Menedék a Csúcshegy Barátainak Egyesület adatkezelési szabályzata
Az alábbi linkre kattintva letölthető: MCSBE adatkezelési szabályzat
A menedék a Csúcshegy Barátainak Egyesület (továbbiakban: „Egyesület”, „Adatkezelő”) 1037 Budapest, Solymárvölgyi utca 94., Ny.sz.: 01-02-0005821) jelen szabályzatban határozza meg a természetes személyek személyes adatainak védelmével és kezelésével kapcsolatos irányelveket és kötelezettségeket.
Az Egyesülettel más munkavégzésre irányuló egyéb jogviszonyban álló személyek – jellemzően a vezetőségi tagok – kötelesek a tevékenységük során tudomásukra jutott személyes adatokat a mindenkori jogszabályi rendelkezéseknek megfelelően kezelni, így különösen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679. sz. rendelete (általános adatvédelmi rendelet; a továbbiakban: „GDPR”) szerint, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”) rendelkezései szerint kezelni.
E személyek kötelesek az olyan tevékenységük során, amely szükségszerűen együtt jár személyes adatok kezelésével, az adott tevékenységre vonatkozó speciális szabályzatokban – így különösen a pénzmosás és terrorizmus finanszírozása megelőzési, iratkezelési szabályzatban – foglalt rendelkezések mellett a jelen szabályzat rendelkezései szerint eljárni azzal, hogy amennyiben a speciális szabályzat a jelen szabályzathoz képest adatvédelmi szempontból alacsonyabb védelmet ír elő, úgy jelen Szabályzat alkalmazandó.
1. A szabályzat célja
Jelen Szabályzat célja, hogy biztosítsa annak kereteit, hogy az Egyesület által folytatott adatkezelések megfeleljenek a hatályos jogszabályi elvárásoknak. A Szabályzat célja továbbá, hogy az Egyesület birtokába személyes adatok csak a vonatkozó törvényi feltételek megléte esetén, szabályosan kerüljenek, az Egyesület által kezelt, feldolgozott személyes adatokkal az érintett személyek maguk rendelkezhessenek, a személyes adatok kezelése, feldolgozása során jogaik ne sérüljenek. Erre tekintettel a Szabályzat többek között az Egyesület által folytatott adatkezelési tevékenységek során figyelembe veendő és követendő elveket, rendelkezéseket tartalmazza. Ezeket az előírásokat minden egyes adatkezelési folyamat, tevékenység során, annak teljes tartama alatt figyelembe kell venni.
Az Egyesület, mint a személyes adatokat kezelő jogi személy és mint adatkezelő, illetve meghatározott esetekben adatfeldolgozó Magyarország Alaptörvénye (VI. cikk. (2) bekezdése), a GDPR, az Infotv. és az egyéb vonatkozó adatvédelmi jelentőségű szabályok alapján az alábbiak szerint állapítja meg adatkezelés rendjét.
A szabályzat további célja, hogy biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését.
2. A szabályzat alkalmazási területe
2.1. A Szabályzat tárgyi hatálya
A Szabályzat tárgyi hatálya kiterjed az Egyesületnél végzett minden adatkezelésre és adatfeldolgozásra, függetlenül attól, hogy azokat elektronikusan vagy manuálisan végzik.
2.2. A szabályzat alanyi hatálya
A Szabályzat alanyi hatálya kiterjed az Egyesületre, az Egyesülettel munkavégzésre irányuló egyéb jogviszonyban álló személyekre.
3. Kapcsolódó jogszabályok, szabályzatok
3.1. Jogszabályok
Az Európai Parlament és a Tanács (EU) 2016/679. sz. rendelete – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (GDPR) 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról.
4. Felelősségi- és hatáskörök
A Szabályzat végrehajtásáért felelős: az Egyesület valamennyi személyes adatokat kezelő tagja és vezetője. A végrehajtás ellenőrzéséért és a szabályzat karbantartásáért felelős: az Egyesület vezetője.
Az eljárás leírása
1. Az adatvédelem alapfogalmai, amely az Egyesület szabályzatában releváns
Adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;
Adatkezelés: a személyes adatokon vagy adatállományokon – automatizált vagy nem automatizált módon – végzett bármely művelet vagy műveletek összessége, így különösen az adatgyűjtés, felvétel, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
Személyes adat: azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információk: azonosítható az a természetes személy, aki közvetlen vagy közvetett módon – különösen valamely azonosító, pl. név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek;
Érintett: bármely személyes adat alapján azonosított vagy azonosítható természetes személy;
Érintett hozzájárulása: az Érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
Harmadik fél: az a természetes vagy jogi személy, amely nem azonos az érintettel, az adatkezelővel, vagy azokkal a személyekkel, akik az adatkezelő közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
Gyermek személyes adatai: 16. életévét be nem töltött gyermekre vonatkozó bármely információ, adat. Azonosítható az a 16. életévét be nem töltött gyermek, aki közvetlen vagy közvetett módon – különösen valamely azonosító, pl. név, szám, helymeghatározó adat, tényező alapján azonosítható.
