Tartalomjegyzék
4.Az Általános Adatvédelmi Rendelet (GDPR) 7
4.2Nemzeti Adatvédelmi Jogszabályok 9
4.3Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 9
6.1Elszámoltathatóság & Megfelelés 11
6.1.2Audit Információ Átadás 14
6.2Az Adatfeldolgozás Jogalapja (Jogszerűség) 15
6.2.1 Különleges Kategóriájú Adat Feldolgozása 15
6.2.2Az Adatkezelési Tevékenységek Nyilvántartása 17
6.3Magatartási Kódex & Tanúsítási Mechanizmus 18
6.4Harmadik Fél Adatfeldolgozó 18
6.5Adat Megőrzés & Rendelkezés 20
7.Adatvédelmi Hatásvizsgálat (DPIA; Data Protection Impact Assessment) 20
7.1Adatvédelmi Hatásvizsgálati Eljárás 22
8.Az Érintett Jogaival Kapcsolatos Eljárások 24
8.1Hozzájárulás & A tájékoztatáshoz való jog 24
8.1.1A Hozzájárulás Ellenőrzése 25
8.1.2A Hozzájárulás Alternatívái 26
8.1.3Információ Szolgáltatás 26
8.2 Adatvédelmi Politika & Adatkezelési Nyilatkozat 27
8.2.2Adatkezelési Nyilatkozat 28
8.3Nem az Érintett által Származó Személyes Adat 29
8.3.1A Munkavállaló Személyes Adata 30
8.4A Hozzáféréshez való jog 30
8.4.1Az Érintettek Hozzáférési Kérései 30
8.6.1 Pontatlan vagy Nem Teljes Adat Javítása 32
8.7Az adatkezelés korlátozásához való jog 34
8.8Tiltakozások és Automatizált Döntéshozatal 35
9.1Biztonság & Adatsértés Kezelése 37
9.3Korlátozott Hozzáférés & Üres Asztal Politika 37
10.Adattovábbítások & Adatmegosztás 38
Szabályozási Nyilatkozat
A Magyar Mentőszolgálat Alapítvány (székhelye: 2400 Dunaújváros, Papírgyár út 11., adószám: 18495748-1-07, nyilvántartási szám: 0701-0000772) személyes adatokat gyűjt napi üzleti funkcióinak és tevékenységének hatékony és a jogszabályoknak megfelelő módon történő ellátása, és annak érdekében, hogy az általunk meghatározott üzleti szegmensnek megfelelő termékeket és szolgáltatásokat tudjuk nyújtani. Ezen adatok gyűjtése a munkavállalókat és az ügyfeleket érinti és (különösen, de nem kizárólag) magában foglalja a név, cím, email cím, születési dátum, azonosító számok, személyes és bizalmas adatok, különleges adatok és bank/hitelkártya adatok gyűjtését is.
Ezen felül a jogszabályoknak és a szabályozásoknak történő megfelelés érdekében kénytelenek lehetünk bizonyos típusú személyes jellegű információkat gyűjteni és használni, azonban elkötelezettek vagyunk az információk gyűjtése, kezelése, tárolása és megsemmisítése során a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szoló 2016/679 rendelet (a továbbiakban: GDPR), a Magyar Köztársaság adatvédelmi jogszabályainak, valamint a speciális adatvédelmi magatartási szabályozásnak (a továbbiakban együttesen: „GDPR szabályoknak”) foglaltaknak történő megfelelésnek.
A Magyar Mentőszolgálat Alapítvány szabályozásokat, eljárásokat, ellenőrzési mechanizmusokat és intézkedéseket alakított ki a GDPR szabályoknak és az ott írt elveknek történő lehető legteljesebb mértékű és folyamatos megfelelés érdekében (ideértve az alkalmazottak képzését, eljárási dokumentumok, audit intézkedések és értékelések készítését is). Az általunk kezelt érintettek személyes és/vagy különleges adatai biztonságának és biztonságosságának biztosítása és fenntartása társaságunk elkötelezettségének központi eleme és a Társaság minden eljárás és funkció biztosítása során tartja magát a GDPR szabályokhoz és az ahhoz kapcsolódó elvekhez.
Büszkék vagyunk arra hogy a „Beépített Adatvédelem” (Privacy by Design) megközelítést alkalmazzuk és célunk a proaktivitás és nem a reaktivitás. Üzleti tevékenységünk alapköve a változások és a kezdetektől fennálló hatás, valamint a személyes adatok védelme érdekében történő tervezési rendszerek és eljárások értékelése.
Cél
A jelen szabályzat célja, hogy a GDPR szabályok hatálya alatt a Magyar Mentőszolgálat Alapítvány megfeleljen a jogszabályi, törvényhozói és szabályozói környezetnek; valamint annak biztosítása, hogy minden személyes és különleges kategóriába eső információ biztonságos, azok használata során védve van és a jogszabályoknak megfelelően kerül feldolgozásra, tárolásra, valamint továbbításra. Elkötelezettek vagyunk a GDPR szabályoknak és elveknek történő megfelelésnek és tisztában vagyunk a személyes adatok szervezeten belül történő biztonságos kezelésének fontosságával.
A GDPR szabályok a megbízhatóságot és irányítást előmozdító rendelkezéseket tartalmaznak, és e szabályoknak történő megfelelés érdekében cégünk átfogó és hatékony irányítási intézkedéseket alkalmaz. Ezen eszközök célja végeredményben minimalizálni az adatok védelme megsértéséből fakadó kockázatokat; valamint fenntartani a személyes adatok védelmét.
Hatály
A jelen szabályzat a szervezeten belül minden alkalmazottra (ideértve az állandó, határozott idejű és határozatlan időre foglalkoztatott alkalmazottakat és a Társasággal kapcsolatban álló esetleges megbízottakat is) rendelkező munkavállalókat, bármely harmadik személy képviselőket vagy alvállalkozókat, önkénteseket, gyakornokokat) alkalmazandó, és annak érdekében készítettük, hogy biztosítsuk, hogy a szabályzat területén működő alkalmazottak megfelelnek a jogi, szabályozói, szerződéses és üzleti elvárásoknak és követelményeknek.
Definíciók
-
GDPR a jelen dokumentum értelmében az Általános Adatvédelmi Rendeletet jelenti, és minden olyan adatvédelmi jogszabály együttes megjelölésére is használandó, amelynek a Társaság megfelel.
-
Személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
-
Adatkezelés a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
-
Érintett azt a természetes személyt jelenti, aki a személyes adat tárgya.
-
Adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
-
Adatfeldolgozó, az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
-
Harmadik Fél az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
-
Profilalkotás személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
-
Címzett az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
-
Az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
-
Genetikai adat egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered.
-
Biometrikus adat egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat.
-
Személyes adatok határokon átnyúló adatkezelése személyes adatoknak olyan kezelése:
a) |
személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy |
b) |
személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket |
-
Képviselő az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában.
-
Felügyeleti Hatóság egy tagállam által létrehozott független közhatalmi szerv.
-
Kötelező erejű vállalati szabályok a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.
Adatvédelmi Háttér
Magyarország – az EU irányelvnek történő megfelelés érdekében – megalkotta az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), amelyben a személyes adatok kezelése és továbbítása során továbbfejlesztett szabályokat, követelményeket és iránymutatásokat írt elő.
Az elmúlt évben óriási növekedés történt a határokon átívelő üzleti tevékenységek és szolgáltatások nyújtása tekintetében, amely tovább erősítette a tagállamok egyedi adatvédelmi jogszabályainak nemzetközi következetlenségét.
Ennek okán 2012. januárjában az Európai Bizottság olyan új rendelet megalkotását javasolta, amely minden EU tagállamra alkalmazandó és a személyes adatok EU szerte történő kezelése és továbbítása során egységes és következetes megközelítést követel meg.
Az Általános Adatvédelmi Rendelet (GDPR)
Az Európai Bizottság által 2016. áprilisában jóváhagyott Általános Adatvédelmi Rendelet (GDPR) (EU)2016/679) 2018. május 25-től minden EU tagállamra alkalmazandó. Mivel az nem „Irányelv” hanem „Rendelet”, annak szabályai a tagállamokra közvetlenül alkalmazandók, így azok a meglévő helyi adatvédelmi jogszabályokat helyettesítik, valamint felülírják a 95/46EC Irányelvet, és az ahhoz kapcsolódó, a tagállamok által hozott azt implementáló szabályokat is.
Mivel a Magyar Mentőszolgálat Alapítvány természetes személyekkel (érintettek) kapcsolatban személyes adatokat kezel, a GDPR szabályoknak megfelelően kötelesek vagyunk ezen információkat védeni és azokat kizárólag a GDPR szabályoknak és elveknek megfelelően megszerezni, használni, kezelni, és megsemmisíteni.
A GDPR által védett információk körét a „személyes adat” megjelölés jelöli és a következők szerint definiálható:
“Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”
Társaság biztosítja, hogy fokozottabb védelmet és figyelmet tanúsít azon személyes adatoknak, amelyek a GDPR „különleges kategóriájú személyes adat”-nak minősít, mivel ez a típusú információ negatív vagy diszkriminatív módon használható és az általa érintett személyeket érzékenyen, személyükben érinti.
A “különleges kategóriájú személyes adat” tekintetében a GDPR a következőket tartalmazza:
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
A GDPR szabályozza a személyes adatok kezelését, amely magában foglalja bármely ilyen jellegű adat rendszerezését, megváltoztatását, átalakítását, lekérdezését, betekintést, tárolást, használatot, közlést, továbbítást, terjesztést vagy megsemmisítést. Mivel a Magyar Mentőszolgálat Alapítvány személyes adatot egy vagy több fenti hatáskörében is kezel, ezért szigorú intézkedéseket, szabályozást, eljárást és ellenőrzési mechanizmust építettünk be rendszerünkbe a személyes adatok mindenféle szempont szerinti kezelésével kapcsolatban.
GDPR Elvek
A GDPR 5. cikke megköveteli, hogy a személyes adatok:
-
kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni
(„jogszerűség, tisztességes eljárás és átláthatóság”)
-
gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”)
-
az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”)
-
pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”)
-
tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”)
-
kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
Az 5. cikk (2) bekezdése megköveteli, hogy az adatkezelő felelős a fentieknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”) és megköveteli, hogy a cégek bemutassák, hogy hogyan felelnek meg a fenti elveknek, részletezve és összefoglalva azokat az intézkedéseket és ellenőrző mechanizmusokat, amelyekkel a személyes adatok védelme érdekében és az adatkezelés kockázatainak csökkentése érdekében rendelkeznek.
Nemzeti Adatvédelmi Jogszabályok
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), amelynek hatályos szövege a következő linken keresztül érhető el: http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A1100112.TV
Az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény („Ektv.”), amelynek hatályos szövege amelynek hatályos szövege a következő linken keresztül érhető el:
https://net.jogtar.hu/jogszabaly?docid=a0100108.tv
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
A magyar Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) olyan független szabályozói hivatal, amely közvetlenül a Parlamentnek tartozik beszámolási kötelezettséggel, és amelynek feladata a közérdek védelmében az információs jogok fenntartása. Az általa felügyelt jogszabályok köre az alábbiakat foglalja magában:
-
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
-
Általános Adatvédelmi Rendelet (2018. május 25-ét követően)
A NAIH elkötelezett feladata mellett, amely “a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése”, és az általa szabályozott rendeletek, törvények és/vagy jogszabályok körében jogosult felszólításokat kibocsátani, valamint jogsértés esetén bírságokat kiszabni.
