Menedék a Csúcshegy Barátainak Egyesület
adatkezelési szabályzata

 

A menedék a Csúcshegy Barátainak Egyesület (továbbiakban: „Egyesület”,
Adatkezelő”)
1037 Budapest, Solymárvölgyi utca 94., Ny.sz.: 01-02-0005821) jelen
szabályzatban határozza meg a természetes személyek személyes adatainak védelmével
és kezelésével kapcsolatos irányelveket és kötelezettségeket.

 

Az Egyesülettel
más munkavégzésre irányuló egyéb jogviszonyban álló személyek – jellemzően a
vezetőségi tagok – kötelesek a tevékenységük során tudomásukra jutott személyes
adatokat a mindenkori jogszabályi rendelkezéseknek megfelelően kezelni, így
különösen a természetes személyeknek a személyes adatok kezelése tekintetében
történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK
rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács
(EU) 2016/679. sz. rendelete (általános adatvédelmi rendelet; a továbbiakban: „GDPR”)
szerint, valamint az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”) rendelkezései szerint kezelni.

 

E személyek
kötelesek az olyan tevékenységük során, amely szükségszerűen együtt jár
személyes adatok kezelésével, az adott tevékenységre vonatkozó speciális
szabályzatokban – így különösen a pénzmosás és terrorizmus finanszírozása
megelőzési, iratkezelési szabályzatban – foglalt rendelkezések mellett a jelen
szabályzat rendelkezései szerint eljárni azzal, hogy amennyiben a speciális
szabályzat a jelen szabályzathoz képest adatvédelmi szempontból alacsonyabb védelmet
ír elő, úgy jelen Szabályzat alkalmazandó.

 

1. A szabályzat célja

 

 

Jelen Szabályzat
célja, hogy biztosítsa annak kereteit, hogy az Egyesület által folytatott
adatkezelések megfeleljenek a hatályos jogszabályi elvárásoknak. A Szabályzat
célja továbbá, hogy az Egyesület birtokába személyes adatok csak a vonatkozó
törvényi feltételek megléte esetén, szabályosan kerüljenek, az Egyesület által
kezelt, feldolgozott személyes adatokkal az érintett személyek maguk
rendelkezhessenek, a személyes adatok kezelése, feldolgozása során jogaik ne
sérüljenek. Erre tekintettel a Szabályzat többek között az Egyesület által
folytatott adatkezelési tevékenységek során figyelembe veendő és követendő
elveket, rendelkezéseket tartalmazza. Ezeket az előírásokat minden egyes
adatkezelési folyamat, tevékenység során, annak teljes tartama alatt figyelembe
kell venni.

 

Az Egyesület, mint a
személyes adatokat kezelő jogi személy és mint adatkezelő, illetve
meghatározott esetekben adatfeldolgozó Magyarország Alaptörvénye (VI. cikk. (2)
bekezdése), a GDPR, az Infotv. és az egyéb vonatkozó
adatvédelmi jelentőségű szabályok alapján az alábbiak szerint állapítja meg
adatkezelés rendjét.

A szabályzat további
célja, hogy biztosítsa az adatvédelem alkotmányos elveinek, az információs
önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését.

 

2. A szabályzat alkalmazási területe

2.1.
A Szabályzat tárgyi hatálya

A
Szabályzat tárgyi hatálya kiterjed az Egyesületnél végzett minden adatkezelésre
és adatfeldolgozásra, függetlenül attól, hogy azokat elektronikusan vagy
manuálisan végzik.

2.2.
A szabályzat alanyi hatálya

A Szabályzat alanyi hatálya kiterjed az Egyesületre, az
Egyesülettel munkavégzésre irányuló egyéb jogviszonyban álló személyekre.

3. Kapcsolódó jogszabályok, szabályzatok

     3.1.
Jogszabályok

Az
Európai Parlament és a Tanács (EU) 2016/679. sz. rendelete – a természetes
személyeknek a személyes adatok kezelése tekintetében történő védelméről és az
ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül
helyezéséről (GDPR) 2011. évi CXII. törvény – az információs önrendelkezési
jogról és az információszabadságról.

