Adatkezelő megnevezése:  Nemzetközi Testőr Biztonságszolgálati Kft.

Adatkezelő cégjegyzékszáma: 01-09-067210

Adatkezelő adószáma:  10386921-2-42

Adatkezelő székhelye:    1073 Budapest, Erzsébet krt. 28. I./2.

Adatkezelő elérhetősége:  info@testorkft.hu

Adatkezelő önálló cégjegyzésre jogosult képviselői:    Dr. Aszalós Enikő Klára, Páll Tibor

Adatvédelmi tisztviselő: Janiszewski Regő

Adatvédelmi tisztviselő elérhetősége:  janiszewski.rego@testorkft.hu

1.       Bevezető rendelkezések

1.1. A Szabályzatban használt rövidítések:

GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

Infotv.: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

Társaság vagy Adatkezelő: Nemzetközi Testőr Biztonságszolgálati Kft.

NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság

1.2. Bár a GDPR a Társaság számára kifejezetten adatvédelmi szabályzatalkotási kötelezettséget nem ír elő, ám a GDPR 24. cikk (2) bekezdése és (78) preambulumbekezdése, valamint a NAIH NAIH/2018/1212/2/K és NAIH/2018/1594/2/K ügyszámú adatvédelmi reformmal kapcsolatos állásfoglalásai alapján a Társaság úgy döntött, hogy a nagyszámú adatkezelési tevékenysége okán a belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából jelen Adatvédelmi és adatbiztonsági szabályzatban (a továbbiakban: Szabályzat) határozza meg az adatvédelmi és adatbiztonsági szabályait.

1.3. A Szabályzat rendelkezéseit a Társaság többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent e Szabályzat és bármely más, jelen Szabályzat hatálybalépése előtt hatályba lépett szabályzat, utasítás előírásai között, úgy abban az esetben e Szabályzat rendelkezései az irányadóak. 

1.4. Amennyiben ellentmondás áll fent e Szabályzat és bármely más, jelen Szabályzat hatálybalépése után hatályba lépő szabályzat vagy utasítás előírásai között, úgy csak abban az esetben nem e Szabályzat rendelkezései az irányadóak, ha a később hatályba lépő szabályzat vagy utasítás arról kifejezetten rendelkezik.

2.       Fogalmak

A Szabályzatban használt fogalmak megegyeznek a GDPR 4. cikkében meghatározott értelmező fogalommagyarázatokkal, figyelemmel az Infotv. 2. § (2) bekezdésében foglaltakra.

• Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.).; 
• Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.).;
• Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokra, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.).;
• Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.).;
• Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.).;
• Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.).;
• Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:
• tájékoztatás joga, 
• hozzáférési jog,
• helyesbítéshez való jog,
• törléshez való jog,
• adatkezelés korlátozhatóságához való jog,
• adathordozhatósághoz való jog,
• tiltakozáshoz való jog.;
• Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés).;
• Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.).;
• Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.).;
• Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.).;
• Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.).;
• Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.).;
• Adatkezelés korlátozásához való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
4. az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. [GDPR 18. cikk. (1)].

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.).;

• Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.).; 
• Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.).;
• Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.).;
• Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.).;
• Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.).;
• EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.).;
• Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.).;
• Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.).;
• Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.).;
• Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.).;
• Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.).;
• A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása: 1) adattovábbítás megfelelőségi határozat alapján, 2) adattovábbítás megfelelő garanciák alapján, 3) megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR által biztosított” az eltérés lehetősége különös helyzetekben alapján történhet (GDPR 44-50. cikk).; 
• Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.).;
• Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.).;
• Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is (GDPR 4. cikk 18.).;
• Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások (GDPR 4. cikk 19.).;
• Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.).;

(Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében a GDPR-ban, valamint az Infotv-ben meghatározottak szerint a NAIH gyakorolja.)

• Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
• az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,
• az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy 
• panaszt nyújtottak be az említett felügyeleti hatósághoz (GDPR 4. cikk 22.).;
• Személyes adatok határokon átnyúló adatkezelése:
• személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

b)   személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket (GDPR 4. cikk 23.).;

• Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.).;
• Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.).

Amennyiben a mindenkori hatályos adatvédelmi jogszabály (jelen Szabályzat megalkotásakor a GDPR és az Infotv.) fogalommagyarázatai eltérnek jelen Szabályzat fogalommagyarázataitól, akkor a jogszabályok által meghatározott fogalmak az irányadók.

3.       Az alkalmazandó jogszabályok kijelölése

A GDPR az Európai Parlament és a Tanács rendelete, amely így teljes egészében kötelező és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamban, így Magyarországon is.

Magyarország Alaptörvényének E) cikke kimondja, hogy az Európai Unió joga megállapíthat általánosan kötelező magatartási szabályt, így a Szabályzat megalkotása és alkalmazása során a szabályok elsődlegesen a GDPR-ból fakadnak.

Abban az esetben, ha a GDPR szabályainak megfelelő módon magyar jogszabály – elsősorban az Infotv., de speciális adatkezelések esetében ágazati jogszabályok – részletszabályokat alkot meg, akkor a Társaság ezeket a szabályokat is alkalmazza.

Abban az esetben, amennyiben az adatkezelés nem esik a GDPR hatálya alá, úgy az Infotv. 2. § (4) bekezdésében meghatározott rendelkezéseket kell alkalmaznia az Adatkezelőnek. Az Adatkezelő ilyen esetekben a GDPR 4. cikke, II-VI., és VIII-IX. fejezetei, az Infotv. hivatkozott rendelkezései és az ágazati jogszabály rendelkezéseire tekintettel jár el.

4.       A szabályzat célja és hatálya

A Társaság a Szabályzat megalkotásával és elérhetővé tételével biztosítja a GDPR III. fejezetében meghatározott érintetti jogokat azzal, hogy meghatározza az adatvédelmi elvek gyakorlati megvalósulását és a Társaság által folytatott adatvédelmi folyamatokat. A Szabályzat meghatározza a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott személyes adatokat, azok forrását, az adatkezelés célját, jogalapját, időtartamát, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevét, címét és az adatkezeléssel összefüggő tevékenységét, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapját és címzettjét.

A Szabályzat további célja, hogy egységes szerkezetbe foglalja a Társaságnál az adatkezelésben résztvevő dolgozók számára a Társaság minden adatkezelési folyamatát.

A Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

A Szabályzat személyi hatálya kiterjed minden olyan személyre, aki a Társasággal fennálló, így különösen munka-, adatfeldolgozói-, megbízási jogviszonya alapján (továbbiakban: a Társaság munkatársa) személyes adatokhoz hozzáfér, vagy azok birtokába jut. 

A Szabályzat tárgyi hatálya kiterjed a Társaságban megvalósuló minden folyamatra, melynek során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése történik.

A jelen Szabályzat időbeli hatálya annak kihirdetésétől visszavonásáig tart. Jelen Szabályzat hatályba lépésével egyidejűleg a 2013. szeptember 1. napjától hatályos Adatvédelmi és adatbiztonsági szabályzat hatályát veszti.

5.       Az adatkezelés elvei

5.1. A Társaság az adatkezelés során az alábbi alapelvek alapján szervezi folyamatait:

5.1.1. jogszerűség, tisztességes eljárás és átláthatóság elve [GDPR 5. cikk (1) a)]: A Társaság személyes adatot csak jogszerűen és tisztességesen kezel, az adatkezelést az érintett számára átlátható módon, többek között jelen Szabályzat törzsszövegéből és egyes releváns adatkezelési tevékenységre készített adatkezelési tájékoztató nyilvánosságra hozatalával végzi.

5.1.2. célhoz kötöttség elve [GDPR 5. cikk (1) b)]: a Társaság minden esetben, ha személyes adatot kezel, az adat felvétele előtt meghatározza a személyes adat kezelésének célját, amely így előre meghatározott, egyértelmű és jogszerű. Személyes adatot a Társaság az előre meghatározott céllal össze nem egyeztethető módon nem kezel. Amennyiben teljesült az adatkezelés célja és jogszabály nem írja elő kötelezően az adat további kezelését, úgy a személyes adatot a Társaság törli.

5.1.3. adattakarékosság elve [GDPR 5. cikk (1) c)]: a Társaság az adatkezelés során csak olyan személyes adatot kezel, amely a cél eléréséhez megfelelő és releváns, a Társaság az adatkezelést csak a cél eléréséhez szükséges minimum adatmennyiségre korlátozza.

5.1.4. pontosság elve [GDPR 5. cikk (1) d)]: a Társaság törekszik rá, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek és a jelen Szabályzatba foglalt módon törekszik rá, hogy a pontatlan személyes adatokat haladéktalanul törölje vagy – az érintett kérelmére vagy tudomására jutása esetén saját hatáskörben – helyesbítse.

5.1.5. korlátozott tárolhatóság elve [GDPR 5. cikk (1) e)]: a Társaság személyes adatot csak úgy tárol, hogy a személyes adat érintettje csak az adatkezelés céljának eléréséig azonosítható az adatkezelés során, a személyes adatok ennél hosszabb ideig történő tárolását csak jogszabály kötelező előírása alapján végzi a Társaság. 

5.1.6. integritás és bizalmasság elve [GDPR 5. cikk (1) f)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet.

5.1.7. elszámoltathatóság elve [GDPR 5. cikk (2)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy az adatkezelés bármely pillanatában képes legyen a jelen pontba foglalt elveknek való megfelelést igazolni.

6.       Az adatkezelések szabályai

6.1. Alapvetések

6.1.1. A Társaság kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

6.1.2. A Társaság személyes adatot csak és kizárólag a GDPR 6. cikkében foglalt jogalapokkal, személyes adatok különleges kategóriáiba tartozó személyes adatot csak és kizárólag a GDPR 9. cikk (2) bekezdésében rögzített feltétel fennállása mellett kezel. 

6.1.3. A konkrét adatkezelési folyamattal érintett jogosultság vagy kötelezettség keletkezhet a Társaság, az érintett vagy harmadik fél oldalán is. 

6.1.4. A Társaság kezelésében lévő személyes adat az adatkezelés során mindaddig megőrzi személyes adat minőségét, amíg belőle az érintett azonosított vagy azonosítható. A Társaság akkor tekint egy adatot személyes adatnak, amennyiben rendelkezik azzal a technikai feltétellel, amely segítségével képes az adatból azonosítani az érintettet.

6.1.5. A Társaság csak úgy folytat adatkezelést, hogy az minden szakaszában megfelel az adatkezelési célnak.

6.1.6. A Társaság jelen Szabályzat vagy a konkrét adatkezelési folyamatleírás és tájékoztatás nyilvánosságra hozatalával minden esetben közli az érintettel az adatkezelés célját, az adatkezelés jogalapját, valamint az adatkezeléssel kapcsolatos, a GDPR 13-14. cikkében meghatározott tényeket.

6.1.7. A Társaság munkaszervezési, fizikai, informatikai és jogosultságkezelési eszközökkel gondoskodik arról, hogy illetéktelen személyek a személyes adatokat ne ismerhessék meg.

6.1.8. A Társaság munkatársai és az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek munkatársai és megbízottjai (alvállalkozói) kötelesek az adatkezelés során megismert személyes adatokat titokként megőrizni.

6.2. A személyes adatokkal kapcsolatos titoktartási szabályok

6.2.1. A személyes adatok egyetlen része vagy töredéke sem tehető közzé, nem bocsátható rendelkezésre vagy nem tárható fel semmilyen módon harmadik személy előtt, kivéve, ha a személyes adat közérdekből nyilvános adatként történő nyilvánosságra hozatalát jogszabály írja elő.

6.2.2. A Társaság munkatársai kötelesek megtenni azokat az intézkedéseket, amelyek kizárják, hogy a szóban elhangzott, papíralapon vagy elektronikus formátumban rögzített személyes adatot bármely harmadik személy jogosulatlanul megismerje.

6.2.3. Személyes adatról papíralapú vagy elektronikus másolat csak abban az esetben készíthető, ha azt az adatkezelés folyamata szükségessé teszi vagy jogszabály előírja.

6.2.4. Ha a Társaság valamely munkatársa a Szabályzatot megszegi, a Társaság és közte lévő jogviszony jellegétől függően felelősséggel tartozik.

6.2.5. Ha a Szabályzatot a Társasággal munkaviszonyban álló személy szegi meg és ezzel kárt okoz, úgy a munkaviszony ellátásra vonatkozó általános (a mindenkori munka törvénykönyvéről szóló, a Szabályzat kiadásakor a munka törvénykönyvéről szóló 2012. évi I. törvény) vagy speciális jogszabály munkaviszonyból származó kötelezettségének megszegésével okozott kárra vonatkozó szabályok szerint felel.

6.2.6. Ha a Szabályzatot a Társasággal egyéb jogviszonyban álló személy szegi meg és ezzel kárt okoz, úgy a mindenkori Polgári törvénykönyv (a Szabályzat kiadásakor a Polgári Törvénykönyvről szóló 2013. évi V. törvény) károkozásért való felelősségre vonatkozó szabályok szerint felel.

6.2.7. A személyes adatokkal kapcsolatos titoktartási nyilatkozat a Szabályzat 1. sz. melléklete.

7.       Az adatkezelés lehetséges jogalapjai

7.1. Általános szabályok

7.1.1. Az adatkezelés jogalapját a Társaság minden adatkezelési folyamatnál meghatározza. Az adatkezelésre jogalapot csak a GDPR 6. cikk (1) bekezdése határoz meg, különleges adatok kezelésének tilalma alóli feloldás feltételeit a 9. cikk (2) bekezdése határozza meg.

7.1.2. A Társaság az adatkezelési rendszerét úgy alakítja ki, hogy minden személyes adatra vonatkozóan bizonyítani tudja, hogy mikor, milyen formában történt a személyes adat felvétele és milyen tájékoztatást kapott az érintett a személyes adat felvételekor.

7.1.3. A személyes adatok különleges kategóriáiba tartozó személyes adatot főszabály szerint a Társaság nem kezel, kivéve abban az esetben, amennyiben bizonyítani tudja a 7.3. pontba foglalt valamely körülmény fennállását.

7.2. Az adatkezelés lehetséges jogalapjai személyes adatok esetében

7.2.1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.

7.2.2. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

7.2.3. Az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges.

7.2.4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek^[1] védelme miatt szükséges.

7.2.5. Az adatkezelés közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

7.2.6. Az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

7.2.7. A Társaság a GDPR 6. cikk (1) bekezdés e) pontban nevesített, az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásával kapcsolatos jogalappal adatkezelést nem végezhet, mert a Társaság nem közhatalmi szerv, így közhatalmi jogosítvánnyal sem rendelkezik.

7.3. Körülmények, feltételek amelyek esetén a Társaság személyes adatok különleges kategóriáiba tartozó adatokat kezelhet

7.3.1.   Az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy a hatályos magyar jog úgy rendelkezik, hogy a tilalom az érintett hozzájárulásával sem oldható fel.

7.3.2. Az adatkezelés a Társaságnak vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy hatályos magyar jog lehetővé teszi.

7.3.3. Az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni.

7.3.4. Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott.

7.3.5. Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

7.3.6. Az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy a hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

7.3.7. Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy hatályos magyar jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, amennyiben az adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, akire szakmai titoktartási kötelezettség hatálya alatt áll.

7.3.8. Az adatkezelés a népegészségügy területét érintő közérdekből szükséges.

7.3.9. Az adatkezelés közérdekű archiválás, tudományos és történelmi kutatási vagy statisztikai célból szükséges olyan uniós vagy hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

7.4. Hozzájárulás, mint jogalapra vonatkozó különleges szabályok

7.4.1. Amennyiben az adatkezelés az érintett hozzájárulásán alapul, úgy az érintett a hozzájárulását bármilyen bizonyítható módon megadhatja, így írásban (nyilatkozaton, dokumentumon), szóban és ráutaló magatartással is.

7.4.2. A Társaság nem tesz különbséget a hozzájárulások között azok formáját tekintve, a hozzájárulások formái egyenértékűek, de fenntartja magának a jogot, hogy egyes adatkezelések esetén a hozzájárulás egyes formáit kizárja.

7.4.3. A Társaság minden adatkezelési folyamatát úgy határozza meg jelen Szabályzat kiadásakor és minden, a későbbiekben bevezetendő adatkezelés esetén, hogy amennyiben annak jogalapja az érintett hozzájárulása, úgy képes legyen annak bizonyítására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

7.4.4. A 7.4.3. pontban foglaltakat elsősorban úgy tesz eleget a Társaság, hogy elsődlegesen írásban szerzi be az érintett hozzájárulását, amelyet így az írásbeliséggel tud igazolni.

7.4.5. Amennyiben a Társaság a ráutaló magatartást vagy a szóbeliséget is elfogadja a hozzájárulás jogalapjául, úgy az adatkezelés minden körülményét megvizsgálja és dokumentálja, hogy utóbb is igazolni tudja a hozzájárulást.

