BELSŐ ADATKEZELÉSI ÉS ADATBIZTONSÁGI SZABÁLYZATA
FELSŐTÁRKÁNY KÖZSÉG ÖNKORMÁNYZATÁNAK
BELSŐ ADATKEZELÉSI ÉS ADATBIZTONSÁGI SZABÁLYZATA
Jelen szabályzat (a továbbiakban: Szabályzat) a Felsőtárkány Község Önkormányzata (a továbbiakban: Önkormányzat) adatkezelési tevékenységének belső szabályait tartalmazza AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉNEK - (2016. április
27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR vagy Rendelet) – való megfelelés céljából.
A Szabályzat megállapítása és módosítása a törvényes képviselő hatáskörébe tartozik. Kelt: Felsőtárkány, 2022. február 28.
TARTALOMJEGYZÉK
I. FEJEZET - ÁLTALÁNOS RENDELKEZÉSEK
1.§ A Szabályzat célja és hatálya
2. § Fogalom-meghatározások
3. § Az adatkezelés alapelvei
4. § Az adatkezelés jogalapjai
II. FEJEZET - AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA
5. § Adatkezelés az érintett hozzájárulása alapján
6. § Jogi kötelezettség teljesítésén alapuló adatkezelés
7. § Szerződéses kötelezettségen alapuló adatkezelés
III. FEJEZET – KÖZTISZTVISELŐI JOGVISZONNYAL, MUNKAVISZONNYAL, KÖZFOGLALKOZTATÁSI JOGVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
8. § Közszolgálati, munkaügyi, személyzeti nyilvántartás
8/A. § A köztisztviselőkre vonatkozó speciális előírások a személyi anyag tekintetében
9. § A közfoglalkoztatottak adatkezelése
10. § Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
11. § Felvételre jelentkező köztisztviselők, munkavállalók adatainak kezelése, pályázatok, önéletrajzok
12. § Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés
13. § E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
14. § A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
15. § Munkavédelemmel és tűzvédelemmel kapcsolatos adatkezelés
IV. FEJEZET - SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
16. § Látogatói adatkezelés az Önkormányzat honlapján - Tájékoztatás sütik (cookie) alkalmazásáról
17. § Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása
18.§ Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
V. FEJEZET - JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK
19. § Adatkezelés bér- járulékfizetési kötelezettségek teljesítése céljából
20. § Szociális, illetve gyermekvédelmi ellátások folyósítása céljából kezelt adatok köre
21. § Önkormányzati képviselőkkel összefüggésben kezelt adatok köre
22. § Védőnői szolgálat fenntartásával kapcsolatban kezelt adatok köre
23. § A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés
VI. FEJEZET - ADATBIZONSÁGI INTÉZKEDÉSEK
24. § Adatbiztonsági intézkedések
VII. FEJEZET - ADATVÉDELMI INCIDENSEK KEZELÉSE
25. § Az adatvédelmi incidens fogalma
26. § Adatvédelmi incidensek kezelés, orvoslása
27. § Adatvédelmi incidensek nyilvántartása
VIII. FEJEZET – KÖZÉRDEKŰ ADATIGÉNYLÉS SZABÁLYAI
28. § A közérdekű adatigénylés
29. § A közérdekű adatok megismerésére irányuló igény és annak teljesítése
IX. FEJEZET - ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ
30. § Adatvédelmi hatásvizsgálat és előzetes konzultáció
X. FEJEZET - AZ ÉRINTETT SZEMÉLY JOGAI
31.§ Tájékoztatás az érintett jogairól
XI. FEJEZET – ADATFELDOLGOZÓRA VONATKOZÓ RENDELKEZÉSEK
XII. FEJEZET - ZÁRÓ RENDELKEZÉSEK
32. § A Szabályzat megállapítása és módosítása
33. § Intézkedések a szabályzat megismertetése
I. FEJEZET ÁLTALÁNOS RENDELKEZÉSEK
1. § A Szabályzat célja és hatálya
(1) Jelen Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy az Önkormányzat adatkezelő és adatfeldolgozó tevékenysége megfeleljen a Rendeletnek – továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek.
(2) Jelen Szabályzat hatálya természetes személyekre vonatkozó személyes adatok Önkormányzat általi kezelésére terjed ki.
(3) Egyéni vállalkozó, egyéni cég, őstermelő ügyfeleket, vevőket, szállítókat e Szabályzat alkalmazásában természetes személynek kell tekinteni.
(4) A Szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat. {GDPR (14)}
(5) Az adatkezelés során figyelembe kell venni a jelen szabályzat mellékletét képező „GDPR Tudnivalók – Segédlet” elnevezésű dokumentumot is.
2. § Fogalom-meghatározások
E Szabályzat alkalmazásában irányadó fogalom-meghatározásokat a Rendelet 4. cikke tartalmazza. Ennek megfelelően emeljük ki a főbb fogalmakat:
1. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
4. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
5. álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
6. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
7. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
8. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
9. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
10. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
11. az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
12. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
13. képviselő: az az Európai Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában.
14. vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.
3. § Az adatkezelés alapelvei
1. Az Önkormányzat az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi (jogszerűség, tisztességes eljárás és átláthatóság).
2. Az Önkormányzat a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség).
3. Az Önkormányzat az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság). Ennek megfelelően az Önkormányzat nem gyűjt és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges.
4. Az Önkormányzat adatkezelése pontos és naprakész. Az Önkormányzat minden ésszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság).
5. Az Önkormányzat a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre (korlátozott tárolhatóság).
6. Az Önkormányzat megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg).
7. Az Önkormányzat felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá a Hivatal igazolja ezen megfelelést (elszámoltathatóság). Ennek értelmében az Önkormányzat gondoskodik a jelen Szabályzatban foglaltak folyamatos érvényesüléséről, az adatkezelésének folyamatos felülvizsgálatáról és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről. Az Önkormányzat a jogszabályi kötelezettségeknek való megfelelés igazolására dokumentációt készít.
II. FEJEZET
AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK BIZTOSÍTÁSA
4. § Az adatkezelés jogalapjai:
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az 1-
6. pontban meghatározott jogalapok egyike teljesül:
1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (hozzájáruláson alapuló adatkezelés).
2. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (szerződésen alapuló adatkezelés).
3. Az adatkezelés az Önkormányzatra vonatkozó jogi kötelezettség teljesítéséhez szükséges (jogi kötelezettségen alapuló adatkezelés).
4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (létfontosságú érdeken alapuló adatkezelés).
5. Az adatkezelés közérdekű vagy az Önkormányzatra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (közhatalmi jogosítványon alapuló adatkezelés).
6. Az adatkezelés az Önkormányzat vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (jogos érdeken alapuló adatkezelés).
Az Önkormányzat egy adott személyes adatkör kezelése vonatkozásában mindig csak egy jogalap alapján végzi az adatkezelést. Az adatkezelés jogalapja az adatkezelés során változhat.
