Az Adatvédelmi és adatbiztonsági szabályzat (a továbbiakban: Szabályzat) célja, hogy biztosítsa az OVIFON által végzett adatkezelési tevékenységek tekintetében a természetes személyek alapvető jogainak és szabadságainak védelmét, a Társaság tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését, továbbá, hogy a Társaság által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat. A Szabályzat kialakítja az adatvédelem szempontjából fontos felelősségi viszonyokat.
A Szabályzat személyi hatálya kiterjed a Társaság személyi állományára, minden alkalmazottjára, valamint a vele szerződéses vagy egyéb kapcsolatban álló, személyes adatkezelést végző személyekre.
A Szabályzat az előlapon jelzett időpontban lép hatályba határozatlan időre.
A Szabályzat tárgyi hatálya kiterjed a Társaság személyi állománya által kezelt valamennyi személyes adatra, a rajtuk végzett adatkezelési műveletek teljes körére – számítógépes és manuális adatkezelésre, adatfeldolgozásra -, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.
A Szabályzat hatálya kiterjed a Társaság egyes szervezeti egységei közötti, illetve a Társaság által igénybevett adatfeldolgozók felé irányuló adatáramlásra is.
A Szabályzat alkalmazása során:
Az adatvédelmi szabályok betartásáért a Társaság a felelős. A Társaság munkavállalói és külső megbízottjai feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
A Társaság adatkezelést végző alkalmazottja kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, a Társaság nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.
A Társaság által végzett adatkezelések során az alábbi adatvédelmi alapelveknek kell érvényesülniük.
A személyes adatok kezelését a Társaságnak jogszerűen – megfelelő jogalapon – és tisztességesen – az információs önrendelkezési jog/magánszféra/emberi méltóság tiszteletben tartásával – kell végeznie.
A személyes adatok kezelését a Társaságnak az érintett számára átlátható módon kell végezni. A természetes személyek számára átláthatónak kell lennie, hogy a Társaság a rájuk vonatkozó személyes adataikat hogyan gyűjti, használja fel, azokba hogy tekint bele vagy milyen egyéb módon kezeli, a személyes adatokat milyen mértékben kezeli vagy fogja kezelni.
Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt a Társaság világosan és egyszerű nyelvezettel fogalmazza meg. Ez az elv vonatkozik különösen az érintetteknek a Társaság kilétéről és az adatkezelés céljáról való tájékoztatására, valamint arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a Társaságtól a róluk kezelt adatokról.
A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.
A Társaság által a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük.
A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig a Társaságnak biztosítania kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon.
Személyes adatok a Társaság által csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni.
Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, a Társaság törlési, illetve rendszeres felülvizsgálati határidőket állapít meg.
A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése a Társaság által csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését. Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes adatok gyűjtésének eredeti céljával, a Társaság – az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően – figyelembe veszi többek között az eredeti célok és a tervezett további adatkezelési célok között fennálló összefüggést, az adatgyűjtés körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, a Társasággal fennálló kapcsolatán alapuló észszerű elvárásait is, továbbá a személyes adatok jellegét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további személyes adatkezelési műveletek során.
A pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű lépést meg kell tenni. Ha a Társaság tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni.
A Társaságnak a személyes adatokat olyan módon kell kezelnie, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.
Az adatkezelés biztonsága körében az Európai Parlament és a Tanács 2016/679 Rendelete (a továbbiakban: Általános Adatvédelmi Rendelet) előírja a Társaság számára, hogy a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtson végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
Ezeket az intézkedéseket a Társaság felülvizsgálja és szükség esetén naprakésszé teszi.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
A Társaság intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag a Társaság utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
A Társaság felelős a személyes adatok kezelésére vonatkozó elvek betartásáért, továbbá képesnek kell lennie e megfelelés igazolására (anyagi felelősség).
Az elszámoltathatóság elvének lényege kettős: egyrészt azt várja el a Társaságtól, hogy kialakítsa azokat a belső szabályokat, folyamatokat, mechanizmusokat, amelyek a rendeletből fakadó kötelezettségek teljesítéséhez szükségesek, másrészt a megfelelés bemutatásának képességét várja el.
A Társaság elszámoltathatósági intézkedései különösen az alábbiak:
A személyes adatok Társaság általi kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
Az adatkezelés megfelelően kiválasztott jogalapja befolyásolja az érintett rendelkezésére álló egyes jogok gyakorolhatóságát:
Törléshez való jog | Adathordozhatósághoz való jog | Tiltakozáshoz való jog | |
Szerződés | ✓ | ✓ | X |
Jogi kötelezettség | X | X | X |
Jogos érdek | ✓ | X | ✓ |
Hozzájárulás | ✓ | ✓ | X – de! visszavonhatja |
Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség. Ha a Társaság nem tudja bizonyítani, hogy a szerződés fennáll, a szerződés az alkalmazandó nemzeti szerződési jog szerint érvényes, és az adatkezelés objektíve szükséges a szerződés teljesítéséhez, meg kell fontolnia az adatkezelés egyéb jogalapját.
Ha az adatkezelésre a Társaságra vonatkozó jogi kötelezettség teljesítése keretében kerül sor, az adatkezelésnek az uniós jogban vagy a nemzeti jogban foglalt jogalappal kell rendelkeznie. Az Általános Adatvédelmi Rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön-külön jogszabály vonatkozzon. Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely a Társaságra vonatkozó jogi kötelezettségen alapul.
A jogos érdek fennállásának megállapításához a Társaságnak meg kell vizsgálnia többek között azt, hogy az érintett az adatkezeléssel összefüggésben számíthat-e észszerűen arra, hogy az adott célból személyes adatainak kezelésére kerülhet sor.
