Adatvédelmi Szabályzat
Érvényes: 2023.05.01-
Az ELSA MAGYARORSZÁG Adatkezelési, adatvédelmi, tagnyilvántartási, statisztikai adatgyűjtési, adatfeldolgozási, információ szolgáltatási és titoktartási szabályzata
Hatályosítva az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény módosításainak megfelelően[1]
Adatkezelő adatai
Név: Magyarországi ELSA Egyesületek Szövetsége (továbbiakban: Szervezet)
Székhely: 1053 Budapest, Egyetem tér 1-3.
Levélcíme: 1053 Budapest, Egyetem tér 1-3.
E-mail címe: info@hu.elsa.org
Telefonszám: +36-1-1111111
Az egyesület nyilvántartási száma: a Fővárosi Törvényszéken 0100/Pk.61107/2004.; 01-02-0011382
Adószám: 01-02-0011382
Képviseli: Lajer Bettina elnök, önálló képviseleti joggal Honlap: www.elsahungary.org
Adatvédelmi tisztviselő: ..............
Adatvédelmi tisztviselő elérhetősége: .............. E-mail címe: ....................
A Szabályzat célja:
A Szabályzat célja, hogy a Magyarországi ELSA Egyesületek Szövetsége a rá vonatkozó, a mindenkor hatályos jogszabályokkal, EU rendeletekkel összhangban, azok előírásai szerint vezesse nyilvántartásait, végezze statisztikai adatgyűjtési, adatfeldolgozási, információszolgáltatási tevékenységét; kezelje a Szervezet birtokában levő személyes adatokat. A Magyarországi ELSA Egyesületek Szövetsége az adatkezelése és feldolgozása során olyan fokozott gondossággal jár el, amely az adatvédelmi incidensek előfordulásának megelőzését szolgálja.
Általános rendelkezések
− Jelen Szabályzat kötelezően előírja a 2016. április 27-i, a 2016/679. számú Európai Parlament és a Tanács rendeletének - Európai Unió Általános Adatvédelmi Rendelete – alkalmazását, amely GDPR néven, az angol rövidített megnevezésével lett közismert; GDPR = General Data Protection Regulation. A rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogokat védi. Azonban a személyes adatok unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméből összefüggő okokból.
- A Magyarországi ELSA Egyesületek Szövetsége által működtetett elsahungary.org honlapon megtalálható az Interneten idelátogató felhasználók részére az Adatvédelmi tájékoztató, mely kiterjed a böngészők használatával járó "sütik" esetében alkalmazandó eljárásra is. A leggyakrabban használt internetes böngészők (Chrome, Firefox, stb.) többsége alapbeállításként elfogadja és engedélyezi a sütik letöltését és használatát, azonban lehetőség van arra, hogy a felhasználó a böngésző beállításainak módosításával ezeket visszautasítsa vagy letiltsa, illetve a már a számítógépen lévő eltárolt sütiket is tudja törölni. A sütik használatáról az egyes böngészők "súgó" menüpontja nyújt bővebb tájékoztatást.
1
A hozzájárulást igénylő sütikről – amennyiben az adatkezelés már az oldal felkeresésével megkezdődik – az ELSA MAGYARORSZÁG az első látogatás megkezdésekor tájékoztatja a felhasználókat és kéri is valamennyi felhasználó hozzájárulását.
A Magyarországi ELSA Egyesületek Szövetsége nem alkalmaz és nem is engedélyez olyan sütiket, amelyek segítségével harmadik személyek a felhasználó hozzájárulása nélkül adatot gyűjthetnek.
A sütik elfogadása nem kötelező, az ELSA MAGYARORSZÁG azonban nem vállal azért felelősséget, ha sütik engedélyezése hiányában a weblap esetleg nem az elvárt módon működik.
Jogszabályi alap (a felsorolt jogszabályok mindenkor hatályos állapota):
− Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról; angol megnevezése: GDPR (General Data Protection Regulation);
- Magyarország Alaptörvénye;
- 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);
- 1999. évi CXXI. törvény – a gazdasági kamarákról;
- 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Info tv.);
- 1992. évi LXIII. törvény – a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról;
- 2003. évi XXIV. törvény – a közpénzek felhasználásával, a köztulajdon használatának nyilvánosságával, átláthatóbbá tételével és ellenőrzésének bővítésével összefüggő egyes törvények módosításáról;
- 2005. évi XC. törvény – az elektronikus információszabadságról;
- Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (E-ügyintézési tv.);
- Magyarországi ELSA Egyesületek Szövetsége Alapszabálya;
- Magyarországi ELSA Egyesületek Szövetsége Szervezeti és Működési Szabályzata;
- egyéb jogszabályok, kormányrendeletek, melyek az egyes tevékenységekhez kapcsolódnak (a folyamatok adatkezelésének leírásánál felsorolásra kerülnek).
A Szabályzat hatálya:
− A Magyarországi ELSA Egyesületek Szövetsége Adatvédelmi és Adatbiztonsági Szabályzata (a továbbiakban: Szabályzat) előírásai a szervezet egészére, minden szervezeti egységére, az ügyintő szervezetének minden munkatársára kötelező, valamint az ELSA MAGYARORSZÁG vele szerződéses vagy egyéb kapcsolatban álló személyes adatkezelést végző személyekre kötelező. Fokozott felelősséggel tartozik a szervezet eljáró ügyintéző szervezete, illetve az eljáró felelős személy.
