2. Szabályok, bevezető rendelkezések

1.3. Törvényi hivatkozások

2.1. A rendelkezés célja

2.2. A szabályzat hatálya

2.3. Fogalmak

Neve:	JAMINAGRO Kft.
Székhelye:	5600 Békéscsaba, Győry utca 20.
Levelezési cím:	5600 Békéscsaba, Győry utca 20.
Telefonszám:	+36 30 278 9702
E-mail cím:	pribelszkipeter@gmail.com
Jogállása:	teljes jogkörrel rendelkező, önállóan gazdálkodó jogi személy

1993. évi XCIII. törvény a munkavédelemről
1995. évi CXVII. törvény-a személyi jövedelemadóról
1995. évi CXIX. törvény (DMtv.) a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről
1997. évi LXXX. törvény (TBtv) – a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről
2001. évi CVIII. törvény (Ekertv.) – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
2005. évi LIII. törvény – az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28-án kelt Egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló, Strasbourgban, 2001. november 8-án kelt Kiegészítő Jegyzőkönyve kihirdetéséről a gépi adatkezelés feltételeiről és egyes korlátairól
2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól
2008. évi XLVIII. törvény (Grtv.) – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
2011. évi CXII. törvény (Infotv.) az információs önrendelkezési jogról és az információszabadságról
2011. évi CXCI. törvény a megváltozott munkaképességű személyek ellátásairól és egyes törvények módosításáról
2012. évi I. törvény – a munka törvénykönyvéről
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) (GDPR)

A szabályzat célja, hogy meghatározza az Adatkezelő tevékenységéhez kapcsolódó személyes adatok kezelésének feltételeit és céljait, támogassa az adatalanyok magánszférájának tiszteletben tartását és az adatvédelmet.

Időbeli hatály: Jelen rendelkezés a kiadása napján lép hatályba és visszavonásig érvényes. Felülvizsgálatát az adatkezelés körülményeiben beállt lényeges változás után, de legalább 3 évente el kell végezni. Különös figyelemmel kell kezelni az adatvédelmi területen hatályba lépő jogszabályokra történő felkészülést.

Személyi hatály: a szabályzat személyi hatálya kiterjed az Adatkezelőre és annak munkavállalóira, illetve mindazokra, akik a munkavégzésük során kapcsolatba kerülnek az Adatkezelő által kezelt személyes adatokkal, valamint az Adatkezelő részére adatfeldolgozó tevékenységet végző szerződéses partnerekre, függetlenül az adatkezelés/adatfeldolgozás céljától és módjától.

Tárgyi hatály: a szabályzat tárgyi hatálya kiterjed minden, az adatkezelés/adatfeldolgozás során felhasznált tárgyi eszközre, függetlenül annak üzemelési helyétől.

Területi hatály: a szabályzat területi hatálya kiterjed azokra az Adatkezelő helyiségekre és külső helyszínekre, ahol adatkezelés/adatfeldolgozás folyik

Az érintett jogainak érvényesítésével kapcsolatos nyilvántartás

Sorszám

Adatkezelés sorszáma

megkeresés ideje

érintett neve

megkeresés tárgya

tett intézkedés

megjegyzés

adatbiztonság:	bármilyen tárgyú, bármilyen formában tárolt adatok fizikai védelme megsemmisülés, illetéktelen hozzáférés, adathiba, vagy jogosulatlan megváltoztatás ellen
adatfeldolgozó:	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
adatkezelés:	a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
adatkezelő:	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
adatkezelés korlátozása:	a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából; (csak adattárolás)
adatmegsemmisítés:	az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése
adattörlés:	az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges
adattovábbítás:	az adat meghatározott harmadik fél számára hozzáférhetővé tétele
adatvédelem:	személyes adatok jogszerűtlen kezelésének megakadályozása, a magánszféra védelme
adatvédelmi incidens:	személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés
biometrikus adat:	egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
bizalmasság:	az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról
címzett:	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.
egészségügyi adat:	egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
érintett:	bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
harmadik fél:	az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
harmadik ország:	minden olyan állam, amely nem EGT-állam
hozzájárulás	az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
különleges adat:	A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok
nyilvántartási rendszer:	a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
statisztikai adat:	a személyes adatok feldolgozása olyan módon – pl.: statisztikai módszerekkel -, hogy az adattörlésre vonatkozó rendelkezések érvényesülnek, azaz az egyes személyekkel minden kapcsolatuk megszakadt, és ez a kapcsolat nem is állítható helyre
rendelkezésre állás:	annak biztosítása, hogy a szükséges adat a szükséges időben az arra jogosultak számára az általuk elvárt formában hozzáférhető, elérhető legyen
sértetlenség:	az adat létének, hitelességének, épségének, önmagában teljességének kritériuma
személyes adat:	azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
nyilvánosságra hozatal:	az adat bárki számára hozzáférhetővé tétele
tiltakozás:	az érintett nyilatkozata. amelyben él a jogosultságával, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Érintett jogai és azok érvényesítése
- Általános szabályok
Az Adatkezelő az adatkezeléssel kapcsolatos tájékoztatást, elérhetőségét nyilvánosságra hozza minden formanyomtatványon, melyben az ügyfél nyilatkozatot tesz, illetve a saját internetes honlapján.
Az Adatkezelő elősegíti az érintett jogainak a gyakorlását.
Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelme alapján hozott intézkedésekről.
A kérelem összetettsége és a kérelmek száma esetén ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
Amennyiben elektronikus úton érkezett a kérelem, az Adatkezelő a tájékoztatást lehetőség szerint elektronikus úton adja meg, kivéve, ha az érintett azt másként kéri.
Az Adatkezelő, amennyiben nem tesz intézkedéseket az érintett kérelme követően, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az érintett tájékoztatását és a szükséges intézkedést díjmentesen kell biztosítani.
Az Adatkezelő, amennyiben az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adminisztratív költségekre tekintettel észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
Az adatkezelőt terheli a kérelem egyértelműen megalapozatlan, vagy túlzó jellegének bizonyítása
A kérelmeket az érintett, valamint meghatalmazottja terjesztheti elő. A kérelem kezelésének feltétele, hogy a meghatalmazott által beadott írásbeli kérelem esetén a tájékoztatás kérése teljes bizonyító erejű magánokiratban érkezzen és abból a meghatalmazotti jogosultság megállapítható legyen, valamint az érintett a személyazonosságát, illetve a meghatalmazott a meghatalmazotti jogosultságát hitelt érdemlően igazolja.
Az Adatkezelő az előzetes tájékoztatást és a kérelmekre adott választ az érintett kérésnek, vagy a helyzetnek megfelelő formában, ennek hiányában – lehetőség szerint – elektronikus úton adja meg. (pl. álláspályázókat tájékoztatja az elutasításról is a tájékoztató elektronikus elérhetőségét megjelölve)

Az érintett előzetes tájékoztatása tőle beszerzett adatok esetén

Az Adatkezelő az adatkezelés megkezdése előtt tájékoztatja az érintettet, amely tartalmazza az alábbiakat:

az Adatkezelő kapcsolattartójának elérhetőségeit;
a személyes adatok tervezett kezelésének célját, valamint az adatkezelés jogalapját;
jogos érdeken alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeit;
adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
az Adatkezelő harmadik országba történő adattovábbítását és a szükséges garanciákat (a 46. cikkben, a 47. cikkben vagy a 49. cikk)
a személyes adatok tárolásának időtartamát, vagy ezen időtartam meghatározásának szempontjait;
az érintett azon jogát, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen
az érintett adathordozhatósághoz való jogát;
hozzájáruláson alapuló adatkezelésnél, az érintett jogát a hozzájárulás bármely időpontban történő visszavonásához, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
a felügyeleti hatósághoz címzett panasz benyújtásának jogát;
azt a körülményt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul, vagy szerződés kötésének előfeltétele-e, illetve az érintett köteles-e a személyes adatokat megadni, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
automatizált döntéshozatal esetén ennek tényét, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozóan érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

Az érintett tájékoztatása nem tőle beszerzett adatok esetén

Amennyiben az Adatkezelő a személyes adatokat nem az érintettől szerezte be:

a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával;
ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor

tájékoztatja az érintettet:

az adatkezelő és az adatvédelmi tisztviselő elérhetőségeit;
a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapját;
amennyiben az adatkezelés jogos érdeken alapul az adatkezelő vagy harmadik fél jogos érdekeit;
az érintett személyes adatok kategóriáit;
a személyes adatok címzettjeit, illetve a címzettek kategóriáit;
harmadik országbeli címzett esetén a megfelelő garanciákat;
a személyes adatok tárolásának időtartamát, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait;
az érintett személyes adataihoz való hozzáférésének, azok helyesbítésének, törlésének vagy kezelés korlátozásának, és tiltakozásának, valami az adathordozhatósághoz való jogát;
hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
felügyeleti hatósághoz címzett panasz benyújtásának jogát;
automatizált döntéshozatal tényét, ideértve a profilalkotást

érintő érdemi körülményekről.

Amennyiben az Adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

Nem kell az Adatkezelőnek tájékoztatni az érintettet, ha és amilyen mértékben:

az érintett már rendelkezik az információkkal;
az adat megszerzését, vagy közlését kifejezetten előírja az Adatkezelőre vonatkozó jogszabály.

