Tartalom
Preambulum
A Hagyományok Háza (a továbbiakban: HH vagy Intézmény) az alábbi Adatkezelési és Adatvédelmi Szabályzatban (a továbbiakban: Szabályzat) foglaltak szerint állapítja meg az Intézmény szervezeti egységeinél folytatott személyes adatok kezelésére irányuló tevékenységek elveit és szabályait.
- A Szabályzat célja
A szabályzat célja, hogy az Intézmény tevékenységéhez kapcsolódóan a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása és a kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó és alkalmazandó alapvető elveket, adatvédelmi és adatbiztonsági előírásokat, szabályokat.
- A Szabályzat hatálya
- A Szabályzat tárgyi hatálya kiterjed az Intézmény tevékenységéhez kapcsolódóan minden olyan adatkezelésre, amely személyes adatra vonatkozik, az adatok megjelenési formájától függetlenül, valamennyi adatkezelési műveletre kiterjedően, az adatok megszerzésétől vagy keletkezésétől azok törléséig, illetve megsemmisítéséig.
- A Szabályzat személyi hatálya kiterjed:
- szervezetileg: az Intézmény valamennyi szervezeti egységére,
- a személyi kört tekintve: az Intézmény munkavállalóira,
- az Intézménnyel munkavégzésre irányuló vagy bármely más jogviszonyban állókra,
amelyek, illetve akik tevékenységük, feladataik ellátása során személyes adatot kezelnek, illetve akikről az Intézmény a jogviszonyukhoz kapcsolódóan személyes adatot kezel.
- Alkalmazandó jogszabályok
- az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR)
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)
- 1997. évi CXL. törvény a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről (Kultv.)
- 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (Ekertv.)
- 2013. évi V. törvény a Polgári Törvénykönyvről szóló (Ptk.)
- 530/2017. (XII. 29.) Korm. rendelet a hagyományőrzéssel és a néphagyomány gondozásával kapcsolatos állami szerv kijelöléséről, valamint a népi iparművészeti és a népművészeti alkotások minősítéséről
- 2012. évi I. törvény a munka törvénykönyvéről - továbbiakban Mt.,
- 1995. évi CXVII. törvény a személyi jövedelemadóról - továbbiakban Szja tv.
- 1997. évi LXXXIII. törvény a kötelező egészségbiztosítás ellátásairól - továbbiakban Egészségbiztosítási tv.,
- 1997. évi LXXXI. törvény a társadalombiztosítási nyugellátásról, - továbbiakban Nyugdíj tv.,
- 2017. évi CL. törvény az adózás rendjéről - továbbiakban Art,
- 1994. évi LIII. törvény a bírósági végrehajtásról - továbbiakban Végrehajtási tv.
- 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól munkavállalóval - továbbiakban Szvtv.
- 1993. évi XCIII. törvény a munkavédelemről,
- 33/1998. (VI. 24.) NM rendelet a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről
- A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény (a továbbiakban: Flt.)
- 2020. évi CXXXV. törvény - a foglalkoztatást elősegítő szolgáltatásokról és támogatásokról, valamint a foglalkoztatás felügyeletéről,
- 599/2021. (X. 28.) Korm. rendelet a koronavírus elleni védőoltásnak az állami és önkormányzati intézményeknél foglalkoztatottak által történő kötelező igénybevételéről.
- Kapcsolódó szabályzatok
A közügyek átláthatósága és a közérdekű és a közérdekből nyilvános adatok megismeréséhez fűződő jog érvényesülésének elősegítse érdekében a Hagyományok Háza külön szabályzatban határozza meg a kötelezően közzéteendő közérdekű adatok nyilvánosságra hozatalának, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjét.
Az Intézménynél alkalmazandó informatikai adatbiztonsági követelményekre vonatkozó részletes előírásokat külön szabályzat tartalmazza.
