Veresegyház Város Önkormányzat Gazdasági Műszaki Ellátó Szervezetének
ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA
Az adatvédelmi és adatkezelési szabályzat alkalmazása
A szervezet megnevezése: Veresegyház Város Önkormányzat
Gazdasági Műszaki Ellátó Szervezete
(továbbiakban: Intézmény)
A szervezet székhelye: 2112 Veresegyház, Sport u. 4.
A szabályzat tartalmáért felelős személy: Nagy József Attila intézményvezető
A szabályzat hatályba lépésének dátuma: 2019. február
A szabályzat felülvizsgálatának utolsó időpontja: 2021. december 1.
Ez a szabályzat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg. A szabályzatban foglaltakat kell alkalmazni a konkrét adatkezelési tevékenységek során, valamint az adatkezelést szabályozó utasítások és tájékoztatások kiadásakor.
Az Intézmény alapítója Versegyház Város Önkormányzata. Adatvédelmi tisztviselő kijelölése a GDPR 37. cikk (3) bekezdése szerint az Intézménynél kötelező, mivel az adatkezelő/adatfeldolgozó közfeladatot ellátó szerv.
Adatvédelmi tisztviselő neve: Dr. Csapó Csilla Elérhetőségei:
Székhelye: 8000 Székesfehérvár, Zsolt u. 51.
E-mail címe: cscsapo@gmail.com
Mobil: 06 (30) 6413314
Az Intézményben folyó adatkezelés és továbbitás rendjét jelen adatkezelési szabályzat határozza meg.
A szabályzat hatálya
E szabályzat visszavonásig érvényes.
A Szabályzat személyi hatálya kiterjed
a) az Intézmény valamennyi alkalmazottjára, valamint az eseti jelleggel munkavégzésre igénybe vett dolgozóra,
b) az Intézmény által igénybe vett adatfeldolgozókra,
d) valamennyi, az Intézménnyel, mint közfeladatot ellátó szervezettel kapcsolatba kerülő vagy az Intézmény szolgáltatásait igénybe vevő természetes személyre,
d) a fentieken kívül mindazon természetes személyekre, akik az Intézménnyel bármilyen szerződéses jogviszonyban állnak vagy ezen szerződésekben megnevezett kapcsolattartók.
A Szabályzat tárgyi hatálya kiterjed az Adatkezelők által kezelt valamennyi személyes adatra. A közérdekű adatok, valamint a közérdekből nyilvános adatok megismerésének és nyilvánosságra hozatalának rendjéről az Intézmény külön szabályzatban rendelkezik.
Az adatkezelési szabályzat betartása Adatkezelő vezetőire, valamennyi közalkalmazotti és más foglalkoztatási jogviszonyban munkát végzőre nézve kötelező érvényű.
Az adatkezelési szabályzat az Intézmény vezetője által meghatározott időponttal lép hatályba, és határozatlan időre szól.
Az Adatvédelmi és Adatkezelési Szabályzatot a jóváhagyás dátumával fennálló és azt követő dátummal létesített jogviszony esetén a foglalkoztatott köteles tudomásul venni, és a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény (továbbiakban: Kjt.), valamint a Munka Törvénykönyve (továbbiakban: Mt.) szabályai alapján eljárni. A foglalkoztatottak esetében – közalkalmazottak esetében a Kjt. 2. §-ában adott felhatalmazás alapján - az Mt. 46.§ (1) bekezdése szerint készült írásos tájékoztatóban a foglalkoztatottak figyelmét adatvédelemmel kapcsolatos kötelezettségeikre fel kell hívni.
A jelen Adatvédelmi és Adatkezelési Szabályzatot a jóváhagyás dátumával fennálló és azt követően létesített ellátási jogviszony esetén a kiskorú gyermek szülője köteles tudomásul venni, a beiratkozáskor az intézmény adatkezelési tevékenységéről a szülőt írásban tájékoztatni kell. Az Intézmény általi adatkezelés időtartama az Intézménybe való jelentkezéstől kezdődően legfeljebb a jogviszony megszűnését követő harmadik év december 31-ig terjedhet. Kivételt képez ez alól a nem selejtezhető dokumentumok, amelyekre vonatkozóan az irattári őrzési idő az irányadó. Az irattári őrzési Idő leteltével az adatkezelési meg kell szüntetni.
A szabályzat célja
E szabályzat célja, hogy harmonizálja az adatkezelési tevékenységek tekintetében az Intézmény egyéb belső szabályzatainak előírásait a természetes személyek alapvető jogainak és szabadságainak védelme érdekében, valamint biztosítsa a személyes adatok megfelelő kezelését. A szervezet tevékenysége során teljes mértékben meg kíván felelni a személyes adatok kezelésére vonatkozó jogszabályi előírásoknak, különösen az Európai Parlament és a Tanács (EU) 2016/679 rendeletében foglaltaknak.
A szabályzat kiadásának fontos célja továbbá, hogy megismerésével és betartásával az Intézmény által foglalkoztatottak képesek legyenek a természetes személyek adatai kezelését jogszerűen végezni.
Lényeges fogalmak, meghatározások
- a GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete
- adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
- adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
- személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
- különleges adat: A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adat
- harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
- az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük
korlátozása céljából;
- álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
- nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
- adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
- közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
- közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
Az adatkezelés irányelvei
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet.
A személyes adatok kezelésének célja megfelelő és releváns legyen, és csak a szükséges mértékű lehet.
A személyes adatoknak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat haladéktalanul törölni kell.
A személyes adatok tárolásának olyan formában kell történnie, hogy az érintettek azonosítását csak szükséges ideig tegye lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik.
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.
Az adatkezelést végző foglalkoztatottak fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartoznak a személyes adatok jogszerű kezeléséért. Amennyiben a foglalkoztatott tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
Az Adatkezelő vezetője (intézményvezető) határozza meg a foglalkoztatottak adatkezeléssel kapcsolatos feladatait.
Személyes adatok kezelése, az adatkezelés jogszerűsége
Az adatkezelésre kizárólag az alábbi esetekben kerülhet sor:
- Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Az érintett hozzájárulásának minősül az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Hozzájárulásnak minősül az is, ha valamely felhasználó az elektronikus szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, vagy olyan nyilatkozatot, illetve cselekedet tesz, amely az adott összefüggésben az érintett személy hozzájárulását személyes adatainak kezeléséhez egyértelműen jelzi.
- Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
- Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.
- Az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
- Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Azon esetekben, amikor az Intézmény a személyes adatok különleges kategóriáit kezeli (pl. foglalkoztatottak egészségügyi alkalmasságára vonatkozó adatok) a fenti jogalapok egyikének a teljesülése esetén az alábbi feltételek valamelyikének teljesülése szükséges:
- Az érintett kifejezett hozzájárulását adta különleges személyes adatai egy vagy több konkrét célból történő kezeléséhez.
- Az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges.
- Az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
- Az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik a GDPR-ban meghatározott feltételekkel. - Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
- Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
- Az adatkezelés uniós jog vagy tagállami jog alapján jelentős közérdek miatt szükséges.
- Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges.
- Az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges.
- Az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges.
Az érintett személy hozzájárulása, feltételek
Amennyiben az adatkezelés hozzájáruláson alapul, az Intézménynek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
Az érintett hozzájárulását önkéntesen adja, azaz szabad választási lehetőséggel kell rendelkezzen a hozzájárulás megadásakor. Ezért alá- és fölérendeltségi viszonyban (pl. munkaviszony, közszolgálati jogviszonyban) és az ahhoz kapcsolódó adatkezelésekkor, vagy ha az adatkezelés szerződés teljesítéséhez szükséges az adatkezelés jogalapja nem lehet az érintett hozzájárulása. A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól.
A hozzájárulásnak kellően konkrétnak kell lennie, ezért a papír alapon történő hozzájárulás megadásához az ezen szabályzat mellékletét képező formát kell használni.
A hozzájárulásnak megfelelő tájékoztatáson kell alapulni, ezért az érintettet az adatkezelő köteles megfelelő információkkal ellátni, amely tájékoztatót az Intézmény honlapján közzé kell tenni. Az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon.
Abban az esetben, ha az adott jogviszonyra a tájékoztató szövege nem alkalmazható, az adatkezelő az érintettet az alábbiakról tájékoztatja:
- az Adatkezelő kiléte és elérhetőségei;
- az adatvédelmi tisztviselő elérhetőségei
- a személyes adatok tervezett kezelésének célja, valamint az, hogy az adatkezelés az érintett hozzájárulásán alapul
- azon természetes vagy jogi személyek kilétéről, akivel vagy amellyel a személyes adatot közölni fogják.
- azon jogokat, amelyek az érintettet megilletik, különösen az adatkezeléshez adott
hozzájárulásának visszavonására vonatkozó jogait.
Ha az érintett a hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell közölni.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos, kivéve, (többek között) ha az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez.
Az érintett jogai
Átlátható tájékoztatás
Az érintettnek joga, hogy az őt érintő adatkezelésekről tömör, átlátható, érthető és könnyen hozzáférhető formában világosan és közérthetően megfogalmazva tájékoztatást kapjon. Ezért az Adatkezelő minden adatkezeléssel is foglalkozó dolgozójának kellő információval kell rendelkeznie, hogy – amennyiben írásbeli tájékoztatás nem elérhető, vagy az nem ad az adott kérdésre választ, vagy az érintettnek további kérdései lennének – az adatkezelésről kielégítő információt nyújtson. Amennyiben a kérdés azonnal nem válaszolható meg vagy a kérdés elektronikus úton vagy írásban érkezett, úgy az Adatkezelő 1 hónapon belül tájékoztatja az érintettet olyan formában, ahogy az érintett a kérdést feltette, kivéve, ha ezt az érintett más módon kéri.
A tájékoztatás díjmentes, ezért díj nem számítható fel.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat az érintettől gyűjti, akkor az adatok megszerzésének időpontjában tájékoztatja az ügyfelet főszabályként a jelen szabályzat mellékletét képező adatkezelési tájékoztató megismerhetővé tételével.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat nem az érintettől gyűjti, akkor az adatok megszerzését követő 1 hónapon belül tájékoztatja az ügyfelet a fenti módon.
Hozzáférés joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon. Az Adatkezelő köteles kérelem esetén az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, amely magában foglalja a másolás díját, valamint a postaköltséget. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat elektronikus úton (e-mail) kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Pl. névváltozás, lakcímváltozás bejelentése esetén.
Törléshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő kezelte
- az érintett visszavonja az adatok kezelésére vonatkozó hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- igazolható, hogy az Adatkezelő a személyes adatokat jogellenesen kezeli
- a személyes adatok törlését jogszabály előírja
Ha az Adatkezelő bármilyen módon – pl. internetes honlapján - nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az Adatkezelő a lehetőségeihez képest megteszi az észszerűen elvárható lépéseket - ideértve technikai intézkedéseket annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; - az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő adatkezelést igazoló jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy fontos közérdekéből lehet kezelni.
Amennyiben az Adatkezelő a korlátozást feloldja, mivel annak okai már nem állnak fenn, az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat közismert módon tagolt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
Tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az Adatkezelő által közérdekű célból végzett, vagy az Adatkezelő jogos érdekén alapuló adatkezelés ellen. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség
Nemzeti Adatvédelmi és Információszabadság Hatóság Postacím: 1363 Budapest, Pf.: 9.
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac) naih.hu URL https://naih.hu
Koordináták: É 47°30'36.8''; K 19°02'54.2''
Az érintett a jogainak megsértése esetén az Adatkezelővel szemben bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
Az érintetti jogok gyakorlásának egyes feltételeit és pontosabb szabályait a GDPR részletesen tartalmazza.
Az adatkezelő feladatai
Az Adatkezelő megfelelő és hatékony intézkedéseket hajt végre a személyes adatok biztonságos és szabályszerű kezelése érdekében, valamint azért, hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek a hatályos jogszabályoknak megfelelnek.
Az adatkezelés során alkalmazandó szabályokat az Adatkezelő az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével, a GDPR szabályai szerint alakította ki.
Jogszerűség, tisztességes eljárás és átláthatóság biztosítása
Az Adatkezelő minden dolgozójának kötelessége az adatvédelem szabályainak, különösen jelen szabályzatnak a megismerése. Ezért az Adatkezelő által foglalkoztatottak évente oktatáson vesznek részt, melynek szervezése és megtartása az adatvédelmi tisztviselő feladata. Az adatkezelést végző tisztviselő munkahelyi vezetője az oktatáson való rendszeres részvételt figyelemmel kíséri.
Az Adatkezelő a személyes adatok kezeléséről készített tájékoztatót minden érintett részére elérhetővé teszi abból a célból, hogy megismertesse az érintetteket személyes adataik kezelésének céljáról, módjáról, körülményeiről, az adatkezelés következményeiről és garanciáiról.
A tájékoztatást minden esetben világosan és közérthetően kell az érintett felé megfogalmazni.
Az adatkezelés folyamán az emberi méltóság tiszteletben tartásával kell eljárni.
Minden adatkezelést és adatkezeléshez fűződő cselekményt úgy kell dokumentálni – függetlenül, hogy az papíralapon, vagy elektronikusan történik -, hogy ezen cselekmények utólag is rekontstruálhatók legyenek az adatok megőrzésének határidején belül.
Célhoz kötöttség megvalósítása
Minden, az Adatkezelők tevékenységébe kerülő új folyamatot, mely személyes adatok kezelésével is jár, a tevékenység megkezdését megelőzően adatvédelmi szempontból is gondosan meg kell vizsgálni, az adatkezelés folyamatát meg kell tervezni. Ezen feladat az adatvédelmi tisztviselő felelőssége. Ezzel összefüggésben a jegyző felelőssége, hogy az új tevékenység/feladat ellátását megelőzően a folyamatokba az adatvédelmi tisztviselőt is bevonja.
Az adatvédelmi tisztviselő utólag is dokumentálható módon az adatkezelés célját figyelembe véve felméri a feladat ellátáshoz szükséges adatkört és az adatkezelés érintettre gyakorolt hatásait (hatásvizsgálat). A cél nélküli adatkezelés tilos!
Az adatkezelés céljának meghatározása, soha nem lehet általános jellegű vagy valótlan.
Adattakarékosság hatékony megvalósítása
Az adatkezelés megkezdése előtt az Adatkezelőnek meg kell vizsgálnia, hogy szükséges-e egyáltalán személyes adatokat kezelni az üzleti vagy társadalmi cél megvalósításához.
Kizárólag annyi és olyan személyes adat kezelhető, ami szükséges és egyben elégséges az adatkezelés céljának eléréséhez. A kezelt adatok szükségszerűségét az adatvédelmi tisztviselő folyamatosan ellenőrzi.
Amint az adatkezelés célja megvalósult, főszabályként a személyes adatokat azonnal törölni kell, illetve anonimizálni. feltéve, ha jogszabály nem írja elő a további adattárolást, vagy nem merül fel további adatkezelési cél, amely megfelel a célok közötti összeegyeztethetőségnek. Ennek megállapításához az adatvédelmi tisztviselő a feladat elvégzéséért felelős vezetővel együtt megvizsgálja a személyes adatok gyűjtésének korábbi és jövőbeli céljait, körülményeit, az adatok jellegét (az adatok különleges kategóriáiról beszélünk vagy sem), az adatkezelés következményeit és garanciáit.
Pontosság megvalósítása
A kezelt adatoknak mindig időszerűnek és naprakésznek kell lennie. Az adatok folyamatos frissítése a feladatot végző adatkezelő feladata és felelőssége.
A foglalkoztatottak és az ügyfelek személyes adatainak felvételénél és rögzítésénél kiemelt figyelmet kell fordítani a precíz munkára. Az adatbázisok karbantartását és naprakészségét folyamatosan biztosítani kell.
A személyes adatok pontosítására irányuló kérelem esetén az adatokat haladéktalanul, legkésőbb 1 hónapon belül módosítani kell a valós adatoknak megfelelően. Amennyiben a személyes adatok pontosítására irányuló kérelem nem a valós adatok nyilvántartását célozza, úgy az erre irányuló kérelmet ezen határidőn belül el kell utasítani az elutasítás indokának feltüntetésével. A kérelem elbírálásáig az adatkezelést a helyesbítendő adatok vonatkozásában az Adatkezelő korlátozza, azaz a tárolt személyes adatokat megjelöli és ezen adatokon az adathelyesbítés végrehajtásáig vagy elutasításáig adatkezelési műveleteket nem végez.
Korlátozott tárolhatóság megvalósítása
Az Adatkezelő mindent megtesz annak érdekében, hogy az érintett személyes adatait csak az adatkezelés céljának eléréséig szükséges ideig tárolja. Azaz, ha megszűnt az adatkezelés célja vagy már nincs szükség arra, hogy az Adatkezelő az érintettet azonosítsa, akkor az adatait törli, kivéve, ha jogszabály máshogy rendelkezik vagy a korábbi adatkezelés céljával összefüggő okból az adatkezelés más cél elérése érdekében szükséges.
Ebben az esetben az Adatkezelő nem köteles a hozzá forduló érdekeltet azonosítani és a joggyakorlását sem kell tevékenyen segítenie. Ugyanakkor nem utasíthatja vissza, ha az érintett az azonosítása érdekében további adatokat nyújt számára.
Amennyiben egy adat kapcsolata már nem helyreállítható az érintettel (pl. anonimizálták), akkor arra már az adatvédelmi szabályok nem vonatkoznak.
Azon esetekben, amikor jogszabály az adatok tárolhatóságáról nem rendelkezik, az adatok tárolhatóságának az idejét a jegyző határozza meg az adatvédelmi tisztviselő javaslata alapján.
Integrítás és bizalmas jelleg megvalósítása
Az Adatkezelő mindent megtesz annak érdekében, hogy az általa kezelt személyes adatokat megóvja minden külső és nem várt hatástól, amely az adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezheti.
Az Adatkezelő a nyilvántartás rendszerének felépítése, a jogosultságok meghatározása, és egyéb szervezeti intézkedések útján gondoskodik arról, hogy a nyilvántartásaiban szereplő adatokat csak azok a munkavállalók, és egyéb az Adatkezelők érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.
Ennek érdekében minden dolgozónak kötelessége az informatikai biztonsági szabályzat előírásainak betartása és betartatása. (jelszavak rendszeres cseréje, meghatározott weblapok kerülése, ismeretlen forrású e-mailek megnyitásának tilalma, stb)
Minden dolgozónak kötelessége továbbá a személyes adatokat tartalmazó papír alapú iratok fokozott védelme, zárt szekrényben történő tárolása. Az ügyfélfogadást végző adatkezelők kötelesek gondoskodni arról, hogy az ügyfélfogadás alkalmával arra jogosulatlan személyek személyes adatokat illetéktelenül ne tekinthessenek meg, azokhoz semmilyen módon ne férjenek hozzá.
Az Intézmény informatikai feladatokért felelős megbízottja folyamatosan figyelemmel kíséri az egyes feladatokat ellátó munkatársak számítógépes hálózathoz való hozzáférésének jogosultságait, arról naprakész nyilvántartást vezet.
Személyes adatok elektronikus tárolása kizárólag a megfelelő védelemmel ellátott szervereken lehetséges. Azok mobil adattárolókra (CD, DVD, pendrive, külső adattároló, stb.) történő kiírása, mentése szigorúan tilos!
Minden foglalkoztatott kötelessége, hogy a bármilyen módon tudomására jutó valószínűsíthető adatvédelmi incidenst - annak súlyosságától vagy bizonyosságától függetlenül – az Intézményvezetőnek és az adatvédelmi tisztviselőnek haladéktalanul, de legkésőbb a tudomásra jutástól számított 2 órán belül jelezze. Az incidens kivizsgálása és szükség esetén határidőben történő bejelentése, valamint az egyéb szükséges intézkedések megtétele az adatvédelmi tisztviselő felelőssége.
E szabályzat alapján az Intézmény az egyéb belső szabályzatait felülvizsgálja és szükség esetén naprakésszé teszi.
Az Intézmény megfelelő nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről. Köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.
Az érdekmérlegelés
Ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, az Adatkezelőnek kell bizonyítania, hogy érdekei elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben.
Az Adatkezelőnek az általa meghatározott jogos érdekhez képest kell megfelelően kiválasztania azt, hogy milyen célból, mennyi ideig, milyen személyes adatokat kezel, és milyen garanciális intézkedéssel biztosítja azt, hogy az adatkezelés csak szükséges mértékben és arányosan korlátozza az érintettek jogait.
Az érdekmérlegelés jogalapjának az alkalmazását az Adatkezelőnek minden esetben írásban kell dokumentálnia. (érdekmérlegelési teszt)
Az érdekmérlegelési teszt annak bemutatására irányul, hogy az Adatkezelő megfelelően azonosította a jogos érdeket, és erre alapozva olyan alapon végzi az adatkezelést, amely nem jelent aránytalan korlátozást az érintett érdekeire, jogaira és szabadságaira nézve.
Az Intézmény által alkalmazott érdekmérlegelési teszt vizsgálandó pontjai:
1. Az adatkezelés leírása
2. Az adatkezelő jogszerű érdekeinek értékelése
3. Az adatkezelés érintettre gyakorolt hatásának leírása (személyes adatok jellege, az érintett ésszerű elvárásai, az érintett státusza)
4. Az érintett jogainak védelme érdekében tett intézkedések (biztosítékok) meghatározása
5. Elszámoltathatóság és átláthatóság biztosításának módja
Ezen jogalappal adatkezelés nem végezhető az Intézmény közfeladat ellátásával összefüggő adatkezelésére.
A hatásvizsgálat
Ha a tervezett adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az Intézmény az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
Az adatvédelmi hatásvizsgálat elvégzéséhet az Intézményvezető az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.
Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
- természetes személyekre vonatkozó egyes személyes jellemzők módszeres és kiterjedt értékelése – különösen automatizált adatkezelés - esetében
- a személyes adatok különleges kategóriáira vonatkozó adatok nagy számban történő kezelése esetében
- nyilvános helyek nagymértékű, módszeres megfigyelése esetében.