A GDPR értelmében a NAIH Magyarország adatvédelmi hatóságának (Felügyeleti Hatóság) minősül és hasonló szerepe lesz mint korábban, ami a GDPR szabályok felügyeletét, végrehajtását és a panaszok kivizsgálását illeti, amennyiben a cégek kizárólag Magyarország területén rendelkeznek székhellyel.
Azonban, amennyiben egy szervezet több mint egy tagállam területén rendelkezik székhellyel és/vagy ahol határokon átnyúló adatkezelés valósul meg, a vezető Felügyeleti Hatóság fogja kikényszeríteni a GDPR követelményeket, bármely kapcsolódó Felügyeleti Hatósággal történő egyeztetést követően. A GDPR hatálya alatt „vezető” Felügyeleti Hatóságnak a „fő székhely” helye szerinti Felügyeleti Hatóság minősül.
Célok
Elkötelezettek vagyunk amellett, hogy minden, a Magyar Mentőszolgálat Alapítvány által szerzett, valamint kezelt személyes adat gyűjtése és kezelése a GDPR szabályoknak és elveknek és/vagy magatartási kódexeknek megfelelően történik, valamint a Felügyeleti Hatóság és a helyi jogszabály által kibocsátott bármely kapcsolódó szabályozás és/vagy magatartási kódex szerint.
Továbbá, elkötelezettek vagyunk a személyes adatok biztonságának, védelmének, etikus és átlátható használatának biztosítása, és az adatkezelés legmagasabb mércéjének fenntartása mellett.
Társaságunk a lenti célokat a GDPR szabályoknak való megfelelés érdekében, valamint azért tűzte ki, hogy intézkedéseket, eljárásokat és ellenőrzési mechanizmusokat alakítson ki a megfelelés biztosítására és fenntartására.
Társaság neve biztosítja az alábbiakat:
-
Védjük az egyének jogait az ismert és róluk a Társaságunk által, üzleti tevékenysége körében kezelt személyes adatok tekintetében.
-
A GDPR szabályoknak való megfelelés érdekében adatvédelmi szabályzatot, eljárást, audit tervet és képzési programot alakítunk ki, alkalmazunk és tartunk fenn.
-
A Társaság által kifejtett üzleti gyakorlat, feladat és eljárás felügyelete a GDPR szabályoknak és elveknek való megfelelés érdekében történik.
-
Adatot csak olyan esetben kérünk, kezelünk vagy tárolunk, ha a kezelésre vonatkozó jogszabályi követelményeknek megfelelünk.
-
Különleges kategóriájú adatot kizárólag a GDPR szabályoknak megfelelően kezelünk.
-
A hozzájáruló nyilatkozatot a megszerzés időpontjában rögzítjük és a Felügyeleti Hatóság kérésére bizonyítjuk a hozzájárulás meglétét.
-
Minden munkavállaló (ideértve az újonnan belépőket és megbízottakat is) kellően képesített és GDPR szerint fennálló kötelezettségekkel kapcsolatban megfelelően tájékozott és a GDPR elvekkel és szabályokkal kapcsolatban teljes körű oktatásban részesült és tisztában van a fentieknek a cég üzleti tevékenységére és szolgáltatásokra vonatkozó alkalmazásával.
-
Ügyfeleink biztonságban érzik magukat személyes adataik számunkra történő átadásakor és tisztában vannak azzal, hogy azok kezelése a GDPR szerinti jogaiknak megfelelően történik.
-
A GDPR szabályoknak való megfeleléssel kapcsolatban folyamatos ellenőrző, felülvizsgálati és javító rendszert tartunk fenn és – azok kockázattá válása előtt – azonosítjuk a hiányosságokat és a meg nem felelést.
-
Az adatvédelemmel kapcsolatos bármely jogsértések vagy panaszok azonosítására, kivizsgálására, figyelemmel kísérésére és jelentésére átfogó és írásos Panaszkezelési és Adatvédelmi incidens (Complaint Handling and Breach Incident) ellenőrzési mechanizmust és eljárást alkalmazunk.
-
Kijelöltük az adatvédelmi felelőst, aki felelős a GDPR szabályok és elvek teljeskörű felügyeletéért és implementációjáért és tájékozott a szabályokkal kapcsolatban és azzal, hogy azok miként érintik a Társaságot.
-
Egyértelmű jelentéstételi és felügyeleti láncot alkalmazunk az adatvédelmi megfelelőséggel kapcsolatban.
-
Minden személyes adatot a GDPR határidőknek és követelményeknek megfelelően tárolunk és semmisítünk meg.
-
Bármely olyan tájékoztatás, amelyet az érintettnek a róla tárolt vagy használt személyes adattal kapcsolatban adunk, tömören, átláthatóan, érthetően és könnyen hozzáférhető formában, tiszta és egyértelmű nyelvezettel ellátva kerül kibocsátásra.
-
A munkavállalók tisztában vannak a GDPR alapján fennálló saját jogaikkal és a 13. és 14. cikkek szerinti információ közzétételben részesülnek.
Szabályozási Eljárások
Elszámoltathatóság & Megfelelés
A Társaság által vállalt adatkezelés természetére, hatályára, összefüggéseire és céljaira tekintettel gyakori kockázatértékelési és információs audit eljárásokat végzünk az adatkezelések hatásainak azonosítására, értékelésére, mérésére és figyelemmel kísérésére. Emellett célravezető és megfelelő technikai és szervezési intézkedéseket alkalmaztunk a személyes adatok védelme, valamint a GDPR szabályoknak való megfelelés és bármely olyan magatartási szabályoknak való megfelelés érdekében, amelyekkel kapcsolatban kötelezettségeink vannak.
Bizonyítani tudjuk, hogy adatkezelési tevékenységeinket a GDPR szabályokkal való összhangban végezzük és az adatok védelme érdekében átfogó szabályzatokkal, eljárásokkal, intézkedésekkel és ellenőrzési mechanizmusokkal rendelkezünk. Átlátható munkahelyet működtetünk, és nagy erőkkel dolgozunk azon, hogy átfogó és arányos szabályozási programot garantáljunk és működtessünk.
Legfőbb szabályozási céljaink az alábbiak:
-
Minden munkavállaló részére kifejezett és hatékony adatvédelmi oktatási programot biztosítsunk.
-
Azonosítsuk a kulcsfontosságú érdekelteket az adatvédelmi megfelelőségi program támogatására.
-
Az adatvédelmi megfelelőségi program szempontjából felelősségi köröket határozzunk meg és biztosítjuk, hogy a kijelölt személy feladata ellátásához megfelelő hozzáféréssel, támogatással és költségvetéssel rendelkezik.
-
Az adatvédelmi szabályozási struktúrán belül azonosítjuk, megalkotjuk és elterjesztjük a jelentéstételi útvonalat.
Beépített Adatvédelem
Beépített Adatvédelmi megközelítést működtetünk, amelynek célja, hogy a megelőzés érdekében – eljárásaink, rendszereink és tevékenységünk segítségével csökkentsük a személyes adatok kezelésével kapcsolatos kockázatokat.
Adattakarékosság
A GDPR 5. cikkének c) pontja alapján a személyes adatoknak “a szükségesre kell korlátozódniuk”, amely az általunk alkalmazott minimalista megközelítésünk alapköve. Az adatot csak olyan esetben szerezzük meg, tároljuk, kezeljük és osztjuk meg, amennyiben az szolgáltatásaink elvégzéséhez és jogi kötelezettségeink teljesítéséhez elengedhetetlen és csak olyan hosszú ideig tároljuk, ameddig az szükséges.
Úgy szerveztük meg rendszereinket, munkavállalóinkat, eljárásainkat és tevékenységeinket hogy a személyes adatok gyűjtését – a meghatározott cél elérése érdekében – a közvetlenül releváns és szükséges mértékre korlátozzuk. Az adat minimalizálás segíti az adatvédelmi kockázat és adatsértések csökkentését és támogatja a GDPR szabályoknak történő megfelelést.
Intézkedések annak biztosítására, hogy csak a szükséges adatok kerüljenek összegyűjtésre: –
-
Elektronikus adatgyűjtés (például formanyomtatványok, honlapok, kérdőívek) esetén csak a gyűjtés és későbbi kezelés szempontjából releváns mezőket szerepeltetjük. Nem szerepeltetünk „opcionális” mezőket, mivel az opcionális megjegyzés azt jelenti, hogy az adat megszerzése nem szükséges.
-
Fizikai adatgyűjtést (például személyesen, telefonon, stb.) parancsfájlok és belső nyomtatványok használatával támogatjuk, ahol a kért adatgyűjtést az előre meghatározott mezők használata biztosítja. Ebben az esetben is csak a releváns és szükséges adatokat gyűjtjük.
Álnevesítés
Álnevesítést alkalmazunk ott, ahol arra a személyes adatok feljegyzése és tárolása érdekében lehetőség van, oly módon, amely biztosítja, hogy az adatot külön, további információ használata nélkül nem lehet bizonyos érintetthez kapcsolni (személyi azonosítók). A személyi azonosítók védelme érdekében kódolást és elválasztást használunk, amelyet az álnevesített adathalmaztól mindig külön tartunk.
Az álnevesítés használata során biztosítjuk, hogy a jelentés(ek) eltávolításra és helyettesítésre kerülnek, azok egyedi jellegűek, és megelőzik az érintett maradékjellemzők és jelentések alapján történő azonosítását. Az álnevesítés azt jelenti, hogy az érintettet még valószínűleg így is közvetlenül azonosítani lehet, emiatt ezen technikát más technikai és szervezeti, kockázat csökkentési és adatvédelmi eszközökkel együtt használunk.
Papír alapú adat
Az üzleti tevékenységünk természetére tekintettel néha elengedhetetlen számunkra hogy olyan személyes és különleges kategóriájú adatot szerezzünk, kezeljünk és közöljünk, amely kizárólag papír alapon, álnevesítési opciók nélkül áll rendelkezésre. Ahol szükséges, többszintű megközelítést alkalmazunk az általunk kezelt adatok minimalizálása érdekében és / vagy azon időtartam tekintetében, ameddig tároljuk. Ezek a következő lépéseket jelentik: –
-
Első lépésben mindig megkérjük az eredeti adatkezelőt, hogy a bármely személyes adat feljegyzéséről szóló másolatokat közvetlenül az érintettnek küldje.
-
Amennyiben az első lépés nem lehetséges vagy nem kivitelezhető, az adat másolatát megkapjuk és amennyiben alkalmazandó, átszerkesztjük annak biztosítására, hogy kizárólag a megfelelő adat marad fenn (például ahol az adat harmadik fél számára – és nem közvetlenül az érintett számára – kerül továbbításra).