5. § Adatkezelés az érintett hozzájárulása alapján
(1) Amennyiben az Önkormányzat hozzájáruláson alapuló adatkezelést kíván végezni, az érintett hozzájárulását személyes adatai kezeléséhez az Önkormányzat által használt adatkérő lap (1. sz. melléklet) szerinti tartalommal és tájékoztatással kell kérni.
(2) Hozzájárulásnak minősül az is, ha az érintett az Önkormányzat internetes honlapjának megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.
(3) A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
(4) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik – pl. értékesítési, szolgáltatási szerződés megkötése - a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a Rendeletet, kötelező erővel nem bír.
(5) Az Önkormányzat nem kötheti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.
(6) A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
(7) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
6. § Jogi kötelezettség teljesítésén alapuló adatkezelés
(1) A jogi kötelezettségen alapuló adatkezelés esetén a kezelhető adatok körére, az adatkezelés céljára, az adatok tárolásának időtartamára, a címzettekre az alapul szolgáló jogszabály rendelkezései irányadók.
(2) A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozza meg. Az érintettel az adatkezelés megkezdése előtt ez esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
7. § Szerződéses kötelezettségen alapuló adatkezelés
(1) Az adatkezelés jogszerűnek minősül, ha az olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
(2) A szerződés teljesítéséhez nem szükséges személyes adatok kezeléséhez való érintetti hozzájárulás nem lehet feltétele a szerződéskötésnek.
III. FEJEZET
KÖZTISZTVISELÕI JOGVISZONNYAL, MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
8. § Közszolgálati, munkaügyi, személyzeti nyilvántartás
(1) Az Önkormányzat munkatársainak személyi anyagai és a foglalkoztatással kapcsolatos dokumentumainak adatkezelése. A munkatársak személyi anyagaiban megjelenő adatokat döntő többségében a munkába lépést megelőzően veszik fel, valamint azokat a foglalkoztatás során esetenként bővítik/aktualizálják. Az új köztisztviselő/munkavállaló adatait, azokat bizonyító okiratokat papír alapon az Önkormányzat veszi fel a munkába lépést megelőzően.
(2) A köztisztviselőktől, munkavállalótól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek jogviszony, munkaviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a köztisztviselő, munkavállaló személyhez fűződő jogait nem sértik.
(3) Az Önkormányzat szerződés teljesítése (Rendelet 6. cikk (1) bekezdése b) pont) jogcímén a jogviszony létesítése, teljesítése vagy megszűnése céljából kezeli az érintett alábbi adatait:
1. név,
2. születési név,
3. születési ideje,
4. anyja neve,
5. lakcíme/levelezési címe,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas esetén),
10. telefonszám,
11. bankszámlaszáma,
12. munkába lépésének kezdő és befejező időpontja,
13. munkakör,
14. iskolai végzettségét, szakképzettségét igazoló okmány másolata,
15. illetményének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
16. a köztisztviselő, munkavállaló illetményéből, munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
17. a jogviszony megszűnésének módja, indokai,
18. a munkaköri alkalmassági vizsgálatok összegzése,
19. az érinttetett ért balesetek jegyzőkönyveiben rögzített adatokat;
20. tanfolyamok, képzések bizonyítványai, amiket kötelező elvégeznie a köztisztviselőnek (pl. közigazgatási szakvizsga),
21. jegyzőkönyvek munkáltatói ellenőrzés kapcsán,
22. erkölcsi bizonyítvány.
(4) Betegségre és szakszervezeti tagságára vonatkozó adatokat a munkáltató csak közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvényben (Kttv.) és a Munka Törvénykönyvben (Mt.) meghatározott jog, vagy kötelezettség teljesítése céljából kezel (szakszervezeti tisztségviselő munkaidő-kedvezményének megállapítása, védelem, adókedvezmények megállapítása).
(5) A személyes adatok címzettjei: az Önkormányzat munkáltatói jogok gyakorlására jogosult vezetője, munkaügyi feladatokat ellátó dolgozók, és irattározással, iktatással foglalkozó dolgozók.
(6) A személyes adatok tárolásának időtartama: a (2) bekezdésben foglalt 1-8., 12-16., 19., pontok tekintetében 50 év, a többi pont esetében a jogviszony megszűnését követő 3 év.
(7) Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a Kttv-n és az Mt-n, továbbá a munkáltató jogos érdekeinek érvényesítésén alapul.
(9) A munkáltató a kinevezés elfogadásával, illetve a munkaszerződés megkötésével egyidejűleg a jelen szabályzat 2. számú melléklete szerinti Tájékoztató átadásával tájékoztatja a köztisztviselőt, munkavállalót a jogviszony során felmerülő folyamatok szerinti személyes adatainak kezeléséről és személyhez fűződő jogokról.
(10) A köztisztviselő, munkavállaló nyilatkozatát, amely szerint az adatkezelésre vonatkozó szabályokat és tájékoztatást megismerte, jelen szabályzat 3. sz. melléklete tartalmazza.
(11) Az új köztisztviselő, munkavállaló részére kialakított adatkérő lap jelen szabályzat 4. sz. mellékletét képezi.
8/A. § A köztisztviselőkre vonatkozó speciális előírások a személyi anyag tekintetében
(1) A köztisztviselők esetében a munkáltató köteles betartani a közszolgálati személyügyi nyilvántartásra és statisztikai adatgyűjtésre, a közszolgálati alkalmazottak és a munkavállalók személyi irataira vonatkozó szabályokról, valamint a kormányzati igazgatási szervek álláshelyeinek nyilvántartásáról szóló 87/2019. (IV.23.) Kormányrendelet (továbbiakban: Korm.r.) szabályait is betartani.
(2) A személyi irat fogalma: személyi irat bármilyen anyagon, alakban és bármilyen eszköz felhasználásával keletkezett adathordozó, amely a szolgálati jogviszony létesítésekor, fennállása alatt, megszűnésekor, illetve azt követően keletkezik és a közszolgálati tisztviselő személyével összefüggésben adatot, megállapítást tartalmaz. (Korm.r.2.§)
(3) A személyi anyag tartalmazza a közszolgálati tisztviselő szolgálati jogviszonyával kapcsolatos iratai közül a tisztviselő öt évnél nem régebbi fényképét, a közszolgálati alapnyilvántartás adatlapját, az önéletrajzot, a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítványt, az esküokmányt, a kinevezést és annak módosítását, a főtisztviselői kinevezést, a vezetői kinevezést, a címadományozást, a besorolásról, illetve a visszatartásról, valamint az áthelyezésről rendelkező iratokat, a teljesítményértékelést, a minősítést, a szolgálati jogviszonyt megszüntető iratot, a hatályban lévő fegyelmi büntetést kiszabó határozatot, a közszolgálati igazolás másolatát. Ezen iratokat együttesen kell tárolni. (Kttv. 184. § (1) bek.)