.
A felügyeleti hatóság által meghatározott esetekben kötelező az adatvédelmi hatásvizsgálatot elvégezni. A kötelező hatásvizsgálatok listája a https://naih.hu/files/GDPR_35_4_lista_HU_mod.pdf lapon elérhető.
A hatásvizsgálat kiterjed legalább az alábbiakra:
- a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket
- az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára
- az érintett jogait és szabadságait érintő kockázatok vizsgálatára
- a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
A hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodni kell a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra el kell végezni. A kockázatok felülvizsgálatát legalább 3 évente végre kell hajtani.
Továbbá a személyes adatok kezelésével kapcsolatosan a jegyző kötelezettsége – az adatvédelmi tisztviselő bevonásával –a kockázatelemzés, amelynek lépései az alábbiak: - a személyes adatok kezelésével kapcsolatos kockázatok azonosítása,
- kockázati lista felállítása,
- az egyes kockázatok valószínűsíthető fő okainak és várható negatív hatásainak meghatározása, majd
- ezek alapján a preventív és a korrektív kockázatkezelési folyamatok kidolgozása.
Szükséges a kockázatforrások feltárása, melyen belül meg kell határozni a kockázati preventív és korrektív célkezelés elemeit, az erőforrás-kezelés rendszerét, továbbá el kell különíteni az objektív és szubjektív kockázati elemeket.
Az elemzés során el kell jutni a teljes kockázatértkelési rendszer kialakításáig. Meg kell állapítani a kockázatforrásokat, értékelni kell a lehetséges kockázatokat valószínűség és értékelés szempontjából is. Az elemzés menetét és eredményeit írásba kell foglalni.
Kockázatforrások:
- műszaki hiba
- természeti katasztrófa
- emberi tevékenység : gondatlan, vagy szándékos károkozás
Valószínűség szempontja szerint:
- nagyon kicsi (szinte soha nem fordul elő)
- kicsi (nagyon ritkán fordul elő)
- közepes (többször előfordul)
- nagy (naponta – vagy még gyakrabban) többször előfordul
Érékelés szempontjából:
- elhanyagolható (nem jár anyagi, erkölcsi veszteséggel)
- kicsi (minimális anyagi, erkölcsi vesztességgel jár)
- közepes (elviselhető vesztességgel jár)
- nagy (nagy anyagi veszteséggel jár, szolgálati, hivatali titok)
Előzetes konzultáció
Abban az esetben, ha az elvégzett adatvédelmi hatásvizsgálat megállapítja, hogy az adott adatkezelési folyamat valószínűsíthetően magas kockázattal jár, akkor az Intézmény az adatkezelési folyamata megkezdését megelőzően konzultációt kezdeményezhet a Hatósággal.
A konzultáció során az Intézmény tájékoztatja a Hatóságot az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, a tervezett adatkezelés céljairól és módjairól, az érintettek jogainak és szabadságainak védelmében hozott intézkedésekről, az adatvédelmi hatásvizsgálat eredményéről, valamint az adatvédelmi tisztviselő elérhetőségeiről.
Az adatvédelem szervezete
Az Intézményvezető
Az Intézményvezető felelős a személyes adatok védelméért és az Intézmény tevékenységére vonatkozó közérdekű adatok nyilvánosságára vonatkozó törvényi előírások érvényesítéséért. Az Intézményvezető az adatvédelemmel és az információ szabadsággal kapcsolatos feladatát a közvetlen irányítása alatt álló Adatvédelmi Tisztviselő (a továbbiakban adatvédelmi tisztviselő) útján látja el.
Az Intézményvezető ellátja a törvény által a hatáskörébe utalt feladatokat, ennek keretében:
- Kiadja az adatvédelmi és adatkezelési szabályzatot.
- Kinevezi/megbízza az Intézmény adatvédelmi felelősét.
- Dönt a szervezeten kívüli adatkarbantartók személyéről, és az adatkarbantartásra vonatkozó szerződésről.
- Meghatározza a szervezeti egységek vezetőinek javaslata alapján, a szervezeten kívüli személy vagy szerv által elvégzendő adatkarbantartás időpontját.
- Jóváhagyja az Intézményben az informatikai beszerzéseket (beruházások, fejlesztések).
- Ellenőrzi az adatkezelést és adatvédelmet, valamint az informatikát érintő nyilvántartásokat a belső ellenőr, a szervezeti egységek vezetői, az önálló csoportvezetők, valamint az adatvédelmi felelős útján.
Az adatvédelmi tisztviselő
Az Intézmény adatvédelmi rendszerének felügyeletét az Intézményvezető látja el az általa megbízott adatvédelmi tisztviselő útján. Az adatvédelmi tisztviselő az Intézményvezető közvetlen felügyeletével szervezi, irányítja és ellenőrzi az Intézmény adatvédelmi rendszerét, az adatvédelmi tisztviselő közvetlenül az Intézményvezetőnek tartozik felelősséggel.
Az Intézmény támogatja az adatvédelmi tisztviselőt a feladatai ellátásában, biztosítja számára azokat az ismereteket, amelyek a feladatai végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez szükségesek.
Jelen szabályzat alapján az adatvédelmi tisztviselő nevét és elérhetőségét az Adatkezelő közzéteszi az Intézmény honlapján, valamint bejelenti ezen adatokat a NAIH részére.
A mindenkori adatvédelmi tisztviselő neve és elérhetősége az Intézmény honlapján, a https://kezakezbenovoda.veresegyhaz.hu/ címen érhető el.
- Közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában.
- Ellenőrzi az adatkezelésre vonatkozó jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását.
- Kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót.
- Elkészíti és folyamatosan aktualizálja a belső adatvédelmi és adatbiztonsági szabályzatot.
- Gondoskodik az adatvédelmi ismeretek oktatásáról.
- Megkeresésre véleményezi az adatszolgáltatás iránti kérelmeket.
- Összesíti az Intézmény adatkezelői által közérdekű adatok iránti kérelmek elutasításáról, valamint az elutasítások indokairól vezetett nyilvántartást.
- Ellátja az Intézményvezető által esetenként meghatározott adatvédelmi feladatokat.
- 72 órán belül jelentés ír a személyes adatokat érintő incidensről az adatvédelmi hatóság (NAIH) részére,
- Incidens utáni kötelező adatvédelmi hatásvizsgálatban, felülvizsgálja az informatikai környezet zártságát biztosító szervezeti és technikai intézkedések hatékonyságát.
Megbízott Informatikai karbantartó (Informatikus)
- Ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására.
- Összeállítja az informatikai beszerzések, beruházások, fejlesztések tervezetét.
- Koordinálja a havi karbantartási munkákat.
- A bejelentett hibákat a lehető leghamarabb elhárítja.
- Gondoskodik valamennyi munkavállaló belső hálózati hozzáféréséről, a jogosultságoknak megfelelően.
- Az Intézményvezető írásos kérelme alapján közreműködik az adatkezelők egyéni kódjának, jelszavának, jogosultságának beállításában azon szerverek tekintetében, melyekre adminisztrátori jogosultsággal rendelkezik.
- Használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását).
- A szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosulatlan hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról.
- Igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban.
- Elvégzi a szervereken tárolt adatok biztonsági mentését, naplózását.
- Vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését.
- Ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül.
- Igény esetén segítséget nyújt az adatkezelőknek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél.
Az adatkezelők (közalkalmazottak)
- Kezeli a feladatkörébe tartozó adatokat, más adatot csak helyettesítés esetén kezelhet, vezeti a nyilvántartásokat.
- A jogszabály által felhatalmazott személynek vagy szervezetnek adatot szolgáltat. - Vezeti az adat-, valamint az adatszolgáltatási nyilvántartást. - Megőrzi a tudomására jutott adatot.
- Gondoskodik arról, hogy az általa vezetett nyilvántartás adataihoz illetéktelen személy ne férhessen hozzá, ügyel a nyilvántartás biztonságos tárolására.
- Betartja az adatkezelésre, adatvédelemre és az adatbiztonságra vonatkozó rendelkezéseket.
- Haladéktalanul jelzi az informatikusoknak a számítástechnikai eszközök bárminemű meghibásodását, illetőleg az adatállomány kezelhetőségében bekövetkező problémát. - Az adatkezelő köteles a közvetlen vezetőjét és az adatvédelmi felelőst tájékoztatni minden olyan eseményről, mely esetben őt jogszerűtlen adatkezelésre kérték fel, utasították, illetve a saját rendszerében bármilyen egyéb illetéktelen adathozzáférést, vagy adatkezelést tapasztalt.
Adatállományok kezelése
Az Intézmény biztosítja, hogy a nyilvántartás módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen. A jogszabályon alapuló adatkezelések kötelezőek, azokról az érintettek tájékoztatást kérhetnek. Kötelező adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.
Az Adatkezelő az elektronikus és a papíralapú nyilvántartásokat egységes elvek alapján, a nyilvántartások adathordozóinak különbözőségéből adódó jellemzők figyelembe vételével kezeli. A jelen Szabályzat szerinti elvek és kötelezettségek az elektronikus és a papíralapú nyilvántartások esetében egyaránt érvényesülnek.
Az ügyfél adatokat tartalmazó, valamint az Intézmény által nyújtott szolgáltatásokkal összefüggő nyilvántartás tagolt, annak érdekében, hogy a jogalap, cél alapján elkülöníthető adatkezelések egymástól elkülönüljenek.
Az Intézmény lehetőség szerint törekszik az adattakarékosság elvének érvényesülésére, annak érdekében, hogy az egyes munkavállalók, és egyéb, az Adatkezelő érdekkörében eljáró személyek csak a szükséges személyes adatokhoz férjenek hozzá.
Az Intézmény a nyilvántartás papíralapú dokumentumait az adatbiztonság követelményeire tekintettel tárolja, és gondoskodik azok biztonságos őrzéséről.
Az Intézmény az elektronikus nyilvántartást külön erre a célra fejlesztett informatikai program útján üzemelteti, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.
Adatfeldolgozói tevékenység
Adatfeldolgozónak minősül az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Adatfeldolgozónak minősül – többek között – az Intézmény részére könyvelési és bérszámfejtési szolgáltatást végző külső szervezet (Polgármesteri Hivatal és Magyar Államkincstár) igénybevétele.
Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
Az adatfeldolgozási szerződés legalább az alábbi rendelkezéseket tartalmazza:
(a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
(b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
(c) meghozza az adatkezelés biztonsága tekintetében előírt intézkedéseket;
(d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozó rendelkezésekben említett feltételeket;
(e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
(f) segíti az adatkezelőt az adatkezelés biztonságára, adatvédelmi incidens bejelentésére, az adatvédelmi hatásvizsgálat és előzetes konzultáció lefolytatására vonatkozó kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
(g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
(h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatfeldolgozás tekintetében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
Minden adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás a következő információkat tartalmazza:
- az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
- az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
- adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;
- ha lehetséges, az adatbiztonság garantálása érdekében tett technikai és szervezési
intézkedések általános leírása.
Az intézmény a következő Adatfeldolgozók szolgáltatásait veszi igénybe a tevékenysége végzése során:
Az Intézmény a Medveotthon honlapja (www.medveotthon.hu) fenntartásával kapcsolatban az alábbi Társaságok szolgáltatásait veszi igénybe:
1.Hírlevél küldése esetén A hírlevélre feliratkozott felhasználók adatai a következő szolgáltatóhoz kerülnek:
https://www.webgalamb.hu/ https://www.webgalamb.hu/Webgalamb_ASZF.pdf Cégnév: E.N.S. Informatikai és Rendszerintegrációs Zrt. Székhely: 1106 Budapest, Fehér út 10. Adószám: 14032868-2-42 Cégjegyzékszám: 01-10-046975
2.Kapcsolat felvételi oldal esetén
A kapcsolat felvételi oldalon létrejövő adatgyűjtés adatai a következő szolgáltatóhoz kerülnek: Elite Vision, 1163 Budapest, Veres Péter út 146.
https://elitevision.hu/
3.Vendégkönyvi bejegyzés esetén
A vendégkönyvi bejegyzés oldalon létrejövő adatgyűjtés adatai a következő szolgáltatóhoz kerülnek:
Elite Vision, 1163 Budapest, Veres Péter út 146.
https://elitevision.hu/
4.Látogatói statisztika esetén
A web analitikánál használt adatgyűjtés adatai a következő szolgáltatóhoz kerülnek: Google LLC
1600 Amphitheatre Parkway, Mountain View, CA 94043, Amerikai Egyesült Államok.
Az Intézmény a tevékenysége során adatfeldolgozóként jár el azon Önkormányzati Intézmények és Társaságok esetében, amelyeknek könyvelési szolgáltatást végez.
Ezek az alábbiak:
Kéz a Kézben Óvoda, Veresegyház
Meseliget Bölcsőde, Veresegyház
Kölcsey Ferenc Városi Könyvtár, Veresegyház
Váci Mihály Művelődési Központ, Veresegyház
Az adatfeldolgozókkal, illetve Adatkezelőkkel adatfeldolgozásra kötendő megállapodás mintapéldányát jelen szabályzat melléklete tartalmazza.
Az adatkezelési tevékenységek nyilvántartása
Az adatvédelmi tisztviselő vezeti az adatkezelési tevékenységek nyilvántartását (Adatkezelési Tevékenységek Nyilvántartása). Az Adatkezelési Tevékenységek Nyilvántartása valamennyi, az Intézmény általi adatkezelés esetén tartalmazza:
a/ az adatkezelés célját, b/ az adatkezelés jogalapját, c/ az érintettek körét,
d/ az érintettekre vonatkozó személyes adatok kategóriáit, e/ az adatok kezelésének időtartamát vagy az adattörlés ideje megállapításának szempontjait; f/ a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló, valamint nemzetközi szervezethez történő adattovábbításokat és azok garanciáinak leírását is,
g/ az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
h/ az adatkezelő, valamint közös adatkezelés esetén a közös adatkezelők megnevezését és elérhetőségét,
i/ az adatvédelmi tisztviselő nevét és elérhetőségét,
j/ ha lehetséges, az adatbiztonsági intézkedések általános leírását,
Az Adatkezelési Tevékenységek Nyilvántartásának célja az Intézmény, mint adatkezelő adatkezelési tevékenysége átláthatóságának biztosítása, és ezzel az esetleges felesleges, párhuzamos adatkezelések elkerülése.
Az Intézmény adatvédelmi tisztviselője az Adatkezelési Tevékenységek Nyilvántartásába való betekintést – a Hatóság képviselőin kívül – az Intézmény vezetője és adatkezelést végző foglalkoztatottjai, továbbá a közös adatkezelést érintő rész tekintetében a közös adatkezelő részére biztosítja.
Az Adatkezelési Tevékenységek Nyilvántartásába bejelentett adatok változását, vagy az adatkezelés megszűnését az adatkezelésért felelős 5 munkanapon belül köteles bejelenteni az adatvédelmi tisztviselőnek, aki ennek megfelelően módosítja az Adatkezelési Tevékenységek Nyilvántartásának adatait.
Adatbiztonság
Az Intézmény gondoskodik az adatok biztonságáról. Ennek érdekében megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében.
Az Intézmény gondoskodik arról, hogy a vonatkozó jogszabályokban előírt adatbiztonsági szabályok érvényesüljenek. Az Intézmény gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az irányadó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Az Intézmény az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
Az Intézmény az adatbiztonság feltételeinek érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről.
Az Intézmény az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére. Az Intézmény több lehetséges adatkezelési megoldás közül azt választja, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
Informatikai nyilvántartások védelme
Az Intézmény az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:
- a jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);
- az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés);
- az adatállományok vírusok elleni védelméről (vírusvédelem);
- az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).
Papíralapú nyilvántartások védelme
Az Intézmény a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket különösen a fizikai biztonság, illetve tűzvédelem tekintetében.
A munkavállalók, és egyéb, az Adatkezelő érdekében eljáró személyek az általuk használt, vagy birtokukban lévő, személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, kötelesek biztonságosan őrizni, és védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.
Az informatikai biztonság szabályozása
A számítógépen, illetve hálózaton tárolt személyes adatok védelmében megtett intézkedések leírását (informatikai védelem, szerverek biztonsága, jogosultság kezelés, jogosultságkezelési folyamat) az Intézmény Informatikai Biztonsági szabályzata rögzíti. (Jelen szabályzat melléklete.)
Az adatvédelmi incidensek kezelése
Az adatvédelmi incidens minősítése
Adatvédelmi incidens csak akkor következik be, ha az adatbiztonsági intézkedések – akár vétlen, akár szándékos – megsértésének következtében bekövetkezik a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés:
a/ súlyos incidens: olyan incidens (pl. adatvesztés, adatsérülés), mely valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (pl.: a jogosulatlan hozzáféréssel érintett adatok esete; az olyan adatsérülés, adatvesztés, amelynél az adatok naplózott állományból nem állíthatóak helyre). Magas kockázatúnak minősül az az eset, amely fizikai, vagyoni vagy nem vagyoni károkat okozhat az érintetteknek, pl. az érintetteknek a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, pénzügyi veszteséget, jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését eredményezheti;
b/
enyhe incidens: minden incidens, amely nem tartozik az a) pont alá (pl. átmeneti szolgáltatásleállás, - kiesés az Intézmény munkavállalói által használt olyan belső rendszerekben, amely nem jár adatsérüléssel vagy adatvesztéssel).
Az adatvédelmi incidensre vonatkozó szabályokat kell alkalmazni az Intézmény tulajdonát képező adathordozón, mobiltelefonon, laptopon, egyéb számítástechnikai eszközön tárolt adatokra, továbbá az Intézmény alkalmazottainak olyan saját tulajdonú eszközein (adathordozó, mobiltelefon, laptop, egyéb számítástechnikai eszköz) tárolt adatokra, amely eszközöket munkavégzéshez, munkaköri feladatok ellátásához, hivatalos célból használhat. Az adatvédelmi incidensre vonatkozó szabályokat az Intézmény birtokában lévő papíralapú adathordozón lévő adatokra is alkalmazni kell.
Az elektronikus információs rendszereket érintő (biztonsági vagy egyéb) események adatvédelmi incidensnek is minősülnek, amennyiben személyes adatokra nézve következik be. A jelen Szabályzat adatvédelmi incidens kezelésére vonatkozó rendelkezéseinek alkalmazása nem mentesít az elektronikus információs rendszereket érintő (biztonsági vagy egyéb) események kezelésére (bejelentésére, kivizsgálására stb.) vonatkozó szabályok betartása alól, azaz az elektronikus információs rendszereket érintő (biztonsági vagy egyéb) események kezelésére vonatkozó szabályokat jelen Szabályzat előírásaival párhuzamosan alkalmazni kell.
Az adatvédelmi incidens bejelentése
Az a munkavállaló, aki az Intézmény által kezelt vagy feldolgozott személyes adatokkal kapcsolatban, vagy az Intézmény szerződéses partnere által kezelt vagy feldolgozott személyes adataival kapcsolatban adatvédelmi incidenst vagy annak gyanúját észleli, köteles azt haladéktalanul – legkésőbb a tudomásszerzéstől számított 2 órán belül - bejelenteni az adatvédelmi tisztviselőnek.
Az adatvédelmi incidensről szóló bejelentésben ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az adatvédelmi incidenssel érintett személyes adatok kategóriáit és hozzávetőleges számát, továbbá a bejelentő nevét és elérhetőségét.
A közös adatkezelésről szóló szerződésben [GDPR 26. cikk], illetve az adatfeldolgozóval kötendő szerződésben [GDPR 28. cikk] egyértelműen rendelkezni kell a másik adatkezelő, illetve az adatfeldolgozó azon kötelezettségéről, hogy az adatvédelmi incidensről az Intézményt köteles haladéktalanul, de legkésőbb az észlelést követő 24 órán belül értesíteni. A szerződésnek tartalmaznia kell továbbá a közös adatkezelő, illetve az adatfeldolgozó kötelezettségeit adatvédelmi incidens bejelentésében és kivizsgálásában.
Incidensprotokoll általában
Az informatikai feladatokat ellátó bevonásával a riasztásokban szereplő sérülékenység elhárításakor a következők szerint kell eljárni:
a/ figyelembe kell venni a különböző informatikai biztonsági szabályozásokban a sérülékenységek elhárítására vonatkozó rendelkezéseket;
b/ amennyiben a riasztás személyes adatot tartalmazó alkalmazás sérülékenységével kapcsolatban keletkezett, az adatvédelmi tisztviselőt haladéktalanul tájékoztatni kell;
c/ amennyiben az Intézmény rendelkezik automatizált módszerrel az adott sérülékenység elhárítására, akkor azt azzal az eszközzel azonnal el kell kezdeni;
d/ ha az Intézmény nem rendelkezik automatizált módszerrel az adott sérülékenység elhárítására, akkor azt manuális módon kell azonnal elkezdeni;
e/ amennyiben a sérülékenység elhárítása belső erőforrásból nem kivitelezhető, akkor külső szakértőket kell bevonni az elhárítás folyamatába.
A papíralapon kezelt iratokkal kapcsolatban a jelen Szabályzat személyi hatálya alá tartozó személyek kötelesek a személyes adatokat tartalmazó iratokat a munkavégzés befejezését követően, ahol ennek feltételei biztosítottak, zárható szekrényben, zárral ellátott fiókban tárolni. Ahol a tárolás előbb nevesített feltételei nem adottak, az irodahelyiség ajtajának kulcsra zárásával kell a személyes adatok védelmét biztosítani abban az esetben, ha az irodahelyiségben senki sem tartózkodik. A Szabályzat személyi hatálya alá tartozó személyek kötelesek az Intézmény egyéb belső szabályzatai, így különösen az iratkezelés rendjéről, illetve a biztonsági előírásokról szóló mindenkor hatályos belső szabályzatnak megfelelően eljárni.
