Adatvédelmi tájékoztató

Adatvédelmi És Adatkezelési Szabályzat
2018.

Napra Forgó Nonprofit Közhasznú Zrt.

2030 Érd, Budai út 7/B
27915990-2-13
Képviseli: Aranyosi Imre vezérigazgató

Hatályos: 2018. május 02. nap-tól


TARTALOMJEGYZÉK

  1. A szabályzat célja
  2. Az adatvédelmi tisztviselő
  3. Értelmező rendelkezések
    1. Adatkezelő
    2. Adatkezelés
    3. Személyes adat
    4. Különleges adat
    5. Hozzájárulás
    6. Adatfeldolgozás
    7. Adatfeldolgozó
    8. Érintett
    9. Hatóság
  4. A szabályzat hatálya
  5. A személyes adatok kezelésének szabályai
    1. A személyes adatok kezelésének szabályai
    2. Az személyes adatok felhasználásának szabályai
    3. A személyes adatok tárolása, az adatbiztonság követelményének való megfelelés
    4. A személyes adatokhoz történő hozzáférés
    5. Az adatkezelés jogalapjai
    6. A szabályzat alapelvei
  6. Az érintett jogai
  7. Belső adatvédelmi nyilvántartás
  8. Adatvédelmi incidens
  9. Adatkezelési tevékenységek
  10. Adatfeldolgozók
  11. Adatbiztonság
  12. Egyéb rendelkezések


1. A szabályzat célja

Jelen szabályzat célja a Napra Forgó Nonprofit Közhasznú Zrt. (székhelye: 2030 érd, Budai út 7/b., adószáma: 27915990-2-13) (a továbbiakban társaság vagy vállalkozás) adatvédelmi és adatkezelési politikájának rögzítése a jogszabályokban meghatározott adatvédelmi és adatkezelési elvek figyelembevételével. Ezáltal a társaság üzletszerű működése során biztosított a társaság munkavállalóinak személyhez fűződő jogainak, különös tekintettel személyes adatok védelméhez való jogának tiszteletben tartása és az érintettek számára a vonatkozó adatkezelési szabályokról tájékoztatás nyújtása.

Jelen szabályzat célja továbbá az adatvédelmi és adatkezelési irányelvek meghatározása AZ EURÓPAI PARLAMENT és A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.), a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), továbbiakban „Rendelet” által meghatározott adatvédelmi és adatkezelési rendelkezések betartása alapján. Ezek érvényesítésével a vállalkozás valamennyi tevékenysége során biztosítja az érintettek személyes adatainak védelméhez való jogának tiszteletben tartását az érintettek személyes adatainak feldolgozása, illetőleg kezelése során.

2. Az adatvédelmi tisztviselő

Az adatvédelmi szabályzat elkészítése és folyamatos aktualizálása az adatvédelmi tisztviselő feladatkörébe tartozik. Az adatvédelmi tisztviselő gondoskodik a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartása iránt.

Az adatvédelmi tisztviselő

  • közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
  • kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
  • elkészíti és naprakészen tartja a belső adatvédelmi és adatbiztonsági szabályzatot;
  • vezeti a belső adatvédelmi nyilvántartást;
  • gondoskodik az adatvédelmi ismeretek oktatásáról.

Napra Forgó Nonprofit Közhasznú Zrt. adatkezelőnek minősül, és adatvédelmi tisztviselője: Péterváriné Deme Éva gazdasági igazgató

3. értelmező rendelkezések

Az összes irányadó fogalommeghatározást a Rendelet 4. cikke tartalmazza, ebből néhány fontosabb:

3.1. Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

3.2. Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

3.3. Személyes adat: azonosított vagy azonosítható természetes személyre („érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

3.4. Különleges adat:

a) faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

3.5. Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

3.7. Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; 3.8. érintett: azonosított vagy azonosítható természetes személyre („érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

3.9. Hatóság: a jogszabályban kijelölt, a GDPR 51. cikke szerinti meghatározott felügyeleti hatóság (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság).

4. A szabályzat hatálya

A szabályzat hatálya kiterjed:

  • természetes személyekre vonatkozó személyes adatok kezelésére (a Napra Forgó Nonprofit Közhasznú Zrt. határozott és határozatlan idejű munkaszerződéssel rendelkező munkavállalóira, egyszerűsített foglalkoztatásban alkalmazott munkavállalóira és megbízási szerződéssel együttműködő személyekre).
  • egyéni vállalkozót, egyéni céget, őstermelő ügyfelet, vevőt, szállítót e szabályzat értelmében természetes személynek kell tekinteni.

Hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

A jelen szabályzatban foglalt rendelkezések alkalmazandóak a hatálybalépéskor meglévő, azaz a társaság által már kezelt adatokra is.

5. A személyes adatok kezelésének szabályai, alapelvei

5.1. A személyes adatok kezelésének szabályai

Személyes adat akkor kezelhető, ha

  1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
  2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
  3. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  5. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  6. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.

Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

A munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

Különleges adatokra vonatkozó különös szabályok:

  1. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
  2. Az a) pont nem alkalmazandó abban az esetben, ha:
    • az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (a) pontban említett tilalom nem oldható fel az érintett hozzájárulásával;
    • az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
    • az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
    • az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
    • az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
    • az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
    • az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
    • az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a Rendelet 9. cikke (3) bekezdésben említett feltételekre és garanciákra figyelemmel;
    • az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
    • az adatkezelés a Rendelet 89. cikke (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő

5.2. A személyes adatok felhasználásának szabályai

Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

A munkáltató köteles a munkavállalót tájékoztatni személyes adatainak kezeléséről. A munkáltató a munkavállalóra vonatkozó tényt, adatot, véleményt harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet.

A munkaviszonyból származó kötelezettségek teljesítése céljából a munkáltató a munkavállaló személyes adatait - az adatszolgáltatás céljának megjelölésével, törvényben meghatározottak szerint - adatfeldolgozó számára átadhatja. Erről a munkavállalót előzetesen tájékoztatni kell. A munkavállalóra vonatkozó adatok statisztikai célra felhasználhatók és statisztikai célú felhasználásra - hozzájárulása nélkül, személyazonosításra alkalmatlan módon - átadhatók.

A munkáltatónál működő valamennyi adatfeldolgozó köteles a fenti adatvédelmi előírások betartására, illetőleg megtenni a szükséges intézkedéseket az adatvédelmi szabályok érvényesítése céljából.

5.3. A személyes adatok tárolása, az adatbiztonság követelményének való megfelelés

Az adatvédelmi tisztviselő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintett munkavállalók, megbízottak magánszférájának védelmét. Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Ennek céljából a személyes adatokat tartalmazó dokumentumokat zárható szekrényekben kell tárolni, mely szekrényeket zárva kell tartani. Fenti adatbiztonsági követelményeknek megfelel a mechanikus zárszerkezettel, vagy elektronikus berendezéssel biztosított ajtóval rendelkező, személyes adattárolás céljából kialakított helyiség használata űgy, hogy a helyiség ajtaját ki-és belépés idejét kivéve az elektronikus berendezés vagy mechanikus zár használata mellett zárva kell tartani.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással a társaság biztosítja, hogy a nyilvántartásokban tárolt adatok — kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők. A társaság biztosítja a személyes adatok elektronikus kezelése, feldolgozása során azt, hogy a tárolt adatokhoz illetéktelen személyek ne férjenek hozzá, illetőleg azt, hogy üzemzavar esetén a tárolt adatok helyreállíthatóak legyenek.

5.4. A személyes adatokhoz történő hozzáférés

A személyes adatokat tartalmazó papír alapú dokumentumokat, illetőleg elektronikusan tárolt személyes adatokat kizárólag a hozzáférési jogosultsággal rendelkező adatkezelő, illetve az adatfeldolgozói minőségben eljáró személyek ismerhetik meg, meghatározott terjedelemben és tevékenység végzéséhez szükséges mértékben.

A hozzáférési jogosultság dokumentációja az alábbiakat tartalmazza:

  • Az adatfeldolgozó neve, munkaköre, szervezeti egység,
  • Az adatfeldolgozóhoz rendelt adatkör megnevezése,
  • Az adatfeldolgozás célja.

A személyes adatok nyilvánosságra hozatala tilos, kivéve, ha az érintetett arra kifejezett akaratnyilatkozatával felhatalmazást ad, illetve törvényi rendelkezés esetén.

Az adatfeldolgozók felsorolását a belső adatvédelmi nyilvántartás tartalmazza.

5.5 Az adatkezelés jogalapjai

Személyes adatokat akkor lehet kezelni, ha van valamilyen jogalap a kezelésükre, alábbiak a Rendelet szerint:

  1. az érintett hozzájárulása,
  2. szerződés teljesítése,
  3. az adatkezelőre vonatkozó jogi kötelezettség teljesítése,
  4. az érintett személy létfontosságú érdekeinek védelme,
  5. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében történik,
  6. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

5.6 A szabályzat alapelvei:

  1. személyes adat kizárólag meghatározott célból, jog gyakorlása, illetve kötelezettség teljesítése érdekében kezelhető, így csak olyan adat kezelhető, amely a cél elérésére alkalmas, ezáltal csak a cél eléréshez szükséges mértékben, és ideig
  2. az adatkezelés minden szakaszában megfelel a célnak
  3. az adatok felvétele és kezelése tisztességes és törvényes

A vállalkozás által kezelt személyes adatokat székhelyén tárolja papír alapon, illetve elektronikus állomány formájában, az adatbiztonságra vonatkozó jogszabályi előírások figyelembevételével.

