Hatályos 2020. szeptember 1-től
II.1. A szabályzat célja
Jelen Szabályzat célja, annak biztosítása, hogy a Barta Autó 2000 Kft. (továbbiakban: Társaság, vagy Adatkezelő) által folytatott adatkezelések megfeleljenek a hatályos jogszabályi előírásoknak. A Szabályzat célja továbbá, hogy az Európai Parlament és a Tanács (EU) 2016/679. sz. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR/Rendelet) Rendeletnek, és az abban megfogalmazott, a személyes adatok kezelésére vonatkozó elveknek (5. cikk) való megfelelés Társaság általi igazolására szolgáljon.
II.2. A szabályzat tárgyi hatálya
A szabályzat tárgyi hatálya kiterjed a Társaságnál végzett minden adatkezelésre és adatfeldolgozásra, függetlenül kezelési módjától.
II.5. Fogalmak
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
„vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
„vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
„kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
„felügyeleti hatóság”: egy tagállam által a GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv;
„érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
· az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
· az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
· panaszt nyújtottak be az említett felügyeleti hatósághoz;
„személyes adatok határokon átnyúló adatkezelése”:
· személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
· személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
„releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
„az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;
„nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre.
„Adatállomány”: az egy nyilvántartásban kezelt adatok összessége;
III. Az adatkezelés alapelvei
Jogszerűség, tisztességes eljárás és átláthatóság elve:
A személyes adatok felvételének és kezelésének tisztességesnek és jogszerűnek kell lennie. Az adatok kezelését az érintett számára átlátható módon kell végezni.
Célhoz kötöttség elve:
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. A célhoz kötöttség elve nem felülírható vagy pótolható az adatalany hozzájárulásával.
Beépített és alapértelmezett adatvédelem:
Az adatkezelőnek – mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során – az adatvédelem elveinek és az érintett jogainak védelméhez szükséges garanciák érvényesülését biztosító megoldásokat (technikai és szervezési intézkedéseket, pl. álnevesítés) kell beépítenie az adatkezelés teljes folyamatába.
Ezen intézkedések és garanciák megvalósítása során az alábbi szempontokat kell figyelembe venni:
· a tudomány és a technika adott fejlettségi szintje;
· a megvalósítás költségei;
· az adatkezelés jellege, hatóköre, körülményei és céljai;
· a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat
Az adatkezelőnek az adatkezelés folyamatában minden lépésben biztosítani kell, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerülhessen csak sor, amelyek az adott konkrét adatkezelési cél elérése szempontjából feltétlenül szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre egyaránt.
Elszámoltathatóság elve:
Az adatkezelő felelős az adatkezelés elveinek a maradéktalan betartásáért, az azoknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására
IV. Az adatkezelés jogszerűsége, célja
IV.1. Az adatkezelés jogalapja
A GDPR szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül, azaz valamelyik az adatkezelő rendelkezésére áll.
a) érintett hozzájárulása: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Az érintett hozzájárulása csak abban az esetben tekinthető megfelelőnek, ha az önkéntes és megfelelő tájékoztatáson alapul. Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult, ezért az érintett hozzájárulását írásba kell foglalni vagy egyéb módon kell bizonyíthatóvá tenni. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely egyidejűleg más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Amennyiben az érintett hozzájárulása nem állapítható meg egyértelműen, illetve nem igazolható, hogy az megfelelő tájékoztatáson alapult, a hozzájárulást nem szolgálhat az adatkezelés jogalapjaként. Az érintett hozzájárulásának is az egyes ügyek vonatkozásában jól elkülöníthetőnek kell lennie. A hozzájáruló nyilatkozat bármely olyan része, amely a GDPR rendelkezéseivel ellentétes, érvénytelennek kell tekinteni. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon, világos, és egyértelmű módon kell lehetővé tenni, mint annak megadását.
c) Jogi kötelezettség teljesítése: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Jogi kötelezettség alatt az uniós vagy tagállami jogszabályi rendelkezéseket kell érteni.
d) Jogos érdek: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. A jogos érdeken alapuló adatkezelés meghatározása előtt el kell végezni az ún. érdekmérlegelési tesztet, amelynek során először azonosítani kell az adatkezelő jogos érdekét, a súlyozás ellenpontját képező adatalanyi érdeket és az érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.
Érdekmérlegelés alapján személyes adat kezelésére az érintett további külön hozzájárulása nélkül valamint a hozzájárulásának a visszavonását követően kerülhet sor az alábbi feltételek fennállása esetén:
o a személyes adatok felvételére az érintett hozzájárulásával került sor,
o az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából vagy
o az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából kerül sor, feltéve, hogy ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
e) Létfontosságú érdek: az adatkezelés az érintett életének vagy más természetes személy létfontosságú érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. (Létfontosság érdekre hivatkozással történhet pl. az adatkezelés humanitárius katasztrófák esetében, ideértve, azt az esetet is, ha arra a járványok és terjedéseik nyomon követéséhez van szükség.)
IV.2. Az adatkezelés célja
A GDPR 5. cikk (1) bekezdésének b) pontja alapján a személyes adatok kezelése csak meghatározott, egyértelmű és jogszerű célból történhet, azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.
Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.
