1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info. tv.) szabályaival összhangban az IPA Magyar Szekció Tagszervezeteinek Szövetsége (a továbbiakban: IPA Magyar Szekció) kiadja jelen Adatvédelmi és adatbiztonsági szabályzatot (a továbbiakban: Szabályzat).
2. A Szabályzat célja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme, továbbá, hogy alkalmazásával az IPA Magyar Szekció és tagszervezetei megfeleljenek a GDPR és a személyes adatok kezelését érintő magyar jogszabályoknak. Feladata a személyes adatkezelésére irányuló tevékenységek szabályozása, az IPA Magyar Szekció és tagszervezetei tevékenysége során a személyes adatok jogosulatlan felhasználásának megakadályozása. Ennek érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat.
3. A Szabályzat hatálya kiterjed:
a) az IPA Magyar Szekció szerveire és a nemzeti irodára,
b) IPA Magyar Szekció tagszervezeteire,
c) az a) és b) alpontban felsoroltak által kezelt személyes, különleges, közérdekű és közérdekből nyilvános, adatokra,
d) valamennyi olyan folyamatra, amely során személyes adat kezelése megvalósul,
e) valamint külön szerződés alapján az adatfeldolgozókra.
4. A Szabályzatban foglaltakat kell alkalmazni a 3. pontban felsoroltak által folytatott adatkezelési műveletekre az adatok megjelenési formájától függetlenül, az adatkezelés teljes folyamatára kiterjedően – az adatok megszerzésétől vagy az IPA Magyar Szekciónál és tagszervezeteinél (továbbiakban együtt: adatkezelő) történő keletkezésétől azok törléséig, illetve megsemmisítéséig –, függetlenül attól, hogy az adatok valamely nyilvántartási rendszer vagy valamely konkrét ügyben keletkezett irat részét képezik.
II. Alapelvek
5. Az adatkezelő
a) köteles a személyes adatok kezelését az érintett számára átlátható módon kialakítani és végrehajtani;
b) csak meghatározott, egyértelmű és jogszerű célból gyűjthet, rögzíthet vagy vehet át, személyes adatot az eredeti céllal össze nem egyeztethető célból vagy pontosan meghatározható cél hiányában nem kezelhet;
c) kizárólag az adatkezelés céljának teljesítéséhez szükséges, megfelelő és releváns adatokat kezelhet;
d) intézkedéseket hoz és hajt végre annak érdekében, hogy az adatkezelés céljai szempontjából felesleges vagy pontatlan személyes adatok haladéktalanul törlésre, vagy – amennyiben az adatkezelés jellegéből fakadóan az értelmezhető – helyesbítésre kerüljenek;
e) biztosítja, hogy az érintett azonosítására alkalmas személyes adatok csak az adatkezelés céljainak eléréséhez szükséges ideig kerüljenek megőrzésre, a cél elérését és az adatkezelés erre figyelemmel meghatározott határidejének lejártát követően az adatok kizárólag – a vonatkozó jogszabályi rendelkezések által meghatározott keretek között – közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból őrizhetők meg;
f) biztosítja a személyes adatok teljes körű, folytonos és kockázatokkal arányos védelmét, szervezési és technikai intézkedéseket tesz különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmének kialakítása érdekében;
g) biztosítja a gyermekek és más kiszolgáltatott érintetti csoportok különös védelmét, a kifejezetten rájuk vonatkozó adatkezelés kapcsán minden tájékoztatást és kommunikációt olyan módon hajt végre, amelyet az érintettek képesek megérteni.
6. Az adatkezelő elnöke köteles az alapelveknek történő megfelelést – ahol az értelmezhető, dokumentált módon – igazolni, így különösen
a) az érintett jogainak biztosítására és hozzájárulásának megszerzésére;
b) az előírt nyilvántartások vezetésére;
c) amennyiben szükséges az adatvédelmi hatásvizsgálatokhoz kapcsolódó feladatokra vonatkozóan.
7. Az adatkezelő eljárásai során csak és kizárólag a hatályos jogszabályok, az alapító okirat és a belső szabályzatok rendelkezései alapján végez adatkezelést.
8. Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Az adatkezelő által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
9. Az adatkezelő legkésőbb az adat felvételével egy időben minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját az érintetti tájékoztató elérhetőségét.
10. Ha adatkezelő tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelősnél kezdeményezni, erre az érintettek figyelmét is felhívja.