2. Az adatkezelés elvei
A személyes adatok: | |
jogszerűség, tisztességes eljárás és átláthatóság | kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni |
célhoz kötöttség | gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon |
adattakarékosság | az adatkezelés céljai szempontjából megfelelőknek és relevánsaknak és a szükséges mértékűre kell korlátozódni |
pontosság | pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék |
korlátozott tárolhatóság | tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából kerül majd sor |
elszámoltathatóság | Az adatkezelő felelős jelen pontban meghatározott elveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására |
3. Az adatkezelőre vonatkozó szabályok
3.1. Adatkezelő
az Egyesület elnöke, vagy az általa megbízott természetes személy;
Az Adatkezelő határozza meg (önállóan vagy másokkal együtt) a Személyes adatok kezelésének céljait és eszközeit.
3.2. Az adatkezelő feladatai
Az Adatkezelőnek az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából (lásd: elszámoltathatóság elve), hogy a személyes adatok kezelése a GDPR-ral összhangban történjen. Ilyen intézkedések többek között:
- alapértelmezett és beépített adatvédelem elvének következetes érvényesítése;
- megfelelő adatvédelmi incidenskezelés;
Ezeket az intézkedéseket legalább évente felül kell vizsgálni és naprakészen kell tartani.
4. Gyermekek személyes adatainak kezelésére vonatkozó szabályok
A közvetlenül gyermekeknek személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte, vagy kezelésére jogszabály alapján, vagy a gyermek jogos érdekeinek védelme érdekében van szükség.
5. Adatkezelések
Tagsági nyilvántartás és kapcsolattartási célú adatkezelések
Az Egyesület tagjairól – Érintettek – nyilvántartást vezet és azokkal kapcsolatot tart fenn. A természetes személlyel, mint Érintettet tagsági nyilatkozattal vesz fel tagjai közé és azokkal közvetlen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján tart kapcsolatot. Az Érintett a Tagfelvételi kérelemben vagy Tagsági nyilatkozatban előzetesen hozzájáruló nyilatkozatot tesz adatainak nyilvántartásáról és felhasználásáról.
A nyilvántartásban rögzített adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az Érintett előzetes hozzájárulásával adható át. Előzetesen, egyértelmű és világos formában az Érintett tudomására kell hozni, hogy visszavonó nyilatkozatát milyen módon és formában teheti meg.
Az Egyesület a nyilvántartásba felvett tagjait tájékoztatja az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre jogosult személyéről, az adatkezelés időtartamáról, arról, hogy kik ismerhetik meg az adatokat.
Ha a személyes adatok az Érintettől származnak az Egyesület, mint Adatkezelő a Személyes adatok megszerzésének időpontjában (tehát a tagfelvételkor) köteles az Érintett rendelkezésére bocsátani az alábbi információkat (előzetes tájékoztatás):
Adatkezelő: Egyesület elnöke vagy általa megbízott személy (elérhetősége az Egyesület honlapján) Adatkezelés célja: közvetlen értesítés a programokról, eseményeiről, tagnyilvántartás), valamint az adatkezelés jogalapja;
Adatok tárolásának időtartama: tagsági viszony megszűnéséig; Érintett jogok ismertetése:
6. Tájékoztatás, ha a személyes adatok nem az érintettől származnak (utólagos tájékoztatás)
Az Egyesületnek, mint Adatkezelőnek – amennyiben a Személyes adatokat nem az Érintettől szerezte – az adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül kell azokat az Érintett rendelkezésére bocsátania, mégpedig a 7. pont szerinti információkat.
7. Az érintett jogai
7.1. Az Érintett hozzáférési joga/tájékoztatáshoz való joga
Az Érintett jogosult arra, hogy az Adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy Személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adataihoz és a következő információkhoz hozzáférést kapjon: az adatkezelés célja;
- az Érintett személyes adatok kategóriái;
- a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
- az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
- ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
Az Adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére kell bocsátania.
7.2. Törléshez („elfeledtetéshez”) való jog
Az Érintett kérésére az Adatkezelőnek indokolatlan késedelem nélkül törölnie kell a rá vonatkozó Személyes adatokat. Ezen túlmenően is az Adatkezelő köteles az Érintettre vonatkozó személyes adatok indokolatlan késedelem nélkül törlésére, ha:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az Érintett hozzájárulását visszavonta, feltéve, hogy nincs más jogalap;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatok gyűjtésére közvetlenül a gyermekeknek kínált, információs társadalommal összefüggő szolgáltatásokkal kapcsolatosan – a szülői felügyeletet gyakorló személy hozzájárulásának hiányában – került sor.
Ha az Adatkezelő nyilvánosságra hozta a Személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével minden észszerűen elvárható lépést meg kell tennie – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő többi adatkezelőt arról, hogy az Érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
7.3. Helyesbítéshez való jog
Az Érintett kérésére az Adatkezelőnek indokolatlan késedelem nélkül helyesbítenie kell a rá vonatkozó pontatlan személyes adatokat. Az adatkezelés céljának figyelembevételével az Érintett kérheti a hiányos személyes adatok kiegészítését is.
