Adatvédelmi szabályzat Refresh Budapest Nonprofit Kft. 2023
Refresh Budapest Nonprofit Korlátolt Felelősségű Társaság (székhely: 1119 Budapest, Fehérvári út 97-99. Adószám: 25047873-2-43; ügyvezető: Kovács László; az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR), továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) alapján a Társaság adatvédelmének, adatbiztonságának és adatkezelésének rendjére az alábbi szabályzatot alkotja ÁLTALÁNOS RÉSZ 1. A Szabályzat célja és hatálya 1. § A Szabályzat célja, hogy meghatározza a Társaság által kezelt személyes adatok védelmének rendjét, az adatbiztonság érdekében megvalósítandó, szükséges intézkedések és eljárások körét, valamint biztosítsa az adatvédelem alapjogi elvei és az információs önrendelkezési jog, a személyes adatok védelméhez való jog és az adatbiztonság követelményeinek érvényesülését. 2.§ (1) A Szabályzat személyi hatálya kiterjed a) a Társaságnál munkaviszony, megbízási jogviszony vagy munkavégzésre irányuló egyéb jogviszony alapján munkát végző természetes személyre, aki tevékenysége során személyes adatot kezel; b) a Társaság által adatfeldolgozóként igénybe vett szerződött partnerek adatfeldolgozást végző alkalmazottaira; c) a Társaság szolgáltatásait vagy infrastruktúráját igénybe vevő, vagy a Társasággal akár jogviszony létesítése céljából, akár egyéb célból ténylegesen kapcsolatba került vagy kerülő természetes személyre; d) azon személyekre, akik az Irodával nem állnak a fentiek szerinti jogviszonyban, illetve kapcsolatban, azonban személyes adataikat jogszabályi vagy egyéb kötelező erővel bíró előírás folytán az Iroda kezeli. e) (2) A Szabályzat tárgyi hatálya kiterjed a Társaság által bármely célból kezelt valamennyi személyes adatra, a személyes adatoknak valamennyi nyilvántartására, függetlenül azok megjelenési formájától. 2. Alapfogalmak 3. § A Szabályzat alkalmazása során a fogalmak az alábbiak szerint értelmezendők. a) Személyes adat: az érintettre vonatkozó bármely információ. Jelen Szabályzat alkalmazásában valamennyi „adat" megjelölés alatt a személyes adatok értendők. b) Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy. c) Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható. d) Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. e) Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, vagy az adatokba való betekintés. f) Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező bármely szervezet, aki, vagy amely-törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. g) Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező bármelyszervezet, aki vagy amely-törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel. h) Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi. i) Adattovábbítás: az adatnak egy meghatározott harmadik személy számára történő hozzáférhetővé tétele. j) Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges. k) Felügyeleti hatóság: az információs önrendelkezési jogról és az információszabadságról szóló törvényben meghatározott, a GDPR alkalmazásának ellenőrzését végző független magyar hatóság: Nemzeti Adatvédelmi Információszabadság Hatóság. l) Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; m) Harmadik fél: az a természetes vagy jogi személy, illetve bármely egyéb szerv, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak. 3. Adatkezelők és adatfeldolgozás 4. § (1) A Társaság képviseletében eljáró személy, aki személyes adat birtokába jut, ilyet munkaköre vagy tisztsége alapján kezel, köteles védeni és őrizni a személyes adatokat, valamint olyan magatartást tanúsítani, hogy azok megfelelő védelmét biztosítsa. (2) Az adatokat védeni kell, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. (3) A Társasággal jogviszonyban állók, illetve a Társaság képviseletében eljáró személyek kötelesek bizalmasan kezelni minden olyan személyes adatot, amely előttük a jogviszonyukkal összefüggésben vált ismertté. 5. § A Társaság képviseletében adatkezelést vagy adatfeldolgozást végző személyek felelősséggel tartoznak minden olyan kárért, amely adatkezelési, adatvédelmi kötelezettségük megszegéséből származik. 