7.4.6. A Társaság az adatkezelései során lehetőség szerint minden egyes személyes adatnál feltünteti, hogy a hozzájárulás:

• mikor érkezett (nap, adott esetben óra-perc),
• milyen formában történt (írásban/szóban/ráutaló magatartással),
• milyen cselekmény eredménye, ha ez értelmezhető (például: feliratkozás / jelentkezés / kapcsolatfelvétel / stb.).

7.4.7. A Társaság biztosítja a jogot arra is, hogy az érintett ugyanúgy, ahogy a hozzájárulást megadta, a hozzájárulását visszavonja. A ráutaló magatartással megtett hozzájárulás visszavonását csak írásban fogadja el a Társaság.

7.4.8. A Társaság a visszavonás tényét az adatkezelés során rögzíti, az adatot a továbbiakban nem kezeli, de az adat helyét „a hozzájárulás visszavonva” jelzéssel jelöli meg.

7.4.9. A 7.4.8. pont szerinti megjelölés tartalmazza hozzájárulás visszavonására vonatkozó, a 7.4.6. pont szerinti értelemszerű adatokat.

7.5. Szerződéses jogviszonyra, mint jogalapra vonatkozó különleges szabályok

7.5.1. Ha az adatkezelés jogalapja a Társasággal írásban kötött szerződés megkötését megelőzően lépések tétele vagy teljesítése, úgy a szerződésnek minimálisan tartalmaznia kell az arra való utalást, hogy az adatkezelés a jelen Szabályzat szerint történik.

7.5.2. Csak akkor alkalmazható 7.2.2. szerinti jogalap, ha az szerződés egyik szerződő fele az érintett. 

7.6. Jogi kötelezettségre, mint jogalapra vonatkozó különleges szabályok

7.6.1. Amennyiben az adatkezelés jogalapja az adatkezelőre vonatkozó jogi kötelezettség, úgy e jogi kötelezettséget csak és kizárólag az Európai Unió vagy Magyarország hatályos és alkalmazandó jogszabályának kell megállapítania. 

7.6.2. Jogi kötelezettséget az Infotv. 5. § (3) bekezdése alapján csak törvény vagy önkormányzati rendelet állapíthat meg, amennyiben azonban a jogi kötelezettség más jogforrási szinten elhelyezkedő normában vannak leszabályozva, a Társaság nem tekinthet el az alkalmazásától.

7.6.3. Amennyiben a 7.6.2.-ben megjelölt jogszabály adja az adatkezelés jogalapját, úgy azt csak akkor alkalmazza a Társaság, amennyiben megfelel az Infotv. 5. § (3) bekezdés előírásának, így nem csak az adatkezelés kötelezettségét határozza meg, hanem a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát is. 

7.6.4. Amennyiben a Társaság az adatkezelése során jogalapként a jogi kötelezettséget határozza meg, úgy a 8.1.5. szerinti adatkezelési tájékoztatóban és folyamatleírásban a Társaság megnevezi a jogi kötelezettséget előíró jogszabályt annak nevével és a kötelezettséget előíró pontos jogszabályi helyet.

7.7. Létfontosságú érdekre, mint jogalapra vonatkozó különleges szabályok

7.7.1. A Társaság természetes személy létfontosságú érdekére hivatkozó, 7.2.4. pont szerinti jogalappal akkor végez adatkezelést, ha az adott adatkezelés egyéb jogalappal nem végezhető.

7.7.2. Az elszámoltathatóság elve miatt a 7.7.1. szerinti előírás szerint a Társaság az adatkezelés megkezdése előtt köteles megvizsgálni, hogy a személyes adat kezelése megvalósítható-e bármely más jogalappal. 

7.7.3. Ugyancsak az elszámoltathatóság elvéből fakadóan a Társaságnak tudnia kell bizonyítania a létfontosságú érdek fennálltát.

7.8. Közérdekű feladatra, mint jogalapra vonatkozó különleges szabályok

7.8.1. A Társaság fő- és alaptevékenységként objektumőrzéssel foglalkozik, amelyen belül bankokat és bankfiókokat, szállodákat, irodaházakat, magyar és külföldi érdekeltségű multinacionális cégek ipari objektumait, illetve komplett országos hálózatait őrzi. Az alaptevékenység ellátásán túl partnerei részére igény szerint teljes körű komplex szolgáltatást is nyújt, melynek keretén belül még az alábbi szolgáltatásokat végezheti:

• szakértői és szaktanácsadói szolgáltatás, 
• komplex vagyonvédelmi auditok elkészítése,
• komplex technikai vagyonvédelmi rendszerek megtervezése és kivitelezése,
• érték- és pénzkísérés, 
• érték- és pénzőrzés,
• komplex rendészeti feladatok ellátása,
• részleges vagy teljes körű takarítási feladatok ellátása,
• rendezvények biztosítása,
• speciális személyvédelem,
• ingatlankezelés.

Működését meghatározó jogszabályok különösen:

A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény, a Polgári Törvénykönyvről szóló 2013. évi V. törvény.

7.8.2. A fenti pontban taglalt szolgáltatás nem minősül a Szabályzat 7.2.5. pontban meghatározott közérdekű vagy közhatalmi jogosítvány gyakorlásának, így a Társaság által végzett adatkezelések nem végezhetők a Szabályzat 7.2.5. pontjában meghatározott jogalappal.

7.9. Jogos érdekre, mint jogalapra vonatkozó különleges szabályok

7.9.1. A Társaság a 7.2.6. pontban foglalt jogalap alkalmazása esetén az adatkezelés megkezdése előtt az érintettek magánszférájának, érdekeinek és alapvető jogainak biztosítása érdekében a 9. pont szerinti érdekmérlegelési tesztet végez el.

7.9.2. A konkrét adatkezelési folyamat során a Társaság megfelelő tájékoztatást nyújt az érintettek számára az adatkezelés jogalapjáról.

7.9.3. A 7.2.6. pontban foglalt jogalapot a szükségesség-arányosság elve alapján alkalmazza a Társaság, ha az adatkezeléssel elérendő cél más jogalappal nem megvalósítható és az érintett magánszférájának korlátozása arányban áll az elérendő céllal.

7.9.4. Az érdekmérlegelési tesztet az érintett – kérelmére – bármikor megismerheti.

8.       Az érintettek jogai

8.1. Az érintett tájékoztatása az adat felvételéhez kapcsolódóan a GDPR 13. és 14. cikk szerint.

8.1.1. Abban az esetben, amennyiben az adatkezelés során a személyes adatokat a Társaság közvetlenül az érintettől szerzi meg, úgy a személyes adatok megszerzésének időpontjában – a jelen Szabályzat 2. sz. mellékletében foglalt minta segítségével – az alábbiakról tájékoztatja az érintettet:

• a Társaságnak és a Társaság képviselőjének pontos megnevezése, elérhetőségei,
• a Társaság adatvédelmi tisztviselőjének elérhetősége(i),
• az adatkezelés célja,
• az adatkezelés jogalapja,
• amennyiben az adatkezelés célja a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítése, úgy a Társaság vagy a harmadik fél jogos érdekének megnevezése,
• amennyiben a Társaság a személyes adatokat az adatkezelés során harmadik fél számára átadja, a személyes adatok címzettjei, illetve (vagy) a címzettek kategóriái,
• a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatóságához való jogáról,
• a hozzájárulás visszavonására irányuló jog gyakorlásának szabályai, amennyiben az adatkezelés jogalapja az érintett hozzájárulása [GDPR 6. cikk (1) a)], vagy a 9. cikk (2) bekezdés a) pontján alapuló feltétellel, kifejezett hozzájárulással kezeli, 
• a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról,
• annak ténye, hogy a személyes adat kezelése szolgáltatása jogszabályon, szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele és az érintett köteles-e a személyes adatokat megadni, valamint a lehetséges következmények, amennyiben az érintett személyes adatait nem adja meg,
• az automatizált döntéshozatal ténye, valamint legalább az ennek során alkalmazott logika és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.1.2. Amennyiben a Társaság a személyes adatot nem közvetlenül az érintettől szerzi meg – a jelen Szabályzat 3. sz. mellékletében foglalt minta segítségével – az alábbiakról tájékoztatja az érintettet:

• a Társaságnak és a Társaság képviselőjének pontos megnevezése, elérhetőségei,
• a Társaság adatvédelemi tisztviselőjének elérhetősége(i),
• az adatkezelés célja,
• az adatkezelés jogalapja,
• a kezelt személyes adatok kategóriái,
• amennyiben a Társaság a személyes adatokat az adatkezelés során harmadik fél számára átadja, a személyes adatok címzettjei, illetve (vagy) a címzettek kategóriái,
• a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
• amennyiben az adatkezelés célja a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítése, úgy a Társaság vagy a harmadik fél jogos érdekének megnevezése,
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatóságához való jogáról,
• a hozzájárulás visszavonására irányuló jog gyakorlásának szabályai, amennyiben az adatkezelés jogalapja az érintett hozzájárulása [GDPR 6. cikk (1) a)], vagy a 9. cikk (2) bekezdés a) pontján alapuló feltétellel, kifejezett hozzájárulással kezeli,
• a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról,
• a személyes adat forrása,
• amennyiben az adatok harmadik forrásból való gyűjtését jogszabály írja elő, úgy a konkrét jogszabályi hely megjelölése,
• a személyes adat Társaság általi megszerzésének időpontja,
• amennyiben a Társaság által folytatott ügyben van szükség a személyes adatokra, úgy a konkrét ügy ügyszámmal vagy egyéb módon történő megjelölése,
• annak ténye, hogy a személyes adat nyilvánosan hozzáférhető forrásból származik-e,
• az automatizált döntéshozatal ténye, valamint legalább az ennek során alkalmazott logika és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.1.3. Amennyiben a Társaság az adatkezelése során az adatot nem közvetlenül az érintettől szerzi meg, az érintettet az alábbi időpontban tájékoztatja:

• a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül,
• ha a Társaság a személyes adatokat az érintettel való kapcsolattartás céljára használja, az érintettel való első kapcsolatfelvétel alkalmával vagy
• ha a Társaság az adatokat várhatóan más címzettel is közli, legkésőbb a személyes adatok első alkalommal való közlésekor.

8.1.4. Ha a Társaság a személyes adatot nem közvetlenül az érintettől szerzi meg, nem kell tájékoztatni, amennyiben:

• az érintett már rendelkezik az ezen pontokba foglalt információkkal,
• a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne, 
• az adat megszerzését vagy közlését kifejezetten előírja a Társaságra alkalmazandó uniós vagy a hatályos magyar jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről is rendelkezik, vagy
• a személyes adatoknak valamely uniós vagy a hatályos magyar jogban előírt szakmai titoktartási kötelezettség alapján bizalmasnak kell maradnia.

8.1.5. A tájékoztatást a Társaság elsősorban a jelen Szabályzat mellékleteit képező adatkezelési tájékoztatókkal/folyamatleírásokkal valósítja meg. Ezen tájékoztatókat, folyamatleírásokat a Társaság minden olyan esetben elkészíti, amikor az érintettet tájékoztatnia kell az adatkezelésről. A tájékoztató, folyamatleírás nyilvánosságra hozatalának szabályai:

• a folyamatleírások/tájékoztatók a jelen Szabályzat szerint elkészített adatkezelési nyilvántartás elválaszthatatlan részét képezi,

• a folyamatleírás/tájékoztatók minden esetben az adatkezelés megkezdése előtt az érintett számára megismerhető kell, hogy legyen,
• minden olyan folyamat során, amikor az adat felvétele papíralapon történik, az adat felvételének helyén elérhetőnek kell lennie az adott folyamatleírásnak/tájékoztatónak,
• minden olyan folyamat során, amikor az adat felvétele technikai eszköz útján történik, a technikai eszköz segítségével elérhetőnek kell lennie a folyamatleírásnak/tájékoztatónak,
• minden olyan esetben, amikor az érintett ráutaló magatartással járul hozzá az adatkezeléshez, a folyamatleírásnak/tájékoztatónak a ráutaló magatartás megtételéül szolgáló helyen kell elérhetőnek lennie, hogy az érintett ennek tudatában járulhasson hozzá az adatkezeléshez,
• amennyiben feltételezhető, hogy az érintett maga fogja kezdeményezni az adatkezelést, ezen adatkezelések folyamatleírásai/tájékoztatói elérhetőnek kell lennie a Társaság honlapján az érintett előzetes tájékoztatása érdekében,
• a tájékoztatókat úgy kell nyilvánosságra hozni, hogy a Társaság minden esetben bizonyítani tudja, hogy az érintett azokat az adatkezelés megkezdése előtt megismerhette, így különösen online felületen történő adatfelvétel esetén egy ún. „check box” segítségével nyilatkoztatja a Társaság, hogy az adatkezelés szabályait megismerte, elolvasta és azokat elfogadta, továbbá hozzájárulását adta.

Amennyiben a Társaság az adatkezeléssel kapcsolatos tájékoztatót/folyamatleírást az érintettel megismerteti, úgy vélelmezi, hogy az érintett azt megismerte és elfogadta, adott esetben hozzájárulását adta.

8.2. Az érintett tájékoztatása a rá vonatkozó folyamatban lévő adatkezelésről („hozzáférési jog”)

8.2.1. Amennyiben az érintett a GDPR 15. cikke szerinti hozzáférési jogával kíván élni, úgy a Társaság az alábbiakról tájékoztatja:

• az adatkezelés célja vagy céljai,
• az érintett személyes adatok kategóriái,
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat a Társaság már közölte vagy a jövőben közölni fogja,
• a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
• a helyesbítési jog gyakorlásának szabályai,
• a törlési jog gyakorlásának szabályai,
• az adatkezelés korlátozására irányuló jog gyakorlásának szabályai,
• a tiltakozási jog gyakorlásának szabályai,
• a Nemzeti Adatvédelmi és Információszabadság Hatósághoz való panasz benyújtásának joga, 
• ha a személyes adatok forrás nem az érintett, a forrásra vonatkozó minden elérhető információ,
• amennyiben az adatkezelés automatizált döntéshozatalon alapszik, úgy ennek ténye, valamint az alkalmazott logikára és arra vonatkozó érthető információk.

8.2.2. A Társaság a 8.2.1. szerinti tájékoztatás (4. sz. melléklet szerinti minta formanyomtatvány) során az adatkezelés tárgyát képező személyes adatok másolatát az érintett kérelmére az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. 

8.2.3. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett máshogy kéri.

8.2.4. A Társaság egyetlen munkatársa sem ad tájékoztatást a Társaság által kezelt konkrét személyes adatról telefonos úton.

8.3. Az érintett helyesbítéshez való joga

8.3.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését.

8.3.2. Amennyiben az érintett személyes adatának helyesbítését kéri és nem áll rendelkezésre a személyes adat, amelyre a már kezelt adatot helyesbíteni kell, hiánypótlásra hívja fel a Társaság az érintettet.

8.3.2. Amennyiben az érintett személyes adatának helyesbítését kéri és a személyes adat rendelkezésre áll, a Társaság a személyes adatot helyesbíti és azzal egyidőben írásban tájékoztatja az érintettet a helyesbítés tényéről és időpontjáról az 5. sz. melléklet szerintiformanyomtatvány felhasználásával.

8.4. Az érintett törléshez való joga („az elfeledtetéshez való jog”)

8.4.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja,
• az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
• a személyes adatokat jogellenesen kezelték, 
• a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell,
• a személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

8.4.2. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a 8.4.1. pontban írtak szerint törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. 

8.4.3. A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.

8.4.4. A személyes adatot a Társaság olyan módon törli, hogy helyreállítása többé ne legyen lehetséges.

8.4.5. Amennyiben a személyes adat a személyes adatot hordozó adathordozóról nem törölhető, a Társaság a személyes adat adathordozóját köteles megsemmisíteni.

8.4.6. Amennyiben az érintett olyan személyes adatot kíván töröltetni, amely hiányában az érintett és a Társaság közötti jogviszony nem tartható fenn, a jogviszony megszűnik. Erről azonban a törlés előtt a Társaság tájékoztatja az érintettet és amennyiben törlési kérelmét fenntartja, a törlés megtörténik. A törlési kérelem fenntartásának minősül, ha a tájékoztatás kézbesítésétől számított 3 napon belül az érintett törlési kérelmét nem vonja vissza.

8.4.7. A személyes adat törlésére vagy az adathordozó megsemmisítésre az alábbi szabályok közül a felsorolásban előbb szereplő szabályt kell alkalmazni. Amennyiben az alkalmazandó szabály az adott személyes adatra nézve nem értelmezhető, a felsorolásban soron következő szabályt kell alkalmazni:

• a személyes adat kezelésének megszüntetésére vonatkozó kötelező jogszabályi előírás,
• a Társaság iratkezelési szabályzatának a személyes adatot hordozó papíralapú dokumentum megsemmisítésére vonatkozó előírás,
• a Szabályzat konkrét adatkezelésre vonatkozó, adattörlési vagy adatmegsemmisítési GDPR szerinti adattörlési, vagy adatmegsemmisítési szabálya.