(4) A személyi iratok köre:
- a személyi anyag az 1.1. pont meghatározott iratai.
- a szolgálati jogviszonnyal összefüggő egyéb iratok (ide nem értve a külön törvény által szabályozott vagyon-nyilatkozattételi kötelezettséggel kapcsolatos iratokat);
- a szolgálati jogviszonnyal összefüggő más jogviszonyokkal kapcsolatos iratok;
- a közszolgálati tisztviselő saját kérelmére kiállított vagy a közigazgatási szervnek önként átadott adatokat tartalmazó iratok. (Korm.r. 6. §)
9. § A közfoglalkoztatottak adatkezelése
(1) A közfoglalkoztatottak személyi anyagaiban megjelenő adatokat döntő többségében a munkaszerződés előkészítésének időszakában veszik fel. Az új közfoglalkoztatott adatait a munkaszerződés előkészítésével megbízott munkatárs veszi fel.
(2) Az Önkormányzat szerződés teljesítése (Rendelet 6. cikk (1) bekezdése b) pont), továbbá jogi kötelezettség teljesítése (pl. NAV felé történő adatbejelentés) jogcímén jogviszony létesítése, teljesítése vagy megszűnése céljából kezeli a közfoglalkoztatott alábbi adatait:
1. név,
2. születési név,
3. születési ideje,
4. anyja neve,
5. lakcíme/levelezési címe,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas esetén),
10. telefonszám,
11. bankszámlaszáma,
12. munkába lépésének kezdő és befejező időpontja,
13. munkakör.
(3) A személyes adatok címzettjei: az Önkormányzat munkáltatói jogok gyakorlására jogosult vezetője, munkaügyi feladatokat ellátó dolgozók, és irattározással, iktatással foglalkozó dolgozók.
(4) A személyes adatok tárolásának időtartama: a (2) bekezdésben foglalt 1-9., 12-13., pontok tekintetében 50 év, a többi pont esetében a jogviszony megszűnését követő 3 év.
(5) Az Önkormányzat a közfoglalkoztatott alábbi személyes adatait továbbíthatja azon munkáltató részére, ahol a közfoglalkoztatott ténylegesen munkát végez: Felsőtárkány Bükk- kapu Kft. (székhelye: 0000 Xxxxxxxxxxxx, Xx xx 000.; képviseli: Xxxxx Xxxxxx ügyvezető)
(6) Az adatkezelés jogalapja: szerződéses kötelezettség teljesítése, illetve jogi kötelezettség teljesítés az Mt. valamint a közfoglalkoztatásról és a közfoglalkoztatáshoz kapcsolódó, valamint egyéb törvények módosításáról szóló 2011. évi CVI. törvény alapján.
(7) A közfoglalkoztatottakra vonatkozó tájékoztató a jelen szabályzat 2/A. sz. melléklete.
10. § Alkalmassági vizsgálatokkal kapcsolatos adatkezelés
(1) Az alkalmassági vizsgálatokkal kapcsolatos adatkezelési folyamat során meghatározott időpontban az üzemorvos felkeresi az Önkormányzatnál dolgozó köztisztviselőt, munkavállalót és az orvosi alkalmassági vizsgálatot követően az üzemorvos kiállítja az igazolást az Önkormányzat számára, hogy a köztisztviselő, munkavállaló megfelelt vagy nem felelt meg.
(2) A köztisztviselővel, munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet a jogviszonyra vonatkozó szabály ír elő, vagy amely jogviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a köztisztviselőt, munkavállalót többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a köztisztviselőt, munkavállalót a jogszabály címéről és a pontos jogszabályhelyről is.
(3) A munkaalkalmasságra, felkészültségre irányuló tesztlapok a munkáltató mind a jogviszony létesítése előtt, mind pedig a jogviszony fennállása alatt kitölttetheti a köztisztviselővel, munkavállalóval.
(4) Az egyértelműen a jogviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében csak akkor tölthető ki a köztisztviselők, munkavállalók nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét köztisztviselőhöz, munkavállalóhoz, vagyis anonim módon történik az adatok feldolgozása.
(5) A kezelt személyes adatok köre: név, születési dátum, munkakör, orvosi alkalmassági igazolás eredménye (alkalmas, nem alkalmas).
(6) Az adatkezelés jogalapja: a munkáltató jogos érdeke, valamint jogi kötelezettség teljesítése.
(7) A személyes adatok kezelésének célja: jogviszony létesítése, fenntartása, munkakör betöltése, a köztisztviselő, munkavállaló alkalmasságának igazolása.
(8) A személyes adatok címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményt a vizsgált köztisztviselő, munkavállaló, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas- e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a munkáltató nem ismerheti meg.
(9) A személyes adatok kezelésének időtartama: a jogviszony megszűnését követő 3 év, megváltozott munkaképességű foglalkozatott esetén 5 év (Mmvt. 23. § 7. bekezdés).
11. § Felvételre jelentkező köztisztviselők, munkavállalók adatainak kezelése, pályázatok, önéletrajzok
(1) Az Önkormányzatnál lévő megüresedett vagy új munkahelyek betöltésére irányuló álláspályázatokat az Önkormányzat írja ki. A felvételre jelentkezők a pályázataikat az Önkormányzathoz küldik meg elektronikus úton, postai úton vagy személyesen. Az Önkormányzat bonyolítja le az álláskeresési folyamatot, az Önkormányzat vezetője találkozik a jelentkezőkkel.
(2) A kezelhető személyes adatok köre: a természetes személy neve, születési ideje és helye, anyja neve, lakcíme, képesítési adatok, erkölcsi bizonyítvány.
(3) A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal közszolgálati tisztviselői jogviszony, munkaviszony létesítése.
(4) Az adatkezelés jogalapja: az érintett hozzájárulása és szerződés teljesítése.
(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: az Önkormányzatnál munkáltatói jogok gyakorlására jogosult vezető, munkaügyi feladatokat ellátó dolgozók.
(6) A személyes adatok tárolásának időtartama: A pályázat elbírálásáig, a kinevezés elfogadásáig, a munkaszerződés megkötéséig. A ki nem választott jelentkezők személyes adatait törölni kell. Törölni kell annak adatait is, aki pályázatát visszavonta.
(7) Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
(8) A meghirdetett állásra jelentkezők hozzájáruló nyilatkozata, valamint az adatkezelési tájékoztató jelen szabályzat 5. sz. mellékletét képezi.
12. § Számítógép, laptop, tablet ellenőrzésével kapcsolatos adatkezelés
(1) Az Önkormányzat által a foglalkoztatottak részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet a foglalkoztatott nem kizárólag munkaköri feladata
ellátására használhatja, ezek magáncélú használatát az Önkormányzat engedi, ezen eszközökön a foglalkoztatott személyes adatot, levelezést kezelheti és tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti.