 

4. Felelősségi- és hatáskörök

A Szabályzat
végrehajtásáért felelős: az Egyesület valamennyi személyes adatokat kezelő
tagja és vezetője. A végrehajtás ellenőrzéséért és a szabályzat
karbantartásáért felelős: az Egyesület vezetője.

 

Az
eljárás leírása

 

1.  Az adatvédelem
alapfogalmai, amely az Egyesület szabályzatában releváns

 

Adatkezelő:
az a természetes vagy jogi személy, amely a személyes adatok kezelésének
céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

Adatkezelés:
a személyes adatokon vagy adatállományokon – automatizált vagy nem automatizált
módon – végzett bármely művelet vagy műveletek összessége, így különösen az
adatgyűjtés, felvétel, rögzítés, rendszerezés, tagolás, tárolás, átalakítás
vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás,
terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás
vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatfeldolgozó:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

Személyes adat:
azonosított vagy azonosítható természetes személyre („Érintett”)
vonatkozó bármely információk: azonosítható az a természetes személy, aki
közvetlen vagy közvetett módon – különösen valamely azonosító, pl. név, szám,
helymeghatározó adat, online azonosító, vagy a természetes személy testi,
fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális
azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Adatvédelmi incidens:
a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt
személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan
hozzáférést eredményezi;

Címzett:
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül
attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi
vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek
hozzá személyes adatokhoz, nem minősülnek címzettnek;

Érintett:
bármely személyes adat alapján azonosított vagy azonosítható természetes
személy;

Érintett hozzájárulása:
az Érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és
egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést
félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az
őt érintő személyes adatok kezeléséhez;

Harmadik fél: az a természetes vagy jogi
személy, amely nem azonos az érintettel, az adatkezelővel, vagy azokkal a
személyekkel, akik az adatkezelő közvetlen irányítása alatt a személyes adatok
kezelésére felhatalmazást kaptak;

Gyermek személyes adatai: 16.
életévét be nem töltött gyermekre vonatkozó bármely információ, adat.
Azonosítható az a 16. életévét be nem töltött gyermek, aki közvetlen vagy
közvetett módon – különösen valamely azonosító, pl. név, szám, helymeghatározó
adat, tényező alapján azonosítható.

 

2. Az
adatkezelés elvei

 

A személyes adatok:

jogszerűség, tisztességes eljárás és átláthatóság

kezelését jogszerűen és tisztességesen, valamint az érintett
számára átlátható módon kell végezni

célhoz kötöttség

gyűjtése csak meghatározott, egyértelmű és jogszerű célból
történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető
módon

adattakarékosság

az adatkezelés céljai szempontjából megfelelőknek és
relevánsaknak és a szükséges mértékűre kell korlátozódni

pontosság

pontosnak és szükség esetén naprakésznek kell lenniük; minden
ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés
céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék
vagy helyesbítsék

korlátozott tárolhatóság

tárolásának olyan formában kell történnie, amely az érintettek
azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges
ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő
tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére
közérdekű archiválás céljából kerül majd sor

elszámoltathatóság

Az adatkezelő felelős jelen pontban meghatározott elveknek való
megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására

 

3. Az
adatkezelőre vonatkozó szabályok

3.1. Adatkezelő

az Egyesület elnöke, vagy az
általa megbízott természetes személy;

Az Adatkezelő határozza meg
(önállóan vagy másokkal együtt) a Személyes adatok kezelésének céljait és
eszközeit.

3.2. Az adatkezelő feladatai

Az Adatkezelőnek az
adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes
személyek jogaira és szabadságaira jelentett, változó valószínűségű és
súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési
intézkedéseket kell végrehajtania annak biztosítása és bizonyítása céljából
(lásd: elszámoltathatóság elve), hogy a személyes adatok kezelése a GDPR-ral összhangban történjen.