8.5. Az adatkezelés korlátozásához fűződő érintetti jog

8.5.1. Az érintett kérelmezheti a Társaságnál a rá vonatkozóan a Társaság által tárolt személyes adatok megjelölését jövőbeli kezelésük korlátozása céljából.

8.5.2. A Társaság az érintett kérelmére akkor korlátozza az adatkezelést, amennyiben az alábbi feltételek egyike fennáll:

• az érintett kérelmében vitatja a rá vonatkozó személyes adatok pontosságát, ebben az esetben a korlátozás arra az időtartamra vonatkozik, ameddig a Társaság ellenőrzi a személyes adatok pontosságát,
• az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
• bár a Társaságnak az adatkezelés megkezdése előtt meghatározott cél eléréséhez már nincs szüksége a személyes adat kezelésére, de az érintett kérelmében igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
• az érintett a 8.6. pont alapján az tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

8.5.3. Amennyiben a személyes adat kezelését korlátozza a Társaság, úgy a korlátozás időtartama során csak az érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve a valamely tagállam fontos közérdekéből lehet kezelni.

8.5.4. A 8.5.3. pont nem vonatkozik az adat tárolására, mint adatkezelési műveletre, azt a korlátozás alatt is köteles megtenni a Társaság.

8.5.5. Amennyiben az adatkezelés korlátozását a Társaság feloldja, a korlátozás feloldása előtt legkésőbb három (3) munkanappal korábban a korlátozás feloldásának tényéről írásban tájékoztatja azt az érintettet, akinek a kérésére a korlátozás megtörtént.

8.6. Tiltakozás a személyes adat kezelése ellen

8.6.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

8.6.2. A Társaság a 8.6.1. szerinti tiltakozás esetén megvizsgálja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

8.6.3. Amennyiben a Társaság a 8.6.2. szerinti vizsgálata során megállapítja, hogy a 8.6.2. pontba foglalt feltételek egyike sem érvényesül, a tiltakozással érintett személyes adatot nem kezeli tovább.

8.7. Az adathordozhatósághoz való érintetti jog gyakorlása

8.7.1. Amennyiben az adatkezelés jogalapja az érintetti hozzájárulása vagy 7.2.2. pont szerinti szerződésen alapul, úgy az érintett jogosult arra, hogy az általa a Társaság részére átadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja.

8.7.2. A Társaság a 8.7.1. szerinti megfelelést elsősorban .xml, .csv vagy .doc formátumban teljesíti a kérelemmel érintett személyes adatok jellegétől függően.

8.7.3. Az érintett kérelmezheti továbbá a Társaságtól, hogy az általa kezelt személyes adatokat egy másik, az érintett által egyértelműen megjelölt adatkezelőnek továbbítsa.

8.7.4. E pontba foglalt jog nem illeti meg az érintettet, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges, valamint, ha ez a jog hátrányosan érintené mások jogait és szabadságait.

8.8. Jogorvoslat

8.8.1. Az érintett a GDPR 77. cikk (1) bekezdése alapján a Társaság adatkezelési eljárásával kapcsolatos panasszal a NAIH-hozfordulhat.

8.8.2. Az érintett a GDPR 79. cikk (1) bekezdése szerint a Társaság adatkezelési eljárásával kapcsolatos jogsértés miatt a lakóhelye vagy tartózkodási helye szerint illetékes törvényszékhez fordulhat.

8.9. Az érintett jogainak érvényesítése a Társaság adatkezelései során

8.9.1. A Társaság annak érdekében, hogy az érintettek érintetti jogaikkal élhessenek, jelen pontban rögzíti az érintetti joggyakorlással kapcsolatos jogokat, kötelezettségeket és eljárási szabályokat.

8.9.2. A Társaság minden esetben törekszik arra, hogy az érintettnek adott tájékoztatása minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.

8.9.3. A Társaság az érintettnek adott minden tájékoztatást főszabály szerint írásban tesz meg, ideértve az elektronikus utat is.

8.9.4. Amennyiben az érintett kéri a személyes szóbeli tájékoztatást, úgy személyazonossága igazolását követően a Társaság erre felhatalmazott munkatársa a tájékoztatást szóban is megadhatja. 

8.9.5. A Társaság az érintett számára tájékoztatást csak és kizárólag abban az esetben nyújt, ha a Társaság erre felhatalmazott munkatársa meggyőződött az érintett személyazonosságáról.

8.9.6. Az érintett személyazonosságáról való meggyőződésnek számít, ha a Társaság erre felhatalmazott munkatársa előtt:

• az érintett személyazonosságát a hatályos magyar jog szerinti személyazonosság igazolására alkalmas okmány bemutatásával (így különösen, de nem kizárólagosan személyazonosító igazolvánnyal, útlevéllel, vezetői engedéllyel) igazolja,
• az érintett személyazonosságát az Európai Unió joga szerint személyazonosság igazolására alkalmas okmány bemutatásával igazolja,
• az érintett kérelme a Társaság előtt már korábbi ügyből ismert, az érintetthez köthető e-mail címről érkezik,
• az érintett kérelme a Társaság által biztosított, zárt, a megfelelő személyazonosítás megtörténte után használható csatornán érkezik.

8.9.7. A Társaság nem fogadja el a személyazonosítás telefonos úton történő egyetlen formáját sem, így az érintett telefonon nem kezdeményezheti az érintetti jogainak érvényesítését.

8.9.8. Amennyiben a személyazonosság igazolása nem történik meg, a Társaság az érintetti joggyakorlási kérelmet elutasítja és egyben tájékoztatja az érintettet, hogy a Szabályzatban írtak szerint miként gyakorolhatja érintetti jogait.

8.9.9. A Társaság az érintettet a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintetti joggyakorlásra vonatkozó kérelme kapcsán tett intézkedésről.

8.9.10. Beérkezésnek az számít, ha az igényt az érintett:

• szóban személyesen a Társaságnak személyazonosítást követően megteszi,
• az írásba foglalt igény a Társaság elérhetőségére megérkezik.

8.9.11. Az egy hónapos határidőt a Társaság maximum további két hónappal meghosszabbítja, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma azt indokolja.

8.9.12. A határidő meghosszabbításáról a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül a Társaság tájékoztatja az érintettet.

8.9.13. Amennyiben a Társaság nem intézkedik az érintett kérelmére, úgy az érintett a 8.8. pontba foglalt jogorvoslati jogával élhet a Társaság ellen.

8.9.14. A Társaság a tájékoztatást és intézkedéseket díjmentesen végzi.

8.9.15. A tájékoztatás és intézkedés megtételéréért a Társaság vezető tisztségviselője felelős a szakterületek által szolgáltatott adatok alapján az adatvédelmi tisztviselő közreműködésével.

8.9.16. A tájékoztatást a vezető tisztségviselő teszi meg. 

8.9.17. A tájékoztatásra vonatkozó adatok birtokában lévő szakterület köteles a vezető tisztségviselővel együttműködni, számára előzetesen írásban minden információt, adatot megadni a tájékoztatás teljesítéséhez.

9.       Érdekmérlegelés és az érdekmérlegelési teszt elvégzése

9.1. A jogos érdekre, mint jogalapra való hivatkozás (7.9. pont) esetén a 7. sz. melléklet felhasználásával elkészített érdekmérlegelési tesztnek sorrendben az alábbiakra kell kiterjednie:

• a kezelni kívánt személyes adat meghatározása,
• annak a személynek a meghatározása, akinek a jogos érdekében az adatkezelés szükséges,
• a jogos érdek bemutatása,
• az adatkezelés céljának meghatározása,
• annak vizsgálata, hogy az adatkezelés feltétlenül szükséges-e a feltárt jogos érdek érvényesítéséhez,
• ha az adatkezelés szükséges a jogos érdek érvényesítéséhez, annak vizsgálata, hogy az érvényesíthető-e más, az érintett magánszféráját nem vagy kevésbé érintő folyamattal,
• ha a jogos érdek nem érvényesíthető más folyamattal annak vizsgálata, hogy az adatkezelés esetén az érintett érdekei, alapjogai mennyiben korlátozódnak vagy sérülnek,
• a jogos érdek és az érintetti alapjogi korlátozás összevetése,
• az érdekmérlegelési teszt eredménye,
• az érdekmérlegelési teszt elvégzésének dátuma,
• amennyiben az érdekmérlegelési teszt eredményeként a személyes adat kezelhető, úgy az adatkezelési folyamat bevezetésének időpontjának meghatározása.

9.2. Amennyiben az érdekmérlegelési teszt eredményeként a Társaság megállapítja, hogy az adatkezeléssel érintett jogos érdekkel szemben elsőbbséget élveznek az érintett érdekei és alapvető jogai, a 7.2.6. pontba foglalt (jogos érdek érvényesítése) adatkezelési jogalapot nem alkalmazza.

10.    A Társaság adatvédelmi rendszere

10.1. Általános rendelkezések

10.1.1. A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével e Szabályzatban határozza meg az adatvédelmi előírások megvalósításához szükséges feladat- és hatásköröket.

10.1.2. A Társaság minden adatkezelése felett a felügyeletet elsődlegesen a vezető tisztségviselő látja el. Feladatát a kinevezett vagy megbízott adatvédelmi tisztviselő támogatja. 

Az Adatkezelő az adatvédelmi tisztviselő elérhetőségét közzéteszi honlapján, valamint bejelenti nevét és elérhetőségét a NAIH részére.

10.1.3. A Szabályzatban előírtak betartatásáért a Társaság minden munkatársa felelős.

10.1.4. Mindenki köteles gondoskodni arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

10.2. Hatáskörök az adatvédelemmel kapcsolatosan

A vezető tisztségviselő

• felelős az érintettek 8.2. pontba foglalt jogainak gyakorlásához szükséges feltételek biztosításáért,
• felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért,
• felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért,
• felügyeli az adatvédelmi tisztviselő tevékenységét,
• belső adatvédelmi vizsgálatot rendelhet el,
• kiadja a Társaság adatvédelemmel és adatbiztonsággal kapcsolatos belső szabályzatait,
• különösen súlyos törvénysértés esetén a munkajogi szabályok alapján fegyelmi eljárást indít a személyes adatot jogszabálysértő módon kezelő személy ellen.
• feladatait a kijelölt dolgozóra delegálhatja.

Az adatvédelmi tisztviselő

• segítséget nyújt az érintett 8.2. pontba foglalt jogainak biztosításában;
• kezeli az adatkezelési tevékenységek nyilvántartását és szükség esetén módosítja vagy – új folyamat esetén – kiegészíti azt, különös tekintettel az adatvédelmi folyamatleírásokra;
• minden év január 15-ig jelentést készít a vezető tisztségviselő részére a Társaság adatvédelmi feladatainak végrehajtásáról,
• jogosult a Szabályzat betartását bármely szervezeti egységnél ellenőrizni,
• ellenőrzi a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását és az ellenőrzés tapasztalatairól tájékoztatja a vezető tisztségviselőt,
• segítséget nyújt a szervezeti egységek számára az adattovábbítási nyilvántartások vezetésében,
• figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi a Szabályzat módosítását,
• közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett eljárás során,
• általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg,
• kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés vagy annak veszélyének észlelése esetén annak megszüntetésére hívja fel a Társaságot vagy az adatfeldolgozót,
• javaslatot tesz a szükséges intézkedésekre az ellenőrzési tapasztalatai és az adatvédelmi előírások megszegéséről készült jegyzőkönyvek alapján, 
• felügyeli a külső szervezetektől érkező személyes adatokat érintő megkeresések teljesítését,
• gondoskodik az adatvédelmi ismeretek oktatásáról,
• közreműködik, valamint segítséget nyújt az adatkezeléssel kapcsolatos döntések meghozatalában,
• szükség esetén felvilágosítást nyújt a Társaság munkatársai számára adatvédelmi kérdésekben,
• véleményezi a Társaság által kiadandó szabályzatok azon részeit, amelyek adatvédelmi kérdést érintenek,
• ellátja a jogszabályok által ráruházott adatvédelemmel kapcsolatos feladatokat.

A szervezeti egység vezetői

• kötelesek biztosítani és ellenőrizni a vezetésük alá tartozó szervezeti egységnél az adatkezelésre vonatkozó jogszabályok és a Szabályzatban foglaltak betartását,
• intézkednek a külső szervezetektől érkező és a hatáskörükbe tartozó személyes adatokat érintő megkeresések teljesítéséért az adatvédelmi tisztviselő közreműködésével,
• együttműködnek az adatvédelmi tisztviselővel,
• szabályellenes adatkezelés esetén haladéktalanul intézkednek annak megszüntetéséről, és arról haladéktalanul értesítik az adatvédelmi tisztviselőt,
• kötelesek gondoskodni arról, hogy a Szabályzat előírásait és változásait az általuk irányított munkatársak feladatköreiknek megfelelő részletességgel megismerjék.

Az informatikáért felelős személy adatvédelemmel kapcsolatos feladatai:

• ellátja a rendszergazdai feladatokat,
• ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására,
• a közreműködik az adatkezelők egyéni kódjának, jelszavának, jogosultságának beállításában azon szerverek tekintetében, amelyekre adminisztrátori jogosultsággal rendelkezik,
• használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását),
• a szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosultak általi hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról,
• igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban,
• elvégzi a szervereken tárolt adatok biztonsági mentését, naplózását,
• vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését,
• szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a szerverek üzemszerű működéséről,
• ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül,
• üzemzavar esetén elvégzi az informatikai rendszerek újraindítását, a hálózat alkalmazásainak és adatainak a visszatöltését,
• folyamatosan üzemelteti a számítógépes hálózatot,
• igény esetén segítséget nyújt az adatkezelőknek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél,
• ellátja az informatikai biztonság keretében az általánosan elvárt feladatokat, biztosítja az abban foglaltak teljesítését.

Az adatkezelésben érintett munkatársak

• kötelesek a Szabályzat előírásai szerint kezelni a személyes adatokat,
• felelősek feladatkörükben eljárva a személyes adatok a Szabályzat szerinti kezeléséért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért,
• amennyiben szükséges, előzetesen egyeztetnek a felettesükkel és az adatvédelmi tisztviselővel a személyes adatok kezelését érintő ügyekben,
• a tudomásukra jutott adatkezeléssel kapcsolatos jogsértésekről, incidensről haladéktalanul tájékoztatják a felettesüket.

11.    Adatbiztonsági szabályok

11.1. A Társaság, illetőleg tevékenységi körében a Társaság által megbízott adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR, valamint a Szabályzat érvényre juttatásához szükségesek.

11.2. A Társaság az adatbiztonsági folyamatait úgy alakítja ki, hogy azok a személyes adatokat megvédjék a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen.

11.3. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR, valamint az adatkezelésre vonatkozó külön törvények keretei között a Társaság határozza meg. Az általa adott utasítások jogszerűségéért a Társaság felel.

11.4. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni.

11.5. A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:

• az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók,
• a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el,
• a személyes adatokat tartalmazó iratokhoz csak az illetékesek férhetnek hozzá,
• a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja,
• a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja,
• amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság,
• a megsemmisítésre váró iratok, elektronikus adathordozók megsemmisítését a Társaság végzi, a megsemmisítésig zárható szekrényben kijelölt szakmai igazgatónál helyezik el.

11.6. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:

• az adatkezelés során használt számítógépek, szerver a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír,
• a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság utasítása szerint a dolgozó rendszeresen, illetve indokolt esetben gondoskodik,
• az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül,
• a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak a belső hálózatból, kivételes esetekben – az Alaptörvény 53. cikk alapján kihirdetett élet- és vagyonbiztonságot veszélyeztető veszélyhelyzet kihirdetésekor – távoli hozzáféréssel megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá vpn kapcsolattal,
• amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető,
• a Társaság a hálózaton tárolt adatok biztonsága érdekében a szervereket magas rendelkezésre állású infrastruktúrával védi, az adatvesztést mentésekkel és archiválással kerüli el,
• a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentés készül,
• a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik,
• a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését (pl.: A vendégek és a mobiltelefonok nem érik el a belső hálózatot, vendég WiFi hálózatra csatlakoznak.).

11.7. Jogosultságkezelés

A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Társaságot a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez.

Az informatikai rendszerben a jogosultságok változásait (létező jogosultságok, új jogosultságok kiosztása, jogosultságok módosítása, megszűnése) dokumentálni kell.

A személyes adatok biztonsága érdekében a Társaság az alábbi jogosultságkezelési előírásokat alkalmazza:

• Alapelvek
• Új jogosultság beállítását, illetve jogosultság megváltoztatását a jogosultság birtokosának felhatalmazása alapján az informatikus végzi.
• A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat kell kiosztani.
• El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására igényt nem tartó személyek.
• Adminisztrátori jogosultsággal rendelkező, nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az Adatkezelő vezető tisztségviselője vagy akadályoztatása esetén a helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.
• Külső – karbantartó vagy fejlesztő – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkezhet.