6. § (1) Amennyiben az adatkezelést a Társaság nevében más végzi, kizárólag olyan adatfeldolgozók vehetők igénybe, akik, vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. (2) Az adatfeldolgozó által végzett adatkezelést olyan - az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait meghatározó - írásbeli szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót a Társasággal szemben, és meghatározza az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait. Szerződésben vagy más jogi aktusban szükséges rögzíteni továbbá az arra vonatkozó előírásokat, hogy az adatfeldolgozó: a) a személyes adatokat kizárólag a Társaság mint az adatkezelő írásbeli utasításai alapján kezeli, kivéve akkor, ha az adatkezelést jogszabály írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja; b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaInak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak; c) betartja az adatkezelés biztonsága érdekében a GDPR, jogszabály, illetve a Társaság belső szabályzatai által előírt biztonsági intézkedéseket; d) a további adatfeldolgozó igénybevételére vonatkozóan betartja a GDPR és az Infotv. által előírt feltételeket; e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel segíti a Társaságot mint adatkezelőt, hogy teljesíteni tudja kötelezettségét az érintett GDPR III. fejezetében foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében; f) segíti a Társaságot mint adatkezelőt a GDPR 32-36. cikk szerinti kötelezettségeinek – így elsősorban az adatvédelmi incidens bejelentése, az adatvédelmi hatásvizsgálat lefolytatása és az előzetes konzultáció - teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat; g) az adatfeldolgozói szolgáltatás nyújtásának befejezését követően a Társaság mint adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat a Társaságnak, és törli, vagy megsemmisíti a meglévő másolatokat, kivéve, ha jogszabály a személyes adatok tárolását írja elő; h) a Társaság mint adatkezelő rendelkezésére bocsát minden olyan információt, amely a fenti kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti Társaság mint adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Az adatfeldolgozó köteles haladéktalanul tájékoztatni Társaságot mint adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a tagállami vagy uniós adatvédelmi rendelkezéseket (3) Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. (4) Amennyiben szükséges, az adatkezelő és az adatfeldolgozó további intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat. 7. § Amennyiben a Társaság közös adatkezelőként kezel személyes adatot, úgy a közös adatkezelők a közöttük írásban létrejött és nyilvánosságra hozott megállapodásban határozzák meg a GDPR és más jogszabály szerinti kötelezettségeikből fakadó feladataikkal összefüggő felelősségük megoszlását, kivéve, amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. 4. Az érintett hozzájárulása, mint az adatkezelés jogalapja 8. § (1) Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, úgy a Társaságnak képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez megfelelően hozzájárult. (2) Az „érintett hozzájárulása" akkor tekinthető az adatkezelés érvényes jogalapjának, amennyiben az az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak. (3) Az érintett hozzájárulása során biztosítani kell azt, hogy valódi választási lehetőség álljon az érintett rendelkezésére. Nem minősül önkéntesnek a hozzájárulás akkor, ha az érintettnek nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna, vagy, ha az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn. (4) Nem tekinthető önkéntesnek a beleegyezés, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes adatkezelési műveletekhez. (5) Nem tekinthető önkéntesnek a hozzájárulás, ha a szerződés teljesítését (például a szolgáltatás nyújtását) olyan adatkezeléshez való hozzájárulásához kötik, amely adatkezelés nem szükséges a szerződés teljesítéséhez. 9. § (1) A Társaság gondoskodik arról, hogy az érintett hozzájárulásán alapuló adatkezelés esetén az érintett a megadott hozzájárulását bármikor visszavonhassa, ugyanolyan egyszerű módon, mint annak megadását. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. (2) Ha a Társaság szerződés részét képező írásbeli nyilatkozaton keresztül szerzi be az érintett hozzájárulását, olyan adatok vonatkozásában, amelyek kezelésének jogalapja az érintett hozzájárulása, úgy az okiraton a hozzájárulás iránti kérelmet egyértelműen és világosan elválasztja a szerződés többi részétől, valamint ezen kérelmet érthető és egyszerű nyelvezettel fogalmazza meg. 5. Az érintettek jogai és azok érvényesítése A.) Tájékoztatási kötelezettség 10. § (1) A Társaság az érintettek részére a személyes adatok megszerzésének időpontjában tájékoztatást ad a személyes adatok kezelésének lényéről, céljáról, jogalapjáról, az