III. Értelmező rendelkezések
11. A szabályzat alkalmazásában:
a) adatbiztonság: a személyes adatok jogosulatlan vagy jogellenes kezelése, véletlen elvesztése, megsemmisítése vagy károsodása elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége, az adatkezelés azon állapota, amelyben a kockázati tényezőket – és ezáltal a fenyegetettséget – az alkalmazott védelmi intézkedések a minimálisra csökkentik;
b) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármely eljárással előállított, személyes adatot tartalmazó vagy azt megjelenítő tárgy vagy eszköz;
c) adatvédelem: a személyes adatok jogszerű kezelését, az érintett személyek védelmét és információs önrendelkezési jogának teljesülését biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége;
d) adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
e) adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
f) adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, ezen szabályzat vonatkozásában az IPA Magyar Szekció és tagjai (az egyesületek);
g) adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
h) az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
i) az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
j) címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
k) egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
l) harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
m) hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
n) hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely jelzések, adatok, információk továbbítására, fogadására alkalmas, különösen azok a készülékek, amelyek egy vagy több fogadó személy számára kép, hang, adat továbbítására alkalmasak, így például a távbeszélő, a rádió, valamint az elektronikus adatátviteli lehetőséget biztosító eszköz;
o) közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
p) közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
q) közös adatkezelés: olyan adatkezelés, amely esetében az adatkezelő a feladatkörébe tartozó adatkezelés céljait és eszközeit más adatkezelő szervvel közösen határozza meg, így különösen a közös elektronikus információs rendszer vagy adatkezelési felület alkalmazása;
r) különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok
s) személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
IV. Az adatvédelmi rendszer
12. Az adatvédelmi rendszerének felügyeletét az adatkezelő vezetője, az IPA Magyar Szekció elnöke illetve a tagszervezetek elnökei látják el.
13. Az adatkezelő elnöke az adatvédelemmel kapcsolatosan felelős:
a) az érintettek GDPR-ban meghatározott jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételek biztosításáért;
b) az irányítása alá tartozó szervezet, adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a szervezet által kezelt személyes adatok védelméhez szükséges személyi, tárgyi, és technikai feltételek biztosítását célzó, megfelelő és hatékony intézkedések megtételéért,
c) az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért;
d) az adatvédelmi incidensek nyilvántartásáért, a jogszabályi feltételek fennállása esetén a a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) részére határidőben történő bejelentéséért, valamint az adatvédelmi incidenssel érintettek tájékoztatásáért;
e) annak igazolásáért, hogy az adatkezelési tevékenységek a GDPR-nak megfelelnek, és az alkalmazott technikai és szervezési intézkedések hatékonysága is a rendelet által előírt szintű, amely a megfelelő szintű adatbiztonságot garantálja;
f) közérdekből nyilvános adatok kiadására irányuló adatigénylések, valamint a személyes adatokkal összefüggő érintetti jogok gyakorlásával kapcsolatos megkeresések határidőben történő megválaszolásáért;
g) az adatkezelő vezetése által végzett adattovábbítási tevékenységről vezetett nyilvántartások vezetéséért,
h) az irányítása alá tartozó szervezet tevékenységének szükség szerinti, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén lefolytatott adatvédelmi ellenőrzéséért.
V. Az adatvédelmi tisztviselő
14. Az IPA Magyar Szekció elnöke írásban kijelöli az adatvédelmi tisztviselőt, aki ellátja a tagszervezetek adatvédelmi tisztviselőjének feladatait is amennyiben erre a tagszervezet elnöke írásban felkéri.
15. Az adatvédelmi tisztviselő feladatköre tekintetében:
a) az elnöknek tartozik felelőséggel;
b) végzi IPA Magyar Szekció Elnöksége adatkezelési tevékenységének irányítását;
c) a rendelkezésére bocsátott adatok alapján elkészíti a választervezetet az érintettek személyes adataik kezeléséhez kapcsolódó kérdéseire;
d) tájékoztat és szakmai tanácsot ad az IPA Magyar Szekció Elnöksége és a Szekció tagszervezeteinek adatkezelést végző tagjai részére, szükség esetén nyomon követi az adatvédelmi hatásvizsgálat elvégzését;
e) közreműködik az adatkezelési műveletekben résztvevők megfelelő képzésének kialakításában, segíti az adatkezelést végzők tevékenységét az egységes gyakorlat kialakítása érdekében;
f) együttműködik a felügyeleti hatósággal;
g) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
h) kivizsgálja a hozzá beérkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
i) figyelemmel kíséri és értelmezi az információs önrendelkezést, a személyes adatokat, közérdekű és közérdekből nyilvános adatokat, érintő jogszabályokat és állásfoglalásokat, azokat az IPA Magyar Szekció tevékenységének folyamataira alkalmazza;
j) elkészíti és javaslatot tesz az IPA Magyar Szekció adatvédelmi és adatbiztonsági szabályzatának módosítására, felülvizsgálatára
k) a tagszervezetek és az IPA Magyar Szekció elnökének tájékoztatása alapján a NAIN-ot minden év január 31-ig tájékoztatja az általa meghatározottak alapján az érintett által benyújtott, saját adataira vonatkozó tájékoztatáskérési, helyesbítési valamint a kötelező adatkezelés kivételével a törlési és zárolási iránti elutasított kérelmekről, és a közérdekű, közérdekből nyilvános adatok megismerésére irányuló elutasított kérelmekről.
16. A IPA Magyar Szekció és a nemzeti iroda vezetője, továbbá azon tagszervezetek vezetősége - amelyek felkérték a 14. pontban foglaltak szerint a kijelölt adatvédelmi tisztviselőt - kötelesek az adatvédelmi tisztviselő munkáját segíteni.