11.8. Jogosultságkezelési folyamat

A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen.

A jogosultság kiosztása, annak módosítása és törlése a rendszergazda feladatokat ellátó informatikus feladata a vezető tisztségviselő utasításra. 

A jogosultság igényléshez, módosításhoz, törléséhez az informatikus részére címzett, aláírt „Jogosultságkezelési megrendelőlapot” is lehet alkalmazni. Jogosultságot, vagy a dolgozó felettese igényelhet dolgozójának, vagy a dolgozó saját magának, vezetői jóváhagyással.  A jogosultságok változásáról (igénylés, módosítás, törlés) az informatikus nyilvántartást vezet.

A jogosultságkezelési nyilvántartó és megrendelőlap minta a jelen Szabályzat 8. sz. és 9. sz. melléklete.

11.9. Álnevesítés

Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel a Társaság az ilyen további információt külön tárolja, technikai és szervezési intézkedések megtételével biztosítja, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

11.10. Oktatás és tréningrendszer

Kiemelt területként kell kezelni a munkatársak kapcsán a biztonságtudatossági képzést.

A biztonságtudatos magatartás komoly károkat okozó hibák és támadások megelőzésében játszhat szerepet.

Nem elegendő az információbiztonsági rendelkezések és adatvédelmi, adatbiztonsági szabályozás megléte a szervezetben, az alkalmazottakban rendszeres képzések, tréningek során kell tudatosítani, hogy a kialakított szabályrendszer és az IT eszközök önmagukban nem képesek garantálni a szervezet számára az adat- és információbiztonságot, ehhez a napi munkatevékenységük során felelős magatartásukkal a dolgozóknak is hozzá kell járulniuk.

A Társaság dolgozóinak általános adatvédelmi-információbiztonsági tréningje változó rendszerességgel (kapcsolható más rendszeres képzésekhez, tréningekhez, mint pl.: tűz- és munkavédelem) történik.

12.    Adatvédelmi incidens

12.1. Adatvédelmi incidens észlelése és jelentése

12.1.1 A Társaság minden munkatársa köteles a tudomására jutott adatvédelmi incidenst haladéktalanul jelenteni az adatvédelemi tisztviselőnek és a vezető tisztségviselőnek. A jelentésnek legalább az alábbi adatokat tartalmaznia kell:

• az adatvédelmi incidenst észlelő személy neve,
• amennyiben az adatvédelmi incidens észlelő és jelentő személy nem azonos, úgy az adatvédelmi incidenst jelentő személy nevét,
• az adatvédelmi incidens észlelésének időpontját (tudomásszerzés),
• az adatvédelmi incidens rövid leírását, valamint
• annak tényét, hogy az észlelt adatvédelmi incidens érinti-e a Társaság informatikai rendszerét vagy sem.

12.1.2. Az adatvédelmi incidens jelentésének bizonyítható módon kell megtörténnie, ezért a Társaság az adatvédelmi incidensek jelentésére formanyomtatványt rendszeresít (10. sz. melléklet). A jelentést a formanyomtatvány megfelelő kitöltésével, dátumozásával, aláírásával és iktatásával, belső levélként kell megküldeni adatvédelemi tisztviselőnek és a vezető tisztségviselőnek. Amennyiben elháríthatatlan okból kifolyólag az adatvédelmi incidenst észlelő vagy jelentő személy nem tudja írásban megtenni a jelentést, és ezért szóban tesz jelentést, úgy az adatvédelemi tisztviselő köteles erről jegyzőkönyvet felvenni, amelynek tartalmaznia kell a legalább az előző pont szerinti információkat. Az akadály megszűnését követően haladéktalanul az adatvédelmi incidenst észlelő vagy jelentő személy köteles a bejelentést írásban is megerősíteni, azaz a kitöltött formanyomtatványt utólag megküldeni az adatvédelmi tisztviselőnek. 

12.1.3. Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor az adatvédelemi tisztviselő az adatvédelmi incidens kivizsgálásába bevonja a Társaság az erre kijelölt dolgozóját vagy a megbízottját is. 

12.1.4. A bejelentés érkezését követően az adatvédelemi tisztviselőnek – az érintett szervezeti egységek bevonásával – haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését. A kivizsgálásban és értékelésben valamennyi érintett szervezeti egység együttműködni köteles.

12.2. Adatvédelmi incidens kivizsgálása

12.2.1. Az adatvédelemi tisztviselő megvizsgálja a jelentést és amennyiben szükséges, a bejelentőtől, illetve az érintett szervezeti egységek vezetői, munkatársaitól további adatokat kér az incidensre vonatkozóan.

12.2.2. Az adatvédelemi tisztviselő személy az alábbi információkat (amennyiben azok a jelentésből nem derülnek ki) lehetőségéhez mérten köteles felderíteni: 

• az adatvédelmi incidens bekövetkezésének időpontja és helye,
• az adatvédelmi incidens által érintett adatok köre,
• az adatvédelmi incidenssel érintett személyek köre és száma.

12.2.3. Ezen adatokból az adatvédelemi tisztviselő összegzést készít az adatvédelmi incidens várható hatásairól és cselekvési tervet készít a következményeinek enyhítése érdekében, az érintett szakterületek szakmai véleményei és javaslatai figyelembevételével.

12.2.4. Az adatvédelmi incidenssel érintett munkatársak kötelesek együttműködni az adatvédelemi tisztviselővel.

12.2.5. A vizsgálatot legkésőbb az adatvédelmi incidens bekövetkezésének tudomásra jutástól számított 72 órán belül amennyiben lehetséges be kell fejezni, és bejelenteni a NAIH részére egészben vagy részletekben, amennyiben valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira nézve. 

12.3. Adatvédelmi incidens értékelése

12.3.1. A Társaság az adatvédelmi incidenseket három kategóriába sorolja:

• 1. kategória: valószínűsíthetően kockázattal nem járó incidens.
• 2. kategória: valószínűsíthetően alacsony kockázattal járó incidens.
• 3. kategória: valószínűsíthetően magas kockázattal járó incidens.

12.3.2. A Társaság az adatvédelmi incidenst az alábbi szempontok szerint értékeli:

• az adatkezelő típusa,
• az incidens típusa (bizalmassági, integritási vagy elérhetőségi),
• a személyes adatok jellege/típusa (személyes adat / különleges kategória/bűnügyi adat),
• a személyes adatok érzékenysége (gyermek, kiszolgáltatott személy),
• a személyes adatok száma,
• az érintett személyek száma,
• az érintett természetes személyek kategóriái,
• az érintett természetes személyek azonosíthatósága,
• az érintett adatkezelés jogalapja,
• az adatkezelés jellege, típusa 
  • automatizált adatkezeléssel hozott döntés jellemzően magasabb kockázatú
  • pontozással, értékeléssel járó adatkezelés
  • érintett módszeres megfigyelése
• a természetes személyre nézve fennálló következmények valószínűsége és súlyossága,
• Érintettet érintő esetleges hátrányos jogkövetkezmények értékelése
  • vagyoni kár
  • hátrányos megkülönböztetés
  • kirekesztés
  • egyéb magánjellegű jogkövetkezmények
  • érintett nem rendelkezhet az adataival
  • személyazonossággal visszaélés kockázata
  • joggyakorlás korlátozottsága/elvesztése
  • üzleti hátrány, bevételkiesés,
• Adatkezelő és érintett közötti viszonyrendszer
  • érintettnek tartozása áll fenn az adatkezelővel szemben
  • munkaviszony megszüntetéssel érintettek adatkezelése (azonnali hatályú felmondással került megszüntetésre a munkaviszony)
  • folyamatos konfliktus az érintett-adatkezelő között.

12.3.3. A Társaság az incidens értékelése során az alábbi konkrét szempontok alapján értékeli:

• az incidensben érintett adatok között találhatóak a személyes adatok különleges kategóriáiba eső adatok,
• az incidensben érintett személyes adatok száma nagy,
• az incidensben érintett természetes személyek között találhatóak kiskorú természetes személyek,
• az incidensben érintett természetes személyek száma nagy,
• az incidensben érintett személyes adatok alkalmasak az érintettel történő közvetlen kapcsolatfelvételre (így különösen lakcím, telefonszám, e-mail cím)
• az incidensben érintett adatkezelés jogalapja 7.2.4. szerinti jogalap,
• az incidensben érintett adatkezelés jogalapja 7.2.5. szerinti jogalap,
• az incidensben érintett adatkezelés jogalapja 7.2.6. szerinti jogalap,
• a személyes adatok alkalmasak az érintett természetes személy személyazonosságának ellopására vagy a személyazonosságával való visszaélésre,
• az incidensben érintett személyes adatok alkalmasak arra, hogy pénzügyi veszteséget okozzanak az érintettjüknek.

12.3.4. Az incidenst a Társaság „1. kategória: valószínűsíthetően kockázattal nem járó incidens”-nek minősíti, ha:

• a 12.3.3. pontban felsorolt feltételek közül legfeljebb kettő áll fenn és
• a Társaság képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.

12.3.5. Az incidenst a Társaság „2. kategória: valószínűsíthetően alacsony kockázattal járó incidens”-nek minősíti, ha:

• a 12.3.3. pontban felsorolt feltételek közül egy áll fenn és
• a Társaság nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.

12.3.6. Az incidens a Társaság „3. kategória: valószínűsíthetően magas kockázattal járó incidens”-nek minősíti, ha:

• a 12.3.3. pontban felsorolt feltételek közül legalább kettő áll fenn és
• a Társaság nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.

12.3.7. Abban az esetben, ha a kockázat besorolására a Társaság felügyeleti hatósága vagy az Európai Adatvédelmi Testület útmutatást ad ki, a Társaság a 12.3. pontot felülvizsgálja.

12.4. Adatvédelmi incidens bejelentése a NAIH-nak:

12.4.1. Amennyiben a Társaság a 12.3.5. szerint 2. kategóriába vagy a 12.3.6. szerint 3. kategóriába tartozónak minősíti, úgy az adatvédelmi tisztviselő az értékelés megtörténtét követően, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a Társaság tudomására jutott, az adatvédelmi incidenst bejelenti a NAIH-nak. 

12.4.2. A NAIH-nak történő bejelentésnek tartalmaznia kell:

• az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
• az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
• az adatvédelmi incidens jellegét, körülményeit, 
• az adatvédelemi tisztviselő nevét és elérhetőségét,
• az adatvédelmi incidens valószínűsíthető következményeit és
• az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

12.5. Az érintettek tájékoztatása az adatvédelmi incidensről

12.5.1. Amennyiben az adatvédelmi incidens veszélyességének súlyossága valószínűsíthetően magas kockázattal jár az érintett személyek jogaira nézve, a Társaság a kockázati értékelés elvégzését követően azonnal tájékoztatja az adatvédelmi incidensben érintetteket.

12.5.2. Az érintettek írásban elektronikus vagy postai úton kell tájékoztatni, amely kizárólag akkor mellőzhető, ha az érintett elérhetősége ismeretlen.

12.5.3. Az érintetteket úgy kell tájékoztatni minden esetben, hogy annak ténye, tartalma és a tájékoztatott érintetti kör bizonyítható legyen.

12.6. Helyesbítő-megelőző intézkedések bevezetése

12.6.1. A 12.2. pont szerinti vizsgálat eredménye, valamint az incidens kivizsgálásába bevont szakterületek észrevételei, javaslatai alapján az adatvédelmi tisztviselő javaslatot tesz a vezető tisztségviselőnek helyesbítő és/vagy megelőző intézkedések bevezetésére a hasonló adatvédelmi incidensek megelőzése érdekében.

12.6.2. A javasolt helyesbítő és/vagy megelőző intézkedések bevezetéséről a vezető tisztségviselő dönt.

12.7. Az adatvédelmi incidens nyilvántartása

12.7.1. Az adatvédelmi incidensről az adatvédelmi tisztviselő nyilvántartást vezet a Szabályzat 11. sz. melléklete szerinti nyilvántartó-minta alkalmazásával. 

12.7.2. A nyilvántartás tartalmazza:

• az érintett személyes adatok körét,
• az adatvédelmi incidenssel érintettek körét és számát,
• az adatvédelmi incidens időpontját,
• az adatvédelmi incidens körülményeit,
• az adatvédelmi incidens hatásait,
• az elhárítására megtett intézkedéseket,
• az adatvédelmi incidens kivizsgálásának hatására bevezetett helyesbítő-megelőző intézkedéseket.

13.    Adatvédelmi oktatás

13.1. A Társaság évente legalább egy alkalommal oktatást szervez az adatvédelmi tudatosság emelése érdekében, amelyen kötelesek részt venni a Társaság kijelölt munkatársai. Az adatvédelmi oktatásnak legalább az alábbi témákra kiterjed:

• az előző oktatás óta eltelt időszak tapasztalatai az adatvédelem területén, 
• amennyiben az előző oktatás óta módosult a Szabályzat, a módosítással kapcsolatos legfontosabb tudnivalók,
• az esetlegesen megtörtént adatvédelmi incidens bemutatása, értékelése, a helyesbítő-megelőző intézkedések ismertetése,
• az adatvédelem területén történt általános változások, jogszabály módosítások, Magyarországon és az Európai Unióban, különös tekintettel a hatóságok bírságolási gyakorlatára.

13.2. A Társaságnál rendkívüli oktatást kell tartani – amennyiben az indokolt – az alábbi esetekben:

• adatvédelmi incidens megtörténte,
• marasztalással záruló NAIH-eljárás lefolytatása a Társasággal szemben,
• adatvédelmi bírság kiszabása bármely, hasonló vagy azonos feladatot ellátó jogi személy ellen, ha eltérő gyakorlatot igényel a Társaság adatvédelmi rendszerében.

14.    Adatkezelési tevékenységek nyilvántartása

14.1. A Társaság minden általa végzett adatkezelési tevékenységről nyilvántartást vezet.

14.2. A 14.1. szerinti nyilvántartást a Társaság elektronikusan vezeti.

14.3. A 14.1. szerinti nyilvántartás a következő információkat tartalmazza:

• a Társaság neve és elérhetősége,
• a Társaság adatvédelmi tisztviselőjének neve és elérhetősége,
• az adatbiztonságra vonatkozó technikai és szervezési intézkedések általános leírása jelen Szabályzat vagy egyéb, technikai és szervezési intézkedéseket tartalmazó egyéb belső szabályzat vonatkozó pontjára való utalással;
• adatkezelésenként:
  • adatkezelés céljai,
  • az érintettek kategóriái,
  • a személyes adatok kategóriái,
  • olyan címzettek kategóriái, akikkel a személyes adatokat a Társaság közli, vagy várhatóan közölni fogja,
  • a különböző adatkategóriák törlésére előirányzott határidők, ha lehetséges,
  • az adatkezelési tájékoztatót/folyamatleírást.

14.4. Az adatkezelési nyilvántartást az adatvédelmi tisztviselő tartja naprakészen és módosítja szükség esetén.

14.5. Az adatkezelési nyilvántartás naprakészsége biztosítása érdekében a munkatársak, az általuk végzett adatkezelési folyamatban bekövetkező változásokat (módosítás, megszűnés stb.) vagy általuk tervezett új adatkezelési műveletet a tervezett változás vagy a bevezetés előtt legkésőbb 5 munkanappal kötelesek írásban bejelenteni a vezető tisztségviselőnek és az adatvédelmi tisztviselőnek.

14.6. Az adatvédelmi tisztviselő a 14.5. szerinti bejelentés alapján gondoskodik:

• az adatkezelés 14. pont szerinti nyilvántartásban való átvezetéséről,
• szükség esetén a 16. pontban foglalt hatásvizsgálat lefolytatásáról.

15.    Adatfeldolgozókra vonatkozó szabályok

15.1. A Társaság csak és kizárólag olyan adatfeldolgozót vesz igénybe bármely adatkezelési folyamata során, aki, vagy amely megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfeleléséről és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtásáról.

15.2. A Társaság minden adatfeldolgozójával adatfeldolgozói írásbeli szerződést köt, amely legalább az alábbi kérdéseket tisztázza:

• az adatkezelést, amelybe a Társaság az adatfeldolgozót bevonta,
• az adatfeldolgozó által ellátott adatkezelői tevékenységet,
• az adatfeldolgozás időtartamát, jellegét és célját,
• az adatfeldolgozásra átadott adatok típusát,
• az adatfeldolgozással érintett érintettek kategóriáit,
• az adatkezelő jogait és kötelezettségeit,
• az adatfeldolgozó jogait és kötelezettségeit.