- Az adatkezelés alapfogalmai, értelmező rendelkezések
1. adat: adathordozótól független, bármilyen módon vagy formában rögzített információ, vagy ismeret
2. adatállomány: az egy nyilvántartásban kezelt adatok összessége
3. adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége
4. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel
5. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése
6. adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján
7. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
8. adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi
9. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése
10. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele
11. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges
12. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi
13. érintett: bármely információ alapján - közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján - azonosított vagy azonosítható természetes személy
14. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek
15. Hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
16. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez
17. kötelező adatkezelés: törvényben vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendeletében, közérdeken alapuló célból elrendelt adatkezelés
18. különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok
19. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele
20. személyes adat: az érintettre vonatkozó bármely információ
- II. Az adatkezelés és adatvédelem szervezeti felelősségi rendje
- Főigazgató
A Főigazgató, mint az Intézmény munkaszervezetének vezetője felelős
a) a HH által kezelt személyes adatok kezeléséhez és védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó intézkedések megtételéért,
b) a HH adatkezelési tevékenységének rendszeres ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért,
c) az érintettek jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételek biztosításáért,
d) az adatvédelmi hatásvizsgálatok lefolytatásáért és rendszeres felülvizsgálatáért, valamint az ahhoz szükséges feltételek biztosításáért,
e) az adatvédelmi feladatok ellátására alkalmas adatvédelmi tisztviselő kijelöléséért, nevének és elérhetőségének a Hatóság részére történő bejelentéséért, szakértői szintű ismereteinek fenntartásához szükséges feltételek biztosításáért,
f) az adatvédelmi tisztviselő feladatainak végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréséért, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges feltételek és források biztosításáért.
- Adatvédelmi tisztviselő
-
- A Főigazgató az adatkezelésre vonatkozó jogszabályok érvényesülése érdekében adatvédelmi tisztviselőt nevez ki. Adatvédelmi tisztviselőnek csak olyan személy nevezhető ki, aki az általános adatvédelmi rendeletben és az Infotv.-ben foglalt feltételeknek megfelel. Az adatvédelmi tisztviselő nevét és elérhetőségeit a Hatóság nyilvántartásába be kell jelenteni.
- Az adatvédelmi tisztviselő az általános adatvédelmi rendeletben és az Infotv.-ben rögzített feladat- és hatáskörein túl a következő feladatokat látja el:
- A Főigazgató az adatkezelésre vonatkozó jogszabályok érvényesülése érdekében adatvédelmi tisztviselőt nevez ki. Adatvédelmi tisztviselőnek csak olyan személy nevezhető ki, aki az általános adatvédelmi rendeletben és az Infotv.-ben foglalt feltételeknek megfelel. Az adatvédelmi tisztviselő nevét és elérhetőségeit a Hatóság nyilvántartásába be kell jelenteni.
a) tájékoztat és szakmai tanácsot ad az Intézmény, továbbá az adatkezelést végző alkalmazottak részére az adatkezeléssel összefüggő kötelezettségeik teljesítéséhez, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában,
b) ütemterv szerint végzi az egyes adatkezelések ellenőrzését, ennek körében vizsgálja az adatkezelésre vonatkozó jogi normák, valamint a jelen Szabályzatban foglaltak megtartását, az adatkezeléssel kapcsolatos előírások megszegésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására, az ellenőrzés tapasztalatairól rendszeresen tájékoztatja a Főigazgatót,
c) kivizsgálja a hozzá érkezett bejelentéseket, adatvédelmi incidens észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót, közreműködik annak kivizsgálásában,
d) kezdeményezi az Intézmény adatvédelmi és adatbiztonsági szabályzatának szükség szerint felülvizsgálatát, módosítási javaslatokat készít elő,
e) vezeti az Intézmény adatkezelési tevékenységeihez kapcsolódó adatvédelmi nyilvántartásokat,
f) együttműködik a felügyeleti hatósággal, teljesíti a hatóság részére nyújtandó tájékoztatásokat.
Az adatvédelmi tisztviselő az Intézmény valamennyi szervezeti egységénél jogosult betekinteni az adatkezelésekbe, valamint a hozzájuk kapcsolódó nyilvántartásokba, jegyzőkönyvekbe egyéb dokumentumokba. A szervezeti egység vezetőjétől és munkatársaitól szóban vagy írásban is felvilágosítást kérhet. A vizsgálata során megismert személyes adatokkal kapcsolatban az adatvédelmi tisztviselőt titoktartási kötelezettség terheli. Az adatvédelmi tisztviselő részére biztosítani kell a számára meghatározott feladatok ellátáshoz szükséges hozzáférést az Intézmény adatkezelési tevékenységeivel érintett elektronikus rendszerekhez, iratokhoz, egyéb adathordozókhoz.
- Az adatkezelési tevékenységet végző szervezeti egységek
-
- A HH tevékenységéhez és működéséhez kapcsolódó adatkezelést és adatfeldolgozást végző valamennyi munkatárs felelősséggel tartozik a feladat- és hatásköreinek gyakorlása során tudomására és birtokába jutott személyes adatok, valamint a HH-ra és partnereire vonatkozó üzleti és egyéb bizalmas adatoknak a mindenkor hatályos jogszabályoknak és az Intézmény belső szabályzatainak megfelelő kezeléséért.