Az adatvédelmi incidens kivizsgálása
Adatvédelmi incidens (papíralapú és nem papíralapú adatokra vonatkozóak egyaránt) felmerülése esetén az Intézmény adatvédelmi tisztviselője megvizsgálja, és kategorizálja a bekövetkezett incidenst, és meghatározza az esetleges elhárítás érdekében szükséges további intézkedéseket.
Az adatvédelmi incidensről az adatvédelmi tisztviselő haladéktalanul értesíti az Intézmény vezetőjét.
A bejelentés előzetes megvizsgálása során az alábbi szempontokat kell figyelembe venni:
a/ a bejelentés személyes adatot érint-e,
b/ amennyiben a bejelentés személyes adatot érint, megállapítható-e a személyes adatok köre, c/ megállapítható-e az incidensben érintett személyek köre,
d/ a hatályos jogszabályok és belső szabályok alapján megállapítható-e, hogy személyes adat jogellenes kezelése vagy feldolgozása (beleértve a törlést/megsemmisítést is) történt,
e/ az incidens valószínűsíthetően magas kockázattal jár-e az érintettek jogaira és szabadságaira nézve,
f/ melyek az adatvédelmi incidensből eredő, valószínűsíthető következmények,
g/ az Intézmény által alkalmazott technikai és szervezési védelmi intézkedések az incidensben érintett személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik-e az adatokat.
Az érintett tájékoztatása a súlyos adatvédelmi incidensről
Súlyos adatvédelmi incidens esetén az Intézmény – az érintettel kapcsolatban rendelkezésére álló elérhetőségeken, ennek hiányában vagy alkalmazásuk lehetetlensége esetén (GDPR 34. cikk) a az Intézmény honlapján közzétett közlemény útján – indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az alábbi információkat és intézkedéseket: a/ az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
b/ az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
c/ az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet nem kell tájékoztatni, amennyiben az incidens nem jár magas kockázattal, és a következő feltételek bármelyike teljesül:
a/ az Intézmény megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b/ az Intézmény az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az említett magas kockázat a továbbiakban valószínűsíthetően nem áll fenn;
c/ a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Az Intézmény vezetőjének döntése alapján az Intézmény az érintetteket az Intézmény honlapján vagy országos lefedettségű sajtótermékben közzétett hirdetmény útján is értesítheti.
Az adatvédelmi incidens bejelentése a Hatóságnak
Az adatvédelmi incidensről szóló bejelentést a Hatóság mindenkori kapcsolati pontjára kell eljuttatni.
A bejelentés összeállításának és beadásának felelőse az adatvédelmi tisztviselő. Az adatvédelmi incidensről szóló bejelentéshez szükséges információkat az adatvédelmi tisztviselő rendelkezésére kell bocsátani.
Az adatvédelmi incidensről szóló bejelentésben legalább:
a/ ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b/ közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c/ ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; d/ ismertetni kell az Intézmény által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az adatvédelmi incidensek nyilvántartása
Az adatvédelmi incidensekről az adatvédelmi tisztviselő elektronikus nyilvántartást vezet.
A nyilvántartásban rögzíteni kell: a/ az incidensben érintett személyes adatok körét és számát, b/ az adatvédelmi incidenssel érintettek körét és számát,
c/ az adatvédelmi incidens észlelésének és tudomásszerzésének időpontját, d/ az adatvédelmi incidens körülményeit, hatásait, e/ az adatvédelmi incidens elhárítására megtett intézkedéseket, f/ az adatvédelmi incidenssel kapcsolatban adott tájékoztatások adatait.
Az Intézmény az adatvédelmi incidens kivizsgálásával kapcsolatos papíralapú és elektronikus dokumentumokat 10 évig köteles megőrizni. Az adatvédelmi incidensek vizsgálata során keletkezett, iktatott dokumentumokat az adatvédelmi tisztviselő az incidens vizsgálatának lezárásától számított 10 évig őrzi meg, illetéktelenek számára hozzá nem férhető, zárt helyen.
Harmadik országba irányuló adattovábbítás különös szabályai
Amennyiben személyes adatnak harmadik országba történő továbbításának szükségessége merül fel, az adatkezelő köteles az adatvédelmi tisztviselő véleményét kérni az adattovábbítás megengedhetőségéről, illetve az adattovábbítás lehetséges módjáról.
Adatvédelmi audit
Az adatvédelmi audit célja, hogy az adatvédelmi tisztviselő meggyőződjön arról, hogy az Intézmény az adatvédelemmel kapcsolatos jogszabályoknak és belső szabályzatoknak megfelelően kezelik-e az adatokat.
Az adatvédelmi tisztviselő éves ellenőrzési tervet készít. Az éves ellenőrzési tervnek az ellenőrzés várható időpontját, továbbá az ellenőrzés tárgykörét kell tartalmaznia. Az éves ellenőrzési tervet legkésőbb adott év február 28. napjáig kell elkészíteni és az Intézmény vezetője részére bemutatni. Az éves ellenőrzési tervet az Intézmény vezetője hagyja jóvá.
Az ellenőrzés során az adatvédelmi tisztviselő az Intézmény irodahelységeibe beléphet, az – ellenőrzés tárgyával összefüggésben kezelt – irataiba betekinthet, a munkatársaktól tájékoztatást kérhet adott üggyel kapcsolatos adatkezelésről.
Az adatvédelmi tisztviselő az ellenőrzés megtörténtéről jegyzőkönyvet készít. A jegyzőkönyv az ellenőrzés lefolytatásának tényét, annak időpontját és időtartamát, továbbá a tevékenység során rögzített tényeket, megállapításokat, információkat tartalmazza.
A személyes adatok kezelhetőségének felülvizsgálata
Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.
A szervezet vezetője által megállapított rendszeres felülvizsgálati határidő: 1 év.
Az Intézmény által kezelt adatok köre
1. Közalkalmazottak adatainak kezelése
1.1. A közalkalmazotti alapnyilvántartás vezetése, a közalkalmazott személyi iratainak és adatainak kezelése (továbbiakban: közalkalmazotti adatkezelés)
Az intézményben ügyintézőként, műszaki dolgozóként és kisegítő dolgozó munkakörben foglalkoztatottak közalkalmazotti adatkezelését a személyügyi nyilvántartást ellátó közalkalmazott látja el az intézmény munkaügyi előadója/bérelszámoló segítségével. A munkaügyi előadó a közalkalmazotti alapnyilvántartás adatköreit érintő iratok egy példányát továbbítja a személyi anyaghoz. A közalkalmazotti alapnyilvántartás VII. adatkörére vonatkozó nyilvántartást, a munkából való rendes szabadság miatti távollét időtartamát a munkaügyi előadó/bérelszámoló vezeti. A közalkalmazotti alapnyilvántartás személyi juttatásairól szóló VI. adatkör vezetéséhez a munkaügyi előadó-bérelszámoló a kinevezések és átsorolások egy példányát a személyügyi nyilvántartást ellátó közalkalmazottnak továbbítja.
Az intézményvezető és a gazdasági vezető személyi nyilvántartásának vezetését a munkáltatói jogokat gyakorló fenntartó szerv látja el. A személyügyi nyilvántartást ellátó közalkalmazott felelősségi körén belül köteles gondoskodni arról, hogy:
- az általa kezelt, a közalkalmazotti jogviszonnyal összefüggő adat és megállapítás az adatkezelés teljes folyamatában megfeleljen a jogszabályi rendelkezések tartalmának;
- a személyi iratra csak olyan adat, illetve megállapítás kerülhessen, amelynek alapja közokirat vagy a közalkalmazott írásbeli nyilatkozata, a munkáltatói jogkör gyakorlójának írásbeli rendelkezése, bíróság vagy más hatóság döntése, jogszabályi rendelkezés;
- a közalkalmazotti jogviszonnyal összefüggő adat helyesbítése és törlése egyeztetésre kerüljön a munkáltatói jog gyakorlójával, ha megítélése szerint a személyi iraton szereplő adat a valóságnak már nem felel meg
A személyügyi nyilvántartási feladatot ellátó közalkalmazotton minden olyan közalkalmazottat kell érteni, aki az intézménynél tevékenysége során a közalkalmazotti alapnyilvántartással és a személyi irattal összefüggő adatot kezel.
1.2. A közalkalmazotti alapnyilvántartás
Az intézmény a közalkalmazottról a jelen szabályzat melléklete szerinti – a Kjt. 83/B.§-ában meghatározott – adatkörre kiterjedő nyilvántartást vezet (közalkalmazotti alapnyilvántartás). A mellékletben nem szereplő körben – törvény eltérő rendelkezése hiányában – adatszerzés nem végezhető, ilyen adatot nyilvántartani nem lehet. A közalkalmazotti alapnyilvántartás adatai közül a munkáltató megnevezése, a közalkalmazott neve, továbbá a besorolására vonatkozó adat közérdekű, ezeket az adatokat a közalkalmazott előzetes tudta és beleegyezése nélkül nyilvánosságra lehet hozni. A közérdekű adatokon kívül a közalkalmazott nyilvántartott adatairól tájékoztatás nem adható. A közalkalmazott személyi anyagát az áthelyezéshez kapcsolódó eset kivételével kiadni nem lehet.
A közalkalmazott a saját anyagába, az alapnyilvántartásba, illetve a személyes adatait tartalmazó egyéb nyilvántartásokba, személyi iratokba korlátozás nélkül betekinthet, azokról másolatot vagy kivonatot kérhet, illetve kérheti adatai helyesbítését, kijavítását. Tájékoztatást kérhet személyi irataiba történt betekintésről, adatszolgáltatásról, személyi anyagának más szervhez történő megküldéséről. Az iratokban szereplő személyes adatokra a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvény rendelkezései vonatkoznak. A közalkalmazott az általa szolgáltatott adatai helyesbítését és kijavítását a nyilvántartást vezetőtől, egyéb esetekben a munkáltatói jogkört gyakorlótól írásban kérheti. A közalkalmazott felelős azért, hogy az általa a munkáltató részére átadott, bejelentett adatok hitelesek, pontosak, teljesek és aktuálisak legyenek.
Személyi adatot tartalmazó iratot a közalkalmazott intézményen belül csak zárt borítékban adhat át. A borítékon fel kell tüntetni, hogy azt csak a címzett bonthatja fel. A közalkalmazott az adataiban bekövetkező változásokról 8 napon belül köteles tájékoztatni közvetlen felettesét, aki 8 napon belül köteles intézkedni az adatok aktualizálásáról.
Az alapnyilvántartás vezetése számítógépes módszerrel történik. A számítógéppel vezetett adatokat ki kell nyomtatni a közalkalmazott
- adatainak első alkalommal történő felvételekor, ebben az esetben az érintett közalkalmazott aláírásával igazolja az adatok valódiságát,
- áthelyezésekor,
- a betekintési jog gyakorlójának erre irányuló külön kérelmére azokat az adatokat, amelyekre betekintési joga kiterjed.
A változások feltüntetése a számítógépes vezetés mellett a kinyomtatott adatlapokon kézzel történik. Ezen iratokat személyügyi iratként kell kezelni.
1.3.Adattovábbítás
Az intézmény a nem nyilvános személyes adatokat csak törvényben meghatározott esetekben és célokra, illetve az érintett közalkalmazott erre irányuló írásbeli kérelmére használhatja fel, vagy adhatja át harmadik személynek.
A munkáltatónál vezetett közalkalmazotti alapnyilvántartásba a Kjt. 83/D. §a szerint – az érintetten kívül – a következők jogosultak betekinteni, illetőleg abból adatot átvenni a rájuk vonatkozó jogszabályban meghatározott feladataik ellátása céljából: a közalkalmazott felettese, a minősítést végző vezető, a törvényességi ellenőrzést végző szerv. Az adattovábbítás írásos megkeresésre postai úton ajánlott küldeményként, kézbesítés esetén átadókönyvvel történhet, intézményen belül papír alapon, zárt borítékban. Az adattovábbítás az intézményigazgató akadályoztatása esetén az intézményvezető-helyettes, gazdasági vezető aláírásával történik.
1.4. A személyi irat
Közalkalmazotti szempontból személyi irat minden – bármilyen anyagon, alakban és bármilyen eszköz felhasználásával keletkezett–adathordozó, amely a közalkalmazotti jogviszony létesítésekor (ideértve a közalkalmazotti jogviszony létrehozását kezdeményező iratokat is), fennállása alatt, megszűnésekor, illetve azt követően keletkezik és a közalkalmazott személyével összefüggésben adatot, megállapítást tartalmaz. A közalkalmazotti álláshelyekre kiírt pályázatokra (álláshirdetésekre) beérkezett, valamint az elbírálás során keletkezett iratokat személyi iratként, de más ügyiratoktól elkülönítve kell iktatni és kezelni.
A személyi iratok körébe az alábbiak sorolandók:
- a személyi anyag iratai,
- a közalkalmazotti jogviszonnyal összefüggő egyéb iratok,
- a közalkalmazottnak az alkalmazotti jogviszonyával összefüggő más jogviszonyaival kapcsolatos iratok (adóbevallás, fizetési letiltás, stb.),
- a közalkalmazott saját kérelmére kiállított vagy önként átadott, adatokat tartalmazó iratok.
Az intézmény állományába tartozó közalkalmazottak személyi iratainak őrzése és kezelése, személyi számítógépes nyilvántartó rendszer működtetése a személyügyi nyilvántartást ellátó közalkalmazott feladata az előírt körben.
A személyi anyagokhoz közvetlen hozzáférés biztosított az intézményvezető, valamint az általa felhatalmazott közalkalmazott részére.
1.5. A személyi irat kezelése
A személyi iratokba a következő szervek és személyek jogosultak betekinteni:
A Kjt. 83/D. §-ában meghatározott személyek: - a közalkalmazott felettese,
- a minősítést végző vezető,
- feladatkörének keretei között a törvényességi ellenőrzést végző vagy törvényességi felügyeletet gyakorló szerv,
- munkaügyi, polgári jogi, közigazgatási per kapcsán a bíróság,
- a közalkalmazott ellen indult büntetőeljárásban nyomozó hatóság, az ügyész és a bíróság,
- a személyzeti, munkaügyi és illetményszámfejtési feladatokat ellátó szerv e feladattal megbízott munkatársa feladatkörén belül,
- az adóhatóság, a társadalombiztosítási igazgatási szerv, az üzemi baleseteket kivizsgáló szerv és a munkavédelmi szerv.
A személyi iratra csak olyan adat és megállapítás vezethető, amelynek alapja:
- közokirat, vagy a közalkalmazott írásbeli nyilatkozata,
- a munkáltatói jogkör gyakorlójának írásbeli rendelkezése, - bíróság vagy más hatóság döntése,
- jogszabályi rendelkezés.
A közalkalmazotti jogviszony létrehozásának elmaradása esetén a közalkalmazotti jogviszony létrehozását kezdeményező iratokat vissza kell adni az érintettnek, illetve a személyi anyagot annak a szervnek, amely azt megküldte.
A személyi anyag tartalma:
- a közalkalmazotti alapnyilvántartás adatlapjai,
- a közalkalmazott öt évnél nem régebbi fényképe (önkéntes hozzájárulás esetén), a pályázat vagy szakmai önéletrajz,
- az erkölcsi bizonyítvány,
- az iskolai végzettséget és szakképzettséget tanúsító oklevél másolat, - továbbképzés elvégzéséről szóló tanúsítvány másolata,
- iskolarendszeren kívüli képzésben szerzett bizonyítvány másolata,
- a kinevezés és annak módosítása,
- a vezetői megbízás és annak visszavonása,
- a címadományozás,
- a besorolás iratai,
- az áthelyezésről rendelkező iratok,
- a teljesítményértékelés,
- a minősítés,
- a közalkalmazotti jogviszonyt megszüntető irat,
- a közalkalmazotti igazolás másolata.
A felsorolt iratokat (személyi anyagként) minden esetben együttesen kell tárolni. A közalkalmazotti jogviszony létesítésekor a közalkalmazotti alapnyilvántartást végző közalkalmazott összeállítja a közalkalmazott személyi anyagát. Törvény eltérő rendelkezésének hiányában a személyi anyagban a személyi iratokon kívül más irat nem tárolható.
A személyi anyagnak „Betekintési lap”-ot is kell tartalmaznia, amelyen vezetni kell a személyi anyagba történő betekintés tényét, jogosultjának személyét, jogszabályi alapját és időpontját, a megismerni kívánt adatok körét, a betekintő aláírását. A „Betekintési lap”-ot a személyi anyag részeként kell kezelni. A közalkalmazott személyi anyagába, egyéb személyi irataiba, illetve az alapnyilvántartásba a Kjt. 83/D. §-ában felsorolt személyek a „Betekintési lap” kitöltését követően jogosultak betekinteni, kivéve a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény 42. §-ában foglalt eseteket. A közalkalmazotti jogviszony megszűnése esetén a személyi anyagot irattározni kell.
A személyi anyagot – kivéve, amely áthelyezés esetén átadásra került – a közalkalmazotti jogviszony megszűnésétől számított 50 évig meg kell őrizni.
1.6. Felelősség a közalkalmazotti jogviszonnyal összefüggő adatok kezeléséért
Az intézményben a közalkalmazotti jogviszonnyal összefüggő adatok kezeléséért - az intézmény vezetője;
- az érintett közalkalmazottak tekintetében az általános vezetőhelyettes, a gazdasági vezető (továbbiakban: a közalkalmazott felettese);
- a minősítést, illetve teljesítményértékelést végző vezető;
- a személyügyi nyilvántartást ellátó közalkalmazott;
- a közalkalmazott a saját adatainak közlése tekintetében tartozik felelősséggel
1.6.1. Az intézményvezető felelőssége
Az intézmény igazgatója felelős a közalkalmazotti jogviszonnyal összefüggő adatok védelmére és kezelésére vonatkozó jogszabályok, valamint e Szabályzatban rögzített előírások megtartatásáért, illetve e követelmények ellenőrzéséért. E felelősségi körében köteles gondoskodni
- a közalkalmazottak adataira is kiterjedő adatvédelmi szabályzat kiadásáról,
- az ellenőrzés módszereinek és rendszerének kialakításáról és működtetéséről,
- a közalkalmazotti jogviszonnyal összefüggő adatok védelmével kapcsolatos követelmények
intézményen belüli közzétételéről.
1.6.2. A gazdasági vezető
Az intézmény gazdasági vezetője felel az illetményszámfejtés körében keletkezett és továbbított adatok kezeléséért.
1.6.3. Egyéb munkakör
Az, akit a Kjt. 83/D. §-a a közalkalmazotti alapnyilvántartásba betekintésre feljogosít, minden esetben köteles azt dokumentálni a betekintési lapon. A minősítést, illetve teljesítményértékelést végző vezető felelősségi körén belül gondoskodik arról, hogy a minősítés, illetve teljesítményértékelés folyamatába bevont harmadik személy kizárólag csak a jogszerű és tárgyilagos minősítéshez, illetve teljesítményértékeléshez szükséges adatokat ismerhesse meg.
1.7. A munkavállalók adatainak kezelése (Munkaügyi, személyügyi nyilvántartás)
A Munka Törvénykönyve alapján foglalkoztatott munkavállalóktól csak olyan adatok kérhetők és tarthatók nyilván, illetve olyan munkaköri alkalmassági vizsgálatok (ideértve a munka alkalmassági orvosi vizsgálatot is) elvégzését lehet kérni, amelyet munkaviszonyra vonatkozó szabály ír elő, és amelyek munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez szükségesek és a munkavállaló személyiségi jogait nem sértik.
Az Intézmény jogszabályi kötelezettség, (GDPR 6. cikk (1) bekezdése c) pont) jogcímén munkaviszony létesítése, fenntartása vagy megszűnése céljából kezeli a munkavállaló alábbi adatait:
1. név,
2. születési név,
3. születési helye, ideje,
4. anyja neve,
5. lakcíme,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas munkavállaló esetén),
10. telefonszám,
11. e-mail cím,
12. személyazonosító igazolvány száma,
13. lakcímkártya száma,
14. bankszámlaszáma (ha a fizetés bankszámlára való átutalással történik),
16. munkába lépésének kezdő és befejező időpontja, valamint napi munkakezdésének és munkavégzésének időpontja,
17. munkaköre,
18. iskolai végzettségét, szakképzettségét igazoló okmány másolata,
19. önéletrajz,
20. a munkabérrel, a bérfizetéssel, és egyéb juttatásokkal kapcsolatos adatok, 21. a munkavállaló munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozás, illetve ennek jogosultságát igazoló okirat,
22. az előző munkaviszony megszűnésének módja, az erre vonatkozó iratok,
23. erkölcsi bizonyítvány (ha a munkakörhöz szükséges),
24. a munkaköri alkalmassági vizsgálatokra vonatkozó iratok,
25. önkéntes nyugdíj - és egészségpénztári tagság esetén a pénztár megnevezése, azonosító száma és a munkavállaló tagsági száma,
26. külföldi munkavállaló esetén útlevélszám; munkavállalási jogosultságot igazoló dokumentumának megnevezése és száma,
27. munkavállalót ért baleset jegyzőkönyvében rögzített adatok
28. saját személygépkocsi hivatali célra történő használata esetén a gépjármű törzskönyv másolata 29. ha a munkakör ellátásához jogosítvány szükséges, a jogosítvány száma és másolata.
Betegségre és szakszervezeti tagságra vonatkozó adatokat az Intézmény csak a Munka Törvénykönyvében meghatározott jog, vagy kötelezettség teljesítése céljából kezel. A személyes adatok tárolásának időtartama a munkaviszony megszűnését követő 50 év. Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Munka Törvénykönyvén, a társadalombiztosítási-, adó- és nyugdíjjogszabályokon alapul.
A munkáltató a munkaszerződés megkötésével egyidejűleg az Adatkezelési Tájékoztató átadásával tájékoztatja a munkavállalót személyes adatainak kezeléséről és a személyhez fűződő jogairól.
Egyebekben a munkavállaló adatainak a kezelésére a közalkalmazottakra vonatkozó szabályok alkalmazandók.