IV.3. A GDPR alkalmazása előtti adatkezelések jogszerűsége
A 2018. május 25-e előtt felvett, Infotv-nek megfelelően gyűjtött és kezelt adatok a GDPR alkalmazását követően nem válnak jogszerűtlenné, azonban 2018. május 25. napjától már csak a IV.1. pontban megjelölt jogalapok megléte mellett lehet személyes adatot kezelni.
V. A személyes adatok különleges kategóriáinak kezelése
A különleges adatok kategóriái különösen: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, stb. utaló személyes adatok; egészségügyi adat, biometrikus adat, genetikai adat.
Főszabály szerint a különleges kategóriájú adatok kezelése GDPR szerint tilos. Az alábbi kivételes esetekben lehet különleges adatot kezelni:
· az érintett kifejezett hozzájárulását adta az említett személyes adatok meghatározott célból történő kezeléséhez, és uniós vagy tagállami jog nem tiltja a hozzájárulás-adást;
· az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
· az adatkezelés létfontosságú érdek védelméhez szükséges, feltéve, hogy az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
· az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
· az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges;
· az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása érdekében szükséges
VI. Tájékoztatás
VI.1. Általános követelmények
Az érintett részére adott tájékoztatásnak tömörnek, átláthatónak, érthetőnek és könnyen hozzáférhetőnek kell lennie. Írásban vagy más módon, világos és közérthető formában kell megfogalmazni. Az elszámoltathatóság (bizonyíthatóság) érdekében minden esetben ajánlott az írásbeli forma.
VI.2. Tájékoztatásra vonatkozó szabályok, ha a személyes adatok az érintettől származnak (előzetes tájékoztatás)
Ha a személyes adatok az érintettől származnak, a Társaság, mint adatkezelő a személyes adatok felvételének, rögzítésének időpontjában köteles az érintett rendelkezésére bocsátani az alábbi információkat (előzetes tájékoztatás):
· az adatkezelőnek és az adatkezelő képviselőjének a megnevezése és elérhetőségei (adatkezelő neve; postai címe, e-mail címe, honlapcíme; nem kötelező jelleggel telefonszám, egyéb azonosító adat – pl. cégjegyzékszám; képviselő neve, céges e-mail címe);
· az adatvédelmi tisztviselő elérhetőségei; (a Társaságnál nem kötelező az az adatvédelmi tisztviselő kijelölése, ennél fogva ez nem szerepel a tájékoztatóban)
· a tervezett adatkezelés célja (konkrét, pontos megjelölés, valós célok elfedése nélkül), valamint az adatkezelés jogalapja;
· jogos érdeken alapuló adatkezelés esetén, az adatkezelőnek vagy harmadik félnek az érdekmérlegelési teszt alapján kimutatott jogos érdeke;
· adattovábbítás esetén a személyes adatok címzettjei, illetve a címzettek kategóriái;
· harmadik országba, nemzetközi szervezethez történő adattovábbítás ténye és garanciái;
· a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
· az érintett jogainak ismertetése, miszerint kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
· hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonási joga;
· a Felügyeleti hatósághoz címzett panasz benyújtásának joga;
· arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
· automatizált döntéshozatal ténye (ideértve a profilalkotást is), logikája, és hogy ennek milyen következményei lehetnek az érintettre vonatkozóan.
A tájékoztatást egyébként a személyes adatok felvételével együtt járó eljárás (pl. telephelyre való belépés, munkaviszony megkezdése, érintettel való kapcsolatfelvétel, stb.) megkezdésével egyidejűleg kell az érintettek részére megadni. A tájékoztatás megadása történhet az adatkezelésre vonatkozó tájékoztató papír alapon történő átadásával, vagy – amennyiben az adatkezelés jellegéből adódóan az érintettnek lehetősége van az adatkezelő honlapjának előzetes megtekintésére – az adatkezelő honlapján elhelyezett adatkezelési tájékoztatás megjelölésével.
Az Adatkezelési Tájékoztatót a személyesen jelen lévő érintett kérésére nyomtatott formában át kell adni.
VI.3. Tájékoztatás, ha a személyes adatok nem az érintettől származnak (utólagos tájékoztatás)
A Társaságnak, mint adatkezelőnek – amennyiben a személyes adatokat nem az érintettől szerezte – az adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül kell az adatkezelésre vonatkozó tájékoztatást az érintett részére megadnia.
Ez a határidő az alábbi feltételek esetén a következőképpen módosul:
· ha az adatkezelő a személyes adatokat az érintettel való kapcsolattartás céljára akarja felhasználni, legalább az érintettel való első kapcsolatfelvétel alkalmával;
· ha az adatkezelő más címzettel is közölni akarja az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor;
· ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően kell tájékoztatnia az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
Ha a személyes adatok nem az érintettől származnak, a Társaság, mint adatkezelő a fenti időpontokban köteles az érintett rendelkezésére bocsátani az alábbi információkat:
· az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei (adatkezelő neve; postai címe, e-mail címe, honlapcíme; nem kötelező jelleggel telefonszám, egyéb azonosító adat – pl. cégjegyzékszám; képviselő neve, céges e-mail címe);
· az adatvédelmi tisztviselő elérhetőségei; (a Társaságnál nem kötelező az az adatvédelmi tisztviselő kijelölése, ennél fogva ez nem szerepel a tájékoztatóban)
· a tervezett adatkezelés célja (konkrét, pontos megjelölés, valós célok elfedése nélkül), valamint az adatkezelés jogalapja;
· az érintett személyes adatok kategóriái;
· adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái;
· harmadik országba, nemzetközi szervezethez történő adattovábbítás ténye és garanciái;
· a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
· jogos érdeken alapuló adatkezelés esetén, az adatkezelőnek vagy harmadik félnek az érdekmérlegelési teszt alapján kimutatott jogos érdeke;
· az érintetti jogok ismertetése, miszerint kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;
· hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonási joga;
· a felügyeleti hatósághoz címzett panasz benyújtásának joga;
· a személyes adatok forrása, illetve hogy az adatok nyilvánosan hozzáférhető forrásból származnak-e;
· automatizált döntéshozatal ténye (ideértve a profilalkotást is), logikája, és hogy ennek milyen következményei lehetnek az érintettre vonatkozóan.