adatkezelés módjáról, időtartamáról vagy az időtartam meghatározásának szempontjairól, az adattovábbítás szabályairól, az érintett személyes adatot érintő jogairól, a felügyeleti hatósághoz címzett panasz benyújtásának jogáról, kivéve, ha és amilyen mértékben az érintett már rendelkezik az információkkal. Amennyiben az adatok nem közvetlenül az érintettől kerülnek megszerzésre, úgy a kezelt adatok köre és az adatforrás is megjelölendő. (2) Amennyiben az adatkezelés közérdekű feladat végrehajtásához szükséges vagy az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, úgy az (1) bekezdésben foglalt tájékoztatás mellett az érintett figyelmét kifejezetten fel kell hívni a tiltakozáshoz való jog érvényesítésének lehetőségére, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni. (3) Az (1)-(2) bekezdés szerinti tájékoztatást a) a Társasággal munkaviszonyt létesítő személyek részére a jogviszony létrejöttekor, az általános tájékoztatás keretében, b) a Társasággal megbízási vagy munkavégzésre irányuló egyéb jogviszonyt létesítő személyek részére a jogviszony létrejöttekor, az általános tájékoztatás keretében, c) a Társasághoz álláspályázatot benyújtók számára az álláspályázati felhívásban, a Társasággal - az a) vagy b) pontszerinti esettől eltérő -jogviszonyt létesítő személyek számára a szerződés mellékleteként vagy személyesen, írásban vagy a Társaság holnapján kell megadni. (4) A tájékoztatásokat tömör, átlátható módon, világosan és közérthetően kell megfogalmazni. (5) A Társaság minden olyan címzettet tájékoztat a személyes adatot érintő valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére a Társaság tájékoztatja ezen címzettek köréről. B.) Az érintett tájékoztatáshoz való joga 11. § (1) Az érintett - jogosultsága igazolását követően befogadott - kérelmére a Társaságnak a jogszerű adatkezeléssel kapcsolatban felmerülő feladatokat ellátó munkavállalója a kérelem beérkezését követően haladéktalanul, de legkésőbb 25 napon belül tájékoztatást ad az érintett vonatkozásában a folyamatban lévő adatkezelésről, azzal, hogy e határidő nem hosszabbítható meg. (2) Az érintett jogosult arra, hogy a Társaságtól a személyes adatokhoz és a következő információkhoz hozzáférést kapjon: a) az adatkezelés céljai; b) az érintett személyes adatok kategóriái; c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják; d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ. (3) A személyes adatokhoz való hozzáférést úgy kell biztosítani, hogy ez alatt az érintett más személy adatait ne ismerhesse meg. (4) A Társaság az adatkezelés tárgyát képező személyes adatok másolatát az érintett kérelmére az érintett rendelkezésére bocsátja. A másolat igénylésére vonatkozó jog azonban nem érintheti hátrányosan mások jogait és szabadságait. Az érintett által kért további másolatokért a Társaság az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. C.) A helyesbítéshez való jog 12. § Az érintett - jogosultsága igazolását követően befogadott - kérelmére a Társaságnak a jogszerű adatkezeléssel kapcsolatban felmerülő feladatokat ellátó munkavállalója indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozó pontatlan vagy hiányos személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő - kiegészítését is. D.) Az adatkezelés korlátozásához való jog 13. § (1) Az érintett- jogosultsága igazolását követően befogadott - kérelmére a Társaságnak a jogszerű adatkezeléssel kapcsolatban felmerülő feladatokat ellátó munkavállalója korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül: a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelést végző illetékes ügyintéző vagy az adatvédelmi tisztviselő ellenőrizze a személyes adatok pontosságát; b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; c) a Társaságnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy d) az érintett tiltakozási jogával élt az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. (2) Amennyiben az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. (3) Az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni kell. E.) A törléshez való jog 14. § (1) Az érintett - jogosultsága igazolását követően befogadott - a Társaságnak a jogszerű adatkezeléssel kapcsolatban felmerülő feladatokat ellátó munkavállalója indokolatlan késedelem nélkül törli az érintett személyes adatait vagy azoknak az érintett által meghatározott körét, feltéve, hogy az alábbi esetek valamelyike fennáll: a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre d) a személyes adatokat jogellenesen kezelték; e) a személyes adatokat a Társaságra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; f) a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor (2) Amennyiben a Társaság nyilvánosságra hozta a személyes adatot és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével köteles megtenni az ésszerűen elvárható lépéseket - ideértve technikai intézkedéseket - a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlése érdekében. (3) A Társaság a személyesadatok törlését a jogszerű kérelem el lenére sem végezheti el, amennyiben az adatkezelés szükséges: a) a véleménynyilvánítás szabadsága hoz és a tájékozódáshoz való jog gyakorlása céljából; b) a személyes adatok kezelését előíró, a Társaságra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából; c) közérdekből végzett feladat végrehajtása céljából; d) közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az adattörlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. F.) A tiltakozáshoz való jog 15. § (1) Amennyiben a Társaság az érintett adatait azon a jogalapon kezeli, miszerint a) az adatkezelés közérdekű feladat végrehajtásához szükséges; vagy b) az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, úgy az érintett ezen személyes adatok kezelése ellen tiltakozhat. Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. (2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők. G.) A jogorvoslathoz való jog 16. § Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett a Társaság e-mail címén panaszt tehet, aki a panaszt köteles megvizsgálni. Alapos panasz esetén a Társaság intézkedést kezdeményez, ellenkező esetben azt elutasítja. Az elutasításról az érintettet a bejelentés kézhezvételét követő 25 napon belül írásban tájékoztatja, az elutasítás ténybeli és jogi indokait ís közölve. Elutasítás esetén az érintettet tájékoztatni kell a bírósági jogorvoslat, továbbá a felügyeleti szervhez fordulás lehetőségéről is. 6. Az adatkezelés biztonsága A.) Adatbiztonsági szabályok 17. § (1) Az adatbiztonság érdekében az Társaság felméri és nyilvántartja az általa végzett adatkezelési tevékenységeket. Az adatkezelési nyilvántartás tartalmazza az adatkezelő nevét és elérhetőségét, valamint - ha van ilyen - a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőjének a nevét és elérhetőségét; az adatkezelés céljait; személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket - körét, az érintettek, valamint a kezelt személyes adatok kategóriáinak ismertetését; az adatkezelési műveletek - ideértve az adattovábbítást is - jogalapjait, amennyiben lehetséges, a különböző adatkategóriák törlésére előirányzott határidőket; és az adatvédelmi biztonsági technikai és szervezési intézkedések általános leírását, továbbá egyéb jogszabályban vagy uniós jogban meg határozott adatokat. A nyilvántartást írásban vagy elektronikus formában kell megőrizni, és folyamatosan naprakészen tartani. (2) Az adatkezelési tevékenységek nyilvántartása alapján az Társaság kockázatelemzést végez annak felmérése érdekében, hogy az egyes adatkezelés mely szervezeti egysége által, milyen feltételek szerint valósul meg, illetve az adatkezelés során mely kockázati tényezők milyen mértékű sérelmet, milyen lehetséges adatvédelmi incidenst okozhatnak. A kockázatelemzést a ténylegesen megvalósuló adatkezelési tevékenység alapján kell elvégezni. A kockázatelemzés célja olyan biztonsági szabályok, valamint intézkedések meghatározása, amelyek a Társaság működéséhez, tevékenységéhez igazodva hatékonyan biztosítják a személyes adatok megfelelő védelmét. 18. § (1) A Társaság az adatkezelés jellege, körülményei és céljai, valamint a felmért kockázati tényezők figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR rendelettel és a jogszabályokkal összhangban történik, ideértve többek között: a) a személyes adatok kezelésére használt rendszerek és szolgáltatások bizalmas jellegének folyamatos biztosítását, integritását, rendelkezésre állását és ellenálló képességét; b) b) annak biztosítását, hogy a Társaság folyamatos foglalkoztasson legalább egy olyan munkavállalót, akinek a feladatai közé tartozik az adatvédelemmel összefüggő érintetti kérelmek, megkeresések, bejelentések, panaszok kezelése, e Szabályzatban meghatározott egyéb feladatok elvégzése; c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és azadatok rendelkezésre állását kellő időben vissza lehet állítani; d) az intézkedések hatékonyságának