(2) A munkáltató jogosult az eszközök használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az eszközök használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói, köztisztviselői kötelezettségek (Mt. 8. §, 52. §) ellenőrzése.
(3) Az ellenőrzésre és adatkezelésre jogosult a polgármester, az ellenőrzés adataihoz hozzáférhet rajta kívül a helyettese.
(4) Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a foglalkoztatott jelen lehessen az ellenőrzés során. Az ellenőrzésről az Önkormányzat papír alapú jegyzőkönyvet vesz fel, amelyet a jogviszony megszűnését követő 3 évig tárol.
(5) Az ellenőrzés előtt tájékoztatni kell a foglalkoztatottat arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és jogorvoslati lehetőségei vannak az eszköz ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
(6) Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen azt kell megállapítani, hogy a tárolt adat a foglalkoztatott munkaköri feladatával kapcsolatos, és nem személyes célú. Nem személyes célú adatok tartalmát a munkáltató korlátozás nélkül vizsgálhatja.
(7) A foglalkoztatott az eszköz ellenőrzésével együtt járó adatkezeléssel kapcsolatban e szabályzatnak az érintett jogairól szóló fejezetében írt jogokkal élhet.
(8) Az adatkezelés időtartama: a jogviszony megszűnését követő 3 év.
13. § E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
(1) Az Önkormányzat munkakörökhöz irányítottan e-mail fiókot bocsát a foglalkoztatottak rendelkezésére – ezen e-mail címet és fiókot a foglalkoztatott kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a foglalkoztatottak ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek hatóságokkal, más személyekkel, szervezetekkel.
(2) A foglalkoztatott az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
(3) A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta
- ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói, köztisztviselői kötelezettségek (Mt. 8. §, 52. §) ellenőrzése.
(4) Az ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult.
(5) Az email fiók használatát a munkáltató ellenőrizheti, amelyre és jogkövetkezményire a 11.
§ rendelkezései irányadók.
14. § A munkahelyi internethasználat ellenőrzésével kapcsolatos adatkezelés
(1) A foglalkoztatott nem kizárólag a munkaköri feladatával kapcsolatos honlapokat tekintheti meg, a munkáltató a személyes célú munkahelyi internethasználatot engedélyezi.
(2) A munkaköri feladatként az Önkormányzat nevében elvégzett internetes regisztrációk jogosultja az Önkormányzat, a regisztráció során az Önkormányzatra utaló azonosítót, jelszót kell alkalmazni. Amennyiben a személyes adatok megadása is szükséges a regisztrációhoz, a jogviszony megszűnésekor azok törlését köteles kezdeményezni az Önkormányzat.
(3) A munkahelyi internethasználatot a munkáltató ellenőrizheti, amelyre és jogkövetkezményire a 11. § rendelkezései irányadók.
15. § Munkavédelemmel és tűzvédelemmel kapcsolatos adatkezelés
(1) Az Önkormányzat a köztisztviselők, munkavállalók számára a munkába lépést megelőzően megtartja a munkavédelmi és tűzvédelmi oktatást, valamint kockázatértékelési lapot készít. Az Önkormányzat az adott folyamat kapcsán minden foglalkoztatottra a jogszabálynak megfelelően folyamatosan érvényes kockázatértékelést és dokumentációt készít.
(2) Az adatkezelés célja: munkavédelmi és kockázatelemzési, tűzvédelmi dokumentumok adatkezelése, esetleges hatósági vizsgálaton történő bemutatás, igazolás céljából.
(3) Az adatkezelés jogalapja: A munkáltató jogos érdeke, valamint jogi kötelezettség teljesítése, egyrészt az Mt. 51. § (3) és (4) bekezdése alapján, továbbá a munkavédelemről szóló 1993. évi XCIII. törvény a 42. § alapján.
(4) Az Önkormányzat az adatokat külön munkavédelmi, tűzvédelmi nyilvántartásban tárolja, papír alapon. Az adatkezelés időtartama: a jogviszony megszűnését követő 3 év.
(5) A személyes adatok címzettjei, illetve a címzettek kategóriái: a munkáltatói jogok gyakorlására jogosult vezető (és helyettese).
IV. FEJEZET
SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
16. § Látogatói adatkezelés az Önkormányzat honlapján - Tájékoztatás sütik (cookie) alkalmazásáról
(1) A süti (angolul cookie) egy olyan adat, amit a meglátogatott weboldal küld a látogató böngészőjének (változónév-érték formában), hogy az eltárolja és később ugyanaz a weboldal be is tudja tölteni a tartalmát.
(2) Egy felhasználónak az elektronikus hírközlő végberendezésén csak az érintett felhasználó világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni (2003. évi C. törvény 155.§
/4/ bek.). Ez alapján az Önkormányzat honlapján az első látogatáskor egy rövid összefoglalót kell adni a látogató számára a sütik alkalmazásáról, és egy linken keresztül utalni kell a teljes körű tájékoztató elérhetőségére. E tájékoztatóval az Önkormányzat biztosítja, hogy a látogató a honlap információs társadalommal összefüggő szolgáltatásainak igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy az Önkormányzat mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.
(3) Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése szerint a szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.
(4) Ezen adatkezelési folyamattal kapcsolatos adatvédelmi tájékoztató a 6. sz. mellékletben
található.
17. § Szerződő partnerek adatainak kezelése – vevők, szállítók nyilvántartása
(1) Az Önkormányzat szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, őstermelői igazolvány számát, személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail címét, honlap-címét, bankszámlaszámát. Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
A személyes adatok címzettjei: az Önkormányzat pénzügyekkel foglalkozó dolgozói.
(2) A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.
(3) Az érintett természetes személlyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, az a tájékoztatás történhet a szerződésben is. Az érintettet személyes adatai adatfeldolgozó részére történő átadásáról tájékoztatni kell.
18. § Jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai
(1) A kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail címe.
(2) A személyes adatok kezelésének célja: az Önkormányzat jogi személy partnerével kötött szerződés teljesítése, üzleti kapcsolattartás, jogalapja: az érintett hozzájárulása.
(3) A személyes adatok címzettjei, illetve a címzettek kategóriái: a Felsőtárkányi Közös Önkormányzati Hivatal közszolgálati jogviszonyban foglalkoztatott dolgozói.
(4) A személyes adatok tárolásának időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig.
(5) A hozzájáruló nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló munkavállalónak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával kérnie kell hozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni. Az adatvédelmi tájékoztató és hozzájáruló nyilatkozat jelen szabályzat 7. sz. mellékletét képezi.
V. FEJEZET
JOGI KÖTELEZETTSÉGEN ALAPULÓ ADATKEZELÉSEK
19. § Adatkezelés bér-és járulékfizetési kötelezettségek teljesítése céljából
(1) Az Önkormányzat jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017. évi CL. törvény az adózás rendjéről 7.§ 31.) kapcsolatban áll.