Az VI.2. pont szerinti tájékoztatástól annyiban el lehet tekinteni, amennyiben:
· a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Ezekben az esetekben is azonban az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;
· az adatkezelést uniós vagy tagállami jogszabály írja elő, és rendelkezik a megfelelő garanciákról;
· uniós vagy tagállami jogszabályban előírt szakmai titoktartási kötelezettség alapján bizalmasnak kell maradnia.
VII. Az érintettek jogai
VII.1. Az érintett hozzáférési / tájékoztatáshoz való joga
Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adataihoz és a következő információkhoz hozzáférést kapjon:
· az adatkezelés célja;
· az érintett személyes adatok kategóriái;
· azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan;
· a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
· az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
· a Felügyeleti hatósághoz címzett panasz benyújtásának joga;
· ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
· az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Az adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett kérésére ingyenesen rendelkezésére kell bocsátania. A tájékoztatás megadása azonban nem érintheti hátrányosan mások jogait és szabadságait azaz az érintett rendelkezésére kizárólag a róla kezelt adatok bocsáthatók. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett ezt másként kéri.
VII.2. Törléshez („elfeledtetéshez”) való jog
Az érintett kérésére az adatkezelőnek indokolatlan késedelem nélkül törölnie kell a rá vonatkozó személyes adatokat.
Ezen túlmenően is az adatkezelő köteles az érintettre vonatkozó személyes adatok indokolatlan késedelem nélkül törlésére, ha:
· a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
· az érintett hozzájárulását visszavonta, feltéve, hogy nincs más jogalap;
· az érintett tiltakozik az adatkezelés ellen, és az adatkezelőnek nincs elsőbbséget élvező jogszerű oka az adatkezelésre. Ha az érintett a közvetlen üzletszerzés céljából gyűjtött adatai kezelése ellen tiltakozik, az adatokat törölni kell;
· a személyes adatokat jogellenesen kezelték;
· uniós vagy tagállami jogban előírt jogi kötelezettség írja elő a törlést;
· a személyes adatok gyűjtésére közvetlenül a gyermekeknek kínált, információs társadalommal összefüggő szolgáltatásokkal kapcsolatosan – a szülői felügyeletet gyakorló személy hozzájárulásának hiányában – került sor.
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével minden ésszerűen elvárható lépést meg kell tennie – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő többi adatkezelőt arról, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Nem lehet az adatokat törölni, ha az adatkezelés:
· a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából szükséges;
· a személyes adatok kezelését előíró, uniós vagy tagállami jog szerinti kötelezettség teljesítése érdekében szükséges;
· közérdekű archiválás, tudományos és történelmi kutatási vagy statisztikai célból szükséges és a törlés lehetetlenné tenné vagy komolyan veszélyeztetné az adatkezelést;
· jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges (pl. az adatokra bírósági eljárásban, bizonyítékként való felhasználás céljából van szükség).
Amennyiben az érintett olyan személyes adatokat bocsát az adatkezelő rendelkezésére, amelyek az adott adatkezelési cél eléréséhez nem szükségesek, az adatkezelő a célszerűség elvével össze nem egyeztető adatokat – amennyiben az aránytalan terhet és költséget nem jelent – indokolással ellátva visszaküldi az érintettnek, vagy abban az esetben, amikor az adatok visszaküldése nem lehetséges (pl. fénymásolat, elektronikai rendszerben tárolt adatok, stb.) törli vagy megsemmisíti. Az adatok visszaküldését, törlését vagy megsemmisítését, valamint az adatkezelési célhoz viszonyított szükségszerűtlenség indokát adott eljárásban rögzíteni kell.
VII.5. Tiltakozáshoz való jog
Az érintett a saját helyzetével kapcsolatos okból bármikor tiltakozhat személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben a személyes adatok nem kezelhetők tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan az ő oldalán fellépő jogos érdek indokolja, amely elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett bármikor tiltakozhat a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatai a továbbiakban e célból nem kezelhetők.
A fentiekben említett tiltakozási jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni az érintett figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
Fontos, hogy nem illeti meg az érintettet a tiltakozás joga:
· hozzájáruláson
· szerződés teljesítésén
· jogi kötelezettség teljesítésén
· létfontosságú érdek védelmén
alapuló adatkezelések esetén.
VII.8. Jogorvoslathoz való jog
Az érintett jogosult a rá vonatkozó személyes adatok kezelésének megsértése esetén arra, hogy panaszt tegyen a Felügyeleti hatóságnál.