A Társaság érdekének jogossága akkor állapítható meg, ha az
A jogos érdek meglétének, az adatkezelés szükségességének, valamint az érintett jogkorlátozása arányosságának vizsgálata ún. érdekmérlegelési teszt elvégzésével vizsgálható, illetve igazolható.
Az érdekmérlegelési teszt elvégzésének eljárási rendje a következő:
A 3. pont szerinti mérlegelés elvégzése során vizsgálni kell különösen
Az érdekmérlegelési teszt elkészítése az adatkezelési művelet végrehajtásáért felelős önálló szervezeti egység vezetőjének felelősségi körébe tartozik. Az érdekmérlegeléssel összefüggő tevékenységet dokumentálni kell, és az ezzel kapcsolatos iratokat az adatvédelmi tisztviselő részére át kell adni.
A hozzájáruláson alapuló adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
Ha az adatkezelés hozzájáruláson alapul, a Társaságnak képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e követelményt, kötelező erővel nem bír.
Hozzájáruláson alapuló adatkezelés esetében a Társaság törekszik arra, hogy előre megfogalmazott hozzájárulási nyilatkozatot biztosítson az érintett részére, amelyet érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel bocsát rendelkezésre.
Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie a Társaság kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
A hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes adatkezelési műveletekhez.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak.
Különleges adatnak minősül:
Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az Általános Adatvédelmi Rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a nemzeti jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan.
A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérést enged az Általános Adatvédelmi Rendelet, ha az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez. A személyes adatok különleges kategóriáira vonatkozó adatkezelési tilalomtól való eltérés szintén megengedhető, ha erről az uniós vagy nemzeti jog rendelkezik, és ha arra megfelelő garanciák mellett kerül sor a személyes adatok és más alapvető jogok védelme érdekében, ha ez valamely közérdeken alapul. Eltérés alapján az ilyen személyes adatok kezelése olyan esetekben is lehetséges, amikor az jogi igények előterjesztése, érvényesítése, illetve védelme céljából szükséges, függetlenül attól, hogy erre bírósági eljárás, közigazgatási, vagy egyéb, nem bírósági útra tatozó eljárás keretében kerül-e sor.
Az érintett jogosult arra, hogy a Társaság és az annak megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatai vonatkozásában
A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. A Társaság olyan további információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. Az érintettet továbbá a profilalkotás tényéről és annak következményeiről tájékoztatni kell. Ha a személyes adatokat a Társaság az érintettől gyűjti, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen következményekkel jár.
Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat a Társaság nem az érintettől, hanem más forrásból gyűjtötte, az ügy körülményeit figyelembe véve, észszerű határidőn belül kell megadni.
Ha a személyes adatok jogszerűen közölhetőek más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell.
Ha a Társaság a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell. Ha a Társaság nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni.
Mindazonáltal a tájékoztatás nyújtására vonatkozó kötelezettség előírása nem szükséges, ha az érintettnek ez az információ már a birtokában van, vagy ha a személyes adat rögzítését, illetve közlését valamely jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne.
Az alábbi táblázat összegzi azokat az információkat, amelyekről az érintetteket tájékoztatni kell:
Milyen információt kell megadni? | Érintettől gyűjtött személyes adat | Nem az érintettől gyűjtött személyes adat |
az adatkezelő kiléte és elérhetőségei | ✓ | ✓ |
az adatvédelmi tisztviselő kiléte és elérhetőségei | ✓ | ✓ |
az adatkezelés célja, valamint jogalapja | ✓ | ✓ |
jogos érdeken alapuló adatkezelés esetén az adatkezelő jogos érdeke | ✓ | ✓ |
az érintett személyes adatok kategóriái | X | ✓ |
a személyes adatok címzettjei, illetve a címzettek kategóriái | ✓ | ✓ |
a személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbításának ténye és a megfelelő és alkalmas garanciák megjelölése | ✓ | ✓ |
az adatkezelés időtartama | ✓ | ✓ |
érintetti jogok, ideértve a hatósági jogorvoslathoz való jogot is | ✓ | ✓ |
hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog | ✓ | ✓ |
a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e | X | ✓ |
a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, az érintett köteles-e a személyes adatokat megadni, milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása | ✓ | X |
automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír | ✓ | ✓ |
Az alábbi táblázat összefoglalja azokat az időpontokat, amikor az érintetteket tájékoztatni kell:
Mikor kell az információt megadni? | |
Érintettől gyűjtött személyes adat | a személyes adatok megszerzésének időpontjában |
Nem az érintettől gyűjtött személyes adat | a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belülha a személyes adatokat az érintettel való kapcsolattartás céljára használja a Társaság, legalább az érintettel való első kapcsolatfelvétel alkalmávalha várhatóan más címzettel is közli az adatokat a Társaság, legkésőbb a személyes adatok első alkalommal való közlésekor |
Az átláthatóság elve megköveteli, hogy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt a Társaság világos és közérthető nyelven fogalmazza meg. Az ilyen tájékoztatás nyújtható elektronikus formátumban is, így például közölhető a Társaság honlapján.
Az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. E jogát oly módon kell biztosítani, hogy az érintett más személy adatait ne ismerhesse meg.
A hozzáféréshez való jog érvényesülése érdekében az érintettet kérelmére a Társaság tájékoztatja arról, hogy személyes adatait maga a Társaság, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e.
Minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen
Ha a Társaság nagy mennyiségű információt kezel az érintettre vonatkozóan, kérheti az érintettet, hogy az információk közlését megelőzően pontosítsa, hogy kérése mely információkra vagy mely adatkezelési tevékenységekre vonatkozik.
A Társaságnak a tájékoztatást díjmentesen, indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől egy hónapon belül írásban postai úton, vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton kell megadnia.
A tájékoztatást a Társaság megtagadhatja, ha
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a Hatóságnál, és élhet bírósági jogorvoslati jogával.
