top of page

I'm a paragraph. Click here to add your own text and edit me. It's easy.

NAPKIRÁLY KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG ADATKEZELÉSI ÉS ADATVÉDELMI SZABÁLYZAT 2024. AZ ADATKEZELŐ A Napkirály Korlátolt Felelősségű Társaság (a továbbiakban: „Adatkezelő”) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelemről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU) 2016/679 Rendeletében (a továbbiakban: „Rendelet”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: „Infotv.”) foglaltaknak való megfelelés, a belső adatkezelési folyamatainak szabályozása, azok nyilvántartása, valamint az érintettek jogainak biztosítása érdekében, az adatvédelmi és adatbiztonság rendjének szabályozása végezz a Rendelet 24. cikkére is tekintettel az alábbi adatvédelmi Szabályzatot (a továbbiakban: „Adatvédelmi Szabályzat”, „Szabályzat”) alkotja. Adatkezelő megnevezése: Napkirály Korlátolt Felelősségű Társaság Adatkezelő cégjegyzékszáma: 02-09-087372 Adatkezelő székhelye: 7633 Pécs, Esztergár Lajos utca 5/a 3. em. 2. ajtó Adatkezelő elektronikus címe: info@naphostel.com Adatkezelő képviselője: Raffai Norbert ügyvezető I. FEJEZET ÁLTALÁNOS RENDELKEZÉSEK 1. Szabályzat célja 1.1. A jelen Szabályzat célja, hogy az Adatkezelő meghatározza a működésével összefüggésben kezelt személyes adatok kezelésére, továbbítására, feldolgozására és védelmére vonatkozó szabályokat, az adatkezeléssel érintett szervezeti egységeknél és az azoknál foglalkoztatott munkavállalók feladat- és hatáskörét, továbbá a személyes adatok kezelésével kapcsolatos felelősségi köröket. 2. A szabályzat hatálya 2.1. A Szabályzat személyi hatálya a munkavállalókra, továbbá az Adatkezelővel munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott (a továbbiakban együtt: „munkavállaló(k)”) személyekre, valamint az Adatkezelővel egyéb jogviszonyba kerülő személyre terjed ki. 2.2. A Szabályzat tárgyi hatálya kiterjed - az adatkezelési módszertől függetlenül - az Adatkezelőnél folyó valamennyi személyes adatkezeléssel együtt járó eljárásra, továbbá az Adatkezelő kezelésében lévő személyes adatokra. 2.3. Jelen Szabályzat, valamint az abban foglalt rendelkezések az aláírása napján lépnek hatályba, az ügyvezető jóváhagyását követően. 2.4. Jelen Szabályzatban foglalt rendelkezéseket az Adatkezelő többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben jelen Szabályzatban foglalt rendelkezések és az Adatkezelő egyéb szabályzataiban foglalt rendelkezések között a személyes adatok kezelése, vagy védelme tekintetében ellentmondás áll fenn, úgy jelen Szabályzat rendelkezéseit kell alkalmazni. 1 3. Fogalmak 3.1. A szabályzat fogalmi rendszere megfelel a Rendelet 4. cikkében, illetve az Infotv. 3 §-ában meghatározott fogalmi rendszernek, mely fogalmmeghatározásokat jelen szabályzat is tartalmaz: GDPR Info tv. 1. "személyes adat": azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 1. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy; 1a. * azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 2. "adatkezelés" : a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; 2. személyes adat: az érintettre vonatkozó bármely információ; 3. "az adatkezelés korlátozása" : a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából; 3. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok, 4. "profilalkotás" : személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják; 3a. genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered; 5. "álnevesítés" : a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni; 3b. biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat; 6. "nyilvántartási rendszer" : a személyes adatok bármely módon - centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely 3c. egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve 2 meghatározott ismérvek alapján hozzáférhető; a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról; 7. "adatkezelő" : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; 4. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; 8. "adatfeldolgozó" : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; 5. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; 9. "címzett" : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak; 6. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli; 10. "harmadik fél" : az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak; 7. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez; 11. "az érintett hozzájárulása" : az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez; 9. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja; 12. "adatvédelmi incidens" : a biztonság olyan sérülése, 9a. közös adatkezelő: az az adatkezelő, aki 3 amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval; 13. "genetikai adat" : egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered; 10. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése; 14. "biometrikus adat" : egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat; 10a. bűnüldözési célú adatkezelés: a jogszabályban meghatározott feladat- és hatáskörében a közrendet vagy a közbiztonságot fenyegető veszélyek megelőzésére vagy elhárítására, a bűnmegelőzésre, a bűnfelderítésre, a büntetőeljárás lefolytatására vagy ezen eljárásban való közreműködésre, a szabálysértések megelőzésére és felderítésére, valamint a szabálysértési eljárás lefolytatására vagy ezen eljárásban való közreműködésre, továbbá a büntetőeljárásban vagy szabálysértési eljárásban megállapított jogkövetkezmények végrehajtására irányuló tevékenységet folytató szerv vagy személy (a továbbiakban együtt: bűnüldözési adatkezelést folytató szerv) ezen tevékenység keretei között és céljából – ideértve az ezen tevékenységhez kapcsolódó személyes adatok levéltári, tudományos, statisztikai vagy történelmi célból történő kezelését is – (a továbbiakban együtt: bűnüldözési cél) végzett adatkezelése; 15. "egészségügyi adat" : egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról; 10b. nemzetbiztonsági célú adatkezelés: a nemzetbiztonsági szolgálatok jogszabályban meghatározott feladat- és hatáskörében végzett adatkezelése, valamint a rendőrség terrorizmust elhárító szervének jogszabályban meghatározott feladat- és hatáskörében végzett, a nemzetbiztonsági szolgálatokról szóló törvény hatálya alá tartozó adatkezelése; 16. "tevékenységi központ" : 10c. honvédelmi célú adatkezelés: a honvédelmi adatkezelésekről szóló törvény, és a Magyar Köztársaság területén szolgálati céllal tartózkodó külföldi fegyveres erők, valamint a Magyar Köztársaság területén felállított nemzetközi katonai parancsnokságok és állományuk nyilvántartásáról, valamint 4 jogállásukhoz kapcsolódó egyes rendelkezésekről szóló törvény hatálya alá tartozó adatkezelés; a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni; 11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak; 11a. közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása; 17. "képviselő" : az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában; 11b. nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet és annak alárendelt szervei, továbbá olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre; 18. "vállalkozás" : gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is; 12. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; 19. "vállalkozáscsoport" : az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások; 13. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges; 20. "kötelező erejű vállalati szabályok" : a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részére történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ; 15. adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján; 21. "felügyeleti hatóság" : egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv; 16. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése; 22. "érintett felügyeleti hatóság" : az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: 17. adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége; a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; 18. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti 19. adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően 5 hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; c) panaszt nyújtottak be az említett felügyeleti hatósághoz; 20. adatközlő: az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi; 23. "személyes adatok határokon átnyúló adatkezelése" : 21. adatállomány: az egy nyilvántartásban kezelt adatok összessége; a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy 22. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek; b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket; 23. EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; 24. "releváns és megalapozott kifogás" : a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét; 24. harmadik ország: minden olyan állam, amely nem EGT-állam; 25. "az információs társadalommal összefüggő szolgáltatás" : az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás; 26. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi; 26. "nemzetközi szervezet" : a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre. 27. profilalkotás: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul; 28. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz; 6 29. álnevesítés: személyes adat olyan módon történő kezelése, amely – a személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni; 3.2. Amennyiben a mindenkori hatályos adatvédelmi jogszabályok fogalommagyarázatai eltérnek a Szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadóak. 3.3. Amennyiben a Szabályzat vagy az Adatkezelő egyéb, személyes adatok kezelését szabályozó dokumentuma adatkezelésre, vagy adatokra hivatkozik, azon - eltérő rendelkezés hiányában - személyes adat kezelést, illetve személyes adatokat kell érteni. 4. Az adatkezelés elvei és az azok érvényesülése érdekében ellátandó feladatok 4.1. Adatkezelés célhoz kötöttsége 4.1.1. Személyes adatok kezelésére csak meghatározott, egyértelmű és jogszerű célból, a Rendeletben meghatározott valamely jogalap fennállása esetén kerülhet sor. 4.1.2. A meghatározott célból kezelt személyes adatot az Adatkezelő az eredetileg meghatározott céltól eltérő egyéb célból csak megfelelő jogalap esetén kezel. Az Adatkezelő a további adatkezelést megelőzően köteles megfelelően tájékoztatni az érintettet az eredeti céltól eltérő célból történő adatkezelésről. 4.1.3. Az Adatkezelő gondoskodik arról, hogy a személyes adatokhoz csak olyan munkavállalói, illetve adatfeldolgozói férhessenek hozzá, akik, vagy amelyek adatkezelése, adatfeldolgozása vonatkozásában a célhoz kötöttség elve megvalósul. 4.1.4. A célhoz kötöttség elve megvalósulásának biztosítása az Adatkezelő szervezetére vonatkozóan az ügyvezető kötelezettsége. 4.1.5. Az adatkezelés megkezdésekor az Adatkezelő meghatározza az adatkezelés célját. A cél megvalósulását követően a kezelt személyes adatok törli. Az Adatkezelő nem törli az adatot, ha az adatkezelésre más, az Adatkezelő érdekében fennálló célból is sor kerül, vagy az adat tárolása az érintettek jogainak gyakorlása érdekében szükséges. 4.2. A jogszerű, tisztességes és átlátható adatkezelés 4.2.1. Az Adatkezelő az átláthatóság elvének érvényesítése érdekében tájékoztatja az érintettet az adatkezelés lényeges jellemzőiről. Az adatkezelés jellemzőit írásban is rögzíti. 4.2.2. Az Adatkezelő az adatokat az adatkezelésre irányadó adatvédelmi, illetve ágazati jogszabályokban meghatározottak szerint kezeli. 4.2.3. Az Adatkezelő a jogszerűség elvének megfelelően valamennyi adatkezelése során folyamatosan vizsgálja, hogy az adatok kezelésére az irányadó adatvédelmi jogszabályokban, így különösen a GDPR és esetlegesen az Infotv. szerint került-e sor, továbbá, hogy az adatkezelések megfelelő jogalapja fennáll-e, az adott adatokat megfelelő jogalap alapján kezelik-e. 4.2.4. Az egyes adatkezelések tekintetében az Adatkezelő megállapítja az adatkezelés jogalapját és azt, hogy az adatkezeléshez szükséges, jogalapot alátámasztó dokumentáció rendelkezésre áll-e. Az Adatkezelő adatkezeléseinek jogalapja és a szükséges dokumentációk különösen: 4.2.4.1. Az érintett hozzájárulásán alapuló adatkezelés tekintetében az érintett vagy törvényes képviselőjének dokumentált módon bizonyított nyilatkozata, amellyel az érintett 7 félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; 4.2.4.2. Az érintettel kötött vagy megkötendő szerződés teljesítéséhez szükséges adatkezelés tekintetében az érintettel kötött szerződés; 4.2.4.3. Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges adatkezelés tekintetében az adatkezelést elrendelő vagy szükségessé tevő jogszabályi rendelkezés pontos megnevezése; 4.2.4.4. Az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése esetén az érdekmérlegelési teszt elvégzése. 4.2.5. A hozzájáruláson alapuló adatkezelés dokumentálása érdekében az Adatkezelőnek minden hozzájáruláson alapuló adatkezelés esetén át kell vizsgálni, hogy 4.2.5.1. Jogalapot alátámasztó dokumentáció rendelkezésre áll-e, és annak megszerzésére a belső eljárásrend szerint került-e sor; 4.2.5.2. Az adott adat kezeléséhez a hozzájárulás volt-e a megfelelő jogalap; 4.2.5.3. A hozzájárulás beszerzése a megfelelő formátumban történt-e meg; 4.2.5.4. A hozzájárulás megadása előtt az érintett megfelelő tájékoztatására sor került-e. 4.3. Az adattakarékosság 4.3.1. Az Adatkezelő csak olyan személyes adatot kezel, amely az adatkezelés céljának megvalósítására alkalmas, releváns és szükséges. Személyes adatot csak a cél megvalósulásához szükséges mértékben és ideig kezel. 4.3.2. A meghatározott adatkezelési cél eléréséhez szükséges személyes adatok körét, valamint azok kezelésének idejét az egyes adatkezelések jellemzőit az Adatkezelő által kihirdetett adatvédelmi tájékoztatók tartalmazzák. 4.4. Pontosság 4.4.1. Az Adatkezelő által kezelt személyes adatok pontosak és naprakészek. Az Adatkezelő minden ész szerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából a pontatlan személyes adatok haladéktalanul törlésre vagy helyesbítésre kerüljenek. 4.4.2. Az Adatkezelő a 4.4.1. pontban rögzített kötelezettségének teljesítése érdekében rendszeres időközönként felülvizsgálja a nyilvántartásaiban kezelt adatok pontosságát és naprakészségét. 4.4.3. Az Adatkezelő az érintett figyelmét minden esetben felhívja arra, hogy a személyes adatai megváltozását késedelem nélkül köteles bejelenteni. 4.5. Korlátozott tárolhatóság 4.5.1. A személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréshez szükséges ideig teszi lehetővé. 4.5.2. A 4.5.1. pontban írtnál hosszabb ideig történő adatkezelésére (tárolására) csak közérdekű archiválás, vagy tudományos és történelmi kutatási, vagy statisztikai célból kerül sor, illetve amennyiben az, az érintetti jogok gyakorlásának biztosítása végett szükséges. 4.5.3. Az Adatkezelő az adatkezelés időtartamát adatkezelési célonként, a cél eléréséhez szükséges mértékben, a vonatkozó jogszabályok figyelembevételével határozza meg. 4.6. Elszámoltathatóság 4.6.1. Az Adatkezelő a személyes adatok kezelése során a vonatkozó jogszabályoknak való megfelelést utóbb is igazolható módon biztosítja. 4.6.2. Az Adatkezelő a 4.6.1. pontban foglaltaknak való megfelelés érdekében a személyes adatok jogszerű kezelésével kapcsolatos minden lényeges körülményt, megtett intézkedését - így különösen, de nem kizárólagosan az elvégzett hatásvizsgálatokat, érdekmérlegeléseket, az 8 adatkezeléssel kapcsolatos döntések jogi indokát, illetve az érintetti hozzájárulás tényét - írásban rögzíti. 5. Adatbiztonság 5.1. Az Adatkezelő az adatkezelés során mindvégig gondoskodik a kezelt személyes adatok ésszerűen elvárható legmagasabb szintű biztonságról. Az Adatkezelő az adatkezelési műveleteit oly módon végzi, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosított legyen a személyes adatok megfelelő biztonsága, továbbá az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelem is. E mellett az Adatkezelő a személyes adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltoztatásából fakadó hozzáférhetetlenné válás ellen. Az Adatkezelő ennek biztosítása érdekében többek között az 5.9. pontban foglaltak szerint biztonsági másolatokat készít. 5.2. Az Adatkezelő az adatkezelési műveleteit úgy tervezi meg és hajtja végre, hogy az adatkezelésre vonatkozó jogszabályok alkalmazása során biztosítja az érintettek magánszférájának védelmét. 5.3. Az adatkezeléssel érintett vagy az arra kijelölt szervezeti egység ellenőrzi, hogy a kezelt adatok továbbításukat követően is olyan adatkezelőhöz, adatfeldolgozóhoz kerülnek, aki, vagy amely az adatok biztonságos kezeléséről megfelelően gondoskodik. 5.4. Az Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és célja, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezeti intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a Rendelet, valamint az egyéb személyes adatvédelmi szabályok érvényre juttatásához szükségesek. 5.5. A személyes adatok kezelése során az Adatkezelő biztosítja: 5.5.1. A jogosulatlan adatbevitel megakadályozását; 5.5.2. Az adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását tűzfal alkalmazásával. 