Ezen túlmenően az érintettet megilleti a bírósághoz fordulás joga is az alábbi esetekben:
· a Felügyeleti hatóság rá vonatkozó jogilag kötelező erejű döntésével szemben;
· ha a Felügyeleti hatóság nem foglalkozik a panasszal;
· ha a Felügyeleti hatóság 3 hónapon belül nem tájékoztatja a panaszával kapcsolatos eljárás fejleményeiről vagy annak eredményéről;
· ha megítélése szerint az adatkezelő vagy az Adatfeldolgozó a GDPR rendelkezéseinek nem megfelelő adatkezelés következtében megsértette a Rendelet szerinti jogait
A jogorvoslat lehetőségéről az érintettet a VII. pontban meghatározott módon kell tájékoztatni.
VII.9. Az adatkezelő értesítési kötelezettsége
Az adatkezelőnek minden olyan címzettet tájékoztatni kell az adatok helyesbítéséről, törléséről, korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha lehetetlen vagy aránytalanul nagy erőfeszítést igényel.
Az érintettet is tájékoztatni kell:
· kérelmére a címzettekről
· automatikusan: az érintetti jogok gyakorlása körében benyújtott kérelme nyomán megtett intézkedésekről. Ezekről az intézkedésekről az adatkezelőnek a kérelem beérkezésétől számított egy hónapon belül kell tájékoztatnia az érintettet, amely határidő szükség esetén – a kérelem összetettségére és a kérelmek számára tekintettel – további két hónappal meghosszabbítható. A határidő meghosszabbításáról a kérelem beérkezésétől számított egy hónapon belül kell tájékoztatni az érintettet a késedelem okainak megjelölésével. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást is elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. Az érintett jogaival kapcsolatos és az adatvédelmi incidensről szóló tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre, megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
VIII. Az adatkezelőre, adatfeldolgozóra vonatkozó szabályok
VIII.1. adatkezelő – Adatfeldolgozó elhatárolása
· adatkezelő: Barta Autó 2000 Kft.
· Adatfeldolgozó: az adatkezelőtől elkülönült személy
· Az adatkezelő határozza meg (önállóan vagy másokkal együtt) a személyes adatok kezelésének céljait és eszközeit. Az Adatfeldolgozó ezeket nem határozhatja meg.
· Az adatkezelő mindig a saját nevében jár el, az Adatfeldolgozó az adatkezelő nevében jár el.
· Az adatkezelő a saját döntései szerint jár el, az Adatfeldolgozó az adatkezelő utasításai szerint jár el (kivéve, ha az adatfeldolgozóra vonatkozó uniós vagy tagállami jog az adatfeldolgozóra is adatkezelést ír elő);
· Az adatkezelőnek nem kerül feltétlenül birtokába az adat, az Adatfeldolgozónak mindig birtokába kerül az adat.
VIII.2. Az adatkezelő feladatai
Az adatkezelőnek az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából (az elszámoltathatóság elvére tekintettel), hogy a személyes adatok kezelése a GDPR rendelkezéseivel összhangban történjen.
Ilyen intézkedések:
· belső adatvédelmi szabályok alkalmazása (amely tágabb kategória, mint belső adatvédelmi szabályzat megalkotása);
· nyilvántartások vezetése;
· hatásvizsgálat elkészítése a valószínűsíthetően magas kockázattal járó új adatkezelések megkezdése előtt;
· alapértelmezett és beépített adatvédelem elvének következetes érvényesítése;
· megfelelő adatvédelmi incidenskezelés;
Ezeket az intézkedéseket a belső szabályzatok rendszeres felülvizsgálata során át kell tekinteni és a szükséges módosításokat el kell végezni, ezáltal biztosítva az intézkedések naprakészségét.
VIII.3. Adatfeldolgozó igénybevétele
Ha az adatkezelő az adatkezeléshez Adatfeldolgozót vesz igénybe, az csak olyan személy, szervezet lehet, aki vagy amely
· megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfelelése érdekében;
· az érintettek jogainak védelmét biztosító megfelelő technikai és szervezési intézkedések végrehajtására képes, és ezek megvalósítására megfelelő garanciákat is nyújt.
Az Adatfeldolgozó további adatfeldolgozót igénybe vehet, ennek azonban feltétele az adatkezelő előzetes, írásban tett, eseti vagy általános felhatalmazása. Általános írásbeli felhatalmazás esetén az Adatfeldolgozónak tájékoztatnia kell az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva az adatkezelőnek azt, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
Az Adatfeldolgozó tevékenységéért az adatkezelő tartozik felelősséggel. A további Adatfeldolgozó tevékenységéért az őt megbízó Adatfeldolgozó teljes felelősséggel tartozik. A további Adatfeldolgozó kötelezettségei ugyanazok, mint az adatkezelővel szerződött Adatfeldolgozóé.