A Társaság az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért a Társaság adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
A helyesbítéshez való jog érvényesülése érdekében a Társaság, ha az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat – különösen az érintett kérelmére – haladéktalanul pontosítja vagy helyesbíti, illetve ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti. A valóságnak nem megfelelő adatot a Társaság – amennyiben a szükséges adatok rendelkezésre állnak (pl. közhiteles nyilvántartásból) – köteles helyesbíteni.
Mentesül e kötelezettség alól a Társaság, ha
Ha a Társaság az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatokat helyesbíti, annak tényéről és a helyesbített személyes adatról tájékoztatja azt az adatfeldolgozót, amely részére a helyesbítéssel érintett személyes adatot továbbította.
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a Hatóságnál, és élhet bírósági jogorvoslati jogával.
A törléshez való jog érvényesítése érdekében a Társaság indokolatlan késedelem nélkül törli az érintett személyes adatait, ha
Ugyanakkor a személyes adatok törlésére irányadó fenti szabály nem alkalmazandó, ha az adatkezelés valamely jogi kötelezettségnek való megfelelés miatt, illetve jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
Ha a Társaság az általa, illetve a megbízásából vagy rendelkezése szerint eljáró adatfeldolgozó által kezelt személyes adatokat törli, ezen intézkedés tényéről és annak tartalmáról értesíti azon adatfeldolgozókat, amelyek részére az adatot ezen intézkedését megelőzően továbbította, annak érdekében, hogy azok a törlést a saját adatkezelésük tekintetében végrehajtsák.
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a Hatóságnál, és élhet bírósági jogorvoslati jogával.
A Társaság minden olyan címzettet tájékoztat a törlésről, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.
Az adatkezelés korlátozásához való jog érvényesülése érdekében a Társaság korlátozza az adatkezelést
és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását a törlés mellőzését megalapozó jogos érdek (pl. jogi igény előterjesztése) fennállásának időtartamára,
Az adatkezelés korlátozásának időtartama alatt a korlátozással érintett személyes adatokkal a Társaság, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett hozzájárulásával, az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint végezhet.
A Társaság az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
A személyes adatok kezelésének korlátozására alkalmazott módszerek közé tartozhat többek között a szóban forgó személyes adatoknak egy másik adatkezelő rendszerbe történő ideiglenes áthelyezése vagy a felhasználók számára való hozzáférhetőségük megszüntetése. Az adatkezelés korlátozását az automatizált nyilvántartási rendszerekben alapvetően technikai eszközökkel kell biztosítani, oly módon, hogy a személyes adatokon további adatkezelési műveleteket ne végezzenek el és azokat ne lehessen megváltoztatni. Azt a tényt, hogy a személyes adatok kezelése korlátozott, egyértelműen jelezni kell a rendszerben.
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a Hatóságnál, és élhet bírósági jogorvoslati jogával.
A Társaság minden olyan címzettet tájékoztat a korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja e címzettekről.
Ha a személyes adatok kezelése automatizált módon történik, az érintettek számára – a saját adataik feletti rendelkezés további erősítése érdekében – lehetővé kell tenni azt is, hogy az általuk a Társaság rendelkezésére bocsátott, rájuk vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapják, és azokat egy másik adatkezelő részére továbbítsák.
Egy dokumentum akkor tekinthető számítógéppel olvasható formátumú dokumentumnak, ha olyan fájlformátumú, amely lehetővé teszi a szoftveres alkalmazások számára, hogy a benne lévő egyedi adatokat könnyen azonosítsák, felismerjék és kinyerjék.
Az interoperabilitás az eltérő és különböző szervezetek együttműködési képessége a kölcsönösen hasznos és kölcsönösen megállapított közös célok érdekében, ideértve az információk és ismeretek megosztását a szervezetek között az általuk támogatott munkafolyamatokon keresztül, a saját IKT-rendszereik közötti adatcsere segítségével.
Ez a jog abban az esetben gyakorolható, ha az érintett a személyes adatokat a hozzájárulása alapján bocsátotta rendelkezésre, illetve ha az adatkezelés szerződés teljesítéséhez szükséges. E jog nem gyakorolható akkor, ha az adatkezelés jogalapja a hozzájárulástól vagy szerződéstől eltérő egyéb jogalap.
Ha egy adott személyes adatállomány egynél több érintettre vonatkozik, a személyes adatok megszerzéséhez való jog nem sértheti az egyéb érintettek jogait.
Az érintett jogosult arra, hogy az adatokat az adatkezelők egymás között közvetlenül továbbítsák, ha ez technikailag megvalósítható.
A Társaságnak a kérelmet díjmentesen, indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül teljesítenie kell.
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapno belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a Hatóságnál, és élhet bírósági jogorvoslati jogával.
Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetére vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre a Társaság vagy egy harmadik fél jogos érdekei alapján van szükség. Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
A Társaságnak a tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívnia annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
A Társaságnak a kérelmet díjmentesen, indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül teljesítenie kell.
Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a Hatóságnál, és élhet bírósági jogorvoslati jogával.
Ha a Társaság egyetért a tiltakozási kérelemmel, az adatkezelést megszünteti, és a tiltakozásról, illetve intézkedéséről értesíti mindazokat, akik részére korábban az adatokat továbbította.
Az érintett jogainak érvényesítése érdekében
A Hatóság az érintett panaszát csak abban az esetben vizsgálja ki, amennyiben a Hatóságnál tett bejelentését megelőzően már megkereste a Társaságot a bejelentésben megjelölt jogainak gyakorlásával kapcsolatban.
A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Levélcím: 1363 Budapest, Pf. 9
Telefon: +36 30 683-5969; +36 30 549-6838; +36 1 391 1400
Fax: +36 1 391-1410
E-mail: ugyfelszolgalat@naih.hu
Honlap: http://naih.hu
A Hatóság vizsgálati hatáskörében eljárva:
A Hatóság korrekciós hatáskörében eljárva:
A Hatósághoz forduláshoz való jog sérelme nélkül, az érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a Munkáltató a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli, illetve ha megítélése szerint személyes adatainak az Általános Adatvédelmi Rendeletnek nem megfelelő kezelése következtében megsértették az általános adatvédelmi rendelet szerinti jogait.