Az érintett hozzáférési joga (kérelmére tájékoztatás)

Az érintett az Adatkezelőtől (Adatfeldolgozótól) tájékoztatást kérhet a személyes adatai kezelése kapcsán az adatkezelés lényeges körülményeiről, mint:

az adatkezelés céljai;
az érintett személyes adatok kategóriái;
azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
az érintett jogát, hogy kérheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
felügyeleti hatósághoz címzett panasz benyújtásának jogát;
ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
automatizált döntéshozatal ténye, ideértve a profilalkotást is, az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

Az érintett kérelme személyes adatainak helyesbítésére

Az Adatkezelő biztosítja annak a lehetőségét, hogy az érintett a személyes adatait – pontosítás céljából – helyesbítse, javítsa vagy módosítsa.

Ha az érintett kérelmében megjelölt személyes adat a valóságnak nem felel meg és a valóságnak megfelelő személyes adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő ez alapján helyesbíti.

Az érintett személyes adatainak törlése

Az érintett kérheti adatainak haladéktalan törlését az Adatkezelőtől amennyiben

a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; (az adatkezelés célja megvalósult)
az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
a személyes adatokat jogellenesen kezelték;
a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.

Az Adatkezelő az általa nyilvánosságra hozott személyes adatot törli, az elérhető technológia és a megvalósítás költségeinek figyelembevételével.

Az Adatkezelő lehetőségeihez mérten intézkedik annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. (Elfeledtetéshez való jog.)

Az Adatkezelő nem törli az adatokat amennyiben az adatkezelés:

a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó jogszabályi kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
létfontosságú érdekből, a népegészségügy területét érintő közérdek alapján;
a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból,
jogi igények előterjesztéséhez, érvényesítése, illetve védelme érdekében

történt.

Az adatkezelés korlátozása

Az érintett kérheti az alábbi esetekben, hogy az Adatkezelő korlátozza az adatkezelést:

az érintett vitatja a személyes adatok pontosságát, ilyen esetben a korlátozás az adatkezelő által történő ellenőrzés idejére terjed ki;
az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését;
az adatkezelőnek már nincs szüksége a személyes adatokra, de az érintett igényli azokat a saját jogi igényei előterjesztéséhez, érvényesítéséhez vagy védelméhez;
az érintett tiltakozott az adatkezelés ellen, ilyen esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Amennyiben az érintett kérte személyes adatai kezelésének korlátozását, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekéből lehet kezelni.

Az Adatkezelő az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatvédelmi tisztviselő feladata, hogy értesítse a helyesbítés, a korlátozás és a törlés végrehajtásártól az érintettet, továbbá minden olyan címzettet, akiknek korábban az adatok adatkezelés céljára továbbításra kerültek. Az érintett kérheti, hogy az Adatkezelő tájékoztassa e címzettekről.

Az értesítés mellőzhető, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.

Az érintett adathordozhatósághoz való joga

Az érintett kérheti a hozzájáruláson vagy a szerződésen alapuló, és automatizált módon történő adatkezelés esetén, hogy az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, jogosult arra is, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását.

Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

Az érintett tiltakozása

Az érintett tiltakozhat személyes adatainak kezelése ellen, amennyiben a közhatalmi feladatok ellátása, vagy jogos érdeken alapul. (a profilalkotás is)

Az érintett tiltakozása esetén az Adatkezelő a személyes adatokat törli, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Az érintett jogai automatizált döntéshozatal során

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

Kivétel, ha a döntés:

az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges
meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé
az érintett kifejezett hozzájárulásán alapul

Ezekben az esetekben az érintett kérheti, hogy az adatkezelő részéről emberi beavatkozás történjen, álláspontját kifejezhesse, és a döntéssel szemben kifogást nyújthasson be.

Az érintett kérelmének kezelése és nyilvántartása

Az érintett kérelmének elbírálását az általános feltételekben leírtak szerint elvégzi az Adatkezelő. Az Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy korlátozásról, akivel az adatokat közölték. Az érintetti kérelmeket nyilvántartja az Adatkezelő (1.sz. függelék)

Az érintett jogorvoslati lehetőségeinek kezelése (NAIH vizsgálat, bírósági jogérvényesítés, kártérítési igények kezelése)

Az érintett személyes adatai kezelésével kapcsolatos vélt jogsérelem esetén az illetékes törvényszékhez fordulhat, vagy vizsgálatot kezdeményezhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.

Ezekben az esetekben az Adatkezelőnek feladata a hatósági vizsgálat, illetve a bírósági tárgyalások során a saját jogkövető magatartását bizonyítani.

A bizonyítási eljáráshoz az Adatkezelőnek minden lényeges információt, szabályzatot, naplóbejegyzést a jogi képviselő rendelkezésére kell bocsátani. A feladatoklat az adatvédelmi tisztviselő koordinálja.

Elmarasztaló bírósági ítélet esetén az Adatkezelő vezetője munkajogi illetve polgári jogi eljárást indíthat a vétő munkavállaló, adatfeldolgozó végző ellen.

Elhunytak adataival kapcsolatos jogok

Az elhunytakat megillető érintetti jogok, az érintett halálát követő öt éven belül a következőképpen gyakorolhatók.

Az elhalt még életében nyilatkozott

Az érintett által utoljára tett ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal történő meghatalmazás esetén a meghatalmazott személy élhet az érintettet megillető jogokkal az alábbiak szerint:

– hozzáférési jog,

– helyesbítéshez való jog,

– törléshez való jog,

– adatkezelés korlátázásához való jog,

– tiltakozáshoz való jog.

Az elhalt életében nem tett nyilatkozatot

A Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult élni:

– a helyesbítéshez való joggal, vagy

– a tiltakozáshoz való joggal.

Jogellenes adatkezelés

Amennyiben az adatkezelés már az érintett életében is jogellenes volt, vagy az adatkezelés célja az érintett halálával megszűnt az Érinett Ptk szerinti közeli hozzátartozója az érintett halálát követő öt éven belül élhet:

– a törléshez való jogával, vagy

– az adatkezelés korlátázásához való jogával.

Az érintett jogait érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát közokirattal kell igazolnia.

Az Adatkezelő kérelemre tájékoztatja az érintett Polgári Törvénykönyv szerinti közeli hozzátartozó a megtett intézkedésekről, kivéve, ha azt az érintett nyilatkozatában ezt megtiltotta.

Adatok kezelésének alapvető feltételei

Az adatkezelések célja

A személyes adatok kezelése esetén egyértelműen kell meghatározni az adatkezelés jogszerű célját.

Az adatkezelés jogalapja

Az adatkezelések csak megfelelő jogalappal végezhetők.

Ezek a következők lehetnek:

az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Különös figyelemmel kell kezelni az érdekmérlegelésen alapuló adatkezeléseket. Ilyen esetben el kell végezni és megismerhetővé kell tenni az érdekmérlegelési tesztet.

Az érdekmérlegelési teszt során a következő lépéseket kell megtenni:

A tervezett adatkezelés megkezdése előtt át kell tekinteni, hogy az adatkezelési cél elérése érdekében feltétlenül szükséges-e személyes adat kezelése, állnak-e rendelkezésre olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél.
A lehető legpontosabban meg kell meghatározni az Adatkezelő, jogos érdekét.
Meg kell határozni az adatkezelés pontos célját, valamint meg kell állapítani, hogy a jogos érdek meddig igényli az adat kezelését.
Meg kell határozni az érintett érdekeit az adott adatkezelés vonatkozásában.
Meg kell határozni, hogy miért korlátozza arányosan az Adatkezelő jogos érdeke az érintett személyek jogait és szabadságait.

Az adatkezelés időtartama

A személyes adatokat az egyes adatkezelések esetében a cél megvalósulásáig, illetve meghatározott ideig lehet megőrizni.

A megőrzés időtartama nem lehet ellentétben az iratkezelési szabályzatban meghatározott őrzési idővel.

A személyes adatok kezelésének alapelvei

Az Adatkezelő az adatkezelés folyamataiban érvényesíti a következő alapelveket:

Jogszerűség, tisztességes eljárás és átláthatóság:

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi.

Célhoz kötöttség:

A személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból folytatja, azokat nem kezeli a célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

Adattakarékosság:

Az Adatkezelő csak az adatkezelés céljai szempontjából megfelelő, releváns és szükséges személyes adatokat kezel.

Pontosság:

A Adatkezelő minden észszerű intézkedést megtesz annak érdekében, hogy a kezelt személyes adatok pontosak, szükség esetén naprakészek és szükségesek legyenek. Az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törli, vagy helyesbíti az Adatkezelő.

Korlátozott tárolhatóság:

A személyes adatokat az adatkezelő – az érintettek azonosítására alkalmas módon – csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig kezeli.

Integritás és bizalmas jelleg (adatbiztonság):

Az Adatkezelő a személyes adatok kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is beleértve.

Elszámoltathatóság:

Az Adatkezelő felelőséget vállal az alapelvek betartásáért, továbbá képes a megfelelőség igazolására.

Titoktartási kötelezettség

Az Adatkezelő munkavállalóit, valamint az Adatkezelővel adatkezelési, vagy adatfeldolgozói viszonyban álló más személyt, illetve szervezetet, az érintettekkel kapcsolatos, adat és egyéb tény vonatkozásában, időbeli korlátozás nélkül titoktartási kötelezettség terheli, függetlenül attól, hogy az adatot közvetlenül az érintettől, illetve közvetett módon az Adatkezelő dokumentációiból, vagy bármely más módon ismert meg.

A titoktartási kötelezettség megszegése munkajogi, polgárjogi, valamint büntetőjogi szankciót von maga után.

A titoktartási kötelezettség nem vonatkozik arra az esetre, ha ez alól az érintett felmentést adott, vagy a jogszabály az adat szolgáltatásának a kötelezettségét írja elő.