VIII.4. Az adatfeldolgozói szerződés tartalmi elemei
Az Adatfeldolgozó által végzett adatkezelésre irányuló szerződésnek vagy más jogi aktusnak legalább az alábbiakat kell tartalmaznia:
Az adatkezelés
· tárgyát,
· időtartamát,
· jellegét és célját,
· a személyes adatok típusát,
· az érintettek kategóriáit,
· az adatkezelő valamint az Adatfeldolgozó kötelezettségeit és jogait (konkrét feladatait és felelősségét). E körben szükséges azt is rögzíteni, hogy az Adatfeldolgozó milyen esetekben és részletességgel köteles az adatkezelőt a tevékenységéről és a feladat állásáról tájékoztatni,
· azt, hogy a személyes adatokat kizárólag az adatkezelő írásbeli utasításai szerint lehet kezelni, az Adatfeldolgozó ettől semmilyen esetben nem térhet el. Indokolt rögzíteni, hogy az adatkezelő vélelmezett célszerűtlen, szakszerűtlen utasítása esetén az Adatfeldolgozó köteles erre az adatkezelő figyelmét felhívni, és azt is, hogy mi az eljárás ilyen esetben (az adatkezelő kockázatára végrehajtja az utasítást, illetve milyen esetekben tagadhatja meg az utasítás végrehajtását), tovább milyen jogok illetik meg az Adatfeldolgozót, ha az adatkezelő a figyelemfelhívás ellenére is fenntartja az utasítását (végrehajtás megtagadása, felmondás, elállás).
· a megfelelő adatbiztonság vállalását (érdemes előre tisztázni – és a szerződésben rögzíteni -, hogy az adatbiztonsági intézkedések min alapulnak: saját dokumentált rendelkezéseken, magatartási kódexhez való csatlakozáson vagy tanúsításon). Az adatbiztonság megfelelősségét dokumentálni kell,
· azt, hogy további Adatfeldolgozó igénybevétele csak az adatkezelő ilyen irányú rendelkezése alapján lehetséges,
· érintetti jogok teljesítéséhez az adatkezelővel való együttműködés vállalása (indokolt eleve meghatározni, hogy az együttműködés során milyen tájékoztatási kötelezettségeket kell teljesíteni az Adatfeldolgozónak, és milyen konkrét technológiai feladatokat kell végrehajtania),
· Adatbiztonság biztosításában való együttműködés vállalása (indokolt eleve rögzíteni az Adatfeldolgozó által teendő technikai, szervezési intézkedéseket, eljárásokat, határidőket, felelősöket),
· Incidensek kezelésében való együttműködés vállalása (indokolt eleve rögzíteni az Adatfeldolgozó által teendő technikai, szervezési intézkedéseket, eljárásokat, határidőket, felelősöket),
· Adatvédelmi hatásvizsgálatban és előzetes konzultációban való együttműködés vállalása (indokolt eleve rögzíteni az Adatfeldolgozó által teendő technikai, szervezési intézkedéseket, eljárásokat, határidőket, felelősöket),
· Adatok törlésének vagy visszajuttatásának kötelezettsége (célszerű eleve rögzíteni azt, hogy a szerződés megszűnésekor az Adatfeldolgozó miként köteles eleget tenni az adatok visszajuttatási kötelezettségének, illetve a törlés vagy visszajuttatás miként kerüljön dokumentálásra – elszámoltathatóság elve),
· Adatfeldolgozói kötelezettségek igazolásához szükséges információk rendelkezésre bocsátásának vállalása,
· Ellenőrzési jog biztosítása, információk megadása és helyszíni vizsgálatok (indokolt eleve rögzíteni az adatkezelő – vagy az adatkezelő által megbízott ellenőr – által végzett auditok, helyszíni vizsgálatok kezdeményezésének, lefolytatásának szabályait),
· Tájékoztatási kötelezettségvállalás, ha az adatkezelő utasítása adatvédelmi jogot sért
· Az adatkezelő, illetve az Adatfeldolgozó kapcsolattartóit, elérhetőségeiket
VIII.5. Adatfeldolgozói tevékenység adatvédelmi ellenőrzése
Az Adatkezelőnek ellenőrizni kell az alábbiakat az adatfeldolgozást végzőnél:
a) Szerződéskötés előtt
o a szabályozottság megfelelőségét (nem csak Adatvédelmi Szabályzat, hanem folyamatszabályozások megfelelősége);
o a technikai, szervezési intézkedések, garanciák meglétét, megfelelőségét;
o az adatbiztonsági követelmények megfelelőségét;
o esetleges tanúsítások meglétét;
o az adatvédelmi tudatosságot biztosító protokollok meglétét
b) Szerződés fennállása alatt
o távolról történő ellenőrzés (jelentések, nyilatkozatok, kérdőívek formájában);
o helyszíni ellenőrzés;
o lejáratkor: adattörlés, adatok visszajuttatása (dokumentálás)
c) A már megkötött adatfeldolgozói szerződéseket folyamatosan kell a fenti szempontok szerint felülvizsgálat alá vonni.
VIII.6. Adatfeldolgozói nyilvántartás
Amennyiben a Társaság adatfeldolgozói feladatokat (is) ellát, és mint ilyen Adatfeldolgozónak (is) minősül, az adatkezelő nevében végzett adatkezelési tevékenységekről írásban (ideértve az elektronikus formátumot is) nyilvántartást kell vezetnie. A Nyilvántartást az első számú vezető vezeti.
