A SARKADI KISTÉRSÉGI JÁRÓBETEG SZAKELLÁTÓ KÖZPONT
ADATVÉDELMI SZABÁLYZATA
Érvényes : 2024. július 01.-től
1.1. Az Adatkezelő megnevezése:
Neve: | Sarkadi Kistérségi Járóbeteg Szakellátó Központ |
Székhelye: | 5720 Sarkad Béke sétány 6. |
Levelezési cím: | 5720 Sarkad Béke sétány 6. |
Telefonszám: | +36 66 585 800 |
E-mail cím: | titkarsag@szakrendelo-sarkad.hu |
Jogállása: | költségvetési szerv |
1.2. Törvényi hivatkozások
2.1. A rendelkezés célja
A szabályzat célja, hogy meghatározza az Adatkezelő tevékenységéhez kapcsolódó személyes adatok kezelésének feltételeit és céljait, támogassa az adatalanyok magánszférájának tiszteletben tartását és az adatvédelmet.
2.2. A szabályzat hatálya
Időbeli hatály: Jelen rendelkezés a kiadása napján lép hatályba és visszavonásig érvényes. Felülvizsgálatát az adatkezelés körülményeiben beállt lényeges változás után, de legalább 3 évente el kell végezni. Különös figyelemmel kell kezelni az adatvédelmi területen hatályba lépő jogszabályokra történő felkészülést.
Személyi hatály: a szabályzat személyi hatálya kiterjed az Adatkezelőre és annak munkavállalóira, illetve mindazokra, akik a munkavégzésük során kapcsolatba kerülnek az Adatkezelő által kezelt személyes adatokkal, valamint az Adatkezelő részére adatfeldolgozó tevékenységet végző szerződéses partnerekre, függetlenül az adatkezelés/adatfeldolgozás céljától és módjától.
Tárgyi hatály: a szabályzat tárgyi hatálya kiterjed minden, az adatkezelés/adatfeldolgozás során felhasznált tárgyi eszközre, függetlenül annak üzemelési helyétől.
Területi hatály: a szabályzat területi hatálya kiterjed azokra az Adatkezelő helyiségekre és külső helyszínekre, ahol adatkezelés/adatfeldolgozás folyik
2.3. Fogalmak
adatbiztonság: | bármilyen tárgyú, bármilyen formában tárolt adatok fizikai védelme megsemmisülés, illetéktelen hozzáférés, adathiba, vagy jogosulatlan megváltoztatás ellen |
adatfeldolgozó: | az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; |
adatkezelés: | a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; |
adatkezelő: | az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; |
adatkezelés korlátozása: | a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából; (csak adattárolás) |
adatmegsemmisítés: | az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése |
adattörlés: | az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges |
adattovábbítás: | az adat meghatározott harmadik fél számára hozzáférhetővé tétele |
adatvédelem: | személyes adatok jogszerűtlen kezelésének megakadályozása, a magánszféra védelme |
adatvédelmi incidens: | személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés |
biometrikus adat: | egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat; |
bizalmasság: | az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról |
címzett: | az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. |
egészségügyi adat: | egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról; |
érintett: | bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy; |
harmadik fél: | az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak; |
harmadik ország: | minden olyan állam, amely nem EGT-állam |
hozzájárulás | az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez; |
különleges adat: | A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok |
nyilvántartási rendszer: | a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető; |
statisztikai adat: | a személyes adatok feldolgozása olyan módon – pl.: statisztikai módszerekkel -, hogy az adattörlésre vonatkozó rendelkezések érvényesülnek, azaz az egyes személyekkel minden kapcsolatuk megszakadt, és ez a kapcsolat nem is állítható helyre |
rendelkezésre állás: | annak biztosítása, hogy a szükséges adat a szükséges időben az arra jogosultak számára az általuk elvárt formában hozzáférhető, elérhető legyen |
sértetlenség: | az adat létének, hitelességének, épségének, önmagában teljességének kritériuma |
személyes adat: | azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; |
nyilvánosságra hozatal: | az adat bárki számára hozzáférhetővé tétele |
tiltakozás: | az érintett nyilatkozata. amelyben él a jogosultságával, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. |
3.1 Általános szabályok
3.2 Az érintett előzetes tájékoztatása tőle beszerzett adatok esetén
Az Adatkezelő az adatkezelés megkezdése előtt tájékoztatja az érintettet, amely tartalmazza az alábbiakat:
3.3 Az érintett tájékoztatása nem tőle beszerzett adatok esetén
Amennyiben az Adatkezelő a személyes adatokat nem az érintettől szerezte be:
tájékoztatja az érintettet:
érintő érdemi körülményekről.