A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
Az érintett által a jogai gyakorlásával kapcsolatos levelet, amennyiben azt nem az adatvédelmi tisztviselőnek címezték, részére haladéktalanul továbbítani szükséges. Amennyiben a levél tartalmi beazonosítása kétséges, úgy azzal kapcsolatban ki kell kérni az adatvédelmi tisztviselő véleményét.
Az érintettet megillető jogokkal kapcsolatos igény érvényesítésének teljesítésére kizárólag az érintettek adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva, csak a kérelmező megfelelő azonosítása esetén van lehetőség.
Az adatvédelmi tisztviselő az érintett megkeresésére vonatkozó válaszlevél-tervezetet a legrövidebb időn belül, de legkésőbb a beérkezést követő 20 napon belül – jóváhagyás céljából – a Társaság adatvédelmi kapcsolattartója útján megküldi a Társaság vezető tisztségviselője részére. A jóváhagyott válaszlevelet az adatvédelmi tisztviselő megküldi az érintett részére.
Megalapozatlan vagy egy éven belüli azonos adatkörre vonatkozó kérelem esetén a Társaság díjat számíthat fel a kérelem teljesítésére tekintettel, vagy a kérelmet elutasíthatja. A költségtérítés mértékét a vezető tisztségviselő évente határozza meg, és intézkedik annak közzététele január 31-ig történő közzététele iránt.
A Társaság adatvédelmi kapcsolattartója, az adatvédelmi tisztviselő kérelmére, bedolgozást nyújt az érintetti igény érvényesítéssel kapcsolatos eljárásban, valamint a megalapozatlanságra, a túlzó jellegre alapított megtagadás, illetve a költségfelszámolás okának bizonyítása érdekében az eljárásra vonatkozó dokumentumokat bocsát rendelkezésére.
Az adatvédelmi tisztviselő feladata, hogy haladéktalanul értesítse a helyesbítés, a korlátozás és a törlés végrehajtásáról az érintettet, továbbá minden olyan címzettet, akinek az adatok adatkezelés céljából továbbításra kerültek.
Az érintett személyes adatai kezelésének megsértésével kapcsolatban indult bármely eljárásról az adatvédelmi kapcsolattartó értesíti az adatvédelmi tisztviselőt. A Társaság a bizonyítási eljáráshoz szükséges minden lényeges adatot, információt – különösen szabályzatot, naplóbejegyzést – a Társaságot képviselő személy részére rendelkezésre bocsát. Az eljárással kapcsolatos feladatokat az adatvédelmi tisztviselő koordinálja.
A Társaság az érintetti kérelmekről az 1. melléklet szerint nyilvántartást vezet.
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna (pl. befolyásolja szerződéses jogait) vagy őt hasonlóképpen jelentős mértékben érintené (pl. e-toborzás történik humán beavatkozás nélkül). E szabály nem alkalmazandó abban az esetben, ha a döntés:
Ha az automatizált döntéshozatal az érintett és a Társaság közötti szerződés megkötése vagy teljesítése érdekében szükséges, illetve az érintett kifejezett hozzájárulásán alapul, a Társaság köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy a Társaság részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
Az alábbi táblázat összegzi a profilalkotás és az automatizált döntéshozatal közötti eltéréseket:
Profilalkotás | Automatizált döntéshozatal |
Személyes jellemzők automatizált értékelése, amelyet az egyén értékelésére, viselkedésének előrejelzésére használnak | Kizárólag automatizált folyamatban hozott, joghatással járó döntés is születik a profilalkotáson túl |
Adatvédelmi hatásvizsgálatAdatvédelmi tisztviselő szakmai tanácsaTájékoztatás a profilalkotás módszeréről | Adatvédelmi hatásvizsgálatAdatvédelmi tisztviselő szakmai tanácsaTájékoztatás a profilalkotás módszerérőlJogalap kifejezett hozzájárulás, szerződés vagy jogszabály |
Beskatulyáz és valaki ebből esetleg következtetéseket von le | A beskatulyázásnak gépi úton megállapított (kikalkulált) következménye van |
Automatizált döntéshozatal esetében – ideértve a profilalkotást is – a Társaságnak adatvédelmi hatásvizsgálatot kell végeznie.
A Társaság elláthat adatfeldolgozói tevékenységet, és az adatkezelési tevékenységeihez adatfeldolgozót vehet igénybe. Az adatfeldolgozási tevékenységet szerződésben kell rögzíteni. Az adatfeldolgozásra vonatkozó szerződés előkészítésébe az adatvédelmi tisztviselőt be kell vonni.
Ha a Társaság adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az Általános Adatvédelmi Rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.
Az adatfeldolgozó a Társaság előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja a Társaságot minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget a Társaságnak arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
A Társaság kötelezettségei teljesítésének bizonyítására felhasználható, ha az adatfeldolgozó csatlakozik valamelyik jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz.
Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti az adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is.