VI. Az adatkezelés jogalapja
17. Az adatkezelők a személyes adatok kezelését csak akkor végzi, ha a GDPR 6. cikk (1) bekezdésében meghatározott alábbi 4 jogalap közül legalább az egyik alkalmazható:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Gyermekek személyes adatainak kezelése
18. Az adatkezelők nyilvántartási vagy ellenőrzési céllal gyermekek adatait nem kezelik. Gyermekek adatait az adatkelő csak jogszabályi előírás, vagy a gyermekek érdekében kezelik.
19. Hozzájáruláson alapuló adatkezelés esetén a gyermekek személyes adatainak kezelése a 16. életévét betöltött gyermek esetében a gyermek hozzájárulása alapján, a 16. életévét be nem töltött gyermek esetén, kezelése csak akkor jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
20. Az adatkezelők – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
Különleges adatok kezelése
21. Az adatkezelők a személyes adatok különleges kategóriáit csak a legszükségesebb, elkerülhetetlen esetekben kezelik.
22. Amennyiben különleges adat kezelése szükséges akkor az adatkezelés jogalapja meg kell feleljen GDPR 9. cikk (2), bekezdésében foglaltaknak így az alábbiakban felsoroltak közül legalább egynek:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy a személyes adatok különleges kategóriáinak kezelésére vonatkozó tilalom említett tilalom nem oldható fel az érintett hozzájárulásával;
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
A hozzájáruláson alapuló adatkezeléssel összefüggő követelmények
23. Az IPA Magyar Szekció és a tagszervezetei által személyes adat az érintett hozzájárulása alapján abban az esetben kezelhető, ha
a) az adatkezeléshez az érintett önként és írásban hozzájárult, valamint
b) az adatkezelés célja konkrétan meghatározott, és
c) a hozzájárulás megfelelő tájékoztatáson alapul.
24. Az érintett hozzájárulásán alapuló adatkezelés akkor tekinthető önkéntesnek, ha
a) az érintett valódi választási lehetősséggel és rendelkezési joggal rendelkezik adatai kezelése felett, és
b) az érintett anélkül dönthet a hozzájárulása megadásának elutasításáról vagy visszavonásáról, hogy az számára hátrányos következménnyel járna.
25. Amennyiben az érintett hozzájárulásán alapuló adatkezelés több célból történik, az adatkezelési célokat külön kell választani, és az érintett hozzájárulását minden cél tekintetében meg kell szerezni.
26. Megfelelő tájékoztatáson alapul az adatkezelés, ha az érintett tudomással bír
a) az adatkezelő kilétéről;
b) az adatkezelés céljáról;
c) arról, hogy milyen személyes adatainak gyűjtésére és felhasználására kerül sor;
d) a hozzájárulásának visszavonásával kapcsolatos jogokról;
e) az adatok esetleges automatizált döntéshozatal céljából való felhasználásáról;
f) az adatok valamely szerv vagy személy részére történő esetleges továbbításáról.
27. A tájékoztatásnak világosnak és közérthetőnek kell lennie. Amennyiben a tájékoztatás 18. életévüket be nem töltött személyeket érint, a tájékoztatást számukra is értelmezhetően kell megfogalmazni.
28. Az érintettet az adatkezeléshez való hozzájárulását bármikor visszavonhatja, erről a jogáról, illetve a visszavonás módjáról a hozzájárulási nyilatkozatban vagy az ezzel egyidőben átadott adatkezelési tájékoztatóban kell tájékoztatni.
29. A hozzájárulás visszavonásának olyan egyszerűnek kell lenni, mint amilyen a hozzájárulás megadása.
A szerződéses jogalap alkalmazása
30. A szerződések és az együttműködési megállapodások (továbbiakban együtt szerződés) megkötése és teljesítése során az adatkezelés GDPR 6. cikk (1) b alapján történik: „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.”
31. A szerződéskötésre irányuló közvetlen cselekmények esetében (ajánlatkérés, ajánlatadás, szerződéses feltételek egyeztetése) is ez a jogalap alkalmazandó.
32. Önmagában egy szerződés léte nem ad jogalapot a szerződésben nem részes felek adatainak a kezeléséhez.
33. Amennyiben a személyes adat a nem természetes személy szerződő partnernek a munkavállalójáé, akkor a személyes adatokat a szerződéses partner továbbítja a kapcsolattartáshoz szükséges mértékben. Ez esetbe a munkáltató (az szerződéses partner) a GDPR 6. cikk (1) bek. b) pontja és a munka törvénykönyvéről szóló 2012. évi I. törvény 10. § (1) bek. alapján szerzi meg és kezeli a személyes adatokat, míg a másik fél a GDPR 6. cikk (1) bek. f) pontja szerint a szerződéses partnere jogos érdekében veszik át tőle és kezelik a személyes adatokat a célhoz szükséges mértékben és ideig.
Jogi kötelezettség jogalap alkalmazása
34. GDPR 6. cikk (1) bek. c) pontja szerint történik az adatkezelés ha „az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges”. Ezen kötelezettséget jogszabálynak kell előírnia, csak azokat a személyes adat kategóriákat szabad kezelni, amelyeket az adott jogszabály előír, azokat viszont kötelező.
35. Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelők dokumentálják, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a NAIH kérésére a hatóság rendelkezésére bocsátják.
Jogos érdek jogalap alkalmazása
36. A GDPR 6. cikk (1) bek. f) pont alapján történik az adatkezelés ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
37. Az adatkezelés jogszerűségének vizsgálatához az adatkezelők érdekmérlegelési tesztet folytatnak le, mely során az adatkezelés céljának szükségességét és az érintettek jogainak és szabadságainak arányos mértékű korlátozását vizsgálja és megfelelően alátámasztja.
38. Az érdekmérlegelési teszt során az az adatkezelők azonosítják jogos érdeket az adatkezeléshez, valamint a súlyozás ellenpontját képező érintetti érdeket és az érintett alapjogot. Az adatkezelők a mérlegelés során figyelembe veszik különösen a kezelt, illetve kezelendő adat természetét és jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát.
39. Az érdekmérlegelési teszt részeként az adatkezelők szükségességi-arányossági tesztet folytatnak le, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk. A kezelhető adatok jellege és mennyisége nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott eszközök a szükségesség mértékét nem haladhatják meg, azonban az eszközöknek is alkalmasnak kell lenniük a meghatározott cél elérésére.
40. A súlyozás elvégzése alapján az adatkezelők megállapítják, hogy kezelhető-e a személyes adat. A teszt eredményéről az érintettek tájékoztatást kapnak, melyből egyértelműen kiderül, hogy mely jogos érdek alapján és miért tekinthető arányos korlátozásnak az, ha az adatkezelők ezen jogalapra hivatkozva kezelik a személyes adatot, tehát az adatkezelők adatkezeléséhez fűződő jogos érdeke miért múlja felül az érintett érdekeit, illetve jogait.
A személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően
41. Az érintett halálát követő öt éven belül az általános adatvédelmi rendelet hatálya alá tartozó adatkezelési műveletek esetén – a GDPR 15–18. és 21. cikkében meghatározott, az elhaltat életében megillető jogokat az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal – ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal – meghatalmazott személy jogosult érvényesíteni.
42. Ha az érintett nem tett megfelelő jognyilatkozatot a közeli hozzátartozó jogosult gyakorolni:
a) helyesbítéshez való jogot,
b) valamint - ha az adatkezelés már az érintett életében is jogellenes volt vagy az adatkezelés célja az érintett halálával megszűnt az adatkezelés korlátozásához való jogot, illetve a törléshez való jogot.
43. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
44. Az érintett (elhalt) jogait érvényesítő személyt e jogok érvényesítése - így különösen az adatkezelővel szembeni, valamint a Hatóság, illetve bíróság előtti eljárás - során az e törvény által az érintett részére megállapított jogok illetik meg és kötelezettségek terhelik.
45. Az adatkezelő kérelemre tájékoztatja az érintett Polgári Törvénykönyv szerinti közeli hozzátartozóját az megtett intézkedésekről, kivéve, ha azt az érintett a 42. pontban írt az meghatározott nyilatkozatában megtiltotta.
Papír alapú nyilvántartásba nem rendezett adatkezelések
46. Papír alapú, nyilvántartásba nem rendezett adatkezelésekre az Info tv 2. § (4) bekezdése alapján a GDPR 4. cikkében, II-VI., és VIII-IX. fejezetében foglaltak az irányadók.
VII. Közös adatkezelés
47. Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek.
48. Az adatkezelő elnöke a közös adatkezelés megkezdése előtt megállapodást köt a közös adatkezelővel, amelyben az adatvédelmi jogszabályok által előírt kötelezettségek teljesítéséért fennálló, feladataikkal összefüggő felelősségük megosztását meg kell határozni, kivéve, ha a felelősség megosztása jogszabályban rendezett. A megállapodásban nem zárható ki az érintetti jogok gyakorlásával kapcsolatos feladatok valamelyik fél általi teljesítésének kötelezettsége.
49. A közös adatkezelésre vonatkozó legfontosabb szempontokról – az adatok érintettől történő felvétele esetén az adatok felvételekor, amennyiben ez nem lehetséges, vagy az adatokat az adatkezelő nem közvetlenül az érintettől szerzi be, úgy a IPA Magas Szekció internetes honlapján közzétett érintetti tájékoztatóval – az érintettet tájékoztatni kell.
VIII. Az adatfeldolgozó igénybevételének szabályai
50. Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
51. Az adatfeldolgozói szerződésben az adatfeldolgozóra vonatkozó alábbi kötelezettségeket kell rögzíteni
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a GDPR 32. cikkében előírt intézkedéseket;
d) további adatfeldolgozót igénybevételére vonatkozóan csak az adatkezelővel történt előzetes egyeztetés után dönthet;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett GDPR III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a GDPR 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.