2. A jogviszony tartalmával összefüggő adatkezelések
2.1. E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
Ha az Intézmény e-mail fiókot bocsát a közalkalmazott rendelkezésére – ezen e-mail címet és fiókot a közalkalmazott kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a közalkalmazottak ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel.
A közalkalmazott az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a közalkalmazotti kötelezettségek ellenőrzése.
Az ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.
Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a közalkalmazott jelen lehessen az ellenőrzés során.
Az ellenőrzés előtt tájékoztatni kell a közalkalmazottat arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak a az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az email címéből és tárgyából kell megállapítani, hogy az a közalkalmazott munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a közalkalmazott az email fiókot személyes célra használta, fel kell szólítani a közalkalmazottat, hogy a személyes adatokat haladéktalanul törölje. A közalkalmazott távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor a munkáltató törli. Az e-mail fiók jelen szabályzattal ellentétes használata miatt a munkáltató a közalkalmazottal szemben jogkövetkezményeket alkalmazhat.
A közalkalmazott az e-mail fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
A kezelt adatok köre: közalkalmazott neve, e-mail címe, ellenőrzés eredménye
Az adatkezelés jogalapja: A munka törvénykönyvéről szóló 2012. évi I. tv 8. §., 52. §, tehát jogi kötelezettség teljesítése (GDPR 6. cikk (1) bek. c) pont)
Az adatkezelés időtartama: Az ellenőrzés tényéből származtatott jogok és kötelességek által megalapozott igények érvényesítési lehetőségeiből fakadó határidő.
2.2. Számítógép, laptop, tablet, mobiltelefon ellenőrzésével kapcsolatos adatkezelés
Az Intézmény által a közalkalmazott részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet, mobiltelefont a közalkalmazott kizárólag munkaköri feladata ellátására használhatja, ezek magáncélú használatát az Intézmény nem engedélyezi, ezen eszközökön a közalkalmazott semmilyen személyes adatot, levelezését, telefonhívásait, sms üzeneteit, egyéb személyes adatait nem kezelheti és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat, telefonhívásokat, internethasználatot ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben az előbbi 2.1. pont rendelkezései irányadók.
2.3. A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
A közalkalmazott csak a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a személyes célú munkahelyi internethasználatot a munkáltató megtiltja.
A munkaköri feladatként az Intézmény nevében elvégzett internetes regisztrációk jogosultja az Intézmény, a regisztráció során az Intézményre utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a jogviszony megszűnésekor azok törlését köteles kezdeményezni az Intézmény.
A közalkalmazott munkahelyi internethasználatát a munkáltató ellenőrízheti, amelyre és jogkövetkezményire az 2.1. pont rendelkezései irányadók.
3. Alkalmassági vizsgálatokkal - ideértve a munkaköri alkalmassági orvosi vizsgálatot is - kapcsolatos adatkezelés
A közalkalmazottal/munkavállalóval csak olyan alkalmassági vizsgálat végeztethető el, amelyet jogszabály, vagy munkaviszonyra vonatkozó szabály ír elő, vagy amely közalkalmazotti jogviszonyra/munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt a közalkalmazottakat/munkavállalókat részletesen tájékoztatni kell többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik, és miért kell. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a közalkalmazottakat/munkavállalókat a jogszabály címéről és számáról, valamint a pontos jogszabályhelyről is.
A kezelhető személyes adatok köre: a munkaköri, valamint az egészségügyi alkalmasság ténye, és az ehhez szükséges feltételek.
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. c) pontja, mivel az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése miatt szükséges. Az egészségügyi adatok kezelésének további jogalapja a Rendelet 9. cikk (2) bek. h) pontja.
Releváns jogszabályok: a Munka törvénykönyve, a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet.
A személyes adatok kezelésének célja: közalkalmazotti jogviszony/munkaviszony létesítése, fenntartása, munkakör betöltése.
A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára (adott munkakör ellátására) alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg.
A személyes adatok kezelésének időtartama: a jogviszony megszűnését követő 3 év.
4. Felvételre jelentkező személyek adatainak kezelése
A kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail cím, a jelentkezőről készített munkáltatói feljegyzés.
A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal közszolgálati jogviszony létesítése, ill. munkaszerződés kötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
Az adatkezelés jogalapja: szerződés teljesítése. Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség, ha az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (Rendelet 6 cikk (1) bek. b. pont).
A személyes adatok tárolásának időtartama: a jelentkezés, pályázat végleges elbírálását követő 15 napig. A ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta.
A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a jelentkezőktől.
5. Munkára alkalmas állapot vizsgálata
Az adatkezelés célja: Az Intézmény működésének helyein a közalkalmazott/munkavállaló csak biztonságos munkavégzésre alkalmas állapotban, a munkavédelemmel kapcsolatos utasítások és előírások betartásával tartózkodhat és végezhet munkát. A közalkalmazott/munkavállaló köteles a munkatársaival együttműködni, és munkáját úgy végezni, hogy az mások, vagy saját testi épségét ne veszélyeztesse.
A Intézmény teljes területén tilos a közalkalmazottaknak/munkavállalóknak alkoholos befolyásoltság, vagy egyéb tudatmódosító szer hatása alatt tartózkodniuk. Mivel ezen tudatmódosító szerek hatása alatt a munkaképesség nem biztosítható a munkavédelemről szóló 1993.évi XCIII. tv. alapján a munkáltató köteles meggyőződni róla, hogy a munkavállalók betartjáke az alkoholfogyasztás tilalmával kapcsolatos szabályokat. A munkáltató ellenőrzési gyakorlata nem járhat az emberi méltóság megsértésével. A közalkalmazott/munkavállaló alkoholszondás ellenőrzésével kapcsolatosan jegyzőkönyvet kell felvenni.
A kezelt adatok köre: Közalkalmazott/munkavállaló neve, anyja neve, születési helye, ideje, beosztása, ellenőrzés eredménye
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. c) pontja, mivel az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése miatt szükséges. Az egészségügyi adatok kezelésének további jogalapja a Rendelet 9. cikk (2) bek. h) pontja.
Releváns jogszabályok: a munkavédelemről szóló 1993.évi XCIII. tv 60. § valamint a munka törvénykönyvéről szóló 2012.évi I. tv 52. § a) pont.
Az adatkezelés időtartama: Az ellenőrzés tényéből származtatott jogok és kötelességek által megalapozott igények érvényesítési lehetőségeiből fakadó határidő.
6. Megváltozott munkaképességű alkalmazottak
A megváltozott munkaképességű alkalmazottakra adatkezelési szempontból azonos szabályok vonatkoznak, mint az Intézmény egyéb alkalmazottjaira, rájuk vonatkozóan azonban bővebb a kezelt adatok köre. Az Intézmény törvényi előírás alapján kezeli a megváltozott munkaképességű munkavállalók egészségi állapotára vonatkozó adatokat.
7. Üzleti partnerekhez, egyedi szerződésekhez kapcsolódó adatkezelések
Az Intézmény tevékenységének akadálytalan végzése érdekében üzleti partnereivel szerződéseket köt. A szerződésben a Felek kapcsolattartói is megnevezésre kerülnek e-mail címük és telefonszámuk feltüntetésével.
Jogi személy partnerek cégjegyzékben nem szereplő természetes személy képviselőinek személyes adatai kezelése során a kezelhető személyes adatok köre az alábbi: a természetes személy neve, címe, telefonszáma, e-mail címe.
Amennyiben a gazdálkodó szervezet szerződő fél az Adatkezelővel kötött szerződésben a vezető tisztségviselő vagy cégvezető, illetve a cégjegyzékben szereplő törvényes képviselő adatait adja meg, úgy a cégjegyzékből ismert, nyilvános adatok kezeléséhes egyéb jogcím nem szükséges.
A cégjegyzékben nem szereplő kezelt adatok: a magánszemély neve, telefonszáma, e-mail címe.
A személyes adatok kezelésének célja: az Intézmény jogi személy partnerével szerződés megkötése, teljesítése, üzleti kapcsolattartás.
Az adatkezelés jogalapja: természetes személy partner esetében az érintettel kötött szerződés, azaz a GDPR 6. cikk (1) bekezdés b) pontja, jogi személy esetében a kapcsolattartó, illetve a bejegyzett képviselő nem nyilvántartott adataira nézve az Intézmény jogos érdeke, a partnerrel fennálló üzleti kapcsolat fenntartása, a kapcsolattartás megkönnyítése, azaz a GDPR 6. cikk (1) bekezdés f) pont.
Az Intézmény a jogos érdeket érdekmérlegelési teszt alapján vizsgálta és igazolta. Az érdekmérlegelési teszt igazolta, hogy ezen adatkezelés az adatkezelő érdekei érvényesítése érdekében szükséges, az érintettek szabadságait és érdekeit az adatkezelés ilyen módja hátrányosan nem érinti. Az Intézmény a jogos érdeket érdekmérlegelési teszt alapján vizsgálta és igazolta. Az érdekmérlegelési teszt igazolta, hogy ezen adatkezelés az adatkezelő érdekei érvényesítése érdekében szükséges, az érintettek szabadságait és érdekeit az adatkezelés ilyen módja hátrányosan nem érinti.
A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 8 év. Ha jogszabály (pl. adótörvény stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
Ha az érintettre vonatkozó személyes adatokat az Adatkezelő az érintettől gyűjti, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelőnek és az intézményvezetőnek a kiléte és elérhetőségei; b a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja; c) az adatkezelő vagy harmadik fél jogos érdekei;
Az Intézmény által ilyen célból gyűjtött adatok más adatkezelő vagy adatfeldolgozó részére átadásra nem kerülnek, harmadik országba Adatkezelő nem továbbítja őket.
8. Jogi kötelezettségen alapuló adatkezelés
8.1. Adatkezelés az adó- és számviteli kötelezettségek, adatszolgáltatás teljesítése céljából
Az Intézmény kezeli a vevőként, szállítóként, bérbeadóként, megbízottként, szolgáltatás igénybe vevőjeként, illetve vele egyéb üzleti kapcsolatban álló vagy üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait.
A kezelhető személyes adatok köre: a természetes személy természetes személyazonosító adatai: név (előző név) születési hely, idő, anyja neve, lakcíme, adószáma és adóazonosító száma.
Az adatkezelés jogalapja: az adójogszabályokban (pl. az általános forgalmi adóról szóló 2017. évi CXXVII. törvény, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény, az adózás rendjéről szóló 2017. évi CL. törvény, foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése, valamint szerződéskötést megelőzően megteendő intézkedések (szerződés megkötése), szerződés-módosítás esetén: szerződés teljesítése), így a GDPR 6. cikk (1) bek. c) pontjának jogcímen alapul.
A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 7 év. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
8.2. Kifizetői adatkezelés
Az Intézmény jogi kötelezettség teljesítése jogcímén, törvényben (jogszabályban) előírt adó- és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási ügyintézés) céljából kezeli azon érintettek – foglalkoztatottak, egyéb juttatásban részesülők és szerződéses kapcsolatban állók – adótörvényekben előírt személyes adatait, akikkel kifizetői (az adózás rendjéről szóló 2017. évi CL. törvény (Art. 7.§ 31.) kapcsolatban áll.
A kezelt adatok köre: a természetes személy természetes személyazonosító adatai: név (előző név) születési hely, idő, anyja neve, lakcíme, adószáma és adóazonosító száma, társadalombiztosítási azonosító jele (TAJ szám), ha az érintett nyugdíjas, a nyugdíjas törzsszáma. Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, az Intézmény kezelheti a foglalkoztatottak egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§ (2) b./) tagságra vonatkozó adatait az adó- és járulékkötelezettségek teljesítése (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
Az adatkezelés jogcíme: az adójogszabályokban (pl. az általános forgalmi adóról szóló 2017. évi CXXVII. törvény, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény, az adózás rendjéről szóló 2017. évi CL. törvény), a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvényben foglalt kötelezettségeknek való megfelelés, illetve azok teljesítése, azaz a GDPR 6. cikk (1) bek. c) pontjának jogcímen alapul.
.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 7 év.
9. Az Intézmény tevékenységével kapcsolatos adatkezelések
9.1. Piac működtetésével kapcsolatos adatkezelés
Az Intézmény az Önkormányzat megbízásából Veresegyház Város Főterén és a Fő utcán piaci napokat szervez. A standokon őstermelők és kereskedők árusítják portékáikat. A standok bérletére az Intézmény bérleti szerződést köt magánszemélyekkel és vállalkozásokkal.
A jogviszony során az Intézmény tudomására jutott személyes adatok kezelésére a jelen szabályzat jelen fejezetének 7. pontjában foglalt szabályozás alkalmazandó.
A nem magánszemélyként bérelt standokon való árusításhoz vállalkozási, valamint a veresegyházi piacra szóló működési engedély szükséges, a termékre vonatkozó piaci kereskedelmi engedélyek megléte mellett. A működési engedélyben megadott adatok körét a 2010/2009. (IX.29.) Korm. rendelet határozza meg.
9.2. Köztisztasági szolgáltatásokkal kapcsolatos adatkezelés
Az Intézmény telephelyén, a Veresegyház, Sport u. 4. címen, hulladékudvart üzemeltet, ahol egész évben lerakhatóak a jogszabályban meghatározott hulladékok külön fizetendő térítési díj ellenében. A tevékenység során a hatályos adótörvényekben meghatározott, számlaadáshoz szükséges adatokon kívül (név, székhely/lakcím, adószám/adóazonosító ) egyéb személyes adatok nem kezelhetőek.
9.3. Medveotthon működtetésével kapcsolatos adatkezelés
Az öt és fél hektár területen kialakított Veresegyházi Medveotthon Közép-Európa egyetlen Medveotthona, mely az Állatvédő Világszervezet (WSPA) és a Veresegyházi Önkormányzat összefogásával jött létre. A terület kialakításánál fontos szempont volt, hogy a látogatók az állatokat teljesen biztonságosan, testközelből, azok zavarása nélkül láthassák. A Medveotthonban élő állatok fajtája és egyedszáma folyamatosan változik, hiszen az ország minden részéről érkeznek ide példányok. Magántartásból, más állatkertekből és külföldről is kap a Medveotthon állatokat. A Medveotthon tulajdonosa és fenntartója Veresegyház város Önkormányzata képviseletében az Intézmény.
9.3.1. Állatok örökbefogadása adatainak kezelése
Bárkit megillet a kitüntető "nevelőszülő" cím, aki a menhelyben élő állatok közül kiválasztja kedvencét és bizonyos pénzadománnyal támogatja. Nem csak magánszemélyek, hanem iskolák, osztályok, szakkörök, klubok is fogadhatnak örökbe. Az örökbefogadást átutalással lehet kifizetni, majd ezt követően az iroda@medveotthon.hu e-mail címre küldött levélben a bizonylatot megküldeni, és a számlázási címet és postacímedet megadni szükséges. Az Intézmény az örökbefogadásról kiállított Oklevelet és a köszönetünket, valamint a számlát a megadott címre küldi meg.
Az örökbefogadó nevét, címét az Intézmény megőrzi.
A kezelhető személyes adatok köre: Örökbefogadó neve, mail címe- e, lakcíme, bankszámlaszáma. Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: az értékesítést követő 5 évig a hatályos adótörvények alapján. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
9.3.2. Ajándék jegy értékesítés
Az Intézmény lehetőséget ad arra, hogy abban az esetben, ha a honlapján megadott bankszámla számára a belépők ára és a postaköltsége összege átutalásra kerül, majd az utalási kivonatot csatolásával és a postázási cím megjelölésével az iroda@medveotthon.hu e-mail címre egy levél érkezik azzal a szándékkal, hogy a fizető fél harmadik személynek ajándékba belépő jegyet vásároljon, úgy az Intézmény azt egy általa megadott postacímre kiküldi.
A kezelhető személyes adatok köre: Ajándékozó neve, e-mail címe, lakcíme, bankszámlaszáma, megajándékozott neve, címe. Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
Az online bankkártyás fizetések a Barion rendszerén keresztül valósulnak meg. A bankkártya adatok a kereskedőhöz nem jutnak el. A szolgáltatást nyújtó Barion Payment Zrt. a Magyar Nemzeti Bank felügyelete alatt álló intézmény, engedélyének száma: H-EN-I-1064/2013.
A személyes adatok tárolásának időtartama: az értékesítést követő 5 évig a hatályos adótörvények alapján. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
9.3.3. A Medveotthon web lapjának kezelése
A Medveotthon weblapjainak címe: www.medveotthon.hu
A Medveotthon WEB lapján a Medveotthon szolgáltatásit vehetik igénybe az Internet használó érdeklődők: online jegyértékesítés, válogatás a korábban közzétett híradásokból, hírlevélszolgáltatás, egyéb hírszolgáltatás.
Az adatkezelés célja: A Honlapon elérhető szolgáltatások működtetése, az Intézmény népszerűsítése, fenntarthatóságának biztosítása
Hírlevél szolgáltatás
A hírlevélre való feliratkozásnál a törvény értelmében kötelező megadni a feliratkozó e-mail címén kívül a nevét is. A hírlevélre a weboldalról lehet feliratkozni. http://medveotthon.hu/
A feliratkozó űrlap felhívja a figyelmet a hírlevél témájára, a feliratkozás önkéntességére és tartalmazza a honlapon elhelyezett Adatvédelmi Tájékoztató linkjét. Email, keresztnév és járt-e nálunk mezők alatt, pipálható boksz-ban kell elfogadni az Adatkezelési tájékoztatót. Ez kötelező mező, e nélkül nem lehet feliratkozni.
A honlapról elérhető – szolgáltatáshoz kapcsolódó – adatvédelmi tájékoztató figyelmeztet, hogy a feliratkozó a hozzájáruló nyilatkozatát bármikor korlátozás és indokolás nélkül költségmentesen visszavonhatja. Ebben az esetben a nevezett személyes adatait az Intézmény a nyilvántartásból haladéktalanul törli és részére a továbbiakban hírlevelet nem küld. A visszavonás a hírlevél végén található leiratkozó link használatával lehetséges.
A kezelhető személyes adatok köre: név, e-mail cím, „járt-e nálunk” kérdésre adandó válasz, userID, IP cím Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: a hírlevélről történő leiratkozásig.
Kapcsolat felvételi oldal
A weboldal látogatója a weboldalon elhelyezett kapcsolati adatlap kitöltésével levelet küldhet a weboldal fenntartójának, az Intézménynek. (http://medveotthon.hu/kapcsolat/)
Kötelezően megadandó adatok: név, email cím, levél tárgya. Az üzenet kitöltése mellett az Adatvédelmi Tájékoztatóra mutató linket talál. Levél küldése csak az érintett hozzájárulásának a megadásával, azaz az Adatvédelmi Tájékoztató megismerését és elfogadását jelölő négyzet kipipálásával lehetséges.
A kezelhető személyes adatok köre: név, e-mail cím, üzenet tartalma Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: 3 év.
Vendégkönyvi bejegyzés
Látogatói vélemények írására ad az Intézmény lehetőséget a weboldal főlapján. http://medveotthon.hu/
Az Intézmény vendégkönyvi bejegyzéseket fogad névvel, email címmel, üzenet és képküldés lehetőségével. A vendégkönyvi bejegyzést a weboldal szerkesztője moderálja.
Az űrlapon az Adatvédelmi Tájékoztatónkra mutató linket talál a bejegyző. Levél küldése csak az érintett hozzájárulásának megadásával, azaz az Adatvédelmi Tájékoztató megismerését és elfogadását jelölő négyzet kipipálásával lehetséges.
A kezelhető személyes adatok köre: név, e-mail cím, üzenet tartalma
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: 3 év.
Cookie (süti) kezelés
A honlapon a sütik használatának célja, hogy a későbbiekben jobban testre szabhatóak legyenek a weboldalak, az Ügyfél érdeklődésének és igényeinek megfelelően, ezáltal könnyebbé válik az oldalak használata. A sütik célja továbbá a jövőbeni felhasználói tevékenységek gyorsítása és a felhasználói élmény javítása az oldalak használata közben. A sütik anonim, összesített statisztika készítésére is alkalmasak, így jobban megérthető, hogy az emberek hogyan használják az oldalakat és így javítani lehet azok struktúráján és tartalmán. Ebből az információból nem lehet a természetes személyt azonosítani.
A használt sütik fajtái:
- Anonim látogatóazonosító (süti) elhelyezése
Az anonim látogatóazonosítók (sütik) olyan fájlok vagy információdarabok, amelyek a felhasználó számítógépén (vagy más internetképes készülékén, mint okostelefon vagy táblagép) tárolódnak, amikor meglátogat egy oldalt. Egy süti általában tartalmazza a webhely nevét, ahonnan az jött, a saját „élettartamát” (vagyis, hogy milyen hosszan marad a készüléken) és az értékét, ami általában egy véletlenszerűen generált egyedi szám - Szükséges sütik
Ahhoz szükségesek, hogy az oldalak jól működjenek, lehetővé teszik a felhasználóknak, hogy mozogjon webhelyeken és használja a különböző funkciókat. Például a korábbi lépésekre, beírt szövegre való emlékezés megkönnyíti a használatot, amikor visszanavigál egy oldalra ugyanabban a munkamenetben.
Ezek a sütik nem azonosítják egyénileg a felhasználót. Ha a felhasználó nem fogadja el ezen sütik használatát, annak hatása lehet a webhelyre és annak teljesítményére. - Teljesítmény sütik
Segítik megérteni, hogy a látogatók hogyan lépnek kapcsolatba webhelyekkel azáltal, hogy információt szolgáltatnak a meglátogatott helyekről, arról, hogy mennyi időt töltenek az oldalon, és bármely problémáról, amivel találkoztak, mint például a hibaüzenetek. Ez segít a Szolgáltató webhelyeinek teljesítményének javításában.
Ezek a sütik nem azonosítanak egyénileg felhasználót. Az adatokat összesítve és névtelenül gyűjtik.
