok kizárólag természetes személyek vonatkozásában értelmezhetők.
A kezelt adatok részletes körét a GDPR 82 preambulum, ill. 30. cikk szerinti az adatkezelő által kezelt nyilvántartás tartalmazza.
- Rendezvényszervezésből adódó adatkezelés.
- Közösségi oldalon való jelenlét és marketing tevékenységből adódó adatkezelés.
- Banki adatokkal kapcsolatos adatkezelés.
- Kamerák használatából adódó személyes adatok kezelése
- Foglalkoztatásból adódó személyes adatok kezelése
- Állásra pályázók adatainak kezelése
- Hírlevéllel kapcsolatos adatok kezelése
- Rendezvényeken készített fotó, videó készítése miatti személyes adatok kezelése
- A Móra-Net TV, Tükörkép havilap és online felületeken megjelenő személyek adatainak kezelése.
Az adatokat elsődlegesen az adatkezelő, illetve adatkezelő belső munkatársai, tevékenységével kapcsolatos üzleti partnerei, beszállítói jogosultak megismerni, azonban azokat nem teszik közzé, harmadik személyek részére nem adják át.
Az informatikai rendszer üzemeltetése, a megrendelések teljesítése, az elszámolás rendezése körében adatkezelő adatfeldolgozót (pl. rendszerüzemeltető) vesz igénybe.
adatkezelő az ilyen külső szereplők adatkezelési gyakorlatáért szerződés keretében vállaltat kötelezettséget.
A fentieken túl az Ügyfélre vonatkozó személyes adatok továbbítására kizárólag törvényben kötelezően meghatározott esetben, illetve az Ügyfél hozzájárulása alapján kerülhet sor.
2.1. Személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása (adattovábbítás)A személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a harmadik ország, a harmadik ország valamely területe, vagy egy, vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosítja. Ebben az esetben az ilyen adattovábbításhoz nem szükséges külön engedély. Az adatkezelő személyes adatot akkor továbbítunk harmadik országba, ha:
a) a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartása, a vonatkozó általános és ágazati jogszabályok, köztük a közbiztonságra, a védelemre, valamint a nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezések, megfelelnek az EU elveinek,
b) a szóban forgó harmadik országban létezik egy vagy több olyan független és hatékonyan működő felügyeleti hatóság, amely felelős az adatvédelmi szabályok betartásának biztosításáért és végrehajtásáért,
c) a szóban forgó harmadik ország vagy nemzetközi szervezet nemzetközi kötelezettségei vagy egyéb, jogilag kötelező erejű egyezményekből vagy jogi eszközökből, valamint többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségei megfelelnek az EU elveinek és ha, a Bizottság az Európai Unió Hivatalos Lapjában és annak honlapján közzéteszi az olyan harmadik országok, harmadik országon belüli területek és meghatározott ágazatok, valamint nemzetközi szervezetek jegyzékében szerepel az adattovábbítás helye.
3. Incidenskezelés 3.1. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnakAz adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságára nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az adatkezelő megköveteli, hogy az adatfeldolgozónál történt adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül jelentse be az adatkezelőnek.
A bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.
3.2. Az érintett tájékoztatása az adatvédelmi incidensrőlHa az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetjük az adatvédelmi incidens jellegét, és közöljük legalább a fent említett információkat és intézkedéseket.
Az érintettet nem tájékoztatjuk az első bekezdésben említettek szerint, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Amennyiben az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, (miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár), elrendelheti az érintett tájékoztatását, vagy megállapíthatja az említett feltételek valamelyikének teljesülését.
4. Az érintettek jogai 4.1. Előzetes tájékoztatásAz adatkezelő az adatkezeléssel kapcsolatos előzetes tájékoztatás módját és elérhetőségét nyilvánosságra hozza
1. minden papír vagy elektronikus formanyomtatványon, melyben az ügyfél hozzájáruló nyilatkozatot tesz,
2. az adatkezelő székhelyén elérhető adatkezelési tájékoztatóban.
