Skip to content Skip to footer

GDPR

Öregiskola Közösségi Ház és Könyvtár

2094,Nagykovácsi, Kossuth Lajos u. 78.

Telefon: 06-26/356-362

E-mail: konyvtar@nagykovacsi.hu, kozossegihaz@nagykovacsi.hu

Öregiskola Közösségi Ház és Könyvtár 

Adatvédelmi és adatbiztonsági szabályzata

Tartalomjegyzék

  1. A Szabályzat célja és hatálya – 4 –
  2. Fogalommeghatározások – 5 –
  3. Az adatkezelés szabályai – 8 –
  4. Az intézmény adatvédelmi rendszere – 11 –

4.1. Az adatvédelmi incidens kezelése – 12 –

4.1.1. Adatvédelmi incidens észlelése és jelentése – 12 –

4.1.2. Az adatvédelmi incidens kivizsgálása, értékelése – 12 –

4.1.3. Az adatvédelmi incidens nyilvántartása – 13 –

4.1.4 Az adatvédelmi incidens bejelentése a Hatóság részére – 13 –

4.1.5. Az érintettek tájékoztatása az adatvédelmi incidensről – 13 –

  1. Rendszeres tréningek – 14 –
  2. Hatásvizsgálat – 14 –
  3. Előzetes konzultáció – 15 –
  4. Érdekmérlegelés – 15 –
  5. Adatbiztonsági szabályok – 17 –

Az információbiztonságnak három kiemelt célja van: – 17 –

Fizikai kontroll – 18 –

Adminisztratív kontroll – 18 –

Logikai kontroll – 18 –

Jogosultságkezelés – 18 –

Fizikai védelem – 19 –

Oktatás és tréningrendszer – 19 –

Mobil eszköz menedzsment – 19 –

  1. Az érintettek jogainak érvényesítése – 20 –
  2. Az Intézménynél megvalósuló adatkezelések – 22 –

11.1. Munkára jelentkezők adataival kapcsolatos adatkezelés – 22 –

11.1.1. Az Intézményhez történő jelentkezés folyamata – 22 –

11.2. Közalkalmazotti jogviszonnyal és munkaviszonnyal kapcsolatos adatkezelés – 24 –

11.2.1. Személyazonosító igazolványok fénymásolása – 24 –

11.2.2. Erkölcsi bizonyítványok kezelése – 24 –

11.2.3. Egészségügyi alkalmassággal kapcsolatos egészségügyi adatok kezelése – 25 –

11.2.4. A közalkalmazotti jogviszony és munkaviszony fenntartásával és megszűnésével kapcsolatos adatkezelések, bérszámfejtés, nyilvántartások vezetése – 25 –

11.2.5. A közalkalmazotti jogviszonnyal és munkaviszonnyal kapcsolatos adatkezelésekre vonatkozó nyilatkozatok – 26 –

11.2.6. Harmadik személyek közalkalmazotti jogviszonnyal és munkaviszonnyal kapcsolatosan megadott adatai – 26 –

11.3. A dolgozók technikai eszközeinek ellenőrzésével kapcsolatos adatkezelés – 30 –

11.3.1. Intézményi eszközök ellenőrzése – 30 –

11.3.2. E-mail címek ellenőrzése – 31 –

11.3.3. Az internet használatának ellenőrzése – 31 –

11.3.4. Az ellenőrzés menete – 31 –

11.4. Munkára képes állapot ellenőrzése, munkabalesettel kapcsolatos adatkezelés – 32 –

11.5. A Közösségi Házzal és Könyvtári feladatokkal kapcsolatos adatkezelés – 34 –

11.6. Pénzügyi jellegű tevékenység kapcsán megvalósuló adatkezelés – 35 –

11.7. Panaszkezeléshez kapcsolódó adatkezelés – 36 –

11.8. Hátralékkezelés kapcsán megvalósuló adatkezelés – 38 –

11.9. Az Intézmény partnerekkel kötött szerződéses kötelezettségek teljesítéséből adódó kapcsolattartói, a szerződés teljesítésében közreműködők adataira vonatkozó adatkezelés – 38 –