- Funkcionalitás sütik
Lehetővé teszik a webhelyeknek, hogy emlékezzenek arra, mik kerültek kiválasztásra (mint például a felhasználónév, nyelv, vagy a régió, ahol tartózkodik az oldal látogatója), hogy egy személyesebb online tapasztalatot nyújtsanak. Azt is lehetővé teszik, hogy videókat nézzen, játékokat játsszon és társasági eszközöket használjon, mint például a blogok, chatszobák és fórumok.
Az ilyen sütik által gyűjtött információkban lehetnek személyes azonosító adatok, amelyeket a felhasználó megosztott, mint a felhasználóneve vagy profilképe. Mindig nyilvánvalóan tájékoztatni kell az Ügyfelet arról, hogy milyen információt gyűjt az Intézmény, mit csinál vele és kivel osztja meg azt. Ha nem fogadja el az oldalt használó ezeket a sütiket, annak hatása lehet a webhely teljesítményére és funkcionalitására és korlátozhatja hozzáférését a webhely tartalmához. - Célzás vagy Reklám sütik
Ezeket a sütiket olyan tartalmak szállítására használja az Intézmény, amelyek relevánsabbak a felhasználó számára és érdeklődési köre számára. Ezeket arra lehet használni, hogy célzott hirdetést juttassanak el, és hogy korlátozzák, hogy hányszor néz meg valaki egy hirdetést.
Abban is segítenek, hogy mérni lehessen a reklám kampányok hatékonyságát az oldalakon. Ezeket a sütiket arra lehet használni, hogy emlékezzenek a webhelyekre, amelyeket meglátogatott a felhasználó és megoszthatja az Intézmény ezt az információt más felekkel, ideértve hirdetőit és az ügynökségeket.
Az ilyen sütik legtöbb fajtája követi a fogyasztókat IP címükön keresztül ez által gyűjthetnek személyesen azonosítható információkat.
A honlap üzemeltetője: Feki Webstudio Kft.
Székhely: 9444 Fertőszentmiklós, Petőfi u.44.
E-mail: info@fekiwebstudio.hu
A weblappal kapcsolatos Adatkezelési tájékoztató szövegét jelen szabályzat melléklete tartalmazza.
9.4. Tóstrand, termálfürdő üzemeltetésével kapcsolatos adatkezelés
A létesítmények az Intézmény fenntartásában vannak, így hasznosításukról is a GAMESZ rendelkezik. Jegy és bérletárusítás kizárólag a helyszínen elérhető, online értékesítés nem lehetséges.
A kezelhető személyes adatok köre: a természetes személy neve, címe (bérlet esetén minden esetben).
A személyes adatok kezelésének célja: a magánszemély vásárlónak a fürdőbe való bejutás folyamatos biztosítása, üzleti kapcsolattartás.
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bek. c) pontja, azaz jogszabályi kötelezettség teljesítése.
A vonatkozó jogszabályok a hatályos adó- és számviteli törvények.
A személyes adatok tárolásának időtartama: a jegy, bérlet megvásárlásának évét követő 8 év.
A jelen szabályzat mellékletét képező adatkezelési tájékoztatót ismertetni kell a bérletet megvásárolni kívánó érintett személlyel. A bérlet megvásárlójának adatkezelési hozzájáruló nyilatkozatát az adatkezelés időtartamáig meg kell őrizni.
9.5. Közterület-használat nyilvántartása
Az Intézmény nyilvántartja az Önkormányzat által kiadott közterülethasználati engedélyek alapján a közterület használókat.
A személyes adatok kezelésének célja: az Intézmény jogi személy vagy magánszemély partnerével szerződés megkötése, teljesítése, üzleti kapcsolattartás, bírságolás.
A közterület-felügyelő által kirótt bírságokat és a közterület bérletére vonatkozó adatokat a közterületfelügyelő továbbítja a Hivatal pénzügyi feladatokat ellátó munkatársainak. A felügyelő vezeti a közterület használati nyilvántartást.
Kezelt adatok köre:
a./ az engedélyt kérő neve és állandó lakó-, szék-, vagy telephelyének címe,
b./ a közterület-használat célja és időtartama, vagy az, hogy a közterületet az engedélyt kérő állandó jelleggel kívánja használni, a használati díj összege
c./ a közterület-használat helyének, módjának és mértékének pontos meghatározása.
Az adatkezelés időtartama: a szerződés, a terület használati jogának megszűnését követő 8 év.
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés e) pontja, mivel az adatkezelés az adatkezelő közérdekű feladatának ellátása keretében végzett feladat - a közterület-felügyeletről szóló 1999. évi LXIII. törvényben foglaltak - végrehajtásához szükséges.
9.6. Telefonos ügyfélszolgálaton történő adatkezelés
Az Intézmény a tevékenysége ellátása érdekében telefonos ügyfélszolgálatot üzemeltet. Jogszabály kötelező rendelkezése alapján az ügyfelek által, a telefonos ügyfélszolgálaton bejelentett ügyet, panaszt kötelezően írásban rögzíteni kell (magánszemély neve, címe, telefonszáma, e-mail címe) az adatvédelmi tájékoztatóban meghatározott jogaira való felhívás mellett és azt 5 évig meg kell őrizni, erről az érintettet tájékoztatni kell.
Az adatkezelés jogalapja a közérdekű adatkezelés, illetve az adatkezelő által végezett közérdekű feladat végrehajtásához szükséges adatkezelés, a Rendelet 6. cikk (1) bek. e) pontja.
Az Érintetteket tájékoztatni kell, hogy tiltakozhatnak az adatkezelés ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést kényszerítő erejű jogos okok igazolják.
9.7. Kamerás megfigyelőrendszer üzemeltetése
Az Intézmény az alábbi telephelyein kamerás megfigyelőrendszert üzemeltet:
- Veresegyházi Termálfürdő, 2112 Veresegyház, Találkozók útja 1.
- Hévízkút központ
- GAMESZ Veresegyház, Sport u. 4. szám alatti székhelye - Medveotthon, 2112 Veresegyház, Patak u. 39.
A kamerák elhelyezésének a sémarajzát jelen szabályzat melléklete tartalmazza.
Az elektronikus megfigyelőrendszer adott területen történő alkalmazásáról jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elősegítő módon figyelemfelhívó jelzést, tájékoztatást kell elhelyezni. A tájékoztatásnak ki kell terjednie az elektronikai vagyonvédelmi rendszer által folytatott megfigyelés tényére, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép felvétel készítésének, tárolásának céljára, az adatkezelés jogalapjára, a felvétel tárolásának helyére, a tárolás időtartamára, a rendszert alkalmazó (üzemeltető) személyére, az adatok megismerésére jogosult személyek körére, továbbá az érintettek jogaira és érvényesítésük rendjére. A tájékoztatás mintát jelen Szabályzat melléklete tartalmazza.
A kezelt adatok köre a köztisztviselők/munkavállalók és az ügyfelek képmása.
A megfigyelt területre belépő harmadik személyeket (ügyfelek, látogatók, vendégek) a kép felvételről az épületbe történő belépést megelőzően tájékoztatni kell.
Az adatkezelés jogalapja az Adatkezelő jogos érdeke, a Rendelet 6. cikk (1) bek. f) pontja.
Az Adatkezelő a jogos érdek igazolására érdekmérlegelési tesztet készített, melynek alapján megállapítható, hogy megfelelő garanciák mellett az Adatkezelés a munkavállalók érdekeit, személyiségi jogait nem sérti.
A rögzített felvételek felhasználás hiányában maximum 3 (három) munkanapig őrizhetők meg, 3 munkanap elteltével megsemmisítésre, illetve törlésre kerül (2005. évi CXXXIII. tv. 31.§ (2) bekezdés). Felhasználásának minősül, ha a rögzített felvételt, valamint más személyes adatot bírósági, hatósági, munkajogi vagy egyéb eljárásban bizonyítékként felhasználják.
Az, akinek jogát vagy jogos érdekét a kép felvétel adatának rögzítése érinti, rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.
Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az illemhelyiségekben, továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.
Munkaidőn kívül vagy munkaszüneti napokon a munkahely teljes területe megfigyelhető.
9.8. Gyermekétkeztetéssel kapcsolatos adatkezelés
Az Intézmény közfeladatai ellátása körében étkeztetési szolgáltatást biztosít, mind kiskorú, mind nagykorú személyek részére.
Az étkeztetés igénybevétele során az Intézmény az érintettek által kezdeményezett és általuk vagy rájuk tekintettel más személy által jogszerűen megadott információk alapján egyénre szabott diétás étrendnek, speciális étrendnek megfelelően teljesít. Továbbá az intézmények által biztosított étkeztetési szolgáltatás térítési díjait szedi be.
A speciális diétás étrend biztonságos nyújtását és kedvezmények nyújtását az Intézmény külön orvosi vizsgálat és/vagy megfelelő orvosi igazolás nyújtásához kötheti.
Az Intézmény bármilyen a kiskorú érintettekkel összefüggő adatkezelést a kizárólag eljárni jogosult törvényes képviselő jóváhagyásának és/vagy utasításának megfelelően végez.
Kezelt személyes adatok: név, cím, egészségügyi diéta orvosi igazolása, kiskorú érintett osztálya, érintett intézmény neve, törvényes képviselő neve, címe, nyilatkozata, szülő anyja neve, születési helye és ideje
Az adatkezelés jogalapja a közfeladat ellátását és a kezelt adatok körét meghatározó jogszabályok alapján a GPDR 6. cikk (1) bekezdés c) pontja, törvényi szintű szabályozásnál alacsonyabb jogszabály esetén a GDPR 6. cikk (1) bekezdés e) pontja.
Az egészségügyi adatok kezelésére a fenti jogalap mellett a GDPR 9. cikk (2) bekezdés b) pontjában megfogalmazott feltétel alapján kerül sor.
A hátralékkezeléshez szükséges adatok kezelése és továbbítása az intézményi étkeztetés igénylésével létrejött szerződéses kötelezettség alapján felmerülő jogi igény érvényesítéséhez szükséges.
Az adatkezelést megalapozó jogszabályok:
- a gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény; ? a számvitelről szóló 2000. évi C. törvény;
- a személyes gondoskodást nyújtó gyermekjóléti alapellátások és gyermekvédelmi szakellátások térítési díjáról és az igénylésükhöz felhasználható bizonyítékokról szóló 328/2011. (XII.29.) kormányrendelet;
- a közétkeztetésre vonatkozó táplálkozás-egészségügyi előírásokról szóló 37/2014. (IV.30.) EMMI rendelet.
Adatkezelés várható időtartama, határideje: az étkezés igénybevételének időtartamáig, ezt meghaladó időtartamban és mértékig csak a jogszabályban meghatározott kötelezettségek alapján
9.9. Az iskolaszekrények nyilvántartásával és bérbeadásával kapcsolatos adatkezelés
Az Intézmény az iskoláskorú gyermekek vagyonbiztonsága és kényelme, valamint személyes tárgyainak, tankönyveinek tárolása érdekében iskolaszekrényt biztosít a tanév időtartamára bérleti díj ellenében. A bérlők adatait az Intézmény excell táblázatban rögzíti. Az adatok kezeléséhez a bérlők (törvényes képviselőik) hozzájárulását az Intézmény minden esetben beszerzi
A kezelhető személyes adatok köre: a gyermek és törvényes képviselőjének neve, címe
A személyes adatok kezelésének célja: vagyonvédelem, az Intézmény és a Bérlők érdeke
Az adatkezelés jogalapja: az érintettek hozzájárulása, a Rendelet 6. cikk (1) bek. a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: a tanévet (bérleti jogviszony megszűnését) követő 5 év.
A jelen szabályzat mellékletét képező adatkezelési tájékoztatót ismertetni kell az iskolaszekrényt igénybe venni kívánó érintett személlyel. A bérlőnek/bérlő törvényes képviselőjének adatkezelési hozzájáruló nyilatkozatát az adatkezelés időtartamáig meg kell őrizni.
9.10. Szociális tűzifa juttatással kapcsolatos adatkezelés
Veresegyház Önkormányzatának képviselőtestülete szociális tűzifa juttatást ad azoknak a rászoruló családoknak, magánszemélyeknek, ahol a pénzbeli támogatás felhasználása kétséges lehet, és életkörülményeik igazolják rászorultságukat.
Az önkormányzat döntését megküldi az Intézménynek az érintettek nevének és címének megjelölésével. Az Intézmény kötelessége a döntés alapján a feladat végrehajtása.
A kezelhető személyes adatok köre: az érintettek neve, címe
A személyes adatok kezelésének célja: az Önkormányzat által kapott feladat végrehajtása
Az adatkezelés jogalapja: az érintettek hozzájárulása
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés e) pontja, mivel az adatkezelés az adatkezelő közérdekű feladatának ellátása keretében végzett feladat végrehajtásához szükséges. Az adatkezelés tartalmára vonatkozó szabályozás: Veresegyház Város Önkormányzatának a szociális ellátásokról szóló 10/2006.(VI.28.) önkormányzati rendelete
A személyes adatok tárolásának időtartama: 5 év.
9.11. Oktatási, ill. tájékoztatási célzattal készített fotó ill. videofelvételek készítése
Az adatkezelés célja: Az Intézmény a tevékenysége körében folyó munkavégzésről, szervezett eseményekről tájékoztató, ill. reklámfilmet, valamint fotókat készíthet, melyen az Intézmény dolgozói és látogatói is szerepelhetnek. A dolgozókat az Intézmény nem kötelezi a felvételeken történő szereplésre, ez kizárólag a közalkalmazottak/munkavállalók egyéni döntése. Az Intézmény kijelenti, hogy a felvételek készítésének célja nem a dolgozók munkavégzés közbeni tevékenységének megfigyelése, és a közalkalmazottat nem ábrázolja negatív formában. Az Intézmény kijelenti, hogy a felvétel nem sérti a rajta szereplők személyhez fűződő, a jó hírnév, a becsület, illetve az emberi méltóság védelméhez fűződő jogait.
A kezelt adatok köre: Fotó, videó, ill. hangfelvétel
Az adatkezelés jogalapja a közérdekű adatkezelés, illetve az adatkezelő által végezett közérdekű feladat végrehajtásához szükséges adatkezelés, a Rendelet 6. cikk (1) bek. e) pontja.
Az Érintetteket tájékoztatni kell, hogy tiltakozhatnak az adatkezelés ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést kényszerítő erejű jogos okok igazolják.
Az adatkezelés időtartama: A felvétel készítés okául szolgáló rendezvény, vagy az oktatás céljának eléréséig.
10. Egyéb kommunikáció és panaszkezelés
Az Intézmény tevékenységével kapcsolatosan az érintettek a Hivatallal kapcsolatba léphetnek, vagy a működés bármely szakaszával kapcsolatosan panaszt tehetnek
Az adatkezelés célja: az Érintett általi kapcsolatfelvétel esetén az azzal összefüggő adatkezelési cél (pl. panaszlevelek, bejövő e-mailek megválaszolása, panasz érdemi elintézése és tájékoztatás a megtett lépésekről stb.)
Kezelt adatok köre: Érintett neve, e-mail cím, telefonszám, lakcím attól függően, hogy az Érintett mely adatokat közli.
Az adatkezelés jogalapja a közérdekű adatkezelés, illetve az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, a Rendelet 6. cikk (1) bek. e) pontja.
Az Érintetteket tájékoztatni kell, hogy tiltakozhatnak az adatkezelés ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést kényszerítő erejű jogos okok igazolják.
Az adatkezelés időtartama: A kommunikáció, illetve panasz jellegétől függően, de minden esetben legalább a panaszelintézését követő 3 év
11. Igényérvényesítés, jogviták, hatósági eljárások
Az Intézmény tevékenységével kapcsolatosan az érintettek az Intézménnyel szemben jogvitát kezdeményezhetnek, vagy az Érintettekkel szemben az Intézmény jogvitát kezdeményezhet. Érintettek: Azon személyek, akikkel szemben az Intézmény igényt érvényesít, vagy akik az Intézménnyel szemben igényt érvényesítenek.
Az adatkezelés célja: Az Intézmény igényérvényesítése eredményességének biztosítása. Az Intézménnyel szembeni igényérvényesítés esetén az Intézmény álláspontjának bizonyítása, hatósági megkeresések, felhívások teljesítése
Kezelt adatok köre Név, lakcím, telefonszám, igényérvényesítéssel kapcsolatos egyéb információk
Az adatkezelés jogalapja a közérdekű adatkezelés, illetve az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés, a Rendelet 6. cikk (1) bek. e) pontja.
Az Érintetteket tájékoztatni kell, hogy tiltakozhatnak az adatkezelés ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést kényszerítő erejű jogos okok igazolják.
Az adatkezelés időtartama: Az igényérvényesítés vagy eljárás jogerős lezárultát követő 8 év
Egyéb célból történő adatkezelés
Amennyiben a szervezet olyan adatkezelést kíván végezni, amely ebben a szabályzatban nem szerepel, előzetesen ezen belső szabályzatát kell megfelelően kiegészíteni, illetve az új adatkezelési célnak megfelelő rész-szabályokat hozzákapcsolni.
Az Intézmény az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény 15. § alapján az adatkezelésekről és a hozzájuk kapcsolódó adattovábbítási folyamatról adatkezelési és adattovábbítási nyilvántartást vezet
Az adatkezelés alapjául szolgáló jogszabályok
- AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet – a Szabályzatban: Rendelet)
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
- A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény. - A közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet.
- 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről.
- 2003. évi C. törvény az elektronikus hírközlésről.
- 1992. évi XXXIII. törvény a közalkalmazottak jogállásáról (Kjt.) 83/B-D § és az 5. számú melléklete
Veresegyház, 2021. december 1.
……………………………………………….. intézményvezető Mellékletek:
1. számú melléklet: A közalkalmazotti alapnyilvántartás adatkörei
2. számú melléklet: Adatkezelési tájékoztató közalkalmazotti jogviszonyban foglalkoztatottak személyes adatainak kezeléséről
3. számú melléklet: Adatkezelési tájékoztató munkaviszonyban foglalkoztatottak személyes adatainak kezeléséről
4. számú melléklet: Tájékoztató a szerződés megkötésével kapcsolatos személyes adatok kezeléséről
5. számú melléklet: A közalkalmazott nyilatkozata az Adatkezelési Szabályzat megismeréséről, alkalmazásáról és titoktartási kötelezettség vállalásáról
6. számú melléklet: Informatikai Biztonsági Szabályzat
7. számú melléklet: Adatfeldolgozóval kötendő megállapodás minta
1. számú melléklet
A közalkalmazotti alapnyilvántartás adatkörei
I.
A közalkalmazott
- neve (leánykori neve)
- születési helye, ideje
- anyja neve
- TAJ száma, adóazonosító jele
- lakóhelye, tartózkodási hely, telefonszáma
- családi állapota
- gyermekeinek születési ideje
- egyéb eltartottak száma, az eltartás kezdete
II.
- legmagasabb iskolai végzettsége (több végzettség esetén valamennyi szakképzettsége(i)
- iskolarendszeren kívüli oktatás keretében szerzett szakképesítése(i), valamint
- meghatározott munkakör betöltésére jogosító okiratok adatai
- tudományos fokozata
- idegennyelv ismerete
III.
- a korábbi, 87/A. § (1) és (3) bekezdése szerinti jogviszonyban töltött időtartamok megnevezése,
- a munkahely megnevezése,
- a megszűnés módja, időpontja
IV.
- a közalkalmazotti jogviszony kezdete
- állampolgársága
- a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány száma, kelte
- a jubileumi jutalom és a végkielégítés mértéke kiszámításának alapjául szolgáló időtartamok
V.
- a közalkalmazottat foglalkoztató szerv neve, székhelye, statisztikai számjele
- e szervnél a jogviszony kezdete
- a közalkalmazott jelenlegi besorolása, besorolásának időpontja, vezetői beosztása, FEOR száma
- címadományozás, jutalmazás, kitüntetés adatai
- a minősítések időpontja és tartalma
VI.
- Személyi juttatások
VII.
- A közalkalmazott munkából való távollétének jogcíme és időtartama
VIII.
- Aközalkalmazotti jogviszony megszűnésének, valamint a végleges és a határozott idejű
áthelyezés időpontja, módja, a végkielégítés adatai
X.
- A közalkalmazott munkavégzésére irányuló egyéb jogviszonyával összefüggő adatai
2. számú melléklet
ADATKEZELÉSI TÁJÉKOZTATÓ
közalkalmazotti jogviszonyban foglalkoztatottak részére
Jelen tájékoztató a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény (a továbbiakban Kjt.) és a Munka Törvénykönyvéről szóló 2012. évi I. törvény szerinti előzetes tájékoztatásnak minősül.
A jelen tájékoztató rendelkezéseinek kialakításakor az Intézmény különös tekintettel vette figyelembe az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről
(általános adatvédelmi rendelet) rendelkezéseit.
1. Tájékoztató adatok
Adatkezelő megnevezése, elérhetősége
Veresegyház Város Önkormányzat Gazdasági Műszaki Ellátó Szervezete (továbbiakban:
Intézmény)
Képviselője: Nagy József Attila intézményvezető Székhelye: 2112 Veresegyház, Sport u. 4.
Weboldal címe: https://www.veresegyhaz.hu/gamesz-fomenu
Adatkezelő adatvédelmi tisztviselőjének neve, elérhetősége: Dr. Csapó Csilla Elérhetőségei:
Székhelye: 8000 Székesfehérvár, Zsolt u. 51.
E-mail címe: cscsapo@gmail.com
Mobil: 06 (30) 6413314
2. Az adatkezelés célja, az érintettek kategóriája
A közalkalmazotti jogviszonyban foglalkoztatottak személyes adataira vonatkozó részletes adatkezelési és adatvédelmi szabályokat a jelen személyes adatok védelméről szóló tájékoztató tartalmazza.
Adatkezelő célja, hogy a személyes adatok pontos és biztonságos, valamint a vonatkozó nemzeti (különösen a Kjt.) és európai uniós szabályoknak (különösen a GDPR) megfelelő kezelését biztosítsa.