-
Ahol a papír alapú adaton kizárólag kötelező adat látható, kódolási módszerekkel ellátott elektronikus formátumot alkalmazunk az információ fogadó fél számára történő megküldése érdekében (például nem használjuk a posta rendszerét, mivel az feltörhető).
-
A fogadó feleket (például érintett, harmadik fél adatkezelő) újra ellenőrizzük és azonosságukat és kapcsolattartási adataikat ellenőrizzük.
-
Az Adatvédelmi Felelős engedélyezi a továbbítást és ellenőrzi a csatolt fájl(ok)at, kódolási módszereket és kulcsokat.
-
Amennyiben megkaptuk a megerősítést arról, hogy a fogadó fél megkapta a személyes adatokat, amennyiben lehetséges (a GDPR szabályok által meghatározott jogi iránymutatások és szabályok szerint), megsemmisítjük a papír alapú adatot és kitöröljük az elküldött üzenetet.
-
Amennyiben bármilyen okból a papír alapú adatot a Társaság köteles megőrizni. Ezen dokumentumok őrzésére az általános archiválási rendszertől eltérő, biztonságos fizikai tárolót alkalmazunk.
Audit Információ Átadás
Annak érdekében, hogy megbizonyosodjunk arról, hogy a Magyar Mentőszolgálat Alapítvány teljes mértékben felkészült és megfelel a GDPR szabályozásnak, társaság-szerte adatvédelmi információ áramlási értékelést végeztünk hogy az általunk birtokolt és kezelt személyes adatokat megfelelőbben tudjuk regisztrálni, kategorizálni és védeni.
Az audit minden, a vállalatunk által adatkezelői vagy adatfeldolgozói minőségünkben megszerzett, feldolgozott és megosztott személyes adatot azonosított, kategorizált és regisztrált és megfelel azon központi nyilvántartásban foglaltaknak.
Az általunk birtokolt személyes adatok:
-
honnan származnak;
-
azokat kikkel közöljük;
-
mi az adatfeldolgozás jogalapja;
-
milyen formátumban érhető el;
-
ki a felelős személy;
-
közlések és átadások.
Az Adatfeldolgozás Jogalapja (Jogszerűség)
A Társaság által végzett személyes adat feldolgozási tevékenységek központi eleme a GDPR 6. cikkének való megfelelés valamint a feldolgozási kötelezettségek jogszerűségének biztosítása és igazolása. A személyes adatokon végzett bármilyen adatfeldolgozási tevékenység megkezdése előtt mindig azonosítjuk és létrehozzuk az erre feljogosító jogalapot és azt összevetjük a rendelet szabályaival.
A jogalap rögzítésre kerül az információ áramlási nyilvántartásunkban és amennyiben alkalmazandó, adat közlési kötelezettségeink körében átadásra kerül az érintett, valamint a Felügyeleti Hatóság számára. Az adatot csak olyan esetben szerezzük meg, kezeljük vagy tároljuk, amennyiben az adatfeldolgozási követelmények jogszerűségének kritériumát az alábbiak szerint teljesítjük:
a) |
az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; |
b) |
az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; |
c) |
az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; |
d) |
az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; |
e) |
az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; |
f) |
az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. |
Különleges Kategóriájú Adat Feldolgozása
A GDPR a Különleges Kategóriájú Személyes Adatot az alábbiak szerint definiálja:
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos – kivéve, amennyiben a 9. cikk alkalmazandó.
Amennyiben a Társaság különleges kategóriájú adatnak minősülő személyes adatot, vagy büntetett előélettel összefüggő adatot dolgoz fel, azt a GDPR 6. cikkének, követelményeinek megfelelően tesszük.
Csak olyan esetben kezelünk különleges kategóriájú adatot, amennyiben:
az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával; |
b) |
az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi; |
c) |
az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni; |
d) |
az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára; |
e) |
az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott; |
f) |
az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el; |
g) |
az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő; |
h) |
az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel; |
i) |
az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan; |
j) |
az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő; |
Amennyiben a Társaság a fenti kategóriákba tartozó személyes adatot kezel, a kezelést megelőzően a Társaság különleges rendelkezéseket és intézkedéseket alkalmaz. Az alkalmazott intézkedések az alábbiak:
-
Az adatkezelés megkezdését megelőzően ellenőrizzük a GDPR 9. cikk (1) bekezdésének követelményeit
-
Az adatkezelés alkalmával megfelelő szabályozási dokumentum birtokában meghatározzuk az alábbiakat: –
-
eljárásainkat a GDPR elveknek történő megfelelés biztosítása érdekében
-
a feltételnek megfelelő kezelt, személyes adat visszatartása és megsemmisítésére vonatkozó szabályozásokat
-
megőrzési időszakokat és indokokat (például jogi, törvényi, stb.)
-
ebben a tárgykörben meglévő szabályozás áttekintésére és frissítésére vonatkozó eljárásokat
-
Az Adatkezelési Tevékenységek Nyilvántartása
A Társaság minden adatkezelési tevékenységről nyilvántartást vezet és azon nyilvántartásokat írásbeli formában olyan tiszta és érthető formában tartja fenn, hogy az a Felügyeleti Hatóság kérésére azonnal elérhető legyen.
Adatkezelőként (vagy képviselőként) eljárva a felelősségi körünkben végzett adatkezelési tevékenységeink belső nyilvántartásai az alábbi információkat tartalmazzák: –
a) |
az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; |
b) |
az adatkezelés céljai; |
c) |
az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; |
d) |
olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; |
e) |
adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; |
f) |
ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; |
g) |
ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. |
Adatkezelőként (vagy képviselőként) eljárva a felelősségi körünkben az adatkezelő nevében végzett adatkezelési tevékenységeink belső nyilvántartásai az alábbi információkat tartalmazzák: –
-
Az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei amelynek, vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az Adatvédelmi Tisztviselőnek a neve és elérhetőségei;
-
Az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
-
Adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása (beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása);
-
A (GDPR 32. cikk (1) bekezdésében említett) technikai és szervezési intézkedések általános leírása a jelen dokumentum 13. pontja szerint.
Magatartási Kódex & Tanúsítási Mechanizmus
A [Társaság az [illessze be a szervezet/testület nevét] által készített, adatvédelmi magatartási kódex szabályait követi és/vagy az [illessze be a tanúsító szervezet nevét] által tanúsításra került annak igazolására, hogy megfelelünk a GDPR szabályoknak és elveknek. Ezen magatartási kódexek és tanúsítási mechanizmusok a Felügyeleti Hatóság által jóváhagyásra kerültek és cégen belül az alkalmazottak hozzáértésének és megfelelőségének biztosítására terjesztjük őket.
Az általunk követett magatartási kódex segítségünkre van az alábbiakban:
-
Az átláthatóság és kiszámíthatóság növelésében;
-
A köz és a Felügyeleti Hatóság számára annak bemutatásában, hogy az adatvédelmi jogszabályoknak megfelelünk és a személyes adatok ránk bízhatók;
-
A végrehajtási intézkedések okozta károk enyhítésében;
-
A legjobb gyakorlatok lefektetése által a szabványok javításában;
-
Méltányos és átlátható adatkezelés végzésében;
-
Megfelelő garanciák biztosítása a személyes adatok harmadik országok vagy nemzetközi szervezetek számára történő továbbítása keretében.
Alávetjük magunkat a magatartási kódexet kibocsátó szervezet / kereskedelmi testület által kifejtett valamint az adatvédelmi tanúsítási rendszer szerinti gyakori és nem tervezett ellenőrzéseknek és auditálásoknak és vállaljuk, hogy amennyiben a GDPR bármely része értelmében nem lennénk megfelelőnek minősíthetők, elveszíthetjük tanúsítványunkat / jóváhagyásunkat és/vagy erről a Felügyeleti Hatóság tájékoztatásra kerül.
Adat Megőrzés & Rendelkezés
A Társaság meghatározott eljárásokkal rendelkezik a jogszabályokban, szerződésekben és üzleti követelményekben foglalt adatmegőrzési határidőknek, és a GDPR követelményeknek való megfelelés tekintetében, annak érdekében, hogy csak a feltétlen szükséges ideig őrizze és kezelje a személyes adatot. Minden személyes adat felett oly módon rendelkezünk, hogy az az érintettek jogait és magánéletét védje (például adatmegsemmisítés zúzás által, bizalmas hulladék megsemmisítése, biztonságos elektronikus törlés) és a személyes adatok védelmét mindenkor előnyben részesítse.
Adatvédelmi Hatásvizsgálat (DPIA; Data Protection Impact Assessment)
A természetes személyek elvárják, hogy a Társaság által történő tárolás és kezelés során személyes adataik védelme és bizalmas jellege biztosítva legyen. Ennek érdekében számos intézkedést és eszközt használunk az általános adatkezelésből fakadó kockázatok és jogsértések csökkentésére, azonban amennyiben az adatkezelés valószínűleg magas kockázati besorolású vagy jelentős hatással lehet az érintettre, arányos módszereket használunk a hatás előzetes értékelése és feltárása érdekében.
Amennyiben a Társaság kénytelen vagy tervezi, hogy olyan adatkezelést végez, amely új technológiákat alkalmaz, és/vagy amennyiben az adatkezelés a természetes személyek jogaira és szabadságaira nézve valószínűsíthetően magas kockázattal jár, minden esetben Adatvédelmi Hatásvizsgálatot (Data Protection Impact Assessment; DPIA) végzünk.
A GDPR 35(3) cikke valamint az Előzmények 84, 89-96 szakaszai alapján az adatkezelési tevékenységet valószínűsíthetően magas kockázattal járónak minősítjük, amennyiben az az alábbiakat tartalmazza:
-
Természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
-
A személyes adatok különleges kategóriáinak nagy számban történő kezelése;
-
Büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése;
-
Nyilvános helyek nagymértékű, módszeres megfigyelése (például CCTV);
-
Ha az adatkezelési tevékenység valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve;
-
Ha az adatkezelés új technológiákat alkalmaz;
-
Új, korábban nem alkalmazott adatkezelési tevékenység esetén;
-
Jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű kezelése, amelyek az érintettek jelentős számára hatással lehet;
-
Ha az adatkezelési műveletek megnehezítik az érintettek számára, hogy a jogaikat gyakorolják.
Az adatvédelmi hatásvizsgálatok végzése lehetővé teszi számunkra azt, hogy a leghatékonyabb módon biztosítsuk az adatvédelmi kötelezettségeinknek való megfelelést és az adatkezelés során a legmagasabb szintű adatvédelmet biztosítsuk. Ez a Beépített Adatvédelmi megközelítésünk része és lehetővé teszi számunkra, hogy az adatkezelés megkezdése előtt értékelhessük a hatást és kockázatot – így a problémát a forrásánál azonosítva és javítva, ezáltal csökkentve a költséget, adatsértést és kockázatot.