Amennyiben az Adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
Nem kell az Adatkezelőnek tájékoztatni az érintettet, ha és amilyen mértékben:
3.4 Az érintett hozzáférési joga (kérelmére tájékoztatás)
Az érintett az Adatkezelőtől (Adatfeldolgozótól) tájékoztatást kérhet a személyes adatai kezelése kapcsán az adatkezelés lényeges körülményeiről, mint:
3.5 Az érintett kérelme személyes adatainak helyesbítésére
Az Adatkezelő biztosítja annak a lehetőségét, hogy az érintett a személyes adatait – pontosítás céljából – helyesbítse, javítsa vagy módosítsa.
Ha az érintett kérelmében megjelölt személyes adat a valóságnak nem felel meg és a valóságnak megfelelő személyes adat az Adatkezelő rendelkezésére áll, a személyes adatot az Adatkezelő ez alapján helyesbíti.
3.6 Az érintett személyes adatainak törlése
Az érintett kérheti adatainak haladéktalan törlését az Adatkezelőtől amennyiben
Az Adatkezelő az általa nyilvánosságra hozott személyes adatot törli, az elérhető technológia és a megvalósítás költségeinek figyelembevételével.
Az Adatkezelő lehetőségeihez mérten intézkedik annak érdekében, hogy tájékoztassa az adatokat kezelő további adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. (Elfeledtetéshez való jog.)
Az Adatkezelő nem törli az adatokat amennyiben az adatkezelés:
történt.
3.7 Az adatkezelés korlátozása
Az érintett kérheti az alábbi esetekben, hogy az Adatkezelő korlátozza az adatkezelést:
Amennyiben az érintett kérte személyes adatai kezelésének korlátozását, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekéből lehet kezelni.
Az Adatkezelő az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
3.8 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatvédelmi tisztviselő feladata, hogy értesítse a helyesbítés, a korlátozás és a törlés végrehajtásártól az érintettet, továbbá minden olyan címzettet, akiknek korábban az adatok adatkezelés céljára továbbításra kerültek. Az érintett kérheti, hogy az Adatkezelő tájékoztassa e címzettekről.
Az értesítés mellőzhető, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.
3.9 Az érintett adathordozhatósághoz való joga
Az érintett kérheti a hozzájáruláson vagy a szerződésen alapuló, és automatizált módon történő adatkezelés esetén, hogy az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, jogosult arra is, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását.
Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.
3.10 Az érintett tiltakozása
Az érintett tiltakozhat személyes adatainak kezelése ellen, amennyiben a közhatalmi feladatok ellátása, vagy jogos érdeken alapul. (a profilalkotás is)
Az érintett tiltakozása esetén az Adatkezelő a személyes adatokat törli, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
3.11 Az érintett jogai automatizált döntéshozatal során
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
Kivétel, ha a döntés:
Ezekben az esetekben az érintett kérheti, hogy az adatkezelő részéről emberi beavatkozás történjen, álláspontját kifejezhesse, és a döntéssel szemben kifogást nyújthasson be.
3.12 Az érintett kérelmének kezelése és nyilvántartása
Az érintett kérelmének elbírálását az általános feltételekben leírtak szerint elvégzi az Adatkezelő. Az Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy korlátozásról, akivel az adatokat közölték. Az érintetti kérelmeket nyilvántartja az Adatkezelő (1.sz. függelék)
3.13 Az érintett jogorvoslati lehetőségeinek kezelése (NAIH vizsgálat, bírósági jogérvényesítés, kártérítési igények kezelése)
Az érintett személyes adatai kezelésével kapcsolatos vélt jogsérelem esetén az illetékes törvényszékhez fordulhat, vagy vizsgálatot kezdeményezhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.
