Adatvédelem

A DUNABOGDÁNYI HEGYLAKÓK EGYESÜLETÉNEK

ADATKEZLÉSI SZABÁLYZAT

 

TARTALOMJEGYZÉK

  1. FEJEZET – ÁLTALÁNOS RENDELKEZÉSEK
  2. 1. A Szabályzat célja és hatálya
  3. Az Adatkezelő megnevezése
  4. A Szabályzat hatálya
  5. Fogalommeghatározások
  6. FEJEZET – AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA
  7. Adatkezelés az érintett hozzájárulása alapján
  8. Jogi kötelezettség teljesítésén alapuló adatkezelés
  9. A Társaság általános adatkezelési tájékoztatója

III. FEJEZET

ADATBIZONSÁGI INTÉZKEDÉSEK

8  Adatbiztonsági intézkedések

  1. FEJEZET – ADATVÉDELMI INCIDENSEK KEZELÉSE
  2. Az adatvédelmi incidens fogalma
  3. Adatvédelmi incidensek kezelés, orvoslása
  4. Adatvédelmi incidensek nyilvántartása
  5. FEJEZET – ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ
  6. Adatvédelmi hatásvizsgálat és előzetes konzultáció
  7. FEJEZET – ADATVÉDELMI NYILVÁNTARTÁSOK
  8. Adatvédelmi nyilvántartások a Rendelet alapján

VII. FEJEZET – AZ ÉRINTETT SZEMÉLY JOGAI

  1. Tájékoztatás az érintett jogairól

VIII. FEJEZET – ZÁRÓ RENDELKEZÉSEK

15  A Szabályzat megállapítása és módosítása

  1. Intézkedések a szabályzat megismertetése
  2. MELLÉKLETEK
1. melléklet Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez (word)
2. melléklet Adatkezelési tájékoztató az érintett természetes személy jogairól személyes adatai kezelése vonatkozásában (word)
3. melléklet Adatvédelmi nyilvántartások (Excel)

1.    Adatkezelési tevékenységek nyilvántartása

2.    Adatfeldolgozói nyilvántartás

3.    Adatvédelmi incidensek nyilvántartása

 

 

 

  1. FEJEZET – ÁLTALÁNOS RENDELKEZÉSEK

 

  1. E Szabályzat célja

 

Jelen Szabályzat célja azon szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a DHE, mint adatkezelő adatkezelési tevékenysége megfeleljen az EU 2016/679 Rendelet továbbiakban: Rendelet) – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.

 

  1. ADATKEZELŐ MEGNEVEZÉSE:
CÉGNÉV: Dunabogdányi Hegylakók Egyesülete
SZÉKHELY: 2023 Dunabogdány Kossuth Lajos út 53.
 HONLAP: www.dunabogdanyihe.hu
 E-MAIL CÍM: dunabogdanyihe@gmail.com
 TELEFONSZÁM:  
 KÉPVISELŐ NEVE: Anka Béla

(a továbbiakban: DHE)

 

  1. A Szabályzat hatálya

 

3.1. E Szabályzat  hatálya természetes személyre vonatkozó személyes adatok a DHE általi kezelésére terjed ki.

3.2. Egyéni vállalkozó, egyéni cég, őstermelő ügyfeleket, vevőket, szállítókat e szabályzat alkalmazásában természetes személynek kell tekinteni.

3.3. Szabályzat  hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat. (GDPR  (14))

 

  1. Fogalommeghatározások

 

E Szabályzat alkalmazásában irányadó fogalom-meghatározásokat a Rendelet 4. cikke tartalmazza. Ennek megfelelően emeljük ki a főbb fogalmakat:

4.1.   „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító egy vagy több tényező alapján azonosítható;

4.2.   „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, betekintés, felhasználás, közlés, vagy korlátozás, törlés, illetve megsemmisítés;

4.3.   „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

4.4.   „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy meghatározott ismérvek alapján hozzáférhető;

4.5.   „adatkezelő”: az a természetes személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

4.6.   „adatfeldolgozó”: az a természetes személy, amely az adatkezelő nevében személyes adatokat kezel;

4.7.   „címzett”: az a természetes személy, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.

4.8.   „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

  1. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

 

  1. FEJEZET – AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA

 

  1. Adatkezelés az érintett hozzájárulása alapján

 

5.1.  A hozzájáruláson alapuló adatkezelésre a jelen Szabályzat 1. számú Melléklete szerinti adatkérő lapot kell alkalmazni.

5.2. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.

5.3. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

5.4. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

 

  1. A DHE általános adatkezelési tájékoztatója

 

6.1.  A DHE az általános adatkezelési tájékoztatóját jelen Szabályzat 2. számú Melléklet tartalmazza, amelyet közzé kell tenni a DHE honlapján, és a székhelyén is elérhetővé kell tenni.

6.2. Ez mellett az érintetteket egyes kategóriáit az adatfelvételkor közvetlenül is tájékoztatni kell az adatkezelésről és az érintett jogairól.

6.3.  A DHE valamennyi adatkezelése során köteles biztosítani az érintett jogainak gyakorlását.

 

 

III. FEJEZET

 

ADATBIZONSÁGI INTÉZKEDÉSEK

 

  1. Adatbiztonsági intézkedések

 

7.1.  A DHE valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében  köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a Rendelet és az Infotv., érvényre juttatásához szükségesek.

7.2. Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés,  jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.

7.3. A DHE a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.

7.4.  A DHE által kezelt személyes adatok interneten történő megosztása tilos!

7.5. Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.