6. Az érintett jogai

Az érintett kérelmezheti és érvényesítheti az adatkezelőnél:

a) tájékoztatását személyes adatai kezeléséről - Megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az adatkezelő az adatkezelés lényeges szempontjairól. A tájékoztatásnak lehetőleg már a személyes adatok felvétele, vagyis az adatkezelés előtt meg kell történnie. Ha erre nincs mód, úgy az első lehetséges időpontban,

Rendelkezésre bocsátandó információk:

  1. az adatkezelő és elérhetősége,
  2. a személyes adatok kezelésének célja,
  3. az adatkezelés jogalapja,
  4. a Rendelet 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei,
  5. személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen,
  6. a személyes adatok tárolásának időtartamáról,
  7. az érintett azon jogairól,
  8. köteles-e a személyes adatokat megadni, és hogy milyen lehetséges következményekkel járhat az ennek elmaradása,
  9. a Rendelet 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

A fentieket nem kell alkalmazni, ha és amilyen mértékben az érintett:

  1. már rendelkezik az információkkal,
  2. az információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelnek
  3. az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik,
  4. a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

b) hozzáférésről információ — A magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik. Amennyiben az érintett tájékoztatást kér személyes adatai kezeléséről, az adatkezelő a tájékoztatást legfeljebb 30 napon belül közérthető formában köteles megadni.

Rendelkezésre bocsátandó információk:

  1. az adatkezelés célja,
  2. a személyes adatok kategóriái;
  3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a nemzetközi szervezeteket;
  4. a személyes adatok tárolásának időtartama,
  5. az érintett azon jogai,
  6. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó információ

Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát köteles az érintett rendelkezésére bocsátani, amennyiben kéri. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

c) személyes adatainak helyesbítését — Az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre. Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő indokolatlan késedelem nélkül helyesbíti.

d) személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását — Az érintett bármikor kérheti adatai törlését, amelyet az adatkezelő indokolatlan késedelem nélkül megtesz. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek.

Késedelem nélküli törlés abban az esetben történhet, ha az alábbi indokok valamelyike fennáll:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy kezelték,
  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, továbbá más jogalapja az adatkezelésnek már nincs,
  3. az érintett a tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
  4. üzletszerzés érdekében történő személyes adatkezelésre hivatkozva tiltakozik,
  5. az adatait jogellenesen kezelték;

Nem törölhető, amennyiben az adatkezelés szükséges:

  1. a véleménynyilvánítás szabadságához,
  2. a tájékozódáshoz való jog gyakorlása céljából,
  3. a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából,
  4. a Rendelet 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést;
  5. a Rendelet 9. cikk (2) bekezdése h) és i) pontjának, valamint a rendelet 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján,
  6. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

e) személyes adatainak kezelésének korlátozását — Bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását — például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges mát; de az érintett azt mégis szeretné. A korlátozás esetleges feloldásáról az érintett előzetesen értesítést kap.

Az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. az adatok pontosságának ténye nem áll fenn, így a korlátozás arra az időtartamra vonatkozik, amíg az adatkezelő ellenőrzi annak pontosságát,
  2. az adatkezelés jogellenessége felmerül, de az érintett ellenzi az adatok törlését, ehelyett kéri a korlátozást,
  3. már nincs szüksége az adatokra adatkezelés céljából, de az érintett igényli azokat jogi okokból,

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

f) adatainak hordozhatóságát — Az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő.

Ez a jog nem érintheti hátrányosan mások jogait és szabadságait.

g) automatizált döntéshozatal alóli mentesség joga - az érintett jogosult kérni, hogy ne terjedjen ki rá a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják, és ez a döntés rá nézve joghatássaljárna, jelentős mértékben érintené.

Nem teljesíthető a kérés abban az esetben, ha a döntés:

  1. a szerződés megkötése vagy teljesítése érdekében szükséges,
  2. meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít,
  3. csak az érintett kifejezett hozzájárulásán alapul és nincs más alapja.

h) panasztételhez és jogorvoslathoz való joga — az érintett jogosult panaszt tenni a felügyeleti hatóságnál, amennyiben megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.