A Tájékoztató hatálya valamennyi, közalkalmazotti jogviszony keretében, vagy azzal összefüggésben kezelt személyes adatra kiterjed, függetlenül az adat gyűjtésének, felhasználásának, rögzítésének, tárolásának, megsemmisítésének módjától, illetve függetlenül attól, hogy azok papír alapon vagy elektronikusan kerülnek tárolásra.
Az Intézmény által végzett egyes adatkezelési célok az alábbiak:
- Pályáztatás-kiválasztás során történő adatkezelés
- A jogviszony létesítéséhez és teljesítéséhez kapcsolódó adatkezelés, ideértve a képesítéssel, referenciákkal kapcsolatos adatkezeléseket is
- A közalkalmazott alkalmasságával (egészségügyi és szakmai), munkaegészségügyi állapotával kapcsolatos adatkezelés
- A közalkalmazott ellenőrzésével, megfigyelésével kapcsolatos adatkezelés, ezen belül:
- Munkaidő-nyilvántartással kapcsolatos adatkezelés
- Számítógép, laptop használatának ellenőrzése
- E-mail használat ellenőrzése - Internet használat ellenőrzése
- Céges mobil telefon használat ellenőrzése
- Munkára képes állapot ellenőrzése (alkohol, egyéb tudatmódosító szerek)
- A közalkalmazott munkaegészségügyi, munkavédelmi, illetve munkabalesettel összefüggő adatainak kezelése
- A közalkalmazott adatainak egyéb célból történő adatkezelése
A Tájékoztatóban foglaltak megismerése és betartása az Intézmény minden képviselője, tisztségviselője, alkalmazottja számára kötelező.
A közalkalmazottaktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek jogviszony, munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a közalkalmazott személyhez fűződő jogait nem sértik.
Betegségre és szakszervezeti tagságára vonatkozó adatokat az Adatkezelő, mint munkáltató csak a Kjt., valamint a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
Egészségügyi alkalmassággal kapcsolatos egészségügyi adatok kezelése
Az egészségügyi alkalmassággal kapcsolatos adatokat az Adatkezelő nem ismeri meg, és nem kezeli egyetlen érintett adatát a célon túlterjeszkedő mértékben. Az Adatkezelő az egészségügyi alkalmasság eldöntése céljából egészségügyi szolgáltatótól származó alkalmassági eredmény alapján dönt az adott (leendő) közalkalmazotti jogviszonyban foglalkoztatott egészségügyi alkalmasságáról. Az Adatkezelő csak az egészségügyi alkalmasság tényét bizonyító adatot kezeli. Amennyiben a kinevezés folyamata során derül ki, hogy az adott érintett alkalmatlan a munkakör betöltésére és emiatt a közszolgálati jogviszony nem jön létre vagy ennek hatására szűnik meg, úgy az adatkezelés határideje és módja is ezzel párhuzamos.
A közalkalmazotti jogviszony fenntartásával és megszűnésével kapcsolatos adatkezelések
Az Adatkezelő a közalkalmazott jogviszonyban foglalkoztatottakról személyzeti, valamint bér- és munkaügyi nyilvántartást vezet. A felvett közalkalmazottak adatait elektronikusan és papíralapon is tárolja az Adatkezelő. A közalkalmazottak azon személyes adatai kerülnek felvételre, amelyek a közalkalmazotti jogviszony létesítéséhez szükségesek.
A személyzeti nyilvántartás a közalkalmazotti jogviszonyra, illetve foglalkoztatásra irányuló egyéb jogviszonyra (pl. önálló tevékenységként végzett megbízás, vállalkozás stb.) vonatkozó tények dokumentálására szolgáló adatkezelés. A személyzeti nyilvántartás adatai a közalkalmazotti jogviszonyával kapcsolatos tények megállapítására és statisztikai adatszolgáltatásra használhatók fel. A személyzeti nyilvántartás az Adatkezelő valamennyi közalkalmazottjának adatait tartalmazza.
A Kjt. 20. §-a alapján a közalkalmazotti jogviszonyt létesíteni szándékozó személy hatósági bizonyítvánnyal igazolja, hogy büntetlen előéletű, továbbá, hogy nem áll büntetőeljárás hatálya alatt, és vele szemben sem állnak fenn a jogszabályokban meghatározott kizáró okok.
Az Adatkezelő felhívására a közalkalmazotti jogviszonyt létesíteni szándékozó személy hatósági bizonyítvánnyal igazolja, hogy nem áll olyan foglalkozástól eltiltás hatálya alatt, amely a közalkalmazotti jogviszony létesítését nem teszi lehetővé.
Indokolt esetben az Adatkezelő írásban felszólíthatja a közalkalmazottat, hogy a felhívástól számított tizenöt munkanapon belül - ha e határidőn belül menthető ok miatt nem lehetséges, annak megszűnését követően haladéktalanul - hatósági bizonyítvánnyal igazolja, hogy büntetlen előéletű, nem áll a munkakörének megfelelő vagy a munkakörének részét képező foglalkozástól eltiltás, vagy büntetőeljárás hatálya alatt, illetve nem állnak fenn vele szemben a Kjt.-ben meghatározott kizáró okok. Ha a közalkalmazott igazolja a fentieket, akkor a munkáltató a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány kiadása iránti eljárásért megfizetett igazgatási szolgáltatási díjat a közalkalmazott részére megtéríti.
Az Adatkezelő a munkaköri feltételeknek való megfelelés ellenőrzése céljából kezeli a közalkalmazotti jogviszonyt létesíteni szándékozó személy és a közalkalmazott azon személyes adatait, amelyeket a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány tartalmaz.
Ezen személyes adatokat a munkáltató a közalkalmazotti jogviszony létesítéséről meghozott döntés időpontjáig vagy - közalkalmazotti jogviszony létesítése esetén - a közalkalmazotti jogviszony megszűnéséig (megszüntetéséig) kezeli.
A közalkalmazotti jogviszonnyal kapcsolatos adatkezelésekre vonatkozó nyilatkozatok
Amennyiben a közalkalmazotti jogviszony létesítéséhez, fenntartásához, megszüntetéséhez, az ezekkel kapcsolatos jogosultságok bizonyításához vagy kötelezettségek elismeréséhez nyilatkozat beszerzése szükséges a közalkalmazottól úgy a nyilatkozat beszerzése során az Adatkezelő minden esetben felhívja a közalkalmazott figyelmét a nyilatkozaton megadott adatokkal kapcsolatosan az adatkezelés tényére, jogalapjára, céljára.
Amennyiben a nyilatkozat érvényességéhez további okmány bemutatása szükséges (személyi igazolvány, diákigazolvány), úgy az Adatkezelő semmilyen módon nem kezeli az okmány adatait és/vagy fénymásolt vagy szkennelt képét, hanem az arra jogosult közalkalmazott aláírásával tanúsítja az okmány bemutatását és annak érvényességét.
Béren kívüli juttatások
Az Adatkezelő fenntartja a jogot, hogy béren kívüli juttatásokat biztosítson a közalkalmazottak részére és harmadik féllel szerződjön. Amennyiben a közalkalmazott a béren kívüli juttatási elemek közül kiválasztja azon szolgáltatásokat, amelyeket igénybe kíván venni, úgy azon szolgáltatók részére a szolgáltatás igénybevételéhez szükséges adatokat az Adatkezelő továbbítja.
Harmadik személyek közalkalmazotti jogviszonnyal kapcsolatosan megadott adatai
A közalkalmazotti jogviszony kapcsán beszerzett harmadik személy adatai (például pótszabadság, családi adókedvezmény kapcsán vagy baleset esetén értesítendő személy megjelölésekor) a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők.
Abban az esetben, ha a közalkalmazott harmadik személy adatait adja meg, úgy, a harmadik személytől köteles az adatkezeléshez a harmadik személy hozzájárulását megszerezni, amellyel az Adatkezelő igazolni tudja, hogy a harmadik személy adatainak kezelésére felhatalmazással rendelkezik.
3. Az Adatkezelő által kezelt személyes adatok köre:
Mindazon adatok, amelyek a hatályos adójogszabályok kötelezően előírnak, valamint a közalkalmazotti nyilvántartások tartalmaznak.
4. Az adatkezelés jogalapja:
Az adatkezelés jogalapja: törvényi felhatalmazás, a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény, valamint az adó és TB jogszabályok vonatkozó rendelkezései, a GDPR 6. cikk (1) bek. c) pontja
5. Az adattárolás határideje:
A személyes adatok tárolásának időtartama: Az Adatkezelő foglalkoztató köteles a biztosítási jogviszonnyal kapcsolatosan felmerült munkaügyi és társadalombiztosítási iratokat a biztosítottjára, volt biztosítottjára irányadó öregségi nyugdíjkorhatár betöltését követő öt évig megőrizni. Ezen időtartamig minden, a szolgálati idővel, vagy a nyugellátás megállapítása során figyelembevételre kerülő jövedelemmel kapcsolatos iratot meg kell őrizni. Az egyéb személyes adatokat tartalmazó iratok megőrzési ideje: 5 év.
6. Adatfeldolgozók
Egyes esetekben, az Érintetti adatok további adatkezelőkhöz és adatfeldolgozókhoz kerülhetnek. Adatfeldolgozó igénybevétele esetén az Adatkezelő szerződéses kötelemként előírja, hogy a szerződött adatfeldolgozó a személyes adatok védelme érdekében betartsa a Rendelet előírásait és rendelkezzen az előírt nyilvántartásokkal is.
7. Adattovábbítás
Az Intézmény meghatározott célból – így különösen valamely harmadik személlyel fennálló szerződés teljesítése érdekében, illetve a jogszabályban meghatározott kötelezettség, a jogviszonyból származó munkáltatói kötelezettség teljesítése érdekében – a közalkalmazottak személyes adatait továbbíthatja.
Adattovábbítás esetén – jogszabályon alapuló adattovábbítás kivételével – az Intézmény kizárólag olyan címzettek részére továbbítja a közalkalmazottak személyes adatait, amelyek az Európai Unió területén székhellyel rendelkeznek, vagy amelyek megfelelő garanciákat nyújtanak arra, hogy az általuk történő adatkezelés a GDPR követelményeinek megfelel.
8. Az érintett jogai
Átlátható tájékoztatás
Az érintettnek joga, hogy az őt érintő adatkezelésekről tömör, átlátható, érthető és könnyen hozzáférhető formában világosan és közérthetően megfogalmazva tájékoztatást kapjon. Ezért az Adatkezelő minden adatkezeléssel is foglalkozó dolgozójának kellő információval kell rendelkeznie, hogy – amennyiben írásbeli tájékoztatás nem elérhető, vagy az nem ad az adott kérdésre választ, vagy az érintettnek további kérdései lennének – az adatkezelésről kielégítő információt nyújtson. Amennyiben a kérdés azonnal nem válaszolható meg vagy a kérdés elektronikus úton vagy írásban érkezett, úgy az Adatkezelő 1 hónapon belül tájékoztatja az érintettet olyan formában, ahogy az érintett a kérdést feltette, kivéve, ha ezt az érintett más módon kéri.
A tájékoztatás díjmentes, ezért díj nem számítható fel.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat az érintettől gyűjti, akkor az adatok megszerzésének időpontjában tájékoztatja az ügyfelet az adatkezelési tájékoztató megismerhetővé tételével.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat nem az érintettől gyűjti, akkor az adatok megszerzését követő 1 hónapon belül tájékoztatja az ügyfelet a fenti módon.
Hozzáférés joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése az Adatkezelőnél folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adataihoz hozzáférést kapjon. Az Adatkezelő köteles kérelem esetén az adatkezelés tárgyát képező személyes adatainak másolatát az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, amely magában foglalja a másolás díját, valamint a postaköltséget. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat elektronikus úton (e-mail) kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Pl. névváltozás, e-mail cím változás bejelentése esetén.
Törléshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő kezelte
- az érintett visszavonja az adatok kezelésére vonatkozó hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- igazolható, hogy az Adatkezelő a személyes adatokat jogellenesen kezeli
- a személyes adatok törlését jogszabály előírja
Ha az Adatkezelő bármilyen módon – pl. internetes honlapján - nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az Adatkezelő a lehetőségeihez képest megteszi az észszerűen elvárható lépéseket - ideértve technikai intézkedéseket annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő adatkezelést igazoló jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy fontos közérdekéből lehet kezelni.
Amennyiben az Adatkezelő a korlátozást feloldja, mivel annak okai már nem állnak fenn, az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat közismert módon tagolt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
Tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az Adatkezelő által közérdekű célból végzett, vagy az Adatkezelő jogos érdekén alapuló adatkezelés ellen. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség
Nemzeti Adatvédelmi és Információszabadság Hatóság Postacím: 1363 Budapest, Pf.: 9.
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac) naih.hu URL https://naih.hu
Koordináták: É 47°30'36.8''; K 19°02'54.2''
Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
.
3. számú melléklet
Adatkezelési tájékoztató munkaviszonyban foglalkoztatottak részére
Jelen tájékoztató a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban Mt.) 9. § (2) („A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról a munkavállalót előzetesen tájékoztatni kell.”), az Mt. 11. § (2) („A munkáltató előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak”) és az Mt. 10. § (2) („A munkáltató köteles a munkavállalót tájékoztatni személyes adatainak kezeléséről”) szerinti előzetes tájékoztatásnak minősül.
A jelen tájékoztató rendelkezéseinek kialakításakor az Intézmény különös tekintettel vette figyelembe az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről
(általános adatvédelmi rendelet) rendelkezéseit.
1. Tájékoztató adatok
Adatkezelők megnevezése, elérhetősége
Veresegyház Város Önkormányzat Gazdasági Műszaki Ellátó Szervezete (továbbiakban:
Intézmény)
Képviselője: Nagy József Attila intézményvezető Székhelye: 2112 Veresegyház, Sport u. 4.
Weboldal címe: https://www.veresegyhaz.hu/gamesz-fomenu
Az Intézmény adatvédelmi tisztviselőjének neve, elérhetősége: Dr. Csapó Csilla Elérhetőségei:
Székhelye: 8000 Székesfehérvár, Zsolt u. 51.
E-mail címe: cscsapo@gmail.com
Mobil: 06 (30) 6413314
2. Az adatkezelés célja, az érintettek kategóriája
A munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítése, fenntartása és megszüntetése.
A munkaviszonyban foglalkoztatottak személyes adataira vonatkozó részletes adatkezelési és adatvédelmi szabályokat a jelen személyes adatok védelméről szóló tájékoztató tartalmazza. Adatkezelő célja, hogy a személyes adatok pontos és biztonságos, valamint a vonatkozó nemzeti (különösen az Mt.) és európai uniós szabályoknak (különösen a GDPR) megfelelő kezelését biztosítsa.
A Tájékoztató hatálya valamennyi, munkaviszony keretében, vagy azzal összefüggésben kezelt személyes adatra kiterjed, függetlenül az adat gyűjtésének, felhasználásának, rögzítésének, tárolásának, megsemmisítésének módjától, illetve függetlenül attól, hogy azok papír alapon vagy elektronikusan kerülnek tárolásra.
Az Intézmény által végzett egyes adatkezelési célok az alábbiak:
- Toborzás-pályáztatás-kiválasztás során történő adatkezelés
- A jogviszony létesítéséhez és teljesítéséhez kapcsolódó adatkezelés, ideértve a képesítéssel, referenciákkal kapcsolatos adatkezeléseket is
- A munkavállaló alkalmasságával (egészségügyi és szakmai), munkaegészségügyi állapotával kapcsolatos adatkezelés
- A munkavállaló ellenőrzésével, megfigyelésével kapcsolatos adatkezelés, ezen belül:
- Munkaidő-nyilvántartással, beléptetőrendszer által rögzített adatokkal kapcsolatos adatkezelés
- Számítógép, laptop használatának ellenőrzése
- E-mail használat ellenőrzése
- Internet használat ellenőrzése
- Céges mobil telefon használat ellenőrzése
- Munkára képes állapot ellenőrzése (alkohol, egyéb tudatmódosító szerek)
- A munkavállaló munkaegészségügyi, munkavédelmi, illetve munkabalesettel összefüggő adatainak kezelése
- A munkavállaló adatainak egyéb célból történő adatkezelése
A Tájékoztatóban foglaltak megismerése és betartása az Intézmény minden képviselője, tisztségviselője, munkavállalója számára kötelező.
A munkavállalótól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek jogviszony, munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a munkavállaló/köztisztviselő személyhez fűződő jogait nem sértik.
Betegségre és szakszervezeti tagságára vonatkozó adatokat az Adatkezelő, mint munkáltató csak a Munka Törvénykönyvben meghatározott jog, vagy kötelezettség teljesítése céljából kezel.
Egészségügyi alkalmassággal kapcsolatos egészségügyi adatok kezelése
Az egészségügyi alkalmassággal kapcsolatos adatokat az Adatkezelő nem ismeri meg, és nem kezeli egyetlen érintett adatát a célon túlterjeszkedő mértékben. Az Adatkezelő az egészségügyi alkalmasság eldöntése céljából egészségügyi szolgáltatótól származó alkalmassági eredmény alapján dönt az adott (leendő) munkavállaló egészségügyi alkalmasságáról. Az Adatkezelő csak az egészségügyi alkalmasság tényét bizonyító adatot kezeli.
Amennyiben a munkaszerződés megkötésének folyamata során derül ki, hogy az adott érintett alkalmatlan a munkakör betöltésére és emiatt a munkaviszony nem jön létre vagy ennek hatására szűnik meg, úgy az adatkezelés határideje és módja is ezzel párhuzamos.
A munkaviszony fenntartásával és megszűnésével kapcsolatos adatkezelések
Az Adatkezelő a munkavállalóiról személyzeti, valamint bér- és munkaügyi nyilvántartást vezet. A felvett munkavállalók adatait elektronikusan és papíralapon is tárolja a Adatkezelő. A munkavállalóknak azon személyes adatai kerülnek felvételre, amelyek a munkaviszony létesítéséhez szükségesek. A személyzeti nyilvántartás a munkaviszonyra, illetve foglalkoztatásra irányuló egyéb jogviszonyra (pl. önálló tevékenységként végzett megbízás, vállalkozás stb.) vonatkozó tények dokumentálására szolgáló adatkezelés. A személyzeti nyilvántartás adatai a munkavállaló munkaviszonyával kapcsolatos tények megállapítására és statisztikai adatszolgáltatásra használhatók fel. A személyzeti nyilvántartás a Adatkezelő valamennyi munkavállalójának adatait tartalmazza.
A munkaviszonnyal kapcsolatos adatkezelésekre vonatkozó nyilatkozatok
Amennyiben a munkaviszony létesítéséhez, fenntartásához, megszüntetéséhez, az ezekkel kapcsolatos jogosultságok bizonyításához vagy kötelezettségek elismeréséhez nyilatkozat beszerzése szükséges a munkavállalótól, úgy a nyilatkozat beszerzése során a Adatkezelő minden esetben felhívja a munkavállaló figyelmét a nyilatkozaton megadott adatokkal kapcsolatosan az adatkezelés tényére, jogalapjára, céljára.
Amennyiben a nyilatkozat érvényességéhez okmány bemutatása szükséges (személyi igazolvány, diákigazolvány), úgy a Adatkezelő semmilyen módon nem kezeli az okmány adatait és/vagy fénymásolt vagy szkennelt képét, hanem az arra jogosult munkavállalója aláírásával tanúsítja az okmány bemutatását és annak érvényességét.
Munkavállalók oktatása
Az Adatkezelő fenntartja a jogot, hogy munkavállalók oktatására harmadik féllel szerződjön.
Amennyiben az oktatás törvényileg kötött a munkaviszony ellátásához, úgy a harmadik fél az Adatkezelő adatfeldolgozójaként dolgozza fel az adatokat, minden más oktatás esetén a munkavállaló hozzájárulásával kerül a harmadik félhez továbbításra a személyes adat.
Béren kívüli juttatások
Az Adatkezelő fenntartja a jogot, hogy béren kívüli juttatásokat biztosítson a munkavállalók részére és harmadik féllel szerződjön. Amennyiben a munkavállaló a béren kívüli juttatási elemek közül kiválasztja azon szolgáltatásokat, amelyeket igénybe kíván venni, úgy azon szolgáltatók részére a szolgáltatás igénybevételéhez szükséges adatokat a Adatkezelő továbbítja.
Harmadik személyek munkaviszonnyal kapcsolatosan megadott adatai
A munkaviszony kapcsán beszerzett harmadik személy adatai (például pótszabadság, családi adókedvezmény kapcsán vagy baleset esetén értesítendő személy megjelölésekor) a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők. Abban az esetben, ha a munkavállaló harmadik személy adatait adja meg, úgy, a harmadik személytől köteles az adatkezeléshez a harmadik személy hozzájárulását megszerezni, amellyel az Adatkezelő igazolni tudja, hogy a harmadik személy adatainak kezelésére felhatalmazással rendelkezik.
3. Az Adatkezelő által kezelt személyes adatok köre:
A kezelt adatok köre: mindazon adatok, amelyek a hatályos adójogszabályok kötelezően előírnak.
4. Az adatkezelés jogalapja:
Az adatkezelés jogalapja: törvényi felhatalmazás, a Munka Törvénykönyvének, valamint az adó és
TB jogszabályok vonatkozó rendelkezései, a GDPR Rendelet 6. cikk (1) bek. c) pontja
5. Az adattárolás határideje:
A személyes adatok tárolásának időtartama: Az Adatkezelő foglalkoztató köteles a biztosítási jogviszonnyal kapcsolatosan felmerült munkaügyi és társadalombiztosítási iratokat a biztosítottjára, volt biztosítottjára irányadó öregségi nyugdíjkorhatár betöltését követő öt évig megőrizni. Ezen időtartamig minden, a szolgálati idővel, vagy a nyugellátás megállapítása során figyelembevételre kerülő jövedelemmel kapcsolatos iratot meg kell őrizni. Az egyéb személyes adatokat tartalmazó iratok megőrzési ideje: 5 év.