(2) A kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, az Önkormányzat kezelheti a foglalkoztatottak egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja tv. 47.§ (2) b./ pont) tagságra vonatkozó adatokat adó- és járulékkötelezettségek teljesítése (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
(2) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
(3) A személyes adatok címzettjei: az Önkormányzat a munkáltatói jogok gyakorlására jogosult személy, pénzüggyel foglalkozó dolgozó.
20. § Szociális, illetve gyermekvédelmi ellátások folyósítása céljából kezelt adatok köre
(1) Az Önkormányzat jogi kötelezettség teljesítése jogcímén, törvényben, illetve a helyi önkormányzati rendeletben előírt szociális és gyermekvédelmi ellátások (Szoctv., Gyvt. és a helyi rendelet alapján adható szociális, illetve gyermekjóléti, gyermekvédelmi ellátások) céljából kezeli azon érintettek - a támogatásban, ellátásban, juttatásban részesülők - fenti jogszabályokban előírt személyes adatait, akikkel kapcsolatban áll.
(2) A kezelt adatok köre: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám), személyi, családi, vagyoni viszonyai, melyek a kérelem elbírálásához szükségesek (Szoc. tv. 18. §).
(2) A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
(3) A személyes adatok címzettjei: az Önkormányzat pénzügyi, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói/köztisztviselői és adatfeldolgozói.
21. § Önkormányzati képviselőkkel összefüggésben kezelt adatok köre
(1) Az Önkormányzat a megválasztott önkormányzati képviselők személyes adatait kezeli, többek között a díjazásuk megfizetése céljából.
(2) A kezelt adatok köre:
1. név,
2. születési név,
3. születési ideje,
4. anyja neve,
5. lakcíme/levelezési címe,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas esetén),
10. telefonszám,
11. bankszámlaszáma,
12. kinevezésének kezdő és befejező időpontja.
(4) A személyes adatok címzettjei: XXX, az Önkormányzat munkáltatói jogok gyakorlására jogosult vezetője, munkaügyi feladatokat ellátó dolgozók, és irattározással, iktatással foglalkozó dolgozók.
(5) Az adatkezelés időtartama: a (2) bekezdésben foglalt 1-9., 12., pontok tekintetében 50 év, a többi pont esetében a jogviszony megszűnését követő 3 év.
22. § Védőnői szolgálat fenntartásával kapcsolatban kezelt adatok köre
(1) Az Önkormányzat védőnői szolgálatot tart fenn, amely során személyes adatokat kezel.
(2) A kezelt adatok köre:
1. név,
2. születési név,
3. születési ideje,
4. anyja neve,
5. lakcíme/levelezési címe,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas esetén),
10. telefonszám,
11. bankszámlaszáma,
12. kinevezésének kezdő és befejező időpontja.
(4) A személyes adatok címzettjei: MÁK, Nemzeti Egészségbiztosítási Alapkezelő, az Önkormányzat munkáltatói jogok gyakorlására jogosult vezetője, munkaügyi feladatokat ellátó dolgozók, és irattározással, iktatással foglalkozó dolgozók.
(5) Az adatkezelés időtartama: a (2) bekezdésben foglalt 1-9., 12., pontok tekintetében 50 év, a többi pont esetében a jogviszony megszűnését követő 3 év.
23. § A Levéltári törvény szerint maradandó értékű iratokra vonatkozó adatkezelés
(1) Az Önkormányzat jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) szerint maradandó értékűnek minősülő iratait abból a célból, hogy az Önkormányzat irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje: a közlevéltár részére történő átadásig.
(2) A személyes adatok címzettjei: az Önkormányzat munkáltatói jogok gyakorlására jogosult vezető, irattározási feladatokat ellátó dolgozó.
VI. FEJEZET ADATBIZONSÁGI INTÉZKEDÉSEK
24. § Adatbiztonsági intézkedések
(1) Az Önkormányzat valamennyi célú és jogalapú adatkezelése vonatkozásában a személyes adatok biztonsága érdekében köteles megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a Rendelet és az Infotv., érvényre juttatásához szükségesek.
(2) Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen.
(3) Az Önkormányzat a személyes adatokat bizalmas adatként minősíti és kezeli. A foglalkoztatottakkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő. A személyes adatokhoz való hozzáférést az Önkormányzat jogosultsági szintek megadásával korlátozza.
(4) Az Önkormányzat az informatikai rendszereket tűzfallal védi, és vírusvédelemmel látja el.
(5) Az Önkormányzat alkalmazottai a munkahelyi gépekhez csatlakoztathatják saját számítástechnikai eszközeiket, adattároló és rögzítő eszközeiket.
(6) Az Önkormányzat az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.
(7) A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
(8) Az Önkormányzat a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről.
(9) Az Önkormányzat által kezelt személyes adatok interneten történő megosztása tilos!
(10) A munkahelyen és az Önkormányzat eszközein fájl letöltő-, játék-, csevegő-, szexuális szolgáltatásokat kínáló oldalak látogatása szigorúan tilos!
(11) Külső forrásból kapott vagy letöltött, nem engedélyezett programok használata tilos!
(12) A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani.
(13) Biztosítani kell az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.
VII. FEJEZET ADATVÉDELMI INCIDENSEK KEZELÉSE
25. § Az adatvédelmi incidens fogalma
(1) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4. cikk 12.)
(2) A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.
26. § Adatvédelmi incidensek kezelés, orvoslása
(1) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása az Önkormányzat vezetőjének feladata.
(2) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.
(3) Amennyiben az Önkormányzat ellenőrzésre jogosult alkalmazottai a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell az Önkormányzat vezetőjét.
(4) Az Önkormányzat alkalmazottai kötelesek jelenteni az Önkormányzat vezetőjének, vagy a munkáltatói jogok gyakorlójának, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.
(5) Adatvédelmi incidens bejelenthető az Önkormányzat központi e-mail címén, telefonszámán, amelyen az alkalmazottak, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.
(6) Adatvédelmi incidens bejelentése esetén az Önkormányzat vezetője – az informatikai, pénzügyi és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Meg kell vizsgálni és meg kell állapítani:
a. az incidens bekövetkezésének időpontját és helyét,
b. az incidens leírását, körülményeit, hatásait,
c. az incidens során kompromittálódott adatok körét, számosságát,
d. a kompromittálódott adatokkal érintett személyek körét,
e. az incidens elhárítása érdekében tett intézkedések leírását,
f. a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
(7) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.
27. § Adatvédelmi incidensek nyilvántartása
(1) Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
(2) A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
(3) Az adatvédelmi incidensek nyilvántartása jelen szabályzat 8. sz. mellékletét képezi.