5.6. A papír alapon kezelt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza: 5.6.1. az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem fér hozzá, más számára fel nem tárható; 5.6.2. a dokumentumokat jól zárható, vagyonvédelmi és tűzjelző berendezéssel ellátott helyiségben őrzi; 5.6.3. a folyamatos aktív, kezelésben lévő iratokhoz csak az illetékeseknek biztosít hozzáférést; 5.6.4. az adatkezelést végző munkavállaló a nap folyamán csak úgy hagyja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathorozókat elzárja, vagy az irodát bezárja; 5.6.5. az adatkezelést végző munkavállaló a munkavégzés befejeztével az általa használt papíralapú adathordozót elzárja; 5.6.6. amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza; 5.6.7. a személyes adatokat tartalmazó papír alapú dokumentumok megsemmisítése oly módon történik, hogy később semmilyen módszerrel ne lehessen azok adattartalmát visszaállítani (iratmegsemmisítés); 5.6.8. irattári tervben előre meghatározza a papír alapú dokumentumok tárolásának időtartamát, valamint megsemmisítésének idejét, mely időpontok jogszabályi rendelkezésen, vagy az Adatkezelő által hozott döntésen alapulnak. 5.7. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket és garanciális elemeket alkalmazza: 5.7.1. az adatkezelés során a munkavállalók elsősorban olyan eszközöket vesznek igénybe, melyek az Adatkezelő tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír az Adatkezelő; 9 5.7.2. az Adatkezelő informatikai rendszerére kívülről történő rácsatlakozás biztonságosan, kizárólag felhasználóval és jelszóval lehetséges; 5.7.3. a számítógépen található adatokhoz érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről az Adatkezelő rendszeresen gondoskodik; 5.7.4. amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adat visszaállíthatatlanul törlésre kerül; 5.7.5. a munkavállalók a munkavégzésükkel összefüggésben kizárólag az Adatkezelő által biztosított e mail címet jogosultak használni; 5.7.6. az 5.7.5 pont szerinti email címet a munkavállalók magáncélra nem használhatják; 5.7.7. az Adatkezelő a személyes adatokat kezelő hálózaton a vírusvédelemről és tűzfalvédelemről folyamatosan gondoskodik; a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését. 5.8. Az Adatkezelő az adattovábbítások során különös figyelemmel jár el az adatbiztonság elvének biztosítása érdekében, és kizárólag olyan csatornán végez adattovábbítást, mely biztonságos. 5.9. Az Adatkezelő rendszeres biztonsági mentésekkel gondoskodik arról, hogy fizikai vagy műszaki incidens esetén a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza tudja állítani. Amennyiben a biztonsági mentésből visszaállítás történik, az Adatkezelő gondoskodik arról, hogy törölt, vagy helyesbített személyes adat ne kerülhessen visszaállításra. 5.10. Az Adatkezelő elektronikusan kezelt személyes adatokat kizárólag olyan esetben nyomtat ki, amikor ez kifejezetten szükséges valamilyen jog gyakorlásához, vagy kötelezettség teljesítéséhez. Az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések biztosítják, hogy a személyes adatok alapértelmezés szerint természetes személy beavatkozása nélkül ne váljanak hozzáférhetővé meghatározatlan számú személy számára. 5.11. Az Adatkezelő biztosítja, hogy a személyes adatok különböző kategóriához kizárólag azokban a munkakörökben foglalkoztatott munkavállalók férnek hozzá, akiknek a munkaköri feladata az adott személyes adatok kezeléséhez kapcsolódik. A munkavállalók saját jelszóval és felhasználói fiókkal rendelkeznek a számítástechnikai rendszerekhez, ezzel biztosítva a jogosulatlan hozzáférés megelőzését. A személyes adatokat tartalmazó papír alapú iratok tárolása akként történik, hogy az iratokhoz csak azon munkavállalók férnek hozzá, akik jogosultak a személyes adatok kezelésére. 6. Adatkezelés jogalapja 6.1. A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: 6.1.1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; 6.1.2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; 6.1.3. az adatkezelés az adatkezelőre vonatkozó uniós, vagy nemzeti jogi kötelezettség teljesítéséhez szükséges; 6.1.4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; 6.1.5. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; 6.1.6. az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. 10 6.2. Amennyiben az Adatkezelő az adatgyűjtés céljától eltérő célból kezel személyes adatot, és az adatkezelés nem az érintett hozzájárulásán vagy jogszabályi rendelkezésen alapul, akkor az Adatkezelő az adatkezelés megkezdését megelőzően a következőket veszi figyelembe: 6.2.1. a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat; 6.2.2. a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az Adatkezelő közötti kapcsolatokra; 6.2.3. a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó; 6.2.4. azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése; 6.2.5. megfelelő garanciák meglétét. 6.3. A hozzájárulás, mint jogalap Ha az adatkezelés hozzájárulásán alapul, az Adatkezelő a hozzájárulást úgy szerzi be, hogy később képes legyen annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult, és a hozzájárulása az akaratának: 6.3.1. önkéntes; 6.3.2. konkrét és megfelelő tájékoztatáson alapuló; 6.3.3. egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. A fenti kritériumnak való megfelelés érdekében az érintetti hozzájáruláson alapuló adatkezelést megelőzően az Adatkezelő az érintettet tájékoztatja az adatkezelésre vonatkozó – jelen Szabályzat 8.1. pontjában meghatározottaknak megfelelően – releváns tényekről, ennek hiányában ugyanis az érintetti hozzájárulás nem tekinthető megadottnak, hiszen ezen információk hiányában érdemi döntést nem tud hozni az adatai tekintetében. A hozzájárulási nyilatkozatnak – függetlenül annak megjelenési formájától – teljesítenie kell a következő feltételeket: 6.3.4. legyen egyértelmű; 6.3.5. más ügyektől elkülöníthető; 6.3.6. érthető, világos, egyszerű nyelvezetű. A fentiekre tekintettel, ha az érintett hozzájárulását olyan írásbeli szerződésben, vagy egyéb nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világ és egyszerű nyelvezettel. A munkáltatói adatkezelés a munkajogviszony természetéből eredő alá-, fölérendeltségi viszonyból következően hozzájáruláson kivételesen, kizárólag akkor alapulhat, ha az adatkezelési művelet természetéből következően a munkavállalónak valóban van lehetősége a hozzájárulás megtagadására. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Az Adatkezelő erről az érintettet tájékoztatja a hozzájárulás megadása előtt, valamint arról is, hogy hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. Az Adatkezelő a hozzájárulás visszavonását ugyanolyan egyszerűen teszi lehetővé, mint annak megadását. 6.4. Szerződéses jogalap alkalmazása Az Adatkezelő megfelelő jogalappal rendelkezik az adatkezelésre vonatkozóan, amennyiben az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. E jogalap alkalmazandó tehát: 6.4.1. a, szerződéskötésre irányuló közvetlen cselekmények esetében (ajánlatkérés, ajánlatadás, szerződéses feltételek egyeztetése), amennyiben azokra az érintett kérésére kerül sor, illetve 11 6.4.2. b, amennyiben érvényes és hatályos szerződésben az érintett az egyik fél és e szerződés teljesítéséhez szükséges az adatkezelés. 6.5. Jogi kötelezettség teljesítése Jogi kötelezettség teljesítése az adatkezelés jogalapja, amennyiben az adatkezelést olyan törvény, önkormányzati rendelet vagy az Európai Unió kötelező jogi aktusa írja elő, amely meghatározza a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessé időszakos felülvizsgálatát. Ez esetben az Adatkezelő az adatkezelést előíró konkrét jogszabályhely megjelölésével tájékoztatja az tájékoztatja az érintettet. Amennyiben törvény vagy rendelet olyan jogi kötelezettséget ír elő, amelyet az Adatkezelő csak a személyes adatok kezelésével tud teljesíteni, azonban a törvény nem határozza meg az adatkezelés pontos körülményeit, vagyis ezen jogszabályi előírás esetében hiányoznak az Infotv. 5. § (3) bekezdése által fent meghatározott adatkezelési körülmények, úgy a Rendelet 6. cikk (1) c) pontja szerinti jogalap nem alkalmazható. Szintén nem ez a jogalap alkalmazandó, amennyiben a jogszabály lehetőséget ad az adatkezelésre, azonban arra nem kötelezi az adatkezelőt és az Info tv. 5. § (3) bekezdésében foglalt feltételek hiányoznak. 6.6. Jogos érdek, mint jogalap Jelen Szabályzat 6.1. f) pontja szerint kerülhet sor az adatkezelésre, ha az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Az adatkezelés megkezdése előtt az Adatkezelő érdekmérlegelési tesztet végez annak megállapítására, hogy az adatkezelő jogos érdeke mennyiben érinti hátrányosan az érintettek jogait és szabadságait. A tesztben az Adatkezelő: 6.6.1. megvizsgálja, hogy valóban szükséges-e az adatkezelés; 6.6.2. meghatározza a saját, vagy a harmadik személy jogos érdekét; 6.6.3. meghatározza az érintettek védendő érdekeit; 6.6.4. meghatározza az érintett érdekeinek védelme érdekében tett intézkedéseket, biztosítékokat 6.6.5. összeveti a saját maga és az érintettek jogos érdekeit, 6.6.6. megállapítja, hogy az adatkezelés végezhető-e jogszerűen. Az érintett személyes adatok védelméhez fűződő jogát és személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek – ideértve a közérdekű adatok nyilvánosságát is – nem sérthetik, illetve nem korlátozhatják. 