Ezekben az esetekben az Adatkezelőnek feladata a hatósági vizsgálat, illetve a bírósági tárgyalások során a saját jogkövető magatartását bizonyítani.
A bizonyítási eljáráshoz az Adatkezelőnek minden lényeges információt, szabályzatot, naplóbejegyzést a jogi képviselő rendelkezésére kell bocsátani. A feladatoklat az adatvédelmi tisztviselő koordinálja.
Elmarasztaló bírósági ítélet esetén az Adatkezelő vezetője munkajogi illetve polgári jogi eljárást indíthat a vétő munkavállaló, adatfeldolgozó végző ellen.
3.14 Elhunytak adataival kapcsolatos jogok
Az elhunytakat megillető érintetti jogok, az érintett halálát követő öt éven belül a következőképpen gyakorolhatók.
3.14.1 Az elhalt még életében nyilatkozott
Az érintett által utoljára tett ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal történő meghatalmazás esetén a meghatalmazott személy élhet az érintettet megillető jogokkal az alábbiak szerint:
– hozzáférési jog,
– helyesbítéshez való jog,
– törléshez való jog,
– adatkezelés korlátázásához való jog,
– tiltakozáshoz való jog.
3.14.2 Az elhalt életében nem tett nyilatkozatot
A Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult élni:
– a helyesbítéshez való joggal, vagy
– a tiltakozáshoz való joggal.
3.14.3 Jogellenes adatkezelés
Amennyiben az adatkezelés már az érintett életében is jogellenes volt, vagy az adatkezelés célja az érintett halálával megszűnt az Érinett Ptk szerinti közeli hozzátartozója az érintett halálát követő öt éven belül élhet:
– a törléshez való jogával, vagy
– az adatkezelés korlátázásához való jogával.
Az érintett jogait érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát közokirattal kell igazolnia.
Az Adatkezelő kérelemre tájékoztatja az érintett Polgári Törvénykönyv szerinti közeli hozzátartozó a megtett intézkedésekről, kivéve, ha azt az érintett nyilatkozatában ezt megtiltotta.
4.1 Az adatkezelések célja
A személyes adatok kezelése esetén egyértelműen kell meghatározni az adatkezelés jogszerű célját.
4.2 Az adatkezelés jogalapja
Az adatkezelések csak megfelelő jogalappal végezhetők.
Ezek a következők lehetnek:
Különös figyelemmel kell kezelni az érdekmérlegelésen alapuló adatkezeléseket. Ilyen esetben el kell végezni és megismerhetővé kell tenni az érdekmérlegelési tesztet.
Az érdekmérlegelési teszt során a következő lépéseket kell megtenni:
4.3 Az adatkezelés időtartama
A személyes adatokat az egyes adatkezelések esetében a cél megvalósulásáig, illetve meghatározott ideig lehet megőrizni.
A megőrzés időtartama nem lehet ellentétben az iratkezelési szabályzatban meghatározott őrzési idővel.
4.4 Az adatkezelés alapelvei
Az Adatkezelő az adatkezelés folyamataiban érvényesíti a következő alapelveket:
Jogszerűség, tisztességes eljárás és átláthatóság:
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi.
Célhoz kötöttség:
A személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból folytatja, azokat nem kezeli a célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
Adattakarékosság:
Az Adatkezelő csak az adatkezelés céljai szempontjából megfelelő, releváns és szükséges személyes adatokat kezel.
Pontosság:
A Adatkezelő minden észszerű intézkedést megtesz annak érdekében, hogy a kezelt személyes adatok pontosak, szükség esetén naprakészek és szükségesek legyenek. Az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törli, vagy helyesbíti az Adatkezelő.
Korlátozott tárolhatóság:
A személyes adatokat az adatkezelő – az érintettek azonosítására alkalmas módon – csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig kezeli.
Integritás és bizalmas jelleg (adatbiztonság):
Az Adatkezelő a személyes adatok kezelését oly módon végzi, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is beleértve.