Az adatvédelmi hatásvizsgálatok végzése lehetővé teszi számunkra azt, hogy a lehetséges adatvédelmi megoldásokat és enyhítő intézkedéseket a kockázatok azonosítása és azok hatásainak csökkentése érdekében azonosítsuk. Az adatvédelmi hatásvizsgálatok tartalmazzák a megoldásokat és javaslatokat, a kockázatok pedig valószínűségük és hatásuk tekintetében kerülnek értékelésre. A kockázatokkal kapcsolatos megoldások és enyhítő intézkedések célja annak biztosítása, hogy a kockázatok besorolása az alábbiak szerint meghatározható legyen: –
-
Eltávolított; vagy
-
Csökkentett; vagy
-
Elfogadott.
Adatvédelmi Hatásvizsgálati Eljárás
Az adatvédelmi hatásvizsgálati eljárás lefolytatására mindig kijelölésre kerül egy vezető, aki követi az eljárást, feljegyzi a szükséges információt és az eredményeket közli az ügyvezetővel. Minden adatvédelmi hatásvizsgálati eljárás végzése során közreműködik a belső adatvédelmi tisztviselő, aki a GDPR szabályok szerinti eljárásokban való megfeleléshez nyújt segítséget és támogatást.
Az adatvédelmi hatásvizsgálati eljárás vezetője az alábbi kérdésekre adott válaszok értékelésével felméri, hogy szükséges-e a vizsgálat lefolytatása. Amennyiben egy vagy több kérdésre is „igen” a válasz, adatvédelmi hatásvizsgálati eljárás lefolytatása válik szükségessé.
A szűrő kérdések (többek között) az alábbiak lehetnek:
-
Az adatkezelés igényli természetes személyekre vonatkozó egyes személyes jellemzők módszeres (automatizált módszerekkel történő) és kiterjedt értékelését?
-
A döntések alapulnak olyan értékeléseken, amelyek a természetes személy tekintetében joghatással bírnak vagy a természetes személyt hasonlóképpen jelentős mértékben érintenek?
-
A adatkezelés személyes adatok különleges kategóriáit érinti és a személyes adatok nagy számban történő kezelését jelenti?
-
Az adatkezelés büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelésére vonatkozik?
-
Az adatkezelés nyilvános helyek nagymértékű, módszeres megfigyelését (például CCTV) tartalmazza?
-
A projekt érinti természetes személyekről gyűjtött új adatokat?
-
A projekt kikényszeríti természetes személyektől azt, hogy magukról adatokat közöljenek?
-
Az eddigiektől eltérő célra használja a természetes személyekről szóló adatokat vagy olyan módon, ahogyan eddig nem?
-
A természetes személyekkel kapcsolatos adat valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve?
-
A természetes személyekkel kapcsolatos adat közlésre kerül olyan szervezetek vagy személyek számára akik korábban nem rendelkeztek rutin hozzáféréssel az adathoz vagy megfelelő garanciákkal nem rendelkező harmadik fél számára?
-
Az adatkezelés alkalmaz új technológiákat vagy rendszereket, amely a magánéletbe beavatkozó jellegűnek minősíthető?
-
Az adatkezelés eredményezheti olyan döntések meghozatalát vagy olyan cselekmények meghozatalát természetes személyek ellen, amely jelentős hatással lehet rájuk?
-
A projekt megköveteli hogy oly módon lépjen kapcsolatba a természetes személyekkel amely magánéletükre nézve beavatkozó jellegű lehet?
Az adatvédelmi hatásvizsgálati eljárás az előre meghatározott dokumentum szerint zajlik és – a megfelelőség, valamint annak bizonyítására, hogy minden magas kockázati besorolású adatkezelési tevékenység annak megkezdése előtt értékelésre kerül – minden mozzanat feljegyzésre kerül. Az adatvédelmi hatásvizsgálati eljárást tartalmazó dokumentum az lefolytatás első napjától számított 6 évig megőrzésre kerül és a Felügyeleti Hatóság számára, annak kérésére elérhető.
Az adatvédelmi hatásvizsgálati eljárás az alábbiakat tartalmazza:
-
Az adatvédelmi hatásvizsgálati eljárás céljai és szándékai;
-
Az adatvédelmi hatásvizsgálati eljárás hatálya (amennyiben az több mint egy adatkezelési tevékenységre vonatkozik);
-
Az adatkezelési eljárás jogalapjának megjelölése;
-
Az adatvédelmi hatásvizsgálati eljárást milyen tevékenység/magas kockázati tényező indokolja (például a fenti kezdeti szűrő kérdések közül melyek kerültek azonosításra)?
-
Az adatkezelési műveletek leírása;
-
Az adatkezelés céljainak ismertetése, az adatkezelő által érvényesíteni kívánt jogos érdek;
-
Az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
-
Az érintett jogait és szabadságait érintő kockázatok vizsgálata (ideértve amennyiben alkalmazandó, a lehetséges magánéletbe való beavatkozást is);
-
A vállalati kockázatok vizsgálata (ideértve a szabályozói cselekményeket, meg nem felelést, hírnév sérelmét, közvélemény bizalmának elvesztését, stb.);
-
Megfelelési ellenőrzés végrehajtása a GDPR szabályok, alkalmazandó jogszabályok és bármely Magatartási Kódexek tekintetében;
-
Az azonosított kockázatokról nyilvántartás vezetése;
-
Amennyiben megfelelő, kikérjük az érintett (ek) vagy képviselőik véleményét a szándékolt adatkezelésről;
-
Az intézkedések fenntartása a kockázat azonosítása, csökkentése és eltávolítása tekintetében (például biztonság, javasolt megoldások, kárenyhítő cselekmények, stb.);
-
Adatáramlás – mi az adat, honnan származik, és ki számára kerül továbbításra;
-
Az adatvédelmi tisztviselő engedélye és a Senior Management befejezése;
-
Az adatvédelmi hatásvizsgálati eljárás eredményeinek nyilvántartása, rizikó besorolás hozzáadása és következő lépések meghatározása.
Az Érintett Jogaival Kapcsolatos Eljárások
Hozzájárulás & A tájékoztatáshoz való jog
A személyes és bizonyos esetekben különleges kategóriájú adatok gyűjtése alapvető eleme a Társaság által kínált termékek és szolgáltatások nyújtásának és ezért különleges ellenőrzési mechanizmusokat és intézkedéseket alakítottunk ki a GDPR szabályokban írt hozzájárulás feltételeinek történő megfelelés érdekében.
A GDPR az érintett hozzájárulását úgy definiálja, hogy „Az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.”
Ahol az adatkezelés hozzájáruláson alapul, a Társaságminden hozzájárulási mechanizmust áttekintett és felülvizsgált annak biztosítására, hogy:
-
A hozzájárulás iránti kérelem átlátható, érthető a nyelvezete és minden olvashatatlan feltételtől, zsargontól vagy részletes jogi feltételektől mentes.
-
Önkéntes konkrét és megfelelő hozzájáruláson alapul és félreérthetetlenül jelzi a természetes személy szándékát.
-
Beleegyezését mindig olyan nyilatkozat vagy egyértelmű megerősítő aktus által jelzi, amely hozzájárulását jelzi az őt érintő személyes adatok kezeléséhez.
-
A hozzájárulási mechanizmus előre megadott, tiszta, minden részletet tartalmazó és könnyen alkalmazandó valamint érthető.
-
Előre behúzott vagy megjelölt négyzetek használata sohasem megfelelő.
-
Azon esetekben, ahol a hozzájárulás más témák mellett szerepel (például általános szerződési feltételek, megállapodások, szerződések), biztosítjuk, hogy a hozzájárulás a többi témától külön szerepel és nem előfeltétele bármely szolgáltatás nyújtásának (kivéve amennyiben az a szolgáltatáshoz szükséges).
-
A cégnevünk mellett bármely olyan harmadik személy adatait is megadjuk, aki használni fogja vagy a beleegyezés alapján jár el.
-
A hozzájárulás mindig igazolható és ellenőrzési mechanizmusaink vannak annak biztosítására hogy minden esetben bizonyítani tudjuk a hozzájárulás meglétét.
-
Részletes nyilvántartást vezetünk a hozzájárulásról és minimum azt kell tudnunk bizonyítani, hogy: –
-
a természetes személy hozzájárult személyes adatának használatához és kezeléséhez;
-
a természetes személyt tájékoztatásra került a cégnevünkről és bármely olyan harmadik személyről, aki az adatát használni fogja;
-
a természetes személyt a beleegyezés megadásakor miről tájékoztattuk;
-
hogyan és mikor szereztük meg a beleegyezést.
-
-
Biztosítjuk, hogy a hozzájárulás visszavonása is olyan egyszerű, tiszta és egyértelmű mint annak megadása és több lehetőség áll az érintett rendelkezésére, ideértve: –
-
A levelezésben vagy elektronikus kommunikációban elutasítási / leiratkozási linkek megléte;
-
A honlapon és minden írásos kommunikációban az elutasítási / leiratkozási eljárás magyarázata, lépesekkel;
-
Lehetőség a szóbeli, írásban vagy email útján történő elutasításra / leiratkozásra.
-
-
A hozzájárulást visszavonó kérelmeket azonnal és minden hátrány nélkül feldolgozásra kerülnek.
-
Ahol szolgáltatások gyermekek számára kerülnek nyújtásra, életkor igazolási és szülői hozzájáruló intézkedéseket fejlesztettünk ki és alkalmazunk a hozzájárulás megszerzése érdekében.
-
Ellenőrzések és eljárások kerültek kifejlesztésre és alkalmazásra a hozzájárulás frissítése érdekében, különösen ahol szülői hozzájárulás megszerzése szükséges.
-
Különleges kategóriájú adatok esetében a megszerzett hozzájárulás kifejezett (tisztán és részleteiben nyilatkoztatva, az összetéveszthetőség vagy kétség kizárása mellett), minden esetben az adatkezelés céljának / céljainak megjelölésével.
A Hozzájárulás Ellenőrzése
A Társaság szigorú nyilvántartást vezet az érintettek személyes adatainak kezelésére szolgáló hozzájárulásról és mindig képes bizonyítani, hogy az érintett hozzájárulását adta személyes adatainak kezeléséhez, amennyiben az szükséges. Emellett biztosítjuk azt is, hogy a hozzájárulás visszavonása ugyanolyan tiszta, egyszerű és átlátható folyamat, mint a hozzájárulás megadása volt.
Olyan esetekben, ahol az érintett hozzájárulása olyan írásbeli nyilatkozat formájában került megadásra, amely más témákat is érint, a hozzájárulásra vonatkozó kérelem olyan formában kerül bemutatásra, amely tisztán megkülönböztethető a többi témától, érthető és könnyen hozzáférhető formájú, valamint tiszta és egyértelmű nyelvezettel rendelkezik. Az adatvédelmi tisztviselő minden ilyen írásbeli nyilatkozatot áttekint és – azok használatának megkezdése előtt – engedélyez.