Az alábbi táblázat összegzi azokat a tartalmi követelményeket, amelyeket az adatfeldolgozói szerződésben rögzíteni kell:
Tartalmi elemek | |
Kötelezően feltüntetendő adatok | az adatfeldolgozás tárgya és időtartama |
az adatfeldolgozás jellege és célja | |
az adatfeldolgozással érintett személyes adatok típusa, az érintettek kategóriái | |
az adatkezelő jogai és kötelezettségei | |
Kötelező szerződési feltételek | az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli |
az adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak | |
az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja | |
az adatfeldolgozó kizárólag az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása alapján vehet igénybe további adatfeldolgozót | |
az adatfeldolgozó köteles együttműködni az adatkezelővel az adatalanyi jogok gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében | |
az adatfeldolgozó köteles segíteni az adatkezelőt kötelezettségeinek (adatbiztonság, adatvédelmi incidenskezelés, adatvédelmi hatásvizsgálat) teljesítésében | |
az adatfeldolgozó az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat | |
az adatkezelő rendelkezésére bocsát minden olyan információt, amely az Általános Adatvédelmi Rendelet 28. cikkében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is | |
Adatfeldolgozó közvetlen felelőssége | az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli |
az adatfeldolgozó kizárólag az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása alapján vehet igénybe további adatfeldolgozót | |
az adatfeldolgozó feladatai végrehajtása során a felügyeleti hatósággal – annak megkeresése alapján – együttműködik | |
az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja | |
az adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról | |
az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek (rendezni kell az incidenskezelési gyakorlatot) | |
az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki az Általános Adatvédelmi Rendeletben előírt esetekben | |
ha az adatfeldolgozó az Általános Adatvédelmi Rendelet 28. cikkét sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni | |
Egyéb szerződéses feltételek | az adatfeldolgozó alanya lehet a felügyeleti hatóság vizsgálati/korrekciós hatáskörében lefolytatott eljárásának |
az adatfeldolgozó közigazgatási bírsággal sújtható, ha megsérti az Általános Adatvédelmi Rendelet előírásait | |
az adatfeldolgozóval szemben az Általános Adatvédelmi Rendelet megsértése esetén további szankciók is alkalmazhatók | |
az adatfeldolgozó felelősséggel tartozik az adatkezelés által okozott károkért, ha nem tartotta be az Általános Adatvédelmi Rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el | |
az Általános Adatvédelmi Rendelet megszegéséből eredő felelősségi és kártalanítási szabályokat szerződésben kell rögzíteni |
Az adatkezelésnek a Társaság nevében való elvégzését követően az adatfeldolgozó a Társaság választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy nemzeti jog előírja azok tárolását.
A biztonság fenntartása és az Általános Adatvédelmi Rendeletet sértő adatkezelés megelőzése érdekében a Társaság vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat (például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés) mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.
Minden adatkezelő – így a Társaság is – és adatfeldolgozó az Általános Adatvédelmi Rendeletnek való megfelelés bizonyítása érdekében nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről. Az adatkezelő és az adatfeldolgozó köteles a Hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.
Az adatkezelői nyilvántartásban a Társaság rögzíti:
Az adatfeldolgozói nyilvántartásban az adatfeldolgozó rögzíti:
A Társaság az adatkezeléseiről a 2-3. mellékletben meghatározott nyilvántartásokat vezet. E nyilvántartásokat a Hatóság kérésére be kell mutatni.
A természetes személyeket személyes adataik kezelése tekintetében megillető jogok és szabadságok védelme megköveteli az Általános Adatvédelmi Rendelet követelményeinek teljesítését biztosító megfelelő technikai és szervezési intézkedések meghozatalát. Ahhoz, hogy a Társaság igazolni tudja az Általános Adatvédelmi Rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit.
Az említett intézkedések magukban foglalhatják
A Társaság a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az Általános Adatvédelmi Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
A Társaság megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
A jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy a Társaság teljesíti a beépített és alapértelmezett adatvédelem követelményeit.
Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával.
Az adatvédelmi hatásvizsgálatra vonatkozó előírások be nem tartása esetén a Hatóság bírságot szabhat ki. Amennyiben az adatkezelést kötelező adatvédelmi hatásvizsgálatnak alávetni, annak elmulasztása, helytelen elvégzése, vagy szükség esetén a Hatósággal való egyeztetés elmulasztása közigazgatási bírsággal sújtható, amelynek összege legfeljebb 10 millió euró, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-a; a kettő közül a magasabb összeget kell kiszabni.
Az Általános Adatvédelmi Rendelet arra kötelezi az adatkezelőket, hogy a rendelkezései betartásának biztosítása és bizonyítása céljából hajtsanak végre megfelelő intézkedéseket, többek között a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével. Az adatkezelőknek az adatvédelmi hatásvizsgálat elvégzésére vonatkozó kötelezettségét a személyes adatok kezeléséből eredő kockázatok megfelelő kezelésére vonatkozó általános kötelezettséggel összefüggésben kell értelmezni.
A „kockázat” olyan eshetőség, amely a súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit. A „kockázatkezelés” viszont a Társaság kockázati vonatkozású irányítására és ellenőrzésére szolgáló összehangolt tevékenységek összességeként határozható meg.
Az érintettek jogaira és szabadságaira való utalás elsősorban az adatvédelemhez és a magánélet tiszteletben tartásához való joghoz kapcsolódik, de érinthet más alapvető jogokat, úgymint a szólásszabadságot, a gondolatszabadságot, a mozgás szabadságát, a hátrányos megkülönböztetés tilalmát, a szabadsághoz való jogot, valamint a lelkiismereti és vallásszabadságot is.
Az adatvédelmi hatásvizsgálatok azoknak az új helyzeteknek a módszeres elemzésére irányulnak, amelyek a természetes személyek jogaira és szabadságaira nézve magas kockázattal járhatnak, ezért a már vizsgált esetekben (vagyis meghatározott körülmények között és konkrét céllal végzett adatkezelési műveletnél) nincs szükség adatvédelmi hatásvizsgálatra.