Az érintett a jelzett formák bármelyikében előzetesen tájékozódhat az adatkezelő által kezelt személyes adatainak vonatkozásában.
Az érintettel az adatkezelés megkezdése előtt közöljük, hogy az adatkezelés hozzájáruláson alapul vagy jogi kötelezettség. Az érintettet - egyértelműen, közérthetően és részletesen - tájékoztatjuk az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az érintett hozzájárulásával és az adatkezelőre vonatkozó jogi kötelezettség teljesítése vagy harmadik személy jogos érdekének érvényesítése céljából kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak kiterjed az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
4.2. Hozzáféréshez való jogAz érintett az adatkezelőtől, továbbá a kötelezett az adatvédelmi tisztviselőtől személyesen vagy írásban tájékoztatást kérhet a személyéről kezelt adatok köréről, továbbá az adatkezelés céljáról, az érintett személyes adatok kategóriáiról, azon címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, a személyes adatok tárolásának tervezett időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól.
A tájékoztatás során az érintett tudomására hozzuk, hogy az adatkezeléssel kapcsolatos esetleges panasza esetén elsődlegesen az adatkezelő belső adatvédelmi felelőséhez, vagy szabálytalan adatkezelés vélelmezése esetén az Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat.
Az érintett csak személyes megkeresés esetén tekinthet bele az adatkezelésbe oly módon, hogy más érintett személyes adatait semmilyen körülmények között nem ismerheti meg.
Az érintett kérelmére a tájékoztatást végző munkatárs köteles ismertetni az adatkezelő által kezelt adatok körét, az adatkezelés célját, jogalapját, időtartamát, az adatfeldolgozó(k) nevét és címét, továbbá azt, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
Abban az esetben, ha az érintett részletes tájékoztatást kér a harmadik személy felé történt adattovábbításról vagy az adatok nyilvánosságra hozataláról, akkor a tájékoztatást végző munkatárs kötelessége az ügyfelet az érintett az adatgazdához irányítani, aki a nyilvántartások alapján köteles a szükséges tájékoztatási és betekintési kötelezettségnek eleget tenni. A tájékoztatást írásban, közérthető formában az igény benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül kell megadni.
Az írásos tájékoztatással az adatkezelő az érintett kérelmére személyes adatait és az azok kezelésével kapcsolatos információkat a rendelkezésére bocsátja.
Az adatkezelő a tájékoztatási kötelezettségét csak az Info tv.-ben foglalt esetekben, továbbá akkor tagadja meg, ha a kért adatokat az illetékes szerv a megfelelő eljárás keretében minősített adattá nyilvánította, mely esetben az adatkezelő köteles az érintettel a közlés megtagadásának indokát közölni.
Az adatkezelő köteles az elutasított kérelmekről tájékoztatni a belső adatvédelmi felelőst.
4.3. Helyesbítéshez való jogA 16. cikk szerinti helyesbítéshez való jog érvényesülése érdekében az adatkezelő, ha az általa kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat – különösen az érintett kérelmére – haladéktalanul pontosítja vagy helyesbíti, illetve, ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti.
A szükséges módosításokat a kérelem alapján az adatkezelő elvégzi, ennek kényéről tájékoztatja az adatkezelőt
Mentesül az adatkezelő a helyesbítéshez való jog érvényesítése alól, ha
a) a pontos, helytálló, illetve hiánytalan személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja rendelkezésére, vagy
b) az érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.
Ha az érintett kérelmét a kezelt személyes adatok helyesbítéséhez az adatkezelő elutasítja, arról az érintettet írásban, haladéktalanul tájékoztatja
- az elutasítás kényéről, annak jogi és ténybeli indokairól, valamint
- az érintettet az Info tv. alapján, megillető jogokról, valamint azok érvényesítésének módjáról, így különösen a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
4.4. Törléshez való jog (elfeledtetés joga)A 17. cikk szerinti törléshez való jog érvényesítése érdekében az adatkezelő haladéktalanul törli az érintett személyes adatait,
1. ha az adatkezelés jogellenes,
2. ha azt az érintett kéri – a törvényben megállapított esetek kivételével –,
3. ha az adatkezelés célja megszűnt,
4. ha az adatok tárolásának törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogszabályaiban meghatározott időtartama letelt,
5. jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,
6. az adatok törlését jogszabály, az Európai Unió jogszabálya, a Nemzeti Adatvédelmi és Információszabadság Hatóság vagy a bíróság elrendelte.