Az Adatkezelő munkavállalói adatvédelmi és titoktartási nyilatkozatot írnak alá.

Az adatvédelmi nyilvántartásAdatkezelési tevékenységek nyilvántartása (Adatkezelőként)

Az Adatkezelő az adatkezeléseiről nyilvántartást vezet. Az Adatkezelő vezetője által kijelölt személy (adatvédelmi tisztviselő) köteles minden új adatkezelést dokumentálni az adatkezelési nyilvántartásban (adatvagyonleltár). 2. sz. függelék

Az Adatkezelő által végzett adatkezelésekről legalább a következő adatokat rögzíti:

az adatkezelés megnevezését;
az adatkezelő nevét és elérhetőségét;
az adatkezelés céljait;
az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetését;
olyan címzettek kategóriáit, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a címzetteket, valamint az adatfeldolgozókat
az adatfeldolgozók által végzett tevékenységet, az érintettek kategóriát és a feldolgozott adatok kategóriáit
adott esetben a személyes adatok harmadik országba történő továbbítására vonatkozó információk, a megfelelő garanciák leírását;
a különböző adatkategóriák törlésére előirányzott határidők;
az adatkezelés technikai és szervezési intézkedéseinek általános leírását.
1. Adatkezelési tevékenységek nyilvántartása (Adatfeldolgozóként)

Az Adatkezelő által megbízásból (Adatfeldolgozóként) végzett adatkezelésekről a következő adatokat rögzíti az adatkezelési nyilvántartásban (adatvagyonleltár).

az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei,
minden adatkezelő (Megbízó) neve és elérhetőségei, akinek a nevében az adatfeldolgozó eljár,
az adatkezelő adatvédelmi kapcsolattartójának a neve és elérhetőségei;
az adatfeldolgozó adatvédelmi kapcsolattartójának a neve és elérhetőségei;
az egyes adatkezelők (Megbízók) nevében végzett adatkezelési tevékenységek kategóriái;
az érintettek kategóriái
a kezelt adatok kategóriái
a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása és a megfelelő garanciák leírása;
a technikai és szervezési intézkedések általános leírása.

Adatvédelmi incidensek kezelése

Az Adatkezelő cégvezetője az adatvédelmi incidensekről nyilvántartást vezet. (3. sz. függelék)

Amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettekre nézve nincs jelentési kötelezettség a NAIH részére

Amennyiben valószínűsíthető a kockázat, akkor az adatvédelmi incidenst az Adatkezelő adatvédelmi tisztviselője a tudomására jutástól számítva késedelem nélkül, de legkésőbb 72 órával ezután bejelenti a NAIH-nak.

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül az érintettet is tájékoztatja az adatvédelmi incidensről.

Magas a kockázatú az incidensek hatása, ha az érintettekre jelentős vagy akár visszafordíthatatlan következményekkel járhatnak, amelyek komoly nehézségekkel járnak, vagy nem lehet megoldaniuk. (vagyoni kár, munkahely elvesztése, munkaképtelenség, hosszú távú pszichés vagy fizikai betegségek, halál, stb.)

Nem kell tájékoztatni az érintettet, amennyiben

megfelelő technikai és szervezési védelmi intézkedések kerültek végrehajtásra az adatvédelmi incidens által érintett adatok tekintetében (például a titkosítás), amelyek révén a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenek az adatok;
az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
a tájékoztatás aránytalan erőfeszítést tenne szükségessé. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.)

Az adatvédelmi incidensek kezelésének eljárásrendjét külön szabályzatban rögzíti az Adatkezelő

Adatvédelmi hatásvizsgálat

Olyan adatkezelés esetében, amely valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, – az adatkezelést megelőzően – hatásvizsgálatot (DPIA) kell végezni.

Az egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetők.

Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek
különleges adatok nagy számban történő kezelése
nyilvános helyek nagymértékű, módszeres megfigyelése

A hatásvizsgálat szükségességét a 4. sz függelék segítségével kell eldönteni.

A hatásvizsgálat elvégzésének szükségességét a 5. sz. függelék szerint kell nyilvántartani, és az egész vizsgálatot dokumentálni szükséges.

A 2018. május 25-e előtt kezdett és hatásvizsgálat elvégzését igényló adatkezelések esetén az Infotv. 75.§ (3) alapján legkésőbb 2021. május 25-ig végre kell hajtani a hatásvizsgálat. Amennyiben az adatkezelés körülményeiben lényeges változás következik be, úgy azonnal el kell végezni a hatásvizsgálatot.

Adatbiztonság

Általános adminisztratív intézkedések

Az adatkezelő kialakítja az adatbiztonsági eljárásait az informatika szabályozásban.
Összehangolja az adatkezelő az ügyviteli szabályait az adatvédelmi követelményekkel.
Kiköti a kompatibilitás vizsgálatát az eszközök beszerzésekor.
Rendszeres karbantartást ír elő az eszközök rendelkezésre állásának fenntartása érdekében.
Rendszeres képzést tart a vezetői és felhasználói tudatosság növelése érdekében.
A munka- és feladatkörökhöz igazítja a felhasználói jogosultságokat.
Nyilvántartja a külső adathordozókat (pl. pendrive-ok, tabletek)
Jogtiszta szoftvereket használ, melyeket nyilvántart.

Általános fizikai intézkedések

Kifejezetten ügyel a tűzvédelmi szabályok betartására az adatvesztés megelőzése érdekében.
Vagyonvédelmi rendszerekkel védi az adathordozókat tartalmazó helyiségeit, valamint a helyiségeken kívül eső eszközeit a jogosulatlan fizikai hozzáféréstől.
Védi a helyiségeit az adathordozókat károsító behatásoktól, (extrém hőmérséklet és páratartalom)
Rendszeresen végrehajtja az eszközök karbantartását.
Szünetmentes tápegységgel hidalja át az áramkimaradás okozta adatvesztéseket.
A papíralapú adathordozókat fizikailag semmisíti meg a megőrzési idő lejártával.

Általános logikai védelmi intézkedések

Jogosultsági rendszer alkalmazásával a felhasználók munka- és feladatköréhez szükséges hozzáférésekre korlátozza az adatok megismerhetőségét és ezeket évente felülvizsgálja
Elkülönítetten kezeli az adminisztrátori jogosultságokat, kialakítja a számítógépek BIOS szintű védelmét a személyes adatkezelésekben résztvevő eszközöknél. (Biztonsági beállítások megváltoztatása, külső eszközről rendszerindítás tiltása.)
A szükséges mértékben naplózza a személyes adatok hozzáféréseit, valamint a biztonsági eseményeket
Megfelelő eljárással titkosítja a mobil adathordozókat (pendrive, laptop, okostelefon) és biztonsági mentéseket készít az adatairól.
Szükség esetén kialakítja a mobileszközök távoli törlésének feltételeit.
Rendszeresen végrehajtja a szoftverek frissítését.
Megfelelő védelmi szoftverek és eszközök (tűzfal, vírusírtó) alkalmazásával és az alkalmazások biztonsági beállításával mindent megtesz a rosszindulatú programok károkozásával szemben.
Szükséges mértékben korlátozza a külső portok (pl. usb) használatát.
Az archív email-ek elérését központi tárhelyen biztosítja.
Az Adatkezelő informatikai rendszereihez használt távoli eléréseket csak megfelelő titkosítással ellátott módon, és felügyelt időtartamig engedélyezi.
Az adatkezelő többszöri felülírással törli a selejtezendő, vagy eladásra szánt adathordozókat.
Biztonsági mentéseket készít az adatokról.

Adatfelvétel

Az adatok felviteli és hozzáférési jogosultságát az Adatkezelő által felhatalmazott vezető engedélyezi, az engedélyezésnek dokumentáltnak kell lennie.

Adattárolás

Az Adatkezelő adatkezelései során papír alapú és elektronikus dokumentáció keletkezik.

A papír alapú dokumentációt az Adatkezelő, elemi károktól, fizikai behatásoktól és jogosulatlan kezeléstől védett, zárható helyiségeiben, illetve zárható tárolókban őrzi.

Az elektronikus dokumentáció tárolására külső adatfeldolgozót vehet igénybe az Adatkezelő.

Az elektronikus dokumentáció az adatfeldolgozó szerverén a megfelelő szintű informatikai biztonsági szabályok betartásával kerül tárolásra.

Az elektronikus formában kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állását biztosítását célzó intézkedéseket, az Adatkezelő külön szabályzatában határozza meg szükség esetén.

Az elektronikus adatok tárolását az Adatkezelő fizikai és logikai védelemmel biztosítja.

Az Adatkezelő területét elhagyó mobil eszközöket és elektronikus adathordozókat titkosítani szükséges.

A személyes adatok biztonságos tárolását papír alapú adatkezelés és feldolgozás esetén az Iratkezelési Szabályzat rendelkezései szerint végzi az Adatkezelő

Adatok módosítása

Az rögzített adatok módosítását csak arra jogosult felhasználó végezheti el. A módosításkor törekedni kell arra, hogy a módosított adat előzménye is megismerhető legyen.

A módosításra a jogosultságot az Adatkezelő vezetője engedélyezi, az engedélyezésnek dokumentáltnak kell lennie.

Adatok másolása

Az adatok rendelkezésre állásának érdekében az Adatkezelő biztonsági másolatot készít az informatikai szabályokban rögzített időközönként.

Az adatok másolása ezen kívül csak a munkakörüknél fogva jogosultak számára engedélyezett.

Anonimizálás

Az adatokból képzett, a személy azonosítására alkalmas adatoktól megfosztott újonnan képzett adatokat, az Adatkezelő felhasználhatja statisztikák, belső kimutatások és pályázati indikátorok készítésére.