A nyilvántartást a Felügyeleti hatóság részére – erre irányuló megkeresésre – rendelkezésre kell bocsátani
A nyilvántartásnak a következő információkat kell tartalmaznia:
· az Adatfeldolgozó neve és elérhetősége,
· az Adatfeldolgozó képviselőjének neve és elérhetősége,
· az Adatfeldolgozó adatvédelmi tisztviselőjének neve és elérhetősége, (amennyiben van ilyen)
· az adatkezelő neve és elérhetősége, akinek a nevében eljár,
· az adatkezelő képviselőjének neve és elérhetősége,
· az adatvédelmi tisztviselő elérhetőségei; (a Társaságnál nem kötelező az az adatvédelmi tisztviselő kijelölése, ennél fogva ez nem szerepel a tájékoztatóban),
· ha igénybe vett további Adatfeldolgozót, akkor annak, valamint képviselőjének, és – ha van – adatvédelmi tisztviselőjének neve és elérhetősége, (amennyiben van ilyen)
· az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái,
· harmadik országba vagy nemzetközi szervezet részére történő továbbítás esetén az ország vagy a nemzetközi szervezet azonosító adatai, és a továbbítás garanciáinak leírása,
· a technikai és szervezési intézkedések általános leírása.
IX.4. Eljárás egyéb esetben
Ha az adattovábbítás nem alapulhat
· a IX.1. pont szerinti megfelelőségi határozaton és
· a IX.2. pont szerinti megfelelő garanciákon sem, valamint
· a IX.3. pontban említett egyedi esetekre vonatkozó eltérések egyike sem alkalmazandó,
akkor a harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak abban az esetben történhet, ha
· az adattovábbítás nem ismétlődő,
· korlátozott számú érintettre vonatkozik,
· az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai,
· az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és
· e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében.
Az adatkezelőnek ebben az esetben tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról. Az adatkezelőnek – VI.2 és VI.3. pontban említett információk nyújtásán kívül az érintettet is tájékoztatnia kell az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.
X. Adatbiztonság
X.1. Az adatkezelés biztonsága
Az adatkezelőnek megfelelő technikai és szervezési intézkedésekkel a kockázat mértékének megfelelő szintű adatbiztonságot kell garantálnia. Az adatbiztonság megfelelő szintjét az alábbi körülmények figyelembevételével kell meghatározni:
· a tudomány és technológia állása;
· a megvalósítás költségei;
· az adatkezelés jellege, hatóköre, körülményei és céljai;
· a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatok.
A biztonság megfelelő szintjének meghatározásához az alábbi kockázatokat kell értékelni különösen: a kezelt személyes adatok
· véletlen vagy jogellenes megsemmisítéséből,
· elvesztéséből;
· megváltoztatásából;
· jogosulatlan nyilvánosságra hozatalából vagy
· az azokhoz való jogosulatlan hozzáférésből
eredő kockázatokat.
Ezen kockázatok minimalizálása érdekében az adatkezelőnek az alábbi technikai és szervezési intézkedéseket kell tennie:
· a személyes adatok álnevesítése és titkosítása;
· a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása;
· fizikai vagy műszaki incidens esetén az arra való képesség biztosítása, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
· a kockázatokhoz igazított elvárt adatbiztonsági szint meghatározása;
· kockázatok folyamatos értékelése, elemzése;
· a biztonsági intézkedések hatékonyságának rendszeres tesztelése, visszamérése, erre eljárás kidolgozása;
· adatbiztonsági intézkedések nyilvántartása;
· megfelelő adatbiztonság igazolása (magatartási kódex, tanúsítás útján is megtehető)
· beépített és alapértelmezett adatvédelme biztosítása;
· védelmet biztosító és a megfelelőséget igazoló intézkedések megtétele (megfelelő adatvédelmi szabályok kialakítása)
X.2. Adatvédelmi incidens
Adatvédelmi incidensnek minősül a GDPR szerint a biztonság olyan sérülése, amely a kezelt személyes adatok
· véletlen vagy jogellenes megsemmisítését;
· véletlen vagy jogellenes elvesztését;
· véletlen vagy jogellenes megváltoztatását;
· jogosulatlan közlését;
· az azokhoz való jogosulatlan hozzáférést eredményezi.
Adatvédelmi incidens észlelése esetén az a munkatárs, aki az incidenst észleli, haladéktalanul köteles azt a Társaság vezetője részére jelenteni.
A vezető a hozzá beérkezett információk alapján az adatvédelmi incidenst megvizsgálja, és döntést hoz, amely szerint:
a) az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, ezért nem kell bejelenteni a Felügyeleti hatóságnak; vagy
b) az adatvédelmi incidens valószínűsíthetően olyan fokú kockázattal jár, amely alapján az incidenst be kell jelenteni a Felügyeleti hatóságnak.
c) az adatvédelmi incidens valószínűsíthetően olyan magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, amely a Felügyeleti hatóságnak történő bejelentés mellett – igényli az érintettek késedelem nélküli tájékoztatását is.
Bejelentésre irányuló döntés esetén a bejelentést indokolatlan késedelem nélkül, de legkésőbb a tudomásra jutástól számított 72 órán belül kell megtenni. A „tudomásra jutás” megállapításához egy „ésszerű fokú bizonyosság” szükségeltetik: meg kell tudni állapítani, hogy a bekövetkezett incidens valószínűsíthetően jelent-e veszélyt, kockázatot a személyes adatokra nézve. Ennek megfelelően az ennek megállapításához szükséges rövid idejű kivizsgálás időtartama nem számít bele a 72 órába!!