A GDPR úgy rendelkezik, hogy amennyiben az adatkezelés hozzájáruláson alapul és a személyes adat olyan gyermekre vonatkozik, aki a 16. életévét nem töltötte be, az adatok a Társaság általi kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
Az adat megszerzéséhez, kezeléséhez, tárolásához és közléséhez (amennyiben alkalmazandó) szükséges hozzájárulást a Társaság az alábbi módokon szerezheti meg: –
-
Személyes találkozás alkalmával
-
Telefon útján
-
Írásban
-
Email/SMS útján
-
Elektronikus úton (például honlapon lévő formanyomtatványon keresztül)
A Hozzájárulás Alternatívái
A Társaság tudomásul veszi, hogy az adatkezelésnek hat jogszerű alapja van és a hozzájárulás nem mindig a legmegfelelőbb választás. Minden adatkezelési tevékenységet áttekintettünk és a hozzájárulást kizárólag akkor használjuk, amikor a természetes személynek van választási lehetősége.
Amikor áttekintjük az adatkezelési tevékenységet a hozzájárulási követelményeknek való megfelelés céljából, megbizonyosodunk arról, hogy a lentiek közül egyik sem játszik szerepet:
-
Ahol hozzájárulást kérünk, de annak ellenére végeznénk adatkezelést, hogy az esetleg nem kerül megadásra (vagy visszavonásra kerül). Amennyiben más jogalap alapján – a hozzájárulástól függetlenül – végeznénk adatkezelést, felismerjük, hogy az a használatra nem a megfelelő jogalap;
-
Amennyiben a személyes adat kezeléséhez egy általunk nyújtott szolgáltatás előfeltételeként hozzájárulást kérünk, az nem opcionálisan adandó és a hozzájárulás nem megfelelő;
-
Ahol a jogviszonyban nem egyenrangú felek állnak, például munkavállalók esetén.
Információ Szolgáltatás
Amennyiben személyes adatot közvetlenül a természetes személytől szerzünk (például hozzájárulás formájában, munkavállalóktól, írásbeli anyagok és/vagy elektronikus formátum alapján (például honlap formanyomtatványok, hírlevelek, e-mailek, stb.)), az alábbi információkat minden esetben közöljük, hozzájáruló/vagy adatkezelési nyilatkozat formájában: –
-
Az adatkezelő azonosítását és kapcsolattartási adatait és amennyiben alkalmazandó, az adatkezelő képviselőjének azonosítását és kapcsolattartási adatait.
-
Az adatvédelmi tisztviselőnk kapcsolattartási adatait.
-
A személyes adatok céljára történő adatkezelés célja (i) t.
-
Az adatkezelés jogalapját.
-
Amennyiben az adatkezelés a 6. cikk (1) bekezdésének f) pontja alapján történik, „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges”, a jogos érdek részletezését.
-
A személyes adatok címzettjeit, illetve a címzettek kategóriáit (amennyiben alkalmazandó).
-
Adott esetben annak tényét, hogy a Társaság harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya.
-
amennyiben Társaság a Bizottság megfelelőségi határozata hiányában harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, a Társaság által eszközölt megfelelő és alkalmas garanciák megjelölését, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozást
-
-
A személyes adatok tárolásának időtartamát, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait.
-
Az érintett azon jogát, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról.
-
A 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jogot, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.
-
A felügyeleti hatósághoz címzett panasz benyújtásának jogát.
-
Azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.
-
A 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal tényét, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
A fenti információt az érintett számára az adat gyűjtésének időpontjában kell rendelkezésre bocsátani és a hozzájárulásra vonatkozó nyilvántartásokat a hozzájárulás megadásától számított 6 éves időtartamig kell megtartani és tárolni, kivéve, amennyiben jogi követelmény írja elő a hosszabb ideig történő tárolást.
Adatvédelmi Politika & Adatkezelési Nyilatkozat
Adatvédelmi Politika
A Magyar Mentőszolgálat Alapítvány felismeri az Adatvédelmi Politika és az Adatkezelési Nyilatkozat közti különbséget és biztosítja, a mindkét formára vonatkozó szabályozói, jogi és bevált gyakorlatokra vonatkozó követelményeknek való megfelelést. A jelen dokumentum tekintetében az Adatvédelmi Politika definíciót annak megjelölésére használjuk, hogy bemutassuk az üzletfeleink, alkalmazottaink és bármely azokhoz tartozó társaságok számára az adatvédelemmel kapcsolatos operatív és szervezeti megközelítésünket valamint a GDPR-nak és bármely alkalmazandó adatvédelmi jogszabályoknak való megfelelésünket.
A jelen dokumentum elnevezése Adatvédelmi Szabályzat, amely bemutatja, hogy miként felelünk meg a GDPR elveknek, az adatok kezelésének módját, iránymutatásokat és eljárásokat tartalmaz az érintettek jogai gyakorlásának biztosítására, valamint tartalmazza alapvető beépített adatvédelmi megközelítésünket. Ezen szabályzat alapvetően belső referencia dokumentumként használandó, és részleteiben meghatározza, hogy hogyan alkalmazzuk az elveket, milyen eljárásokat követünk a Rendeletnek történő megfelelés során és további speciális egyéni és/vagy osztályok számára fennálló felelősségi köröket tartalmaz, ideértve az Adatvédelmi Tisztviselő felelősségi körét is.
Honlapunkon megtalálható az Adatvédelmi Politika felhasználóbarát változata, amely szintén tartalmaz tájékoztatást a honlapon elhelyezett cookie-król. A honlapon szereplő Adatvédelmi Politika könnyen látható és elérhető helyen, a jogszabály által megkövetelt Adatkezelési Nyilatkozaton felül található; további információk erről alább olvashatók.
Adatkezelési Nyilatkozat
Az Adatkezelési Nyilatkozat az Adatvédelmi Szabályzattól eltérő, és az Adatkezelési Nyilatkozat a természetes személyek számára személyes adataik gyűjtésekor (vagy az adat közvetlen megszerzésekor meglévő legkorábbi lehetőség alkalmával) kerül átadásra. Az Adatkezelési Nyilatkozat tartalmazza a GDPR 13 és 14. cikkei (a jelen szabályzat 8.1.3. pontját) szerinti követelményeket és a természetes személyek számára tartalmazza a szükséges és jogi információkat arról, hogy hogyan, miért és mikor kezeljük adataikat, valamint jogaikat és kötelezettségeiket.
Az Adatkezelési Nyilatkozatot úgy alkottuk meg, hogy a közszámára nyilatkozzunk arról, hogy Társaság miként tartalmazza az adatvédelmi elveket az általunk kezelt adatok tekintetében. Az Adatkezelési Nyilatkozat minden természetes személy számára átadásra kerül, akinek adatát kezeljük (például ügyfeleknek, munkavállalóknak, harmadik feleknek, stb.) és csak a természetes személyre vonatkozó specifikus, valamint a jogszabály által megkövetelt információt tartalmazza. Az Adatkezelési Nyilatkozat könnyen hozzáférhető, olvasható, zsargon mentes és – az adatgyűjtés formájától függően – több formában elérhető dokumentum: –
-
A honlapon keresztül;
-
Az e-mailek lábjegyzetében egy linken keresztül vagy teljesen kiírva;
-
Teljes mértékben megszövegezve a megállapodásokban, szerződésekben, formanyomtatványokban vagy más olyan anyagokban, ahol az adatokat írásban vagy személyesen gyűjtjük;
-
Munkavállalókkal kötött szerződésekben vagy toborzási anyagokban;
-
Szóban telefonon keresztül vagy személyesen;
-
SMS útján;
-
Nyomtatott sajtó, hirdetések és pénzügyi reklámok útján;
-
Digitális Termékek / Szolgáltatások útján;
Olyan esetekben, amikor a személyes adat megszerzését és kezelését hozzájárulás alapján végezzük, biztosítjuk, hogy az:
-
Tisztán és kiemelkedően jelezve van;
-
Megkérjük a természetes személyeket arra, hogy megerősítésként adják beleegyezésüket;
-
Elegendő információt adunk nekik hogy tájékozott döntést hozzanak;
-
Elmagyarázzuk az adatok használatának különböző módozatait;
-
Tiszta és egyszerű módot adunk nekik hogy jelezzék beleegyezésüket a különböző típusú adatkezelésekkel kapcsolatban;
-
Külön, be nem jelölt opt-in kocka kerül kijelölésre a közvetlen üzletszerzés céljára.
Nem az Érintett által Származó Személyes Adat
Olyan esetekben, ahol Társaság olyan személyes adatot szerez meg és/vagy kezel, amely közvetlenül nem az érintett által származik, Társaság biztosítja, hogy a jelen szabályzat 9.1.1 pontjában jelzett információ az érintett számára a személyes adat megszerzésétől számított 30 napon belül átadásra kerül (kivéve, arról történő tájékoztatás esetén, hogy a személyes adat jogszabályi vagy szerződéses követelmény).
Az érintett számára a 8.1.3 pont szerint szolgáltatott információn felül, szintén tájékoztatást adunk az alábbiakról:
-
A személyes adatok kategóriáiról;
-
A személyes adat származásának forrásáról és hogy az közszámára elérhető forrásból származik-e.
Az információt legkésőbb az első kommunikáció vagy közlés megtételekor kell közölni, amennyiben a személyes adatot az érintettel történő kommunikációra használják, vagy más címzettel történő közlés valószínűsíthető. Amennyiben a Társasága továbbiakban bármely személyes adatot az eredetileg megszerzettől eltérő célra kíván kezelni, a kezelést megelőzően ezen szándékot jelezzük az érintettnek és amennyiben alkalmazandó, kizárólag hozzájárulása alapján kezeljük.
Mindamellett hogy a jelen szabályzat 8.1.3. pontja szerint szolgáltatott információ szolgáltatásakor követjük a legjobb gyakorlatokat, fenntartjuk magunknak a jogot hogy nem adunk tájékoztatást az érintettnek, amennyiben:
-
Már rendelkezésére áll az információ, és bizonyítani tudjuk az információ korábbi átvételét;
-
Az információ szolgáltatása lehetetlennek bizonyul és/vagy aránytalan fáradozást jelentene;
-
Az adat szerzés vagy közlés szabályait a Társaságunk által kötelező uniós vagy tagállami jog kifejezetten tartalmazza, és megfelelő intézkedéseket biztosít az érintett jogi érdekének védelmére;
-
Amennyiben a személyes adat bizalmas jellegű marad az uniós vagy tagállami jog szerinti szakmai titoktartási szabályoknak megfelelően, ideértve a törvényes titoktartási kötelezettséget.
A Munkavállaló Személyes Adata
A GDPR iránymutatás szerint nem használjuk a hozzájárulást a munkavállaló személyes adata megszerzésének vagy kezelésének jogalapjaként. A HR szabályzatainkat frissítettük annak biztosítására, hogy munkavállalóink megkapják a megfelelő információkat és tudomással vannak arról, hogyan és miért kezeljük adataikat.
A Hozzáféréshez való jog
Megfelelő intézkedéseket biztosítottunk annak érdekében, hogy az érintettek adatkezelése a 13 és 14. cikkek szerinti információ szolgáltatás és a 15, 22 és 34 cikkek (együttesen: az Érintettek Jogai) szerint történő kommunikáció során tömören, átláthatóan, érthetően és könnyen hozzáférhető formában, tiszta és egyértelmű nyelvezettel ellátva kerüljön kibocsátásra. Ezen információt díjmentesen, írásban, vagy más, az érintett által engedélyezett formában, az érintett azonosításának előzetes ellenőrzése mellett bocsátjuk rendelkezésre (például szóban vagy elektronikus úton).