Az Adatkezelő anonimizálást alkalmaz minden olyan esetben, amikor az anonim adatok is elégségesek az Adatkezelő pályázati tevékenysége teljesítményének, hatékonyságának mérésére, valamint ahol szerződés, vagy jogszabály írja elő pontos statisztikai adatok szolgáltatását.

Adatok törlése, megsemmisítése

Az adatok megőrzési ideje adatkezelésenként kerül meghatározásra.

Az Adatkezelő a megőrzési idő lejártával, vagy a 3.6 pont alapján fizikailag törli a személyes adatokat. Az adathordozók selejtezésekor, vagy eladásakor hasonlóan jár el.

Amennyiben papíralapú, vagy nem törölhető fizikailag az elektronikus adathordozó, akkor fizikailag meg kell semmisíteni azokat. A megsemmisítései eljárást úgy kell kialakítani, hogy a művelet után ne lehessen visszanyerni adatokat.

Az Adatkezelő a papír alapú adathordozókon tárolt adatok megsemmisítését az iratkezelési gyakorlata szerint végzi.

Az adat törlését minden esetben az adatért felelős köteles kezdeményezni, a selejtezésről jegyzőkönyvet kell készíteni.

Az Adatkezelő az elektronikus adatok törlésére alapvetően három módot alkalmaz

az adatok logikai és fizikai (felülírással) törlése,
az adatok anonimizálása, azaz megfosztása a természetes személy azonosítására alkalmas adatelemektől.

Az adatkezelő belső informatikai rendszerének ellenőrzése

A munkavállalók munkavégzéséhez megfelelő környezetet biztosít az adatkezelő. Ennek során az internet használat, a munkahelyi email fiók és informatikai eszközöket, a saját informatikai rendszerének a használatát biztosítja az Adatkezelő.

A foglalkoztatott a MT. szerint az eszközöket nem használhatja magáncélra.

Az Adatkezelő ennek a saját belső informatikai rendszerének sértetlensége, működésének folyamatossága és a benne tárolt adatok biztonsága érdekében biztonsági intézkedéseket vezet be.

Az intézkedések megvalósulását jogszerű eszközökkel ellenőrzi.

Az Adatkezelő ellenőrzése csupán a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges körre terjed ki, melynek során alkalmazott eszközök, módszerek nem járnak az emberi méltóság megsértésével illetőleg a munkavállaló magánélete nem érintik.

Az Adatkezelő a munkavállalót előzetesen tájékoztatja az adatkezelés, ellenőrzés lényeges követelményeiről.

Ennek figyelembevételével az Adatkezelő ellenőrízheti a hálózati, különösen az internet használatra vonatkozó, valamint az általa biztosított eszközökön végzett munka-tevékenységet.

Internethasználat ellenőrzése

A munkavállaló csak a cég működése szempontjából indokolt és a munkaköréhez szükséges honlapokat látogathatja a munkahelyi internethasználata során. Amennyiben biztonsági okokból honlapok elérésének korlátozását az internetforgalom ellenőrzést vezeti be az Adatkezelő, arról tájékoztatja a munkavállalókat.

Az ellenőrzés végrehajtására az ügyvezető, illetve a munkáltatói jogok gyakorlója jogosult.

Az adatbiztonság vagy az informatikai rendszer védelme miatt az informatikai hálózatot üzemeltető, fenntartó rendszergazda (informatikus) a számítógép tartalmába jogosult betekinteni, de az így megismert adatokat harmadik személy számára – így a munkáltató részére sem – nem továbbítja.

Munkahelyi e-mail használata

Az adatkezelő bizonyos munkakörökben dolgozóknak munkahelyi email fiókot bocsáthat rendelkezésére. Ezek a fiókok csak munkahelyi tevékenységgel kapcsolatban használhatók, magáncélra nem.

Amennyiben a munkavállaló önhibáján kívül kap magán jellegű elektronikus üzenetet, köteles azt törölni. Javasolt magatartás ebben az esetben a küldő felkérése a munkavállaló magán e-mail címére történő ismételt megkérése.

Az adatkezelő az e-mail fiók teljes tartalmát és használatát rendszeresen ellenőrizhet, arról biztonsági másolatot készít, azonban a fokozatosság elvét be kell tartania és jogosulatlanul személyes adatot nem kezelhet (a nem munkahelyi e-mailek tartalmát nem ismerheti meg és nem is kezelheti vagy mentheti le azokat).

Az adatkezelő a fontos rendszereiről, így az e-mailekről – az üzletmenetfolytonosság biztosítása érdekében – napi rendszerességgel készít biztonsági mentéseket. A biztonsági mentéseket az Adatkezelő egy hónapig őrzi meg. A biztonsági mentésekből az integritásuk megbontása nélkül nem lehetséges a törlés. A munkavállaló törlési kérésére az adatkezelő rögzíti a kérelmet és visszaállítás esetén teljesíti.

Az ellenőrzés végrehajtására az ügyvezető, illetve a munkáltatói jogok gyakorlója jogosult. Az Adatkezelő az email fiók használatával kapcsolatos szabályokról, az Adatvédelmi Szabályzatban foglaltak betartásának munkaköri kötelezettségéről, az ellenőrzés lehetőségéről. valamint az ellenőrzésre felhatalmazott személyek köréről, továbbá egyéb fontosnak tartott információkról köremail formájában rendszeresen tájékoztatja az érintett munkavállalókat.

Amennyiben az ellenőrzés körülményei lehetővé teszik, biztosítani kell az ellenőrzés időtartama alatt a munkavállaló, vagy meghatalmazottjának jelenlétét.

Az ellenőrzés során elsődlegesen az e-mail címéből és tárgyából kell megállapítani azt, hogy az a munkavállaló munkaköri feladatával kapcsolatos-e vagy személyes. A személyes tárgyú e-mailek tartalmának megismerésére az Adatkezelő nem jogosult, a nem személyes célú e-mailek tartalmát korlátozás nélkül vizsgálhatja.

Amennyiben az ellenőrzés során bebizonyosodik, hogy a munkavállaló megsértette az adatkezelési szabályokat, a Társaság felszólítja, hogy haladéktalanul törölje a személyes adatokat. Amennyiben az ellenőrzés során a dolgozó nincs jelen, illetve nem működik együtt, a személyes adatokat a munkáltató törli. Az email fiók szabálytalan használata miatt az Adatkezelő munkajogi jogkövetkezményeket alkalmazhat a munkavállalóval szemben.

Adattárolásra alkalmas eszközök használata

Az Adatkezelő munkavégzés céljából számítógépet, laptopot, tabletet, okostelefont, fényképezőgépet, kamerát vagy egyéb, adattárolásra alkalmas eszközt biztosíthat használatra a dolgozóinak.

Az adatbiztonság, illetve az informatikai rendszer védelme miatt az informatikai hálózatot üzemeltető, fenntartó rendszergazda vagy informatikus a számítógép tartalmába jogosult betekinteni, de az ily módon megismert adatokat harmadik személy számára – így a munkáltató részére sem – nem továbbítja.

Az ellenőrzés végrehajtására az ügyvezető, illetve a munkáltatói jogok gyakorlója jogosult. Az Adatkezelőnek biztosítja, hogy az ellenőrzés során a dolgozó jelen legyen. Az ellenőrzés előtt a dolgozót tájékoztatni kell arról, hogy ki, mikor, hogyan, mi alapján és miért ellenőrizhet, valamint hogyan tehet panaszt ez ellenőrzés ellen.

Az ellenőrzés során a fokozatosság elve szerint kell eljárni. Az Adatkezelő korlátozás nélkül vizsgálhatja, nem személyes célú fájlok tartalmát, azonban a személyes adatok, fájlok tartalmának megismerésére nem jogosult.

Amennyiben az ellenőrzés során bebizonyosodik, hogy a munkavállaló megsértette az adatkezelési szabályokat, fel kell szólítani, hogy haladéktalanul törölje a személyes adatokat. Amennyiben az ellenőrzés során a dolgozó nincs jelen, illetve nem működik együtt, a személyes adatokat a munkáltató törli.

Adatfeldolgozás

Az Adatkezelő adatkezelési tevékenységeihez adatfeldolgozót vehet igénybe.

Az adatfeldolgozásról a szolgáltatásról szóló megállapodásban kell rendelkezni, melynek tartalmánál figyelembe kell venni a hatályos adatvédelmi követelmények érvényesülését, különösen az adatfeldolgozás műveleteinek meghatározására, az adatkezelés garanciáira, az adatkezeléssel kapcsolatos tájékoztatási kötelezettségekre, az Adatkezelő ellenőrzési jogára tekintettel.

Az adatfeldolgozó tevékenységét rögzített követelményrendszer betartása mellett az adatkezelő utasításai alapján folytatja. Az adatfeldolgozói tevékenységet az adatkezelési nyilvántartásban (adatvagyonleltár) kell nyilvántartani.