A tudomásszerzés több forrásból történhet, pl.
· magától az érintettől
· esetleg a médiából
· az adatkezelő saját maga is rájöhet (pl. logelemzés)
· Adatfeldolgozó igénybevétele esetén magától az Adatfeldolgozótól. Az Adatfeldolgozónak indokolatlan késedelem nélkül kell bejelentést tenni az adatkezelő felé. Ennek tényét, az eljárás menetét az adatkezelési szerződésben rögzíteni kell.
A bejelentésnek az alábbiakat kell tartalmaznia:
· ismertetni kell az adatvédelmi incidens jellegét;
· az érintettek kategóriáit és hozzávetőleges számát;
· az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
· az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
· az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket;
· a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit.
Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Részinformációk is közölhetők, amennyiben a 72 órás határidőn belül nem áll minden információ rendelkezésre, de ez nem mentesít a későbbi információ-szolgáltatási kötelezettség alól, amelyet az információk beszerzését követően szintén haladéktalanul kell teljesíteni.
Az érintettek késedelem nélküli tájékoztatásának módjáról is a hatósági bejelentés kérdésében döntésre jogosult Társaság vezetője határoz.
Az adatkezelőnek az adatvédelmi incidensekről nyilvántartást kell vezetnie.
A bejelentés, illetve a nyilvántartás céljából jelentett adatok valóságáért, helyességéért és hiánytalanságáért az adatszolgáltatást teljesítő munkatárs tartozik felelősséggel.
XI. Adatvédelmi hatásvizsgálat
XI.1. Adatvédelmi hatásvizsgálat
Az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell végeznie arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik, ha az adatkezelés valamely (különösen új technológiákat alkalmazó) típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
Főszabály szerint adatkezelési műveletenként kell elvégezni, de egymáshoz hasonló típusú adatkezelési műveletek – amelyek egymáshoz hasonló magas kockázatokat jelentenek) -, egyetlen hatásvizsgálat keretei között is értékelhetők. Hasonló típusú az adatkezelési művelet, ha:
· ugyanazon célból,
· ugyanazon típusú adatkezelés történik,
· hasonló technológia mellett.
Ha az adatkezelő adatfeldolgozót is igénybe vesz, akkor a hatásvizsgálatot együtt kell elvégezni.
Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
· természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
· a személyes adatok különleges kategóriái kezelése; illetve
· nyilvános helyek nagymértékű, módszeres megfigyelése
Az Európai Adatvédelmi Testület (jogelődje: 29. cikk szerinti Munkacsoport WP 29.) kilenc mérlegelendő szempontot határoz meg annak eldöntéséhez, hogy mely esetekben kell kötelezően elvégezni a hatásvizsgálatot:
· Értékelés vagy pontozás, ideértve a profilalkotást is, amikor az adatkezelés célja, hogy az érintettek személyes jellemzőinek szisztematikus értékelése alapján megfelelő döntést lehessen hozni.
· Joghatással vagy más hasonló jelentős hatással járó automatikus döntéshozatal, amikor az adatkezelés pl. egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti;
· Módszeres megfigyelés, amikor az érintettek megfigyelése, nyomon követése vagy ellenőrzése céljából történik az adatkezelés;
· Személyes adatok különleges kategóriáinak kezelése;
· Nagy számban kezelt adatok: a GDPR nem határozza meg, hogy mi értendő nagy szám alatt, de az Európai Adatvédelmi Testület is csak általános szempontokat ad (Pl. az érintettek száma konkrét számadatként vagy a lakosság számának arányában; a kezelt adatok mennyisége, vagy adatfajták köre; az adatkezelési tevékenység időtartama vagy állandó jellege, földrajzi kitettsége). Ezek alapján ez valamennyi körülmény figyelembe vételével történő egyéni mérlegelés kérdése;
· Különböző célokból, illetve eltérő adatkezelők által kezelt adatok, adatkészletek egymásnak való megfeleltetése, összevonása;
· Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok kezelése (pl. gyermekek, munkavállalók, lakosság különleges védelmet igénylő, kiszolgáltatott helyzetben lévő rétegei – pl. fogyatékos személyek -; minden olyan eset, amikor az adatkezelő és az érintett között egyenlőtlen kapcsolat van);
· Új technológiai vagy szervezési megoldások használata: mindazon esetek, amikor a technológia elismert állásának megfelelő új technológia alkalmazására kerül sor;
· Mindazok az esetek, amikor az adatkezelés önmagában véve megakadályozza, hogy az érintettek a jogaikat gyakorolják, szolgáltatásokat vegyenek igénybe, vagy szerződésből eredő igényeiket érvényesítsék
· Bizonyos esetekben már egy vagy két szempontnak megfelelő adatkezelés esetében is szükség lehet hatásvizsgálatra. Minél több szempontban felel meg az adatkezelés, annál nagyobb a valószínűsége annak, hogy magas kockázattal jár az érintettek jogaira és szabadságaira nézve.
Az olyan adatkezelési műveletek típusainak a jegyzékét – amelyekre vonatkozóan adatvédelmi hatásvizsgálatot kell végezni – a Felügyeleti hatóság állítja össze és hozza nyilvánosságra. A felügyeleti hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.