Ha az érintett kérelmét a kezelt személyes adatok törléséhez az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatjuk
1. az elutasítás tényétől, annak jogi és ténybeli indokairól, valamint
2. az érintettet az Info tv. alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
4.5. Korlátozáshoz való jogAz adatkezelő a18. cikk szerinti a személyes adatok korlátozáshoz való jogot az alábbi esetekben érvényesíti:
1. ha az érintett vitatja az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára,
2. ha a 17. cikk szerinti meghatározottak szerint az adatok törlésének lenne helye, de az érintett írásbeli nyilatkozata vagy az adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára,
3. ha a 17. cikk szerinti meghatározottak szerint az adatok törlésének lenne helye, de az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások – így különösen büntetőeljárás – során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás lezárásáig,
4. ha az Info tv. 17. cikk szerinti meghatározottak szerint az adatok törlésének lenne helye, de az Info tv.-ben foglalt dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, az Info tv. bekezdésében meghatározott időpontig.
Az adatkezelés korlátozásához való jog érvényesülése érdekében az adatkezelő az érintett személyes adatokkal a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogszabályában meghatározottak szerint végez.
Ha az érintett kérelmét a kezelt személyes adatok korlátozásához az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja
1. az elutasítás kényéről, annak jogi és ténybeli indokairól, valamint
2. az érintettet az Info tv. törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
4.6. Adathordozhatósághoz való jogAz érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
a) az adatkezelés önkéntes hozzájárulással vagy az adatkezelés szerződés teljesítéséhez szükséges; és
b) az adatkezelés automatizált módon történik.
Az adatok hordozhatóságához való jog fenti bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.
Az e jog gyakorlása nem sértheti a törléshez való jogot.
Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.
4.7. Tiltakozáshoz való jogAz érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen [e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.], ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
Ha a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotástAz érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelő alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
Az a) és c) pontban említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
Az említett döntések nem alapulhatnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
4.8. Hatósági jogorvoslathoz való jogAz érintett a Nemzeti Adatvédelmi és Információszabadság Hatóság vizsgálatát kezdeményezheti az adatkezelő adatkezelési intézkedése jogszerűségének vizsgálata céljából,
1. ha az adatkezelő a jelen szabályzat 4.1.- 4.5. pontjaiban meghatározott jogainak érvényesítését korlátozza vagy e jogainak érvényesítésére irányuló kérelmét elutasítja, valamint
2. a Hatóság adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.
Amennyiben a személyes adataival kapcsolatos tiltakozást, panaszt, kérelmeit az adatkezelő -nél nem sikerült megnyugtató módon rendeznie, vagy az érintett bármikor úgy ítéli meg, hogy személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, úgy a Nemzeti Adatvédelmi és Információszabadság Hatóságnál jogosult bejelentést tenni az alábbi elérhetőségek valamelyikén.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei
1055 Budapest, Falk Miksa utca 9-11. Levelezési címe: 1363 Budapest, Pf. 9. Telefon: +36-1-3911400, Telefax: +36-1-3911410, Web: https://naih.hu, E-mail: ugyfelszolgalat@naih.hu, Online ügyindítás: https://naih.hu/online-uegyinditas.html
4.9. Eljárás az adatkezeléssel kapcsolatos jog gyakorlásának sikertelensége esetén.Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Az adatkezelő feladata a bírósági tárgyalások során az adatkezelő jogkövető magatartását bizonyítani. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
Ha a bíróság az érintett kérelmének helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére kötelezi.