Ilyen intézkedések többek
között:

      
alapértelmezett és beépített
adatvédelem elvének következetes érvényesítése;

      
megfelelő adatvédelmi incidenskezelés;

 

Ezeket az intézkedéseket legalább évente felül
kell vizsgálni és naprakészen kell tartani.

 

 

 

 

4. Gyermekek személyes adatainak
kezelésére vonatkozó szabályok

 

A közvetlenül
gyermekeknek személyes adatok kezelése akkor jogszerű, ha a gyermek a 16.
életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek
személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a
hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve
engedélyezte, vagy kezelésére jogszabály alapján, vagy a gyermek jogos
érdekeinek védelme érdekében van szükség.

 

5. Adatkezelések

 

Tagsági nyilvántartás és kapcsolattartási célú
adatkezelések

 

Az Egyesület
tagjairól – Érintettek – nyilvántartást vezet és azokkal kapcsolatot tart fenn.
A természetes személlyel, mint Érintettet tagsági nyilatkozattal vesz fel
tagjai közé és azokkal közvetlen elektronikus levelezés vagy azzal egyenértékű
más egyéni kommunikációs eszköz útján tart kapcsolatot. Az Érintett a
Tagfelvételi kérelemben vagy Tagsági nyilatkozatban előzetesen hozzájáruló
nyilatkozatot tesz adatainak nyilvántartásáról és felhasználásáról.

 

A nyilvántartásban
rögzített adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően,
annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az Érintett
előzetes hozzájárulásával adható át.

Előzetesen,
egyértelmű és világos formában az Érintett tudomására kell hozni, hogy
visszavonó nyilatkozatát milyen módon és formában teheti meg.

Az Egyesület a
nyilvántartásba felvett tagjait tájékoztatja az adatai kezelésével kapcsolatos
minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az
adatkezelésre jogosult személyéről, az adatkezelés időtartamáról, arról, hogy
kik ismerhetik meg az adatokat.

 

Ha a személyes adatok
az Érintettől származnak az Egyesület, mint Adatkezelő a Személyes adatok
megszerzésének időpontjában (tehát a tagfelvételkor) köteles az Érintett
rendelkezésére bocsátani az alábbi információkat (előzetes tájékoztatás):

 

Adatkezelő:
Egyesület elnöke vagy általa megbízott személy (elérhetősége az Egyesület
honlapján)

Adatkezelés célja:
közvetlen értesítés a programokról, eseményeiről, tagnyilvántartás), valamint
az adatkezelés jogalapja;

Adatok tárolásának
időtartama
: tagsági viszony megszűnéséig;

Érintett jogok
ismertetése
:

 Érintett
kérheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést,
azok helyesbítését, törlését, kezelésének korlátozását, és tiltakozhat a
személyes adatok kezelése ellen;

 a
felügyeleti hatósághoz címzett panasz benyújtásának joga 7.5 szerint;

 Az előzetes
tájékoztatástól annyiban el lehet tekinteni, amennyiben az Érintett már
rendelkezik az adott információval.

 A
tájékoztatás módját tekintve, az adatkezelés megkezdésekor a tájékoztatás
történhet papír alapon, vagy elektronikus formában.

 

6. Tájékoztatás, ha a személyes adatok
nem az érintettől származnak (utólagos tájékoztatás)

Az Egyesületnek, mint
Adatkezelőnek – amennyiben a Személyes adatokat nem az Érintettől szerezte – az
adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon
belül kell azokat az Érintett rendelkezésére bocsátania, mégpedig a 7. pont
szerinti információkat.

 

7. Az érintett jogai

7.1.
Az Érintett hozzáférési joga/tájékoztatáshoz való joga

Az
Érintett jogosult arra, hogy az Adatkezelőtől tájékoztatást kapjon arra
vonatkozóan, hogy Személyes adatainak kezelése folyamatban van-e, és ha igen,
jogosult arra, hogy a személyes adataihoz és a következő információkhoz
hozzáférést kapjon:

az
adatkezelés célja;

  az
Érintett személyes adatok kategóriái;

  a
személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges,
ezen időtartam meghatározásának szempontjai;

  az
érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes
adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az
ilyen személyes adatok kezelése ellen;

  a
valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

  ha
az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden
elérhető információ;

Az Adatkezelőnek az adatkezelés tárgyát
képező személyes adatok másolatát az Érintett rendelkezésére kell bocsátania.