52. Az adatfeldolgozó figyelmét az adatfeldolgozói szerződésben is fel kell hívni arra, hogy az adat megismerésére vagy továbbítására vonatkozó kérelem esetén az érdemi döntést az adatkezelő jogosult meghozni
IX. Az adatvédelmi hatásvizsgálat
53. Az adatkezelést előíró vagy a végrehajtása során adatkezelést eredményező döntés, így különösen az adatkezelő szerv hatáskörébe tartozó, az adatok korábbiaktól eltérő kezelését előíró eljárásrend, valamint az azt eredményező eszköz, nyilvántartás vagy elektronikus információs rendszer alkalmazásának előkészítése során az adatvédelmi tisztviselő előzetes adatvédelmi kockázatelemzést végez, felméri, hogy az adatkezelési műveletek magas kockázattal járnának-e a természetes személyek jogaira és szabadságaira nézve. Az előzetes adatvédelmi kockázatelemzés keretében felméri a kockázatok forrását, jellegét, egyediségét és súlyosságát és ennek keretében azonosítja az adatkezeléssel érintett személyek jogaira nézve megjelenő – jogszabály által vagy a NAIH joggyakorlatában nevesített – lehetséges kiemelt kockázatokat.
54. Az adatvédelmi tisztviselő, amennyiben a döntése alapjául szolgáló legfontosabb szempontokat írásban megjelölve – adatvédelmi hatásvizsgálat lefolytatását kezdeményezi az adatkezelő elnökénél
a) a jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési tevékenységek esetén;
b) a dokumentált módon lefolytatott előzetes kockázatelemzés eredményeként valószínűsíthetően magas kockázatot jelentő adatkezelésként azonosított tevékenységek, folyamatok vagy tervezetek esetében.
55. Az adatkezelő elnöke az adatvédelmi tisztviselő javaslatára elrendeli az adatvédelmi hatásvizsgálat lefolytatását, vagy írásban rögzíti mellőzésének okait és az adatvédelmi tisztviselő kapcsolódó álláspontját. Az adatvédelmi hatásvizsgálat lefolytatásáig, vagy az annak elmaradásával kapcsolatos okok írásban történő rögzítéséig az adatkezelésről szóló döntés – az adott döntés meghozatalára irányadó jogszabályi követelmények betartása mellett – nem hozható meg.
56. Az adatvédelmi hatásvizsgálat lefolytatásához alkalmazható a NAIH honlapján található adatvédelmi hatásvizsgálati szoftver („PIA software”) webes verziója.
.
57. Az adatvédelmi hatásvizsgálat eredményeiről összefoglaló jelentést kell készíteni, amely tartalmazza
a) a hatásvizsgálat lefolytatásának okait;
b) a hatásvizsgálatra vonatkozó szerep- és felelősségi köröket;
c) a hatásvizsgálat során alkalmazott módszertan leírását;
d) az adatkezelés folyamatának bemutatását;
e) az adatvédelmi alapelveknek történő megfelelést;
f) az érintetti jogok biztosításának módját;
g) az érintettek alapvető jogainak érvényesülését fenyegető kockázatok leírását és jellegét;
h) az adatbiztonsági intézkedések értékelését;
i) a jogszerűség biztosítása érdekében tervezett intézkedések leírását és végrehajtásának feladattervét.
58. Az adatvédelmi hatásvizsgálat összefoglaló jelentését adatkezelő elnöke hagyja jóvá. Az összefoglaló jelentést és a kapcsolódó adatvédelmi tisztviselői véleményt nyilvántartásba vétel céljából meg kell küldeni az ORFK adatvédelmi tisztviselőjének.
X. Az IPA Magyar Szekció és a tagszervezetek által kezelt adatok
59. Az IPA Magyar Szekció kezeli:
a) az IPA Magyar Szekció tisztségviselőinek adatait (név, lakcím, fénykép, tagkönyv szám, elérhetőségi és a bírósági bejegyzéshez szükséges adatok);
b) az IPA Magyar Szekció tagszervezetei elnökeinek adatait (név, lakcím, elérhetőségi adatok);
c) IPA tagok adatait (név, fénykép, tagsági igazolvány szám,);
d) Baráti Kör tagok adatait (név, fénykép, tagsági igazolvány szám,);
e) az IPA Magyar Szekció által szervezett események lebonyolításához szükséges személyes adatokat;
f) az IPA Magyar Szekció által kötött szerződésekben, együttműködési megállapodásokban szereplő személyes adatokat.
60. Az IPA Magyar Szekció tagszervezetei kezelik:
a) az egyesület tisztség viselőinek adatait (név, lakcím, fénykép, tagsági igazolvány szám, születési hely idő, elérhetőségi és a bírósági bejegyzéshez szükséges adatok);
b) IPA tagok adatait (név, fénykép, tagsági igazolvány szám, lakcím, születési hely, idő, elérhetőségi és a tagság létesítését megalapozó adatok, a tag hozzájárulásával az egyesület által fontosnak tartott adatok) ;
c) Baráti Kör tagok adatait (név, fénykép, tagkönyv szám, lakcím, születési hely idő, elérhetőségi adatok, a tag írásbeli hozzájárulásával az egyesület által fontosnak tartott és a büntetlen előéletre vonatkozó adatok);
d) a tagszervezetek által szervezett események lebonyolításához szükséges személyes adatokat;
e) a tagszervezetek által kötött szerződésekben, együttműködési megállapodásokban szereplő személyes adatokat.