  1. Záró rendelkezések – 39 –
  2. Függelékek – 39 –

Titoktartási nyilatkozat – 41 –

Adatfeldolgozói szerződés – 43 –

Adatvédelmi incidensnyilvántartó – 50 –

Adatvédelmi incidens értesítési lista – 51 –

Adatvédelmi hatásvizsgálat elkészítéséhez használatos segédanyag – 52 –

Adatvédelmi érdekmérlegelési teszt – 56 –

Számítógépes rendszerek használatára jogosult személyek nyilvántartása – 60 –

Az adatkezeléssel érintett helyiségekben található tárolókhoz kulccsal rendelkező személyek nyilvántartása (minta) – 61 –

Kulcsfelvételi engedély – 62 –

Adatmegsemmisítési jegyzőkönyv – 63 –

A Szabályzat dinamikusan változó adatkezelési rendszerelemeiről – 64 –

Válaszlevél a beérkező önéletrajzokra – 66 –

Válaszlevél a meghirdetett álláspályázatokra érkező önéletrajzokra – 67 –

Hozzátartozói nyilatkozat adatkezelésről – 68 –

Adatvédelmi tájékoztató munkavállalók/közalkalmazottak részére – 69 –

Titoktartási nyilatkozat

Adatfeldolgozói szerződés

Adatvédelmi incidensnyilvántartó

Adatvédelmi incidens értesítési lista

Adatvédelmi hatásvizsgálat elkészítéséhez használatos segédanyag

Adatvédelmi érdekmérlegelési teszt

Számítógépes rendszerek használatára jogosult személyek nyilvántartása

Az adatkezeléssel érintett helyiségekben található tárolókhoz kulccsal rendelkező személyek nyilvántartása (minta)

Kulcsfelvételi engedély

Adatmegsemmisítési jegyzőkönyv

A Szabályzat dinamikusan változó adatkezelési rendszerelemeiről

Válaszlevél a beérkező önéletrajzokra

Válaszlevél a meghirdetett álláspályázatokra érkező önéletrajzokra

Hozzátartozói nyilatkozat adatkezelésről

Adatvédelmi tájékoztató munkavállalók/közalkalmazottak részére……………………………….

Panaszkezeléshez kapcsolódó adatkezelés……………………………………………………………………….-81-

Az Öregiskola Közösségi Ház és Könyvtár (a továbbiakban: Intézmény vagy Adatkezelő) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi és adatbiztonsági Szabályzatot (a továbbiakban: Szabályzat) alkotja.

Intézmény neve:    Öregiskola Közösségi Ház és Könyvtár

Székhelye:                  2094 Nagykovácsi, Kossuth Lajos u. 78.

Adószám: 16797013213

Intézményvezető:       G. Furulyás Katalin

Intézmény, mint Adatkezelő elérhetősége: 

Telefon: 06-26/356-362

E-mail: konyvtar@nagykovacsi.hu, kozossegihaz@nagykovacsi.hu

Az Intézmény Fenntartója (a továbbiakban Fenntartó):

Nagykovácsi Nagyközség Önkormányzata

A Fenntartó által kijelölt vagy megbízott adatvédelmi tisztviselő neve és elérhetősége:

Jelen rendelkezéseket az Intézmény többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fenn jelen rendelkezések és bármely más, jelen Szabályzat hatálybalépése előtt hatályba lépett szabályzat előírásai között, úgy abban az esetben jelen rendelkezések az irányadóak. 