A kockázatalapú megközelítéssel összhangban nem mindegyik adatkezelési művelet esetében kötelező adatvédelmi hatásvizsgálatot végezni. Ehelyett csak akkor van szükség adatvédelmi hatásvizsgálatra, ha az adatkezelés valamely fajtája valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
A Társaságnak folyamatosan értékelnie kell az adatkezelési tevékenységeikből eredő kockázatokat, hogy felismerje, ha az adatkezelés valamely fajtája valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
Adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
Előfordulhatnak olyan magas kockázatú adatkezelési műveletek, amelyek ugyan nem szerepelnek a felsorolásban, mégis hasonlóan nagy kockázattal járnak. Az ilyen adatkezelési műveletek esetében szintén adatvédelmi hatásvizsgálatot kell végezni.
Az alábbiakban összegzett szempontoknak megfelelő adatkezelés esetében lehet szükséges az adatvédelmi hatásvizsgálat elvégzése. Minél több szempontnak felel meg az adatkezelés, annál nagyobb a valószínűsége annak, hogy magas kockázattal jár az érintettek jogaira és szabadságaira nézve.
Értékelés vagy pontozás, ideértve a profilalkotást is | különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján |
Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal | adatkezelés, amelynek célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala 🡪 az adatkezelés adott esetben például egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti |
Módszeres megfigyelés | érintettek megfigyelése, nyomon követése vagy ellenőrzése céljából végzett adatkezelés, többek között a hálózatokon keresztüli adatgyűjtés vagy a nyilvános helyek nagymértékű, módszeres megfigyelése 🡪 az ilyen jellegű megfigyelés azért tartozik a figyelembe veendő szempontok közé, mivel a személyes adatok gyűjtése olyan körülmények között folyhat, ahol előfordulhat, hogy az érintettek nem tudják, ki gyűjti és hogyan használja fel adataikat |
Különleges adatok vagy fokozottan személyes jellegű adatok | bizonyos adatkategóriák tekinthetők úgy, hogy fokozzák az egyének jogait és szabadságait érintő lehetséges kockázatokat 🡪 ezek a személyes adatok különlegesnek minősülhetnek, mivel otthoni vagy magánjellegű tevékenységekhez kapcsolódnak (például elektronikus hírközlési tevékenységekhez, amelyek bizalmassága védendő), kihatnak valamely alapvető jog gyakorlására (például helymeghatározó adatok, amelyek gyűjtése megkérdőjelezi a mozgás szabadságát), vagy az őket érintő jogsértések egyértelműen súlyos hatást gyakorolnak az érintett mindennapi életére (például pénzügyi adatok, amelyek csalásra használhatók) |
Nagy számban kezelt adatok | az alábbi tényezőket kell figyelembe venni annak megállapításakor, hogy az adatkezelés nagy számban történik-e:a) az érintettek száma konkrét számadatként vagy a lakosság arányábanb) a kezelt adatok mennyisége vagy adatfajták körec) az adatkezelési tevékenység időtartama vagy állandó jelleged) az adatkezelési tevékenység földrajzi kiterjedése |
Adatkészletek egymással való megfeleltetése vagy összevonása | például két vagy több, különböző célokból, illetve eltérő adatkezelők által végzett adatkezelési műveletből származó adatokkal, az érintett észszerű elvárásait meghaladó módon |
Új technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása | az ilyen technológiák használatához újfajta adatgyűjtési és felhasználási formák kapcsolódhatnak, ami magas kockázattal járhat az egyének jogaira és szabadságaira nézve 🡪 az új technológiák bevezetésének személyes és társadalmi következményei tehát beláthatatlanok lehetnek 🡪 az adatvédelmi hatásvizsgálat révén az adatkezelő megismerheti és orvosolhatja az ilyen jellegű kockázatokat |
Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok | az ilyen jellegű adatok kezelése azért tartozik a figyelembe veendő szempontok közé, mivel nincs hatalmi egyensúly az érintettek és az adatkezelő között, ami azt jelenti, hogy az egyének adott esetben nem tudják adataik kezelését könnyen engedélyezni vagy ellenezni, illetve nem tudják a jogaikat gyakorolni 🡪 a kiszolgáltatott helyzetben lévő érintettek közé sorolhatók a gyermekek, a munkavállalók, a lakosság különleges védelmet igénylő, kiszolgáltatottabb helyzetben lévő rétegei, valamint az egyének minden olyan esetben, amikor az érintett és az adatkezelő közötti kapcsolatban egyenlőtlen helyzet alakul ki |
Az adatkezelés önmagában véve megakadályozza, hogy az érintetteka jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződéstérvényesítsenek | ide tartoznak az érintettek számára szolgáltatás igénybevételének vagy szerződéskötésnek a lehetővé tételére, módosítására vagy elutasítására irányuló adatkezelési műveletek |
Előfordulhat, hogy egy adatkezelési művelet ugyan megfelel a fent ismertetett esetek egyikének, a Társaság azonban mégsem úgy ítéli meg, hogy valószínűsíthetően magas kockázattal jár. Ilyenkor a Társaságnak indokolnia és dokumentumokkal igazolnia kell az adatvédelmi hatásvizsgálat mellőzésének okait, és ezzel összefüggésben az adatvédelmi tisztviselő álláspontját is közölnie/rögzítenie kell.
A következő esetekben nincs szükség adatvédelmi hatásvizsgálat elvégzésére:
Az adatvédelmi hatásvizsgálat elvégzésére vonatkozó követelmény azokra a folyamatban lévő adatkezelési műveletekre vonatkozik, amelyeknél valószínűsíthető, hogy magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, és amelyek esetében megváltoztak a kockázatok, figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljára.
Az adatvédelmi hatásvizsgálatot érdemes folyamatosan – legalább évente – felülvizsgálni, és rendszeresen újraértékelni.
Az adatvédelmi hatásvizsgálatot az adatkezelést megelőzően kell elvégezni. Ez összhangban van a beépített adatvédelem és az alapértelmezett adatvédelem elvével.
Az adatvédelmi hatásvizsgálatot az adatkezeléssel kapcsolatos döntések meghozatalát segítő eszköznek kell tekinteni.