-
- A HH szervezeti egységei kötelesek együttműködni az Intézmény adatvédelmi tisztviselőjével.
-
- A HH tevékenységéhez és működéséhez kapcsolódó adatoknak az intézményi céloktól eltérő kezelése, illetéktelen harmadik személyek számára való hozzáférhetővé tétele tilos.
-
- A HH, mint adatkezelő a vele munkaviszonyban vagy egyéb jogviszonyban álló azon személlyel szemben, aki az adatkezelésre vonatkozó előírások megszegésével – ezen jogviszonyának keretein belül – kárt okoz, kártérítési igényt érvényesíthet az adott jogviszonyra vonatkozó jogszabályok, illetve a károkozó jogviszonyának feltételei szerint.
- Adatvédelmi nyilvántartás
-
- A HH által folytatott adatkezelési tevékenységekről nyilvántartást kell vezetni.
- Az adatkezelési tevékenységek nyilvántartása az alábbi adatokat tartalmazza:
- A HH által folytatott adatkezelési tevékenységekről nyilvántartást kell vezetni.
- az adatkezelő, valamint képviselőjének neve és elérhetőségei
- az adatvédelmi tisztviselő neve és elérhetőségei
- az adatkezelés célja
- az adatkezeléssel érintettek köre
- a kezelt adatok köre
- személyes adatok továbbítása esetén az adattovábbítás címzettje vagy címzettjeinek köre,
- nemzetközi adattovábbítás esetén a továbbított adatok köre
- a kezelt személyes adatok törlésének időpontja (ha lehetséges), vagy az adatkezelés időtartama meghatározásának szempontjai
- az adatbiztonság érdekében alkalmazott műszaki és szervezési intézkedések általános leírása
- a kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményei, azok hatásai és a kezelésükre tett intézkedések
- az érintett hozzáférési jogának érvényesítését korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokai
- .egyéb, az adatkezelés szempontjából releváns körülmények, illetve az adatkezelésekhez kapcsolódó tájékoztatók áttekinthetősége érdekében:
- az adatkezelési műveletek - ideértve az adattovábbítást is – jogalapjai
- a GDPR 6. cikk (1) bekezdés f.) pontja szerinti adatkezelés esetén az adatkezelő vagy harmadik fél jogos érdeke.
-
- A HH által folytatott adatkezelési tevékenységekhez kapcsolódóan nyilvántartást kell vezetni különösen
a) a személyes adatokkal kapcsolatos tájékoztatáskérésekről,
b) az érintettek jogainak érvényesítésével összefüggő igények elutasításáról,
c) a harmadik személy részére vagy külföldre történő adattovábbításokról,
d) az adatvédelmi incidensekről.
-
- Az adatkezelési tevékenységek nyilvántartásában rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.
- III. A személyes adatok kezelésének rendje
A/ A személyes adatok kezelésének általános szabályai
- A személyes adatok kezelésének alapelvei
-
- A HH a személyes adatok felvételét és kezelését kizárólag megfelelő jogalap mellett, az adatkezelésre vonatkozó jogszabályok betartása, valamint az érintettek személyes adataihoz fűződő jogának és emberi méltóságának tiszteletben tartása mellett, tisztességesen és transzparens módon végzi. (Jogszerűség, tisztességes eljárás és átláthatóság elve)
- A HH személyes adatokat kizárólag egyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, illetve személyes adatokat nem kezel e célokkal össze nem egyeztethető módon. A HH biztosítja, hogy az adatkezelés minden szakaszában megfeleljen az adatkezelés céljának. (Célhoz kötöttség elve)
- A HH a személyes adatok felvételét és kezelését kizárólag megfelelő jogalap mellett, az adatkezelésre vonatkozó jogszabályok betartása, valamint az érintettek személyes adataihoz fűződő jogának és emberi méltóságának tiszteletben tartása mellett, tisztességesen és transzparens módon végzi. (Jogszerűség, tisztességes eljárás és átláthatóság elve)
-
- A HH kizárólag olyan és annyi személyes adatot kezel, amely az adatkezelés céljának eléréséhez szükséges, az adatkezelés célja szempontjából megfelelő, alkalmas és releváns. A HH a személyes adatot csak az adatkezelési cél megvalósulásához szükséges ideig, illetve jogszabályban meghatározott adatkezelési időtartamban kezeli, továbbá biztosítja, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. (Adattakarékosság elve).