Jelen Szabályzatban használt rövidítések:

GDPR, vagy

Rendelet Az Európa Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről

Panasztv.        a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény

Infotv. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

Kjt. a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény

Mt. a munka törvénykönyvéről szóló 2012. évi I. törvény

                       a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről szóló 1997. évi CXL. törvény

Mvt. a munkavédelemről szóló 1993. évi XCIII. törvény

Ptk. a polgári törvénykönyvről szóló 2013. évi V. törvény

Sztv. a számvitelről szóló 2000. évi C. törvény

NAIH vagy

Hatóság Nemzeti Adatvédelmi és Információszabadság Hatóság

  • A Szabályzat célja és hatálya

Az Intézmény jelen Szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a GDPR 12. – 14. cikkében meghatározott megfelelő tájékoztatáson alapuló adatkezelés megvalósulását.

Jelen Szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak az Intézmény által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Jelen Szabályzattal az Intézmény biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

A Szabályzat tárgyi hatálya kiterjed az Intézménynél folytatott valamennyi olyan folyamatra, amely során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése megvalósul.

  • Fogalommeghatározások

E Szabályzat alkalmazásában:

  • Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.); 

Az Érintett a jelen Szabályzat alkalmazásában az Intézmény által kezelt adatokkal érintett minden természetes személy, különösen a közalkalmazott, a munkavállaló (együttesen: dolgozók), a gyermek, hozzátartozó, étkezést igénybe vevő, szerződő fél, kapcsolattartó stb.;

    • Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.);
    • Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.);
    • Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. § 3.);
    • Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. § 4.);
    • Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.);
  • Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:
  • tájékoztatás joga, 
  • hozzáférési jog,
  • helyesbítéshez való jog,
  • törléshez való jog,
  • adatkezelés korlátozhatóságához való jog,
  • adathordozhatósághoz való jog,
  • tiltakozáshoz való jog;
  • Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés);
  • Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.);
  • Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.);
  • Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.);
  • Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.);
  • Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.);
  • Adatkezelés korlátozásához való jog: 

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
  2. az adatkezelés jogellenes és az érintett ellenzi az adatok törlését, ehelyett kéri azok felhasználásának korlátozását;
  3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. [GDPR 18. cikk. (1)];

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.);

    • Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.); 
    • Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.);
    • Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.);
    • Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.);
    • Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);
    • EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.);
    • Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.);
    • Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.);
    • Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.);
  • Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.);
  • Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.);
    • Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.);
    • Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.);
    • Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy a Rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét (GDPR 4. cikk 24.);
  • Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.);
    • Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket a Magyarország joghatósága alá tartozó jogalanyok tekintetében GDPR-ban, valamint az Infotv-ben meghatározottak szerint a NAIH gyakorolja.
  • Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
  1. az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,
  2. az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy 
  3. panaszt nyújtottak be az említett felügyeleti hatósághoz

(GDPR 4. cikk 22.);

  • Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.);
  • Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.).

Amennyiben a mindenkori hatályos adatvédelmi jogszabály (jelen Szabályzat megalkotásakor az Infotv. és a GDPR) fogalommagyarázatai eltérnek jelen Szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadók.

  • Az adatkezelés szabályai

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

    1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
    2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
    3. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
    4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
    5. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
    6. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az Intézmény a faji, vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatokat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokat, továbbá egészségügyi adatokat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatokat (a továbbiakban együtt: a személyes adatok különleges kategóriái) a GDPR tiltása alapján nem kezel.

A személyes adatok különleges kategóriájába eső adatokat az Intézmény az alábbi esetekben kezelheti:

  1. az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy a fenti tilalom nem oldható fel az érintett hozzájárulásával;
  2. az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
  3. az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  4. az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
  5. az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
  6. az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
  7. az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
  8. az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a GDPR 9. cikk (3) bekezdésben említett feltételekre és garanciákra figyelemmel;
  9. az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
  10. az adatkezelés a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így az Intézmény eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