− A Szabályzat hatálya kiterjed továbbá az Adatkezelő által igénybe vett adatfeldolgozók felé irányuló adatáramlásra.
− A Szabályzat tárgyi hatálya kiterjed az Adatkezelő szervezeti egységei által kezelt valamennyi személyes adatra, a rajtuk végzett adatkezelési műveletek teljes körére.
A Szervezet természetes személy tagjai, valamint munkavállalói személyes adatainak kezelése
− A Szervezet természetes személy tagjaira, valamint munkavállalóira vonatkozó adatkezelést – figyelemmel az Info tv. 65. § (3) bekezdésének a) pontjára – nem kell bejelenteni az adatvédelmi nyilvántartásba.
− A Szervezet természetes személy tagjai, valamint munkavállalói személyi iratainak és adatainak kezelését a Polgári Törvénykönyvről szóló 2013. évi V. törvény, az Info tv., illetve a munka törvénykönyvéről szóló 2012. évi I. törvény szerint kell ellátni.
− Személyi irat minden – bármilyen anyagon, alakban és bármilyen eszköz felhasználásával keletkezett – adathordozó, amely a tagsági viszony, illetve a munkaviszony létesítésekor, fennállása alatt, megszűnésekor, valamint azt követően keletkezik, és a természetes személy tag vagy a munkavállaló személyével összefüggésben adatot, megállapítást tartalmaz.
− A természetes személy tagoktól, illetve a munkavállalókról csak a tagsági viszonnyal, illetve a munkaviszonnyal összefüggő adat tárolható. Az érintettől csak olyan nyilatkozat, vagy adatlap kitöltése kérhető, amely személyiségi jogait nem sérti.
− A személyi iratokat és a személyi adatokat védeni kell, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyi iratokat, egyéb papír alapú nyilvántartásokat a Szervezet hivatalos helyiségében, zárható szekrényben kell tárolni, megakadályozandó, hogy illetéktelenek hozzáférjenek. Az elektronikusan tárolt adatok esetén is gondoskodni kell az adatvédelemről.
− A személyi iratokat az illetékes ügyintéző a munkavégzéshez szükséges mértékben használhatja. Az iratokba a munkáltatói jogkör gyakorlójának is joga van betekinteni.
− A munkaviszonnyal kapcsolatos személyi irat, dokumentum kizárólag személyesen, vagy meghatalmazott útján vehető át, illetve tértivevényes ajánlott küldeményként az érintett lakcímére postázandó.
− A Szervezet által kiírt pályázatokra beküldött jelentkezésekhez mellékelni kell a pályázóknak a személyes adatok kezeléséhez a pályázati anyaggal együtt megadott személyes hozzájárulását. A pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak – kérésére – 90 napon belül vissza kell küldeni, vagy a pályázónak a személyes adatai további pályázatok során történő felhasználására vonatkozó hozzájárulása hiányában meg kell semmisíteni. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni.
− A Szervezethez bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban lévő személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes adatokat haladéktalanul, de legkésőbb 15 napon belül törölni kell.
Az adatkezelési és adatvédelmi feladatok ellátásának szervezeti rendje
A Magyarországi ELSA Egyesületek Szövetsége Integrált Irányítási Rendszerében megjelenő folyamatok folyamatgazdái felelősek a folyamatos és jogszabályoknak megfelelő adatkezelésért és adatfeldolgozásért. A folyamatgazdák a tevékenységük alá tartozó folyamatirányításban előforduló adatkezelésért folyamatonként felelnek, melyet általános jelleggel a mindenkori minőségügyi vezető (MIR vezető) felügyel, aki a főtitkárnak folyamatos beszámolási kötelezettséggel tartozik. Az adatkezeléssel foglalkozó munkavállaló a Szervezet főtitkárának elsődleges értesítése mellett, a minőségügyi vezető (MIR vezető) felé tartozik az esetleges adatvédelmi incidenst bejelenteni. Az adatvédelmi incidens kivizsgálásról és a szükséges intézkedések megtételéről a Szervezet főtitkára dönt.
Amennyiben adatkezelési feladatokra szóló kötelezettség merül fel, úgy az adatvédelemért felelős személy:
- saját folyamatához tartozóan végzi a Szervezeti nyilvántartások működtetésével kapcsolatos feladatokat,
- ellátja a munkaköréhez tartozó Szervezeti adatbázisok kezeléséből és védelméből eredő feladatokat,
- köteles az adatminőség (pontosság, naprakész állapot) folyamatos fejlesztésére,
- ellátja a jogszabályokban és az egyéb Szervezeti szabályzatokban meghatározott feladatokat.
Nem tárgya az adatvédelmi nyilvántartásnak az az adatkezelés, amely kizárólag statisztikai célt szolgáló olyan adatokat tartalmaz, amelyek - a statisztikai törvényben foglaltak szerint - az adatok és az érintettek közötti kapcsolat megállapítását véglegesen kizárják.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a Fejér Megyei Kereskedelmi és
Iparkamarát, - jogszabályi kötelezettség esetén - mint adatkezelőt nyilvántartási számmal látja el. A Magyarországi ELSA Egyesületek Szövetsége adatkezelésének jogalapja az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 5. §. (1) bekezdés b.) pontja.
Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét törvény rendeli el.
A Szervezet, mint adatkezelő gondoskodik az adatok biztonságáról; megteszi azokat a technikai adatvédelmi és szervezeti intézkedéseket és kialakítja azokat a belső eljárási szabályokat (hozzáférési jogosultsági rendszer stb.), amelyek a biztonságos adatkezelés helyi sajátosságok szerinti feltételeinek biztosítására alkalmasak.
Az ELSA MAGYARORSZÁG a valóságnak meg nem felelő adatot a tudomásszerzését követő 15 nap alatt helyesbíteni köteles. A helyesbítésről - kérelemre - értesíteni kell az érintetteket.
Az ELSA MAGYARORSZÁG a Szervezeti tag/ gazdálkodó adatainak jogellenes kezelésével, vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Mentesít a felelősség alól annak bizonyítása, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos, vagy súlyosan gondatlan magatartásából származott. Az e §-ban nem szabályozott kártérítési kérdésekben a Ptk. rendelkezései az irányadóak.
Adat és titokvédelem, titoktartási kötelezettség
A Szervezeti tagnyilvántartás sajátos, a titokvédelmi szabályokra figyelemmel kezelt elemei a kereskedelmi kapcsolatok alakulása, továbbá az érintettek érdekütközései kapcsán szerzett hitelképességi és üzletetikai jellegű - Szervezeti értesülések, amelyekre kiterjed a titoktartási kötelezettség.
A Szervezeti tagnyilvántartásban szereplő adatok kizárólag a tagnyilvántartáshoz kapcsolódó feladatok teljesítéseként használhatók fel, oly módon, hogy az adat célhoz kötött felhasználása ellenőrizhető legyen. A tagnyilvántartással kapcsolatos Szervezeti feladatok teljesítése során az üzleti titkok és a személyes adatok védelmére vonatkozó jogszabályoknak megfelelően kell eljárni.
Az ELSA MAGYARORSZÁG a Szervezeti tagok nyilvántartásának a megfelelő adatvédelmet, adatbiztonságot garantáló működtetése során egységes elvek szerint kialakított számítógépes nyilvántartást alkalmaz (......... ügyviteli szoftver .......... szoftvermodulja). A Szervezeti tagok nyilvántartásba vételéhez megfelelő adatlapot (alap- és változás-nyilvántartás), továbbá igazolás-nyomtatványokat kell rendszeresíteni. Az adatlapok a számítógépes nyilvántartás alapdokumentumai, amelyek regisztrációs (fizikai nyilvántartó) lapként is szolgálnak; kezelésükre az irattári és levéltári rendelkezések irányadóak.
A Szervezet tisztségviselői és ügyintéző szervezetének munkavállalói - a titoktartási nyilatkozatuk szerinti körben és feltételek mellett - kötelesek az ügykörükben tudomásukra jutott üzleti titkokat megőrizni.
A Szervezeti tagnyilvántartás - erre irányuló törvényi rendelkezés megtörténtéig - nem közhiteles.
A Szervezeti tagság megszűnése esetén az arra alapot adó határozatnak, értesítésnek a Szervezet részéről történt kézhezvételétől számított 30 napon belül a tagot a Szervezeti aktív nyilvántartásából törölni kell. A törölt tagok adatai az archívumba kerülnek. A Szervezeti archívumban tárolt adatok anyakönyvi jellegűek, nem selejtezhetők.
Önkéntes statisztikai adatszolgáltatás
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény és a statisztikai törvény alapján az adatgyűjtés statisztikai célúnak tekinthető akkor, ha a gyűjtött adatok statisztikai felhasználásához az adatszolgáltató írásban, kifejezetten hozzájárul. Ugyanezen jogszabályok értelmében lehetséges a gyűjtött adatok nyilvánosságra hozatala, az illető adatokból történő információ-szolgáltatás, ha az adatszolgáltató az ilyen célú adatfelhasználáshoz írásban, kifejezetten hozzájárul.
Szervezeti információ szolgáltatás
Az ELSA MAGYARORSZÁG az általa gyűjtött cég adatokat információszolgáltatási célra abban a körben használhatja fel, amennyiben az adatot szolgáltató gazdálkodó szervezet a felhasználási módhoz előzetesen, írásban kifejezetten hozzájárul, s amennyiben ez a felhasználás a Szervezeti feladatkörön nem terjed túl. A Szervezeti információ szolgáltatás a Szervezeti tagok hasonló tárgyú üzletkörét nem sértheti (konkurencia-tilalom).
Az ELSA MAGYARORSZÁG-tól céginformáció csak saját adatokról kérhető, vagy az érintett előzetes, írásbeli kifejezett hozzájárulásának terjedelmében:
a./ adott gazdálkodó szervezet egyedi nyilvántartott hatályos és módosított adataira nézve,
b./ a cégadatok meghatározott szempontú csoportosításában, valamint
c./ olyan összesítésben, amelynek alapján az egyes cégek már nem azonosíthatók.