Az adatfeldolgozói szerződéseknek legalább az alábbiakat kell tartalmaznia 7.sz. Függelék):

a) az adatkezelő és az adatfeldolgozó személyét, elérhetőségét, ha az adatfeldolgozó rendelkezik adatvédelmi tisztviselővel, annak elérhetőségét,

b) adatkezelés célját, céljait,

c) az adatfeldolgozás jellegét, célját, időtartamát,

d) az adatfeldolgozással érintett adatalanyok kategóriáit, a személyes adatok típusát, körét, mennyiségét,

e) az adatfeldolgozó jogainak és kötelezettségeinek meghatározását, különösen annak rögzítését, hogy az adatfeldolgozó az adatkezelő kifejezett írásos utasításai alapján végezhet adatkezelési műveleteket, továbbá az esetlegesen bekövetkező adatvédelmi incidensek esetén követendő szabályok meghatározását,

f) az elvégzett technikai műveletek megnevezését, módját,

g) a feldolgozott személyes adatok további sorsát,

h) annak rögzítését, hogy az adatfeldolgozó további adatfeldolgozót vehet-e igénybe,

i) az adatkezelőt és az adatfeldolgozót terhelő technikai és szervezési intézkedések meghatározását, ezek igazolását az adatfeldolgozó részéről,

j) az adatfeldolgozó azon alkalmazottai titoktartására vonatkozó rendelkezéseket, akik az adatfeldolgozásban részt vesznek,

k) annak szabályozását, hogy az adatfeldolgozó milyen módon, eljárási rendet követve nyújt segítséget az érintettek jogait érintő kérelmek megválaszolásában,

l) az adatkezelő ellenőrzési jogkörének biztosítását,

m) az adatkezelő utasításadási rendjének meghatározását, beleértve az adatfeldolgozó azon kötelezettségét, hogy tájékoztassa az adatkezelőt, ha az adatkezelő által adott utasítás GDPR vagy egyéb vonatkozó jogszabályba ütközik.

Adatközlés, adattovábbítás, nyilvánosságra hozatal

Előfeltételek

Az Adatkezelő kijelenti, hogy az érintettek személyes adatainak továbbítására az egyes adatkezelések tekintetében, kizárólag jelen szabályzatban meghatározottak szerint és feltételek megvalósulása esetén kerül sor.

Harmadik fél részére adatot csak akkor továbbíthat, ha

az érintett ehhez az adatkezelés során előzetesen hozzájárulását adta és ha az adatkezelés feltételei minden egyes adatra nézve teljesülnek;

a törvény az adattovábbítást megengedi és az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek;

az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges;

az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll;

a nemzetbiztonság, a honvédelem és a közbiztonság védelme, a bűncselekmények üldözése céljából az arra hatáskörrel rendelkező nemzetbiztonsági szerveknek, nyomozó hatóságoknak, bíróságoknak, valamint egyéb bírósági és nyomozó szervek jogszerű megkeresése esetén átadhatók az adattovábbítási kérésben megjelölt adatok tekintetében.

Adattovábbítások naplózása

Annak érdekében, hogy az érintett az adataival kapcsolatos információs önrendelkezési jogát megfelelően gyakorolni tudja, az Adatkezelő ügyviteli munkafolyamataiba kötelező beépíteni olyan naplózási rendszert, mely lehetővé teszi, hogy az érintett adatainak harmadik személy felé történő közlésére, beleértve a továbbítás idejét, a pontos adattartalmat, visszakereshetővé váljon. E naplózás elsődleges célja, hogy az Adatkezelő, a részéről fennálló tájékoztatási kötelezettségének eleget tudjon tenni az érintettek felé az adatkezelés időtartama alatt. Az adatközlésekről, adattovábbításokról az Adatkezelő a 6. sz függelék szerinti nyilvántartást vezet.

Adattovábbítás harmadik országba

Az Adatkezelő nem továbbít adatokat harmadik országba.

Nyilvánosságra hozatal

Az Adatkezelő személyes adatot csak akkor hozhat nyilvánosságra, ha erre megfelelő jogalappal rendelkezik.

Az Adatkezelő által készített, személyes adatokon is alapuló, de anonimizált statisztikai adatok szabadon nyilvánosságra hozhatók.

Az adatvédelem szervezete
- Az Adatkezelő vezetője

Feladata az adatvédelmi tevékenység felügyelete, a szükséges erőforrások biztosítása, a megfelelő szabályzók kiadása. Az Adatkezelőnek nem indokolt adatvédelmi tisztviselő kinevezése, ezért a cégvezető megbízása alapján alapján kijelölt személy látja el az adatvédelem irányítási, megfelelési és ellenőrzési feladatait.

Az Adatkezelő személyes adatok kezelését végző munkavállalói kötelesek:
Az adatvédelmi szabályzatban foglaltakat betartani.
Minden személyes adatra vonatkozó egyedi megkeresést megküldeni a cégvezetőnek, aki jogosult a megkeresés teljesítését illetően döntést hozni.
Minden kérelemre történő személyes adat kiadása előtt szükséges a vezetőt értesíteni és vele egyeztetni.

Amennyiben az Adatkezelő munkavállalója nem tesz eleget kötelezettséginek, a szabályokat megsérti, akkor a munkaviszonyra vonatkozó szabályok szerint a munkáltató eljárás kezdeményezhet vele szemben.

Képzés

Az Adatkezelő a szabályzat felülvizsgálatát követően, illetve szükséges esetben adatvédelmi képzést tart munkavállalóinak a biztonság tudatosság fejlesztése érdekében, amin kötelező részvétel.

Azonosító	Megnevezés
1. sz. függelék	Érintetti kérelmek nyilvántartása
2. sz. függelék	Adatkezelési nyilvántartás
3. sz. függelék	Incidensek nyilvántartása
4. sz. függelék	Adatvédelmi hatásvizsgálat szempontjai
5. sz. függelék	Adatvédelmi hatásvizsgálat nyilvántartás
6. sz. függelék	Adatközlési és adattovábbítási nyilvántartás
7. sz. függelék	Adatfeldolgozói szerződéskiegészítés minta
8. sz függelék	Álláspályázók tájékoztatása
9. sz. függelék	Szerződések adatvédelmi záradéka partnereknek

1. függelék

2. függelék Adatkezelési nyilvántartás

SORSZÁM
TERÜLET
AZ ADATKEZELÉS MEGNEVEZÉSE
AZ ADATKEZELÉS FELELŐSE
ADATKEZELÉS LEÍRÁSA
AZ ADATKEZELÉS CÉLJA
AZ ADATKEZELÉS JOGALAPJA
AZ ADATKEZELÉS JELLEGE
AZ ÉRINTETTEK KATEGÓRIÁI
VESZÉLYEZTETETT KATEGÓRIA
SZEMÉLYES ADATOK KATEGÓRIÁI
TÁROLÁSI IDŐ
ADATOK KAPCSOLÓDNAK-E MÁSIK ADATKEZELŐHÖZ?
KÜLSŐ ADATFORRÁS
ADATFELDOLGOZÓ MEGNEVEZÉSE
ADATFELDOLGOZÓI SZERZŐDÉSSEL RENDELKEZIK
ADATTOVÁBBÍTÁS
TOVÁBBÍTOTT ADATOK KATEGÓRIÁI
CÍMZETTEK, AKIK AZ ADATOKHOZ HOZZÁFÉRHETNEK
ADATTOVÁBBÍTÁS HARMADIK ORSZÁGBA, NEMZETKÖZI SZERVEZETHEZ
AZ ADATKEZELÉS BIZTONSÁGÁRA VONATKOZÓ TECHNIKAI ÉS SZERVEZÉSI INTÉZKEDÉSEK
ÉRINTETTEK TÁJÉKOZTATÁSA
ÉRINTETTEK JOGAI
ADATKEZELÉS MEGKEZDÉSE
MEGJEGYZÉSEK

3. függelék

SORSZÁM:	AZ INCIDENS IDŐPONTJA:	AZ INCIDENS MEGNEVEZÉSE, TÉNYEI:	AZ ÉRINTETTEK KÖRE:	AZ ÉRINTETT SZEMÉLYES ADATOK:	AZ INCIDENS HATÁSA:	AZ INCIDENS ORVOSLÁSÁRA TETT INTÉZKEDÉSEK:	EGYÉB ADATOK:
1.
2.
3.

4. függelék

Adatkezelés neve
Hatásvizsgálati küszöbelemzés
Az Adatkezelő neve
rövidítés:
ország:
cím:
telefonszám:
honlap:
e-mail cím:
Az alábbi adatkezelési műveletek esetében köteles az adatkezelő adatvédelmi hatásvizsgálatot lefolytatni:
	Igen/ Nem
	Ha egy természetes személy biometrikus adatainak kezelése módszeres megfigyelésre irányul.
	Ha kiszolgáltatott helyzetben lévő érintettekkel – különös tekintettel a gyermekekre, munkavállalókra, idős, mentális betegségben szenvedőkre – kapcsolatos biometrikus adat kezelése történik.
	Ha az adatkezelés egy természetes személy genetikai adatainak egyéb különleges adatokhoz vagy fokozottan személyes jellegű adatokhoz történő hozzákapcsolásával jár.
	Ha egy természetes személy genetikai adatai kezelésének célja a természetes személy értékelése vagy pontozása^[1].
	Pontozás. Az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
	Hitelképesség értékelése. Az adatkezelés célja, hogy az érintett hitelképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
	Fizetőképesség értékelése. Az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
	Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés meghozatalánál.
	Diákok, hallgatók személyes adatainak értékelésre való felhasználása. Az adatkezelés célja a diákok, hallgatók felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.
	Profilozás. Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen, ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik.
	Csalás elleni fellépés. Az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.
	Okosmérők. Az adatkezelés célja közműszolgáltatók által telepített „okosmérők” alkalmazása (fogyasztási szokások nyomon követése).
	Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. Az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.
	Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera).
	Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.
	Munkavállaló munkájának megfigyelése. Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése.^[2] Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.
	Különleges adatok nagy számban való kezelése. A GDPR (91) preambulumbekezdése alapján a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
	Nagyszámú személyes adatok kezelése bűnüldözési célból
	Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése: pl. gyermekek, idősek, mentális betegségben szenvedők esetében.
	Gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában.
	Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése (pl.: okos televízió, okos háztartási eszközök, okos játékok stb.), és amelyek adatokat szolgáltatnak a természetes személy fizetőképességére, egészségére, személyes érdeklődési körére, megbízhatóságára vagy viselkedésére, tartózkodási helyére és amelyek alapján profilalkotás történik.
	Egészségügyi adatokra vonatkozó adatkezelések. Nagy számban kezelt adatok tekintetében a kórházak, egészségügyi ellátó intézmények, magán-egészségügyi szolgáltatók vagy nagyszámú páciensi körrel rendelkező természetgyógyászok által kezelt különleges adatok vonatkozásában. Ideértve a nagyobb sportlétesítmények, edzőtermek által a tagoktól felvett egészségügyi adatok kezelése
	Amikor több adatkezelő egy egész ágazat által közösen használt alkalmazást, rendszert, eszközt, illetve platformot tervez létrehozni, amelyben különleges adatokat is kezelnek.
	Az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy összehasonlítása.
Igen esetén indokolt a hatásvizsgálat