  • Az Intézmény által kezelt személyes adatok magáncélra való felhasználása tilos. 
  • Az Intézmény személyes adatot csak meghatározott célból – megfelelve a célhoz kötöttség alapelvének –, jog gyakorlása vagy kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben, ideig, és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek.  A törlésről az Intézmény Intézményvezetője, vagy a törlés jóváhagyása mellett a közvetlen irányítása alatt álló, a személyes adat kezelésére felhatalmazott gondoskodnak.   
  • Az Intézmény az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.
  • Az Intézménynél adatkezelést végző és az Intézmény megbízásából az adatkezelésben részt vevő, annak valamely műveletét végző szervezet alkalmazottja köteles a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személy köteles titoktartási nyilatkozatot tenni. A Titoktartási nyilatkozat a jelen Szabályzat 1. sz. melléklete.
  • Ha a Szabályzat hatálya alatt álló személy tudomást szerez arról, hogy az Intézmény által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az Intézményvezetőnél kezdeményezni.
  • Az Intézmény megbízásából adatfeldolgozói tevékenységet végző természetes, vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségek az adatfeldolgozóval kötött szerződésben érvényesítendők. Az adatfeldolgozóval az Intézmény a GDPR 28. cikk (3) bekezdése által előírt szerződést köthet. Az Adatfeldolgozói szerződés jelen Szabályzat 2. sz. melléklete. 
  • Az intézmény adatvédelmi rendszere

Az Intézmény vezetője az Intézmény sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket.

A Szabályzatban előírtak betartatásáért a feladatkörében mindenki felelős.

Az Intézmény munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

Az Intézmény adatvédelmi rendszerének felügyeletét a Fenntartó által kinevezett vagy megbízott adatvédelmi tisztviselő látja el. 

Az adatvédelmi tisztviselő az Intézményvezető közvetlen felügyeletével szervezi, irányítja és ellenőrzi az Intézmény adatvédelmi és adatbiztonsági rendszerét. 

Az Intézményvezető adatvédelemmel kapcsolatosan:

  1. felelős az érintettek GDPR-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
  2. felelős az Intézmény által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
  3. kialakítja az ellenőrzés módszerét és rendszerét, felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért;
  4. vizsgálatot rendelhet el;
  5. kiadja az Intézmény adatvédelemmel kapcsolatos belső szabályait és folyamatosan karbantartja és gondoskodik kialakításáról és működtetéséről,
  6. a Fenntartó döntése alapján, vagy saját hatáskörbe tartozó esetekben döntést hoz a GDPR alapján az érintett által gyakorolható érintetti jogokkal kapcsolatos intézkedésekről.

Az adatvédelmi tisztviselő adatvédelemmel kapcsolatos feladatait a Fenntartó határozza meg.

Informatikáért felelős megbízott vagy a Fenntartó által rendelkezésre bocsátott informatikus végzettségű alkalmazott adatvédelemmel kapcsolatos feladatai erre irányuló igény esetén:

  1. ellátja a rendszergazdai feladatokat;
  2. ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására;
  3. használatba állítás előtt kérésre ellátja a szoftverek és hardverek rendszerbe állítását (installálását); 
  4. igény esetén közreműködik a számítógépen tárolt adatok esetében a megadott szempontú adatszolgáltatásban;
  5. igény esetén elvégzi a számítógépeken tárolt adatok biztonsági mentését, naplózását;
  6. igény esetén a vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését;
  7. szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a számítógépek üzemszerű működéséről;
  8. ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat;
  9. üzemzavar esetén elvégzi az informatikai rendszer újraindítását, a hálózat alkalmazásainak és adatainak a visszatöltését;
  10. erre vonatkozó igény esetén üzemelteti a számítógépes hálózatot;
  11. igény esetén segítséget nyújt az Adatkezelőnek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél.
    1. Az adatvédelmi incidens kezelése

4.1.1. Adatvédelmi incidens észlelése és jelentése

Az Intézmény minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles az Intézményen belül történt adatvédelmi incidenst haladéktalanul jelenteni az Intézményvezetőnek. Az adatvédelmi incidensről az Intézményvezető azonnal értesíti a Fenntartót, valamint az általa megbízott vagy kijelölt adatvédelmi tisztviselőt, annak érdekében, hogy megkezdődhessen az adatvédelmi incidens kivizsgálása és értékelése. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, valamint az incidens tárgyát, rövid leírását és azt, hogy az incidens érinti-e az Intézmény informatikai rendszerét.