7. Személyes adatok különleges kategóriájának kezelése 7.1. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságra vonatkozó személyes adatok kezelése kizárólag abban az esetben jogszerű, ha az alábbiak közül legalább egy feltétel teljesül: 7.1.1. az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez; 7.1.2. az adatkezelés az Adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges; 7.1.3. az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni; 7.1.4. az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott; 12 7.1.5. az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el; 7.1.6. az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy nemzeti jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő; 7.1.7. az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján; 7.1.8. az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy nemzeti jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő. 8. Érintettek jogai 8.1. Tájékoztatáshoz való jog 8.1.1. Amennyiben a személyes adatot az Adatkezelő az érintettől gyűjti, úgy a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információkat: 8.1.1.1. az Adatkezelő és képviselőjének kiléte és elérhetőségei; 8.1.1.2. az adatvédelmi tisztviselő elérhetőségei; 8.1.1.3. a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapja, hozzájáruláson alapuló adatkezelés esetén a hozzájárulás visszavonásának lehetősége; 8.1.1.4. a jogos érdeken alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei; 8.1.1.5. a személyes adatok címzettjei, a címzettek kategóriái, ha van ilyen; 8.1.1.6. adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat. 8.1.2. Az Adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja: 8.1.2.1. a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól; 8.1.2.2. az érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, az adatok hordozását, és tiltakozhat a személyes adatok kezelése ellen; 8.1.2.3. a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jogáról, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét; 8.1.2.4. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról; 8.1.2.5. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul, vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása; 8.1.2.6. ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír. 8.1.3. Ha az Adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintett rendelkezésre bocsátja a következő információkat: 8.1.3.1. az Adatkezelő és képviselőjének kiléte és elérhetőségei; 8.1.3.2. az adatvédelmi tisztviselő elérhetőségei; 8.1.3.3. a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapja; 8.1.3.4. az érintett személyes adatok kategóriái; 13 8.1.3.5. a személyes adatok címzettjei, a címzettek kategóriái, ha van ilyen; 8.1.3.6. adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetiközi szervezet részére kívánja továbbítani a személyes adatokat. 8.1.4. Az Adatkezelő annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja: 8.1.4.1. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; 8.1.4.2. a jogos érdeken alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdeke; 8.1.4.3. az érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról; 8.1.4.4. d, a hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét; 8.1.4.5. e, a felügyeleti hatósághoz címzett panasz benyújtásának jogáról; 8.1.4.6. f, a személyes adatok forrásáról; 8.1.4.7. g, ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír. 8.1.5. Az Adatkezelő a 8.1.3. és a 8.1.4. pontban írt tájékoztatásokat az alábbiak szerint adja meg: 8.1.5.1. a, személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül; 8.1.5.2. ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy 8.1.5.3. ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor. 8.1.6. A 8.1.3. és 8.1.4. szerinti tájékoztatást nem kell megadni, amennyiben 8.1.6.1. az érintett már rendelkezik az információkkal; 8.1.6.2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Ilyen esetekben az Adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében; 8.1.6.3. az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy 8.1.6.4. a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is bizalmasnak kell maradnia. 8.1.7. Ha az Adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden releváns kiegészítő információról. 8.1.8. Az Adatkezelő minden tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt. 8.2. Hozzáférési jog 8.2.1. Az érintett kérelmére az Adatkezelő tájékoztatja, hogy a személyes adatainak kezelése folyamatban van-e és ha igen, akkor a személyes adatokhoz és a következő információkhoz hozzáférést biztosít a részére: 14 8.2.1.1. az adatkezelés céljai; 8.2.1.2. az érintett személyes adatok kategóriái; 8.2.1.3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölte vagy közölni fogja, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket; 8.2.1.4. a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; 8.2.1.5. az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; 8.2.1.6. valamely felügyeleti hatósághoz címzett panasz benyújtásának, illetve bírósági eljárás megindításának joga; 8.2.1.7. ha az adatokat nem az érintettől gyűjtötte, a forrásukra vonatkozó minden elérhető információ; 8.2.1.8. ha sor kerül automatizált döntéshozatalra, ennek tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, tehát arról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír. 8.2.2. Az Adatkezelő kérelemre köteles az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátani. Az érintett által kért további másolatokért az Adatkezelő ésszerű – a felmerült költségeivel arányos – mértékű díj felszámításra jogosult. A díj mértékéről, számításának módjáról az ügyvezető rendelkezik. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk széles körben használt elektronikus formátumban kerülnek rendelkezésre bocsátásra, kivéve, ha az érintett másként kéri. A személyes adatok rendelkezésre bocsátása nem érintheti hátrányosan mások jogait és szabadságait. 8.3. Személyes adatok helyesbítéséhez való jog 8.3.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse, vagy kiegészítse a rá vonatkozó pontatlan, vagy hiányos személyes adatokat. 8.3.2. Az Adatkezelő az érintettel történő kapcsolatfelvétel során lehetőség szerint, a jogszabályi keretek között egyezteti az érintett személyes adatait. 8.3.3. Az adat helyesbítésének (módosításának) kérése esetén a módosítani kért adat valóságát az érintettnek alá kell támasztania, és igazolnia kell azt is, hogy valóban az arra jogosult személy kéri az adat módosítását. Az Adatkezelő csak így tudja megítélni azt, hogy az új adat valós-e, és ha igen, akkor módosíthatja-e a régit. Amennyiben nem egyértelmű, hogy a kezelt adat helyes-e vagy pontos-e, akkor az Adatkezelő az adatot nem helyesbíti, csak megjelöli, azaz jelzi, hogy azt az érintett kifogásolta, de nem biztos, hogy helytelen. Az Adatkezelő a kérés hitelességének megerősítését követően, indokolatlan késedelem nélkül helyesbíti a pontatlan személyes adatokat, illetve kiegészíti a kérelemmel érintett adatokat. A helyesbítésről vagy megjelölésről az Adatkezelő az érintettet értesíti. 8.3.4. A személyes adatok egyeztetése kizárólag biztonságos kommunikációs csatornán keresztül történhet. 8.4. Személyes adatok törléséhez való jog (elfeledtetéshez való jog) 8.4.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll: 8.4.1.1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; 8.4.1.2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; 15 8.4.1.3. az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik a közvetlen üzletszerzés céljából történő adatkezelés ellen; 8.4.1.4. a személyes adatokat jogellenesen kezelték; 8.4.1.5. a személyes adatokaz az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; 8.4.1.6. a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor. 8.4.2. Ha az Adatkezelő a jogszerűen nyilvánosságra hozott személyes adatot a 8.4.1. pontban foglaltakra tekintettel törli, az elérhető technológia és a megvalósítás költségeinek figyelembevételével minden észszerű és elvárható intézkedést megtesz – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatot kezelő további adatkezelőket, hogy az érintett kérelme alapján a szóban forgó személyes adatokra mutató linket vagy e személyes adat másolatát, illetve másodpéldányát törölni szükséges. 