Az érintett számára az információt a lehető leghamarabb, de a kérelem átvételétől számított legfeljebb 30 napos időtartamon belül kell szolgáltatni. Ahol az információ visszakeresése vagy szolgáltatása különösen bonyolult vagy érvényes késedelem indokolja, – amennyiben szükséges -, a határidő további két hónappal meghosszabbítható. Azonban ez csak különleges körülmények esetén lehetséges és az érintettet a visszakeresési eljárás alatt fellépő bármely késedelemről vagy a késedelem okáról folyamatosan, írásban tájékoztatni kell.
Azon esetekben, amikor nem felelünk meg az adatszolgáltatási kérésnek, az érintettet tájékoztatni kell 30 napon belül az elutasítás okáról valamint arról, hogy panaszt nyújthat be a Felügyeleti Szervnek.
Az Érintettek Hozzáférési Kérései
Amennyiben az érintett annak igazolására kér minket, hogy vele kapcsolatban személyes adatát megszereztük vagy kezeljük és hozzáférést kér ezen adatokhoz; az alábbiakról tájékoztatjuk:
-
Az adatkezelés céljai;
-
Az érintett személyes adatok kategóriái;
-
Azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják;
-
Ha az adatot harmadik országbeli címzettekkel, illetve a nemzetközi szervezetekkel közölték vagy fogják közölni, a megfelelő garanciák megjelölése;
-
Adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
-
Az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
-
A valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
-
Ha a Társasága személyes adatokat nem az érintettől gyűjtötte, a forrásukra vonatkozó minden elérhető információ;
-
Az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Az Érintett Hozzáférési Kérése (Subject Access Requests (SAR)) beérkezést követően átadásra kerül az adatvédelmi tisztviselő részére és a kérésről feljegyzés készül. A természetes személyről tárolt adatot összevetjük az Információs Audit rendszerünkkel, hogy ellenőrizzük, milyen formában kerül tárolásra, kivel közöltük és a hozzáférésre vonatkozó milyen különleges időkeret alkalmazandó.
Az Érintett Hozzáférési Kérését minden esetben 30 napon belül, ingyenesen fel kell dolgozni. Amennyiben a természetes személy kérését elektronikus formátumban teszi meg, az információt a szokásosan használt elektronikus formában szolgáltatjuk, kivéve, amennyiben alternatív formában történő választ kér.
Az Érintett Hozzáférési Kérésének megtételével kapcsolatban további iránymutatásért olvassa el az Érintett Hozzáférési Kérésével kapcsolatos Eljárásrendet, amely azt is tartalmazza, hogy milyen lépéseket kell tennünk annak érdekében, hogy a hozzáférés a GDPR alapján biztosítva legyen.
Adathordozhatóság
A Társaságaz érintettre vonatkozó személyes adatot kérésre és könnyen közölhető és olvasható formátumban adja meg. Vállaljuk, hogy teljesítjük az egyének adathordozhatósággal kapcsolatos jogait, biztosítva, hogy minden személyes adat elérhető és tagolt, széles körben használt, és azt olyan géppel olvasható formátumban bocsátjuk az érintettek rendelkezésére, amely lehetővé teszi számukra azt, hogy személyes adatát saját céljaira különböző szolgáltatások során történő használatra megszerezze és újra felhasználja.
A személyes adatokat széles körben használt, géppel olvasható formátumban tároljuk a GDPR 20. cikkének történő megfelelés biztosítása érdekében olyan esetekben, ahol az adatkezelés az alábbiakon alapul: –
-
a 6. cikk (1) bekezdésének a) pontja szerinti hozzájáruláson, vagy
-
a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy
-
a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
-
az adatkezelés automatizált módon történik.
Ha az érintett kéri és amennyiben a fenti feltételek teljesülnek, valamint amennyiben technikailag lehetséges, a személyes adatot közvetlenül továbbítjuk a Társaságtól a kijelölt adatkezelőnek.
A géppel olvasható adatokhoz az alábbi formátumokat használjuk:
-
HTML
-
CSV
-
XML
Minden információ kérés az érintett vagy a kijelölt adatkezelő számára díjmentesen és a kérés beérkezésétől számított 30 napon teljesítendő. Amennyiben bármilyen oknál fogva nem cselekednénk a kérdés megválaszolásakor, 30 napon belül az érintett számára teljes, írásbeli magyarázatot küldünk az elutasítás okairól, valamint tájékoztatást a felügyeleti hatóság felé fennálló panasztételi jogról és a jogorvoslati jogról.
Az adathordozhatósághoz való jog alapján fennálló minden továbbítási kérést értékelünk annak szempontjából, hogy az más adat alanyt ne érintsen. Amennyiben a személyes adat az adat/továbbítást más adatkezelő számára kérő érintetten kívül más természetes személyeket is érint, ez semmilyen esetben sem érintheti a többi érintett jogait és szabadságát.
Helyesbítés & Törlés
Pontatlan vagy Nem Teljes Adat Javítása
A GDPR 5. cikk (d) pontja értelmében a Társaság által őrzött és kezelt minden adatot amennyiben lehetséges pontosan és szükség esetén naprakészen kell tartani. Amennyiben pontatlanságot azonosítunk és/vagy amennyiben az érintett vagy adatkezelő arról tájékoztat minket hogy az általunk kezelt adat pontatlan, minden ésszerű intézkedést megteszünk annak érdekében, hogy a pontatlan személyes adatokat haladéktalanul helyesbítsük.
Az adatvédelmi tisztviselő értesítést kap az érintettek kéréséről személyes adataik frissítése céljából és felelős az információ érvényesítéséért – és amennyiben jelzésre került -, a hibák kijavításáért. Az információ az érintett utasítása szerint kerül módosításra az információs audit rendszer ellenőrzése mellett annak biztosítására, hogy az érintettre vonatkozó minden adat – amennyiben az nem teljes vagy nem pontos – frissítésre kerül. Frissítés esetén adott esetben kiegészítést vagy kiegészítő nyilatkozatot teszünk.
Amennyiben az érintett tájékoztatása szerint az adat nem pontos, a hibát 30 napon belül kijavítjuk és – amennyiben a kérdéses személyes adatot közöltük – bármely harmadik felet értesítjük a javításról. Az érintettet a javításról írásban tájékoztatjuk és adott esetben azon harmadik fél személyéről is tájékoztatjuk, aki számára az adat átadásra került.
Amennyiben bármilyen oknál fogva nem cselekednénk a javításra és/vagy kiegészítésre vonatkozó kéréssel kapcsolatban, 30 napon belül az érintett számára teljes, írásbeli magyarázatot küldünk, valamint tájékoztatást a felügyeleti hatóság felé fennálló panasztételi jogról és a jogorvoslati jogról.
Törléshez való jog
Az “Elfeledtetéshez való jog”ként is ismert jog alapján, a Társaság teljes mértékben megfelel az 5. cikk (e) pontjának és biztosítja, hogy az érintett azonosítására szolgáló személyes adat csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig kerül tárolásra. A Társaság által megszerzett és kezelt személyes adatok kategorizálása az információ audit értékelését követően történik és vagy egy törlési időpont kerül meghatározásra vagy folyamatosan figyelemmel kísérjük annak érdekében, hogy azt – amennyiben az továbbiakban már nem szükséges -, azonnal megsemmisítsük.
Ezen intézkedések lehetővé teszik az érintettek törlésre vonatkozó jogának való megfelelést, mivel – amennyiben már nem áll fenn kényszerítő ok a folyamatos adatkezelésre – a természetes személy kérheti a személyes adat törlését vagy eltávolítását. Habár az alapvető eljárásaink már törlik az adatokat amennyiben azok a továbbiakban már nem szükségesek, mégis kijelölt eljárást követünk a törlési kérelmek tekintetében annak biztosítására, hogy minden fennálló jognak megfelelünk és semmilyen adatot nem tárolunk annál tovább, mint az szükséges.
Amennyiben törlésre és/vagy személyes adatok eltávolítására vonatkozó kérést kapunk az érintettől, a következő eljárást követjük:
-
A kérést kiosztjuk az adatvédelmi tisztviselőnek és feljegyezzük a Törlési Kérések Nyilvántartásában (Erasure Request Register).
-
Az adatvédelmi tisztviselő az érintettre vonatkozó minden személyes adatot beazonosít és átnézi hogy lássa, hogy az még mindig kezelés alatt áll-e és még mindig szükséges-e a jogalaphoz és az eredetileg szándékolt célhoz.
-
A kérést áttekinti, hogy megbizonyosodjon arról, hogy az megfelel-e az alábbi egy vagy több törlési oknak: –
-
a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
-
az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
-
az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
-
a személyes adatokat jogellenesen kezelték;
-
a személyes adatokat jogi kötelezettség teljesítéséhez törölni kell;
-
a személyes adatok gyűjtésére gyermekek számára az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor;
-
-
Amennyiben a törlésre vonatkozó kérésnek a fentiek közül legalább egy jogi alapja van, a kérés megérkezését követő 30 napon belül törlésteljesítésre kerül.
-
Az adatvédelmi tisztviselő írásban értesíti az érintettet, hogy a törléshez való jogot biztosítja és részleteket szolgáltat a törölt adatról és a törlés időpontjáról.
-
Amennyiben a Társaság bármely személyes adatot közzétett és a törléshez való jog biztosításra került, minden ésszerű lépést és intézkedést megteszünk a nyilvános hivatkozások, linkek és adat másolatok eltávolítása érdekében és kapcsolatba lépünk a vonatkozó adatkezelőkkel és/vagy adatfeldolgozókkal és tájékoztatjuk őket az érintettek személyes adatok törlésére vonatkozó kéréséről.
Amennyiben bármilyen oknál fogva nem cselekednénk a javításra és/vagy kiegészítésre vonatkozó kéréssel kapcsolatban, 30 napon belül az érintett számára teljes, írásbeli magyarázatot küldünk, valamint tájékoztatást a felügyeleti hatóság felé fennálló panasztételi jogról és a jogorvoslati jogról. Ezen adat törlésre vonatkozó visszautasítás az alábbiakat tartalmazza:
-
A véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlását.
-
Közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtását.
-
A népegészségügy területét érintő közérdeket.
-
Közérdekű archiválás célját, tudományos és történelmi kutatási célból vagy statisztikai célját, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést.
-
Jogi igények előterjesztését, érvényesítését, illetve védelmét.
Az adatkezelés korlátozásához való jog
Vannak bizonyos körülmények, amikor a Társasága személyes adat kezelését annak érdekében korlátozza, hogy az érintett kérésére vonatkozó jogi követelményt érvényesítse, igazolja, vagy annak megfeleljen. A korlátozás alatt álló adat eltávolításra kerül a normális információáramlás köréből és az információs audit körében korlátozás alatt állóként kerül nyilvántartásra. Az érintettel kapcsolatos, korlátozás alatt álló adatra vonatkozó bármely beszámoló és/vagy rendszerfrissítésre kerül és a használók tájékoztatásra kerülnek a korlátozással kapcsolatos kategóriáról és az okokról. Ahol az adat korlátozásra kerül, csak tárolásra kerül és nem kezelhető bármilyen formában.