A Magyarországi ELSA Egyesületek Szövetsége a jelen Szabályzat rendelkezéseit kiegészíti – a 2018. május 25. napján hatályba lépő GDPR rendeletnek történő megfeleltetések érdekében - az adatkezelés és adatfeldolgozás körében általa megvalósított releváns tevékenységekhez kapcsolódóan.
Értelmező rendelkezések: GDPR szerint
- "személyes adat": azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- "adatkezelés": a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- "álnevesítés": a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- "nyilvántartási rendszer": a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- "adatkezelő": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- "adatfeldolgozó": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- "címzett": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy 2016.5.4. L 119/33 Az Európai Unió Hivatalos Lapja HU egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
- "harmadik fél": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- "az érintett hozzájárulása": az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
- "adatvédelmi incidens": a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- "egészségügyi adat": egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
- "személyes adatok határokon átnyúló adatkezelése":
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
- személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
- "különleges adat": a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
- "adattovábbítás": az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
- "adattörlés": az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
- "adatkezelés korlátozása": a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;
- "adatfeldolgozás": az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége[2]
A Magyarországi ELSA Egyesületek Szövetsége tevékenységének ellátása során személyes adatokat kezel
⎯ egyrészről: a tagok, a munkavállalói, ill. a szerződéses kapcsolatban együttműködő megbízottak/egyéb partnerek személyes adatait,
⎯ másrészről: ügyfelek, partnerek, együttműködő oktatási intézmények és közintézmények képviseletében eljáró természetes személyek személyes adatait,
A Magyarországi ELSA Egyesületek Szövetsége jelen Szabályzatban rögzíti, hogy az általa megvalósított adatkezelési- és adatfeldolgozási tevékenységet mindenkor az Európai Parlament és a Tanács (EU) 2016/679. rendeletében foglalt általános érvényű alapelveknek megfelelően végzi. Az alapelvek taxatív felsorolása:
Alapelvek
- "jogszerűség, tisztességes eljárás és átláthatóság" elve: A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
- "célhoz kötöttség" elve: A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
- "adattakarékosság" elve: A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.
- "pontosság" elve: A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék
- "korlátozott tárolhatóság" elve: A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.
- "integritás és bizalmas jelleg" elve: A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
- "elszámoltathatóság" elve: Az adatkezelő felelős az alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
A Magyarországi ELSA Egyesületek Szövetsége jelen Szabályzatban rögzíti, hogy általa kizárólag akkor kerülhet sor adatkezelésre, ha ahhoz megfelelő jogalappal rendelkezik.
A megfelelő adatkezelési és adatfeldolgozási jogalapot Magyarországon a jelenleg hatályos Információs önrendelkezési jogról és Információszabadságról szóló 2011. évi CXXII. törvény (Info tv.) határozza meg, illetőleg 2018. május 25-től az adatkezelések jogalapját a GDPR rendelet további jogalapokkal bővíti, amelyekkel jelen Szabályzat kiegészül a lentebbi felsorolással:
Az adatkezelés jogalapja:
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
A hozzájárulásnak mindig önkéntesnek, konkrétnak, megfelelő tájékoztatáson alapulónak és egyértelműnek kell lennie. Az ELSA MAGYARORSZÁG, mint adatkezelő a hozzájárulást valamennyi adatkezelési célhoz egyenként szerzi be, egyúttal felhívja az érintett figyelmét azon jogára, hogy a hozzájárulást bármikor egyszerű módon visszavonhatja.
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Érintettek jogainak tiszteletben tartása, illetve biztosítása
A Szervezet, mint adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy biztosítsa az érintett jogait. Adatkezelő az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtja, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az ELSA MAGYARORSZÁG a beérkező kérelmet annak benyújtásától számított
legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálja.[3]
1. Tájékoztatáshoz való jog
Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
- az adatkezelőnek és képviselőjének neve, elérhetősége;
- a személyes adatok kezelésének célja;
- a személyes adatok kezelésének jogalapja (amennyiben ez az adatkezelő vagy harmadik fél jogos érdeke, azt konkrétan megjelölni);
- személyes adat címzettje;
- harmadik országba történő adattovábbítással kapcsolatos információk, garanciák;
- a személyes adatok tárolásának időtartama;
- az érintett azon jogáról, hogy kérelmezheti a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az adathordozhatósághoz való jogáról;
- hozzájáruláson alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban visszavonható (a visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végzett adatkezelés jogszerűségét);
- a felügyeleti hatósághoz fordulás joga;
- az érintett köteles-e a személyes adatokat megadni, az adatszolgáltatás elmaradásának következményei.
A tájékoztatás mellőzhető, ha az érintett már rendelkezik az információkkal.
Amennyiben az adatkezelő a személyes adatokat nem az érintettől szerezte meg, a fentieken felül tájékoztatja az érintettet az átvett személyes adatokról, valamint az adatok forrásáról, valamint az adatkezeléssel összefüggő minden további érdemi tényről.
Ebben az esetben a tájékoztatás időpontja: az adat megszerzésétől számított
- max. 30 nap,
- kapcsolattartási célú adatkezelésénél az első kapcsolatfelvétel,
- ha más címzettel is közlik az adatokat, legkésőbb az első közlés.