15.3. A Társaság csak olyan adatfeldolgozóval köt szerződést adatfeldolgozói feladatra, aki a 15.2. pont szerinti szerződésben vállalja, hogy:

•             a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli,
• az általa személyes adatok feldolgozásában résztvevő személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,
• biztosítja a GDPR 32. cikk szerinti adatbiztonsági szabályokat,
• adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vesz igénybe,
• az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a Társaságot abban, hogy teljesíteni tudja kötelezettségét az érintett 8. pontban foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében,
• adatvédelmi incidens esetén az incidens tudomására jutása pillanatában azonnal értesíti a Társaságot és együttműködik az adatvédelmi incidens 12. pont szerinti kezelésében,
• az adatfeldolgozási szolgáltatásának nyújtásának befejezését követően a Társaság döntése alapján minden személyes adatot töröl vagy visszajuttat a Társaságnak, valamint a személyes adatokról készült másolatokat ezzel egyidőben megsemmisíti vagy törli,
• lehetővé teszi és elősegíti, hogy a Társaság ellenőrizhesse az adatvédelmi szabályok megvalósulását,
• vezeti a GDPR 30. cikk (2) bekezdése szerinti adatfeldolgozói nyilvántartást.

15.4. Az adatfeldolgozói szerződés minta a Szabályzat 12. sz. melléklete.

16.    Adatvédelmi hatásvizsgálat

16.1. Az adatvédelmi hatásvizsgálat-köteles adatkezelések

16.1.1. Ha a Szabályzat hatályba lépését követően a Társaság új adatkezelést kíván rendszerébe bevezetni, úgy jelen 16. pont szerint köteles megvizsgálni, hogy az adatkezelés megkezdése előtt köteles-e adatvédelmi hatásvizsgálatot lefolytatni.

16.1.2. A Társaság adatvédelmi hatásvizsgálatot köteles lefolytatni, ha az alábbi feltételek legalább egyike fennáll:

• az adatkezelés természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek,
• az adatkezelés érintett adatok száma nagy, a személyes adatok különleges kategóriáiba eső adat kezelését valósítja meg,
• az adatkezelés nyilvános helyek nagymértékű, módszeres megfigyelését valósítja meg,
• a 16.1.3. pontba sorolt feltételek közül az adatkezelésre legalább három szempont igaz,
• ha az Infotv. 25/G. (3) bekezdése alapján az adatkezelés magas kockázatát vélelmezni kell.

16.1.3. A Társaság a bevezetendő új adatkezelés hatásvizsgálat-kötelességét az alábbi szempontok alapján ítéli meg:

• az adatkezelésben érintett személyes adatok száma nagy,
• az adatkezelésben érintett természetes személyek között találhatóak kiskorú természetes személyek,
• az adatkezelésben érintett természetes személyek száma nagy,
• az incidensben érintett személyes adatok alkalmasak az érintettel történő közvetlen kapcsolatfelvételre (így különösen lakcím, telefonszám, e-mail cím)
• az adatkezelés jogalapja a 7.2.4. szerinti jogalap,
• az adatkezelés jogalapja a 7.2.5. szerinti jogalap,
• az adatkezelés jogalapja a 7.2.6. szerinti jogalap,
• az adatkezelésben érintett személyes adatok alkalmasak az érintett természetes személy személyazonosságának ellopására vagy a személyazonosságával való visszaélésre,
• az adatkezelésben érintett személyes adatok alkalmasak arra, hogy pénzügyi veszteséget okozzanak az érintettjüknek.

16.1.4. Abban az esetben, ha a Társaság felügyeleti hatósága a már összeállított és nyilvánosságra hozott adatkezelések jegyzékét módosítja és nyilvánosságra hozza, amelyekre hatásvizsgálatot kell lefolytatni vagy összeállítja és nyilvánosságra hozza az olyan adatkezelések jegyzékét, amely esetben nem kell végezni, úgy a 16.1. pontot a Társaság felülvizsgálja.

16.2. Az adatvédelmi hatásvizsgálat lefolytatása

16.2.1. Az adatvédelmi hatásvizsgálatnak ki kell terjednie:

• a tervezett adatkezelési művelet módszeres leírására és az adatkezelés céljainak ismertetésére,
• ha a tervezett adatkezelés jogalapja a 7.2.6. szerinti jogalap, akkor a Társaság által érvényesíteni kívánt jogos érdekre,
• az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára,
• az érintett jogait és szabadságait érintő kockázatok vizsgálatára és
• a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

16.2.3. Az adatvédelmi tisztviselő az adatkezelés bevezetését követő hat hónap elteltével köteles megvizsgálni, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

16.2.4. Az adatvédelmi hatásvizsgálat elvégzéséhez használatos segédanyag jelen szabályzat 13. sz. melléklete.

17.    Általános adatvédelmi alapvetések

17.1. Személyazonosító igazolványok, okmányok kezelése

17.1.1. Az adatkezelés alapelvei, a szükségesség és a célhoz kötöttség elvének való megfelelés érdekében a Társaság nem készít fénymásolatot személyazonosító igazolványokról, végzettséget igazoló dokumentumról, okmányokról. 

Az arcképes hatósági igazolvány értelemszerűen csak akkor rendelkezik bizonyító erővel, ha annak alapján a Társaság megbizonyosodhat arról, hogy az igazolványon szereplő személy képmása és az igazolványt felmutató személy megegyeznek. 

17.1.2. A Társaság fenntartja magának a jogot, hogy az okmány érvényességét a https://www.nyilvantarto.hu/ugyseged/OkmanyErvenyessegLekerdezes.xhtml oldalon ellenőrizze.

17.2. Az érintettek értesítése elektronikus kapcsolattartás során

17.2.1. Abban az esetben, ha a Társaság bármely munkatársa az érintett számára elektronikus levelet küld, az érintett elektronikus levélcímét köteles a küldés során úgy megjelölni, hogy az az elektronikus levél egyetlen címzettje számára se legyen látható. Ezt a Társaság munkatársai elsősorban „titkos másolat”-tal történő címzéssel kötelesek megtenni, de a Társaság kidolgozhat olyan üzenetküldő rendszert, amely alapvető beállításként, további emberi beavatkozás nélkül automatikusan így küldi meg az információt az érintettek számára.

17.2.2. Ez a szabály érvényes elsősorban, de nem kizárólagosan, sajtólistára, hírlevél-listára történő levélírásra és az ügyintézés során használt elektronikus kapcsolattartásra.

17.3. A személyes adatok megsemmisítése

17.3.1. Abban az esetben, ha a Társaság az általa kezelt személyes adatokat az adatkezelés szabályai alapján a továbbiakban nem kezelheti, köteles a személyes adatokat tartalmazó adathordozót megsemmisíteni, a megsemmisítés tényéről pedig jelen Szabályzat 14. sz. melléklete szerinti megsemmisítési jegyzőkönyvet felvenni.

17.3.2. A megsemmisítési jegyzőkönyv tartalmazza az alábbiakat:

• az adatmegsemmisítésért felelős munkavállaló azonosító adatait,
• a megsemmisítést engedélyező személy azonosító adatait,
• a megsemmisítés tárgya,
• az adathordozók száma legalább megközelítőlegesen,
• a megsemmisítéssel érintett adatkezelési folyamat megnevezése,
• az adatmegsemmisítés módja,
• a megsemmisítés időpont, helyszíne,
• a megsemmisítést ténylegesen lefolytató, illetve azon jelen lévők neve és aláírása (minimum három fő).

17.3.3. A Társaság az Adatmegsemmisítési jegyzőkönyvet iratkezelési szabályzata szerint tárolja.

18.    Záró rendelkezések

A Szabályzat személyi, tárgyi és időbeli hatályára a 4. pontban írt rendelkezések az irányadók.

Mellékletek

nyilvántartás minták, adatkezelési folyamatleírások és tájékoztatók a társaság adatvédelmi szabályzatához

1. sz. melléklet

Titoktartási nyilatkozat

Jelen nyilatkozatunkban megerősítjük abbeli megállapodásunkat és egyetértésünket, miszerint a ……………………………… által ……………………………. (név) (……………………………………….. – anyja neve, születési hely és idő) előtt az eddigiekben feltárt és a jövőben feltárandó bizonyos információk, így különösen üzleti tervek, kereskedelmi titkok, ügyfelek adatai és egyéb tulajdonosi információk, az Európai Parlament és a Tanács (EU) 2016/679 Rendelet hatálya alá tartozó személyes adatok (összefoglalóan: információk) bizalmas jellegűek.

……………………………………….. a nyilatkozat aláírásával elfogadja, hogy az ilyen információk egyetlen részét vagy töredékét sem teszi közzé, nem bocsátja rendelkezésre, vagy nem tárja fel más módon semmilyen harmadik fél előtt ………………………………….. vezető tisztségviselőjének erre felhatalmazó előzetes írásbeli beleegyezése nélkül, kivéve, ha ezek az információk bizonyító erejű dokumentumokként nyilvánosságra bocsáthatók. Az ilyen információk nem tekintendők nyilvánosságra bocsáthatónak pusztán azért, mert ezekből további általános információkat lehet szerezni, vagy mert begyűjthetők egy vagy több forrásból is, vagy ha abból adódóan kerültek nyilvánosságra, mert megszegték a jelen nyilatkozatot, vagy harmadik személlyel vagy jogi személlyel kötött hasonló nyilatkozatokat.

Nyilatkozattevő beleegyezését adja, hogy mindent és minden ésszerű elővigyázatossági intézkedést megtesz annak érdekében, hogy szóban, írásos anyagban, vagy elektronikus adattároló eszközben vagy más módon feltárt ilyen információkat megfelelő védelemmel látja el bármely harmadik fél előtti jogosulatlan feltárással szemben, így különösen betartja a ————————————–. Adatvédelmi és adatbiztonsági szabályzatának irányadó rendelkezéseit. Beleegyezését adja ahhoz is, hogy egyetlen anyagról sem készít másolatot és az ilyen anyagok valamennyi másolatát kérésre azonnal visszaszolgáltatja.

Nyilatkozattevő elfogadja továbbá, hogy valamennyi ilyen információ tulajdonosa a ……………………. és hogy a ……….. folyamatos üzletvezetése érdekében mindezen információk bizalmas jellegűek, értékesek és nélkülözhetetlenek.  Beleegyezését adja, hogy az ilyen információkat nem fogja felhasználni, kiaknázni és/vagy üzleti alapokra helyezni saját javára vagy bármely egyéb harmadik fél javára.

Jelen nyilatkozat aláírása nevezettet nem ruházza fel semmiféle jogosultsággal vagy egyéb joggal.

Jelen titoktartási nyilatkozat ……………………………………….. (dátum vagy konkrétan meghatározható esemény, így pl.: „munkaszerződés aláírásával”) lép életbe.

Jelen titoktartási nyilatkozaton megadott, az Európai Parlament és a Tanács (EU) 2016/679 Rendelet hatálya alá tartozó személyes adatot a ………………….. Adatvédelmi és adatbiztonsági szabályzata alapján kezeli.

Kelt: […………….], 20………………………

_________________________________                 ______________________________

                  Nyilatkozattevő                                             ————————————-

                                                                                                      képviseletében

2. sz. melléklet

Minta – Adatkezelési tájékoztató és folyamatleírás a GDPR 13. cikk szerint

(amikor a személyes adatok az érintettől kerülnek gyűjtésre)

Adatvédelmi tájékoztató és folyamatleírás xXx adatkezelésről

A(z) [adatkezelő] az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban GDPR) előírásai szerint ezúton tájékoztatja, jelen tájékoztatóval és folyamatleírással az Ön személyes adatai kezelésével kapcsolatos minden tényről. A folyamatban való részvétellel Ön, mint érintett a jelen folyamatleírás szerint válik az adatkezelés érintettjévé.

Az adatkezelő pontos megnevezése, elérhetőségei:

név: xXx

(rövid név: xXx)

székhely: xXx

postacím: xXx

honlap: xXx

központi e-mail cím: xXx

központi telefonszám: xXx

törvényes képviselő: xXx

Az adatkezelő adatvédelmi tisztviselőjének^[2] neve és elérhetősége:

xXx

Az adatkezelés célja:

xXx

Az adatkezelés jogalapja: (az alábbi felsorolásból egy választandó)

• a GDPR 6. cikk (1) bekezdés a) szerinti az érintett hozzájárulása
• a GDPR 6. cikk (1) bekezdés b) szerinti szerződés teljesítése vagy megkötése, amelyben az egyik fél az érintett (a szerződés típusának megnevezése, valamint annak megjelölése, hogy az érintett köteles-e a személyes adatokat megadni, valamint a lehetséges következmények, amennyiben az érintett személyes adatait nem adja meg) 
• a GDPR 6. cikk (1) bekezdés c) szerinti jogi kötelezettség teljesítése (a konkrét jogszabályi hely megjelölésével) 
• a GDPR 6. cikk (1) bekezdés d) szerinti létfontosságú érdek védelme (a létfontosságú érdek és az érintettjének megjelölése) 
• a GDPR 6. cikk (1) bekezdés e) szerinti közérdekű jogosítvány gyakorlásának keretében végzett feladat végrehajtása (a közérdekű jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével) 
• a GDPR 6. cikk (1) bekezdés e) szerinti, az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása [a közhatalmi jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével az Infotv. 5. § (3) szerint]
• a GDPR 6. cikk (1) bekezdés f) szerinti jogos érdek érvényesítése (a Társaság vagy a harmadik fél jogos érdekének megnevezésével) 

Az adatszolgáltatással kapcsolatos információk: [csak abban az esetben kell a tájékoztató részét képeznie, amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés c) vagy e)] 

• a személyes adat szolgáltatásának alapja:
  • szerződés megkötésének előfeltétele [a konkrét szerződés(típus) megjelölésével]
  • szerződéses kötelezettség [a konkrét szerződés(típus) megjelölésével]
  • jogszabály (jogszabály és a vonatkozó jogszabályi hely megjelölésével)
• a személyes adat szolgáltatásának kötelezettsége: xXx
• az adatszolgáltatás elmaradásának kötelezettsége: xXx

Az adatkezelésbe bevont adatfeldolgozók és az adatfeldolgozási művelet megjelölése:

A(z) [adatkezelő] az adatkezelésbe adatfeldolgozót nem von be. / xXx (adatfeldolgozó vagy kategóriái, és az általa végzett adatkezelési művelet vagy műveletek nevesítése)

Az adatkezelés során az adat az alábbi harmadik személyek részére, a megjelölt jogalappal kerül továbbításra:

(1. lehetséges verzió)

A(z) [adatkezelő] az adatokat harmadik fél részére nem továbbítja, ám felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi [adatkezelő]-t, úgy [adatkezelő], jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.

(2. lehetséges verzió)

• címzett neve, az átadott adatok, az adat átadásának jogalapja

[Adatkezelő] azonban felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi [adatkezelő]-t, úgy [adatkezelő], jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.

[ide sorolandó a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás is, ebben az esetben a GDPR 13. cikk (1) f) szerinti adatok is feltüntendőek]

A személyes adatok tárolásának időtartama:

xXx

Automatizált döntéshozatal ténye:

(1. lehetséges verzió) az adatkezelés során automatizált döntéshozatal nem zajlik

(2. lehetséges verzió) xXx [automatizált döntéshozatal bemutatása a GDPR 13. cikk (2) bekezdés f) alapján]

Az adatkezelés folyamatának leírása:

xXx

Adat eltérő célra történő felhasználásának ténye és az erre vonatkozó információk: [csak abban az esetben kell a tájékoztató részét képeznie, amennyiben az adatkezelő az adatot előreláthatólag az adat felvételekor meghatározottól eltérő célból is kívánja kezelni]

Az érintetti joggyakorlásra vonatkozó szabályok:

A(z) [adatkezelő] tájékoztatja, hogy a GDPR alapján Ön, személyazonosságának igazolását követően az alábbi jogérvényesítési lehetőségekkel élhet:

• kérheti tájékoztatását személyes adatai kezeléséről, (mindegyik jogalap esetén, kötelező elem)
• kérheti személyes adatainak helyesbítését, (mindegyik jogalap esetén, kötelező elem)
• visszavonhatja az adatkezeléshez adott hozzájárulását, [csak abban az esetben, amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a), eshetőleges elem]
• kérheti személyes adatai törlését, ha azok kezelése véleménye szerint jogellenes vagy az azokkal elérendő célból a Társaságnak már nincs rá szüksége, (mindegyik jogalap esetén, kötelező elem)
• kérheti személyes adatai kezelésének korlátozását, (mindegyik jogalap esetén, kötelező elem)
• élhet adathordozhatósághoz való jogával [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) vagy b) és az adatkezelés automatizált módon történik, eshetőleges elem]
• tiltakozhat az adatkezelés ellen [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) vagy f), eshetőleges elem]

xXx törekszik arra, hogy az Önnek adott tájékoztatás minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.

Kérelmét elsősorban írásban terjesztheti be az adatvédelmi tisztviselőnek címzett, jelen tájékoztatóban feltüntetett elérhetősége(ke)n. Az igényt munkatársunk rögzíti és a kérelem beérkezésétől számított legkésőbb egy hónapon belül tájékoztatjuk Önt kérelmével kapcsolatosan. Ezt a határidőt maximum további két hónappal hosszabbíthatjuk meg, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma ezt indokolja, ellenben erről a kérelem kézhezvételétől számított egy hónapon belül, elektronikus úton tájékoztatjuk. 