8.4.3. A 8.4.1. és a 8.4.2. bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges: 8.4.3.1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából; 8.4.3.2. a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből végzett feladat végrehajtása céljából; 8.4.3.3. a népegészségügy területét érintő közérdek alapján; 8.4.3.4. a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetni az adatkezelést; vagy 8.4.3.5. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelemhez. 8.4.4. Az adatok törlése véglegesen és visszaállíthatatlanul történik. Az Adatkezelő a törlést úgy hajtja végre, hogy a Szabályzatban foglaltak szerint azt később igazolni tudja. A papír alapú személyes adatok törlése iratmegsemmisítő gép alkalmazásával történik. Személyes adatot tartalmazó okirít, vagy tárgy megsemmisítésére kizárólag olyan módon kerül sor, amely lehetetlenné teszi, hogy bármilyen módszerrel a személyes adat az adathordozóból újból előállítható legyen. 8.5. Tiltakozási jog a személyes adatok kezelése ellen 8.5.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen amennyiben az adatkezelés: 8.5.1.1. a közérdekű, az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; 8.5.1.2. az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ilyen esetben az Adatkezelő a személyes adatokat nem kezeli tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. 8.5.2. Amennyiben a személyes adatok kezelésére közvetlen üzletszerzés érdekében kerül sor, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is. Ha az érintett tiltakozik a személyes adatai közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők. 8.6. Az adatkezelés korlátozásához való jog 8.6.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül: 8.6.1.1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát; 16 8.6.1.2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásnak korlátozását; 8.6.1.3. az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy 8.6.1.4. az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. 8.6.2. Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatok a tárolás kivételével csak: 8.6.2.1. az érintett hozzájárulásával; 8.6.2.2. jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; 8.6.2.3. más természetes vagy jogi személy jogainak védelme érdekében; vagy 8.6.2.4. az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. 8.6.3. Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatja az Adatkezelő. 8.7. Adathordozhatóság való jog 8.7.1. Az érintett jogosult arra, hogy a rá vonatkozó, az általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az Adatkezelő, ha: 8.7.1.1. az adatkezelés hozzájáruláson, vagy szerződésen alapul; és 8.7.1.2. az adatkezelés automatizált módon történik. 8.7.2. Az érintett jogosult kérni, hogy a személyes adatait az Adatkezelő közvetlenül egy másik adatkezelőnek küldje meg. 8.8. Jogorvoslathoz való jog 8.8.1. Az érintett a 24. pontban foglaltak szerint megilleti a jogorvoslathoz való jog, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó jogszabályokban meghatározott előírás megsértésével kezeli. 9. Az érintettek jogainak érvényesítése 9.1. Az érintettek a 8. pontban írt jogaik érvényesítése, az adatkezeléssel kapcsolatos tájékoztatás kérése, észrevételeik megtétele érdekében, elektronikus úton, személyes vagy postai úton vehetik fel a kapcsolatot az Adatkezelővel. 9.2. Az Adatkezelő az érintett jogainak érvényesítésére irányuló kérelmeket a Szabályzat IX. fejezetében meghatározott vonatkozó belső eljárásrend szerint a Rendelet előírásainak megfelelően teljesíti. 9.3. Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, úgy tájékoztatja az érintett arról is, hogy mely hatóságnál és milyen feltételek mellett élhet panasszal, vagy bírósági jogorvoslati jogával. 9.4. Az érintettet nem érheti hátrányos megkülönböztetés a Szabályzatban, vagy valamely jogszabályban a személes adatai kezelésével kapcsolatban biztosított joga gyakorlása miatt. II. FEJEZET AZ ADATKEZELÉS RÉSZTVEVŐI 10. Az adatkezelés szervezetrendszere 10.1. Az Ügyvezető 10.1.1. Az Adatkezelő vezetője az ügyvezető. Az ügyvezető felelős az Adatkezelő adatkezelésének jogszerűségéért. 17 10.1.2. Az ügyvezető az adatkezelő sajátosságainak figyelembevételével belső szabályzatban határozza meg és alakítja ki az adatvédelemre vonatkozó belső szabályokat, belső szabályrendszereket. 10.1.3. Az ügyvezető az Adatkezelő adatvédelmi tevékenységével kapcsolatban: 10.1.3.1. felelős az érintettek jogszabályokban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért; 10.1.3.2. felelős az Adatkezelő által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért; 10.1.3.3. felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért; 10.1.3.4. felelős az érintetti kérelmek teljesítéséért; 10.1.3.5. felelős az adatvédelmi feladatok ellátására alkalmas adatvédelmi tisztviselő kijelöléséért, megbízásáért továbbá nevének és elérhetőségének a NAIH részére történő bejelentéséért, és arról az adatvédelmi tisztviselőjének tájékoztatásáért; 10.1.3.6. kiadja az adatvédelmi szabályzatot; 10.1.3.7. képviseli az Adatkezelőt a külső szervektől és személyektől érkező, az Adatkezelő személyes adatokat érintő adatkezelésével összefüggő megkeresések tekintetében; 10.1.3.8. biztosítja, hogy az Adatkezelő kizárólag olyan adatfeldolgozók szolgáltatásait vegye igénybe, amelyek a személyes adatok kezelését a hatályos jogszabályok tiszteletben tartásával végzik; 10.1.3.9. kialakítja az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket és kijelöli a személyes adatok kezelésére vonatkozó jogosultságokat és ellenőrzi ezek betartását; 10.1.3.10. kijelöli az adatkezelés felügyeletét ellátó személyt, személyeket; 10.1.3.11. adatkezelést érintően irányítja és utasítja az Adatkezelő szervezeti egységeinek vezetőit; 10.1.3.12. az Adatkezelőnél lévő szervezeti egységek munkáját úgy szervezi meg, hogy a személyes adatok kezelésében csak azok a munkavállalók vegyenek részt, akiknek az a feladataik ellátásához szükséges, illetve hogy a személyes adatok arra jogosulatlanok részére ne legyenek hozzáférhetők, megismerhetők, megváltoztathatók, megsemmisíthetők; 10.1.3.13. elrendeli a munkavállalók adatvédelmi oktatását; 10.1.3.14. felelős az adattörlésre megállapított határidők megfelelőségéért, illetve a határidők leteltével az adatok törléséért; 10.1.3.15. felelős az adatvédelmi hatásvizsgálatok lefolytatásáért és rendszeres felülvizsgálatáért, valamint az ahhoz szükséges feltételek biztosításáért; 10.1.3.16. felelős az adatvédelmi hatásvizsgálat eredményének függvényében előzetes konzultáció kezdeményezéséért a NAIH-nál; 10.1.3.17. felelős az adatvédelmi incidensek nyilvántartásáért, a jogszabályi feltételek fennállása esetén a NAIH részére határidőben történő bejelentéséért, valamint az adatvédelmi incidenssel érintettek tájékoztatásáért. 10.2. Az adatkezelésben részt vevő munkavállaló 10.2.1. A munkavállaló a tevékenységének ellátása során gondoskodik arról, hogy jogosulatlan személy ne tekinthessen be az általa a feladatkörének ellátása során kezelt személyes adatokba, továbbá gondoskodik arról, hogy személyes adat tárolása, elhelyezése úgy történjen, hogy jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető. 10.2.2. A munkavállaló a feladatkörén belül felelős az adatok kezeléséért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért. Tevékenysége során amennyiben szükséges, az adatkezelési műveletet megelőzően köteles egyeztetni a szervezeti egység vezetőjével. 10.2.3. A munkavállaló kezeli és megőrzi a feladatai, illetve munkaköre ellátása során birtokába került adatokat, azok továbbítására csak jogszabály felhatalmazása, vagy a szervezeti egység vezetőjének utasítása alapján jogosult, a Szabályzatban foglaltak maradéktalan betartása mellett. 18 10.2.4. A munkavállaló az adatkezeléssel kapcsolatosan feltárt visszásságot haladéktalanul jelenti a szervezeti egység vezetője felé és szükség esetén részt vesz annak megszüntetésében. 10.2.5. A munkavállaló a tevékenysége során betartja az adatkezelésre vonatkozó jogszabályokat, valamint a jelen a Szabályzatban foglalt rendelkezéseket. 10.2.6. A munkavállaló a személyes adatok kezelését az Adatkezelő által kijelölt technikai eszközökön és az Adatkezelő által meghatározott szoftverekkel végzi. Egyéb hard-, és szoftverek használata kizárólag az ügyvezető előzetes, írásbeli engedélyével lehetséges. 10.2.7. A munkavállaló személyes adatot tartalmazó adatállományt kizárólag biztonságos csatornán jogosult továbbítani. Amennyiben a használni kívánt kommunikációs csatorna biztonságának megfelelőssége felől kétségük merül fel, az adattovábbítást megelőzően köteles a szervezeti egység vezetőjének utasítását kérni. 