VII. FEJEZET
KÖZÉRDEKŰ ADATIGÉNYLÉS SZABÁLYAI
28. § A közérdekű adatigénylés
(1) A közügyek és a közpénzek felhasználásának átláthatósága érdekében az állampolgárok jogosultak közérdekű információhoz jutni Magyarország bármely állami, önkormányzati vagy más közfeladatot ellátó szervétől, intézményétől.
(2) Az Önkormányzat, mint közfeladatot ellátó szerv, a feladatkörébe tartozó ügyekben köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását, különösen az alábbi ügykörökben:
a) az önkormányzati költségvetés és annak végrehajtása;
b) az önkormányzati vagyon kezelése;
c) a közpénzek felhasználása és az e célból kötött szerződések;
d) a piaci szereplők, magánszervezetek és magánszemélyek részére különleges vagy kizárólagos jogok biztosítása.
29. § A közérdekű adatok megismerésére irányuló igény és annak teljesítése
(1) Az információszabadsághoz való jogot a közérdekű adatok megismerésére irányuló kérelmek teljesítése útján az Önkormányzatnak kötelessége elősegíteni. E feladatot az Önkormányzatnál az hivatalvezető (jegyző) látja el.
(2) Az Önkormányzat a következő módokon fogadja az adatigényléseket:
- postai úton a 0000 Xxxxxxxxxxxx, Xx xx 000. xxxxx,
- elektronikus úton az xxxxxxxxxxxx@xxxxxxxxxxxx.xx email címen,
- személyesen szóban és írásban az Önkormányzat székhelyén ügyfélfogadási időben
.
(3) A szóbeli adatigénylést akkor lehet szóban teljesíteni, amennyiben:
a) az igényelt adat az Önkormányzat honlapján már közzétételre került;
b) az alkalmazott jogszabályra vonatkozó általános tájékoztatással teljesíthető és az igénylő szóban kéri a választ;
c) az igényelt adat az Önkormányzat munkatársainak nevére, beosztására, hivatali elérhetőségére vonatkozik.
Amennyiben az adatigénylése szóban nem teljesíthető, arról kettő példányban jegyzőkönyvet kell készíteni és az elektronikus és postai úton beérkezett igényekkel egy tekintet alá esőként kell kezelni.
(4) Az adatigénylések formai kötöttségektől mentesen benyújthatóak, de tartalmazniuk kell legalább az alábbi adatokat:
a) az igénylő neve;
b) nem természetes személy igénylő esetében megnevezése;
c) azon elérhetőség, amelyen az igénylő számára az igényléssel kapcsolatos bármely tájékoztatás és értesítés megadható.
A közérdekű adatigénylésre vonatkozó formanyomtatvány jelen szabályzat 9. sz. mellékletét
képezi.
(5) A hivatalvezető az adatigénylést annak iktatását követően 3 napon belül köteles megvizsgálni abból a szempontból, hogy:
a) az adatigénylés megfelel-e a jelen szabályzat 27. § (3) bekezdésben foglalt követelményeknek;
b) az igényelt adatok pontosan beazonosíthatóak-e;
c) az igényelt adatoknak ki a kezelője;
d) az igényelt adatok közérdekű vagy közérdekből nyilvános adatoknak minősülnek-e;
e) az igényelt adatok megtalálhatóak-e az Önkormányzat honlapján;
f) az igényelt adatok az igénylő által kért módon vannak-e tárolva az Önkormányzatnál vagy feldolgozásuk szükséges;
g) az adatszolgáltatás teljesítése okoz-e az Önkormányzatnak külön költséget.
(6) Az adatszolgáltatást a hivatalvezető úgy köteles előkészíteni, hogy annak az igény beérkezését követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül eleget lehessen tenni.
(7) Az adatszolgáltatásnak lehetőség szerint az igénylő által kért technikai eszközzel és módon kell eleget tenni. A hivatalvezető az igénylő számára az adatokba történő személyes betekintést ügyfélfogadási időben biztosítja.
(8) Amennyiben az igény az igénylő által kért módon nem teljesíthető, úgy az igénylőt írásos úton az igény pontosítására kell felhívni. Amennyiben az igénylő nem tudja az igényelt adatokat pontosan megjelölni, a hivatalvezető köteles számára segítséget nyújtani.
(9) Amennyiben a 27. § (5) bekezdés szerinti vizsgálat során bizonyítást nyer, hogy az adatigényléssel érintett adatokat nem az Önkormányzat kezeli, erről a tényről az igénylőt a hivatalvezető a lehető legrövidebb határidőn belül, de legfeljebb 8 naptári napon belül írásban tájékoztatja.
(10) Amennyiben a 27. § (5) bekezdés szerinti vizsgálat során bizonyítást nyer, hogy az adatigényléssel érintett adatok nem közérdekű vagy közérdekből nyilvános adatok, vagy az adatok megismerését jogszabály korlátozza, az adatigénylést el kell utasítani. Az adatigénylés teljesítésének megtagadásáról – annak indokaival együtt – a hivatalvezető legfeljebb 15 naptári napon belül írásban tájékoztatja az igénylőt.
(11) Amennyiben a 27. § (5) bekezdés szerinti vizsgálat során bizonyítást nyer, hogy az adatigénylés csak részben teljesíthető, az igénylőt tájékoztatni kell a nyilvánosságra hozatalban korlátozott adatok köréről és megismerhetőségük módjáról. Ezen tényekről az igénylőt a hivatalvezető a lehető legrövidebb határidőn belül, de legfeljebb 8 naptári napon belül írásban tájékoztatja.
(12) Az adatigénylés teljesítése során kiemelt figyelmet szükséges fordítani az igénylő által meg nem ismerhető adatok felismerhetetlenné tételére, különösen a személyes adatok körében. Az igénylő által meg nem ismerhető személyes adatok körének tisztázása érdekében a hivatalvezető kikéri az adatvédelmi tisztviselő véleményét.
(13) Az adatigénylések teljesítésére vonatkozóan jelen fejezetben nem szabályozott kérdésekben az Infotv. előírásai az irányadók.
(14) A hivatalvezető évente, az Infotv. által meghatározott időpontig statisztikai adatszolgáltatást nyújt a Nemzeti Adatvédelmi és Információszabadság Hatóság részére az év során teljesített és elutasított adatigénylésekről.
IX. FEJEZET
ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ
30. § Adatvédelmi hatásvizsgálat és előzetes konzultáció
(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
(2) Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
(3) Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-
36. cikkei és az Infotv. rendelkezései irányadók.