Amennyiben nem intézkedünk a kérelmére vagy az intézkedésünket nem fogadja el, úgy jogorvoslattal élhet. Adatkezelési eljárásunkkal kapcsolatos panasszal Ön fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy a lakóhelye vagy tartózkodási helye szerinti törvényszékhez. Felhívjuk azonban a figyelmét, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlata alapján panaszát akkor fogadja be a Hatóság, hogy ha előbb az adatkezelőhöz, esetünkben tehát hozzánk fordult, de nem intézkedtünk a kérelmére vagy az intézkedésünket nem fogadta el. Javasoljuk ezért, hogy először a munkatársunkkal vegye fel a kapcsolatot!

Tájékoztatjuk, hogy a fenti jogérvényesítéssel és jogorvoslattal kapcsolatos részletes eljárási szabályokat honlapunkon is elérhetővé tettük.^[3]

helység, dátum  

                                                                                                                      xXx      

3. sz. melléklet

Minta – Adatkezelési tájékoztató és folyamatleírás a GDPR 14. cikk szerint

(amikor a személyes adatok nem az érintettől kerülnek gyűjtésre) 

A(z) [adatkezelő] az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban GDPR) előírásai szerint ezúton tájékoztatja, jelen tájékoztatóval és folyamatleírással Önt, hogy az adatkezelése részesévé vált.

Az adatok forrása: xXx

A kezelt adatok kategóriái: xXx

Az adatkezelés célja:

xXx

Az adatkezelő pontos megnevezése, elérhetőségei:

név: xXx

(rövid név: xXx)

székhely: xXx

postacím: xXx

honlap: xXx

központi e-mail cím: xXx

központi telefonszám: xXx

törvényes képviselő: xXx

Az adatkezelő adatvédelemi tisztviselő neve és elérhetősége:

xXx

Az adatkezelés jogalapja: (az alábbi felsorolásból egy választandó)

• a GDPR 6. cikk (1) bekezdés a) szerinti az érintett hozzájárulása
• a GDPR 6. cikk (1) bekezdés b) szerinti szerződés teljesítése vagy megkötése, amelyben az egyik fél az érintett (a szerződés típusának megnevezése, valamint annak megjelölése, hogy az érintett köteles-e a személyes adatokat megadni, valamint a lehetséges következmények, amennyiben az érintett személyes adatait nem adja meg) 
• a GDPR 6. cikk (1) bekezdés c) szerinti jogi kötelezettség teljesítése (a konkrét jogszabályi hely megjelölésével) 
• a GDPR 6. cikk (1) bekezdés d) szerinti létfontosságú érdek védelme (a létfontosságú érdek és az érintettjének megjelölése) 
• a GDPR 6. cikk (1) bekezdés e) szerinti közérdekű jogosítvány gyakorlásának keretében végzett feladat végrehajtása (a közérdekű jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével) 
• a GDPR 6. cikk (1) bekezdés e) szerinti, az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása [a közhatalmi jogosítvány nevesítésével és a konkrét jogszabályi hely megjelölésével az Infotv. 5. § (3) szerint]
• a GDPR 6. cikk (1) bekezdés f) szerinti jogos érdek érvényesítése (a Társaság vagy a harmadik fél jogos érdekének megnevezésével) 

Az adatkezelésbe bevont adatfeldolgozók és az adatfeldolgozási művelet megjelölése:

A(z) [adatkezelő] az adatkezelésbe adatfeldolgozót nem von be. / xXx (adatfeldolgozó nevesítve vagy kategóriái  és az általa végzett adatkezelési művelet vagy műveletek nevesítése)

Az adatkezelés során az adat az alábbi harmadik személyek részére, a megjelölt jogalappal kerül továbbításra:

(1. lehetséges verzió)

A(z) [adatkezelő] az adatokat harmadik fél részére nem továbbítja, ám felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi [adatkezelő]-t, úgy [adatkezelő], jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.

(2. lehetséges verzió)

• címzett neve, az átadott adatok, az adat átadásának jogalapja

[Adatkezelő] azonban felhívja az érintettek figyelmét, hogy személyes adatok bíróság és hatóság részére történő kiadását előírhatja jogszabály. Amennyiben bíróság vagy hatóság jogszabályban rögzített eljárása során személyes adatok átadására kötelezi [adatkezelő]-t, úgy [adatkezelő], jogszabályi kötelezettségét teljesítve, köteles a kért adatokat az eljáró bíróság vagy hatóság rendelkezésére bocsájtani.

[ide sorolandó a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás is, ebben az esetben a GDPR 13. cikk (1) f) szerinti adatok is feltüntendőek]

A személyes adatok tárolásának időtartama:

xXx

Automatizált döntéshozatal ténye:

(1. lehetséges verzió) az adatkezelés során automatizált döntéshozatal nem zajlik.

(2. lehetséges verzió) xXx [automatizált döntéshozatal bemutatása a GDPR 13. cikk (2) f) alapján].

Az adatkezelés folyamatának leírása:

xXx

Adat eltérő célra történő felhasználásának ténye és az erre vonatkozó információk: [csak abban az esetben kell a tájékoztató részét képeznie, amennyiben az adatkezelő az adatot előreláthatólag az adat felvételekor meghatározottól eltérő célból is kívánja kezelni]

Az érintetti joggyakorlásra vonatkozó szabályok:

A(z) [adatkezelő] tájékoztatja, hogy a GDPR alapján Ön, személyazonosságának igazolását követően az alábbi jogérvényesítési lehetőségekkel élhet:

• kérheti tájékoztatását személyes adatai kezeléséről, (mindegyik jogalap esetén, kötelező elem)
• kérheti személyes adatainak helyesbítését, (mindegyik jogalap esetén, kötelező elem)
• visszavonhatja az adatkezeléshez adott hozzájárulását, [csak abban az esetben, amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a), eshetőleges elem]
• kérheti személyes adatai törlését, ha azok kezelése véleménye szerint jogellenes vagy az azokkal elérendő célból a Társaságnak már nincs rá szüksége, (mindegyik jogalap esetén, kötelező elem)
• kérheti személyes adatai kezelésének korlátozását, (mindegyik jogalap esetén, kötelező elem)
• élhet adathordozhatósághoz való jogával [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) vagy b) és az adatkezelés automatizált módon történik, eshetőleges elem]
• tiltakozhat az adatkezelés ellen [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1)bekezdés  e) vagy f), eshetőleges elem]

xXx törekszik arra, hogy az Önnek adott tájékoztatás minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.

Kérelmét elsősorban írásban terjesztheti be az adatvédelmi tisztviselőnek címzett, jelen tájékoztatóban feltüntetett elérhetősége(ke)n. Az igényt munkatársunk rögzíti és a kérelem beérkezésétől számított legkésőbb egy hónapon belül tájékoztatjuk Önt kérelmével kapcsolatosan. Ezt a határidőt maximum további két hónappal hosszabbíthatjuk meg, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma ezt indokolja, ellenben erről a kérelem kézhezvételétől számított egy hónapon belül, elektronikus úton tájékoztatjuk.

Amennyiben nem intézkedünk a kérelmére vagy az intézkedésünket nem fogadja el, úgy jogorvoslattal élhet. Adatkezelési eljárásunkkal kapcsolatos panasszal Ön fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy a lakóhelye vagy tartózkodási helye szerinti törvényszékhez. Felhívjuk azonban a figyelmét, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlata alapján panaszát akkor fogadja be a Hatóság, hogy ha előbb az adatkezelőhöz, esetünkben tehát hozzánk fordult, de nem intézkedtünk a kérelmére vagy az intézkedésünket nem fogadta el. Javasoljuk ezért, hogy először a munkatársunkkal vegye fel a kapcsolatot!

Tájékoztatjuk, hogy a fenti jogérvényesítéssel és jogorvoslattal kapcsolatos részletes eljárási szabályokat honlapunkon is elérhetővé tettük.^[4]

helység, dátum

                                                                                                                      xXx

            
4. sz. melléklet

Az érintett hozzáférési jogának gyakorlása esetén adott válasz – minta

Tisztelt [xXx]!

Tájékoztatjuk, hogy [dátum] érkezett kérelme alapján, amelyben személyes adatainak kezeléséről szóló tájékoztatását kérte, Társaságunk az Önre nézve kezelt adat(ok)ra vonatkozóan az alábbi tájékoztatást adja:

(1) Társaságunk Önre nézve adatot nem kezel. Ez alól kivételt képeznek a jelen hozzáférési jog érvényesítése során megadott adatai, amelyet a cél eléréséig kezel Társaságunk.

(2) Társaságunk Önre nézve az alábbi adatokat az alábbiak szerinti kezeli:

Az adatkezelés célja:

xXx

Az érintett személyes adatok kategóriái;

xXx

Azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják:

xXx  

A személyes adatok tárolásának időtartama:

xXx

Az adatok forrása:

Ön/xXx

Automatizált döntéshozatal ténye:

(1. lehetséges verzió) az adatkezelés során automatizált döntéshozatal nem zajlik.

(2. lehetséges verzió) xXx [automatizált döntéshozatal bemutatása a GDPR 13. cikk (2) f) alapján].

A(z) [adatkezelő] tájékoztatja, hogy a GDPR alapján Ön, személyazonosságának igazolását követően az alábbi jogérvényesítési lehetőségekkel élhet:

• kérheti tájékoztatását személyes adatai kezeléséről, (mindegyik jogalap esetén, kötelező elem)
• kérheti személyes adatainak helyesbítését, (mindegyik jogalap esetén, kötelező elem)
• visszavonhatja az adatkezeléshez adott hozzájárulását, [csak abban az esetben, amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1)bekezdés a), eshetőleges elem]
• kérheti személyes adatai törlését, ha azok kezelése véleménye szerint jogellenes vagy az azokkal elérendő célból a Társaságnak már nincs rá szüksége, (mindegyik jogalap esetén, kötelező elem)
• kérheti személyes adatai kezelésének korlátozását, (mindegyik jogalap esetén, kötelező elem)
• élhet adathordozhatósághoz való jogával [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1)bekezdés a) vagy b) és az adatkezelés automatizált módon történik, eshetőleges elem]
• tiltakozhat az adatkezelés ellen [csak abban az esetben, ha az adatkezelés jogalapja a GDPR 6. cikk (1)bekezdés e) vagy f), eshetőleges elem]

xXx törekszik arra, hogy az Önnek adott tájékoztatás minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.

Kérelmét elsősorban írásban terjesztheti be az adatvédelmi tisztviselőnek címzett, jelen tájékoztatóban feltüntetett elérhetősége(ke)n. Az igényt munkatársunk rögzíti és a kérelem beérkezésétől számított legkésőbb egy hónapon belül tájékoztatjuk Önt kérelmével kapcsolatosan. Ezt a határidőt maximum további két hónappal hosszabbíthatjuk meg, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma ezt indokolja, ellenben erről a kérelem kézhezvételétől számított egy hónapon belül, elektronikus úton tájékoztatjuk.

Amennyiben nem intézkedünk a kérelmére vagy az intézkedésünket nem fogadja el, úgy jogorvoslattal élhet. Adatkezelési eljárásunkkal kapcsolatos panasszal Ön fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy a lakóhelye vagy tartózkodási helye szerinti törvényszékhez. Felhívjuk azonban a figyelmét, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlata alapján panaszát akkor fogadja be a Hatóság, hogy ha előbb az adatkezelőhöz, esetünkben tehát hozzánk fordult, de nem intézkedtünk a kérelmére vagy az intézkedésünket nem fogadta el. Javasoljuk ezért, hogy először a munkatársunkkal vegye fel a kapcsolatot!

Tájékoztatjuk, hogy a fenti jogérvényesítéssel és jogorvoslattal kapcsolatos részletes eljárási szabályokat honlapunkon is elérhetővé tettük.^[5]

helység, …… év …… hó …… nap

5. sz. melléklet

Az érintett tájékoztatása a rá vonatkozó adat helyesbítéséről – minta

Tisztelt [xXx]!

Tájékoztatjuk, hogy [dátum] érkezett kérelme alapján, amelyben személyes adatának helyesbítését kérte [……………………..] Társaságtól. Társaságunk az Önre nézve kezelt és az Ön által megjelölt adato(ka)t [dátum] helyesbítette.

A helyesbítő adat(ok): [xXx]

Az adatkezelési folyamat(ok), amely(ek)ben az adat helyesbítését kérte: [xXx]

A helyesbítést úgy végezte el Társaságunk, hogy a helyesbített adat a továbbiakban nem áll Társaságunk rendelkezésére, így annak adatkezelését megszüntettük, helyette – az eredeti célnak megfelelően a továbbiakban – a helyesbítő adatot kezeli a XXx

helység, …… év …… hó …… nap

6. sz. melléklet

Táblázat az érintetti jogok gyakorolhatóságáról

Az adatkezelés során az érintett – az egyes jogalapoktól függően – a GDPR alapján a következő jogokat gyakorolhatja:

jogalapérintetti jog	6. cikk (1)						9. cikk (2)a)hozzájárulás
	a) hozzájárulás	b) szerződés	c) jogi kötelezettség	d) létfontosságú érdek	e) közhatalmi jogosítvány	f) jogos érdek
tájékoztatás	igen	igen	igen	igen	igen	igen	igen
hozzáférés	igen	igen	igen	igen	igen	igen	igen
helyesbítés	igen	igen	igen	igen	igen	igen	igen
törlés	igen	igen	igen	igen	igen	igen	igen
törlés: hozzájárulás visszavonás	igen	nem	nem	nem	nem	nem	igen
korlátozás	igen	igen	igen	igen	igen	igen	igen
tiltakozás	nem	nem	nem	nem	igen	igen	nem
adathordozhatóság	igen	igen	nem	nem	nem	nem	igen

7. sz. melléklet

Adatvédelmi érdekmérlegelési teszt minta

Érdekmérlegelési teszt – minta

Adatkezelő megnevezése:
Adatkezelés megnevezése:
Adatkezelés sorszáma:
Az érdekmérlegelési teszt elvégzésnek dátuma:	20..(év) ………(hó) …(nap)
Az érdekmérlegelési teszt elvégzője:	név, beosztás

Tekintettel arra, hogy a nevezett adatkezelést az Adatkezelő az Európa Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a továbbiakban GDPR/Rendelet – 6. cikk (1) bekezdés f) pontjában megjelölt jogalappal végzi, ezért jelen érdekmérlegelési teszt elvégzésével megvizsgálta, hogy az adatkezelés megfelel-e a GDPR alapelveinek és ezen jogalapon valóban végezheti-e az adatkezelést.

1. Az adatkezelés célja

[az adatkezelés folyamatának és az elérendő cél bemutatása]

2. Az adatkezelés céljához fűződő jogos érdek bemutatása

2.1. A jogos érdek bemutatása

[az adatkezelő adatkezeléshez fűződő jogos érdekének bemutatása]

2.2. Annak a személyének meghatározása, akinek az adatkezeléshez jogos érdeke fűződik

[a GDPR 6. cikk (1) bekezdés f) pontja szerint ezen a jogalapon az adatkezelőnek vagy harmadik félnek a jogos érdeke alapján történhet adatkezelés, ezért nevesítendő, hogy kinek a jogos érdeke fűződik az adatkezelés céljának eléréséhez]

Megállapítás: az adatkezelő/[nevesített harmadik fél] adatkezelés céljához fűződő jogos érdeke fennáll/nem áll fenn

3. Az adatkezelés szükségességének vizsgálata

3.1. Az adatkezelő által elérendő cél személyes adat kezelése nélküli elérhetősége

[annak vizsgálata, hogy az adatkezelő által elérendő cél elérhető-e úgy, hogy az adatkezelő személyes adatok megismerése, kezelése nélkül végzi a tevékenységet]

3.2. Az adatkezelő oldalán jelentkező előny, amennyiben az adatkezelést végezheti

[annak leírása, hogy milyen előny vagy előnyök jelentkeznek az adatkezelő oldalán, amennyiben az adatkezelést végezheti]

3.3. Az adatkezelő oldalán jelentkező hátrány, amennyiben az adatkezelést nem végezheti

[annak leírása, hogy milyen hátrány vagy hátrányok jelentkeznek az adatkezelő oldalán, amennyiben az adatkezelést nem végezheti]

Megállapítás: az adatkezelő céljának eléréséhez szükséges/nem szükséges az adatkezelés

4. Annak vizsgálata, hogy az adatkezelés más jogalappal végezhető-e

4.1. lehetséges jogalap: GDPR 6. cikk (1) bekezdés a) „az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez”

[a jogalap alkalmazhatóságának vizsgálata]

Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető

4.2. lehetséges jogalap: GDPR 6. cikk (1) bekezdés b) „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”

[a jogalap alkalmazhatóságának vizsgálata]

Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető

4.3. lehetséges jogalap: GDPR 6. cikk (1) bekezdés c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

[a jogalap alkalmazhatóságának vizsgálata]

Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető

4.4. lehetséges jogalap: GDPR 6. cikk (1) bekezdés d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges

[a jogalap alkalmazhatóságának vizsgálata]

Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető

4.5. lehetséges jogalap: GDPR 6. cikk (1) bekezdés e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

[a jogalap alkalmazhatóságának vizsgálata]

Megállapítás: az adatkezelés ezen a jogalapon végezhető/nem végezhető

Megállapítás: az adatkezelés egyetlen lehetséges jogalapja a GDPR 6. cikk (1) bekezdés f) pont.