10.2.8. A munkavállaló jelszavas védelmet használ valamennyi személyes, vagy üzleti adat kezelésére használt eszköz esetében. 10.2.9. Amennyiben lehetséges, az érintettel történő kommunikáció során adategyeztetést kell végezni, feltéve, hogy a kommunikációs csatorna megfelelő biztonságú. 10.2.10.A munkavállaló részt vesz az Adatkezelő által szervezett adatvédelmi oktatáson. 10.2.11.A munkavállaló a szervezeti egység vezetőjét és az adatvédelmi tisztviselőt tájékoztatja minden olyan eseményről, mely esetben őt jogszerűtlen adatkezelésre kérték fel, utasították illetve a saját rendszerében bármilyen egyéb illetéktelen adathozzáférést, vagy adatkezelést tapasztalt. 11. Közös adatkezelés 11.1. Amennyiben az Adatkezelő a feladatkörébe tartozó adatkezelés céljait és eszközeit más Adatkezelővel közösen határozza meg ( a továbbiakban együttesen: „közös adatkezelők”), úgy az közös adatkezelésnek minősül. A közös adatkezelők a közös adatkezelés megkezdése előtt megállapodást kötnek, amelyben meghatározzák az adatvédelmi jogszabályok által előírt kötelezettségek teljesítéséért fennálló, feladataikkal összefüggő felelősségük megosztását, kivéve, ha a felelősség megosztása jogszabályban rendezett. 11.2. A megállapodásban rögzítik a közös adatkezelőknek az érintettekkel szembeni kötelezettségeit és feladatait, valamint a velük való kapcsolattartás módját. A közös adatkezelésre vonatkozó legfontosabb szempontokról az érintett a megállapodásban foglaltak szerint tájékoztatják. 11.3. Az érintett mindegyik adatkezelő vonatkozásában és mindegyik Adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait. A jogok biztosítása kapcsán a közös adatkezelő szervek együttműködni kötelesek. 11.4. Adatkezelő a foglalások vonatkozásában jelzi, hogy külső szolgáltatók adatkezelését magára nézve kötelezőnek tekinti, azonban az ott történő adatkezelését felelősséget nem vállal. 12. Az adatfeldolgozó 12.1. Amennyiben egy természetes vagy jogi személy tevékenységének ellátása során más személy megbízása alapján és nevében végez bármilyen adatkezelési műveletet, úgy a megbízott e művelet(ek) és az átadott adatok tekintetében a Rendelet 4. cikk 8. pontja szerinti adatfeldolgozónak minősül, illetve az Infotv. 3. § 17. pontja szerinti adatfeldolgozást végez. 12.2. Adatfeldolgozó megbízása az Adatkezelő által Az adatkezelő a Rendelet 28. cikk szerinti tartalommal adatfeldolgozói szerződést köt azzal a természetes vagy jogi személlyel, amely az Adatkezelő nevében, az Adatkezelő megbízása és utasítása alapján személyes adatot kezel. Az adatfeldolgozó kizárólag az Adatkezelő írásbeli utasításai alapján járhat el, az adatkezelést érintő érdemi döntést nem hozhat. Ha az adatfeldolgozó túlterjeszkedik a megbízás terjedelmén, így különösen, ha a megbízástól eltérő (akár saját) célból adatot kezel, úgy a túlterjeszkedés tekintetében önálló adatkezelővé válik. 19 Az adatfeldolgozási szerződés legalább az alábbi kérdéseket tisztázza: 12.2.1.1. az adatkezelési célokat, amelyek eléréséhez az Adatkezelő az adatfeldolgozó szolgáltatásait igénybe veszi; 12.2.1.2. az adatfeldolgozó által ellátott Adatkezelői tevékenység; 12.2.1.3. az adatfeldolgozás időtartamát, jellegét és célját; 12.2.1.4. az adatfeldolgozásra átadott adatok típusa; 12.2.1.5. az adatfeldolgozással érintett érintettek kategóriái; 12.2.1.6. az Adatkezelő jogai és kötelezettségei; 12.2.1.7. az adatfeldolgozó jogai és kötelezettségei. Az Adatkezelő csak olyan adatfeldolgozóval köt szerződést adatfeldolgozói feladatra, amely szerződésben vállalja, hogy: 12.2.1.8. a személyes adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli; 12.2.1.9. biztosítja, hogy az általa személyes adatok feldolgozásában résztvevő személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak; 12.2.1.10. meghozza a Rendelet 32. cikk szerinti adatbiztonsági intézkedéseket. 12.2.1.11. Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vesz igénybe; 12.2.1.12. az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintettek jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében; 12.2.1.13. adatvédelmi incidens esetén az incidens tudomására jutása pillanatában késedelem nélkül értesíti az Adatkezelőt és együttműködik az adatvédelmi incidens kezelésében; 12.2.1.14. az adatfeldolgozási szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az Adatkezelőnek, valamint a személyes adatokról készült másolatokat ezzel egyidőben megsemmisíti vagy törli; 12.2.1.15. lehetővé teszi és elősegíti, hogy az Adatkezelő ellenőrizhesse az adatvédelmi szabályok megvalósulását; 12.2.1.16. vezeti a Rendelet 30. cikk (2) bekezdése szerinti adatfeldolgozói nyilvántartást. Az adatfeldolgozásra kötött szerződést írásba kell foglalni. Az adatfeldolgozás megkezdését megelőzően az Adatkezelő meggyőződik arról, hogy az adatfeldolgozó a mindennapi tevékenysége során az adatvédelem megfelelő szintjéhez szükséges technikai és szervezési intézkedéseket megtette. Az adatfeldolgozónak a személyes adatok kezelésével kapcsolatos jogait és kötelezettségeit az ügyvezető határozza meg. Az Adatkezelő nevében utasítási joggal az ügyvezető, vagy az általa kijelölt személy rendelkezik az adatfeldolgozó tekintetében. Az utasítási joggal felruházott munkavállaló felel az általa adott utasítások jogszerűségéért. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a személyes adatokat felhasználható üzleti tevékenységben érdekelt. 12.3. Adatfeldolgozási tevékenység végzése az Adatkezelő által Amennyiben az Adatkezelő tevékenységének ellátása során más (jogi) személy nevében, annak megbízása alapján végez bármilyen adatkezelési tevékenységet, úgy az Adatkezelő a megbízott művelet(ek) tekintetében a Rendelet 4. cikk 8. pontja szerinti adatfeldolgozónak minősül, illetve az Info tv. 3. § 17. pontja szerinti adatfeldolgozást végez. Az adatfeldolgozás tényére tekintettel az Adatkezelő a megbízóval a Szabályzat 12.2. pontjában említett adatfeldolgozói szerződést köt. Az Adatkezelőt megbízó jogosult és köteles írásbeli utasítást adni az Adatkezelőnek az adatfeldolgozással kapcsolatban. Az utasítás jogszerűségéért a megbízó felel. Az Adatkezelő kizárólag ezen utasítás alapján 20 láthatja el adatfeldolgozói tevékenységét, az adatkezelést érintő érdemi döntést nem hozhat, az adatkezelés céljának meghatározása vagy az adatok eltérő célból történő felhasználására az Adatkezelő nem jogosult. 13. Adattovábbítás 13.1. Adattovábbításnak minősül a személyes adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. A harmadik személy az Adatkezelőn, az érintetten és az esetlegesen igénybe vett adatfeldolgozón kívül minden más személy és szervezet, aki önálló adatkezelőnek minősül és nem állnak fenn az adatkezelés tekintetében a közös adatkezelés feltételei. 13.2. Az Adatkezelő ellenőrzi a kezelésében lévő személyes adat továbbítását megelőzően, hogy az adattovábbítás feltételei az adott személyes adat tekintetében fennállnak-e, így különösen, hogy az igényelt adat tekintetében adatkezelőnek minősül-e, hogy az adat továbbításra rendelkezik-e megfelelő jogalappal továbbá, hogy az a célhoz kötöttség elvének az adattovábbítás megfelel-e. 13.3. Az adattovábbítás feltételei fennállásának ellenőrzése az adattovábbítást végző munkavállaló kötelessége. Az adatfeldolgozásra irányuló adatátadás a fentiek értelmében nem minősül adattovábbításnak. 13.4. A harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt adattovábbítás esetén kivéve – az ügyvezető hatáskörébe tartozik. Az adattovábbítási kérelem abban az esetben teljesíthető, ha az tartalmazza: 13.4.1. az adattovábbítást kérő minden kétséget kizáró azonosításához szükséges adatokat; 13.4.2. az adattovábbítás célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését); 13.4.3. a kért adatok körének pontos meghatározását; 13.4.4. az érintett személy azonosításához szükséges adatokat. 13.5. Az Adatkezelő nyilvántartást vezet az adattovábbításairól, amely nyilvántartás vezetésével kapcsolat szabályokat a Szabályzat IV. fejezete tartalmazza. 13.6. Amennyiben az adattovábbítást nem lehet jogszerűen teljesíteni, vagy az igény elbíráláshoz szükséges információkat az igénylő a felkérést követően sem jelölte meg, az adattovábbítást meg kell tagadni. Az adattovábbítás megtagadásáról – annak indokolásával együtt – írásban kell értesíteni az igénylőt. 13.7. Az adattovábbítás történhet kérelem alapján egyedi adatszolgáltatással, illetőleg – törvény ilyen tartalmú rendelkezése vagy erre vonatkozó megállapodás alapján – közvetlen hozzáférés biztosításával. 14. Adattovábbítás harmadik országba 14.1. Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból egy további harmadik országba történő újbóli továbbítását is-, amelyeket a harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, ha az Adatkezelő teljesíti – többek között – a Rendelet V. fejezetében rögzített alábbi feltételeket. 14.2. Adattovábbítás megfelelőségi határozat alapján Az Adatkezelő elsőként azt vizsgálja meg, hogy az Európai Bizottság hozott-e megfelelősségi határozatot az adott ország vonatkozásában. Személyes adatok harmadik országba történő továbbítására további engedély beszerzése nélkül sor kerülhet, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy, vagy több meghatározott ágazata megfelelő védelmi szintet biztosít. 14.3. Adattovábbítás megfelelő garanciák mellett Amennyiben nincs megfelelősségi határozat, az adatok továbbíthatók, ha megfelelő garanciákat nyújt az Adatkezelő és az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. A felügyeleti hatóság külön engedélye nélkül megfelelő garanciákat az alábbiak jelenthetik: 14.3.1. közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz, 21 14.3.2. kötelező erejű vállalati szabályok; 14.3.3. vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések; 14.3.4. jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; 14.3.5. jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is. Az Adatkezelő a fenti c) pont szerinti esetben adatkezelő-adatkezelő közötti adattovábbítás esetén a 2001/497/EK határozat mellékletében, valamint a 2004/915/EK határozat mellékletében meghatározott modellszerződések valamelyikének használatával, adatkezelő-adatfeldolgozó közötti továbbítás esetén pedig a 2010/87/EU határozat mellékletében található modellszerződés megkötése esetén továbbít személyes adatot. Vállalkozáscsoporton vagy a közösség gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli szervezetekhez irányuló nemzetközi adattovábbítások során lehetőség van a hatóság által jóváhagyott kötelező erejű vállalati szabályok alkalmazására, mely a fenti b) pont szerint megfelelő garanciát jelent az adattovábbításhoz. A felügyeleti hatóság engedélyével megfelelő garanciákként különösen az alábbiak is szolgálhatnak: 14.3.6. az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések; vagy 14.3.7. közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések. 14.4. Különös helyzetben biztosított eltérések Megfelelősségi határozat, illetve megfelelő garanciák hiányában a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására, vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor: 14.4.1. az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításról eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról; 14.4.2. az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges; 14.4.3. az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges; 14.4.4. az adattovábbítás fontos közérdekből szükséges; 14.4.5. az adattovábbítás jogi igények előterjesztése, érvényesítése és védelmi miatt szükséges; 14.4.6. az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására; 14.4.7. a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek. III. FEJEZET AZ ADATKEZELÉSÉRT VALÓ FELELŐSSÉG 15. Az Adatkezelő felelőssége 15.1. Az Adatkezelő felelősséggel tartozik a személyes adatok kezeléséért. 22 15.2. A bírósági jogorvoslathoz való jogának érvényesítése érdekében az érintett az Adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen az adatvédelmi hatósághoz, vagy bírósághoz fordulhat, ha megítélése szerint a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezelik. 16. A munkavállaló felelőssége 16.1. A munkavállaló munkajogi, polgári jogi és büntetőjogi felelősséggel tartozik a munkája során végzett adatkezelési műveletek jogszerűségéért és a Szabályzatban foglaltak betartásáért. 16.2. Vétkes kötelezettségszegésnek minősül amennyiben a munkavállaló nem tartja be a Szabályzatban, illetve a személyes adatok kezelésére vonatkozó jogszabályokban foglalt kötelezettségeit. IV. FEJEZET A NYILVÁNTARTÁSOK VEZETÉSÉVEL KAPCSOLATOS SZABÁLYOK 17. Adatvagyon-leltár 17.1. Az Adatkezelő a Rendelet 30. cikkének megfelelően nyilvántartást vezet az általa végzett adatkezelési tevékenységekről (adatvagyon-leltár), mely tartalmazza az Adatkezelő valamennyi adatkezelési célját és folyamatát, valamint azok legfontosabb jellemzőit. 17.2. Az adatvagyon leltár az egyes adatkezelési műveletek kapcsán az alábbiakat tartalmazza: 17.2.1. adatkezelési cél; 17.2.2. kezelt személyes adatok kategóriái; 17.2.3. érintettek kategóriái; 17.2.4. címzettek; 17.2.5. adatkezelés időtartama; 17.2.6. harmadik országba vagy nemzetközi szervezet részére történő továbbításra vonatkozó információk; 17.2.7. egyéb megjegyzések. 17.3. Amennyiben az Adatkezelő adatfeldolgozási tevékenységet végez, úgy a Rendelet 30. cikkének megfelelően nyilvántartást vezet a megbízói nevében végzett adatkezelési tevékenységekről, mely a következő információkat tartalmazza: 17.3.1. minden olyan adatkezelő neve és elérhetőségei, amelynek, vagy akinek a nevében az adatfeldolgozóként az Adatkezelő eljár, továbbá – ha van ilyen – a megbízó adatkezelők képviselőinek, valamint az adatvédelmi tisztviselőinek a neve és elérhetőségei; 17.3.2. az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái; 17.3.3. harmadik országba vagy nemzetközi szervezet részére történő továbbításra vonatkozó információk; 17.3.4. adatfeldolgozási szerződések megkötésének ideje; 17.3.5. adatbiztonsági intézkedések; 17.3.6. egyéb megjegyzések 18. További nyilvántartások 18.1. Az Adatkezelő nyilvántartást vezet az adattovábbításairól, az igénybe vett adatfeldolgozókról, az érintetti jogok gyakorlásáról, valamint az adatvédelmi incidensekről. 18.2. Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza: 18.2.1. az általa kezelt személyes adatok továbbításának időpontját, 18.2.2. az adattovábbítás célját és címzettjét; 18.2.3. a továbbított személyes adatok körének és érintettjeinek meghatározását; 18.2.4. az adattovábbítás módját, csatornáját; az adatot továbbító személy megnevezését, valamint 18.2.5. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. 23 18.3. Az Adatkezelő nyilvántartást vezet az adatfeldolgozóiról, mely nyilvántartás tartalmazza az adatfeldolgozás alábbi jellemzőit: 18.3.1. azon adatkezelési cél, melyben az adatfeldolgozó közreműködik; 18.3.2. adatfeldolgozó adatai; 18.3.3. feldolgozásra kerülő adatok köre; 18.3.4. adatok kezelésének jellemzői; 18.3.5. az adatfeldolgozó igénybe vesz-e további adatfeldolgozót, ha igen, ennek adatai. 18.4. Az érintetti jogok gyakorlására, illetve az ahhoz kapcsolódó kérelmek teljesítésére vonatkozó nyilvántartás a következőket tartalmazza: 18.4.1. érintett személyére vonatkozó adatok; 18.4.2. azonosítása megtörtént, vagy sem; 18.4.3. kérelem tárgya (gyakorolt jog megnevezése); 18.4.4. kérelem beérkezésének időpontja; 18.4.5. kérelem teljesítésének a határideje; 18.4.6. kérelem előterjesztésének módja, csatornája; 18.4.7. a kérelem alapján tett intézkedések; 18.4.8. kérelem teljesítésének az időpontja; 18.4.9. a kérelem alapján tett intézkedésekről szóló tájékoztatás az érintett részére történő megadásának időpontja. 18.5. Amennyiben az érintett kérelme a személyes adatai törlésére irányult, úgy a 18.3. pont szerinti nyilvántartás a) alpontja törlésre kerül. 18.6. Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó fontosabb tényeket, körülményeket az alábbiak szerint: 18.6.1. bekövetkezés időpontja; 18.6.2. bejelentési határidő; 18.6.3. sérülés jellege; 18.6.4. incidens típusa; 18.6.5. incidens leírása; 18.6.6. incidens hatása az érintettekre; 18.6.7. érintettek száma; 18.6.8. érintettek kategóriái; 18.6.9. érintett személyes adatok köre, száma; 18.6.10. incidens következményei; 18.6.11. incidens következményeinek orvoslására tett intézkedések; 18.6.12. érintettek tájékoztatása megtörtént-e, és ha igen, mikor; 18.6.13. egyéb megjegyzések. 19. Nyilvántartások vezetése 19.1. A jelen szabályzat hatályba lépésekor hatályos nyilvántartásokat a szabályzat IX. fejezete tartalmazza. 19.2. A nyilvántartások valós adattartalmáért és naprakészen tartásáért az ügyvezető felelős. 19.3. A nyilvántartásokat az ügyvezető utasítása alapján, a jelen Szabályzatban meghatározott adatbiztonsági szabályok szerint papíralapon és/vagy elektronikus formában kell vezetni. 19.4. A nyilvántartások vezetése és naprakészen tartása az ügyvezető által erre kijelölt munkavállaló(k) feladata. 