Amennyiben

Az adatkezelés során a valószínűsíthetően magas kockázat meghatározásának szempontjai:
	Igen/ Nem
1.	nyilvános helyek nagymértékű, módszeres megfigyelése a cél (az érintettek nem tudják, ki gyűjti és hogyan használja fel adataikat, illetve az egyéneknek talán nincs is lehetőségük elkerülni, hogy közterületeken vagy nyilvános helyeken érintetté váljanak ilyen típusú adatkezelésben),
2.	különleges adatok vagy fokozottan személyes jellegű adatok kezelése történik, amelyek bizalmassága védendő, például magánnyomozói tevékenység, vagy kórházak adatkezelése során. Bizonyos adatkategóriák is tekinthetők úgy, hogy fokozzák az egyének jogait és szabadságait érintő lehetséges kockázatokat, például személyes adatok különlegesnek minősülhetnek, mivel
a	otthoni vagy magánjellegű tevékenységekhez kapcsolódnak (például elektronikus hírközlési tevékenységekhez, amelyek bizalmassága védendő),
b	kihatnak valamely alapvető jog gyakorlására (például helymeghatározó adatok, amelyek gyűjtése megkérdőjelezi a mozgás szabadságát),
c	az őket érintő jogsértések egyértelműen súlyos hatást gyakorolnak az érintett mindennapi életére (például pénzügyi adatok, amelyek csalásra, személyiséglopásra használhatók),
3.	nagy számban kezelt adatok vannak,
4.	kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok kezelése történik, ilyenek például
a	a gyermekek (ők még nem tudják tudatosan és átgondoltan ellenezni vagy engedélyezni adataik kezelését),
b	a munkavállalók,
c	a lakosság különleges védelmet igénylő, kiszolgáltatottabb helyzetben lévő rétegei (mentális betegségben szenvedők, menedékkérők vagy az idősek, betegek stb.),
d	valamint minden olyan egyéb eset, amikor az érintett és az adatkezelő közötti kapcsolatban egyenlőtlen helyzet alakul ki.
5.	új technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása a cél,
6.	amikor az adatkezelés önmagában véve megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek (például az érintettek számára szolgáltatás igénybevételének vagy szerződéskötésnek a lehetővé tételére, módosítására vagy elutasítására irányuló adatkezelési műveletek).
	Két szempont teljesülése esetén szükség van DPIA elvégzésére, de egy is elegendő lehet!

Döntés a hatásvizsgálatról

Az adatkezelés igényli / nem igényli* adatvédelmi hatásvizsgálat elvégzését.

(A 2018. május 25-e előtt megkezdett adatkezelés adatvédelmi hatásvizsgálat elvégzésének határideje 2021.május 25., amennyiben nem következik be változás az adatkezelés körülményeiben.)

Megjegyzés: …………………………………………………………………………..

Kelt, 20…. ………………………………

felelős

vezető

*Megfelelő rész aláhúzandó!

5.sz. függelék

Kockázatelemzések, hatásvizsgálatok nyilvántartása
Sorszám	Adatkezelés sorszáma	adatkezelés megnevezése	előzetes kockázatelemzés dátuma	hatásvizsgálat dátuma	megjegyzés (pl. előzetes konzultáció)

6.sz. függelék

7.sz függelék

ADATVÉDELMI MEGÁLLAPODÁS SZEMÉLYES ADATOK MEGBÍZÁSBÓL TÖRTÉNŐ FELDOLGOZÁSA VONATKOZÁSÁBAN

Jelen megállapodás

a(z) [Cégnév]

székhely:

levelezési cím (adatkezelés helye):

cégjegyzékszám:

adószám:

a továbbiakban: „Megbízó” és a

[Cégnév]

székhely:

levelezési cím, (adatkezelés helye):

cégjegyzékszám:

adószám: [….]

a továbbiakban: „Megbízott”

között jött létre és az érintett Felek között [dátum]-n létrejött szerződéssel („Szerződés”) együtt értelmezendő és a Szerződés megszűnéséig hatályban marad.