7.4. Korlátozáshoz való jog
Az Adatkezelő az Érintett kérésére korlátozza az adatkezelést, az alábbi feltételek valamelyikének teljesülése esetén:
- az Érintett vitatja a személyes adatok pontosságát. Ez esetben a korlátozás addig tart, ameddig az Adatkezelő ezt ellenőrizni tudja;
- az adatkezelés jogellenes, az Érintett ellenzi az adatok törlését, és törlés helyett az adatok felhasználásának korlátozását kéri;
- az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
- az Érintett tiltakozik az adatkezelés ellen. Ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az alábbi célokból, illetve jogalapok alapján lehet kezelni: – az Érintett hozzájárulásával, – jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében,
Az Adatkezelő az adatkezelés korlátozásának feloldása esetén köteles erről azt az Érintettet előzetesen tájékoztatni, akinek a kérésére korlátozták az adatkezelést.
7.5. Jogorvoslathoz való jog
A rá vonatkozó személyes adatok kezelése megsértése esetén minden Érintett jogosult arra, hogy panaszt tegyen valamelyik felügyeleti hatóságnál, különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban. Jogorvoslati lehetőséggel, panasszal a következő elérhetőségeken lehet élni: – Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
- Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.
- Telefon: 06- 1-391-1400 Fax: 06-1-391-1410
- E-mail: ugyfelszolgalat@naih.hu
- Weboldal: www.naih.hu
Ezen túlmenően az Érintettet megilleti a bírósághoz fordulás joga is.
7.6. Az Érintett jogainak gyakorlására szolgáló általános folyamat
Az Egyesület az Érintett jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
Az Érintetti jogok gyakorlása, az ezekre irányuló kérelmek benyújtása és teljesítése az alábbi folyamat szerint történik:
- 7.6.1. Az Érintett benyújtja (például adatainak hozzáférésére) vonatkozó kérelmét („Kérelem”) a Egyesület számára. A Kérelem vonatkozhat az Érintett összes, az Adatkezelő által kezelt személyes adatára, vagy az Érintett által megadott (felsorolt) adatokra.
- 7.6.2. A Megkeresést fogadó személy azonosítja az Érintettet, megállapítja, hogy a kérelem jogos-e.
A nem jogos kérelem esetében értesíti az Érintettet, hogy kérelme nem jogos, és ezt megindokolja késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet.
Jogos kérelem esetében egy hónapon belül megkezdi az adatok kinyerését a vonatkozó rendszerekből, nyomtatott vagy elektronikus formában; az adatok helyesbítését, módosítását, törlését vagy kezelésük korlátozását elvégzi.
Az Érintettnek szóló tájékoztató tartalma lehet: tájékoztatás a teljesített igényről, valamint – hozzáférési jog gyakorlása esetén – az Érintettnek a Egyesület által kezelt személyes adatai, vagy annak indoklása, hogy miért nem tudta az Egyesület az Érintett Kérelmét teljesíteni. Az Érintettnek szóló tájékoztatót az adatvédelmi felelős készíti el. Az Egyesület az Érintett jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
8. Információbiztonsági rendszabályok
Az adatbiztonsági rendszabályok, technikai és szervezési intézkedések, eljárási szabályok célja az adatok, illetve adathordozók védelme, különösen jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
A manuális kezelésű személyes adatok biztonsága érdekében az Adatkezelő biztonsági szabályzatai szerint kell eljárni (iratkezelési és selejtezési szabályzat, tűzvédelmi, vagyonvédelmi, kríziskezelési szabályzatok). A számítógépen tárolt és feldolgozott adatok tekintetében az Adatkezelő belső számítástechnikai adatok feldolgozásának biztonsági rendszere alapján jár el.
9. Ellenőrzés
Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását az Egyesület vezetője folyamatosan ellenőrzik.
Az Egyesület vezetősége adatvédelmi incidens, vagy valamely jogszabály megsértésének észlelése esetén haladéktalanul intézkedik annak megszüntetéséről. Különösen súlyos visszaélés esetén eljárás megindítását kezdeményezi a felelősség megállapítására.
A Szabályzatban nem szabályozott kérdésekben a mindenkor hatályos jogszabályokban foglaltaknak megfelelően kell eljárni. A Szabályzat előírásai együttesen alkalmazandók az Egyesület által kiadott kötelező szabályzatok, valamint eljárásrendek előírásaival. Az eljárásrendek előírásai nem lehetnek ellentétesek a jelen
Szabályzatban foglaltakkal.
Az Egyesület, és vele egyéb jogviszonyban állók kötelesek a jelen Szabályzatban foglaltaknak megfelelően eljárni, a benne foglaltakat betartatni.
A jelen szabályzat karbantartásáért az Egyesület vezetője felelős.
Jelen Szabályzat 2021. augusztus 1. napján lép hatályba.