A tájékoztatás mellőzhető az alábbi esetekben:
- ha az érintett már rendelkezik az információkkal,
- az információk rendelkezésre bocsátása szóban lehetetlen, vagy aránytalanul nagy erőfeszítéssel jár,
- jogszabály által elrendelt adatkezelés esetén,
- jogszabályban előírt titoktartási kötelezettség alapján
- amennyiben ez az intézkedés szükséges különböző belső vagy az ELSA
MAGYARORSZÁG részvételével végzett vizsgálatok vagy eljárások - így különösen a büntetőeljárás - hatékony és eredményes lefolytatásához, a bűncselekmények hatékony és eredményes megelőzéséhez és felderítéséhez, a bűncselekmények elkövetőivel szemben alkalmazott büntetések és intézkedések végrehajtásához, a közbiztonság hatékony és eredményes védelméhez, az állam külső és belső
biztonsága hatékony és eredményes védelméhez,
- amennyiben ez a harmadik személyek alapvető jogai védelmének biztosításához elengedhetetlen.4
2. Az érintett hozzáférési joga
4
Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- személyes adatok másolata,
- adatkezelés célja,
- adatok kategóriái,
- adatátvételnél a forrásra vonatkozó információk,
- címzettek,
- harmadik országba történő adattovábbítással kapcsolatos információk, garanciák,
- tárolás időtartama,
- az érintett jogai,
- a felügyeleti hatósághoz fordulás joga
Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat elektronikusan kell rendelkezésére bocsátani, kivéve, ha az érintett másként kéri.
A hozzáféréshez való jog érvényesülése érdekében az érintettet kérelmére az ELSA MAGYARORSZÁG tájékoztatja arról, hogy személyes adatait maga az adatkezelő, vagy a megbízásából egy adatfeldolgozó kezeli-e.
Az érintett hozzáféréshez való jogának érvényesítését az adatkezelő az elérni kívánt céllal arányosan korlátozhatja vagy megtagadhatja, ha ezen intézkedés elengedhetetlenül szükséges az 1. pontban foglaltak alapján. Ilyen intézkedések alkalmazása esetén az ELSA MAGYARORSZÁG írásban, haladéktalanul tájékoztatja az érintettet, amennyiben ez más vizsgálat vagy eljárás lefolytatását nem veszélyezteti.
Az adatkezelő az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet.[4]
3. A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő a rá vonatkozó pontatlan adatokat indokolatlan késedelem nélkül helyesbítse, kiegészítse.
Az ELSA MAGYARORSZÁG a valóságnak meg nem felelő adatot a tudomásszerzését követő
15 nap alatt helyesbíteni köteles. A helyesbítésről - kérelemre - értesíteni kell az érintetteket.
4. A törléshez való jog
- Az érintett bármikor jogosult a rögzített adatainak törlését kérni az adatkezelőtől, akinek indokolatlan késedelem nélkül meg kell tennie a szükséges lépéseket ennek érdekében. A törlés nem vonatkozik azokra az adatokra, amelyeket az adatkezelő jogszabály alapján kezel.
- A törléshez való jog érvényesítése érdekében az adatkezelő haladéktalanul törli az érintett személyes adatait, ha az adatkezelés jogellenes (az alapelvekkel ellentétes, az adatkezelés célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához, az adatkezelésre meghatározott időtartama eltelt, vagy az adatkezelés jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja).
- Az adatkezelő haladéktalanul törli az érintett személyes adatait, ha az érintett az adatkezeléshez adott hozzájárulását visszavonja (kivéve, ha az adatok kezelésének más jogalapja is van), továbbá, ha az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy a bíróság elrendelte.6
6
5. Az elfeledtetéshez való jog
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A törléshez való jog és az elfeledtetéshez való jog szabályai nem alkalmazandók, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához,
- jogi kötelezettség teljesítéséhez,
- közhatalmi jogosítvány gyakorlásához,
- közérdekű archiválás, tudományos és történelmi kutatási célból,
- jogi igények érvényesítéséhez
- az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások - így különösen büntetőeljárás – lefolytatásához, melyek során az adatok bizonyítékként való megőrzése szükséges.
6. Az adatkezelés korlátozásához való jog
Az adatkezelő az érintett kérelmére korlátozza az adatkezelést, ha:
- az érintett vitatja a személyes adatok pontosságát, helytállóságát vagy hiánytalanságát (arra az időtartamra, amely lehetővé teszik, hogy az adatkezelő ellenőrizze az adatok pontosságát),
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését és ehelyett kéri az adatkezelés korlátozását,
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények érvényesítéséhez,
- az érintett tiltakozott az adatkezelés ellen (az adatkezelő korlátozza az adatkezelést, amíg vizsgálódik, hogy jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben).
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekből lehet kezelni törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint.7
Az adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Ha az érintett kérelmét az adatkezelő vagy az adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az érintett az adatkezeléssel összefüggő jogait a Hatóság közreműködésével is gyakorolhatja.