5. Az adattakarékosság elvének való megfelelés vizsgálata

5.1. Az adatkezelés során kezelt, az érintettre vonatkozó személyes adatok megnevezése

[az adatkezelés során kezelt adatok felsorolása, lehetőség szerint minél pontosabban, de amennyiben ez nem veszélyezteti a teszt eredményét, a kezelt adatok kategóriákba is rendezhetőek]

5.2. Az adatkezelés során különleges személyes adat kezelése

Az adatkezelés során különleges személyes adat kezelése történik/nem történik.

5.3. Különleges személyes adat kezelése esetén a GDPR 9. cikk (1) bekezdésében nevesített tilalom alóli felmentő GDPR 9. cikk (2) bekezdésében nevesített körülmény

[a GDPR 9. cikk (2) bekezdés a)-j) pontjai közül legalább egy nevesítése, amely indokkal együtt alátámasztja, hogy az adat kezelése a GDPR 9. cikk (1) bekezdésben meghatározott tilalom ellenére kezelhető]

5.4. Olyan adat kezelésének ténye, amelyhez tagállami tilalom vagy korlátozás fűződik

[a GDPR 9. cikk (4) bekezdés kimondja, genetikai, biometrikus és egészségügyi adatok kezelésére vonatkozóan a tagállamok további feltételeket, köztük korlátozásokat tarthatnak hatályban vagy vezethetnek be, ezért vizsgálandó, hogy az adatkezelés során ilyen adat történik-e és amennyiben igen, úgy az vizsgálandó, hogy az adatkezelő vagy az adatkezelés által meghatározható tagállam – elsősorban Magyarország – ilyen jogot alkotott-e és annak megfeleltethető-e az adatkezelés]

5.5. Annak vizsgálata, hogy az adatkezelés során bármely adat elhagyható-e úgy, hogy a cél továbbra is elérhető maradjon

[annak bemutatása, hogy az adatkezelő adatonként – vagy adatkategóriánként, ha úgy határozta meg – alá tudja támasztani, hogy az adott adat – vagy kategória – kezelése mennyiben indokolt a cél eléréséhez]

Megállapítás: az adatkezelés során az adatkezelő csak/nem csak olyan adatot kezel, amely elengedhetetlen a cél megvalósításához, így az adatkezelés megfelel/nem felel meg az adattakarékosság elvének

6. Az adatkezelés az érintett oldalán

6.1. Az érintett oldalán jelentkező hátrány, amennyiben az adatkezelést az adatkezelő végzi

[annak leírása, hogy milyen hátrány vagy hátrányok jelentkeznek az érintett oldalán, amennyiben az adatkezelést az adatkezelő végzi – a leírás során különös figyelem fordítandó az érintett információs önrendelkezéshez és a magánszférához fűződő alapjogára]

6.2. Az adatkezelő oldalán jelentkező előny, amennyiben az adatkezelést az adatkezelő végzi

[annak leírása, hogy milyen előny vagy előnyök jelentkeznek az érintett oldalán, amennyiben az adatkezelést az adatkezelő végzi]

6.3. Az érintett tájékozottsága az adatkezelés során

Az adat forrása: az érintett / [nevesített harmadik személy]

[annak kifejtése, hogy hogyan tesz eleget az adatkezelő az érintett GDPR 13. vagy 14. cikke szerinti tájékoztatásnak attól függően, hogy ki az adat forrása]

6.4. Az adatkezelés során alkalmazott automatikus döntéshozatal ténye és hatása az érintettre

Az adatkezelés során automatikus döntéshozatal: történik / nem történik

[az automatizált döntéshozatal – pl. profilozás – bemutatása és az érintett magánszférájára gyakorolt hatásának bemutatása]

6.5. Az érintett jogainak biztosítottságának vizsgálata

[annak leírása, hogy az érintett milyen módon tudja érvényesíteni a GDPR 15-22. cikkekben meghatározott, az adatkezelés kapcsán értelmezhető érintetti jogait különös tekintettel a tiltakozáshoz való jogára]

7. Garanciák az adatkezelés során

7.1. A jogszerűség, tisztességes eljárás és átláthatóság elvének való megfelelés vizsgálata

[annak vizsgálata, hogy az adatkezelés sért-e jogot vagy jogszabályt, tisztességes és átlátható-e – utóbbinál hivatkozható a 6.3. pont]

7.2. A célhoz kötöttség elvének való megfelelés vizsgálata

[annak vizsgálata, hogy az adatkezelés megfelel-e a célhoz kötöttség elvének azaz az adatot az adatkezelő csak a hivatkozott cél elérése használja fel, eltérő célra nem – amennyiben eltérő célra is felhasználja, úgy csak a GDPR-ban meghatározottak szerint, önálló jogalappal és esetlegesen újabb érdekmérlegelési teszt lefolytatásával támasztható alá]

7.3. A pontosság elvének való megfelelés vizsgálata

[annak vizsgálata, hogy az adatkezelő mit tesz meg azért, hogy az adatkezelésben érintett személyes adatok pontosak és naprakészek legyenek]

7.4. A korlátozott tárolhatóság elvének való megfelelés vizsgálata, az adatkezelés időtartama

[annak vizsgálata, hogy az adatkezelő meddig kezeli a személyes adatok különös tekintettel arra, hogy az időtartam meghatározása milyen szempontok alapján történt, a cél elérést miként észleli és szünteti meg ekkor az adatkezelést]

7.5. Az integritás és bizalmas jelleg elvének való megfelelés vizsgálata, az adatbiztonsági szabályok bemutatása

[az adatok biztonságát garantáló szervezeti, szervezési, technikai szabályok és eljárások bemutatása vagy az azokat lefektető szabályozásra való hivatkozás]

8. Az érdekmérlegelési teszt eredménye

Az adatkezelés szükségessége: szükséges / nem szükséges

[….]

Az adatkezelés folyamatának arányossága: arányos / nem arányos

[….]

Az adatkezelés az adatkezelő által meghatározottak szerint az érdekmérlegelési tesztben bemutatott és megvizsgált módon végezhető / nem végezhető.

8. sz. melléklet

Jogosultságkezelési nyilvántartólap

Adatkezelő neve:

Székhelye:

Dolgozó neve	Munkaköre	Jogosultság megadásának napja	Jogosultság megszűnésének napja	Jogosultság leírása/típusa	Jóváhagyó szervezeti egység vezetője

                                                               ……………………………………………………………………

9. sz. melléklet

Jogosultságkezelési megrendelőlap

Adatkezelő neve:

Székhelye:

Felhasználó neve:_____________________________________________________________ 

Szervezeti egység:____________________________________________________________ 

Szervezeti egység vezető neve:__________________________________________________ 

Igénylő (munkahelyi közvetlen vezető) neve:_______________________________________ 

Az igény:

 jogosultságigénylés

 meglévő jogosultság módosítása

 összes jogosultság törlése munkaviszony megszűnése miatt

Az igény indokolása:

 új munkavállaló

 jelenlegi munkavállaló pozícióváltása

 jogosultság törlés

A meglévő jogosultság leírása: 

___________________________________________________________________________ 

Az igényelt jogosultság, a jogosultság jóváhagyásához szükséges információ leírása:

___________________________________________________________________________   

A jogosultság törlésének indoka:

___________________________________________________________________________ 

Amennyiben értelmezhető: a hozzáférés típusa (csak olvasás, írás-olvasás, tulajdonos stb,)

___________________________________________________________________________ 

Dátum: ______________________________________                                              

                                                                                                  igénylő aláírása

***

Az igénylőlap beérkezésének dátuma:

Az igénylőlapot iktatta:

***

Az igény                                         indokolt                     indokolatlan

                                                                                                 informatikus aláírása

***

Az igény                                         indokolt                     indokolatlan

                                                                                                                                              vezető tisztségviselő aláírása

***

Az igény teljesülésének dátuma:                                                                  

                                                                                                 informatikus aláírása

10. sz. melléklet

Adatvédelmi incidens jelentő lap – Minta

Ikt. sz:………/20…………

Adatvédelmi incidens jelentő lap

(lehetőleg az adatvédelmi incidenst észlelő munkatárs töltse ki!)

Adatkezelő Társaság neve:

Székhelye:

Az adatvédelmi incidenst bejelentő személy neve: ………………………………………………,

beosztása: ………………………………………………, törzsszáma: ……………………………,

szervezeti egysége: ………………………………………………………………………………….. 

Az adatvédelmi incidens adatai:

– mikor észlelte az adatvédelmi incidenst?: ……. év ….. hó …. nap … óra ….. perc

– hol észlelte az incidens bekövetkezését?: …………………………………………………………..

– hogyan észlelte az incidens bekövetkezését?: 

…………………………………………………………………………………………………………………………………………………………………………………………………………………………

– az incidens bekövetkezésének ideje (amennyiben ismeri): ……. év ….. hó …. nap ….. perc vagy: ……. év ….. hó …. nap … óra ….. perc és ……. év ….. hó …. nap … óra ….. perc közötti időszakban

– az incidens rövid leírása:

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

– Az Ön tudomása szerint milyen személyes adatok érintettek az incidensben?

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………….

– Az észlelt adatvédelmi incidens érinti-e a Társaság informatikai rendszerét (bármely adatbázisát, levelező rendszerét, személyes adatokat tartalmazó elektronikus dokumentumait, stb.)? IGEN /NEM

Amennyiben az incidens a Társaság informatikai rendszerét, illetve eszközeit (telefon, mobil telefon, számítógép, stb.) érinti, azt köteles haladéktalanul bejelenteni az informatikai feladatok ellátásáért felelősnek is! 

Az informatikai feladatok ellátásért felelős értesítése megtörtént-e? IGEN / NEM

Kelt, …………………….., 20…….. év ………. hó …… nap …….. perc

                                                                            ……………………………………………

                                                                                      bejelentő aláírása

11. sz. melléklet

Adatvédelmi incidens-nyilvántartó lap – Minta

……/20…/AVINC

(Értelemszerűen iktatva, például 1/2020/AVINC, azaz a 2020-as év 1-es számú incidense.)

Adatvédelmi incidens-nyilvántartó lap^[6]

Adatkezelő neve:

Székhelye:

Az adatvédelmi incidens időpontja: (incidens kezdetének dátumától (nap-óra-perc) az incidens végleges elhárításának dátumáig (nap-óra-perc)

Az adatvédelmi incidens tudomásra jutásának időpontja:

Az adatvédelmi incidenssel érintett szervezeti egység(ek):

Az adatvédelmi incidens észlelésének releváns körülményei:

Az adatvédelmi incidenssel érintett személyes adatok köre:

Az adatvédelmi incidenssel érintettek köre és száma:

Az adatvédelmi incidens körülményeinek leírása:

Az adatvédelmi incidens hatásai:

Az adatvédelmi incidens elhárítására tett intézkedések leírása:

Az adatvédelmi incidens kivizsgálásának hatására bevezetett helyesbítő-megelőző intézkedéseket:

Egyéb megállapítás:

Kelt, ………………………., 20 ………. év ………. hó …… nap

                                                                       …………………………………………………….

                                                                                  adatvédelmi tisztviselő

Adatvédelmi incidens értesítési lista

Adatkezelő neve:

Székhelye:

1. Az adatvédelmi incidensben érintett magánszemélyek köre (adatvesztés esetén a redundáns mentési helyről való adathozzáférés útjának megadásával):

Érintett neve és elérhetősége:

1. ……………………………………………………
2. ……………………………………………………
3. …………………………………………………….
4. ……………………………………………………

1. Az adatvédelmi incidensben érintett szervezet adatai, illetve a szervezeti adatok/információk köre (adatvesztés esetén a redundáns mentési helyről való adathozzáférés útjának megadásával):

Érintett szervezetek neve, címe, adóazonosítója és elérhetősége:

1. ……………………………………………………
2. ……………………………………………………
3. …………………………………………………….
4. ……………………………………………………

Az értesítési rend: elsődleges az érintett magánszemélyek értesítése.

Dátum: ………………………………..

                                                                                       ……………………..………………….

                                                                                                                 aláírás

                                                                                                  [adatvédelmi tisztviselő]

12. sz. melléklet

Adatfeldolgozói szerződés

 (minta)

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) 28. cikke szerint létrejövő adatfeldolgozói jogviszony:

Jelen Szerződés létrejött egyrészről,

[……] (székhely:, képviseli:, telefon: ,  e-mail:, cégjegyzékszám:, adószám:, adatvédelmi tisztviselő:, adatvédelmi tisztviselő telefon:, e-mail:), mint adatkezelő (a továbbiakban Adatkezelő),

másrészről,

[……] (székhely:, képviseli:, telefon:, e-mail: , cégjegyzékszám: , adószám:, adatvédelmi tisztviselő:, adatvédelmi tisztviselő telefon:, e-mail:), mint adatfeldolgozó (a továbbiakban Adatfeldolgozó),

külön-külön Fél, együttesen Felek/Szerződő felek között, alulírott napon és az alábbi feltételekkel:

1. A Szerződő felek megállapodnak abban, hogy jelen Szerződés előírásainak betartása mellett, biztosítva a személyes adatok védelmét és tiszteletben tartva az egyének információs önrendelkezési jogát, mint az Európai Unió és a tagállamok által is védett alapjogot, Adatkezelő tevékenységéhez kapcsolódóan az Adatfeldolgozó által végzett szolgáltatás nyújtása során az Adatfeldolgozó a jelen Szerződésben meghatározottak szerint végzi a feladatköréből fakadóan a tudomására jutott, rendelkezésére bocsátott, részére hozzáférhetővé tett személyes adatok kezelését.

2. A jelen Szerződés célja, hogy egységes keretek között szabályozza az Adatkezelő által igénybe vett Adatfeldolgozóra vonatkozó előírásokat, valamint elősegítse az adatvédelmi jogszabályok követelményeinek való megfelelést és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtását.

3. A jelen Szerződésre a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: Rendelet/GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 2. § (2) bekezdésében, és a vonatkozó Magyarország területén hatályos ágazati jogszabályokban foglaltak az irányadóak, (együttesen adatvédelmi jogszabályok).

4. A jelen szerződés tárgya

4.1. Adatkezelő jelen Szerződés aláírásával megbízást ad az Adatfeldolgozó részére jelen Szerződés elválaszthatatlan részét képező 1. sz. mellékletben részletezett feladatok ellátása keretében tudomására, rendelkezésére bocsátott, vagy részére hozzáférhetővé tett személyes adatok kezelésére.

4.2. Adatfeldolgozó kijelenti, hogy a 4.1. pontban foglalt megbízást elfogadja, egyúttal kijelenti, hogy nem érdekelt a feldolgozás alá eső személyes adatokat felhasználó üzleti tevékenységében.

4.3. A Szerződő felek rögzítik, hogy a jelen szerződéshez kapcsolódó alapszerződést […..] napján írták alá.

5. A Szerződés teljesítésének általános szabályai

5.1. A Szerződő felek rögzítik, hogy az Adatfeldolgozó részére átadott, rendelkezésére bocsátott, vagy részére hozzáférhetővé tett személyes adatokat kizárólag az Adatkezelő írásbeli (dokumentált) utasítása (meghatározva az adatkezelési tevékenységet, különösen célját, eszközét, a kezelt adatok körét) alapján kezeli, beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is, kivéve, ha az adatkezelést az Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő. Ebben az esetben az Adatfeldolgozó az Adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az Adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja. 

Adatkezelő kizárólagosan jogosult a Szerződés tárgyát képező tevékenység végrehajtását ellenőrizni.

5.2. Adatfeldolgozó kötelezettséget vállal az általa adatfeldolgozás keretében kezelt adatok Adatkezelő utasításainak megfelelő módosítására, kiegészítésére, kijavítására, korlátozására, illetve törlésére. Adatfeldolgozó kötelezettséget vállal, illetőleg megfelelő garanciákat nyújt az általa adatfeldolgozóként ellátott adatkezelési tevékenységnek a Rendeletben szabályozott követelményrendszerrel való megfelelésre és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

5.3. Adatfeldolgozó az Adatkezelő utasítására, az adatvédelmi szabályokkal és alapelvekkel összhangban kezeli az adatokat, továbbá köteles figyelemmel lenni az Adatkezelőnek az Adatfeldolgozó által ismert szerződéses kötelezettségeire.

5.4. Adatkezelőnek a Szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért Adatkezelőt terheli felelősség, azonban Adatfeldolgozó köteles haladéktalanul írásban jelezni Adatkezelőnek, amennyiben Adatkezelő utasítása vagy annak végrehajtása jogszabályba ütközne.