Elszámoltathatóság:
Az Adatkezelő felelőséget vállal az alapelvek betartásáért, továbbá képes a megfelelőség igazolására.
4.5 Titoktartási kötelezettség
Az Adatkezelő munkavállalóit, valamint az Adatkezelővel adatkezelési, vagy adatfeldolgozói viszonyban álló más személyt, illetve szervezetet, az érintettekkel kapcsolatos, adat és egyéb tény vonatkozásában, időbeli korlátozás nélkül titoktartási kötelezettség terheli, függetlenül attól, hogy az adatot közvetlenül az érintettől, illetve közvetett módon az Adatkezelő dokumentációiból, vagy bármely más módon ismert meg.
A titoktartási kötelezettség megszegése munkajogi, polgárjogi, valamint büntetőjogi szankciót von maga után.
A titoktartási kötelezettség nem vonatkozik arra az esetre, ha ez alól az érintett felmentést adott, vagy a jogszabály az adat szolgáltatásának a kötelezettségét írja elő.
Az Adatkezelő munkavállalói adatvédelmi és titoktartási nyilatkozatot írnak alá.
4.6 Az adatvédelmi nyilvántartás
4.6.1 Adatkezelési tevékenységek nyilvántartása (Adatkezelőként)
Az Adatkezelő az adatkezeléseiről nyilvántartást vezet. Az Adatkezelő vezetője által kijelölt személy (adatvédelmi tisztviselő) köteles minden új adatkezelést dokumentálni az adatkezelési nyilvántartásban (adatvagyonleltár). 2. sz. függelék
Az Adatkezelő által végzett adatkezelésekről legalább a következő adatokat rögzíti:
4.6.2 Adatkezelési tevékenységek nyilvántartása (Adatfeldolgozóként)
Az Adatkezelő által megbízásból (Adatfeldolgozóként) végzett adatkezelésekről a következő adatokat rögzíti az adatkezelési nyilvántartásban (adatvagyonleltár).
4.7 Adatvédelmi incidensek kezelése
Az Adatkezelő cégvezetője az adatvédelmi incidensekről nyilvántartást vezet. (3. sz. függelék)
Amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettekre nézve nincs jelentési kötelezettség a NAIH részére
Amennyiben valószínűsíthető a kockázat, akkor az adatvédelmi incidenst az Adatkezelő adatvédelmi tisztviselője a tudomására jutástól számítva késedelem nélkül, de legkésőbb 72 órával ezután bejelenti a NAIH-nak.
Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül az érintettet is tájékoztatja az adatvédelmi incidensről.
Magas a kockázatú az incidensek hatása, ha az érintettekre jelentős vagy akár visszafordíthatatlan következményekkel járhatnak, amelyek komoly nehézségekkel járnak, vagy nem lehet megoldaniuk. (vagyoni kár, munkahely elvesztése, munkaképtelenség, hosszú távú pszichés vagy fizikai betegségek, halál, stb.)
Nem kell tájékoztatni az érintettet, amennyiben
4.8 Adatvédelmi hatásvizsgálat
Olyan adatkezelés esetében, amely valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, – az adatkezelést megelőzően – hatásvizsgálatot (DPIA) kell végezni.
Az egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetők.
Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
A hatásvizsgálat szükségességét a 4. sz függelék segítségével kell eldönteni.
A hatásvizsgálat elvégzésének szükségességét a 5. sz. függelék szerint kell nyilvántartani, és az egész vizsgálatot dokumentálni szükséges.
A 2018. május 25-e előtt kezdett és hatásvizsgálat elvégzését igényló adatkezelések esetén az Infotv. 75.§ (3) alapján legkésőbb 2021. május 25-ig végre kell hajtani a hatásvizsgálat. Amennyiben az adatkezelés körülményeiben lényeges változás következik be, úgy azonnal el kell végezni a hatásvizsgálatot.