7
Ha az adatkezelő az általa, illetve az adatfeldolgozó által kezelt személyes adatokat helyesbíti, törli vagy ezen adatok kezelését korlátozza, az adatkezelő ezen intézkedés tényéről és annak tartalmáról értesíti azon adatkezelőket és adatfeldolgozókat, amelyek részére az adatot ezen intézkedését megelőzően továbbította, annak érdekében, hogy azok a helyesbítést, törlést vagy az adatok kezelésének korlátozását a saját adatkezelésük tekintetében végrehajtsák.8
Az adatkezelő továbbá minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.
Az ELSA MAGYARORSZÁG a Szervezeti tag/ gazdálkodó adatainak jogellenes kezelésével, vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni.
Ha az ELSA MAGYARORSZÁG a személyes adatok jogellenes kezelésével, vagy a technikai adatvédelem követelményeinek megszegésével személyiségi jogot sért, az, akinek személyiségi joga sérelmet szenvedett sérelemdíjat követelhet.
Mentesít a felelősség alól annak bizonyítása, hogy a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos, vagy súlyosan gondatlan magatartásából származott. Az e §-ban nem szabályozott kártérítési kérdésekben a Ptk. rendelkezései az irányadóak.
7. Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az adatkezelés hozzájáruláson, vagy szerződésen alapul.
Az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
8. A tiltakozáshoz való jog
Az érintett tiltakozhat a személyes adatai kezelése ellen a következő jogalapok esetén:
- közérdekű adatkezelés, illetve az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés,
- adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés.
Az érintett tiltakozhat továbbá a személyes adatai kezelése ellen a közvetlen üzletszerzési cél esetén.
Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják,
8
amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények érvényesítéséhez kapcsolódnak.
A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
A személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően
Az érintett halálát követő öt éven belül, az elhaltat életében megillető jogokat az érintett által ügyintézési rendelkezéssel meghatalmazott személy jogosult érvényesíteni. Az érintett közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal rendelkezhet másik személy meghatalmazásáról. Ha az érintett az ELSA MAGYARORSZÁG-nél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozatot kell figyelembe venni.
Ha az érintett nem tett ilyen jognyilatkozatot, a Ptk. szerinti közeli hozzátartozója (az élettárs, az egyeneságbeli rokon házastársa, a házastárs egyeneságbeli rokona és testvére, és a testvér házastársa) járhat el jogainak érvényesítésében. Az elhunyt érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
Az elhunyt érintett jogait érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát - és a közeli hozzátartozói minőségét - közokirattal igazolja.
Az érintett jogait érvényesítő személyt e jogok érvényesítése - így különösen az adatkezelővel szembeni, valamint a Hatóság, illetve bíróság előtti eljárás - során az érintett részére megállapított jogok illetik meg és kötelezettségek terhelik.
Az adatkezelő kérelemre tájékoztatja az érintett közeli hozzátartozóját az érintett nyilatkozatában meghatalmazott személy vagy az érintett jogait gyakorló közeli hozzátartozó ügyintézésével összefüggésben megtett intézkedésekről, kivéve, ha azt az érintett ezt a nyilatkozatában megtiltotta.9
Jogorvoslat
Az érintett a jogainak megsértése esetén
- bírósághoz fordulhat (Fővárosi Törvényszék, 1055 Budapest, Markó u. 27., https://fovarositorvenyszek.birosag.hu)
- valamint vizsgálatot kezdeményezhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH, 1125 Budapest, Szilágyi Erzsébet fasor 22/C, ugyfelszolgalat@naih.hu).
A Magyarországi ELSA Egyesületek Szövetsége által az adatkezelés körében az alábbi szabályoknak felel meg képfelvétel készítése, felhasználása (nyilvánosságra hozatala) esetén
A Polgári Törvénykönyvről szóló 2013. évi V. Törvény 2:43. § külön kiemeli a képmáshoz való jog védelmét: a személyiségi jogok megsértését jelenti különösen a képmáshoz és a hangfelvételhez való jog megsértése. A Magyarországi ELSA Egyesületek Szövetsége az adatkezelése során elkerüli mindazon jogsértő magatartásokat, illetve tartózkodik mindazon jogellenes mulasztástól, amelyeket a Ptk. a képmáshoz és a hangfelvételhez való jog megsértése esetén szankcionál, vagyis amelyekhez joghátrány fűződik.
9
A hatályos jogszabályok alapján egy személy arca, képmása személyes adatnak, a fényképfelvétel készítése és felhasználása pedig adatkezelésnek minősül, amihez – külön törvényi felhatalmazás hiányában – az érintett hozzájárulása szükséges. Alapvetően olyan esetben van szükség hozzájárulásra, ha a képen szereplő személy felismerhető, különösen, ha a felvétel az illető egyéni ábrázolására alkalmas.
Nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén, tehát ha az érintettet egy tömeg részeként ábrázolják. Ide tartoznak különösen az olyan eseményeken készült felvételek, ahol megszokott a felvételek készítése, például rendezvényeken, tréningeken. Ilyen esetben hozzájárulás akkor sem szükséges, ha az érintettet a tömegben, de egyénileg kiemelve ábrázolja a felvétel. A külön hozzájárulás nélkül készíthető fényképfelvételek hozzájárulás nélkül csak olyan körben használhatóak fel, amelyet az elkészítés körülményei indokolnak, például az esemény megörökítése, tájékoztatás céljából.