A bizonyítási eljáráshoz a felelős adatkezelőnek, és ha van adatvédelmi tisztviselőnek, minden lényeges információt, szabályzatot, naplóbejegyzést a jogi képviselő rendelkezésére kell bocsátani.
Az adatkezelőt elmarasztaló bírósági ítélet esetén az ügyvezető jogosult eljárni, munkaügyi eljárást, polgárjogi pert indíthat a vétő adatfeldolgozó, adatkezelést végző munkatárs vagy külsős megbízott, alvállalkozó ellen.
4.10. Adatvédelmi tisztviselő (DPO)Adatvédelmi tisztviselőként a szervezet a Maxentrop Kft.; dpo@maxentropia.hu; 7174 Kéty, Petőfi S. utca 2/A. bízta meg.
4.11. Titoktartási kötelezettségAz adatkezelő alkalmazottai, munkavállalói üzletfelei kötelesek a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül megőrizni. E titoktartás nem terjed ki a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettségre.
A titoktartási kötelezettség megszegése munkaügyi, polgári jogi, valamint büntetőjogi szankciót vonhat maga után.
4.12. Korlátozások(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
nemzetbiztonság; honvédelem; közbiztonság; bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot; a bírói függetlenség és a bírósági eljárások védelme; a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása; az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység; az érintett védelme vagy mások jogainak és szabadságainak védelme; polgári jogi követelések érvényesítése.(2) Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:
az adatkezelés céljaira vagy az adatkezelés kategóriáira, a személyes adatok kategóriáira, a bevezetett korlátozások hatályára, a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra, az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására, az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait, az érintettek jogait és szabadságait érintő kockázatokra, és az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját. 4.13. Az érintett kérelme esetén alkalmazandó eljárás(1) Az adatkezelő elősegíti az érintett jogainak gyakorlását, az érintett jelen szabályzatban is rögzített jogainak gyakorlására irányuló kérelem teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
(2) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érin-tettet.
(3) Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) Az adatkezelő a Rendelet 13. és 14. cikke szerinti, jelen szabályzat VI. fejezet 1. pontban részletezett információkat és a Rendelet 15–22. és 34. cikk szerinti tájékoztatást és intézkedést (visszajelzés a személyes adatok kezeléséről, hozzáférés a kezelt adatokhoz, adatok helyesbítése, kiegészítése, törlése, adatkezelés korlátozása, adathordozhatóság, tiltakozás az adatkezelés ellen, az adatvédelmi incidensről való tájékoztatás) díjmentesen biztosítja az érintett számára.
(6) Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre: 5000.- Ft összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
(7) A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(8) A Rendelet 11. cikkének sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a Rendelet 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
5. Az adatfeldolgozással kapcsolatos szabályok(1) Az adatkezelő az általa kezelt személyes adatok körében megbízott külső adatfeldolgozót vesz igénybe a következő feladatok ellátása céljából: pl.:- adó- és számviteli kötelezettségek teljesítése,
Az adatfeldolgozó(k) felsorolását egy nyilvántartás tartalmazza
(2) Az adatfeldolgozó személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg.
(3) Az adatkezelő deklarálja, hogy az adatfeldolgozó tevékenysége során az adatkezelésre vonatkozó érdemi döntés meghozatalára kompetenciával nem rendelkezik, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
(4) Az adatfeldolgozó részére az adatkezelési műveletek tárgyában adott utasítások jogszerűségéért az adatkezelő felel.
(5) Az adatkezelő kötelezettsége az érintettek számára az adatfeldolgozó személyéről, az adatfeldolgozás helyéről való tájékoztatás megadása.
(6) Az adatkezelő az adatfeldolgozónak további adatfeldolgozó igénybevételére felhatalmazást nem ad.