rendszeres, évente történő felülvizsgálatát. (3) A Társaság munkavállalói kötelesek az adatvédelmi, adatkezelési tevékenységük során folyamatosan együttműködni, egymás tevékenységét segíteni. (4) A Társasággal munkaviszonyt, munkavégzésre irányuló egyéb jogviszonyt létesítő személyek számára belépésüket követően adatvédelmi oktatást kell tartani, amelynek megtörténtét jegyzőkönyvben kell rögzíteni. (5) Nyilvántartást kell vezetni - az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából - a Társaságnál észlelt adatvédelmi incidensekről valamint a Társaságnál végzett adattovábbításról, továbbá az érintett hozzáférési jogával kapcsolatos intézkedésekről. (6) A biztonság szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek. 19. § (1) A Társaság megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ilyen intézkedések többek között: a) a Társaság szerződési mintáinak folyamatosa felülvizsgálata a szerződés létrehozásához és teljesítéséhez szükséges adatkör meghatározása érdekében; b) olyan informatikai eszközök igénybevétele, amelyek a különböző adatkezelési tevékenységek keretében megvalósuló elektronikus adatkezelési folyamatokat egymástól elkülönítik, és szükség esetén azokhoz különböző szintű hozzáférési jogosultságokat rendelnek; c) olyan informatikai eszközök igénybevétele, amelyek segítségével az adatkezelési tevékenységek kizárólag azonosító és jelszó helyes megadását követően végezhető. (2) Ezeknek az intézkedések azt is biztosítaniuk kell, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára. 20. § (1) Személyes adatot tartalmazó irat nem hagyható olyan helyen, ahol harmadik személy is hozzáférhet. Az ilyen iratok elzárásáról azokban az irodákban, illetve személyzeti helyiségekben is gondoskodni kell, ahol az illetékes iratkezelőkön kívül más, harmadik személy is megfordulhat. (2) Az adathordozók elhelyezéséről és fizikai védelmének szintjéről a Társaság ügyvezetője dönt. (3) Az adatkezelési rendszer környezetének védelméről a helyi adottságok figyelembevételével kell gondoskodni. (4) A manuálisan kezelt személyes adatok elvesztésének megelőzése érdekében eredeti iratokat csak hivatalos ügyintézés, különösen bírósági eljárás vagy nyomozati eljárás során lehet kiadni. Kiadást megelőzően az eredeti iratokról megőrzés céljára hiánytalan másolatot kell készíteni. (5) Személyes adatokat ért sérülés vagy megsemmisülés esetén a rendelkezésre álló egyéb adatforrásokból meg kell kísérelni a lehetséges mértékig a károsodott adatok pótlását. Az adatpótlásba be kell vonni azon illetékes adatkezelő személyt, aki az adatok rögzítésében közreműködött. A pótolt adatokon a pótlás tényét fel kell tüntetni. B.) Adatvédelmi hatásvizsgálat és előzetes konzultáció 21. § Amennyiben az adatkezelés valamely - különösen új technológiákat alkalmazó, típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira - valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. 22. § Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés a Társaság, mint adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően a Társaság konzultál a felügyeleti hatósággal (előzetes konzultáció). A Társaság előzetes konzultáció szükségessége esetén a felügyeleti hatóság álláspontját az érintett adatkezeléssel összefüggő döntések meghozatala során köteles figyelembe venni. C.) Adatvédelmi incidens kezelése 23. § (1) Amennyiben a Társaság képviseletében eljáró adatkezelő személy akár saját, akár más, a Társaság képviseletében végzett adatkezelése körében adatvédelmi incidens megtörtént észleli vagy arról tudomást szerez, azt haladéktalanul jelezni köteles a Társaságnak a jogszerű adatkezeléssel kapcsolatban felmerülő feladatokat ellátó munkavállalója számára. (2) Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, úgy az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens észlelésre került, be kell jelenteni a felügyeleti hatóságnak. Ha a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is. (3) A felügyeleti hatóság felé történő bejelentésben legalább: a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; b) közölni kell a kapcsolattartó vagy a további tájékoztatást nyújtó egyéb személy nevét és elérhetőségeit; c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; d) ismertetni kell a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. 