4.1.2. Az adatvédelmi incidens kivizsgálása, értékelése

Az adatvédelmi tisztviselő az Intézményvezetővel megvizsgálja a bejelentést és amennyiben szükséges a bejelentőtől további adatokat kér. A bejelentő köteles megadni az adatvédelmi incidens bekövetkezésének időpontját és helyét, egyéb körülményeit, az érintett adatok körét, mennyiségét, az érintett személyek körét és számát, a várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását. 

A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 24 órán belül teljesíti az adatvédelmi tisztviselő és az Intézményvezető részére.

Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel, az adatvédelmi tisztviselő és az Intézményvezető a vizsgálat lefolytatásához szükséges munkatársak bevonásával lefolytatja a vizsgálatot.

A vizsgálatnak tartalmaznia kell, hogy az adatvédelmi incidens magas kockázattal jár-e az érintettek jogaira és szabadságaira, milyen jellegű kockázatról van szó és szükséges-e az érintettek tájékoztatása az incidensről. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.

A vizsgálat eredményeként az adatvédelmi tisztviselő javaslatot tesz az Intézményvezetőnek az incidens kezeléshez szükséges intézkedések megtételére. 

A vizsgálatot legkésőbb a bejelentésnek az adatvédelmi tisztviselőhöz érkezésétől számított három napon belül be kell fejezni és a vizsgálat eredményéről az Intézményvezetőt az adatvédelmi tisztviselő tájékoztatja.

4.1.3. Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensről az Intézményvezető nyilvántartást vezet.

A nyilvántartás tartalmazza:

  • az érintett személyes adatok körét,
  • az adatvédelmi incidenssel érintettek körét és számát,
  • az adatvédelmi incidens időpontját,
  • az adatvédelmi incidens körülményeit, hatásait,
  • az elhárítására megtett intézkedéseket és
  • egyéb jogszabályban előírt adatokat.

Az adatvédelmi incidensnyilvántartás minta jelen Szabályzat 3. sz. melléklete.

4.1.4 Az adatvédelmi incidens bejelentése a Hatóság részére

Az adatvédelmi tisztviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb a bekövetkezéséről való tudomásszerzéstől számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, az adatvédelmi tisztviselő köteles ennek okát igazolni a Hatóság részére.

A hatósági bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
  • az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
  • az adatvédelmi incidens jellegét, körülményeit, 
  • az adatvédelemért felelős személy nevét és elérhetőségét,
  • az adatvédelmi incidens valószínűsíthető következményeit és
  • az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

4.1.5. Az érintettek tájékoztatása az adatvédelmi incidensről 

Ha a vizsgálat eredményeként megállapítást nyert, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira, szabadságaira nézve és az érintettek tájékoztatása szükséges, az adatvédelmi tisztviselő az Intézményvezető közreműködésével haladéktalanul értesíti az érintetteket.  

Az értesítendők listáját a 4. sz. melléklet tartalmazza.

Nem kell az érintetteket tájékoztatni:

  • ha az Adatkezelő olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét,
  • ha az adatvédelmi incidens bekövetkezését követően az Adatkezelő olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg,
  • ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ebben az esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, mely tájékoztatás elektronikus úton is megtörténhet.
  • Rendszeres tréningek

Az Intézményvezető az adatvédelmi tisztviselő támogatásával gondoskodik az adatvédelmi tudatosság növelése céljából az adatvédelmi incidensekkel kapcsolatos oktatásról, mely során a múltban bekövetkezett adatvédelmi incidensek tapasztalatait, vagy a lehetséges adatvédelmi incidensek veszélyeit ismerteti, elemzi, a kockázatok csökkentésével, megelőzésével kapcsolatosan tájékoztatást ad, illetve az ismereteket ellenőrzi.