-
- A HH az adatkezelés során biztosítja az általa kezelt személyes adatok pontosságát és - ha az adatkezelés céljára tekintettel szükséges – naprakészségét, garantálja az érintett helyesbítéshez való jogának gyakorlását és minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatot haladéktalanul törölje vagy helyesbítse. (Pontosság elve).
-
- A HH személyes adatokat olyan formában tárol, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A HH a személyes adatot az adatkezelési cél elérését vagy az adatkezelési idő leteltét követően - kivéve, ha jogszabály ezzel ellentétesen rendelkezik, vagy az adattárolás olyan adatkezelési cél elérése érdekében lehetséges, mely összeegyeztethető az eredeti adatkezelési céllal - törli vagy olyan módon kezeli, amely révén a személyes adat az érintettel többé nem összekapcsolható. (Korlátozott tárolhatóság elve)
-
- A HH a személyes adatok kezelése során alkalmas műszaki és/vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet és a személyes adatok megfelelő biztonságát. (Integritás és bizalmas jelleg elve)
-
- A HH felelős a személyes adatok kezelésére vonatkozó jogszabályoknak való megfelelésért, valamennyi személyes adat kezelésével összefüggő tevékenységét megfelelő módon dokumentálja és biztosítja az adatkezeléssel kapcsolatos intézkedéseivel kapcsolatban az érintett jogainak érvényesíthetőségét. (Elszámoltathatóság elve).
-
- A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.
- A HH kizárólag olyan személyes adatokat kezel az adatkezelési célnak megfelelő mértékben, és az adatkezelés céljához kötötten, amelyek a rá vonatkozó jogszabályokban, valamint Alapító Okiratában, Szervezeti és Működési Szabályzatában, valamint egyéb belső szabályzataiban meghatározott közfeladatai ellátásához, kötelezettségei teljesítéséhez és jogai érvényesítéséhez, továbbá az Intézmény rendeltetésszerű működéséhez szükségesek.
A HH szervezeti egységeinél adatkezelést végző alkalmazottak és Intézménnyel egyéb munkavégzésre irányuló jogviszonyban állók kötelesek az általuk megismert személyes adatokat intézményi titokként megőrizni. Ilyen munkakörben csak olyan személy foglalkoztatható, illetve ilyen feladattal csak olyan személy bízható meg, aki titoktartási nyilatkozatot tett.
- A HH az általa folytatott adatkezelés jogszerűségének biztosítása érdekében az adatkezelés összes körülményéhez, így különösen céljához, valamint az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatokhoz igazodó műszaki és szervezési intézkedéseket tesz, az intézkedéseket rendszeresen felülvizsgálja és szükség esetén megfelelően módosítja.
- A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.
Az intézkedéseket úgy kell kialakítani, hogy azok
a) a tudomány és technológia mindenkori állásának és az intézkedések megvalósítása költségeinek figyelembevételével észszerűen elérhető módon a személyes adatok kezelésére vonatkozó követelmények - különösen az adatkezelés alapelvei és az érintettek jogai - hatékony érvényesülését szolgálják, valamint
b) alkalmasak és megfelelőek legyenek annak biztosítására, hogy
ba) kizárólag olyan és annyi személyes adat kezelésére kerüljön sor, olyan mértékben és időtartamban, amely az adatkezelés célja szempontjából szükséges, és
bb) a kezelt személyes adatok az érintett erre irányuló kifejezett akarata hiányában ne válhassanak nyilvánosan hozzáférhetővé.
- A személyes adatok kezelésének jogalapja
-
- A személyes adatok HH általi kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez,
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges,
c) az adatkezelés az HH-ra vonatkozó jogi kötelezettség teljesítéséhez szükséges,
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos,
e) az adatkezelés közérdekű vagy a HH-ra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,
f) az adatkezelés a HH vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
-
- Ha a HH adatkezelése az érintett hozzájáruláson alapul, az érintett a hozzájárulását bármikor visszavonhatja, amely jogosultságáról az érintettet a hozzájárulás megadása előtt tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. A hozzájárulás visszavonása nem érinti a visszavonás előtti, illetve az egyéb jogalap meglétén alapuló további adatkezelés jogszerűségét.
-
- A HH különleges adatot nem kezelhet, kivéve, ha
- Az adatkezelés megfelel az adatkezelés GDPR-ban rögzített (és jelen Szabályzatban megismételt) alapelveinek, és
- a 2.1. pontban meghatározott jogalapok legalább egyikével rendelkezik, valamint mindezek mellett
- az alábbi feltételek legalább egyike fennáll:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
f) az adatkezelés jogi igények megállapításához, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el; *
g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel (feltéve, hogy;
i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
j) az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
k) a magyar jogszabályok által a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan esetlegesen engedélyezett további esetekben.