X. FEJEZET
AZ ÉRINTETT SZEMÉLY JOGAI
31.§ Tájékoztatás az érintett jogairól
(1) Az érintett jogai röviden összefoglalva:
1. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése
2. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
3. Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg
4. Az érintett hozzáférési joga
5. A helyesbítéshez való jog
6. A törléshez való jog („az elfeledtetéshez való jog”)
7. Az adatkezelés korlátozásához való jog
8. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
9. Az adathordozhatósághoz való jog
10. A tiltakozáshoz való jog
11. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
12. Korlátozások
13. Az érintett tájékoztatása az adatvédelmi incidensről
14. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
15. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
16. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
(2) Az érintett jogai részletesen:
1. Átlátható tájékoztatás, kommunikáció és az érintett joggyakorlásának elősegítése
1.1. Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
1.2. Az adatkezelőnek elő kell segítenie az érintett jogainak a gyakorlását. Az adatvédelemmel kapcsolatos kérelmekről szóló nyilvántartás jelen szabályzat 10. sz. mellékletét képezi.
1.3. Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. E határidő a Rendeletben írt feltételekkel további két hónappal meghosszabbítható. amelyről az érintettet tájékoztatni kell.
1.4. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
1.5. Az adatkezelő az információkat és az érintett jogairól szóló tájékoztatást és intézkedést díjmentesen biztosítja, azonban a Rendeletben írt esetekben díj számítható fel.
A részletes szabályok a Rendelet 12. cikke alatt találhatók.
2. Előzetes tájékozódáshoz való jog – ha a személyes adatokat az érintettől gyűjtik
2.1. Az érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. Ennek keretében az érintettet tájékoztatni kell:
a) az adatkezelő és képviselője kilétéről és elérhetőségeiről,
b) az adatvédelmi tisztviselő elérhetőségeiről (ha van ilyen),
c) a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról,
d) jogos érdek érvényesítésén alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekeiről,
e) a személyes adatok címzettjeiről – akikkel a személyes adatot közlik -, illetve a címzettek kategóriáiról, ha van ilyen;
e) adott esetben annak tényéről, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
2.2. A tisztességes és átlátható adatkezelés biztosítsa érdekében az adatkezelőnek az érintettet a következő kiegészítő információkról kell tájékoztatnia:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) az érintett hozzájárulásán alapuló adatkezelés esetén arról, hogy a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról, és arra vonatkozóan érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
2.3. Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
Az előzetes tájékozódáshoz való jog részletes szabályait a Rendelet 13. cikke tartalmazza.
3. Az érintett tájékoztatása és a rendelkezésére bocsátandó információk, ha a személyes adatokat az adatkezelő nem tőle szerezte meg
3.1. Ha az adatkezelő a személyes adatokat nem az érintettől szerezte meg, az érintettet az adatkezelőnek a személyes adatok megszerzésétől számított legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor tájékoztatnia kell az előbbi 2. pontban írt tényekről és információkról, továbbá az érintett személyes adatok kategóriáiról, valamint a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.
3.2. A további szabályokra az előbbi 2. pontban (Előzetes tájékozódáshoz való jog) írtak irányadók.
E tájékoztatás részletes szabályait a Rendelet 14. cikke tartalmazza.
4. Az érintett hozzáférési joga
4.1. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az előbbi 2-3. pontban írt kapcsolódó információkhoz hozzáférést kapjon. (Rendelet 15. cikk).
4.2. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a Rendelet 46. cikk szerinti megfelelő garanciákról.
4.3. Az adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.
Az érintett hozzáférési jogára vonatkozó részletes szabályokat a Rendelt 15. cikke tartalmazza.
5. A helyesbítéshez való jog
5.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
5.2. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.
Ezen szabályokat a Rendelet 16. cikke tartalmazza.
6. A törléshez való jog („az elfeledtetéshez való jog”)
6.1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
6.2. A törléshez való jog nem érvényesíthető, ha az adatkezelés szükséges
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a népegészségügy területét érintő közérdek alapján;
d) a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A törléshez való jogra vonatkozó részletes szabályokat a Rendelet 17. cikke tartalmazza.
7. Az adatkezelés korlátozásához való jog
7.1. Az adatkezelés korlátozása esetén az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
7.2. Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
7.3. Az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatni kell.
A vonatkozó szabályokat a Rendelet 18. cikke tartalmazza.
8. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
E szabályok a Rendelet 19. cikke alatt találhatók.
9. Az adathordozhatósághoz való jog
9.1. A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha
a) az adatkezelés hozzájáruláson, vagy szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
9.2. Az érintett kérheti a személyes adatok adatkezelők közötti közvetlen továbbítását is.
9.3. Az adathordozhatósághoz való jog gyakorlása nem sértheti a Rendelet 17. cikkét (A törléshez való jog („az elfeledtetéshez való jog”). Az adtahordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. E jog nem érintheti hátrányosan mások jogait és szabadságait.
A részletes szabályokat a Rendelet 20. cikke tartalmazza.
10. A tiltakozáshoz való jog
10.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdeken, közfeladat végrehajtásán (6. cikk (1) e) pont), vagy jogos érdeken (6. cikk f)) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
10.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.
10.3. Ezen jogokra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
10.4. Az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
10.5. Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
A vonatkozó szabályokat a Rendelet 21. cikke tartalmazza.
11. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
11.1. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
11.2. Ez a jogosultság nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
11.3. Az előbbi a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
A további szabályokat a Rendelet 22. cikke tartalmazza.
12. Korlátozások
Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja jogok és kötelezettségek (Rendelet 12-22. cikk, 34. cikk, 5. cikk) hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát.
E korlátozás feltételeit a Rendelet 23. cikke tartalmazza.
13. Az érintett tájékoztatása az adatvédelmi incidensről
13.1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:
a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
13.2. Az érintettet nem kell az tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
A további szabályokat a Rendelet 34. cikke tartalmazza.
14. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)
Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.
E szabályokat a Rendelet 77. cikke tartalmazza.
15. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog
15.1. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
15.2. Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
15.3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
15.4. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.
E szabályokat a Rendelet 78. cikke tartalmazza.
16. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog
16.1. A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
16.2. Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
E szabályokat a Rendelet 79. cikke tartalmazza.
XI. FEJEZET
ADATFELDOLGOZÓRA VONATKOZÓ RENDELKEZÉSEK
(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik, vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a GDPR rendelet 32. cikkében előírt adatbiztonsági intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozó rendelkezéseket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a GDPR rendelet 32–36. cikke szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az fejezetben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
(5) Az adatfeldolgozóval kötött, kötendő szerződés rendelkezéseit tartalmazó megállapodás jelen szabályzat 11. sz. mellékletét képezi.
XII. FEJEZET ZÁRÓ RENDELKEZÉSEK
32. § A Szabályzat megállapítása és módosítása
A Szabályzat megállapítására és módosítására a polgármester jogosult.
33. § Intézkedések a szabályzat megismertetése
E Szabályzat rendelkezéseit meg kell ismertetni az Önkormányzat valamennyi köztisztviselőjével, munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden köztisztviselő, munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége.
Kelt, Felsőtárkány, 2022. február 28.