(7) Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
2. Az adatkezelő által ellátott adatfeldolgozói tevékenység
(1) Az adatkezelő kötelezettséget vállal, illetőleg megfelelő garanciákat nyújt az általa adatfeldolgozóként ellátott adatkezelési tevékenységnek a rendeletben szabályozott követelményrendszerrel való megfelelésre és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatkezelő mint adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
(3) Az adatkezelő az adatkezelő utasítására, az adatvédelmi szabályokkal és alapelvekkel összhangban dolgozza fel az adatokat, és köteles figyelemmel lenni az adatkezelőnek az Adatfeldolgozó által ismert szerződéses kötelezettségeire.
(4) Az adatkezelő az adatkezelő által részére átadott adatokat nem módosíthatja, törölheti, másolhatja, kapcsolhatja össze más adatbázisokkal az adatokat, nem használhatja a jelen Szerződéstől eltérő célra, sem saját célra, nem közölheti harmadik személyekkel, kivéve olyan mértékben, amennyiben az adatkezelő azt számára kifejezetten előírja és az Adatfeldolgozás céljából szükséges.
(5) Az adatkezelő nem jogosult az adatkezelő képviseletére, vagy az adatkezelő nevében jognyilatkozat tételére, kivéve akkor, ha erre az adatkezelővel kötött megállapodás, vagy más okirat kifejezetten felhatalmazza.
(6) Az adatkezelő lerögzíti, hogy az adatkezelő kizárólagosan jogosult az adatfeldolgozó rendelkezésére bocsátott adatok feldolgozási célját és módját meghatározni.
(7) Az adatkezelő, mint adatfeldolgozó köteles az adatok biztonságáról gondoskodni, köteles mind-azon technikai és szervezési intézkedések megtételére, amelyek szükségesek az adatvédelmi szabályok érvényre juttatásához, ennek megfelelően intézkedéseket köteles tenni az adatokhoz való jogosulatlan hozzáférés ellen, az adatok jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, törlése, megsemmisítése ellen. Köteles továbbá megfelelő intézkedéseket foganatosítani a véletlen megsemmisülés és sérülés, továbbá a technikai változásokból eredő hozzáférhetetlenné válás el-len.
(8) Az adatkezelő jelen szabályzat adatbiztonságra vonatkozó rendelkezéseinek betartására adatfel-dolgozásra irányuló tevékenysége során maradéktalan kötelezettséget vállal, az ott rögzítettek az adatfeldolgozási tevékenységére is irányadók.
(9) Az adatkezelő, mint adatfeldolgozó kizárólag azon alkalmazottak részére biztosít hozzáférést az adatokhoz, akiknek az adatfeldolgozási tevékenység ellátása érdekében arra szükségük van, továbbá tájékoztatással látja el a hozzáféréssel rendelkezőket a biztonsági követelményeknek való megfelelési és titoktartási kötelezettségről.
(10) Az adatkezelő, mint adatfeldolgozó kötelezettséget vállal arra, hogy együttműködik az adatkezelővel annak érdekében, hogy az adatkezelő a rá vonatkozó jogszabályi kötelezettségeit betartani tudja. Az együttműködés különösen az alábbi területekre terjed ki: az érintettek hozzáféréshez, törléshez, helyesbítéshez fűződő jogainak teljesítésével kapcsolatos megkeresések jogszabályi határidőn belüli teljesítése.
(11) Az adatkezelő, mint adatfeldolgozó kötelezettséget vállal az általa feldolgozott adatok adatkezelő utasításainak megfelelő módosítására, kiegészítésére, kijavítására, zárolására, illetve törlésére.
(12) Az adatkezelő köteles az adatkezelőt haladéktalanul értesíteni minden, az adatok biztonságát érintő, eseményről, vagy kockázatról, az ezekkel kapcsolatos intézkedéseket megtenni és teljes körű-en együttműködni adatkezelővel.