A h) pontban említett esetben akkor kerülhet sor különleges személyes adatok kezelésére, ha ez olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.
-
- Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő jogszabály határozza meg.
- Az érintett jogai
-
- Az érintett jogosult arra, hogy a HH és a HH megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatai vonatkozásában
a) az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon (előzetes tájékozódáshoz való jog),
b) személyes adatait és az azok kezelésével összefüggő információkat az adatkezelő a rendelkezésére bocsássa (hozzáféréshez való jog),
c) személyes adatait az adatkezelő helyesbítse, illetve kiegészítse (helyesbítéshez való jog),
d) személyes adatai kezelését az adatkezelő korlátozza (az adatkezelés korlátozásához való jog),
e) személyes adatait az adatkezelő törölje (törléshez való jog).
-
- Előzetes tájékozódáshoz való jog
Az érintettet az adatkezelés megkezdése előtt, vagy legkésőbb az első adatkezelési művelet megkezdését követően haladéktalanul részletesen tájékoztatni kell az alábbi információkról:
- az adatkezelő és - ha valamely adatkezelési műveletet adatfeldolgozó végez, az adatfeldolgozó - neve és elérhetőségei,
- az adatvédelmi tisztviselő neve és elérhetőségei,
- az adatkezelés tárgyát képező személyes adatok köre,
- a kezelt személyes adat forrása, ha az adat nem az érintettől származik,
- az adatkezelés célja,
- az adatkezelés jogalapja, a 2.1. pont g) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei,
- az adatkezelés időtartama, vagy az időtartam meghatározásának szempontjai,
- a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek köre,
- az érintett adatkezeléssel kapcsolatos jogai - különös tekintettel az érintettre vonatkozó személyes adatokhoz való hozzáférés, azok helyesbítése, törlése vagy kezelésének korlátozása iránti kérelemhez való jogra, a személyes adatok kezelése elleni tiltakozás jogára, a hozzájárulás bármely időpontban történő visszavonásához való jogra és annak módjára, valamint az adathordozhatósághoz való jogra -, valamint azok érvényesítésének módja,
- az adatkezeléssel kapcsolatos jogorvoslat joga és lehetőségei,
- arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása,
- az adatkezelés körülményeivel összefüggő minden további releváns tény.
Ha a HH a személyes adatokon a felvételük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a jelen pontban felsorolt valamennyi azon releváns információról, amellyel az érintett még nem rendelkezik.
-
- Hozzáféréshez való jog
Az érintett jogosult a HH-tól tájékoztatást kérni arról, hogy személyes adatait a HH, illetve a megbízásából eljáró adatfeldolgozó kezeli-e. Ha igen, úgy a HH köteles az érintett rendelkezésére bocsátani az érintett kezelt személyes adatait, és tájékoztatást adni
- a kezelt személyes adatok forrásáról,
- az adatkezelés céljáról és jogalapjáról,
- a kezelt személyes adatok köréről,
- a kezelt személyes adatok továbbítása esetén az adattovábbítás címzettjeinek köréről,
- a kezelt személyes adatok megőrzésének időtartamáról, ezen időtartam meghatározásának szempontjairól,
- az érintettet megillető jogokról, valamint azok érvényesítésének módjáról,
- az érintett személyes adatainak kezelésével összefüggésben felmerült adatvédelmi incidensek körülményeiről, azok hatásairól és az azok kezelésére tett intézkedésekről.
-
- Helyesbítéshez való jog
Amennyiben a HH által kezelt személyes adat pontatlan, helytelen vagy hiányos, azt - észlelése esetén, illetve az érintett kérelmére - a HH köteles haladéktalanul pontosítani, helyesbíteni, illetve ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíteni.
A HH nem köteles a helyesbítésre, ha a pontos, helytálló, illetve hiánytalan személyes adat nem áll rendelkezésére és azt az érintett sem bocsátja a rendelkezésére, vagy az érintett által rendelkezésére bocsátott személyes adat valódisága kétséget kizáróan nem állapítható meg.