19.5. A munkavállalók kötelesek a nyilvántartás vezetésére megbízott(ak)at haladéktalanul értesíteni minden olyan esetben, amikor munkájuk során a nyilvántartás adattartalmának változását érintő esemény merül fel. 24 V. FEJEZET AZ ADATVÉDELMI INCIDENS 20. Adatvédelmi incidens bekövetkezése 20.1. Az adatbiztonság sérülése, illetve az Adatkezelő által kezelt személyes adatok véletlen vagy jogellenes megsemmisülése, elvesztése, módosulása, jogosulatlan továbbítása vagy nyilvánosságra hozatala, továbbá az azokhoz való jogosulatlan hozzáférés (a továbbiakban: adatvédelmi incidens) bekövetkezése, vagy bekövetkezés gyanújának fennállása esetén az Adatkezelő, illetve az Adatkezelő által kezelt személyes adatokat bármely jogviszony alapján kezelő személy köteles az Adatkezelő által meghatározott adatvédelmi incidens bekövetkezése esetén követendő jelen Szabályzat IX. fejezetében nevesített vonatkozó belső eljárásrend szerint eljárni. VI. FEJEZET HATÁSVIZSGÁLAT 21. Hatásvizsgálat lefolytatása 21.1. Amennyiben az Adatkezelő által tervezett valamely adatkezelés – figyelemmel annak jellegére, hatókörére, körülményeire és céljaira -, valószínűsíthetően magas kockázattal jár természetese személyek jogaira és szabadságaira nézve, az Adatkezelő az adatkezelést megelőzően hatásvizsgálatot folytat le. 21.2. A hatásvizsgálatot különösen az alábbi esetekben kell lefolytatni: 21.2.1. az adatkezelés a természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelésére irányul, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek; 21.2.2. jelen Szabályzat 7. pontjában említett személyes adatok különleges kategóriái, vagy az érintettre vonatkozó büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy 21.2.3. nyilvános helyek nagymértékű, módszeres megfigyelése. 21.3. A fenti eseteken túl hatásvizsgálatot kell lefolytatni továbbá a Nemzeti Adatvédelmi és Információszabadság Hatóság által meghatározott további adatkezelési műveletek esetében. 21.4. A hatásvizsgálat kiterjed legalább: 21.4.1. a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket; 21.4.2. az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára; 21.4.3. az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és 21.4.4. a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat. 21.5. Az Adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről. 21.6. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az Adatkezelő által kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az Adatkezelő konzultál a felügyeleti hatósággal. 21.7. Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e 25 VII. FEJEZET A SZEMÉLYES ADATOK KEZELÉSÉVEL KAPCSOLATOS EGYÉB SZABÁLYOK 22. A személyes adatok kezelésével kapcsolatos jogok érvényesítése az érintett halálát követően 22.1. Az érintett halálát követő öt éven belül a hozzáféréshez, helyesbítéshez, törléshez, az adatkezelés korlátozásához és tiltakozáshoz való jogát az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal – ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal – meghatalmazott személye jogosult érvényesíteni. 22.2. Ha az érintett nem tett a 22.1 pontnak megfelelő jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója jogosult a helyesbítéshez és tiltakozáshoz, valamint – ha az adatkezelés már az érintett életében is jogellenes volt, vagy az adatkezelés célja az érintett halálával megszűnt – a törléshez és az adatkezelés korlátozásához való jogokat érvényesíteni az érintett halálát követő öt éven belül. Az érintett jogainak jelen pont szerinti érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja. 22.3. Az érintett jogait a jelen pont alapján érvényesítő személyt e jogok érvényesítése – így különösen az Adatkezelővel szembeni, valamint a Hatóság, illetve bíróság előtti eljárás – során az érintett részére megállapított jogok illetik és kötelezettségek terhelik. 22.4. Az érintett jogait jelen pont alapján érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát és hozzátartozói minőségét közokirattal igazolja. 23. Az egyes adatkezelési célok és tevékenységek jellemzői; új adatkezelési célok vagy folyamatok bevezetése 23.1. Az egyes, az Adatkezelőnél fennálló adatkezelési célokhoz kapcsolódó adatkezelési folyamatok részletes szabályait az Adatkezelő által nyilvánosságra hozott adatkezelési tájékoztatók határozzák meg. Az Adatkezelő az egyes adatkezelési célokhoz kapcsolódó adatkezelési tevékenységeit az adatkezelési tájékoztatóiban írtak szerint végzi. 23.2. Az egyes adatkezelési folyamatok kapcsán elkészített adatkezelési tájékoztatók – a szükséges jóváhagyások beszerzését követően – a jogosult általi aláírást és adott adatkezelés sajátosságainak megfelelő módon történt nyilvánosságra hozatalát követően minden további intézkedés, vagy rendelkezés nélkül kihirdetettnek minősülnek. A hatályos adatkezelési tájékoztatókról az Adatkezelő a IV. fejezetben meghatározottak szerint nyilvántartást vezet. 23.3. Új adatkezelési folyamat bevezetését, vagy meglévő adatkezelési folyamat megváltoztatását kizárólag az ügyvezető rendelheti el. 23.4. Azon munkavállaló, akinek a munkakörét érintő feladat teljesítéséhez kapcsolódóan új adatkezelési folyamat bevezetésére vonatkozó igény merül fel, köteles ezt jelezni a szervezeti egység vezetőjének. 23.5. Azon munkavállaló, akinek a munkakörét érintő adatkezelési folyamat megváltoztatására vonatkozó igény merül fel, köteles ezt jelezni a szervezeti egység vezetőjének. 23.6. Új adatkezelési folyamat bevezetésére vagy adatkezelés folyamatok megváltoztatására akkor kerül sor, ha az nem ütközik a Szabályzat előírásaiba. 23.7. Új adatkezelési folyamat bevezetése vagy adatkezelés folyamatok megváltoztatása előtt szükséges meghatározni az adatkezelés fontosabb jellemzői, így elsősorban: 23.7.1. az adatkezelés célját; 23.7.2. az adott cél más adatkezelési művelettel elérhető-e; 23.7.3. az adatkezelés jogalapját; 23.7.4. az érintettek körét; 23.7.5. az érintetettekre vonatkozó adatok körét; 23.7.6. az adatok forrását; 26 23.7.7. az adatok kezelésének időtartalmát; 23.7.8. a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is; 23.7.9. az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét; 23.7.10. az alkalmazott adatfeldolgozási technológiai jellegét. 23.8. Új adatkezelési folyamat bevezetésekor, vagy már meglévő adatkezelési folyamat megváltoztatásakor az ügyvezető gondoskodik a személyes adatok kezelésére vonatkozó szerződések, nyilvántartások, szabályzatok aktualizálásáról és arról, hogy a módosított, aktualizált adatvédelemmel kapcsolatos dokumentumokat az illetékes személyek megismerjék. Jelen pont szerinti tevékenységet igazolható módon dokumentálni kell. VIII. FEJEZET JOGORVOSLAT 24. Az érintettek jogorvoslathoz való joga 24.1. Az érintett bármilyen, a személyes adatai kezelésével kapcsolatos kérdéssel, észrevétellel, kérelemmel, panasszal az Adatkezelőhöz fordulhat info@naphostel.com e-mail címen, vagy postai úton, illetve személyesen az Adatkezelő mindenkori székhelyén. Ilyen esetben az Adatkezelő az ügyet legfeljebb 30 napon belül kivizsgálja, és tájékoztatja az érintettet a vizsgálat eredményéről. 24.2. Az előző pontban rögzítetteken felül a NAIH-nál az Adatkezelővel szemben bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll, illetve, hogy a tájékoztatáshoz, hozzáféréshez, helyesbítéshez, korlátozáshoz, törléshez, jogorvoslathoz való jogainak érvényesítését az Adatkezelő korlátozza, vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja. A bejelentést az alábbi elérhetőségek valamelyikén lehet megtenni: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) [Posta cím: 1530 Budapest, Pf.: 5., cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c, Telefon: +36 (1) 391-1400, Fax: +36 (1) 391-1410,e-mail: ugyfelszolgalat@naih.hu, URL: http://naih.hu] 24.3. A 24.1. és 24.2. pontokban rögzítetteken felül, a bírósági jogorvoslathoz való jogának érvényesítése érdekében az érintett bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó jogszabályban, vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli. A per- az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye, vagy az adatkezelő székhelye szerinti törvényszék előtt is megindítható. 27 IX. FEJEZET ELJÁRÁSRENDEK 1. Adatvédelmi incidens bekövetkezése esetén követendő belső eljárásrend 2. Érintetti kérelem teljesítésére vonatkozó belső eljárásrend NYILVÁNTARTÁSOK 1. Adatvagyon-leltár 2. Érintetti kérelmek, joggyakorlások nyilvántartása 3. Adattovábbítási nyilvántartás 4. Adatvédelmi incidens nyilvántartás 5. Adatfeldolgozók nyilvántartása 6. Hatályos adatvédelmi tájékoztatók 28

7621 Pécs, Király utca 23-25. HUNGARY

+36 30 252 2972

info@naphostel.com

üzemeltető:

Napkirály Kft. (32182402-2-02)

Nap Hostel NTAK reg. szám: KO23056234

NAPartman NTAK reg. szám: EG23055786

GYIK I  HÁZIREND AdatkezelésÁSZF

© 2025 by Nap Hostel 

olcsó szállás Pécs

Image 250px.png
visithung2.png
  • Nap Hostel Facebook
  • Nap Hostel Instagram
  • TikTok
  • Black TripAdvisor Icon
  • Black Google Places Icon
bottom of page