A Társaságaz adatkezelés korlátozására vonatkozóan az alábbi körülményeket tartalmazza:
-
Az érintett vitatja a személyes adatok pontosságát, és ellenőrizzük a személyes adatok pontosságát és/vagy helyesbítését;
-
Amennyiben az érintett ellenzi az adatok törlését (ahol az a közérdek céljára vagy jogi érdek céljának teljesítésére szükséges volt), és azt vizsgáljuk, hogy jogos indokaink elsőbbséget élveznek-e az érintett jogos indokaival szemben;
-
Ha az adatkezelés jogellenes, és az érintett az adatok törlése helyett azok felhasználásának korlátozását kéri;
-
Ahol az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
Az adatvédelmi tisztviselő áttekinti és engedélyezi a korlátozásra vonatkozó kéréseket és cselekményeket és tárol az érintettektől valamint a megfelelő harmadik felektől származó és a nekik küldött értesítések másolatait. Amennyiben az adat korlátozott és ezen adatot harmadik féllel közöltünk, a harmadik felet tájékoztatjuk az érvényben lévő korlátozásról és annak okáról, valamint a korlátozás felfüggesztése esetén újra tájékoztatást küldünk.
Az adat korlátozást kérő érintetteket a korlátozásra alkalmazását követő 30 napon belül tájékoztatjuk és tájékoztatást adunk bármely olyan harmadik félről is, akivel az adatot közöltük. Az érintett számára szintén írásban megküldjük bármely olyan határozatot, amely az adatkezelés korlátozásának felfüggesztésére vonatkozik. Amennyiben bármilyen oknál fogva nem cselekednénk a korlátozásra vonatkozó kéréssel kapcsolatban, 30 napon belül az érintett számára írásbeli magyarázatot küldünk, valamint tájékoztatást a felügyeleti hatóság felé fennálló panasztételi jogról és a jogorvoslati jogról.
Tiltakozások és Automatizált Döntéshozatal
Az érintetteket az első kapcsolatfelvétel alkalmával az Adatvédelmi Nyilatkozatban a többi információtól elkülönülve, tiszta és olvasható formában tájékoztatjuk az adatkezelésre vonatkozó tiltakozási jogukról. Minden közvetlen üzletszerzéssel kapcsolatos anyagban opt-out választási lehetőséget biztosítunk és online tiltakozási formanyomtatványt adunk olyan esetben, amikor az adatkezelést online végezzük. A természetes személyek jogában áll tiltakozni:
-
Az adatkezelés létfontosságú érdekek védelme miatt szükséges vagy közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (ideértve a profilozást is);
-
Közvetlen üzletszerzés esetén (ideértve a profilozást is);
-
Az adatkezelés tudományos/történelmi kutatás és statisztika céljára történik.
Amikor a Társasága személyes adatokat jogi kötelezettség ellátása céljára jogos érdekkel kapcsolatban vagy tudományos célra kezeli, az érintett tiltakozása csak olyan esetben vehető figyelembe, ha az a „saját helyzetével kapcsolatos okokból” történik. Fenntartjuk a jogot ezen személyes adat további kezelésére az alábbi esetekben: –
-
Ha tudjuk bizonyítani, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben;
-
Ha az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik.
Amennyiben a személyes adatot közvetlen üzletszerzés céljára kezeljük korábban megszerzett hozzájárulás alapján, a személyes adat kezelését azonnal megszüntetjük, amennyiben az érintett tiltakozik. Ezen intézkedés abszolút jellegű, ingyenes és mindig betartjuk.
Amennyiben az érintett a személyes adat kezelése ellen érvényes okok alapján tiltakozik, a Társaság abbahagyja arra a célra végzett adatkezelést és az érintettet erről írásban, a kifogás beérkezésétől számított 30 napon belül értesíti.
Rendszer auditot végeztünk az emberi beavatkozást nem igénylő automatizált döntés hozatali eljárások azonosítására. Ezen ugyanazon elem céljára, az implementálás előtt új rendszereket és technológiákat is értékelünk. A Társaság figyelembe veszi, hogy az emberi interakciótól mentes döntések elfogultak lehetnek a természetes személyekkel kapcsolatban és a GDPR 9. és 22. cikke alapján célunk olyan intézkedéseket érvénybe helyezni, amely az egyének számára adott esetben garanciákat biztosít. Adatvédelmi Nyilatkozataink útján az egyénekkel létesített első kapcsolatfelvétel során és honlapunkon tájékoztatjuk az egyéneket jogaikról, hogy ne terjedjen ki rá az olyan döntés hatálya, amely: –
-
Kizárólag automatizált adatkezelésen alapul,
-
Amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
Korlátozott körülmények között a Magyar Mentőszolgálat Alapítvány automatizált döntés hozatali eljárásokat a jogszabályok szerint használja. Ezen esetek az alábbiak:
-
Amennyiben az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges,
-
Amennyiben meghozatalát jogszabály teszi lehetővé (például csalás vagy adókijátszás megelőzése),
-
Amennyiben az érintett kifejezett hozzájárulásán alapul,
-
Amennyiben a döntésnek rá nézve nincs joghatása vagy az őt hasonlóképpen jelentős mértékben nem érinti.
Amennyiben cégünk automatizált döntés hozatali eljárást alkalmaz, erről mindig értesítjük az egyént és tájékoztatást adunk jogairól. Azt is biztosítjuk, hogy az egyének kérhetik az emberi beavatkozást, kifejezhetik véleményüket és a döntés magyarázatát kérhetik, és azt kifogásolhatják is.
Felügyeleti Eljárások
Biztonság & Adatsértés Kezelése
Az adatok védelmével kapcsolatos “Beépített Adatkezelés” megközelítésünk értelmében a kezelt adat legmagasabb szintű biztonságát vállaljuk, ideértve elsősorban a megosztás, közlés és továbbítás során történő biztonságot. Információs Biztonsági Szabályzatunk & Eljárásaink részletes intézkedéseket és ellenőrzési mechanizmusokat tartalmaznak a személyes adatok védelmével és azok biztonságának biztosításával kapcsolatban, a beleegyezés megszerzésétől számítva egészen a törlésig.
Információs audit tevékenységet végzünk annak biztosítására, hogy az általunk tartott és kezelt személyes adatok kiszámíthatók és nyilvántarthatók amellett, hogy az érintettekre vonatkozó adatsértés hatályával és hatásával kapcsolatban kockázatértékelést is végzünk. Megfelelő és kielégítő technikai és szervezeti intézkedéseket alkalmazunk a kockázatnak megfelelő biztonsági szint biztosítására.
Habár minden erőfeszítést és intézkedést megteszünk az adat sértések kockázatainak csökkentésére, Társaság- a Felügyeleti Hatóság és az érintetteknek történő értesítés megadása mellett (amennyiben alkalmazandó) – kifejezett ellenőrzési és eljárási mechanizmusokat fejlesztett ki az ilyen helyzetek kezelésére.
Jelszavak
A jelszavak használata a Társaság védelmi stratégiájának központi eleme és cégen belül mindenhol használjuk az információk védelme és a rendszerekhez történő hozzáférés korlátozása céljából.
Több szintű megközelítést alkalmazunk, amely magában foglalja a felhasználói, management, eszköz, rendszer és hálózati szintű jelszavakat az átfogó és mindenre kiterjedő megközelítés jegyében. Habár a jelszavak közvetlenül kapcsolódnak az Információbiztonsági és Hozzáférési Ellenőrzési Mechanizmushoz, a Társaság felismeri, hogy az erős és hatékony jelszavak és intézkedések elengedhetetlenek a személyes adatok védelme és biztonsága szempontjából.
A jelszavak magas szintű védelmet biztosítanak a forrásokhoz és adatokhoz; valamint kötelező követelmények minden, egy vagy több fiókért vagy rendszerért felelős, illetve olyan munkavállaló és/vagy harmadik fél számára, aki hozzáfér a jelszót igénylő forráshoz.
Korlátozott Hozzáférés & Üres Asztal Politika
A Társaság esetenként és saját belátása szerint jogosult minden vagy egy-egy fájlt biztonságos számítógépes hálózatra helyezni, korlátozott hozzáférést biztosítva minden/bizonyos személyi adatokhoz. Ahol ez alkalmazásra kerül, a személyes adatokhoz történő hozzáférés kizárólag azon személy/osztály részére megengedett, akinek ezen adathoz történő hozzáféréshez és használathoz különleges és törvényes célja van.
A Társasága nulla tolerancia elvén az Üres Asztal Politikáját követi és nem engedélyezi, hogy az asztalokon vagy tárgyaló szobákban, vagy látható formában, például nem zárolt számítógépes kijelzőkön vagy fax gépeken, nyomtatókon, stb. személyes adatot felügyelet nélkül hagyjanak. Az épületen belül mindenhol biztonságosan ellenőrzött, korlátozott hozzáférés van azon területekhez, ahol személyes adat kerül tárolásra (mind elektronikusan, mind fizikailag). Kizárólag az adatok hozzáférésére vagy területek biztosítására feljogosított alkalmazott jogosult ezen területeken eljárni. Minden, személyes és bizalmas adatot fizikailag tartalmazó másolatot biztonságosan kell tárolni.
Adattovábbítások & Adatmegosztás
A Magyar Mentőszolgálat Alapítvány arányos és hatékony intézkedéseket tesz az általunk mindenkor őrzött és kezelt személyes adat védelme érdekében, és habár felismerjük a személyes adatok közlésének és továbbításának magas kockázati jellegét, a továbbítandó adat védelmének és biztonságának még magasabb szintű elsőbbséget biztosítunk. Magyarországon és Európai Unión belül történő adattovábbítások kevésbé jelentenek kockázatot, mintha az a harmadik országok vagy nemzetközi szervezetek felé történne, mivel a GDPR lefedi a korábbi és szigorú szabályokat tartalmazó, minden EU tagállam számára alkalmazandó szabályokat.
Amennyiben az adat jogi és szükséges célra, a GDPR minden cikkének megfelelően kerül továbbításra, olyan eljárást használunk, amely biztosítja, hogy ezen adat titkos kulccsal ellátva kerül titkosításra és – amennyiben lehetséges -, adat minimalizálási módszerünk hatálya alatt áll. A továbbítás jóváhagyott, biztonságos módját használjuk és kijelölt kapcsolattartóink vannak minden olyan tagállami szervezetnél, amelyekkel együtt dolgozunk. Minden továbbított adat feljegyzésre kerül az információs audit rendszerünkben annak érdekében, hogy a nyomon követés könnyen elérhető és a felhatalmazás hozzáférhető legyen. Az Adatvédelmi Tisztviselő minden EU adattovábbítás esetében felhatalmazást ad és a titkosítási és biztonsági módszereket és eszközöket igazolja.