-
- Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére a HH korlátozza az adatkezelést, ha
a) vitatja kezelt személyes adat pontosságát és a kezelt személyes adat pontossága kétséget kizáróan nem állapítható meg, a kétség tisztázásának időtartamára,
b) az adatkezelés jogellenessége miatt az adat törlésének lenne helye, de az érintett írásbeli nyilatkozata vagy a HH rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adat törlése sértené az érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára,
c) az adatkezelés jogellenessége miatt az adat törlésének lenne helye, de a HH vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások során az adat bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig.
A korlátozás időtartama alatt a korlátozással érintett személyes adaton a HH a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett jogos érdekének érvényesítése céljából vagy jogszabályban meghatározottak szerint végezhet.
-
- Törléshez való jog
Az érintett jogosult arra, hogy kérésére a HH haladéktalanul törölje személyes adatait, ha
a) az adatkezelés jogellenes, így különösen, ha
aa) a jogszabályokban rögzített adatvédelmi alapelvekkel ellentétes,
ab) célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,
ac) jogszabályban meghatározott időtartama eltelt,
ad) jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,
b) az érintett az adatkezeléshez adott hozzájárulását visszavonja vagy személyes adatainak törlését kérelmezi, kivéve, ha az adatok kezelése kötelező adatkezelésen alapul,
c) az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy a bíróság elrendelte,
d) az adatkezelés korlátozásának időtartama eltelt.
-
- Adathordozhatóság
Az érintett jogosult arra, hogy a rá vonatkozó, általa a HH rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, ha az adatkezelés az érintett hozzájárulásán, vagy a 2.1. pont b) alpontján alapul, és az adatkezelés automatizált módon történik.
Az érintett – ha ez technikailag megvalósítható – kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását.
-
- Tiltakozás adatkezelés ellen
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, ha
a) a személyes adatok kezelése a 2.1. pont f) vagy g) alpontján alapul - ilyen esetben a HH a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel szemben, vagy jogi igények érvényesítéséhez kapcsolódnak,
b) a személyes adat felhasználása közvetlen üzletszerzés céljából történik,
c) a személyes adat felhasználása tudományos és történelmi kutatási céljából vagy statisztikai célra történik.
-
- A HH az érintett részére a személyes adatok kezelésére vonatkozó értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti.
-
- Ha megalapozottan feltehető, hogy a 3.1. pont b)-e) alpontjaiban meghatározott jogok érvényesítése iránt kérelmet benyújtó személy az érintettel nem azonos személy, a HH a kérelmet az azt benyújtó személy személyazonosságának hitelt érdemlő igazolását követően teljesíti.
-
- A HH az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt (25) napon belül elbírálja és döntéséről az érintettet írásban - vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton - értesíti.
-
- Ha a HH az általa kezelt személyes adatokat helyesbíti, törli vagy ezen adatok kezelését korlátozza, ezen intézkedés tényéről és annak tartalmáról értesíti azon adatkezelőket és adatfeldolgozókat, amelyek részére az adatot ezen intézkedését megelőzően továbbította, annak érdekében, hogy azok a helyesbítést, törlést vagy az adatok kezelésének korlátozását a saját adatkezelésük tekintetében végrehajtsák.
-
- Ha a HH az érintettet megillető jogosultságok érvényesítésére irányuló kérelmet nem teljesíti, írásban - vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton - közli a kérelem elutasításának ténybeli és jogi indokait. A kérelem elutasítása esetén a HH köteles tájékoztatni az érintettet a jogorvoslat lehetőségeiről.
-
- A HH az érintettet megillető jogosultságok érvényesülésével kapcsolatban felmerülő feladatait ingyenesen látja el, kivéve, ha az érintett a folyó évben, azonos adatkörre vonatkozóan a 3.1. pont b)-e) alpontjaiban meghatározott jogai érvényesítése iránt ismételten kérelmet nyújt be és e kérelme alapján a HH által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását a HH jogszerűen mellőzi. Ezen esetben a HH az érintett jogainak ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az érintettől.
- A HH az érintettet megillető jogosultságok érvényesülésével kapcsolatban felmerülő feladatait ingyenesen látja el, kivéve, ha az érintett a folyó évben, azonos adatkörre vonatkozóan a 3.1. pont b)-e) alpontjaiban meghatározott jogai érvényesítése iránt ismételten kérelmet nyújt be és e kérelme alapján a HH által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását a HH jogszerűen mellőzi. Ezen esetben a HH az érintett jogainak ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az érintettől.
- Adattovábbítás
-
- Az Intézmény szervezetén belül az Intézmény tevékenységéhez kapcsolódóan kezelt személyes adatokhoz – a feladat elvégzéséhez szükséges mértékben és ideig – csak olyan szervezeti egységhez továbbíthatóak, amely az adatkezeléssel érintett személyes adatokra vonatkozóan adatkezelési és adatfeldolgozási feladatokat lát el.