(13) Az adatkezelő kötelezi magát arra, hogy az adatkezelő és annak megbízottjai részére az adatfel-dolgozással kapcsolatos rendszerei, nyilvántartásai, adatai, információi és eljárásai körében lefolytatott ellenőrzés, vizsgálat során az adatkezelővel teljes körűen együttműködik, Ennek keretében biztosítja az ellenőrzésre jogosult személy számára azt, hogy az adatfeldolgozással kapcsolatos nyilván-tartásokhoz, az azokban tárolt adatállományokhoz, az adatfeldolgozás során alkalmazott eljárásokhoz teljes körűen hozzáférjen.
6. Adatbiztonsági intézkedésekAz adatbiztonság megvalósításának elvei.
(1) Az adatkezelő személyes adatot csak a jelen szabályzatban rögzített tevékenységekkel összhangban, az adatkezelés célja szerint kezelhet.
(2) Az adatkezelő az adatok biztonságáról gondoskodik, e körben kötelezettséget vállal arra, hogy megteszi mindazon technikai és szervezési intézkedéseket, amelyek elengedhetetlenül szükségesek az adatbiztonságra vonatkozó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához, illetőleg kialakítja a fentiekben meghatározott jogszabályok érvényesüléséhez szükséges eljárási szabályokat.
(3) Az adatkezelő által végrehajtandó technikai és szervezési intézkedések a következőkre irányulnak:
a. a személyes adatok álnevesítése és titkosítása;
b. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képességének fennállása;
c. fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás alkalmazása,
(4) Az biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adat-kezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
(5) Az adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
(6) Az adatkezelő az általa kezelt adatokat az irányadó jogszabályoknak megfelelően tartja nyilván, biztosítva, hogy az adatokat csak azok a munkavállalók, és egyéb az adatkezelő érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.
(7) Az adatkezelő az egyes adatkezelési tevékenység során megadott személyes adatokat más adatoktól elkülönítetten tárolja, azzal, hogy összhangban a fent rendelkezéssel - az elkülönített adatállományokat kizárólag a megfelelő hozzáférési jogosultsággal rendelkező munkavállalók ismerhetik meg.
(8) Az adatkezelő vezetői, munkavállalói a személyes adatokat harmadik személynek nem továbbítják, a jogosulatlan hozzáférés kizárása érdekében a szükséges intézkedéseket megteszik.
(9) Az adatkezelő azon munkavállalóinak enged hozzáférést személyes adatokhoz, akik a kezelt személyes adatkörök tekintetében titoktartási nyilatkozat tételével vetették alá magukat az adatbiztonsági szabályok megtartásával kapcsolatos kötelezettségnek.
(10) Az adatkezelő az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére, több lehetséges adatkezelési megoldás esetén a személyes adatok magasabb szintű védelmét biztosító megoldást választja, kivéve, ha az aránytalan nehézséget jelentene.
2. Az adatkezelő informatikai nyilvántartásainak védelme
(1) Az adatkezelő az informatikai nyilvántartásai tekintetében az adatbiztonság megvalósulásához a következő szükséges intézkedéseket foganatosítja:
a. Ellátja az általa kezelt adatállományokat számítógépes vírusok elleni állandó védelemmel, (valós idejű vírusvédelmi szoftvert alkalmaz.)
b. Gondoskodik az informatikai rendszer hardver eszközeinek fizikai védelméről, beleértve az elemi károk elleni védelmet,
c. Gondoskodik az informatikai rendszer jogosulatlan hozzáférés elleni védelméről, mind a szoftver mind a hardver eszközök tekintetében,
d. Megteszi mindazokat az intézkedéseket, amelyek az adatállományok helyreállításához szükségesek, rendszeres biztonsági mentést hajt végre, továbbá a biztonsági másolatok elkülönített, biztonságos kezelését végrehajtja.
3. Az adatkezelő papíralapú nyilvántartásainak védelme
(1) Az adatkezelő a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.
(2) Az adatkezelő vezetője, munkavállalói, és egyéb, az adatkezelő érdekében eljáró személyek az általuk használt, vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni, és védeni a jogosulatlan hozzá-férés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.