6. Adatfeldolgozók
Egyes esetekben, az Érintetti adatok további adatkezelőkhöz és adatfeldolgozókhoz kerülhetnek. Adatfeldolgozó igénybevétele esetén az Adatkezelő szerződéses kötelemként előírja, hogy a szerződött adatfeldolgozó a személyes adatok védelme érdekében betartsa a Rendelet előírásait és rendelkezzen az előírt nyilvántartásokkal is.
7. Adattovábbítás
Az Intézmény meghatározott célból – így különösen valamely harmadik személlyel fennálló szerződés teljesítése érdekében, illetve a jogszabályban meghatározott kötelezettség, a jogviszonyból származó munkáltatói kötelezettség teljesítése érdekében – a munkavállalók személyes adatait továbbíthatja.
Adattovábbítás esetén – jogszabályon alapuló adattovábbítás kivételével – az Intézmény kizárólag olyan címzettek részére továbbítja a munkavállalók személyes adatait, amelyek az Európai Unió területén székhellyel rendelkeznek, vagy amelyek megfelelő garanciákat nyújtanak arra, hogy az általuk történő adatkezelés a GDPR követelményeinek megfelel.
8. Az érintett jogai
Átlátható tájékoztatás
Az érintettnek joga, hogy az őt érintő adatkezelésekről tömör, átlátható, érthető és könnyen hozzáférhető formában világosan és közérthetően megfogalmazva tájékoztatást kapjon. Ezért az Adatkezelő minden adatkezeléssel is foglalkozó dolgozójának kellő információval kell rendelkeznie, hogy – amennyiben írásbeli tájékoztatás nem elérhető, vagy az nem ad az adott kérdésre választ, vagy az érintettnek további kérdései lennének – az adatkezelésről kielégítő információt nyújtson. Amennyiben a kérdés azonnal nem válaszolható meg vagy a kérdés elektronikus úton vagy írásban érkezett, úgy az Adatkezelő 1 hónapon belül tájékoztatja az érintettet olyan formában, ahogy az érintett a kérdést feltette, kivéve, ha ezt az érintett más módon kéri.
A tájékoztatás díjmentes, ezért díj nem számítható fel.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat az érintettől gyűjti, akkor az adatok megszerzésének időpontjában tájékoztatja az ügyfelet az adatkezelési tájékoztató megismerhetővé tételével.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat nem az érintettől gyűjti, akkor az adatok megszerzését követő 1 hónapon belül tájékoztatja az ügyfelet a fenti módon.
Hozzáférés joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése az Adatkezelőnél folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adataihoz hozzáférést kapjon. Az Adatkezelő köteles kérelem esetén az adatkezelés tárgyát képező személyes adatainak másolatát az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, amely magában foglalja a másolás díját, valamint a postaköltséget. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat elektronikus úton (e-mail) kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Pl. névváltozás, e-mail cím változás bejelentése esetén.
Törléshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő kezelte
- az érintett visszavonja az adatok kezelésére vonatkozó hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- igazolható, hogy az Adatkezelő a személyes adatokat jogellenesen kezeli
- a személyes adatok törlését jogszabály előírja
Ha az Adatkezelő bármilyen módon – pl. internetes honlapján - nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az Adatkezelő a lehetőségeihez képest megteszi az észszerűen elvárható lépéseket - ideértve technikai intézkedéseket annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő adatkezelést igazoló jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy fontos közérdekéből lehet kezelni.
Amennyiben az Adatkezelő a korlátozást feloldja, mivel annak okai már nem állnak fenn, az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat közismert módon tagolt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
Tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az Adatkezelő által közérdekű célból végzett, vagy az Adatkezelő jogos érdekén alapuló adatkezelés ellen. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség
Nemzeti Adatvédelmi és Információszabadság Hatóság Postacím: 1363 Budapest, Pf.: 9.
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac) naih.hu URL https://naih.hu
Koordináták: É 47°30'36.8''; K 19°02'54.2''
Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
4. számú melléklet
ADATKEZELÉSI TÁJÉKOZTATÓ
https://www.medveotthon.hu/
Jelen dokumentum az Ön személyes adatainak kezeléséről és az azzal kapcsolatos jogairól ad az Európai Unió rendelete (az Európai Parlament és a Tanács 2016/679 Rendelete) és a hazai jogszabálynak (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény) megfelelő tájékoztatást. Adatkezelő megnevezése, elérhetősége
Veresegyház Város Önkormányzat Gazdasági Műszaki Ellátó Szervezete (továbbiakban:
Intézmény)
Képviselője: Nagy József Attila intézményvezető Székhelye: 2112 Veresegyház, Sport u. 4.
Weboldal címe: https://www.veresegyhaz.hu/gamesz-fomenu
Az adatvédelmi tisztviselő
Adatvédelmi tisztviselő neve: Dr. Csapó Csilla Elérhetőségei:
Székhelye: 8000 Székesfehérvár, Zsolt u. 51.
E-mail címe: cscsapo@gmail.com
Mobil: 06 (30) 6413314
Az öt és fél hektár területen kialakított Veresegyházi Medveotthon Közép-Európa egyetlen Medveotthona, mely az Állatvédő Világszervezet (WSPA) és a Veresegyházi Önkormányzat összefogásával jött létre. A terület kialakításánál fontos szempont volt, hogy a látogatók az állatokat teljesen biztonságosan, testközelből, azok zavarása nélkül láthassák. A Medveotthonban élő állatok fajtája és egyedszáma folyamatosan változik, hiszen az ország minden részéről érkeznek ide példányok. Magántartásból, más állatkertekből és külföldről is kap a Medveotthon állatokat. A Medveotthon tulajdonosa és fenntartója Veresegyház város Önkormányzata képviseletében az Intézmény.
1. Állatok örökbefogadása adatainak kezelése
Bárkit megillet a kitüntető "nevelőszülő" cím, aki a menhelyben élő állatok közül kiválasztja kedvencét és bizonyos pénzadománnyal támogatja. Nem csak magánszemélyek, hanem iskolák, osztályok, szakkörök, klubok is fogadhatnak örökbe. Az örökbefogadást átutalással lehet kifizetni, majd ezt követően az iroda@medveotthon.hu e-mail címre küldött levélben a bizonylatot megküldeni, és a számlázási címet és postacímedet megadni szükséges. Az Intézmény az örökbefogadásról kiállított Oklevelet és a köszönetünket, valamint a számlát a megadott címre küldi meg.
Az örökbefogadó nevét, címét az Intézmény megőrzi.
A kezelhető személyes adatok köre: Örökbefogadó neve, e-mail címe, lakcíme, bankszámlaszáma.
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: az értékesítést követő 5 évig a hatályos adótörvények alapján. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
2. Ajándék jegy értékesítés
Az Intézmény lehetőséget ad arra, hogy abban az esetben, ha a honlapján megadott bankszámla számára a belépők ára és a postaköltsége összege átutalásra kerül, majd az utalási kivonatot csatolásával és a postázási cím megjelölésével az iroda@medveotthon.hu e-mail címre egy levél érkezik azzal a szándékkal, hogy a fizető fél harmadik személynek ajándékba belépő jegyet vásároljon, úgy az Intézmény azt egy általa megadott postacímre kiküldi.
A kezelhető személyes adatok köre: Ajándékozó neve, e-mail címe, lakcíme, bankszámlaszáma, megajándékozott neve, címe.
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: az értékesítést követő 5 évig a hatályos adótörvények alapján. Ha jogszabály (pl. adótörvény, stb.) ennél hosszabb időt állapít meg a szerződések nyilvántartására, illetve tárolására, akkor e jogszabályokban meghatározott időtartam.
3. Hírlevél szolgáltatás
A hírlevélre való feliratkozásnál a törvény értelmében kötelező megadni a feliratkozó e-mail címén kívül a nevét is. A hírlevélre a weboldalról lehet feliratkozni. http://medveotthon.hu/
A feliratkozó űrlap felhívja a figyelmet a hírlevél témájára, a feliratkozás önkéntességére és tartalmazza a honlapon elhelyezett Adatvédelmi Tájékoztató linkjét. Email, keresztnév és járt-e nálunk mezők alatt, pipálható boksz-ban kell elfogadni az Adatkezelési tájékoztatót. Ez kötelező mező, e nélkül nem lehet feliratkozni.
A honlapról elérhető – szolgáltatáshoz kapcsolódó – adatvédelmi tájékoztató figyelmeztet, hogy a feliratkozó a hozzájáruló nyilatkozatát bármikor korlátozás és indokolás nélkül költségmentesen visszavonhatja. Ebben az esetben a nevezett személyes adatait az Intézmény a nyilvántartásból haladéktalanul törli és részére a továbbiakban hírlevelet nem küld. A visszavonás a hírlevél végén található leiratkozó link használatával lehetséges.
A kezelhető személyes adatok köre: név, e-mail cím, „járt-e nálunk” kérdésre adandó válasz, userID, IP cím
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: a hírlevélről történő leiratkozásig.
4. Kapcsolat felvételi oldal
A weboldal látogatója a weboldalon elhelyezett kapcsolati adatlap kitöltésével levelet küldhet a weboldal fenntartójának, az Intézménynek. (http://medveotthon.hu/kapcsolat/)
Kötelezően megadandó adatok: név, email cím, levél tárgya. Az üzenet kitöltése mellett az Adatvédelmi Tájékoztatóra mutató linket talál. Levél küldése csak az érintett hozzájárulásának a megadásával, azaz az Adatvédelmi Tájékoztató megismerését és elfogadását jelölő négyzet kipipálásával lehetséges.
A kezelhető személyes adatok köre: név, e-mail cím, üzenet tartalma
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: 3 év.
5. Vendégkönyvi bejegyzés
Látogatói vélemények írására ad az Intézmény lehetőséget a weboldal főlapján. http://medveotthon.hu/
Az Intézmény vendégkönyvi bejegyzéseket fogad névvel, email címmel, üzenet és képküldés lehetőségével. A vendégkönyvi bejegyzést a weboldal szerkesztője moderálja.
Az űrlapon az Adatvédelmi Tájékoztatónkra mutató linket talál a bejegyző. Levél küldése csak az érintett hozzájárulásának megadásával, azaz az Adatvédelmi Tájékoztató megismerését és elfogadását jelölő négyzet kipipálásával lehetséges.
A kezelhető személyes adatok köre: név, e-mail cím, üzenet tartalma
Az adatkezelés jogalapja: a Rendelet 6. cikk (1) bekezdés a) pontja.
Az érintettet az adatok gyűjtését megelőzően tájékoztatni kell az adatkezelésről, ezen belül is az adatkezelő és képviselője kilétéről, elérhetőségeiről, az adatvédelmi tisztviselő elérhetőségeiről, az adatkezelés céljáról, a személyes adatok címzettjeiről, az adatok tárolásának időtartamáról, az érintetti jogokról, a hozzájárulás visszavonásának lehetőségéről, valamint arról, hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét, az adatkezeléssel kapcsolatos panasz benyújtásának lehetőségéről.
A személyes adatok tárolásának időtartama: 3 év.
6. Cookie (süti) kezelés
A honlapon a sütik használatának célja, hogy a későbbiekben jobban testre szabhatóak legyenek a weboldalak, az Ügyfél érdeklődésének és igényeinek megfelelően, ezáltal könnyebbé válik az oldalak használata. A sütik célja továbbá a jövőbeni felhasználói tevékenységek gyorsítása és a felhasználói élmény javítása az oldalak használata közben. A sütik anonim, összesített statisztika készítésére is alkalmasak, így jobban megérthető, hogy az emberek hogyan használják az oldalakat és így javítani lehet azok struktúráján és tartalmán. Ebből az információból nem lehet a természetes személyt azonosítani.
A használt sütik fajtái:
- Anonim látogatóazonosító (süti) elhelyezése
Az anonim látogatóazonosítók (sütik) olyan fájlok vagy információdarabok, amelyek a felhasználó számítógépén (vagy más internetképes készülékén, mint okostelefon vagy táblagép) tárolódnak, amikor meglátogat egy oldalt. Egy süti általában tartalmazza a webhely nevét, ahonnan az jött, a saját „élettartamát” (vagyis, hogy milyen hosszan marad a készüléken) és az értékét, ami általában egy véletlenszerűen generált egyedi szám - Szükséges sütik
Ahhoz szükségesek, hogy az oldalak jól működjenek, lehetővé teszik a felhasználóknak, hogy mozogjon webhelyeken és használja a különböző funkciókat. Például a korábbi lépésekre, beírt szövegre való emlékezés megkönnyíti a használatot, amikor visszanavigál egy oldalra ugyanabban a munkamenetben.
Ezek a sütik nem azonosítják egyénileg a felhasználót. Ha a felhasználó nem fogadja el ezen sütik használatát, annak hatása lehet a webhelyre és annak teljesítményére. - Teljesítmény sütik
Segítik megérteni, hogy a látogatók hogyan lépnek kapcsolatba webhelyekkel azáltal, hogy információt szolgáltatnak a meglátogatott helyekről, arról, hogy mennyi időt töltenek az oldalon, és bármely problémáról, amivel találkoztak, mint például a hibaüzenetek. Ez segít a Szolgáltató webhelyeinek teljesítményének javításában.
Ezek a sütik nem azonosítanak egyénileg felhasználót. Az adatokat összesítve és névtelenül gyűjtik.
- Funkcionalitás sütik
Lehetővé teszik a webhelyeknek, hogy emlékezzenek arra, mik kerültek kiválasztásra (mint például a felhasználónév, nyelv, vagy a régió, ahol tartózkodik az oldal látogatója), hogy egy személyesebb online tapasztalatot nyújtsanak. Azt is lehetővé teszik, hogy videókat nézzen, játékokat játsszon és társasági eszközöket használjon, mint például a blogok, chatszobák és fórumok.
Az ilyen sütik által gyűjtött információkban lehetnek személyes azonosító adatok, amelyeket a felhasználó megosztott, mint a felhasználóneve vagy profilképe. Mindig nyilvánvalóan tájékoztatni kell az Ügyfelet arról, hogy milyen információt gyűjt az Intézmény, mit csinál vele és kivel osztja meg azt. Ha nem fogadja el az oldalt használó ezeket a sütiket, annak hatása lehet a webhely teljesítményére és funkcionalitására és korlátozhatja hozzáférését a webhely tartalmához. - Célzás vagy Reklám sütik
Ezeket a sütiket olyan tartalmak szállítására használja az Intézmény, amelyek relevánsabbak a felhasználó számára és érdeklődési köre számára. Ezeket arra lehet használni, hogy célzott hirdetést juttassanak el, és hogy korlátozzák, hogy hányszor néz meg valaki egy hirdetést.
Abban is segítenek, hogy mérni lehessen a reklám kampányok hatékonyságát az oldalakon. Ezeket a sütiket arra lehet használni, hogy emlékezzenek a webhelyekre, amelyeket meglátogatott a felhasználó és megoszthatja az Intézmény ezt az információt más felekkel, ideértve hirdetőit és az ügynökségeket.
Az ilyen sütik legtöbb fajtája követi a fogyasztókat IP címükön keresztül ez által gyűjthetnek személyesen azonosítható információkat.
A honlap üzemeltetője: Feki Webstudio Kft.
Székhely: 9444 Fertőszentmiklós, Petőfi u.44.
E-mail: info@fekiwebstudio.hu
Adatbiztonság
1. Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy biztosítsa az érintettek magánszférájának védelmét.
2. Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
3. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
4. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
5. A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja
a. a jogosulatlan adatbevitel megakadályozását;
b. az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c. annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d. annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e. a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f. azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
6. Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.
Adatfeldolgozók
Az Intézmény a Medveotthon honlapja (www.medveotthon.hu) fenntartásával kapcsolatban az alábbi Társaságok szolgáltatásait veszi igénybe:
1.Hírlevél küldése esetén A hírlevélre feliratkozott felhasználók adatai a következő szolgáltatóhoz kerülnek:
https://www.webgalamb.hu/ https://www.webgalamb.hu/Webgalamb_ASZF.pdf Cégnév: E.N.S. Informatikai és Rendszerintegrációs Zrt. Székhely: 1106 Budapest, Fehér út 10. Adószám: 14032868-2-42 Cégjegyzékszám: 01-10-046975
2.Kapcsolat felvételi oldal esetén
A kapcsolat felvételi oldalon létrejövő adatgyűjtés adatai a következő szolgáltatóhoz kerülnek: Elite Vision, 1163 Budapest, Veres Péter út 146.
https://elitevision.hu/
3.Vendégkönyvi bejegyzés esetén
A vendégkönyvi bejegyzés oldalon létrejövő adatgyűjtés adatai a következő szolgáltatóhoz kerülnek:
Elite Vision, 1163 Budapest, Veres Péter út 146.
https://elitevision.hu/
4.Látogatói statisztika esetén
A web analitikánál használt adatgyűjtés adatai a következő szolgáltatóhoz kerülnek: Google LLC
1600 Amphitheatre Parkway, Mountain View, CA 94043, Amerikai Egyesült Államok.
Az érintettek jogai
Átlátható tájékoztatás
Az érintettnek joga, hogy az őt érintő adatkezelésekről tömör, átlátható, érthető és könnyen hozzáférhető formában világosan és közérthetően megfogalmazva tájékoztatást kapjon. Ezért az Adatkezelő minden adatkezeléssel is foglalkozó dolgozójának kellő információval kell rendelkeznie, hogy – amennyiben írásbeli tájékoztatás nem elérhető, vagy az nem ad az adott kérdésre választ, vagy az érintettnek további kérdései lennének – az adatkezelésről kielégítő információt nyújtson. Amennyiben a kérdés azonnal nem válaszolható meg vagy a kérdés elektronikus úton vagy írásban érkezett, úgy az Adatkezelő 1 hónapon belül tájékoztatja az érintettet olyan formában, ahogy az érintett a kérdést feltette, kivéve, ha ezt az érintett más módon kéri.
A tájékoztatás díjmentes, ezért díj nem számítható fel.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat az érintettől gyűjti, akkor az adatok megszerzésének időpontjában tájékoztatja az ügyfelet az adatkezelési tájékoztató megismerhetővé tételével.
Ha az Adatkezelő az érintettre vonatkozó személyes adatokat nem az érintettől gyűjti, akkor az adatok megszerzését követő 1 hónapon belül tájékoztatja az ügyfelet a fenti módon.
Hozzáférés joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése az Adatkezelőnél folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adataihoz hozzáférést kapjon. Az Adatkezelő köteles kérelem esetén az adatkezelés tárgyát képező személyes adatainak másolatát az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel, amely magában foglalja a másolás díját, valamint a postaköltséget. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat elektronikus úton (e-mail) kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Pl. névváltozás, e-mail cím változás bejelentése esetén.
Törléshez való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat az Adatkezelő kezelte
- az érintett visszavonja az adatok kezelésére vonatkozó hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- igazolható, hogy az Adatkezelő a személyes adatokat jogellenesen kezeli
- a személyes adatok törlését jogszabály előírja
Ha az Adatkezelő bármilyen módon – pl. internetes honlapján - nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az Adatkezelő a lehetőségeihez képest megteszi az észszerűen elvárható lépéseket - ideértve technikai intézkedéseket annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő adatkezelést igazoló jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében vagy fontos közérdekéből lehet kezelni.
Amennyiben az Adatkezelő a korlátozást feloldja, mivel annak okai már nem állnak fenn, az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat közismert módon tagolt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség
Nemzeti Adatvédelmi és Információszabadság Hatóság Postacím: 1363 Budapest, Pf.: 9.
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail: ugyfelszolgalat (kukac) naih.hu URL https://naih.hu
Koordináták: É 47°30'36.8''; K 19°02'54.2''
Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
5. számú melléklet
A KÖZALKALMAZOTT NYILATKOZATA AZ ADATKEZELÉSI SZABÁLYZAT
MEGISMERÉSÉRŐL, ALKALMAZÁSÁRÓL, ÉS TITOKTARTÁSI KÖTELEZETTSÉG
VÁLLALÁSÁRÓL
Alulírott közalkalmazott kijelenti, hogy a Veresegyház Város Önkormányzat Gazdasági Műszaki Ellátó Szervezete, mint munkáltató Adatkezelési Szabályzatát és Adatkezelési Tájékoztatóját megismerte. Tudomásul veszi, hogy a munkáltató az Adatkezelési Szabályzat szerint meghatározott személyes adatait kezeli az ott meghatározott célból és az ott meghatározott időtartamig.
A közalkalmazott a munkavégzése során megismert személyes adatok kezelése, stb. során köteles alkalmazni és érvényesíteni az Adatkezelési Szabályzat rendelkezéseit.
Az Adatkezelési Szabályzat betartása és érvényesítése a jogviszonyból származó lényeges kötelezettségnek minősül, megsértése jogkövetkezményeket von maga után.
A közalkalmazott kötelezettséget vállal arra, hogy a munkáltatónál végzett munkája során tudomásomra jutott személyes adatokat kizárólag a munkaköri feladatai teljesítése céljából kezeli és továbbítja, más célra nem használja, azokat illetéktelen személlyel nem közli, és nem adja át, a személyes adatokhoz jogosulatlan hozzáférést nem enged, a személyes adatokat nyilvánosságra nem hozza. Tudomásul veszi, hogy ez a titoktartási kötelezettség közalkalmazotti jogviszonya vagy munkavégzésre irányuló egyéb jogviszonya fennállását követően is korlátlan ideig terheli. Tudomásul veszi, hogy a titoktartási kötelezettség megsértése a jogviszonyból származó lényeges kötelezettség megszegésének minősül, amelyre a munkáltató munkajogi jogkövetkezményeket alkalmaz.
Kelt, ___________________ 20 ____ év _____________ hó _____ nap
____________________________
a munkavállaló aláírása
6. számú melléklet
Veresegyház Város Önkormányzat Gazdasági Műszaki Ellátó Szervezete Székhelye: 2112 Veresegyház, Sport u. 4.