Személyes adatok továbbítását végezzük harmadik országok és nemzetközi szervezetek részére olyan esetekben, ahol a Bizottság megállapította, hogy a harmadik ország vagy a nemzetközi szervezet megfelelő védelmi szintet biztosít. Ezen adattovábbítások áttekintésre kerülnek az Adatvédelmi Tisztviselő által és ugyanazon eljárást alkalmazzuk, mint az EU-n belüli adattovábbítás esetében. Az Adatvédelmi Tisztviselő felelős a Bizottság által átadott jóváhagyott harmadik országok listájának figyelemmel kíséréséért és kizárólag a jelen bekezdés szerint továbbít adatokat az ott megjelölt országokba, szervezeteknek vagy ágazatok számára.
Megfelelő Garanciák
A Bizottság arra vonatkozó megállapítása hiányában, hogy a harmadik ország vagy a nemzetközi szervezet megfelelő védelmi szintet biztosít, korlátozzuk a továbbításokat olyan esetekre, amikor az jogszabály alapján kötelező vagy üzleti kötelezettségeink teljesítéséhez szükséges vagy az érintett érdekét szolgálja. Ilyen esetekben megfelelő eszközöket és garanciákat alkalmazunk az adat továbbítás alatt történő védelme érdekében és az adatkezelés és/vagy a harmadik ország vagy nemzetközi szervezetnél történő tárolás időtartamára.
Ezen garanciák biztosítják, hogy az érintettek jogai érvényesíthetők és hatékony jogorvoslati lehetőségek állnak rendelkezésükre. A Felügyeleti Hatóság engedélye nélkül az alábbi megfelelő garanciák nyújthatók:
-
Közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;
-
Kötelező erejű vállalati szabályok;
-
A Bizottság által elfogadott általános adatvédelmi kikötések;
-
A felügyeleti hatóság által elfogadott és a Bizottság által jóváhagyott általános adatvédelmi kikötések;
-
Jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat;
-
Jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.
Az Felügyeleti Hatóság engedélyével megfelelő garanciákként különösen az alábbiak is szolgálhatnak:
-
A Társaság vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések;
-
Közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztendő rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések.
A Társaság nem továbbít személyes adatot bármely harmadik ország vagy nemzetközi szervezet részére anélkül, hogy egy vagy több fenti garancia, vagy – amennyiben alkalmazandó – a Felügyeleti Hatóság engedélye ne állna rendelkezésére. Igazoljuk, hogy minden garancia megfelel a GDPR elveknek, az érintettek jogait kényszeríti ki és a személyes adatot a Rendeletnek megfelelően védi.
A 46. cikk értelmében biztosítjuk, hogy bármely harmadik ország vagy nemzetközi szervezet részére továbbítandó személyes adatra vonatkozó megállapodások, szerződések vagy kötelező erejű vállalati szabályok a Felügyeleti Hatóság és/vagy a Bizottság formai vagy eljárási iránymutatásának megfelelően kerülnek megszövegezésre (amennyiben alkalmazandó). Igazoljuk, hogy legalább az alábbiakat tartalmazzák:
-
Az adattovábbításokat vagy a továbbítások sorozatát, beleértve:
-
a személyes adatok kategóriáit,
-
az adatkezelés fajtáját és céljait,
-
az érintettek fajtáit.
-
-
A szóban forgó harmadik ország vagy országok azonosítását;
-
A vállalkozások adatvédelmi szabályzatának belső és külső tekintetben jogilag kötelező jellegét;
-
Az általános adatvédelmi elvek alkalmazását, különösen: –
-
a célhoz kötöttség,
-
az adattakarékosság,
-
a korlátozott tárolási időtartamok,
-
az adatminőség,
-
a beépített és alapértelmezett adatvédelem,
-
az adatkezelés jogalapja,
-
a személyes adatok különleges kategóriáinak kezelése,
-
az adatbiztonságot garantáló intézkedések,
-
az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező erejű vállalati szabályok.
-
-
Az érintettek személyes adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve: –
-
kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés jogát,
-
az érintett az illetékes felügyeleti hatóságnál és a tagállamok illetékes bíróságainál panaszt nyújthat be,
-
a jogorvoslathoz való jogát, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogát.
-
-
A felelősségünk (és a nevünkben eljáró adatfeldolgozó felelősségének) elismerését abban az esetben, ha a kötelező erejű vállalati szabályokat olyan harmadik ország vagy nemzetközi szervezet sérti meg, aki számára az adat továbbításra került; (kivéve, hogy részben, vagy egészben mentesülünk e felelősség alól, ha bizonyítjuk, hogy nem vagyunk felelősek a kár előidézésében),
-
Azt, hogy (a 13. és a 14. cikkben említetten kívül) miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokra vonatkozó információkat (különösen a GDPR elvekre vonatkozó, az érintett jogaira és adat sértésre vonatkozó felelősségi szabályokat),
-
Bármely Adatvédelmi Tisztviselő és/vagy a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követéséért felelős személyek feladatait,
-
A panasztételi eljárásokat,
-
A kötelező erejű vállalati szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló mechanizmusokat, ideértve: –
-
az adatvédelmi auditokat,
-
és az érintettek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat,
-
az ellenőrzések eredményeit közölni kell az Adatvédelmi Tisztviselővel és az ellenőrző vállalkozás felügyelőbizottságával.
-
-
A kötelező erejű vállalati szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti hatóság számára történő bejelentésére szolgáló mechanizmusokat,
-
A kötelező erejű vállalati szabályoknak a vállalkozáscsoport tagjai általi betartásának biztosítása érdekében a Felügyeleti Hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti hatóság számára elérhetővé teszik a fenti intézkedések ellenőrzésének eredményeit,
-
Az arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti hatóság számára a vállalkozáscsoport tagjára valamely harmadik országban vonatkozó azon jogi előírásokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a kötelező erejű vállalati szabályokban előírt garanciákat,
-
A személyes adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek nyújtandó megfelelő adatvédelmi képzést.
Adattovábbítási Kivételek
A Társaság nem továbbít személyes adatot bármely harmadik ország vagy nemzetközi szervezet részére anélkül, hogy a Bizottság vagy a Felügyeleti Hatóság engedélye és a megfelelő garanciák ne állnának rendelkezésére. A továbbításnak az alábbi feltételek közül legalább egynek kell megfelelnie:
-
az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
-
az adattovábbítás az érintett és a Társaság közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
-
az adattovábbítás a Társaság és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
-
az adattovábbítás fontos közérdekből szükséges;
-
az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
-
az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
-
a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, (és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető), de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek. Az e kivétel szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.
Amennyiben az adattovábbítás nem alapulhat a 45. cikk és 46. cikk rendelkezésein és a fenti eltérések nem alkalmazandók, a Társaság megfelel a 49. cikk szerinti rendelkezésnek, miszerint az adat továbbítható harmadik ország vagy nemzetközi szervezet részére, amennyiben minden lenti feltétel alkalmazandó. Az adattovábbítás:
-
nem teljesíthető közhatalmi jogkörében eljáró közhatalmi szerv által,
-
nem ismétlődő,
-
csak korlátozott számú érintettre vonatkozik,
-
a Társaság olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és
-
a Társaság az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében
Amennyiben a fentiek szerint adatot kell továbbítani jogi és/vagy kényszerítő erejű jogos indokok alapján, a továbbítás előtt a felügyeleti hatóságot tájékoztatni kell az adattovábbításról és a megfelelő garanciákról. Az adatkezelő a 13. és a 14. cikkben említett információk nyújtásán kívül az érintettet tájékoztatja az adattovábbításról, az adattovábbítást érintő használt garanciákról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.
Audit & Monitoring
A jelen szabályzat és eljárási dokumentum részletezi a Társaság által a személyes adatok védelme, az érintettek jogainak fenntartása, kockázatenyhítés, adatsértések csökkentése és a GDPR és kapcsolódó jogszabályoknak és magatartási kódexeknek történő megfelelés érdekében használt kiterjedt ellenőrzési módszereket és mechanizmusokat.
Az Adatvédelmi Tisztviselő teljes körű felelősséggel rendelkezik az érvényben lévő eljárások, eszközök és ellenőrzési mechanizmusok értékelésével, tesztelésével, áttekintésével és javításával kapcsolatban.
Oktatás
Erős elkötelezettségünk és szigorú ellenőrzési mechanizmusunk által biztosítjuk, hogy minden alkalmazottunk tisztában van, hozzáféréssel rendelkezik, és könnyedén értelmezi a GDPR szabályokat és elveket és folyamatos oktatásban, támogatásban és értékelésben részesülnek tudásuk, szakértelmük és a pozíciónak való megfelelésük biztosítása és demonstrálása érdekében.
A munkavállalókat folyamatosan támogatjuk és oktatjuk a GDPR követelményekről és az adatvédelemmel kapcsolatos saját céljainkról és kötelezettségeinkről.
Bírságok
A Társaság tisztában van a GDPR és Felügyeleti Hatóság által támasztott kötelezettségeinkkel és felelősségünkkel és tudomással bír a Rendelet alapján fennálló adatsértések komolyságáról.
Tiszteletben tartjuk a Felügyeleti Hatóság jogszabály erejénél fogva történő felhatalmazását bírság kiszabására és kikényszerítésére a rendelkezések megsértése, amennyiben lehetséges a kockázatok csökkentésének elmulasztása és a tudatosan folytatott nem megfelelő működés esetén.
Munkavállalóink tudomással bírnak a bírságok komolyságáról és azoknak a jogsértéssel történő arányosságáról. Tisztában vagyunk azzal, hogy:
-
Az adatkezelő, az adatfeldolgozó, a tanúsító szervezet és az ellenőrző szervezet legfeljebb 10 000 000 EUR összegű bírság, vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; azzal, hogy a kettő közül a magasabb összeg alkalmazandó.
-
Az adatkezelés elveinek, a hozzájárulás feltételeinek, az érintettek jogainak, a személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása megsértése, különleges adatkezelési esetek (IX. Fejezet) és a felügyeleti hatóság utasításának, be nem tartása esetén legfeljebb 20 000 000 EUR összegű bírság, illetve az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható, azzal, hogy a kettő közül a magasabb összeg alkalmazandó.
Felelősségek
Az adatvédelmi tisztviselő az alábbi személy:
Név: Dr. Varga Balázs
Elérhetőség: varga.balazs@drvarga.hu
Az Adatvédelmi Tisztviselő feladata a személyes adatok védelmével kapcsolatos kockázatok azonosítása és csökkentése, és tájékoztatás, valamint szakmai tanács adása az üzleti tevékenység, az adatkezelést végző alkalmazottak és felső vezetés részére és tudásának frissítése az adatvédelmi jogszabályokkal és azok változásával kapcsolatban.
A személyes vagy különleges kategóriájú adatot kezelő és feldolgozó alkalmazott számára kiterjedt adatvédelmi képzést kell tartani és folyamatos fejlődési támogatás és mentoring alatt kell állnia annak biztosítására, hogy az alkalmazottak szakképzettek és hozzáértők legyenek az általuk végzett pozíció ellátására.