Az adatvédelmi hatásvizsgálatot az adatkezelési művelet kialakítása során a lehető leghamarabb meg kell kezdeni, akkor is, ha az adatkezelési műveletek egy része még nem ismert. A projekt időtartama alatt az adatvédelmi hatásvizsgálat folyamatos aktualizálásával biztosítható az adatvédelem és a magánélet figyelembevétele, és ösztönözhető az előírások betartását előmozdító megoldások kidolgozása. Előfordulhat, hogy a kidolgozási folyamat előrehaladásával meg kell ismételni a hatásvizsgálat egyes lépéseit, mivel bizonyos technikai és szervezési intézkedések kiválasztása befolyásolhatja az adatkezelésből eredő kockázatok súlyosságát vagy valószínűségét.
Az adatvédelmi hatásvizsgálatot nem egyetlen alkalommal, hanem folyamatosan kell végezni.
A Társaságnak kell gondoskodnia arról, hogy az adatvédelmi hatásvizsgálatot elvégezzék. Az adatvédelmi hatásvizsgálatot elvégezheti a szervezeten belül vagy kívül más is, de a Társaságot terheli végső felelősség e feladat teljesítéséért.
A Társaságnak az adatvédelmi tisztviselő tanácsát is ki kell kérnie, a kapott tanácsokat és a Társaság által hozott döntéseket pedig írásba kell foglalni az adatvédelmi hatásvizsgálat során. Az adatvédelmi tisztviselőnek emellett nyomon kell követnie a hatásvizsgálatot.
Ha az adatkezelést teljes egészében vagy részben adatfeldolgozó végzi, segítenie kell a Társaságot az adatvédelmi hatásvizsgálat lefolytatásában, és közölnie kell a szükséges információkat.
Az Általános Adatvédelmi Rendelet meghatározza az adatvédelmi hatásvizsgálat alapvető jellemzőit:
Az alábbi ábra az adatvédelmi hatásvizsgálat elvégzésének általános, ismétlődő folyamatát szemlélteti:
A kockázatkezelés szempontjából az adatvédelmi hatásvizsgálat célja, hogy a természetes személyek jogait és szabadságait érintő kockázatokat kezelje a következő eljárások felhasználásával:
Amennyiben a Társaság nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére (tehát a fennmaradó kockázatok továbbra is jelentősek), akkor kötelező konzultálni a Hatósággal.
Az adatvédelmi incidens egyfajta biztonsági incidens. Minden adatvédelmi incidens biztonsági incidens, de nem minden biztonsági incidens adatvédelmi incidens. Ez azt jelenti, hogy a biztonság megsértése akkor minősül személyes adatok megsértésének, amikor a megsértett adatok személyes adatok.
Az adatvédelmi incidens típusai:
A körülményektől függően a személyes adatok megsértése a titkossággal, az adatok hozzáférhetőségével, valamint sértetlenségével is kapcsolatos lehet egyidejűleg, illetve előfordulhat ezek bármelyikének kombinációja.
Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában
okozhat a természetes személyeknek, többek között
Következésképpen, amint a Társaság mint adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles a Hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
Az érintettet a Társaság mint adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. A tájékoztatásnak tartalmaznia kell
Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a Hatósággal, és betartva az általa vagy más érintett hatóságok, például bűnüldöző hatóságok által adott útmutatást. Például, ha az érintettek sürgős tájékoztatása a kár közvetlen veszélyének mérsékléséhez szükséges.
Azt, hogy az értesítésre indokolatlan késedelem nélkül került-e sor, különösen
figyelemmel kell megállapítani.
A Hatóságnak történt bejelentés a Hatóságnak az Általános Adatvédelmi Rendeletben meghatározott feladataival és hatásköreivel összhangban történő beavatkozását eredményezheti.
A Hatóság adatvédelmi incidens bejelentő rendszerébe a Társaságot az adatvédelmi tisztviselő regisztrálja.
Adatvédelmi incidens gyanúja esetén haladéktalanul értesíteni kell az adatvédelmi tisztviselőt és az elektronikus információs rendszer biztonságáért felelős személyt. Ha az adatvédelmi incidens az adatfeldolgozót is érinti, az adatvédelmi tisztviselő egyeztet az adatfeldolgozó képviselőjével a felmerülő kockázatokról és azok esélyeiről.
Az adatvédelmi tisztviselő és az elektronikus információs rendszer biztonságáért felelős személy haladéktalanul megvizsgálja, hogy
Az adatvédelmi tisztviselő és az elektronikus információs rendszer biztonságáért felelős személy az elvégzett elemzés alapján dönt
Amennyiben az adatvédelmi tisztviselő és az elektronikus információs rendszer biztonságáért felelős személy az eseményt adatvédelmi incidensként értékeli, úgy dönt annak alacsony, közepes vagy magas kockázatáról. E személyek a döntésről az adatvédelmi incidens bekövetkeztéről való tudomásszerzést követő 24 órán belül értesítik a Társaság vezető tisztségviselőjét.
Az adatvédelmi incidens kockázata
Alacsony kockázatú adatvédelmi incidenst kizárólag az adatvédelmi incidens nyilvántartásban szükséges rögzíteni.
Ha az adatvédelmi incidens közepes vagy magas kockázatú, az adatvédelmi tisztviselő és az elektronikus információs rendszer biztonságáért felelős személy javaslatot tesz a Társaság részére az adatvédelmi incidens következményeinek mérséklését célzó intézkedésekre. Ezekben az esetekben az adatvédelmi incidenst az adatvédelmi tisztviselő a Társaság tudomásszerzésétől számított 72 órán belül bejelenti a Hatóság részére annak incidensbejelentő rendszerén keresztül. Magas kockázatú adatvédelmi incidens bekövetkeztéről az érintetteket – a megfelelő intézkedés megtétele céljából – tájékoztatni kell. A tájékoztatás megtételéről az adatvédelmi tisztviselő gondoskodik.