Panasztételhez való jogát az érintett az alábbi elérhetőségeken gyakorolhatja: Nemzeti Adatvédelmi és Információszabadság Hatóság Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c. Telefon: +36 (1) 391-1400, Fax: +36 (1) 391-1410, weboldal: http://www.naih.hu, e-mail: ugyfelszolgalat@naih.hu

i) tiltakozhat személyes adatainak meghatározott okból való kezelése ellen - az érintett bármikor tiltakozhat személyes adatainak kezelése ellen, saját helyzetével kapcsolatos meghatározott okból kifolyólag, amennyiben bizonyítható, hogy az adatkezelést nem írja elő olyan kényszerítő erejű jogos okok, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságával szemben, illetve egyéb jogi okok sem merülnek fel

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett bármikor tiltakozhat az adatainak e célból történő kezelése ellen, így a továbbiakban e célból nem kezelhetők.

Erre a jogra való felhívást és tájékoztatást kötelező egyértelműen és elkülönítve más információktól megjeleníteni

j) korlátozások

Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a Rendelet 12—22. cikkében és a 34. cikkében foglalt, valamint a 12—22. cikkeiben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

  1. nemzetbiztonság;
  2. honvédelem;
  3. közbiztonság;
  4. bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
  5. az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
  6. a bírói függetlenség és a bírósági eljárások védelme;
  7. a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
  8. az a)—e) és a g) pontban említett esetekben — akár alkalmanként — a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
  9. az érintett védelme vagy mások jogainak és szabadságainak védelme;
  10. polgári jogi követelések érvényesítése.

Az említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

  1. az adatkezelés céljaira vagy az adatkezelés kategóriáira,
  2. a személyes adatok kategóriáira,
  3. a bevezetett korlátozások hatályára,
  4. a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
  5. az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,
  6. az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
  7. az érintettek jogait és szabadságait érintő kockázatokra, és
  8. az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.

k) Adatvédelmi incidensről való tájékoztatás — az érintettet késedelem nélkül kötelező tájékoztatni az adatvédelmi incidensről, amennyiben magas kockázattal jár a jogaira és szabadságára nézve.

A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, fel kell tüntetni a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, az adatvédelmi incidensből eredő, valószínűsíthető következményeket, az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az érintettet nem kell értesíteni, amennyiben a következő feltételek bármelyike teljesül:

  1. megfelelő technikai és szervezési védelmi intézkedéseket hajtottak végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket — mint például a titkosítás alkalmazása — amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. olyan további intézkedéseket tettek, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentő magas kockázat a továbbiakban valószínűsíthetően nem áll fenn;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé, ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

7. Belső adatvédelmi nyilvántartás

A belső adatvédelmi nyilvántartás tartalmazza:

  • vállalkozás alapinformációit
  • a kezelt, illetőleg továbbított személyes adatok körének meghatározását,
  • a belső adatvédelmi ellenőrzések terveit, az adatvédelmi ellenőrzésekről készített jelentéseket,
  • a kezelt személyes adatok továbbításának időpontját, jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását,
  • adatvagyon leltárt
  • szükség esetén adatvédelmi hatásvizsgálatot,
  • adatvédelmi incidenseket, amennyiben voltak és ezek kiküszöbölésére tett intézkedések körét
  • adatfeldolgozókat

A belső adatvédelmi nyilvántartás vezetése az adatvédelmi tisztviselő feladatkörébe tartozik.

8. Adatvédelmi incidens

Az adatvédelmi incidens GDPR szerinti fogalma: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A kezelt adatokkal kapcsolatos jogsértéseket az adatkezelőnek kell bejelentenie 72 órán belül a Nemzeti Adatvédelmi és Információszabadság Hatóság részére. Abban az esetben nem kell bejelentést tenni, ha valószínűleg alacsony kockázattal jár az incidens.

Az adatvédelmi incidensekkel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartás készül, amely a belső adatvédelmi nyilvántartás része. A nyilvántartás tartalmazza az adatvédelmi incidenseket, feltüntetve az incidensekhez kapcsolódó tényeket, azok hatásait, valamint a megoldásukra tett intézkedéseket.

10. Adatfeldolgozás

A Napra Forgó Nonprofit Zrt. által kezelt személyes adatok körében megbízott külső adatfeldolgozót vesz igénybe a következő feladatok ellátása céljából:

  • számviteli-bérszámfejtési, és tb kifizetőhelyi ügyintézés (Economic Mentor Kft.)
  • webtárhely és e-mail szolgáltatás (BlazeArts Kft.)

Az adatfeldolgozók felsorolását a belső adatvédelmi szabályzat tartalmazza.

Az adatfeldolgozó személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg.