4.9 Adatbiztonság
4.9.1 Általános adminisztratív intézkedések
4.9.2 Általános fizikai intézkedések
4.9.3 Általános logikai védelmi intézkedések
4.9.4 Adatfelvétel
Az adatok felviteli és hozzáférési jogosultságát az Adatkezelő által felhatalmazott vezető engedélyezi, az engedélyezésnek dokumentáltnak kell lennie.
4.9.5 Adattárolás
Az Adatkezelő adatkezelései során papír alapú és elektronikus dokumentáció keletkezik.
A papír alapú dokumentációt az Adatkezelő, elemi károktól, fizikai behatásoktól és jogosulatlan kezeléstől védett, zárható helyiségeiben, illetve zárható tárolókban őrzi.
Az elektronikus dokumentáció tárolására külső adatfeldolgozót vehet igénybe az Adatkezelő.
Az elektronikus dokumentáció az adatfeldolgozó szerverén a megfelelő szintű informatikai biztonsági szabályok betartásával kerül tárolásra.
Az elektronikus formában kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állását biztosítását célzó intézkedéseket, az Adatkezelő külön szabályzatában határozza meg.
Az elektronikus adatok tárolását az Adatkezelő fizikai és logikai védelemmel biztosítja.
Az Adatkezelő területét elhagyó mobil eszközöket és elektronikus adathordozókat titkosítani szükséges.
A személyes adatok biztonságos tárolását papír alapú adatkezelés és feldolgozás esetén az Iratkezelési Szabályzat rendelkezései szerint végzi az Adatkezelő
4.9.6 Adatok módosítása
Az rögzített adatok módosítását csak arra jogosult felhasználó végezheti el. A módosításkor törekedni kell arra, hogy a módosított adat előzménye is megismerhető legyen.
A módosításra a jogosultságot az Adatkezelő vezetője engedélyezi, az engedélyezésnek dokumentáltnak kell lennie.
4.9.7 Adatok másolása
Az adatok rendelkezésre állásának érdekében az Adatkezelő biztonsági másolatot készít az informatikai szabályokban rögzített időközönként.
Az adatok másolása ezen kívül csak a munkakörüknél fogva jogosultak számára engedélyezett.
4.9.8 Anonimizálás
Az adatokból képzett, a személy azonosítására alkalmas adatoktól megfosztott újonnan képzett adatokat, az Adatkezelő felhasználhatja statisztikák, belső kimutatások és pályázati indikátorok készítésére.
Az Adatkezelő anonimizálást alkalmaz minden olyan esetben, amikor az anonim adatok is elégségesek az Adatkezelő pályázati tevékenysége teljesítményének, hatékonyságának mérésére, valamint ahol szerződés, vagy jogszabály írja elő pontos statisztikai adatok szolgáltatását.
4.9.9 Adatok törlése, megsemmisítése
Az adatok megőrzési ideje adatkezelésenként kerül meghatározásra.
Az Adatkezelő a megőrzési idő lejártával, vagy a 3.6 pont alapján fizikailag törli a személyes adatokat. Az adathordozók selejtezésekor, vagy eladásakor hasonlóan ját el.
Amennyiben papíralapú, vagy nem törölhető fizikailag az elektronikus adathordozó, akkor fizikailag meg kell semmisíteni azokat. A megsemmisítései eljárást úgy kell kialakítani, hogy a művelet után ne lehessen visszanyerni adatokat.
Az Adatkezelő a papír alapú adathordozókon tárolt adatok megsemmisítését az iratkezelési gyakorlata szerint végzi.
Az adat törlését minden esetben az adatért felelős köteles kezdeményezni, a selejtezésről jegyzőkönyvet kell készíteni.
Az Adatkezelő az elektronikus adatok törlésére alapvetően három módot alkalmaz
4.9.10. Az adatkezelő belső informatikai rendszerének ellenőrzése
A munkavállalók munkavégzéséhez megfelelő környezetet biztosít az adatkezelő. Ennek során az internet használat, a munkahelyi email fiók és informatikai eszközöket, a saját informatikai rendszerének a használatát biztosítja az Adatkezelő.
Az Adatkezelő ennek a saját belső informatikai rendszerének sértetlensége, működésének folyamatossága és a benne tárolt adatok biztonsága érdekében biztonsági intézkedéseket vezet be.