Felhasználás (nyilvánosságra hozatal) az ELSA MAGYARORSZÁG esetében:
A képfelvételnek az ELSA MAGYARORSZÁG honlapján (www.ELSA Magyarország.hu), továbbá az ELSA MAGYARORSZÁG által szerkesztett kiadványokban történő közzététele, illetve az ELSA MAGYARORSZÁG facebook oldala: https://www.facebook.com/elsahungary.
Kiskorúakra vonatkozó külön szabályok
A gyermekek személyes adatainak kezeléséhez szükséges a gyermek, illetve törvényes képviselőjének felhatalmazása.
14 év alatti gyermek esetében a szülő, 14-16 év között a szülő és a gyermek közösen, 16 év felett pedig már kizárólag a gyermek jogosult a hozzájárulás megadására.
Különélő vagy elvált szülők esetében csak az a szülő adhat érvényes adatkezelési nyilatkozatot, aki a szülői felügyeleti jogok gyakorlására jogosult – az adatkezelőnek azonban nem feladata, hogy ezt a kérdést mélységében vizsgálja, el kell fogadnia az erről szóló szülői tájékoztatást azzal, hogy vita esetén az ellentmondást az erre jogosult hatóságnak (gyámhatóság, bíróság) kell megoldania. Az általános felhatalmazás (hozzájáruló nyilatkozat) azonban nem azt jelenti, hogy az egyes fotózásokról előzetesen ne kellene tájékoztatást adni és amennyiben valamelyik fénykép feltétele kifejezetten zavarja az érintett gyermeket vagy szülőt, törlési (vagy szöveg esetén helyesbítési) kérelmének haladéktalanul eleget kell tenni.
Adatbiztonsági előírások
A személyes adatokat tartalmazó dokumentumok kezelése során az adatkezelő a Magyarországi ELSA Egyesületek Szövetsége címére érkező postai és ügyfélfogadási időben személyesen leadott küldemények érkeztetési és kézbesítési utasítását kell alkalmazni minden olyan kérdésben, amelyre jelen szabályzat nem tartalmaz előírást.
A Magyarországi ELSA Egyesületek Szövetsége ügyféllevelezései
Amennyiben szolgáltatásaink igénybevétele során partnereinknek, illetve ügyfeleinknek kérdése, problémája van, a szolgáltatás kapcsán az ügyfélszolgálattal telefonon és e-mailen kapcsolatba léphet. Adatkezelő a beérkezett leveleket, a küldő nevével és e-mail címével, valamint más, önként megadott személyes adatával együtt, az ügy elintézésétől számított legfeljebb öt év elteltével törli.
Egyéb adatkezelések
Az itt fel nem sorolt adatkezelésekről az adat felvételekor ad a Magyarországi ELSA Egyesületek Szövetsége tájékoztatást.
A személyes adatok tárolásának módja, az adatkezelés biztonsága
A Magyarországi ELSA Egyesületek Szövetség eáltal működtetett www.elsa.org.hu címen elérhető honlap számítástechnikai rendszerei és más adatmegőrzési helyei az adatkezelő székhelyén, találhatók meg.
A Magyarországi ELSA Egyesületek Szövetsége a személyes adatok kezeléséhez a szolgáltatásai nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
- az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
- hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
- változatlansága igazolható (adatintegritás);
- a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
Szervezeten belüli feladatok
Az adatkezelő gondoskodik az adatok biztonságáról; megteszi azokat a technikai adatvédelmi és szervezeti intézkedéseket és kialakítja azokat a belső eljárási szabályokat (hozzáférési jogosultsági rendszer stb.), amelyek a biztonságos adatkezelés helyi sajátosságok szerinti feltételeinek biztosítására alkalmasak.
A Magyarországi ELSA Egyesületek Szövetsége olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
A Magyarországi ELSA Egyesületek Szövetsége az adatkezelés során megőrzi
- a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
- a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
- a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
A Magyarországi ELSA Egyesületek Szövetsége és partnereinek informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. A Magyarországi ELSA Egyesületek Szövetsége a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.
Az ELSA MAGYARORSZÁG rendelkezik olyan szabályzattal, amely a használt szoftverek és rendszerek etikus felhasználását szolgálja. A napi munkavégzés során folyamatosan újabb technológiák és szoftverek kerülnek alkalmazásra. A meglévő szabályozások továbbfejlesztéseként az ELSA MAGYARORSZÁG elkészíti az informatikai biztonsági szabályzatát. Ennek alapvető célja, hogy az informatikai rendszerek használata során biztosítsa az adatvédelem elveinek, az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát.
Az adatkezelő belső képzést szervez munkavállalói részére az adatvédelemről, valamint erősíti a munkavállalók adatvédelmi tudatosságát.
Adatvédelmi incidens kezelése
A Magyarországi ELSA Egyesületek Szövetsége tagja vagy alkalmazásában álló munkavállaló, aki az adatkezelő által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst, különösen jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést vagy megsemmisítést észlel, azt köteles a Szervezet főtitkárának haladéktalanul jelenteni; a minőségügyi vezető (MIR vezető) egyidejű értesítése mellett.