  • Hatásvizsgálat

Az Intézménynek a tervezett adatkezelés megkezdését megelőzően fel kell mérnie, hogy a tervezett adatkezelése, annak körülményeire, így különösen céljára, az érintettek körére, az adatkezelési műveletek során alkalmazott technológiára tekintettel várhatóan milyen hatásokat fog gyakorolni az érintetteket megillető alapvető jogok érvényesülésére. 

Amennyiben valamely új adatkezelési folyamat – annak jellegére, hatókörére, körülményeire, céljaira tekintettel – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelés megkezdését megelőzően az Intézmény hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti. Az egymáshoz hasonló adatkezelési műveletek, amelyek hasonló kockázatokat jelentenek egyetlenegy hatásvizsgálat keretében is elvégezhetők.

A hatásvizsgálatot főszabály szerint az adatvédelmi tisztviselő végzi. Amennyiben nem ő végzi, úgy az Intézmény köteles kikérni az adatvédelmi tisztviselő szakmai tanácsát.

Az Intézmény jelen Szabályzat 5. sz. mellékletében leírt szempontrendszer figyelembevételével végzi el a hatásvizsgálatot.

A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább 3 évente el kell végezni. 

A személyes adatok kezelésével kapcsolatosan az Adatkezelő kötelezettsége továbbá a kockázatelemzés, amelynek lépései a következők:

  • a személyes adatok kezelésével kapcsolatos kockázatok azonosítása,
  • kockázati lista felállítása,
  • az egyes kockázatok valószínűsíthető fő okainak és várható negatív hatásainak meghatározása és
  • ezek alapján a preventív és a korrektív kockázatkezelési folyamatok kidolgozása.

Szükséges a kockázatforrások feltárása, amelyen belül meg kell határozni a kockázat preventív (megelőző) és korrektív (helyreállító) célkezelés elemeit, az erőforrás-kezelés rendszerét és el kell különíteni az objektív és szubjektív kockázati elemeket.

Az elemzés során el kell jutni a teljes kockázatértékelési rendszer kialakításáig, amelyben teljes kockázatpotenciál és kockázat prioritási sorrend (nem az intézkedési rendszerrel azonos) megállapításának kell megtörténnie. Az elemzés menetét és eredményeit írásba kell foglalni.

A kockázatpotenciálnál meg kell határozni a valószínűség szempontjából

  • kicsi, 
  • közepes, 
  • és nagy bekövetkezésű kockázatokat,

illetve horderő szempontjából 

  • kicsi, 
  • közepes, 
  • és nagy horderejű kockázatokat.

Ez a meghatározás alapozza meg a későbbi kockázatkezelési eljárás módját mind a preventív, mind a korrektív eljárás tekintetében. A kockázatelemzés végrehajtásáért az adatvédelmi tisztviselő felel.

  • Előzetes konzultáció

Amennyiben az elvégzett hatásvizsgálat azt állapítja meg, hogy az adatkezelési folyamat valószínűsíthetően magas kockázattal jár, vagy az Infotv. 25/G. § (3) bekezdése alapján az adatkezelés magas kockázatát vélelmezni kell, akkor az Intézmény az adatkezelési folyamat megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

A konzultáció kezdeményezése során az Intézmény csatolja:

  • az elvégzett hatástanulmányt,
  • az adatvédelmi tisztviselő nevét, elérhetőségét,
  • az adatkezelési folyamatban részt vevő adatkezelő(k), adatfeldolgozó(k)feladatköreinek felsorolását,
  • az adatkezelés célját, módját és
  • az érintettek jogainak, szabadságainak biztosítása védelmében hozott int