Az intézkedések megvalósulását jogszerű eszközökkel ellenőrzi.
Az Adatkezelő ellenőrzése csupán a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges körre terjed ki., melynek során alkalmazott eszközök, módszerek nem járnak az emberi méltóság megsértésével illetőleg a munkavállaló magánélete nem érintik.
Az Adatkezelő a munkavállalót előzetesen tájékoztatja az adatkezelés, ellenőrzés lényeges követelményeiről.
Ennek figyelembevételével az Adatkezelő ellenőrízheti a hálózati, különösen az internet használatra vonatkozó, valamint az általa biztosított eszközökön végzett munka-tevékenységet.
4.9.10.1. Munkahelyi e-mail használata
Az adatkezelő bizonyos munkakörökben dolgozóknak munkahelyi email fiókot bocsáthat rendelkezésére. Ezek a fiókok csak munkahelyi tevékenységgel kapcsolatban használhatók.
A cég jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen ellenőrizni, arról másolatot készíteni, azonban a fokozatosság elvét be kell tartania és jogosulatlanul személyes adatot nem kezelhet (a nem munkahelyi e-mailek tartalmát nem ismerheti meg és nem is kezelheti vagy mentheti le azokat).
Az ellenőrzés végrehajtására az ügyvezető, illetve a munkáltatói jogok gyakorlója jogosult. Az Adatkezelő az email fiók használatával kapcsolatos szabályokról, az Adatvédelmi Szabályzatban foglaltak betartásának munkaköri kötelezettségéről, az ellenőrzés lehetőségéről. valamint az ellenőrzésre felhatalmazott személyek köréről, továbbá egyéb fontosnak tartott információkról köremail formájában rendszeresen tájékoztathatja az érintett munkavállalókat.
Amennyiben az ellenőrzés körülményei lehetővé teszik, biztosítani kell az ellenőrzés időtartama alatt a munkavállaló jelenlétét.
Az ellenőrzés során elsődlegesen az e-mail címéből és tárgyából kell megállapítani azt, hogy az a munkavállaló munkaköri feladatával kapcsolatos-e vagy személyes. A személyes tárgyú e-mailek tartalmának megismerésére az Adatkezelő nem jogosult, a nem személyes célú emailek tartalmát korlátozás nélkül vizsgálhatja.
Amennyiben az ellenőrzés során bebizonyosodik, hogy a munkavállaló megsértette az adatkezelési szabályokat, fel kell szólítani, hogy haladéktalanul törölje a személyes adatokat. Amennyiben az ellenőrzés során a dolgozó nincs jelen, illetve nem működik együtt, a személyes adatokat a munkáltató törli. Az email fiók szabálytalan használata miatt az Adatkezelő munkajogi jogkövetkezményeket alkalmazhat a munkavállalóval szemben.
4.9.10.2. Adattárolásra alkalmas eszközök használata
Az Adatkezelő munkavégzés céljából számítógépet, laptopot, tabletet, okostelefont, fényképezőgépet, kamerát vagy egyéb, adattárolásra alkalmas eszközt biztosíthat használatra a dolgozóinak.
Az adatbiztonság, illetve az informatikai rendszer védelme miatt az informatikai hálózatot üzemeltető, fenntartó rendszergazda vagy informatikus a számítógép tartalmába jogosult betekinteni, de az ily módon megismert adatokat harmadik személy számára – így a munkáltató részére sem – nem továbbítja.
Az ellenőrzés végrehajtására az ügyvezető, illetve a munkáltatói jogok gyakorlója jogosult. Az Adatkezelőnek biztosítja, hogy az ellenőrzés során a dolgozó jelen legyen. Az ellenőrzés előtt a dolgozót tájékoztatni kell arról, hogy ki, mikor, hogyan, mi alapján és miért ellenőrizhet, valamint hogyan tehet panaszt ez ellenőrzés ellen.
Az ellenőrzés során a fokozatosság elve szerint kell eljárni. Az Adatkezelő korlátozás nélkül vizsgálhatja, nem személyes célú fájlok tartalmát, azonban a személyes adatok, fájlok tartalmának megismerésére nem jogosult.