Az adatkezelő) a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
a) a személyes adatok álnevesítését és titkosítását
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe vesszük az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
Az adatkezelőként és az adatfeldolgozásra vonatkozóan is intézkedéseket hozunk annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
6.1. Adminisztratív biztonság 6.1.1. Hardver-szoftver nyilvántartásAz adatkezelő az elektronikus információs rendszereiről azok védelme érdekében, nyilvántartást vezet, folyamatosan aktualizálja a nyilvántartást. A nyilvántartás minden rendszerre nézve tartalmazza:
● annak alapfeladatait;
● a rendszerek által biztosítandó szolgáltatásokat;
● az érintett rendszerekhez tartozó licenc számot (ha azok az érintett szervezet kezelésében vannak);
● a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatait;
● a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait.
6.1.2. KépzésAz adatkezelő felkészítő képzést tart a felhasználóknak, szerepkörüknek és felelősségüknek megfelelően mind az adatvédelem, mind az információbiztonság tárgykörében:
● szerepkörbe vagy felelősségbe kerülésüket követő meghatározott időn belül;
● meghatározott gyakorisággal (évente), vagy amikor az szükséges.
6.2. Fizikai biztonság 6.2.1. VagyonvédelemAz adatkezelő kizárólag az általa meghatározott be-, és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést;
● naplózza a fizikai belépéseket;
● ellenőrzés alatt tartja a létesítményen belüli, belépésre jogosultak által elérhető helyiségeket;
● kíséri a létesítménybe ad-hoc belépésre jogosultakat, és figyelemmel követi a tevékenységüket;
● megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;
● nyilvántartást vezet a fizikai belépést ellenőrző eszközről;
● meghatározott rendszerességgel változtatja meg a hozzáférési kódokat és kulcsokat, vagy azonnal, ha a kulcs elveszik, a hozzáférési kód kompromittálódik, vagy az adott személy elveszti a belépési jogosultságát;
● az egyéni belépési engedélyeket a belépési pontokon ellenőrzi;
● a kijelölt pontokon való átjutást felügyeli a szervezet által meghatározott fizikai belépést ellenőrző rendszerrel vagy eszközzel;
● felhívja a szervezet tagjainak figyelmét a rendellenességek jelentésére
● szerkesztőségi eszközök (kamerák, vágógépek) használói jó gazda módjára kezelik és másoktól is elvárják a rájuk bízott eszközök védelmét. Pl. nem hagyják őrizetlenül, jogosulatlanra nem bízzák.
6.2.2. Környezeti védelemAz adatkezelő védi az elektronikus információs rendszert árammal ellátó berendezéseket és a kábelezést a sérüléssel és rongálással szemben.
Az elsődleges áramforrás kiesése esetére, a tevékenységhez méretezett, rövid ideig működőképes szünetmentes áramellátást biztosít az elektronikus információs rendszer szabályos leállításához vagy a hosszú távú tartalék áramellátásra történő átkapcsoláshoz.
Lehetőséget biztosítunk az elektronikus információs rendszer vagy egyedi rendszerelemek áramellátásának kikapcsolására vészhelyzetben;
Gondoskodunk a vészkikapcsoló berendezések biztonságos és könnyű megközelíthetőségéről; megakadályozza a jogosulatlan vészkikapcsolást.
Egy automatikus vészvilágítási rendszert alkalmazunk és tartunk karban, amely áramszünet esetén aktiválódik, és amely biztosítja a vészkijáratokat és a menekülési útvonalakat.
Az elektronikus információs rendszerek számára független áramellátással támogatott észlelő, az informatikai eszközökhöz megfelelő tűzelfojtó berendezéseket alkalmaz, és tart karban. Az érintett szervezet a személyzet által folyamatosan nem felügyelt elektronikus információs rendszerek számára automatikus tűzelfojtási képességet biztosít.
Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver szoba, központi gépterem) az erőforrások biztonságos működéséhez szükséges szinten tartja a hőmérsékletet és páratartalmat; az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver szoba, központi gépterem) figyeli a hőmérséklet és páratartalom szintjét.