Fogalom meghatározások
1. Az „Adatkezelés”, „Adatkezelő”, „Adatfeldolgozó”, „Érintett”, „Adatvédelmi Incidens”, és a „Személyes Adatok Különleges Kategóriái” kifejezések az Adatvédelmi Jogszabályokban meghatározott jelentéssel bírnak;
1. „Adatvédelmi Jogszabályok” alatt az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendeletét vonatkozó nemzeti és szektorális adatvédelmi jogszabályok értendő;
1. Az „Érintett Kérelme” alatt az Érintett által az Adatvédelmi Jogszabályokban foglalt jogai gyakorlására irányuló kérelem értendő;
1. „Felügyeleti Hatóság” alatt (a) a GDPR 51. cikk alapján a tagállam által felállított független közhatalmi szerv; és (b) az Adatvédelmi Jogszabályok végrehajtásáért felelős más hasonló szabályozó hatóság értendő.
Feldolgozás tárgya, terjedelme, módja és célja
1. A jelen Megállapodás a Szerződésből és jelen megállapodásból eredő, GDPR -nak való megfelelést biztosító kötelezettségeket szabályozza megbízásból történő adatfeldolgozásra vonatkozóan.
1. Felek az 1. sz. Mellékletben írásban rögzítik a mindenkori adatfeldolgozási megbízás leírását, továbbá a megbízás tárgyára, az adatfeldolgozás terjedelmére, módjára és céljára, a személyes adatok fajtáira, valamint az érintett személyek kategóriáira vonatkozó adatokat.
1. A Megbízó köteles bizalmasan kezelni minden, a Megbízott technikai és szervezeti intézkedéseire vonatkozó, a megbízásos jogviszony keretében szerzett információt és kizárólag jogszabályi felhatalmazás, vagy a Felek megállapodása alapján továbbítja harmadik személy felé.
Utasítás és együttműködési kötelezettség
1. Adatkezelőként a Megbízó határozza meg a személyes adatok feldolgozásának célját és eszközeit, és harmadik személyek irányában ő felel az Érintett személyek jogainak tiszteletben tartásáért.
1. A Megbízó jogosult a Megbízottnak utasításokat adni, amelyek a megállapodás 1. sz. Melléklet szerinti mindenkor tárgyát képező adatfeldolgozás terjedelmére, fajtájára és eljárására vonatkoznak. A Megbízott a személyes adatokat kizárólag a Megbízó által kiadott utasítások keretében dolgozza fel, amennyiben az európai uniós jog, vagy az EU tagállamainak joga, amelynek hatálya alatt a Megbízó áll, nem kötelezi azon túlmenő adatfeldolgozásra; ilyen esetben a Megbízott e jogi követelményeket a feldolgozás előtt közli Megbízóval, amennyiben a vonatkozó jog e közlést fontos közérdekből nem tiltja meg.
1. A személyes adatok feldolgozása főszabályként az Európai Unió (EU) valamelyik tagállamában vagy az Európai Gazdasági Térségről (EGT) szóló megállapodásban részes más államban történhet a jelen Megállapodás hatálya alatt. Minden egyéb országba történő továbbításhoz a Megbízó előzetes írásbeli egyetértése szükséges.
1. A Megbízott az adatfeldolgozás céljából rendelkezésére bocsátott adatokat nem használhatja fel más célokra, különösen nem saját céljaira. A Megbízó tudta nélkül azokról másolatot nem készíthet. Ez nem vonatkozik azokra a biztonsági másolatokra, amelyek a adatkezelés megfelelő biztonságához, a hozzáférésre és megőrzésre vonatkozó iparági és jogszabályi előírásoknak a betartásához, illetve bizonyítékok megtartásához szükségesek. A Megbízott felelősséget vállal a Megbízóval szemben azért, hogy az adatokat kizárólag a jelen Megállapodásban megjelölt célokra használja fel.
1. A Megbízó szükség esetén szóban is adhat utasításokat. A szóban adott utasításokat indokolatlan késedelem nélkül írásban, illetve szöveges formában meg kell erősíteni.
1. Amennyiben a Megbízott az adatvédelmi jogszabályok megsértésével maga határozza meg a feldolgozás céljait és eszközeit, különösen, ha túllépi a Megbízó utasításait, vagy megszegi a jelen Megállapodást, úgy ezen adatfeldolgozás tekintetében Megbízott a felelős.
1. Megbízott köteles együttműködni a Megbízóval és támogatni Megbízót az Érintett személyek jogainak tiszteletben tartása és igényeinek kielégítése során, különösen az Érintettek GDPR III. fejezetében foglalt jogainak gyakorlásához szükséges kérelmek megválaszolása tekintetében, valamint a személyes adatok helyesbítése, törlése és korlátozása, valamint információknak és adatoknak az érintett személyek részére történő rendelkezésére bocsátása során, különösen megfelelő technikai és szervezeti intézkedések révén, és köteles a Megbízó utasításai szerint eljárni. Megbízott biztosítani köteles, hogy a személyes adatok jelen Megállapodás keretében történő feldolgozására használt rendszerek a technikai kialakításuk és az adatvédelemnek kedvező alapbeállításaik révén megfeleljenek az adatvédelmi alapelveknek.
1. Amennyiben valamely Érintett vagy Felügyeleti Hatóság a jelen Megállapodás keretében feldolgozott személyes adatokkal kapcsolatban közvetlenül a Megbízotthoz fordul, a Megbízott haladéktalanul köteles értesíteni erről Megbízót, és minden további lépést köteles egyeztetni a Megbízóval. A Megbízott csak a Megbízó általi előzetes utasítását követően adhat felvilágosítást az érintetteknek.
Adattovábbítás, titoktartás
1. Az adatfeldolgozás során nem használnak a felek az informatikai eszközökön kívüli, külső adathordozókat. Amennyiben Megbízó erre külön engedélyt ad, akkor a Felek az adathordozókat egymásnak titkosítva, ajánlott küldeményként vagy megfelelően felhatalmazott futárral kötelesek elküldeni. A titkosítás feloldásához szükséges kulcsot a Felek más csatornán keresztül kötelesek megküldeni egymásnak.
1. A Megbízó ahhoz előzetesen jóváhagyott csatornákon lehetséges az adatok táv-adattovábbítása (pl. email) útján is, csak megfelelő biztonsággal, a technika mindenkori színvonala szerinti kódolt (jelszóval ellátott) formában.
1. Megbízott biztosítja, hogy a jelen Megállapodás keretében feldolgozott személyes adatok feldolgozása elkülönítve történik. A különböző célból gyűjtött adatokat külön-külön kell feldolgozni. Az egyes feldolgozási célokra és egyes ügyfelek számára feldolgozott adatállományokat folyamatosan (fizikailag vagy logikailag) szét kell választani és védeni kell.
1. Megbízott kötelezi magát, hogy az adatfeldolgozáskor biztosítja a feldolgozás titkosságát és bizalmasságát. Megbízott megerősíti, hogy ismeri a vonatkozó adatvédelmi jogszabályok előírásait. A Megbízott vállalja, hogy a jelen Megállapodás végrehajtása során általa igénybe vett személyekkel a számukra irányadó adatvédelmi rendelkezéseket megismerteti, és ezen személyek írásban kötelezik magukat a titoktartásra, a bizalmas kezelésre, vagy ennek megfelelő törvényes (szakmai) titoktartási kötelezettség vonatkozik rájuk és Megbízott felügyeli ezek betartását.
1. A Megbízott harmadik személyek vagy az érintett személyek részére csak a Megbízó előzetes írásbeli hozzájárulásával adhat felvilágosítást, kivéve, ha a jelen Megállapodás 3.2 pontja szerinti esetben.
Technikai és szervezési biztonsági intézkedések
1. A Megbízott köteles gondoskodni arról és kielégítő garanciát nyújtani arra, hogy megfelelő technikai és szervezeti intézkedéseket tesz annak érdekében, hogy az adatfeldolgozás a GDPR követelményeivel és jelen Megállapodással összhangban történjen és az Érintett személyek jogainak védelmét biztosítsa, valamint a belső szervezetét úgy alakítsa ki, hogy az megfeleljen a vonatkozó Adatvédelmi Jogszabályoknak. A Megbízott a technika mindenkori színvonalának figyelembe vételével köteles biztosítani a feldolgozás megfelelő biztonságát, különösen az adatfeldolgozáshoz használt rendszerek és szolgáltatások titkosságát (beleértve az álnevesítést és kódolást), rendelkezésre állását, integritását és terhelhetőségét.
1. A Megbízott betartja a szabályos adatfeldolgozásra vonatkozó alapelveket, és biztosítja a szerződésben rögzített és a jogszabályban előírt adatbiztonsági intézkedéseket. A technikai és szervezeti intézkedések a megbízásos jogviszony folyamán a technikai és szervezeti fejlődéshez igazítandók. A lényeges változásokban írásos formában kell megállapodni.
1. A Megbízó biztonságos feldolgozásra vonatkozó előírásait a 2. sz. Melléklet tartalmazza.
Tájékoztatási kötelezettség, védelem megsértése
1. Megbízott köteles haladéktalanul tájékoztatni Megbízót minden, a jelen Megállapodásban rögzítetteken kívüli adatfeldolgozásról, valamint a személyes adatok védelmére vonatkozó előírások vagy a jelen Megállapodásban szereplő előírások bármely megsértéséről, különösen az adatvédelmet érintő zavarokról, incidensekről, az adatvédelem vélhető megsértéséről vagy a személyes adatok gyűjtésének, feldolgozásának vagy felhasználásának egyéb sérelméről vagy módosításáról, amely a Megbízott részéről, illetve a Megbízott részére tevékenységet kifejtő személy részéről történik.
1. A tájékoztatási kötelezettség fenntartásával a következő szabályozások érvényesek arra az esetre, ha személyes adatok jogszerűtlenül továbbításra kerültek harmadik személy felé vagy harmadik személynek egyéb módon tudomására jutottak, illetve adatvédelmi incidens esetén (GDPR 4. cikk 12. pont):
  1. Megbízott haladéktalanul, de legkésőbb a tudomásszerzéstől számított 24 órán belül tájékoztatja a Megbízót a személyes adatok biztonságának (bizalmasság, sértetlenség, rendelkezésre állás) bármely tényleges, vagy vélt sérüléséről, amely a Megbízottnál következik be, vagy érzékelhető, és köteles a Megbízót a kivizsgálás, a kár minimalizálása, az elhárítás és – amennyiben szükséges – az illetékes Felügyeleti Hatóság felé történő bejelentés, valamint az érintett személyek értesítése során támogatni.
  1. A Megbízott köteles – a Megbízóval egyeztetve – haladéktalanul megtenni minden elvárható intézkedést annak érdekében, hogy a jelen Megállapodás keretében feldolgozott személyes adatok bizalmasságát, integritását, illetve rendelkezésre állását veszélyeztető körülményt minimalizálja és elhárítsa, az adatokat biztosítsa és az érintett személyeket érintő esetleges hátrányos következményeket megakadályozza vagy kihatásaikat a lehetséges mértékben korlátozza.
  1. A személyes adatok védelmének sérüléséről szóló tájékoztatásnak tartalmaznia kell az eset bekövetkezésének időpontjára és az eset jellegére vonatkozó adatokat (beleértve azt az információt, hogy mely adatok mely mértékben érintettek), az érintett rendszerre, az érintett személyekre, az eset észlelésének időpontjára vonatkozó adatokat, az adatbiztonsági esemény minden lehetséges hátrányos következményét, valamint azokat az intézkedéseket, amelyeket a Megbízott az eseményre reagálva végrehajtott.
  1. A Megbízott köteles a személyes adatok biztonságának sérüléséről való tudomásszerzést követően haladéktalanul feltárni a kiváltó okot, azt dokumentálni és a dokumentációt Megbízónak átadni. Amennyiben a Megbízó megállapítja, hogy a Megbízott által végrehajtott technikai és szervezeti intézkedések nem voltak elegendők a jelen Megállapodás keretében feldolgozott személyes adatok védelmére, úgy Megbízott köteles további költségek felszámítása nélkül olyan további technikai és szervezeti intézkedéseket megvalósítani, amelyek a Megbízó megítélése szerint az adatbiztonsági eseményekkel szembeni megfelelő védelemhez szükségesek.
  1. A Megbízott köteles legalább öt évre visszamenő nyilvántartást vezetni a személyes adatok védelmének mindazon sérüléseiről, amelyek nála bekövetkeznek a jelen Megállapodás keretében feldolgozott személyes adatokkal összefüggésben. A Megbízó kérésére Megbízott köteles e nyilvántartást Megbízónak bemutatni.
1. Amennyiben a jelen Megállapodás keretében feldolgozott személyes adatokat a Megbízottnál történő bármely eljárás vagy esemény, vagy harmadik személy egyéb intézkedései következtében veszély fenyegeti, úgy Megbízott köteles Megbízót erről haladéktalanul értesíteni. Megbízott köteles minden e tekintetben releváns szervezetet haladéktalanul értesíteni, hogy az adatok felett a Megbízó rendelkezik.
1. Amennyiben Felügyeleti Hatósági ellenőrzésre kerül sor, Megbízott kötelezi magát, hogy annak megindulásáról Megbízót haladéktalanul értesíti és eredményéről Megbízót tájékoztatja, amennyiben az a személyes adatok jelen Megállapodás keretében történő feldolgozását érinti. Az ellenőrzésről készült jelentésben megállapított hiányosságokat Megbízott haladéktalanul megszünteti, és erről Megbízót tájékoztatja.
Ellenőrzési jog, együttműködési kötelezettség
1. Megbízott rendszeresen ellenőrzi saját belső folyamatait, technikai és szervezeti intézkedéseit annak biztosítása érdekében, hogy a jelen Megállapodás teljesítése az ő felelősségi körében a hatályos Adatvédelmi Jogszabályokkal összhangban történjen, és az érintett személyek jogainak védelme biztosítva legyen. Az ennek elvégzését igazoló dokumentumokat a Megbízó kívánságára haladéktalanul a rendelkezésére kell bocsátani.
1. Megbízott biztosítja Megbízónak, illetve a Megbízó által megfelelően felhatalmazott más ellenőrnek azon tájékoztatásokra, betekintésre, belépésre, hozzáférésre és ellenőrzésre vonatkozó jogosultságokat, amelyek szükségesek ahhoz, hogy a Megbízó a GDPR 28. cikkében szereplő feltételek, valamint a jelen Megállapodásban rögzítettek betartását – a végrehajtott technikai és szervezeti intézkedések betartását is beleértve –felügyelni, ellenőrizni és igazolni tudja.
1. A Megbízó idejében előre tájékoztatja Megbízottat 7.2 pont szerinti helyszíni ellenőrzésekről. Az ellenőrzés elvégzése céljából Megbízó jogosult a Megbízott bármely üzleti helyiségébe belépni és ott helyszíni ellenőrzést tartani. Halasztást nem tűrő, azonnali intézkedést igénylő esetekben a Megbízó előzetes tájékoztatás nélkül is élhet ellenőrzési jogával. Megbízott különösen is kötelezi magát, hogy Megbízó részére hozzáférést biztosít adatok feldolgozásával összefüggésben álló, releváns adatfeldolgozó eszközökhöz és dokumentumokhoz az ellenőrzés és felülvizsgálat lehetővé tétele érdekében. A Megbízott a Megbízó rendelkezésére bocsát minden információt, amelyre Megbízónak az ellenőrzéshez szüksége van.
1. A Megbízó kérésére Megbízott a Megbízót a hatósági felügyeleti eljárások során a tőle telhető módon támogatja, ha és amennyiben a felügyeleti eljárás tárgya a jelen Megállapodás szerinti személyes adatok feldolgozása. A Megbízott különösen a Megbízó kérésére Megbízónak vagy közvetlenül a Felügyeleti Hatóságnak megad minden, az adatfeldolgozással összefüggő információt és megfelelő tájékoztatást, és a Felügyeleti Hatóságnak biztosítja a lehetőséget arra, hogy Megbízottnál ugyanolyan terjedelemben ellenőrzést végezzen, mint amilyen ellenőrzést a felügyeleti hatóság a Megbízónál végezhet. A Megbízott ennek keretében is minden szükséges hozzáférési, tájékoztatási és betekintési jogosultságot biztosít az illetékes Felügyeleti Hatóság számára.
Hatály
1. A jelen Megállapodás tartama azonos a Felek közötti Szerződés tartamával, az a Szerződés megszűnésével automatikusan megszűnik.
1. Jelen Megállapodás rendelkezéseinek bármely súlyos megszegése egyben súlyos szerződésszegésnek minősül a Szerződés tekintetében is és feljogosítja a szerződésszegéssel érintett Felet mind a jelen Megállapodás, mind a Szerződés azonnali hatályú megszüntetésére.
Személyes adatok törlése
1. Az átadott dokumentumokat, személyes adatokat és adathordozókat, valamint mindazon adatokat, amelyeket a Megbízott a Megbízó megbízásából a jelen Megállapodás keretében a mindenkori 1. sz. Mellékletben meghatározott célokra feldolgoz, a Megbízott birtokában lévő mindazon dokumentumokat, amelyek a Megbízó adatait tartalmazzák, az adatfeldolgozás eredményeit, a Megbízó adatait tartalmazó adatbázisokat, valamint mindezek másolatait a megbízás megszűnésével Megbízott a Megbízó választása szerint köteles törölni, illetve megsemmisíteni vagy visszaszolgáltatni, amennyiben Megbízottat nem terheli az Európai Unió jogszabályai vagy az Európai Unió tagállamainak jogszabályai szerinti, a személyes adatok tárolására vonatkozó kötelezettség. Amennyiben további, tárolásra vonatkozó kötelezettség áll fenn, a Megbízott köteles a személyes adatok feldolgozását korlátozni és az adatokat csak azon célokra használni, amelyekre nézve a tárolási kötelezettsége fennáll. A biztonságos feldolgozásra vonatkozó, jelen Megállapodás szerinti kötelezettségek a tárolás időtartamára továbbra is fennállnak. A Megbízott köteles az adatokat haladéktalanul törölni, mihelyt a tárolási kötelezettsége megszűnik.
1. A Megbízó a fentiek előtt is bármikor kérheti az adatok törlését, illetve megsemmisítését vagy kiadását.
1. Amennyiben a Megbízott részéről adattörlésre kerül sor, a Megbízott köteles minden törölhető elektronikus adathordozót, amelyek a Megbízó adatait tartalmazzák, az Adatvédelmi Jogszabályoknak megfelelően, nem helyreállítható módon törölni. Az adatbázis-rendszerekben szereplő adatokat úgy kell törölni a logikai struktúrából, hogy a törlés ne legyen visszaállítható. Megbízott köteles technikailag és szervezetileg biztosítani, hogy az adatok ténylegesen törlésre kerüljenek.
1. A törlési, megsemmisítési vagy kiadási folyamatokat a dátum, a mód és a végrehajtó személy megjelölésével kell jegyzőkönyvezni. A jegyzőkönyveket, valamint a végrehajtás igazolását írásos formában Megbízó kérésére rendelkezésre kell bocsátani.
Felelősség
1. Megbízott teljes mértékben felelős a Megbízó felé minden olyan kárért, amelyet ő, a munkavállalói vagy az általa megbízott bármely személy okozott a Megállapodás teljesítése során, vagy azzal összefüggésben.
1. Megbízott vállalja, hogy kártalanítja a Megbízót az Érintettek által érvényesített igényekkel szemben, amennyiben ezek az igények Megbízottnak a jelen Megállapodás és/vagy a GDPR szerinti kötelezettségei megszegéséből erednek.
Alvállalkozók
1. A Megbízott a Megbízó előzetes írásos engedélye alapján vehet igénybe alvállalkozót. A Megbízott felel az igénybe vett alvállalkozó tevékenységének adatvédelmi megfelelőségéért és az általa okozott kárért.
Vegyes rendelkezések
1. A félreértések elkerülése végett Felek rögzítik, hogy Megbízott viseli a jelen Megállapodás hatálya alá tartozó kötelezettségeinek betartásából és megvalósításából eredő minden költségét.
1. Felek megállapodnak, hogy a jelen Megállapodásra Magyarország joga irányadó és bármely jogvita esetén a hatáskörrel és illetékességgel rendelkező bíróság jár el.
1. Jelen Megállapodást Felek, mint akaratukkal mindenben megegyezőt jóváhagyólag írják alá.