24. § (1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell azokat az információkat, amelyek a felügyeleti hatóság felé is bejelentésre kerültek. (2) Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyiké teljesül: a) megfelelő technikai és szervezési védelmi intézkedések az adatvédelmi incidenssel érintett adatkezelési körben végrehajtásra kerültek, különösen azokat az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; b) az adatvédelmi incidenst követően olyan további intézkedéseket kerültek végrehajtásra, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően megszűnt; c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. 25. § Az adatvédelmi incidensre tekintettel meghozott intézkedések végrehajtását követően a Társaság felméri az intézkedések hatékonyságát, szükség esetén az érintett adatkörben újabb kockázatelemzést végez. 7. Adattovábbítás 26. § (l) A Társaság szervezetrendszerén belül a személyes adatok - a feladat elvégzéséhez szükséges mértékben és ideig - olyan szervezeti egységhez vagy személyhez továbbíthatók, amelynek vagy akinek a tisztségéből fakadó vagy munkaköri feladata ellátásához a személyes adatok megismerése és kezelése szükséges. (2) Olyan megkeresés, amely a Társaság által kezelt személyes adat továbbítására irányul, kizárólag abban az esetben teljesíthető, amennyiben az adattovábbításra jogszerű cél és jogalap igazolhatóan fennáll. Más esetben az adattovábbítás teljesítését meg kell tagadni. (3) Külföldre irányúló adattovábbítás esetén az adattovábbítást végzőnek külön meg kell győződnie arról, hogy a külföldre történő adattovábbítás GDPR-ban előírt feltételei fennállnak-e. Ennek kapcsán vizsgálandó, hogy az adattovábbítás a GDPR-ban meghatározott valamely jogalapnak megfelelően történik-e, és az adatok megfelelő védelmi szintje az adatokat átvevő adatkezelőnél biztosított-e. Ha az adattovábbítás az Európai Gazdasági Térség valamely tagállamába irányul, úgy a személyes adatok megfelelő szintű védelmét nem kell vizsgálni. (4) Olyan személyes adatok továbbítására - ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is -, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, ha az adatkezelő és az adatfeldolgozó egyaránt teljesíti a GDPR-ban rögzített feltételeket. (5) Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására sor kerülhet, ha az Európai Bizottság megállapította, illetve az Európai Unió Hivatalos Lapjában és annak honlapján közzétette, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy, vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít (megfelelőségi határozat). Az ilyen adattovábbításhoz nem szükséges külön engedély. 27. § Személyes adatok továbbítása során, amennyiben az postai küldeményként történik, biztosítani kell, hogy a küldemény zártan kerüljön feladásra. 28. § A Társaság személyes adatokat statisztikai célra kizárólag úgy ad át, hogy gondoskodik arról, hogy azt az érintettel ne lehessen kapcsolatba hozni. 8. Adatkezelés összekapcsolása, automatikus döntéshozatal, profilalkotás 29. § A Társaságnál különböző célra irányuló adatkezelések kizárólag törvényes célokból, indokolt esetben kapcsolhatók össze. 30. § Az Társaságnál automatikus döntéshozatal vagy profilalkotás nem történik. KÜLÖNÖS RÉSZ 9. Alkalmazotti adatok kezelése, nyilvántartás 31. § Az alkalmazotti nyilvántartás a Társaságnál munkaviszony, megbízási, vállalkozási vagy munkavégzésre irányuló egyéb jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek alapját különösen a munka törvénykönyvéről szóló 2012. évi l. törvény, az adózás rendjéről szóló 2017. évi CL törvény, valamint végrehajtási rendeleteik képezik. 32. § Az alkalmazotti nyilvántartás kezelését a Társaság humánpolitikáért felelős szervezeti egysége/munkavállalói végzik. 33. § A bér- és munkaügyi nyilvántartás adatai a foglalkoztatott jogviszonyával kapcsolatos tények megállapítására, Jövedelmi, bevételi tények igazolására, bérszámfejtésre, társadalombiztosítási, egyéb jogszabályi, belső szabályzati vagy szerződéses alapon járó juttatással, igényekkel, pályázatokkal kapcsolatos ügyintézésre és statisztikai adatszolgáltatásra használhatók fel. 34. § A bér- és munkaügyi nyilvántartás kezelését – a feladatkörük ellátásához szükséges mértékben – a Társaság humánpolitikáért felelős szervezeti egysége/munkavállalói, továbbá a Társasággal bérszámfejtési feladatok ellátására szerződött személy vagy szervezet végzi. 