Védjük az elektronikus információs rendszert a csővezeték rongálódásból származó károkkal szemben, biztosítva, hogy a főelzáró szelepek hozzáférhetőek, és megfelelően működnek, valamint a kulcsszemélyek számára ismertek; az informatikai erőforrásokat koncentráltan tartalmazó helyiségek tervezése (pl. adatközpont, szerver szoba, központi gépterem) során biztosítja, hogy az a víz-, és más hasonló kártól védett legyen, akár csővezetékek kiváltásával, áthelyezésével is.
6.2.3. Szállítási védelemAz adatkezelő tiltja, továbbá figyeli és ellenőrzi a létesítménybe bevitt, onnan kivitt információs rendszerelemeket, és nyilvántartást vezet ezekről.
A Móranet telephelye riasztórendszerrel és kamerával védett; a szerkesztőségi helyiségekbe illetéktelen személy nem léphet be.
6.3. Logikai biztonság 6.3.1. JogosultságkezelésAz adatkezelő minden érintett szervezeti munkakört, vagy érintett szervezethez kapcsolódó feladatot biztonsági szempontból besorol; rendszeresen felülvizsgálja és frissíti a munkakörök és feladatok biztonság szempontú besorolását.
Az adatkezelő az elektronikus információs rendszerhez való hozzáférési jogosultság megadása előtt ellenőrzi, hogy az érintett személy a fenti pontok szerinti besorolásnak megfelelő feltételekkel rendelkezik-e; folyamatosan ellenőrzi a fenti pont szerinti feltételek fennállását. Pl. elvégzendő munkaköréhez kell-e az a jogosultság, vagy pl. erkölcsi bizonyítványhoz köti bizonyos hozzáféréseket.
6.3.2. JelszókezelésAz adatkezelő megvédi a hitelesítésre szolgáló eszközök tartalmát a jogosulatlan felfedéstől és módosítástól; megköveteli a hitelesítésre szolgáló eszközök felhasználóitól, hogy védjék eszközeik bizalmasságát, sértetlenségét. Erős (minimum 8 karakter, vegyeskarakterkészlet, számok) jelszavakat köteles használni. Az így képzett egyéni jelszavakat nem adhatja át másnak, másokét nem ismerheti meg.
6.3.3. Biztonsági mentésAz adatkezelő meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal; meghatározott gyakorisággal elmenti az elektronikus információs rendszerben tárolt rendszerszintű információkat, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal;
Gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően.
6.3.4. Kártékony kódok elleni védelem (vírusírtás)Az adatkezelő az elektronikus információs rendszerét annak belépési és kilépési pontjain védi a kártékony kódok ellen, felderíti és megsemmisíti azokat;
Az elektronikus információs rendszer automatikusan frissíti a kártékony kódok elleni védelmi mechanizmusokat.
6.3.5. NaplózásAz adatkezelő meghatározza a naplózható és naplózandó eseményeket, és felkészíti erre az elektronikus információs rendszerét;
Az elektronikus információs rendszer a naplóbejegyzésekben gyűjtsön be elegendő információt ahhoz, hogy ki lehessen mutatni, hogy milyen események történtek, miből származtak ezek az események, és mi volt ezen események kimenetele.
7. Egyéb rendelkezések(1) Az adatkezelő köteles az adatkezelő valamennyi munkavállalója részére ismertetni jelen szabályzat rendelkezéseit.
(2) Az adatkezelő köteles gondoskodni arról, hogy az adatkezelő valamennyi munkavállalója betartsa jelen szabályzatban foglalt rendelkezéseket. Ezen kötelezettség végrehajtása céljából az adatkezelő előírja az adatkezelő munkavállalóival kötött munkaszerződések olyan tárgyú módosítását, amely a munkavállaló kötelezettségvállalását deklarálja jelen szabályzat betartása és érvényesítése tekintetében.
(3) Jelen szabályzat megállapítása, illetőleg módosítása az adatkezelő feladatkörébe tartozik
Kelt, 2025.11.30.
__________________________
aláírás