INFORMATIKAI BIZTONSÁGI SZABÁLYZAT
A jelen Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) célja, hogy a Veresegyház Város Önkormányzat Gazdasági Műszaki Ellátó Szervezeténél (a továbbiakban: Intézmény) működtetett informatikai rendszerre vonatkozóan a biztonsági intézkedéseket szabályozza, meghatározza a számítástechnikai eszközök beszerzésének és használatának, a szoftverkészítés és alkalmazás, az adatkezelés folyamatának biztonsági szabályait, továbbá az informatikai szerepköröket, és előírja az egyes szereplők informatikai biztonságot érintő feladatait.
Az IBSZ által biztosítható:
A titok-, és vagyonvédelemre vonatkozó előírások betartása.
A személyiségi jogok kellő védelme.
Az üzemeltetett számítástechnikai eszközök, hardverek, szoftverek, hálózatok, stb. rendeltetésszerű használata és megfelelő üzemvitele.
Az üzembiztonságot szolgáló műszaki fenntartási és karbantartási teendők elvégzése.
A számítógépes feldolgozások és az eredményadatok további hasznosítása során az illetéktelen hozzáférésből és felhasználásból eredő károk megelőzése, illetve minimális mértékűre való csökkentése.
Az adatállományok formai és tartalmi helyességének és épségének megőrzése.
Az alkalmazott szoftverek sértetlenségének, megbízható működésének biztosítása.
Az adatállományok biztonságos mentése.
A felhasznált és keletkezett írásos dokumentumok megfelelő kezelésének biztosítása.
A jogosultság és a hozzáférés rendszerének dokumentált kialakítása.
A célok elérése érdekében a védelemnek működnie kell az egyes rendszerelemek fennállásának teljes ciklusa alatt – a megtervezéstől az alkalmazáson (üzemeltetésen) keresztül a felszámolásukig, és azt követően az elévülés, illetve a selejtezhetőség időtartama alatt.
Alapul vett irányelvek, követendő szabványok, ajánlások
Az IBSZ mint az információvédelem szabályozásának elsődleges eszköze, az Intézmény működési területén szükségszerűen a hatályos jogszabályok, szabványok, ajánlások előírásain alapul.
A szabályzat felülvizsgálatának rendje, hatálya
A felülvizsgálatot évente vagy ha a működés rendjében változás történik az intézményvezető végzi el, s a felülvizsgálat tényét ellenőrzési lapon dokumentálja, melyet irattárba helyez.
Felülvizsgálat szükséges jogszabályváltozások esetén is, a jogszabályokban jelzett határidőig.
A szabályzatot és módosításait a tulajdonos hagyja jóvá.
Az IBSZ területi hatálya
Az IBSZ rendelkezéseinek teljes körű és értelemszerű alkalmazása az Intézménynek a székhelyén, telephelyein elhelyezett valamennyi szervezeti egységére és munkatársra nézve kötelező.
AZ IBSZ személyi hatálya
Az IBSZ személyi hatálya kiterjed az Intézmény minden felhasználójára. Az Intézménnyel nem jogviszonyban állók esetében gondoskodni kell arról a szerződéskötőnek, harmadik személyeknek stb., hogy a szerződésekben az IBSZ megfelelő előírásai kötelezettségként megjelenjenek.
Az IBSZ tárgyi hatálya
Az IBSZ tárgyi hatálya kiterjed az Intézmény valamennyi telephelyén lévő:
• az Intézmény szervezeti egységei által használt, vagy általuk tárolt valamennyi informatikai berendezésre, beleértve a berendezések műszaki dokumentációját is;
• rendszerprogramokra és a felhasználói programokra;
• védelmet élvező adatok teljes körére, keletkezésük és felhasználásuk, valamint feldolgozásuk helyétől, továbbá a megjelenési formájuktól függetlenül;
• adathordozókra, azok tárolására és felhasználására, beleértve a feldolgozásra beérkezés és a felhasználókhoz történő eljuttatás folyamatait is;
• az informatikai folyamatban szereplő valamennyi dokumentációra.
Az IBSZ rendelkezéseit minden újonnan üzembe helyezett informatikai rendszer esetében teljes körűen alkalmazni kell. A szabályozás hatályba lépésének időpontjában már üzemeltetett rendszer esetében egyedi eltérés az informatikai biztonsági felügyelő jóváhagyásával meghatározott, átmeneti időszakra megengedhető.
Felhasználói biztonság szabályai
Az Intézmény a munkavégzéshez megfelelő számítástechnikai hátteret biztosít, a biztosított eszközöket azonban kizárólag munkavégzés céljára lehet használni.
A biztosított eszközök az Intézmény tulajdonát képezik.
Eszközökkel kapcsolatos szabályok
? Amennyiben a felhasználó bármilyen biztonsági problémát vagy hibát észlel azonnal köteles értesíteni a munkahelyi vezetőjét.
? Tilos az eszközöket és azok részeit áthelyezni, burkolatukat, csatlakozásaikat megbontani.
? Tilos az eszközök közelében enni, inni, dohányozni.
Jelszókezeléssel kapcsolatos szabályok
? A felhasználó 3 havonta köteles jelszavait lecserélni.
? A jelszó minimum 8 karakter hosszú, (kicsi és nagy) betűket és számokat is kell tartalmaznia. ? A jelszó nem írható le semmilyen jól látható, vagy könnyen hozzáférhető helyre.
? Tilos a névre szóló jelszó kiadása más felhasználók számára.
Szoftverekkel kapcsolatos szabályok
? Az Intézmény kizárólag jogtiszta szoftverekkel dolgozik.
? A jogtisztaság biztosítása az intézményvezetés felelősségé, ezért tilos bármely más felhasználónak bármilyen terjesztési engedéllyel (freeware, shareware, stb.) rendelkező szoftvert, az intézmény tulajdonát képező számítógépre feltelepíteni.
Adatvédelmi szabályok
? A felhasználók számára tilos bármilyen adathordozóra adatokat lementeniük a számítógépükről vagy a szerverekről. Külső adathordozót (Pen drive, CD/DVD stb.), csak a munkahelyi vezető engedélyével csatlakoztatható a számítástechnikai eszközökhöz.
? A munkahely elhagyása esetén a számítógépet zárolni kell a "Windows" + "L" billentyűk egyidejű lenyomásával, illetve olyan képernyővédőt kell beállítani, melyek jelszóval engedik csak a gép feloldását.
? A személyes, munkához közvetlenül nem kapcsolódó állományok tárolása mind a munkaállomásokon, mind a szervereken nem engedélyezett.
? A számítógépen tilos mappa megosztást definiá1ni, működtetni.
Internethasználattal kapcsolatos szabályok
? Tilos a munkahelyen minden valós idejű kommunikációs program használata. Ide tartozik az MSN, ICQ, IRC, és egyéb hasonló üzenetküldő használata. Tilos továbbá web- felü1eten keresztül elérhető valós idejű üzenetküldő úgynevezett "chat" program használata.
? Tilos a munkahelyi internet kapcsolaton keresztül minden olyan program és egyéb fájlletöltése, ami nem a munkavégzéshez szükséges.
? Fájlok külső szerverekre való feltöltése minden esetben tiltott.
? Tilos minden internetes "online" sugárzott műsor (ide tartoznak a rádió, televízió műsorok) hallgatása, megtekintése az internet sávszélesség indokolatlan csökkentése miatt. ? Nem üzleti célú (webfelü1et alapú) levelezés nem engedélyezett munkaidőn belül a munkahelyi számítógépeken.
? Mindenféle fájlmegosztó alkalmazás használata az Intézmény számítástechnikai eszközein tiltott.
Vírusvédelmi szabályok
? A számítógépen vírus ellenőrző program fut, mely a gép működése közben automatikusan figyeli a rendszert. A vírus ellenőrző programot leállítani és annak működésébe beavatkozni szigorúan tilos.
? Minden fájl művelet előtt ez a program ellenőrzi a megnyitott fájlokat.
? Vírustalálat esetében a munkát azonnali hatállyal fel kell függeszteni, a számítógépet az adathálózatról le kell választani és megkezdeni az okok fe1tárását és a helyreállítást.
Jelen szabályzat az aláírása napján lép hatályba.
Veresegyház, 2019. február
7. számú melléklet
ADATFELDOLGOZÓI MEGÁLLAPODÁS
Az alábbi adatfeldolgozói megállapodás (a továbbiakban: „Megállapodás”) egyrészről …………….
(székhelye: ………………………………………; cégjegyzékszám: …………………………, adószám: ………………………..; képviseli: ……………………………….), mint Megbízó (a továbbiakban: „Megbízó vagy Adatkezelő”), másrészről pedig a
…………………………………….. (székhelye: ………………………………………; cégjegyzékszám: …………………………, adószám: ………………………..; képviseli: ……………………………….) (a továbbiakban: „Megbízott vagy Adatfeldolgozó”)
(Megbízó és Megbízott együttesen: „Felek”, külön-külön: „Fél”) között jött létre alulírott napon és helyen az alábbiak tárgyában.
1. ELŐZMÉNYEK
1.1. A jelen Megállapodást a Felek között ……………….. napján,
……………………..szolgáltatások nyújtása tárgyában, határozatlan időtartamra megkötött szerződésre (a továbbiakban: „Szerződés”) és az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének (továbbiakban: „Általános Adatvédelmi Rendelet”) 28. § cikkében foglaltakra tekintettel kötik meg.
Felek kijelentik, hogy amennyiben Megbízott a Szerződés alapján személyes adatok feldolgozását végzi, úgy a Felek a jelen Megállapodás rendelkezéseit tekintik irányadónak.
1.2. Jelen Megállapodás elválaszthatatlan részét képezi a Felek között létrejött Szerződésnek. Erre való tekintettel a jelen Megállapodásban nem szabályozott kérdésekre, így különösen a Megállapodás hatálya, felmondási ideje és annak feltételeire a Szerződés rendelkezései irányadóak.
2. MEGÁLLAPODÁS TÁRGYA
2.1. A Megbízó, mint Adatkezelő a jelen Megállapodás aláírásával megbízást ad Megbízott, mint Adatfeldolgozó részére, hogy Megbízó érdekében és utasításainak megfelelően a Szerződés alapján végzett tevékenységhez, szolgáltatáshoz kapcsolódóan személyes adatok feldolgozását végezze a jelen Megállapodásban, illetve annak 1. számú mellékletében meghatározottak szerint, amely megbízást Megbízott jelen Megállapodás aláírásával elfogadja.
2.2. A Felek megállapodnak, hogy a jelen Megállapodás teljesítése során Megbízó a kezelt
adatok tekintetében adatkezelőnek, míg Megbízott adatfeldolgozónak minősül.
2.3. A Felek megállapodnak, hogy a jelen Megállapodásban foglalt kötelezettségek Megbízó általi megszegéséből eredő kárral vagy költséggel összefüggésben harmadik személyek által a Megbízottal szemben támasztott követeléssel vagy bármely igénnyel szemben köteles közvetlenül helytállni és Megbízottat kármentesen tartani, valamint Megbízottnak a fenti igényekkel összefüggésben keletkezett valamennyi kárát és költségét megtéríteni.
2.4. Megbízott kijelenti, hogy a feladat teljesítéséhez szükséges felkészültséggel, tapasztalattal rendelkezik, illetve, hogy szerződéses kötelezettségének nemcsak szakmailag, de gazdaságilag is képes eleget tenni.
3. A MEGÁLLAPODÁS TELJESÍTÉSE
3.1. A Megbízott a személyes adatokat kizárólag a Megbízó írásbeli utasításai alapján kezeli, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy a magyar jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja.
3.2. A Felek megállapodnak abban, hogy a jelen Megállapodás teljesítése során a Megbízó által adott, e-mail útján megküldött, személyes adatokat tartalmazó rendelkezéseket, utasításokat írásbeli utasításoknak tekintik.
3.3. Felek rögzítik, hogy az adatfeldolgozási műveletekre vonatkozó utasítások jogszerűségéért (így különösen a Megbízott által feldolgozott személyes adatok helyességéért és az azok feldolgozásához szükséges megfelelő jogalap meglétéért) a Megbízó felel. A Megbízott haladéktalanul tájékoztatja a Megbízót, ha úgy véli, hogy annak valamely utasítása sérti a magyar vagy az uniós adatvédelmi jogi rendelkezéseket.
3.4. A Felek megállapodnak abban, hogy a Megbízott írásban felhívja a Megbízó figyelmét minden olyan esetleges körülményre, amely nincs összhangban a hatályos jogszabályi rendelkezésekkel.
3.5. A Megbízó vállalja, hogy amennyiben a Megbízott teljesítéséhez adatok, információk, vagy egyéb nyilatkozatok szükségesek, úgy azokat igény esetén haladéktalanul, de legkésőbb a Szerződésben megjelölt határidőn belül átadja, illetve megadja a Megbízottnak.
3.6. Felek kijelentik, hogy a jelen Megállapodás alapján végzett tevékenységüket a mindenkor hatályos vonatkozó jogszabályok betartásával végzik.
3.7. A Megbízott kizárólag adatfeldolgozó tevékenységi körén belül, a Megbízó által meghatározott keretek között felelős a személyes adatok feldolgozásáért. Megbízott kizárólagosan felelős a személyes adatokon végzett mindazon adatkezelői cselekményéért, amelyeket a Megbízó utasításaitól eltérően, vagy azokon túlmenően végez.
3.8. A Megbízott adatfeldolgozói tevékenységének ellátása során a Megbízó írásban tett felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe, ezen túl is garantálja, hogy tiszteletben tartja az Európai Unió kötelező jogi aktusaiban és a magyar jogszabályokban foglalt, a további adatfeldolgozó igénybevételével kapcsolatos rendelkezéseket és feltételeket. Megbízó hozzájárul ahhoz, hogy a Szerződés megkötését megelőzően lefolytatott versenyeztetési eljárás során a Megbízott részéről megjelölt harmadik személyek is igénybevételre kerüljenek további adatfeldolgozóként.
3.9. Felek rögzítik, hogy a Megbízott köteles gondoskodni a feladatok teljesítése során az Általános Adatvédelmi Rendeletnek az adatkezelés biztonságára vonatkozó rendelkezéseiben rögzített adatkezelés biztonsági intézkedések meghozataláról, így különösen az általa tárolt adatok biztonságáról, köteles megtenni azokat a technikai és szervezési intézkedéseket, és kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi követelmények teljesítése érdekében szükségesek.
A Megbízott a részére továbbított személyes adatokat a szükséges technikai és szervezési intézkedések meghozatala útján köteles védeni a jogosulatlan hozzáférés, megváltozás/megváltoztatás, a nyilvánosságra hozás, a törlés, a sérülés, és megsemmisülés ellen. A Megbízott a jelen Megállapodás 1. számú mellékletében rögzített technikai és szervezési intézkedések meghozatalával teljesíti a jelen pontban foglalt kötelezettségét. Megbízott köteles továbbá az alkalmazott technikai és szervezési intézkedéseket a jelen Megállapodás teljesítése során a technológia mindenkori állása és az adatfeldolgozás körülményeinek alakulásához mérten megfelelően észszerű időközönként felülvizsgálni és a megfelelő szintű adatbiztonság érdekében a szükséges technikai és szervezési intézkedéseket végrehajtani.
A jelen Megállapodás 1. számú mellékletében rögzített ilyen intézkedések által biztosított adatbiztonsági szinthez képest alacsonyabb adatbiztonsági szintet biztosító intézkedéseket a Megbízott kizárólag a Megbízó előzetes írásbeli hozzájárulása alapján jogosult meghozni.
3.10. A Megbízott az adatfeldolgozói tevékenysége teljes időszaka alatt köteles megőrizni minden személyes adatot mindaddig, amíg adatkezelő azok törlésére nem utasítja. A Megbízott az adatkezelési szolgáltatás nyújtásának befejezését követően a Megbízó döntése alapján minden személyes adatot visszavonhatatlanul töröl vagy visszajuttat a Megbízónak, és törli a meglévő másolatokat, kivéve, ha számára az uniós vagy a magyar jog az személyes adatok tárolását írja elő.
3.11. Megbízó köteles az érintett személy kérelmére tájékoztatást adni az általa kezelt, illetőleg Megbízott által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
3.12. A Megbízott köteles segíteni a Megbízót az adatvédelmi tárgyú Európai Uniós kötelező jogi aktusok és magyar jogszabályok szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és a Megbízott rendelkezésére álló információkat.
3.13. A Megbízott a Megbízó rendelkezésére bocsát minden olyan információt, amely az adatvédelmi tárgyú Európai Uniós kötelező jogi aktusokban és magyar jogszabályokban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti a Megbízó által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
4. TITOKTARTÁS
4.1. Felek kötelesek minden, a másik Féllel kapcsolatos információt, dokumentumot bizalmasan, üzleti titokként kezelni, valamint szavatolják, hogy harmadik személyek részére ezen információkat, dokumentumokat nem adják ki. Ezeket az információkat a Felek kizárólag saját alkalmazottjaikkal, tanácsadóikkal, könyvvizsgálóikkal és a vállalatcsoportjukba tartozó társaságokkal oszthatják meg, akiknek titoktartási kötelezettségéért a Feleket kártérítési felelősség terheli.
4.2. A Megbízott biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
4.3. A titoktartási kötelezettség a Megállapodás fennállása alatt és azt követően is időkorlát nélkül fennáll.
4.4. Jelen Megállapodás bármely okból történő megszűnését követően Megbízott minden Megbízóval, illetve a megbízással kapcsolatos iratot, dokumentumot, elektronikus adatbázist átad Megbízónak.
4.5. A titoktartási kötelezettséget bizonyítottan és felróhatóan megszegő Fél köteles megtéríteni a másik Felet ennek kapcsán ért összes kárt.
4.6. Nem vonatkozik a Felekre a fenti titoktartási kötelezettség azon tájékoztatók tekintetében, amelyeket az adatvédelmi tárgyú Európai Uniós kötelező jogi aktusok és magyar jogszabályok alapján kötelesek nyújtani az érintettek részére.
5. ZÁRÓ RENDELKEZÉSEK
5.1. A Megállapodás módosítása, kiegészítése csak írásos formában, a Felek cégszerű aláírásával történhet.
5.2. A jelen Megállapodás az aláírásának napján lép hatályba és a Szerződés hatályosságának időtartamára marad hatályban, a Szerződés bármely okból történő megszűnése esetén a jelen Megállapodás is automatikusan megszűnik.
5.3. Amennyiben a Megállapodás bármely rendelkezése érvénytelen, vagy a jövőben azzá válna, úgy az nem érinti a Megállapodás egyéb pontjainak érvényességét. Az érvénytelen rendelkezés helyére egy olyan rendelkezésnek kell kerülnie, amely a jogi lehetőségek keretében a Felek akaratához legközelebb esik.
5.4. Amennyiben a Felek bármelyike egy vagy több esetben nem, vagy csak késedelmesen tiltakozik a jelen Megállapodás valamely pontjának megszegése miatt, illetve a jelen Megállapodás biztosított bármely jogosultság érvényesítéséről egy vagy több esetben lemond, vagy azt csak késedelmesen, vagy egyáltalán nem érvényesíti, ez nem tekinthető a többi jogosultság érvényesítéséről való lemondásnak, vagy a szerződésszegésből, illetve bárminemű későbbi szerződésszegésből eredő igény érvényesítéséről való lemondásnak.
5.5. A Felek vállalják, hogy a jelen Megállapodás teljesítése során, illetve az ezzel kapcsolatban általuk megkötött szerződéses jogviszonyokban minden tőlük elvárhatót megtesznek annak érdekében, hogy a másik fél üzleti jó hírneve ne sérüljön, és neve ne szerepeljen jó erkölcsbe ütköző, ízléstelen, sértő vagy bármely, a másik félre vagy bármely közvetett vagy közvetlen tulajdonosára hátrányos módon vagy összefüggésben.
5.6. A Megállapodás nyelve a magyar. A Megállapodásra az irányadó jog a magyar jog. A Megállapodásban nem érintett kérdések tekintetében a Szerződés, a 2013. évi V. törvény (Ptk.), valamint az Általános Adatvédelmi Rendelet, az Info tv. és az egyéb adatvédelmi tárgyú Európai Uniós kötelező jogi aktusok, valamint adatvédelmi tárgyú magyar jogszabályok vonatkozó rendelkezéseit tekintik irányadónak.
5.7. Felek a Szerződésből eredő vitáik esetén igyekeznek a felmerült problémákat tárgyalásos úton megoldani. Abban az esetben, ha ez nem vezet eredményre, értékhatártól függően alávetik magukat a Polgári perrendtartásról szóló 2016. évi CXXX. törvény általános szabályai szerint illetékes bíróság kizárólagos illetékességének.
5.8. Feleket képviselő személyek anyagi és büntetőjogi felelősségük tudatában kijelentik, hogy a Szerződés megkötésével kapcsolatosan képviseleti jogosultságuk semmiben sem korlátozott.
A Megállapodást a Felek előzetes megtárgyalás és egyeztetés után, mint szerződési akaratukkal mindenben megegyezőt az aláírásra felhatalmazott képviselőjük útján írták alá.
1. számú melléklet
Az adatfeldolgozási tevékenység meghatározása
A Megbízott jelen Megállapodás alapján az adatfeldolgozással kapcsolatos feladatokat a következő célból látja el: a Megbízó részére könyvelési, számviteli, pénzügyi feladatok végzése
A Megbízott adatkezelési tevékenységének jellege, az adatkezeléssel összefüggő tevékenysége: könyvelés
Az adatkezelés időtartama: a gazdasági év számviteli lezárásáig
A feldolgozott személyes adatok típusa: - Név
- Születési hely és idő - Anyja neve
- Állandó lakcím
- Levelezési cím
- Személyazonosító igazolvány száma
- Telefonszám
- E-mail cím
- Adóazonosító
- TAJ szám
- Bankszámlaszám
Az érintettek kategóriái: - Természetes személy
- Jogi személy természetes személy képviselői
A Megbízott által a személyes adatok és az adatfeldolgozói tevékenység biztonsága érdekében meghozott technikai és szervezési intézkedések leírása: Elkülönített, külső – arra nem jogosult személy általi – hozzáférést kizáró
elektronikus tárolás