-
- Az Intézményen kívülre történő adattovábbítás csak akkor teljesíthető, ha a jogszerű adattovábbítás feltételei fennállnak. Az adattovábbítás akkor jogszerű, ha a személyes adat kezelője jogosult annak továbbítására, az adattovábbítás címzettje pedig rendelkezik az adat kezeléséhez szükséges jogalappal és az adatkérés célja mindezzel összhangban van. Az adattovábbítást megelőzően meg kell vizsgálni a továbbítandó személyes adatok pontosságát, teljességét és naprakészségét.
-
- A harmadik személytől érkező, személyes adat közlésére irányuló megkeresések esetén minden esetben külön kell megállapítani az adattovábbítás feltételeinek meglétét. A HH a megkeresést kizárólag akkor teljesíti, ha az adatkérő személye minden kétséget kizáróan beazonosítható.
Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza az adatigénylés célját, jogalapját, a kért adatok körének pontos meghatározását, az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
A jogszabály kötelező rendelkezése alapján adatkezelési feltételek alkalmazásának kötelezettségével kezelt személyes adat továbbításával egyidejűleg tájékoztatni kell a címzettet az adatkezelési feltételekről és az azok alkalmazására vonatkozó jogi kötelezettségről.
-
- Külföldre irányuló adattovábbítás
Személyes adatot harmadik országban, továbbá nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő részére csak akkor lehet továbbítani, ha
a) a nemzetközi adattovábbításhoz az érintett kifejezetten hozzájárult, vagy
b) a nemzetközi adattovábbítás az adatkezelés céljának eléréséhez szükséges, valamint
ba) annak során az adatkezelésnek az Infotv. 5. §-ban előírt feltételek teljesülnek, és
bb) a harmadik országban, illetve a nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó tekintetében a továbbított személyes adatok megfelelő szintű védelme biztosított, vagy
c) a nemzetközi adattovábbítás az Infotv. 11. §-ban meghatározott kivételes esetekben szükséges.
Harmadik országba, illetve nemzetközi szervezet részére személyes adatot csak akkor lehet továbbítani, ha az Európai Unió Bizottsága megállapította, hogy a harmadik ország, vagy a nemzetközi szervezet megfelelő védelmi szintet biztosít (megfelelőségi határozat).
Megfelelőségi határozat hiányában személyes adatokat harmadik országba vagy nemzetközi szervezet részére - a Hatóság előzetes engedélye alapján - csak akkor továbbítható, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
Az EGT tagállamaiba, valamint az Európai Unió által létrehozott egyes ügynökségek, hivatalok és szervek (ld. Infotv. 13. §) részére irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
- Adatfeldolgozás
- A HH az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzésére adatfeldolgozót vehet igénybe.
Adatfeldolgozóként kizárólag olyan személy vagy szervezet vehető igénybe el, aki vagy amely megfelelő garanciákat nyújt az adatkezelés jogszerűségének és az érintettek jogai védelmének biztosítására alkalmas műszaki és szervezési intézkedések végrehajtására.
-
- A adatfeldolgozó a HH tevékenységi körében kezelt adatokkal kizárólag a HH adatkezelési döntéseinek végrehajtása érdekében, a HH utasításában meghatározott műveletek végzésére jogosult. Az adatfeldolgozónak adott utasítások jogszerűségéért a HH felel.
-
- Az adatfeldolgozásra vonatkozó megállapodást az adatvédelmi jogszabályok által meghatározott tartalommal, írásban kell létrehozni. Amennyiben az adatfeldolgozóként igénybe venni kívánt szervre vagy személyre a jelen Szabályzat hatálya nem terjed ki, akkor a megállapodásban elő kell írni a jelen Szabályzatban foglaltak megfelelő alkalmazását.
-
- Az adatfeldolgozó tevékenységi körén belül, illetve a HH által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá minden olyan jogsértésért, amit a HH utasításának vagy az adatfeldolgozásra vonatkozó megállapodásban foglaltak megszegésével okozott.
- Adatbiztonsági szabályok
-
- A kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében a HH az adatkezelés összes körülményéhez - különösen a tudomány és a technológia mindenkori állásához, az intézkedések megvalósításának költségeihez, az adatkezelés jellegéhez, hatóköréhez és céljaihoz, továbbá az érintettek jogainak érvényesülésére az adatkezelés által jelentett változó valószínűségű és súlyosságú kockázatokhoz – igazodó műszaki és szervezési intézkedéseket tesz.