Az adatkezelő képviseletében eljáró személy (főtitkár) a bejelentést megvizsgálja, a munkavállalótól (bejelentőtől) további adatszolgáltatást kérhet, amelyet a tag vagy munkavállaló haladéktalanul köteles teljesíteni.
A vizsgálat alapján az adatkezelő képviseletében eljáró személy megteszi a szükséges lépéseket az adatvédelmi incidens elhárítása érdekében, amennyiben ez lehetséges. A kockázatokat figyelembe véve az adatkezelő gondoskodik a további szükséges intézkedések meghozataláról, melyről tájékoztatja az adatok kezelését vagy feldolgozását végző szakterületet.
Az adatvédelmi incidensről az adatkezelő nyilvántartást vezet, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
Az adatkezelő azonnal, de legkésőbb 72 órán belül bejelenti a hatóság részére, ha az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.[5]
Ha az adatkezelő e bejelentési kötelezettséget akadályoztatása miatt határidőben nem teljesíti, azt az akadály megszűnését követően haladéktalanul teljesíti, és a bejelentéshez mellékeli a késedelem okait feltáró nyilatkozatát is.
Az adatvédelmi incidens bejelentésben legalább:
· ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
· közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
· ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
· ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
A ELSA MAGYARORSZÁG egyes adatkezeléseknél adatfeldolgozóként jár el, ha az adatvédelmi incidens az adatfeldolgozói tevékenységével összefüggésben merül fel vagy azt egyébként az
adatvédelmi incidenst az ELSA MAGYARORSZÁG észleli, arról tudomásszerzését követően -
haladéktalanul tájékoztatja az adatkezelőt.11
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, az adatvédelmi incidensből eredő, valószínűsíthető következményeket és az incidens kezelésére tett vagy tervezett intézkedéseket.
Az érintettet nem kell tájékoztatni az adatvédelmi incidensről a következő esetekben:
⎯ az adatkezelő megfelelő védelmi intézkedéseket hajtott végre, amelyek az adatok megismerésére nem jogosult személyek számára megismerhetetlenné, vagy értelmezhetetlenné teszik az adatokat;
⎯ az adatkezelő az adatvédelmi incidenst követően olyan intézkedéseket tesz, amelyek biztosítják, hogy a kockázat a továbbiakban valószínűsíthetően ne valósuljon meg;
⎯ a tájékoztatás aránytalan erőfeszítést tenne szükségessé, ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.
Adatvédelmi tisztviselő:[6]
Adatvédelmi tisztviselő kijelölése:
Az ELSA MAGYARORSZÁG a hatályos előírások szerint a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének és az érintettek jogai érvényesülésének elősegítése érdekében adatvédelmi tisztviselőt alkalmaz, mivel az ELSA MAGYARORSZÁG jogszabályban meghatározott közfeladatot lát el.
Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.
Az ELSA MAGYARORSZÁG közzéteszi az ELSA Magyarország.hu oldalon az adatvédelmi tisztviselő nevét és elérhetőségét, továbbá ezeket a Nemzeti Adatvédelmi és Információszabadság Hatósággal közli.
Az adatvédelmi tisztviselő jogállása
· Az ELSA MAGYARORSZÁG biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
· Az ELSA MAGYARORSZÁG támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
· Az ELSA MAGYARORSZÁG biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az ELSA MAGYARORSZÁG az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
· Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
· Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
· Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
Az adatvédelmi tisztviselő feladatai
Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
· tájékoztat és szakmai tanácsot ad az ELSA MAGYARORSZÁG, továbbá a munkaszervezetben adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
· ellenőrzi a GDPR-nak, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben résztvevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
· kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
· együttműködik a Nemzeti Adatvédelmi és Információszabadság Hatósággal; és
· az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a Nemzeti Adatvédelmi és Információszabadság Hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
ELSA MAGYARORSZÁG adatvédelmi tisztviselő: .............
Adatvédelmi tisztviselő elérhetősége: ............... Email: ...............
Záradék:
Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő módosításokkal egységes szerkezetbe foglalt Szabályzat az ELSA
MAGYARORSZÁG Elnökségének I./2023. (V.1.) sz. határozatával kerül elfogadásra. A módosítások 2023 május 1. napjától hatályosak.
Székesfehérvár, 2023. május 1.
Lajer Bettina
ELSA Magyarország elnök
[1] Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő hatályos szövegrészeket jelen szabályzat félkövér dőlt betűkkel tartalmazza.
[2] Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő hatályos szövegrészeket jelen szabályzat félkövér dőlt betűkkel tartalmazza 13-17. pontokban.
[3] Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő hatályos szövegrészeket jelen szabályzat félkövér dőlt betűkkel tartalmazza
[4] Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő hatályos szövegrészeket jelen szabályzat félkövér dőlt betűkkel tartalmazza
[5] Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő hatályos szövegrészeket jelen szabályzat félkövér dőlt betűkkel tartalmazza 11 Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő hatályos szövegrészeket jelen szabályzat félkövér dőlt betűkkel tartalmazza
[6] Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény átfogó módosításainak megfelelő hatályos szövegrészeket jelen szabályzat félkövér dőlt betűkkel tartalmazza