XI. Adatkezelési Nyilvántartás vezetése és felülvizsgálata
61. Az adatkezelő az általa végzett adatkezelési tevékenységekről nyilvántartást vezet a GDPR 30. cikk (1) bekezdése alapján (a továbbiakban: Adatkezelési Nyilvántartás). Az Adatkezelési Nyilvántartás vezetése az elnök feladata, mellyel megbízhatja az adatvédelmi tisztviselőt is, ez esetben a szükséges adatokat az adatvédelmi tisztviselő rendelkezésére kell bocsátani.
62. Az adatkezelési tevékenység azon adatkezelési műveletek összessége, amelyeknek egy adott célja van. Csak olyan adatkezelés végezhető, amelynek jogalapja is van. Egy adott adatkezelési tevékenységnek az életciklusa alatt több jogalapja is lehet
63. Az Adatkezelési Nyilvántartás tartalmazza az
a) az adatkezelő és az adatvédelmi tisztviselő nevét és elérhetőségét,
b) az adatkezelési tevékenység megnevezését
c) az adatkezelési tevékenység megkezdésének időpontját
d) ha van ilyen a közös adatkezelő és képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
e) ha van ilyen a adatfeldolgozó és képviselőjének a neve és elérhetősége;
f) az érintetti tájékoztató internetes elérhetőségét.
64. A GDPR 30. cikk (1) bekezdésében felsoroltakból a 63. pontban fel nem sorolt egyéb tartalmi elemeket az érintetti tájékoztatók tartalmazzák.
65. Az érintetti tájékoztató elkészítése az adatvédelmi tisztviselő feladata, azokat az IPA Magyar Szekció honlapján közzé kell tenni. Az adatkezelési nyilvántartásban csak olyan adatkezelési tevékenység szerepelhet amelynek érintetti tájékoztatója az IPA Magyar Szekció honlapján szerepel.
66. Amennyiben új érintetti tájékoztató elkészítése szükséges arra a javalatot az adatvédelmi tisztviselő részére kell megküldeni.
67. Az érintetti tájékoztatónak tartalmaznia kell
a) az adatkezelés rövid megnevezését;
b) az adatkezelés konkrét célját úgy, hogy
ba) az érintett egyértelműen képes legyen megállapítani azt a tevékenységet, amelyhez személyes adatainak a kezelése kapcsolódik,
bb) amennyiben az adatkezeléshez több cél is kapcsolódik, a célokat külön-külön kell megfogalmazni;
c) az adatkezelés jogalapját oly módon, hogy
ca) az érintett egyértelműen képes legyen megállapítani azt a tevékenységet, amelyhez személyes adatainak a kezelése kapcsolódik,
cb) a jogalap tekintetében pontosan meghatározott legyen az adatkezelést biztosító jogszabályhely, jogi kötelezettség teljesítése esetén az annak tartalmát pontosan meghatározó uniós vagy nemzeti jogszabályhely;
d) az adattovábbítás címzettjeit, akiknek a személyes adatokat továbbítják;
e) a harmadik országbeli személyek vagy szervezetek, illetve nemzetközi szervezetek részére történő adattovábbítás esetén annak címzettjét, az érintett adatkört és annak célját és jogalapját;
f) az adatkezelés időtartamát, kötelező adatkezelés esetén a jogszabályhely pontos megjelölésével;
g) annak megjelölését, hogy az adatszolgáltatás jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződéskötés előfeltétele;
h) az adatok automatizált döntéshozatalra vagy profilalkotásra felhasználásra kerülnek-e;
i) a személyes adatokhoz történő érintetti hozzáféréssel, helyesbítéssel, törléssel, korlátozással, illetve tiltakozással, valamint – az érintett hozzájárulásán alapuló adatkezelés esetén – a hozzájárulás visszavonásával kapcsolatos érintetti jogokra történő figyelemfelhívást;
j) a NAIH-hoz történő panasz benyújtásával kapcsolatos tájékoztatást;
k) a bírósági jogorvoslati lehetőséget.
68. Az Adatkezelési Nyilvántartás és az érintetti tájékoztatók tartalmát folyamatosan felül kell vizsgálni és naprakészen kell tartani és az IPA Magyar Szekció honlapján közzé kell tenni. A felülvizsgálat keretében rögzíteni kell az új adatkezelési tevékenységeket, különösen új adatkezelési cél vagy új érintetti kör esetén.
69. Minden esetben törölni kell a már nem végzett adatkezelési tevékenységeket és az ezekhez kapcsolódó érintetti tájékoztatókat.
XII. Az adatkezelés módja
70. Az adatkezelő gondoskodik a személyes adatok biztonságáról, amelyhez a szükséges technikai és szervezési intézkedéseket is megteszi, különösen annak érdekében, hogy az adatok védelemben részesüljenek a jogosulatlan vagy jogellenes kezelésével, hozzáféréssel, megváltoztatással, továbbítással, nyilvánosságra hozatallal, véletlen elvesztésével, jogellenes megsemmisítésével, vagy károsodásával, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válással szemben.