-
- Az adatbiztonsági intézkedések célja különösen, hogy
a) megakadályozzák az adatkezeléshez használt eszközökhöz (adatkezelő rendszer) jogosulatlan személyek hozzáférését,
b) megakadályozzák az adathordozók jogosulatlan olvasását, másolását, módosítását vagy eltávolítását,
c) megakadályozzák az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelét, az abban tárolt személyes adatok jogosulatlan megismerését, módosítását vagy törlését,
d) megakadályozzák az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatát,
e) biztosítsák, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá,
f) biztosítsák annak ellenőrzését, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják,
g) biztosítsák annak utólagos ellenőrzését, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe,
h) megakadályozzák a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerését, másolását, módosítását vagy törlését,
i) biztosítsák, hogy üzemzavar esetén az adatkezelő rendszer helyreállítható legyen,
j) biztosítsák, hogy az adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével se lehessen megváltoztatni.
-
- Az elektronikusan kezelt adatállományok tekintetében biztosítani kell, hogy a különböző nyilvántartásokban kezelt adatok - törvény eltérő rendelkezése hiányában - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
- Adatvédelmi incidensek kezelése
- A HH vagy a megbízásából eljáró adatfeldolgozó adatkezelési tevékenységével érintett személyes adatokkal összefüggésben felmerült adatvédelmi incidenst, haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követő hetvenkét órán belül, a 9.2. pont szerinti adatokkal be kell jelenteni a Hatóságnak a Hatóság által e célra biztosított elektronikus felületen, kivéve, ha valószínűsíthető, hogy az nem jár kockázattal az érintettek jogainak érvényesülésére.
-
- Adatvédelmi incidens bekövetkezése esetén meg kell határozni
a) az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges mennyiségét,
b) az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevét és elérhetőségi adatait
c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket
d) az adatvédelmi incidens kezeléséhez szükséges, az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb intézkedéseket.
-
- Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat (magas kockázatú adatvédelmi incidens), az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatni kell, kivéve ha
a) az adatvédelmi incidenssel érintett adatok tekintetében a HH az adatvédelmi incidenst megelőzően megfelelő - így különösen az adatokat a jogosulatlan személy általi hozzáférés esetére értelmezhetetlenné alakító, azok titkosítását eredményező - műszaki és szervezési védelmi intézkedéseket alkalmazott,
b) a HH az adatvédelmi incidensről való tudomásszerzését követően alkalmazott intézkedésekkel biztosította, hogy az adatvédelmi incidens folytán az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be,
c) az érintett közvetlen tájékoztatása csak aránytalan erőfeszítéssel lenne teljesíthető, ezért a HH az érintettek részére az adatvédelmi incidenssel összefüggő megfelelő tájékoztatást bárki által hozzáférhető módon közzétett információk útján biztosítja, vagy
d) törvény az érintett tájékoztatását kizárja, korlátozza vagy a tájékoztatás késleltetett teljesítését írja elő.
-
- Az érintett tájékoztatása keretében világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, valamint az érintett rendelkezésére kell bocsátani a 9.2. pont b), c) és d) alpontjában meghatározott információkat.
B/ Az egyes adatkezelések
A HH foglalkoztatottjai, szerződéses partnerei, a képzési programokban vagy pályázati eljárásokban és programjain résztvevők, könyvtári, archívumi és egyéb szolgáltatásait igénybe vevők, valamint a hatósági nyilvántartásban szereplők személyes adatainak kezelését a jelen Szabályzatban írtak maximális betartásával végzi. Az érintetteket jogaikról a jelen Szabályzatban írt módon tájékoztatja.
- IV. Záró rendelkezések
- Hatályba lépés
Jelen Szabályzat a kiadása napján lép hatályba, mellyel egyidejűleg a korábban hatályos, 2976-1/2021. számon kiadott Adatvédelmi Szabályzat hatályát veszti.
- A Szabályzat közzététele
A Szabályzatot a HH az Intézménynél szokásos módon hirdeti ki és teszi közzé. A Szabályzat folyamatosan elérhető a HH belső elektronikus felületén (Intranet), valamint a HH által üzemeltetett hagyomanyokhaza.hu weboldal kezdőlapján az „Adatvédelem” link alatt.
A HH fenntartja a jogot a Szabályzat módosítására, amelynek esetén a módosított Szabályzatot a jelen pontban foglaltak szerint közzé- és elérhetővé teszi.
Budapest, 2022. február 8.