 

  1. FEJEZET

 

ADATVÉDELMI INCIDENSEK KEZELÉSE

 

  1. Az adatvédelmi incidens fogalma

 

8.1. Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4. cikk 12.)

8.2. A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott papírok); adatok nem biztonságos továbbítása, másolása, továbbítása, honlap feltörése.

 

  1. Adatvédelmi incidensek kezelés, orvoslása

 

9.1. Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a DHE vezetőjének feladata.

9.2. Amennyiben a DHE vezetőségének tagjai a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul  értesíteniük kell a  DHE vezetőjét.

9.3. A DHE tagjai kötelesek jelenteni a DHE vezetőjének, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

9.4. Adatvédelmi incidens  bejelenthető a DHE központi e-mail címén, telefonszámán, amelyen a tagok jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

9.5.  Adatvédelmi incidens bejelentése esetén a DHE vezetője – DHE vezetőségi tagjainak bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó.  Meg kell vizsgálni és meg kell állapítani:

  1. az incidens bekövetkezésének időpontját és helyét,
  2. az incidens leírását, körülményeit, hatásait,
  3. az incidens során kompromittálódott adatok körét, számosságát,
  4. a kompromittálódott adatokkal érintett személyek körét,
  5. az incidens elhárítása érdekében tett intézkedések leírását,
  6. a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

9.6.  Adatvédelmi incidens bekövetkezése esetén az érintett eszközöket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a jogszerű működés visszaállítását.

 

  1. Adatvédelmi incidensek nyilvántartása

 

10.1.  Az  adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

  1. a) az érintett személyes adatok körét,
  2. b) az adatvédelmi incidenssel érintettek körét és számát,
  3. c) az adatvédelmi incidens időpontját,
  4. d) az adatvédelmi incidens körülményeit, hatásait,
  5. e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
  6. f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

10.2. A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

10.3. Az adatvédelmi incidensek nyilvántartásának mintáját a 3. számú melléklet munkalapja tartalmazza.

 

  1. FEJEZET

ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

 

  1. Adatvédelmi hatásvizsgálat és előzetes konzultáció

11.1.  Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-36. ckkei és az Infotv. rendelkezései irányadók.

 

VI FEJEZET.

ADATVÉDELMI NYILVÁNTARTÁSOK

 

  1. Adatvédelmi nyilvántartások a Rendelet alapján

 

A DHE a Rendelt szerinti adatvédelmi nyilvántartását a 3. számú melléklet szerint vezeti. Ennek részei:

■  Adatkezelési tevékenységek nyilvántartása

■  Adatfeldolgozói tevékenységek nyilvántartása

■  Adatvédelmi incidensek nyilvántartása

 

 

VII. FEJEZET

AZ ÉRINTETT SZEMÉLY JOGAI

 

  1. Tájékoztatás az érintett jogairól

 

13.1.  Az érintett jogai röviden összefoglalva:

  1. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése
  2. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
  3. Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg
  4. Az érintett hozzáférési joga
  5. A helyesbítéshez való jog
  6. A törléshez való jog („az elfeledtetéshez való jog”)
  7. Az adatkezelés korlátozásához való jog
  8. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
  9. Az adathordozhatósághoz való jog
  10. A tiltakozáshoz való jog
  11. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
  12. Korlátozások
  13. Az érintett tájékoztatása az adatvédelmi incidensről
  14. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
  15. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
  16. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

 

13.2. Az érintett jogai részletesen:

 

  1. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése

 

1.1. Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

1.2. Az adatkezelőnek elő kell segítenie az érintett jogainak a gyakorlását.

 

1.3. Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt feltételekkel további két hónappal meghosszabbítható. amelyről az érintettet tájékoztatni kell.

 

1.4. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

 

1.5. Az adatkezelő az információkat és az érintett jogairól szóló tájékoztatást és intézkedést díjmentesen biztosítja, azonban a Rendeletben írt esetekben díj számítható fel.

 

A részletes szabályok a Rendelet 12 cikke alatt találhatók.

 

  1. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik

 

2.1. Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon.  Ennek keretében az érintettet tájékoztatni kell:

  1. a) az adatkezelő és képviselője kilétéről és elérhetőségeiről,
  2. b) a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,
  3. c) jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
  4. d) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik – , illetve a címzettek kategóriáiról, ha van ilyen;
  5. e) adott esetben annak tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

 

2.2. A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia:

  1. a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
  2. b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  3. c) az érintett hozzájárulásán alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  4. d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  5. e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

 

2.3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.

 

Az előzetes tájékozódáshoz való jog részletes szabályait a Rendelet 13. cikke tartalmazza.

 

VIII. FEJEZET

ZÁRÓ RENDELKEZÉSEK

 

14  A Szabályzat megállapítása és módosítása

 

A Szabályzat megállapítására és módosítására a DHE vezetősége jogosult.

 

  1. Intézkedések a szabályzat megismertetése

 

E Szabályzat rendelkezéseit meg kell ismertetni a DHE érintett tagjaival

 

  1. MELLÉKLETEK
1. melléklet Adatkérő lap személyes adatok hozzájáruláson alapuló kezeléséhez
2. melléklet Adatkezelési tájékoztató az érintett természetes személy jogairól személyes adatai kezelése vonatkozásában
3. melléklet Adatvédelmi nyilvántartások (Excel)

1.    Adatkezelési tevékenységek nyilvántartása

2.    Adatfeldolgozói nyilvántartás

3.    Adatvédelmi incidensek nyilvántartása

   
   
   

 

Kelt, __________________________ 2018______________ hó ______ nap

 

__________________________

elnök