71. Az adatkezelő minden szükséges intézkedést megtesz a személyes adatok pontosságának, teljességének és naprakészségének biztosítása érdekében. Amennyiben a tagnak az adatkezelő által kezelt személyes adataiban változás következett be, az érintett természetes személy köteles azt haladéktalanul, de legkésőbb a változás bekövetkeztétől számított 15 napon belül bejelenteni az adatkezelőnek. Erre a tagok figyelmét fel kell hívni.
72. Az adatkezelés teljes folyamatában az adatkezelő köteles biztosítani, hogy a személyes adatokhoz, mind a manuális, mind az elektronikus ügyintézés során csak az arra jogosultak férhessenek hozzá, így különösen:
a) megakadályozza, hogy illetéktelen személyek a számítógépes adatállományhoz hozzáférjenek,
b) megakadályozza a tárolóeszközök jogosulatlan olvasását, másolását, módosítását, megváltoztatását,
c) megakadályozza, hogy illetéktelen személyek az adatfeldolgozó rendszert, adatátviteli eszköz útján elérjék, károsítsák,
d) biztosítja, hogy a jogosult felhasználok, csak a hozzáférési joguk szerinti személyes adatok köréhez férjenek hozzá.
73. Egyedi ügyekben az eljáró felelős azért, hogy az eljárás minden mozzanata és abban közreműködő személyek megállapíthatók legyenek, az eljárás során keletkezett íratok, illetéktelen személyek birtokába ne kerülhessenek.
74. Az adatkezelő a döntési folyamatok során nem alkalmazza a kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntést.
XIII. Adattovábbítás
75. Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek,
a) ha a személyes adatot kezelő jogosult annak továbbítására,
b) az adattovábbítás címzettje (adatkérő) pedig rendelkezik az adat kezeléséhez szükséges jogalappal vagy az érintett írásos – a vonatkozó jogszabályi elvárásoknak megfelelő tartalmú – hozzájárulásával, és az adatkérés célja mindezzel összhangban van.
76. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
77. Az adatkezelő az adattovábbítás feltételeinek meglétét minden egyes személyes adattal összefüggésben köteles ellenőrizni, így különösen azt, hogy az igényelt adatokra vonatkozóan az adatok kezelőjének minősül-e.
78. Amennyiben az adatigénylés olyan személyes adatra vonatkozik, amely esetében az adatkezelő más szerv, vagy szervezet az adatkérést – törvény eltérő rendelkezése hiányában – el kell utasítani, és az adatkérőt tájékoztatni kell arról, hogy – amennyiben ez ismert - a kért adatokat mely adatkezelő szervtől igényelheti.
79. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem abban az esetben teljesíthető, ha az tartalmazza
a) az adatigénylés célját, jogalapját;
b) a kért adatok körének pontos meghatározását;
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
80. Amennyiben szükséges – ha ez a rendelkezésre álló adatokból nem, vagy csak jelentős idő ráfordítással állítható elő - az adatkezelés célját, az érintett adatokat, illetve az adatkezelést folytató személy azonosítását lehetővé tevő adatokra és az elvégzett műveletekre vonatkozóan papíralapú vagy elektronikus adattovábbítási nyilvántartás vezetéséről kell gondoskodni.
XIV. Adatvédelmi incidens
81. Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
82. Az adatvédelmi incidens gyanúját az adatkezelő elnökének vagy adatvédelmi tisztviselőnek kell jelezni.
83. Az adatkezelő elnöke az adatvédelmi tisztviselővel közösen azonosítja, hogy az adatvédelmi incidens valószínűsíthetően jár-e az érintettre nézve fizikai, vagyoni vagy nem vagyoni kárral.
84. Az adatkezelő elnöke intézkedik az adatvédelmi incidens okainak feltárására és a keletkezett károk mérséklésére, esetleges megszüntetésére.
85. Az az adatvédelmi tisztviselő megállapítja
a) a bekövetkezett incidens jellegét;
b) az incidenssel valószínűsíthetően érintett személyek körét;
c) a valószínűsíthetően érintett adatok kategóriáit, nagyságrendjét;
d) a megtett halaszthatatlan intézkedéseket.
86. Az adatvédelmi tisztviselő az adatkezelő elnökének döntése alapján a NAIH-nak az e célból rendszeresített felületen keresztül tesz 72 órán belül bejelentést. A bejelentést mellőzni kell, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
87. Amennyiben 72 órán belül nem lehet teljeskörűen megállapítani az adatvédelmi incidens terjedelmét, vagy kivizsgálása során nem lehetett megállapítani az adatvédelmi incidens bekövetkezésének valamennyi lényeges körülményét, úgy az adatvédelmi tisztviselő a bejelentést a rendelkezésre álló adatok alapján teszi meg. A hiányzó adatok megállapítását követően intézkedni kell a bejelentés kiegészítésére.