Az adatfeldolgozó tevékenysége során az adatkezelésre vonatkozó érdemi döntés meghozatalára kompetenciával nem rendelkezik, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

Az adatfeldolgozó részére az adatkezelési műveletek tárgyában adott utasítások jogszerűségéért az adatkezelő felel. Az érintettek az adatfeldolgozó személyéről, az adatfeldolgozás helyéről tájékoztatásban részesülnek. Az adatkezelő az adatfeldolgozónak további adatfeldolgozó igénybevételére felhatalmazást nem ad. Az adatfeldolgozásra vonatkozóan írásos szerződés kötelező. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

11. Adatbiztonság

A Napra Forgó Nonprofit Közhasznú Zrt.

  • személyes adatot csak a jelen szabályzatban rögzítettekkel összhangban, az adatkezelés célja érdekében kezelhet;
  • az adatok biztonságát garantálja, kötelezettséget vállal, hogy megtesz minden olyan, a jelen pontban felsorolt technikai és szervezeti intézkedést, amelyek feltétlenül szükségesek az adatbiztonságra vonatkozó jogszabályok, adat- és titokvédelmi szabályok betartásához.

A kötelező intézkedések köre:

  1. a személyes adatok álnevesítése és titkosítása;
  2. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képességének fennállása;
  3. fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  4. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás alkalmazása.

Az adatok védelme megfelelő intézkedésekkel van biztosítva, azaz védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A kezelt adatokat az irányadó jogszabályoknak megfelelően vannak nyilvántartva, biztosítva van, hogy az adatokat csak azok a munkavállalók, és egyéb ehhez kapcsolódó érdekből eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében elengedhetetlenül szükségük van.

Az egyes adatkezelési tevékenység során megadott személyes adatok a többi adattól elkülönítetten vannak tárolva, azzal a céllal, hogy - összhangban a fenti rendelkezéssel - az elkülönített adatállományokat kizárólag a megfelelő hozzáférési jogosultsággal rendelkező munkavállalók ismerhessék meg.

A vezetők, és a kompetens munkavállalók a személyes adatokat harmadik személynek nem továbbíthatják, a jogosulatlan hozzáférés kizárása érdekében, ehhez a szükséges intézkedéseket bevezették.

Azon munkavállalókat, akik hozzáférnek a kezelt személyes adatkörökhöz, titoktartási kötelezettség terheli.

Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor figyelembe kell venni a technika mindenkori fejlettségét, illetve több lehetséges adatkezelési megoldás esetén a személyes adatok magasabb szintű védelmét biztosító megoldást kötelező választani, kivéve, ha az aránytalan nehézséget jelentene.

Az informatikai védelem (adatbiztonság) érdekében kötelező előírások:

  1. a helyi hálózatot el kell látni bekonfigurált tűzfallal, illetve a használt eszközökre valós idejű vírusvédelmi szoftvert kell alkalmazni,
  2. az informatikai rendszer hardver eszközeinek fizikai védelmét biztosítani kell, beleértve az elemi károk elleni védelmet,
  3. az informatikai rendszer jogosulatlan hozzáférés elleni védelméről, mind a szoftver mind a hardver eszközök tekintetében gondoskodni kell,
  4. az adatállományok helyreállításához szükséges, rendszeres biztonsági mentést kötelező végrehajtani, továbbá a biztonsági másolatok elkülönített kezelését és biztonságát garantálni kell.

A papíralapú nyilvántartások védelme érdekében kötelező előírások:

  1. a fizikai védelmet biztosítani kell (pl. tűzvédelem);
  2. biztonsági előírásokat alkalmazni kell (pl. illetéktelen személyek ne tekinthessenek bele).

Az adatkezelő az általa használt személyes adatokat is tartalmazó adathordozókat, függetlenül az adatok rögzítésének módjától, köteles biztonságosan őrizni, és védeni a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen


12. Egyéb rendelkezések

A vállalkozás képviselője köteles valamennyi munkavállalója felé ismertetni jelen szabályzat rendelkezéseit.

A vállalkozás képviselője köteles gondoskodni arról, hogy valamennyi munkavállaló betartsa jelen szabályzatban foglalt rendelkezéseket. E célból, a szabályzat elkészültével egyidejűleg, az előírja a munkavállalókkal kötött munkaszerződések olyan tárgyú módosítását, amely a munkavállaló kötelezettségvállalását rögzíti jelen szabályzat betartása és érvényesítése érdekében.

Jelen szabályzat megállapítására, illetőleg módosítására a vállalkozás képviselője jogosult, az adatvédelmi tisztviselővel történő konzultációt követően.