A hatásvizsgálatnak legalább az alábbiakra kell kiterjednie:
· a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
· az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
· az érintett jogait és szabadságait érintő kockázatok vizsgálatára;
· a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a GDPR-ral való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
Az adatvédelmi hatásvizsgálat akkor van összhangban a GDPR rendelkezéseivel, ha
· módszeres leírás készült az adatfeldolgozásról;
· értékelésre került a szükségesség és az arányosság;
· az érintett jogait és szabadságait érintő kockázatok felmérésre kerültek, és ezen kockázatok orvoslására intézkedési terv született;
· az érdekeltek bevonásra kerültek
Az elfogadható adatvédelmi hatásvizsgálat szempontjaira és módszertanára nézve az Európai Adatvédelmi Testület WP248 számú Iránymutatása az irányadó.
Az adatkezelőnek adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – ki kell kérni az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.
Folyamatban lévő adatkezelések esetén, ha az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor a hatásvizsgálatot nem kell ismételten elvégezni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.
Az adatkezelőnek szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést kell lefolytatnia annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
XI.2. Előzetes konzultáció a Felügyeleti hatósággal
Ha a hatásvizsgálat azt állapítja meg, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő köteles konzultálni a Felügyeleti hatósággal.
Ha a Felügyeleti hatóság véleménye szerint a tervezett adatkezelés megsértené a GDPR előírásait – így különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a Felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül
· írásban tanácsot ad, továbbá
· gyakorolhatja a GDPR 58. cikkében említett hatásköreit.
Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A Felügyeleti hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a Felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.
Az adatkezelő a Felügyeleti hatósággal folytatott konzultáció során a Felügyeleti hatóságot tájékoztatja:
· az adatkezelésben részt vevő adatkezelő, közös adatkezelők és Adatfeldolgozók feladatköreiről;
· a tervezett adatkezelés céljairól és módjairól;
· az érintetteknek a GDPR értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;
· az adatvédelmi tisztviselő elérhetőségeiről; (amennyiben van ilyen)
· a lefolytatott adatvédelmi hatásvizsgálatról;
· a felügyeleti hatóság által kért minden egyéb információról.
XII. Az adatvédelem szervezete
XII.1. A Társaság jogai és kötelezettségei, felelőssége a Társaságot érintő adatvédelemben
A Társaság köteles az Adatvédelmi Szabályzat rendelkezéseit betartani. A Társaság vezetője ellátja az adatvédelmi tárgyú jogszabályokból és a jelen Szabályzatból eredő, adatvédelmi feladatokat.
XII.2. A Társaság vezetője
A Társaság szervezeti irányítását ellátó képviseletre jogosult vezető az alábbi feladatokat látja el különösen:
· meghozza az adatkezeléssel összefüggő szükséges döntéseket, valamint az érintettek jogainak biztosításában, megválaszolja a megkereséseket;
· ellenőrzi az adatkezelésre vonatkozó jogszabályok, az irányadó adatvédelmi szabályzat, valamint az egyéb, adatkezelési rendelkezéseket is tartalmazó szabályzatok rendelkezéseinek a megtartását;
· kivizsgálja a hozzá érkezett belső bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére intézkedéseket hoz, valamint felhívja az adatfeldolgozásért felelősök figyelmét a jogszerűtlen gyakorlat megszüntetésére;
· gondoskodik az Adatvédelmi Szabályzatot elkészítéséről és bevezetéséről;
· vezeti a jelen Szabályzat rendelkezései alapján feladatkörébe tartozó egyéb nyilvántartásokat (pl. incidenskezelési nyilvántartás);
· szükség esetén gondoskodik az adatvédelmi hatásvizsgálat elvégzéséről;
· kivizsgálja az adatvédelmi tárgyú panaszügyeket;
· gondoskodik az adatvédelmi ismeretek oktatásáról a Társaságon belül, és – ha nem ő végzi -, ellenőrzi annak megtartását;
· együttműködik a Felügyeleti hatósággal;
· adatkezelésekkel összefüggő ügyekben kapcsolattartó pontként szolgál a Felügyeleti hatóság felé;
XII.3. A Társaság dolgozói
A Társaság dolgozói a mindennapi munkájuk során az adatvédelemmel kapcsolatosan kötelesek:
· a tudomására jutott személyes adatok védelmét biztosítani,
· szabályokat megismerni és betartani,
· a vonatkozó oktatási anyagokat megismerni,
· tájékoztatást nyújtani az érintettek számára,
· a hozzájuk érkező érintetti megkereséseket, jogérvényesítési igényeket haladéktalanul továbbítani a Társaság vezetőjének,
· adatvédelmi incidens estén az incidens észlelését követően azonnal jelezni azt és annak körülményeit a Társaság vezetőjének, és közreműködni az incidens elhárításában, kárenyhítésben, részletes felderítésben.
XIII. Felügyeleti hatóság
A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam köteles létrehozni, illetve kijelölni egy vagy több független közhatalmi szervet (Felügyeleti hatóság), amely a GDPR alkalmazásának ellenőrzéséért felel. A Felügyeleti hatóságnak a szerepét Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tölti be. A Felügyeleti hatóság elősegíti a GDPR-nak az Unió egész területén történő egységes alkalmazását. A nemzeti felügyeleti hatóságok e célból együttműködnek egymással.
© 2023. Barta Csoport · Minden jog fenntartva
Weboldal: Impressive.hu