88. Az adatvédelmi tisztviselő a bejelentést követően intézkedik a kivizsgálás szükség szerinti pontosításáról, és amennyiben megállapítja, hogy az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor a GDPR 34. cikk (3) bekezdésében felsorolt esetek kivételével tájékoztatja az érintetteket az adatvédelmi incidensről. Amennyiben az érintett tájékoztatására észszerű módon nincs lehetőség, úgy az adatvédelmi tisztviselő az adatvédelmi incidens főbb jellemzőire vonatkozó értesítés soron kívüli közzétételét kezdeményezi a IPA Magyar Szekció honlapján.
89. Az adatvédelmi tisztviselő a bekövetkezett adatvédelmi incidensekről nyilvántartást vezet, mely tartalmazza:
a) az adatvédelmi incidensről készült jelentés iktatószámát;
b) az incidens bekövetkezésének helyét és idejét;
c) az érintett személyes adatok körét;
d) az incidens hatásait, következményeit, valamint az orvoslásukra tett intézkedéseket;
e) a bejelentés időpontját – amennyiben az adatvédelmi incidenst a NAIH részére bejelentették;
f) annak a döntésnek a rövid indokolását, ami miatt az adatvédelmi incidenst nem jelentették be a NAIH-nak.
90. Amennyien az adatvédelmi tisztviselőnek nincs a tagszervezettől a 14. pontban írt felhatalmazása, úgy ezen fejezetben felsorolt kötelezettségeit a tagszervezet elnöke vagy az általa felhatalmazott személy látja el.
XV. Az érintett jogai
91. Az érintett jogosult az adatkezelőnél:
a) tájékoztatást kérni személyes adatainak kezeléséről,
b) személyes adatainak helyesbítését kérni,
c) a személyes adatainak - a kötelező adatkezelés kivételével - törlését kérni,
d) a személyes adatainak korlátozását kérni,
e) adathordozhatósághoz való jogot gyakorolni,
f) tiltakozni személyes adatainak kezelése ellen,
g) jogainak megsértése esetén a NAIH-hoz illetve bírósághoz fordulni,
Az érintett hozzáférési joga
92. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
e) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
f) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
g) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
h) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ.
94. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR 46. cikk szerinti megfelelő garanciákról.
95. Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
96. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
Személyes adatok helyesbítése
97. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Ezen jog ingyenesen gyakorolható
98. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
A törléshez való jog („az elfeledtetéshez való jog”)
99. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
Az adatkezelés korlátozásához való jog
100. Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
101. Ha az adatkezelés a 100. pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
102. Az adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Az adathordozhatósághoz való jog
103. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az adatkezelés hozzájáruláson alapul és az adatkezelés automatizált módon történik. Az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
104. Ha az adatkezelés nem automatizált módon történik az IPA tag és a Baráti Kör tagja ebben az esetben is jogosult kérni a belépési nyilatkozatának továbbítását azon tagszervezet felé amelybe át kíván lépni. A tagszervezet vezetősége pedig köteles az érintett belépési nyilatkozatának továbbítani.
105. A 103. pontban említett jog nem érintheti hátrányosan mások jogait és szabadságait.
A tiltakozáshoz való jog
106. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelési okon alapul.
107. A 106. pontban írt esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
108. Az adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül a 107. pontban írtakra figyelemmel megvizsgálja és döntést hoz és erről az érintettet írásban értesíti. Az adatkezelő döntéséig a 101. pontban írtakat kell alkalmazni.
109. Ha az érintett a döntéssel nem ért egyet, vagy az adatkezelő a döntéshozatalra előírt határidőt elmulasztotta, a munkavállaló a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül bírósághoz fordulhat.
Közös szabályok
110. Az adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy korlátozásról, akivel az adatokat közölték, kivéve, ha ez lehetetlen, vagy aránytalanul nagy erőfeszítést igényel.
111. Az érintettet megillető jogok gyakorlására – az adatkezelésre vonatkozó előzetes általános tájékozódáshoz való jog kivételével – az érintettek adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva csak a kérelmező megfelelő azonosítása, illetve kérelme tartalmának hitelesítését biztosító követelmények fennállása esetén van lehetőség. Nem biztosítható ezen jogok gyakorlása különösen az elektronikus aláírással nem hitelesített, vagy a kérelmező személyének azonosítását nem biztosító elektronikus levélben érkezett kérelmek esetén.
112. Az adatkezelő szerv érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti. Az adatkezelő szerv az információt írásban, elektronikus úton, illetve az érintett kérelmére szóban is megadhatja, amennyiben az érintett személyazonossága igazolt.
113. Az érintett az adatkezeléssel összefüggésben megillető jogainak sérelme esetén az NAIH-hoz, fordulhat., továbbá minden olyan személy, aki az adatkezelési szabályok megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
XV. Záró rendelkezések
114. A z IPA Magyar Szekció Elnöksége 2023. november 10-i 7/6/2023. számú határozatával elfogadta a IPA Magyar Szekció Tagszervezeteinek Szövetsége Adatvédelmi Szabályzatát (továbbiakban Szabályzat).
115. Jelen Szabályzat 2023. december 1-jén lép hatályba.
116. Jelen Szabályzatot az elfogadást követően az IPA Magyar Szekció hivatalos honlapján közzéteszi.