Amennyiben az ellenőrzés során bebizonyosodik, hogy a munkavállaló megsértette az adatkezelési szabályokat, fel kell szólítani, hogy haladéktalanul törölje a személyes adatokat. Amennyiben az ellenőrzés során a dolgozó nincs jelen, illetve nem működik együtt, a személyes adatokat a munkáltató törli.
4.10 Adatfeldolgozás
Az Adatkezelő adatkezelési tevékenységeihez adatfeldolgozót vehet igénybe.
Az adatfeldolgozásról a szolgáltatásról szóló megállapodásban kell rendelkezni, melynek tartalmánál figyelembe kell venni a hatályos adatvédelmi követelmények érvényesülését, különösen az adatfeldolgozás műveleteinek meghatározására, az adatkezelés garanciáira, az adatkezeléssel kapcsolatos tájékoztatási kötelezettségekre, az Adatkezelő ellenőrzési jogára tekintettel.
Az adatfeldolgozó tevékenységét rögzített követelményrendszer betartása mellett az adatkezelő utasításai alapján folytatja. Az adatfeldolgozói tevékenységet az adatkezelési nyilvántartásban (adatvagyonleltár) kell nyilvántartani.
Az adatfeldolgozói szerződéseknek legalább az alábbiakat kell tartalmaznia 7.sz. Függelék):
4.11 Adatközlés, adattovábbítás, nyilvánosságra hozatal
4.11.1 Előfeltételek
Az Adatkezelő kijelenti, hogy az érintettek személyes adatainak továbbítására az egyes adatkezelések tekintetében, kizárólag jelen szabályzatban meghatározottak szerint és feltételek megvalósulása esetén kerül sor.
Harmadik fél részére adatot csak akkor továbbíthat, ha
4.11.2 Adattovábbítások naplózása
Annak érdekében, hogy az érintett az adataival kapcsolatos információs önrendelkezési jogát megfelelően gyakorolni tudja, az Adatkezelő ügyviteli munkafolyamataiba kötelező beépíteni olyan naplózási rendszert, mely lehetővé teszi, hogy az érintett adatainak harmadik személy felé történő közlésére, beleértve a továbbítás idejét, a pontos adattartalmat, visszakereshetővé váljon. E naplózás elsődleges célja, hogy az Adatkezelő, a részéről fennálló tájékoztatási kötelezettségének eleget tudjon tenni az érintettek felé az adatkezelés időtartama alatt. Az adatközlésekről, adattovábbításokról az Adatkezelő a 6. sz függelék szerinti nyilvántartást vezet.
4.11.3 Adattovábbítás harmadik országba
Az Adatkezelő nem továbbít adatokat harmadik országba.
4.11.4 Nyilvánosságra hozatal
Az Adatkezelő személyes adatot csak akkor hozhat nyilvánosságra, ha erre megfelelő jogalappal rendelkezik.
Az Adatkezelő által készített, személyes adatokon is alapuló, de anonimizált statisztikai adatok szabadon nyilvánosságra hozhatók.
5.1 Az Adatkezelő vezetője
Feladata az adatvédelmi tevékenység felügyelete, a szükséges erőforrások biztosítása, a megfelelő szabályzók kiadása. Az Adatkezelőnek nem indokolt adatvédelmi tisztviselő kinevezése, ezért a cégvezető valamennyi adatvédelmi kérdésben ellátja az irányítási, megfelelési és ellenőrzési feladatokat
5.2 Az Adatkezelő személyes adatok kezelését végző munkavállalói kötelesek:
Amennyiben az Adatkezelő munkavállalója nem tesz eleget kötelezettséginek, a szabályokat megsérti, akkor a munkaviszonyra vonatkozó szabályok szerint a munkáltató eljárás kezdeményezhet vele szemben.
5.3 Képzés
Az Adatkezelő a szabályzat felülvizsgálatát követően, illetve szükséges esetben adatvédelmi képzést tart munkavállalóinak a biztonság tudatosság fejlesztése érdekében, amin kötelező részvétel.