7.2.
Törléshez („elfeledtetéshez”) való jog

Az
Érintett kérésére az Adatkezelőnek indokolatlan késedelem nélkül törölnie kell
a rá vonatkozó Személyes adatokat. Ezen túlmenően is az Adatkezelő köteles az
Érintettre vonatkozó személyes adatok indokolatlan késedelem nélkül törlésére,
ha:

 
a személyes adatokra már nincs szükség
abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

 
az Érintett hozzájárulását visszavonta,
feltéve, hogy nincs más jogalap;

 
a személyes adatokat jogellenesen
kezelték;

 
a személyes adatok gyűjtésére
közvetlenül a gyermekeknek kínált, információs társadalommal összefüggő szolgáltatásokkal
kapcsolatosan – a szülői felügyeletet gyakorló személy hozzájárulásának
hiányában – került sor.

 

Ha
az Adatkezelő nyilvánosságra hozta a Személyes adatot, és azt a fentiek
értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek
figyelembevételével minden észszerűen elvárható lépést meg kell tennie –
ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az
adatokat kezelő többi adatkezelőt arról, hogy az Érintett kérelmezte tőlük a
szóban forgó személyes adatokra mutató linkek vagy e személyes adatok
másolatának, illetve másodpéldányának törlését.

7.3. Helyesbítéshez való jog

Az
Érintett kérésére az Adatkezelőnek indokolatlan késedelem nélkül helyesbítenie
kell a rá vonatkozó pontatlan személyes adatokat. Az adatkezelés céljának
figyelembevételével az Érintett kérheti a hiányos személyes adatok
kiegészítését is.

7.4. Korlátozáshoz való jog

Az
Adatkezelő az Érintett kérésére korlátozza az adatkezelést, az alábbi
feltételek valamelyikének teljesülése esetén:

 
az Érintett vitatja a személyes adatok
pontosságát. Ez esetben a korlátozás addig tart, ameddig az Adatkezelő ezt
ellenőrizni tudja;

 
az adatkezelés jogellenes, az Érintett
ellenzi az adatok törlését, és törlés helyett az adatok felhasználásának
korlátozását kéri;

 
az Adatkezelőnek már nincs szüksége a
személyes adatokra adatkezelés céljából, de az Érintett igényli azokat jogi
igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

 
az Érintett tiltakozik az adatkezelés
ellen. Ez esetben a korlátozás arra az időtartamra vonatkozik, amíg
megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget
élveznek-e az Érintett jogos indokaival szemben.

 

Ha az adatkezelés
korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az
alábbi célokból, illetve jogalapok alapján lehet kezelni: – az Érintett
hozzájárulásával, – jogi igények előterjesztéséhez, érvényesítéséhez vagy
védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében,

 

Az Adatkezelő az
adatkezelés korlátozásának feloldása esetén köteles erről azt az Érintettet
előzetesen tájékoztatni, akinek a kérésére korlátozták az adatkezelést.

 

7.5. Jogorvoslathoz való jog

A
rá vonatkozó személyes adatok kezelése megsértése esetén minden Érintett
jogosult arra, hogy panaszt tegyen valamelyik felügyeleti hatóságnál, különösen
a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés
helye szerinti tagállamban.

Jogorvoslati
lehetőséggel, panasszal a következő elérhetőségeken lehet élni:

      
Név: Nemzeti Adatvédelmi és
Információszabadság Hatóság

      
Cím: 1125 Budapest, Szilágyi Erzsébet
fasor 22/c.

      
Telefon: 06- 1-391-1400 Fax:
06-1-391-1410

      
E-mail: ugyfelszolgalat@naih.hu

      
Weboldal: www.naih.hu

Ezen túlmenően az
Érintettet megilleti a bírósághoz fordulás joga is.