5.5.  Az Adatfeldolgozó köteles megfelelő intézkedésekkel biztosítani, hogy az irányítása alatt eljáró, személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhessék a személyes adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

5.6.  Adatfeldolgozó kizárólag azon dolgozói részére biztosít hozzáférést az adatokhoz, akiknek az adatfeldolgozási tevékenység ellátása érdekében arra szükségük van, továbbá tájékoztatással látja el a hozzáféréssel rendelkezőket a biztonsági követelményeknek való megfelelési és titoktartási kötelezettségről. Az Adatfeldolgozó biztosítja, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak. Az Adatkezelő erre irányuló kérése esetén az Adatfeldolgozó köteles haladéktalanul az Adatkezelő rendelkezésére bocsátani a titoktartási kötelezettség vállalását alátámasztó dokumentumokat.

5.7. Az Adatfeldolgozó saját költségén megfelelő technikai és szervezési intézkedéseket vezet be és tart fenn a személyes adatoknak a kapcsolódó szerződéssel összefüggésben történő kezelésével kapcsolatban és biztosítja a GDPR 32. cikkében előírt adatbiztonsági intézkedéseket. A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe veszi az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

5.8. Adatfeldolgozó az Adatkezelő által részére átadott adatokat nem módosíthatja, nem törölheti, nem másolhatja, nem kapcsolhatja össze más adatbázisokkal, az adatokat nem használhatja a jelen Szerződéstől eltérő célra, sem saját célra, nem közölheti harmadik felekkel, kivéve olyan mértékben, amennyiben az Adatkezelő azt számára kifejezetten előírja és az Adatfeldolgozás keretében az adatkezelés céljából szükséges.

5.9. Adatfeldolgozó nem jogosult az Adatkezelő képviseletére, vagy az Adatkezelő nevében jognyilatkozat tételére, kivéve akkor, ha erre az Adatkezelővel kötött megállapodás, vagy más okirat kifejezetten felhatalmazza.

5.10. Az Adatfeldolgozó tudomásul veszi, hogy az Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további Adatfeldolgozót nem vesz igénybe. A Szerződő felek rögzítik, hogy általános írásbeli felhatalmazás esetén az Adatfeldolgozó kötelezettséget vállal arra, hogy tájékoztatja előzetesen az Adatkezelőt minden al – adatfeldolgozó bevonása, cseréje vonatkozásában tervezett változtatásról.

Amennyiben az Adatkezelő hozzájárult ahhoz, hogy további adatfeldolgozó járjon el, az Adatfeldolgozó írásbeli szerződéssel vagy más jogi aktussal köteles kijelölni az al-adatfeldolgozót. Az Adatfeldolgozó tudomásul veszi, hogy az al-adatfeldolgozó igénybevételéről szóló megállapodásnak ugyanazon adatvédelmi kötelezettségeket kell tartalmaznia, mint amelyeket jelen Szerződés tartalmaz. 

Érintetti jogok gyakorlásának biztosítása

5.11. Az Adatfeldolgozó az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben köteles segíteni az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.

5.12. Az Adatfeldolgozó haladéktalanul, de legkésőbb a beérkezéstől számított 3 munkanapon belül köteles átadni minden információt az Adatkezelő részére

a) az érintettől^[7] érkező valamennyi igényről, kérelemről, valamint

b) a személyes adat kezelését érintő valamennyi adatvédelmi jellegű panaszról,

c) a kérelem teljesítéséhez szükséges, általa kezelt adatokat és minden más, a birtokában levő információt, ami szükséges a kérelem teljesítéséhez, illetve javaslatot tesz az Adatkezelő részére a kérelem teljesítése érdekében általa ellátandó teendőkre, minden olyan esetben, amikor a kérelemben foglaltakkal összefüggésben a Szerződés alapján adatkezelési tevékenységet végez.

Az Adatfeldolgozó kötelezettsége abban az esetben is fennáll, ha az az adatigénylés, vagy az érintetti jogok gyakorlására vonatkozó kérelem érkezéséről az Adatkezelő tájékoztatja az Adatfeldolgozót.

5.13. Az Adatfeldolgozó köteles együttműködik az Adatkezelővel az érintett igénye, kérelme vagy panasza kivizsgálásával kapcsolatban. Az Adatfeldolgozó az érintettek részére választ kizárólag az Adatkezelő előzetes írásbeli jóváhagyása esetén küldhet. Az Adatkezelő az érintetti jogok gyakorlásának biztosítása érdekében szükségesnek látja, konkrét utasítást adhat az Adatfeldolgozó eljárására nézve.

5.14. Az Adatfeldolgozó biztosítja, hogy az általa igénybe vett további adatfeldolgozók is a fentiek szerint járjanak el.

5.15. Szerződő Felek rögzítik, hogy az érintett előzetes beleegyezésének hiánya jelen Szerződés teljesítését nem érinti, az érintett tájékoztatása az Adatkezelő feladata.

5.16. Nyilvántartás vezetési kötelezettség

Az Adatfeldolgozó írásban – ideértve az elektronikus formátumot – is nyilvántartást vezet az Adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról, amely a következő információkat tartalmazza:

a) az Adatfeldolgozó vagy Adatfeldolgozók neve és elérhetőségei, és minden olyan Adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az Adatfeldolgozó eljár, továbbá – ha van ilyen – az Adatkezelő vagy az Adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b) az Adatkezelő nevében végzett adatkezelési tevékenységek kategóriái;

c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását;

d) a jelen dokumentumban hivatkozott technikai és szervezési intézkedések általános leírása.

5.17. Az Adatkezelő vagy az Adatfeldolgozó a felügyeleti hatóság megkeresése alapján rendelkezésére bocsátja a nyilvántartást. 

6. Tájékoztatás, együttműködés, ellenőrzés

6.1. Szerződő Felek jelen Szerződés teljesítése érdekében együttműködési kötelezettséget vállalnak, amelynek keretében kötelesek a Szerződés teljesítését befolyásoló minden lényeges körülményt egymással haladéktalanul, de legkésőbb három munkanapon belül közölni.

6.2. Az Adatfeldolgozó köteles az Adatkezelő rendelkezésére bocsátani minden olyan információt, amely igazolja, hogy eleget tett az Adatvédelmi jogszabályok és a jelen szerződés alapján fennálló kötelezettségeinek, ideértve az Adatfeldolgozó által bevezetett és fenntartott technikai és szervezési intézkedésekre vonatkozó információkat.

6.3. Adatfeldolgozó kötelezettséget vállal arra, hogy együttműködik az Adatkezelővel annak érdekében, hogy az Adatkezelő a rá vonatkozó jogszabályi kötelezettségeit be tudja tartani. Az együttműködés különösen az alábbi területekre terjed ki: az érintettek hozzáféréshez, törléshez, helyesbítéshez fűződő jogainak teljesítésével kapcsolatos megkeresések jogszabályi határidőn belüli teljesítése.

6.4. Adatfeldolgozó köteles az Adatkezelőt haladéktalanul értesíteni minden, az adatok biztonságát érintő eseményről, vagy kockázatról, az ezekkel kapcsolatos intézkedéseket megtenni és teljes körűen együttműködni az Adatkezelővel.

6.5. Az Adatfeldolgozó köteles segíteni az Adatkezelőt az adatbiztonsági előírások, az adatvédelmi incidens kezelése, az adatvédelmi hatásvizsgálat elvégzéséből és a felügyeleti hatósággal folytatott előzetes konzultációból eredő kötelezettségek teljesítésében. Szerződő felek rögzítik, hogy az Adatfeldolgozó kötelezettsége az Adatkezelő kérésére mind a hatásvizsgálat lefolytatásával, incidensek kezelésével kapcsolatosan, mind a Hatósággal folytatott előzetes konzultáció, kapcsolattartás során, az érintettel történő kommunikáció érdekében minden szükséges információt megadni, együttműködni.

6.6. Az Adatfeldolgozó lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Adatfeldolgozó kötelezi magát arra, hogy az Adatkezelő és annak megbízottjai részére az adatfeldolgozás keretében végzett adatkezelésével kapcsolatos rendszerei, nyilvántartásai, adatai, információi és eljárásai körében lefolytatott ellenőrzés, vizsgálat során az Adatkezelővel teljes körűen együttműködik. Ennek keretében biztosítja az ellenőrzésre jogosult személy számára azt, hogy az adatfeldolgozással kapcsolatos nyilvántartásokhoz, az azokban tárolt adatállományokhoz, az adatfeldolgozás során alkalmazott eljárásokhoz teljes körűen hozzáférjen.

6.7. Szerződő Felek, valamint Szerződő Felek képviselője feladatai végrehajtása során a felügyeleti hatósággal – annak megkeresése alapján – együttműködik.

6.8. Adatfeldolgozó haladéktalanul, de legkésőbb három munkanapon belül értesíti Adatkezelőt, ha a szerződés teljesítése során bármikor olyan körülmény áll elő, mely akadályozza az időben történő teljesítést. Az értesítés magában foglalja a késedelem várható időtartamáról és okairól való tájékoztatást.

7. Adatvédelmi incidens esetén irányadó szabályok

7.1. Az Adatfeldolgozó az általa folytatott adatkezeléssel kapcsolatban tudomására jutott adatvédelmi incidensekről, illetve az adatbiztonsági intézkedések olyan sérelméről, amely nem éri el az adatvédelmi incidens szintjét (a továbbiakban: adatvédelmi rendellenesség), az azokról való tudomásszerzést követően haladéktalanul köteles bejelentést tenni az Adatkezelő felé és az Adatkezelő adatvédelmi tisztviselőjének.

7.2. Az Adatfeldolgozó az adatvédelmi incidenst, az adatvédelmi rendellenességet az arról való tudomásszerzést követően indokolatlan késedelem nélkül, de legkésőbb 12 órán belül köteles bejelenteni az Adatkezelőnek és a tudomásszerzést követően legkésőbb 24 órán belül az Adatkezelő rendelkezésére bocsátja az alábbi információkat – amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül egyeztetve részletekben is közölhetők -: 

a) ismertetni kell az adatvédelmi incidens, rendellenesség leírását, tartalmát, jellegét, bekövetkezte időpontját, tudomásszerzés időpontját, az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit, körét és hozzávetőleges számát;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) ismertetni kell az adatvédelmi incidensből, rendellenességből eredő, valószínűsíthető következményeket;

d) ismertetni kell az adatvédelmi incidens, rendellenesség orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

7.3. Az Adatfeldolgozó köteles megtenni minden szükséges intézkedést, valamint együttműködik az Adatkezelővel és az Adatkezelő adatvédelmi tisztviselőjével is az adatvédelmi incidens vagy adatvédelmi rendellenesség okának feltárásban, orvoslásában és azok esetleges negatív következményeinek felszámolásában és biztosítja, hogy az általa igénybe vett további adatfeldolgozók ugyanígy járnak el.

7.4. Ha az adatvédelmi incidens, rendellenesség az Adatfeldolgozó több szerződéses partnerét is érinti, az Adatfeldolgozó az adatvédelmi incidens, rendellenesség okainak feltárásánál és a következmények elhárításánál az Adatkezelőt más adatkezelőkkel szemben előnyben részesíti.

7.5. Az Adatfeldolgozó köteles gondoskodni arról, hogy a fenti pontokban foglaltakat az al-adatfeldolgozó(k) is betartsák.

8. Felelősség és kártérítés

8.1. A Szerződő felek rögzítik, hogy az Adatfeldolgozó teljes körű kártérítési felelősséggel tartozik minden olyan kárért, amely az általa végzett adatkezelési tevékenységből ered, így különösen

a) az Adatfeldolgozó vagy bármely al-adatfeldolgozó nem tartotta be az Adatvédelmi jogszabályok és jelen Szerződés alapján fennálló kötelezettségeit,

b) az Adatfeldolgozó vagy bármely al-adatfeldolgozó nem az Adatkezelő által a személyes adatok kezelésével kapcsolatban adott jogszerű utasításoknak megfelelően járt el,

c) a további adatfeldolgozó igénybevételéből eredő esetleges kárért.

8.2. Amennyiben az Adatfeldolgozó nem tesz eleget az Adatvédelmi jogszabályokban és jelen szerződésben rögzített kötelezettségeinek, az Adatkezelő a mulasztás orvoslásáig felfüggesztheti a személyes adatok továbbítását, azokhoz történő hozzáférést.

8.3. Ha az al-adatfeldolgozó nem teljesíti adatkezeléssel kapcsolatos kötelezettségeit, az őt megbízó Adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé az al-adatfeldolgozó kötelezettségeinek megszegéséért. 

8.4. Az Adatfeldolgozó a saját költségén késedelem nélkül elhárítja az Adatkezelő által feltárt és az Adatfeldolgozó felé jelzett minden adatvédelemmel és adatbiztonsággal kapcsolatos hiányosságot, problémát, amely arra utal, hogy az Adatfeldolgozó vagy valamely al-adatfeldolgozó nem tett eleget kötelezettségeinek.

8.5. Amennyiben az Adatfeldolgozó nem az Adatkezelő utasításának megfelelően jár el, az Adatkezelő jogosult a rendkívüli felmondási jogával élni. 

8.6. Adatfeldolgozót – a szerződés teljesítésére, illetőleg megszűnésére tekintet nélkül – határidő nélkül titoktartási kötelezettség terheli. A titoktartási kötelezettség megsértéséből, illetőleg az adatok jogosulatlan nyilvánosságra hozatalából származó hátrányok, valamint az ezek kiküszöböléséhez szükséges költségek, ideértve mind a vagyoni, mind a nem vagyoni kár megtérítését – az egyéb felelősségen túl – azt a felet terhelik, akinek a jogosulatlan nyilvánosságra hozatal tekintetében felelőssége fennáll.

8.7. Amennyiben Adatfeldolgozó túlterjeszkedik jelen Szerződésben és az Adatkezelőtől kapott írásos utasításokban meghatározott jogain, az adott túlterjeszkedésre vonatkozóan önálló adatkezelővé válik, és Adatkezelőnek, az érintettnek vagy harmadik félnek okozott kárért a károkozás általános szabályai szerint köteles helytállni.

9. A Szerződés hatálya, módosítása és megszűnése

9.1. Szerződő felek rögzítik, hogy jelen Szerződés mindkét fél általi aláírásának napján lép hatályba, és az Adatkezelő, az Adatfeldolgozó között létrejött, hatályban lévő szolgáltatási tevékenységre vonatkozó szerződéshez igazodva határozatlan/[…..] tartó határozott időre jön létre, azzal, hogy amennyiben alapszerződés bármely okból megszűnik, megszüntetésre kerül, abban az esetben jelen Szerződés is megszűnik, megszüntetésre kerül. 

9.2. Szerződő felek rögzítik, hogy jelen Szerződés módosítása kizárólag írásban, a Szerződő Felek közös megegyezése alapján történhet. 

9.3. Az Adatfeldolgozó az adatkezelési tevékenység bármely okból történő megszűnése esetén személyes adatokat haladéktalanul, de legkésőbb az Adatkezelővel egyeztetett időpontra visszajuttatja az Adatkezelő részére és gondoskodik a másolatok törléséről is. Ez alól kivételt képez, amennyibe az uniós vagy a tagállami jog a személyes adatok tárolását írja elő.

10. Záró rendelkezések

10.1. Jelen Szerződésben nem szabályozott kérdésekben a Polgári Törvénykönyvről szóló 2013. évi V. törvény, valamint a Rendelet és az Infotv. vonatkozó rendelkezései az irányadóak.

10.2. Szerződő Felek megállapodnak, hogy jelen Szerződéssel kapcsolatos vitás kérdéseiket egymás között tárgyalás útján kísérlik meg rendezni. Amennyiben a tárgyalás 30 napon belül eredményre nem vezet, a pertárgy értékétől függően – a [……] Járásbíróság, illetve a [……]Törvényszék illetékességét kötik ki.

10.3.  Szerződő felek rögzítik, hogy jelen Szerződés bármely pontjának vagy rendelkezéseinek érvénytelensége nem eredményezi a teljes Szerződés érvénytelenségét, kivéve, ha az érvénytelennek minősülő rész hiányában a Szerződés megkötésére nem került volna sor.

A Felek jelen szerződést, mint akaratukkal mindenben megegyezőt, elolvasás és értelmezés után helybenhagyólag írják alá. 

---

^[1] Létfontosságú érdek például, de nem kizárólagosan: járvány, katasztrófa, szükséghelyzet.

^[2] Amennyiben delegálta a feladatellátást.

^[3] Amennyiben ez igaz.

^[4] Amennyiben ez igaz.

^[5] Amennyiben ez igaz.

^[6] A nyilvántartás elektronikus formában is vezethető, amely a nyilvántartások excel táblába bevezetve.

^[7] Érintett: Azonosított vagy azonosítható természetes személy (dolgozó, ügyfél stb.)