Ha a közvetlen tájékoztatás lehetetlen, vagy aránytalan nehézségbe ütközik, a tájékoztatást egyéb módon kell megtenni, különösen az adatkezelő honlapján vagy a helyben szokásos hirdetményi úton.
Az adatvédelmi tisztviselő és az elektronikus információs rendszer biztonságáért felelős személy a tevékenységéről dokumentációt vezet, amelyben részletesen rögzíti a döntések alapjait, körülményeit.
A Társaság az adatvédelmi incidensekről a 4. melléklet szerinti formában nyilvántartást vezet.
A Társaság részére adatvédelmi tisztviselő kijelölése kötelező tekintettel arra, hogy a személyes adatok kezelése nagymértékű, illetve nagy számban történik.
Az adatvédelmi tisztviselő lehet a Társaság alkalmazottja, vagy szolgáltatási szerződés keretében láthatja el a feladatait.
Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a tisztviselői feladatok ellátására való alkalmasság alapján kell kijelölni. A szakértői ismeretek szükséges szintjét a Társaság által végzett adatkezelés, valamint az általa kezelendő személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni.
Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a Hatósággal közli.
A Társaság biztosítja, hogy
A Társaság támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
A Társaság biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. A Társaság az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül a Társaság legfelső vezetésének tartozik felelősséggel.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy nemzeti jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Az adatvédelmi tisztviselő más feladatokat is elláthat. A Társaság biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség. Ez különösen azt jelenti, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit.
Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
Személyes adatot Magyarországon belül, az EGT-államba, valamint az Európai Unió működéséről szóló szerződés V. címének 4. és 5. fejezete szerint létrehozott ügynökségek, hivatalok és szervek részére továbbítani csak a jelen Szabályzatban meghatározott valamely jogalap alapján lehet.
Az EGT-államba, valamint az Európai Unió működéséről szóló szerződés V. címének 4. és 5. fejezete szerint létrehozott ügynökségek, hivatalok és szervek részére irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
Az adatvédelmi tisztviselő szakmai véleményét ki kell kérni az adatközlést, adattovábbítást megelőzően, kivéve azokat az adatközléseket, adattovábbításokat, amelyeket jogszabály kötelezően előír.
Személyes adatot a Társaság harmadik országban, továbbá nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó részére akkor továbbíthat, ideértve a közvetett adattovábbítást is, (a továbbiakban együtt: nemzetközi adattovábbítás), ha
A személyes adatok megfelelő szintű védelmét – az ellenkező bizonyításáig – biztosítottnak kell tekinteni, ha
Ilyen megfelelő garanciák lehetnek például:
Ha a személyes adatok megfelelő szintű védelme nem vélelmezhető, nemzetközi adattovábbítás kizárólag abban az esetben lehetséges, ha
Az adatvédelmi tisztviselő szakmai véleményét ki kell kérni az adatközlést, adattovábbítást megelőzően, kivéve azokat az adatközléseket, adattovábbításokat, amelyeket jogszabály kötelezően előír.
A Társaság a kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető – így különösen az érintettek különleges adatainak kezelésével járó – kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz.
A kockázatok mértékéhez igazodó műszaki és szervezési intézkedések kialakítása és végrehajtása során a Társaság figyelembe veszi az adatkezelés összes körülményét, így különösen a tudomány és a technológia mindenkori állását, az intézkedések megvalósításának költségeit, az adatkezelés jellegét, hatókörét és céljait, továbbá az érintettek jogainak érvényesülésére az adatkezelés által jelentett változó valószínűségű és súlyosságú kockázatokat.
A Társaság meghatározott intézkedésekkel biztosítja különösen:
A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében biztosítani kell, hogy e külön nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
Az alábbi táblázat összegzi azokat az indokolt adatbiztonsági kontrollokat, amelyeket a személyes adatok biztonsága érdekében biztosítani kell:
Megelőző | Észlelő | Reagáló/Korrekciós | |
Szervezeti/adminisztratív | szabályozásfelelősök kijelöléstudatosítás | Megfelelőség nyomon követése | BCP és DRP szabálytalanságok kezelése |
Fizikai | hozzáférés korlátozás (végponthoz, hálózathoz, adathordozóhoz)kontrollált beléptetése | fizikai őrzésmonitoringtűzjelzés, vízjelzés | oltóberendezésektartalék áramforrásgeoredundancia |
Határvédelem | Tűzfal, IPS, VPNmalware védelemredundáns architektúratartalomszűrés | malware védelemsérülékenységi vizsgálat | DDos védelemincidenskezelés |
Hálózat | titkosított továbbítászónázásredundáns architektúra | SIEM | Tartalékútvonal |
Végpont | felhasználó hitelesítésmalware védelem | integritásvédelemmalware védelem | Tartalék eszközökbiztonsági javítások telepítése |
Alkalmazás | biztonságos fejlesztésWAFbiztonságos konfiguráció | SIEMsérülékenység-vizsgálat | biztonsági javítások telepítése |
Adat | biztonsági mentésjogosultságkezelésadatvagyon leltár | hozzáférés monitorozásDLP | helyreállás mentésbőlincidensbejelentés |
Az informatikai adatbiztonsági előírások részletes meghatározását külön szabályzat, az Információbiztonsági Szabályzat tartalmazza.
A Társaság adatvédelmi tisztviselője évente adatvédelem témakörben oktatást tart a Társaság személyi állománya részére.
A Társaság személyi állománya az oktatáson és az oktatást követő vizsgán köteles részt venni.
BDS Consulting Kft.
Adószám: 24072315-2-20
Cégjegyzékszám: 20 09 077568
Szeretné jobban megismerni az OVIFON szolgáltatásait? Kattintson a gombra és kérje ingyenes bemutatónkat!
Vélemény, hozzászólás?