 

7.6. Az Érintett jogainak gyakorlására
szolgáló általános folyamat

Az
Egyesület az Érintett jogai gyakorlására irányuló kérelmének a teljesítését nem
tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában
azonosítani.

Az
Érintetti jogok gyakorlása, az ezekre irányuló kérelmek benyújtása és
teljesítése az alábbi folyamat szerint történik:

    
7.6.1.
Az Érintett benyújtja (például adatainak
hozzáférésére) vonatkozó kérelmét („Kérelem”) a
Egyesület számára.
A Kérelem vonatkozhat az Érintett
összes, az Adatkezelő által kezelt személyes adatára, vagy az Érintett által
megadott (felsorolt) adatokra.

     7.6.2.
A Megkeresést fogadó személy azonosítja az Érintettet, megállapítja, hogy a
kérelem jogos-e.

 

A
nem jogos kérelem esetében értesíti az Érintettet, hogy kérelme nem jogos, és
ezt megindokolja késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől
számított egy hónapon belül tájékoztatja az érintettet.

Jogos
kérelem esetében egy hónapon belül megkezdi az adatok kinyerését a vonatkozó
rendszerekből, nyomtatott vagy elektronikus formában; az adatok helyesbítését,
módosítását, törlését vagy kezelésük korlátozását elvégzi.

Az
Érintettnek szóló tájékoztató tartalma lehet:

tájékoztatás
a teljesített igényről, valamint – hozzáférési jog gyakorlása esetén – az
Érintettnek a Egyesület által kezelt személyes adatai,
vagy annak indoklása, hogy miért nem tudta az Egyesület az Érintett Kérelmét
teljesíteni.

Az
Érintettnek szóló tájékoztatót az adatvédelmi felelős készíti el. Az Egyesület
az Érintett jogai gyakorlására irányuló kérelmének a teljesítését nem
tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában
azonosítani.

 

8.
Információbiztonsági rendszabályok

 

Az
adatbiztonsági rendszabályok, technikai és szervezési intézkedések, eljárási
szabályok célja az adatok, illetve adathordozók védelme, különösen jogosulatlan
hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy
megsemmisítés, valamint véletlen megsemmisülés és sérülés, továbbá az
alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A
manuális kezelésű személyes adatok biztonsága érdekében az Adatkezelő
biztonsági szabályzatai szerint kell eljárni (iratkezelési és selejtezési
szabályzat, tűzvédelmi, vagyonvédelmi, kríziskezelési szabályzatok).

A
számítógépen tárolt és feldolgozott adatok tekintetében az Adatkezelő belső
számítástechnikai adatok feldolgozásának biztonsági rendszere alapján jár el.

 

9.
Ellenőrzés

 

Az
adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat
rendelkezéseinek betartását az Egyesület vezetője folyamatosan ellenőrzik.

Az Egyesület vezetősége adatvédelmi incidens, vagy valamely
jogszabály megsértésének észlelése esetén haladéktalanul intézkedik annak
megszüntetéséről. Különösen súlyos visszaélés esetén eljárás megindítását
kezdeményezi a felelősség megállapítására.

 

A
Szabályzatban nem szabályozott kérdésekben a mindenkor hatályos jogszabályokban
foglaltaknak megfelelően kell eljárni. A Szabályzat előírásai együttesen
alkalmazandók az Egyesület által kiadott kötelező szabályzatok, valamint
eljárásrendek előírásaival. Az eljárásrendek előírásai nem lehetnek
ellentétesek a jelen Szabályzatban foglaltakkal.

 

Az Egyesület,
és vele egyéb jogviszonyban állók kötelesek a jelen Szabályzatban foglaltaknak
megfelelően eljárni, a benne foglaltakat betartatni.

 

A jelen szabályzat karbantartásáért az Egyesület vezetője
felelős.

 

Jelen
Szabályzat 2021. augusztus 1. napján lép hatályba.