35. § A Társasághoz álláspályázatot benyújtó pályázók személyes adatai fő szabály szerint a jogviszony létrehozataláról való döntés meghozatalacéljából kezelhetők. Az adatkezelés jogalapja a jelentkező hozzájárulása, amely a jelentkezés során, adatkezelési hozzájáruló nyilatkozat kitöltésével és a pályázati anyag részeként a Társaság részére történő megküldésével kifejezett formában történik. Amennyiben akár a pályázó, akár a Társaság döntése alapján bizonyossá válik, hogy az álláspályázatalapján a felek jogviszonyt egymással nem létesítenek, a ki nem választott pályázónak a Társaság által kezelt személyes adatait törölni kell. Kivételesen a pályázó adatainak további kezelésére a Közalapítvány által akkor kerülhet sor, amennyiben a Közalapítvány által további jogviszony létesítésére álláspályázat újabb kiírására a közeljövőben várhatóan sor kerül. Az adatkezelés célja ebben az esetben is jogviszony létrehozataláról való döntés meghozatala lehet, amennyiben ez mind a pályázó, mind a Közalapítvány érdekében áll. Az ilyen további adatkezeléshez a pályázónak írásban kell hozzájárulnia. 36. § Munkaalkalmasságra, szakmai felkészültségre irányuló tesztlapok az álláspályázatot benyújtókkal kitöltethetők, azonban az álláspályázatról végleges döntés meghozatalával az ekörben keletkezett személyes adatok véglegesen és helyreállíttathatatlanul törlésre kerülnek. 10. Manuálisan kezelt személyes adatok 37. § A Társaságnak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene. 38. § (1) A manuálisan kezelt személyes adatok biztonsága érdekében legalább az alábbi intézkedéseket kell végrehajtani: a) az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi szempontból biztonságos helyiségben kell elhelyezni; b) a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, az alkalmazotti, a bér-és munkaügyi iratokat biztonságosan elzárva kell tartani, c) a jelen Szabályzatban meghatározott adatkezelések iratainak archiválását rendszeresen el kell végezni, az archivált iratokat a Társaság iratkezelési és selejtezési szabályainak megfelelően kell kezelni. 11. Elektronikusan kezelt személyes adatok 39. § (1) Amennyiben a Társaság olyan elektronikus rendszerben kezel személyes adatot, amelybe csak a hozzáférési listára felvett, nyilvántartott, illetékes adatkezelést végző léphet be, úgy az illetékes adatkezelést végzőnek egyéni, titkos jelszóval kell bejelentkeznie a rendszerbe. Az adatkezelés befejeztével a rendszerből ki kell lépni. Az adatvédelmi incidensek elkerülése érdekében az illetékes adatkezelő kötelessége az egyéni jelszavának védelme. Az ilyen elektronikus rendszerben automatikusan beírt és megjegyzett jelszó nem használható. Az egyéni jelszó az illetékes adatkezelőn kívül kizárólag az adatkezelő munkáltatói jogkörgyakorlója által, az adatkezelési szoftver fejlesztését, üzemeltetését ellátó informatikai munkatársak által ismerhető meg, ha az a Társaságnál elvégzendő feladatuk ellátásához szükségessé válik. (2) Az adatkezelésre használt számítógépek adatbevitelre, lekérdezésre alkalmas állapotban történő felügyelet nélkül hagyása tilos. (3) A Társaság lehetőség szerint olyan adatkezelési rendszert alkalmaz, amely a rendszerbe történt belépést regisztrálja, illetve a rögzített adatokról megállapítható, hogy az adatrögzítés ki által és milyen időpontban történt. 12. Médiaszolgáltatási tevékenység során megvalósuló adatkezelés 40. § A Társaság audiovizuális médiaszolgáltatási tevékenységének végzése során kiemelt figyelmet fordít a természetes személyeket megillető információs önrendelkezési jog és információszabadság biztosítására. Ennek megfelelően a Társaság a médiaszolgáltatásában megjelenő személyek kép- és hangmásának, mint különleges személyes adatának védelme, az érintettek jogainak érvényesítése érdekében az érintett jogait és szabadságait védő megfelelő garanciák mellett, az alábbi intézkedéseket teszi: a) honlapján adatkezelési tájékoztatót tesz közzé a médiaszolgáltatásban megjelenő érintettek számára, b) az audiovizuális médiafelvételek készítése során jól látható helyen írásban vagy szóban, figyelemfelhívó módon tájékoztatja a forgatási területen, a kamerák látószögében tartózkodó természetes személyeket a felvétel tényéről és a Társaság, mint adatkezelő nevéről, Internetes elérhetőségéről. c) az audiovizuális médiafelvételek során kiemelt figyelmet fordít a GDPR 89. cikkében foglaltak mentén, a személyes adatoknak közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelésére az érintett jogait és szabadságait védő megfelelő garanciák maradéktalan biztosítása mellett. 13. Záró rendelkezések 41. § Jelen Szabályzat a közzétételének napján lép hatályba, és visszavonásig hatályos. Kovács László ügyvezető