Megbízó
Aláírás helye és dátuma:	_____________________________________
	_____________________________________
	[Cégnév] képviseli: [képviseletre jogosult neve és beosztása]

Megbízott
Aláírás helye és dátuma:	_____________________________________
	_____________________________________
	[Cégnév] képviseli: [képviseletre jogosult neve és beosztása]

1. sz. Melléklet: Adatfeldolgozási megbízás tartalma

2. sz. Melléklet: IT előírások

1. sz. Melléklet: Adatfeldolgozási megbízás tartalma

A megbízás tárgya


*Az Megbízás tárgya*	*Az Adatkezelés jellege*	*Az Adatfeldolgozás célja*	*Kezelt adatok köre*	*Az Adatfeldolgozás időtartama*	*Érintettek köre*
…..	…..	…..	……	…..	…

Utasításra jogosult személyek ( adatvédelmi megbízott (tisztviselő) adatai amennyiben kinevezésre került)

2.1. Megbízó részéről utasítások adására jogosult személyek:

……………………………………………………………………………………………….

(Név, szervezeti egység, beosztás, telefon, email)

2.2. Megbízott részéről utasítások fogadására kijelölt személyek:

……………………………………………………………………………………………….

(Név, szervezeti egység, beosztás, telefon, email)

A kapcsolattartó személyében bekövetkezett változást vagy a kapcsolattartó személy akadályoztatása esetén az utódot, illetve a helyettest haladéktalanul írásban kell közölni a másik Féllel.

Technikai és szervezeti intézkedések

Megbízott aláírásával megerősíti, hogy a Megállapodásban szereplő technikai és szervezeti intézkedések érvényesek a jelen 1. sz. Mellékletben írt megbízásra.

Időtartam (Megállapodás futamideje)

Határozatlan/…………….

Aláírás helye és dátuma:	_____________________________________
	_____________________________________
	[Cégnév] képviseli: [képviseletre jogosult neve és beosztása]
Aláírás helye és dátuma:	_____________________________________
	_____________________________________
	[Cégnév] képviseli: [képviseletre jogosult neve és beosztása]

2. sz. Melléklet: Technikai szervezési előírások

Az Adatfeldolgozó technikai és szervezési intézkedései

A helyes technikai és szervezési intézkedéseknek meg kell felelniük az alkalmazandó jogszabályokban megfogalmazott követelményeknek. Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálják.

Az adott adatfeldolgozástól függően a következő intézkedések betartása szolgálhat ilyen megfelelést:

Titkosítás

A személyes adatok titkosítandók a megfelelő technológiával.

Adatfeldolgozó köteles megfelelő titkosítási technológia alkalmazásával védelemmel ellátni a mobil információs eszközökön, így nem kizárólagosan laptop számítógépeken, okostelefonokon és más mobil eszközökön, információ hordozókon (pl. memória kártya vagy hordozható hard-drive) található személyes adatokat.

A fizikai hozzáférés felügyelete

A helyiségekhez történő hozzáférés ellenőrzésére szolgáló technikai és szervezési intézkedések, különösen a jogosult személyek jogosultságának igazolása érdekében.