Xxxxxxxx Xxxxxx polgármester Xx. Xxxxxx Xxxx Xxxxxx jegyző
Záradék:
Felsőtárkány Község Önkormányzata Képviselő-testülete a …./2022. (…..) számú határozatával elfogadta.
Felsőtárkány, 2022. február 28. Xx. Xxxxxx Xxxx Xxxxxx jegyző
1. SZ. MELLÉKLET - ADATKÉRŐ LAP ÉS ELŐZETES TÁJÉKOZTATÓ SZEMÉLYES ADATOK HOZZÁJÁRULÁSON ALAPULÓ KEZELÉSÉHEZ
Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx.
ADATKÉRŐ LAP
HOZZÁJÁRULÁSON ALAPULÓ SZEMÉLYES ADATOK KEZELÉSÉHEZ
AZ ÉRINTETT ADATAI | |
Név | |
Anyja neve | |
Születési hely, időpont | |
Lakcím | |
Telefonszám | |
E-mail cím | |
Egyéb személyes adatok (pl. személyazonosság igazolására használt okmány típusa és száma, gépjármű rendszám, stb.) | (az adattakarékosság elvének megfelelően kizárólag csak az adatkezelés szempontjából elengedhetetlenül szükséges adatok szerepeltethetők az adatlapon) |
AZ ADATKEZELŐ ADATAI | |
Az adatkezelő neve, címe (postai cím is) | Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx. |
Az adatkezelő képviselője (név, elérhetőség) | Xx. Xxxxxx Xxxx Xxxxxx jegyző |
Az adatkezelő elérhetősége | +36/00-000-000 |
Az adatkezelés jogalapja | hozzájárulás (GDPR 6. cikk (1) bek. a) pont) |
Az adatkezelés célja | kiválasztani a megfelelő célt a belső adatkezelési szabályzatból (pl. vevők, szállítók term. szem. képviselői) |
A személyes adatok címzettje(i) | |
Adatfeldolgozó igénybevétele (név, cím) | |
Adattovábbítás ténye, címzettje | |
A személyes adatok tárolásának időtartama | a hozzájárulás visszavonásáig, törvényi előírásoknak megfelelően |
További információ | a hozzájárulás tárgyától függően |
Tájékoztatás az érintett jogairól
Önnek, mint a Hivatalnál személyes adatok kezelésében érintett személynek joga van
a. kérelmezni Hivatalunktól az Önre vonatkozó személyes adatokhoz való hozzáférést, személyes adatainak kiegészítését, helyesbítését, törlését vagy korlátozását,
b. jogszabályban meghatározott feltételek fennállása esetén Önnek joga van az adathordozhatósághoz, továbbá
c. tiltakozhat az Ön személyes adatainak kezelése ellen (amennyiben erre jogszabály lehetőséget ad), illetve
d. Önnek joga van az adatkezelési hozzájárulását bármely időpontban ingyenesen visszavonni. A visszavonás nem érinti – a hozzájárulás visszavonása előtt – végrehajtott adatkezelés jogszerűségét. A visszavonást Ön postai vagy elektronikus úton is kezdeményezheti az xxxxxx@xxxxxxxxxxxx.xx e-mail címen. A hozzájárulás visszavonása alapján az adatkezelés megszüntetésének technikai átfutási ideje 30 nap.
e. Önnek joga van a felügyeleti hatósághoz panaszt benyújtani (Nemzeti Adatvédelmi és Információszabadság Hatóság, xxxx://xxxx.xx, telefonszám: x00 (0) 000-0000, postacím: 1530 Budapest, Pf.: 5., e-mail: xxxxxxxxxxxxxxx@xxxx.xx). Amennyiben Ön külföldi állampolgár, úgy a szokásos tartózkodási helye illetve munkahelye szerinti felügyeleti hatóságnál is panaszt tehet.
f. Jogai megsértése esetén Ön bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Az adatvédelmi perek elbírálása a törvényszék hatáskörébe tartozik, a per – az Ön választása szerint – az Ön lakhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
Kérjük Önt, hogy mielőtt a felügyeleti hatósághoz vagy bírósághoz fordulna panaszával – egyeztetés és a felmerült probléma minél gyorsabb megoldása érdekében – keresse meg Intézményünket.
További információ az adatkezelési tájékoztatónkban olvasható, amely a Hivatal székhelyén található. A személyes adatok kezelése tekintetében a főbb irányadó jogszabályok a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.).
***********
Kijelentem, hogy az általam fentiekben megadott személyes adataim a valóságnak megfelelnek és a jelen dokumentumban megjelölt célú és időtartamú adatkezeléséhez előzetes tájékoztatás után önkéntesen, minden külső befolyás nélkül járulok hozzá.
…………………………………., 20..…, ……………….. hó ……….
………………………………………….. (az érintett aláírása)
2. SZ. MELLÉKLET - ADATVÉDELMI TÁJÉKOZTATÓ KÖZTISZTVISELŐK, MUNKAVÁLALLÓK RÉSZÉRE
Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx.
Az adatkezelő adatai
Neve: Felsőtárkány Község Önkormányzata
Székhelye és postacíme: 0000 Xxxxxxxxxxxx, Xx xx 000. xx. Telefonszám: +36/00-000-000
Email cím: xxxxxx@xxxxxxxxxxxx.xx
1. Tájékoztatás a köztisztviselői jogviszonnyal, munkaviszonnyal kapcsolatban történő adatkezelésről, személyügyi nyilvántartásról
A munkatársak személyi anyagaiban megjelenő adatokat döntő többségében a kinevezés, munkaszerződés előkészítésének időszakában veszik fel, valamint azokat a foglalkoztatás során esetenként bővítik/aktualizálják. Az új köztisztviselő, munkavállaló adatait a kinevezés, munkaszerződés előkészítésével megbízott munkatárs veszi fel.
Az Önkormányzat szerződés teljesítése (Rendelet 6. cikk (1) bekezdése b) pont), továbbá jogi kötelezettség teljesítése (pl. NAV felé történő adatbejelentés) jogcímén jogviszony létesítése, teljesítése vagy megszűnése céljából kezeli a köztisztviselő, munkavállaló alábbi adatait:
1. név,
2. születési név,
3. születési ideje,
4. anyja neve,
5. lakcíme/levelezési címe,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas esetén),
10. telefonszám,
11. bankszámlaszáma,
12. munkába lépésének kezdő és befejező időpontja,
13. munkakör,
14. iskolai végzettségét, szakképzettségét igazoló okmány másolata,
15. illetményének összege, a bérfizetéssel, egyéb juttatásaival kapcsolatos adatok,
16. a köztisztviselő, munkavállaló illetményéből, munkabéréből jogerős határozat vagy jogszabály, illetve írásbeli hozzájárulása alapján levonandó tartozást, illetve ennek jogosultságát,
17. a jogviszony megszűnésének módja, indokai,
18. a munkaköri alkalmassági vizsgálatok összegzése,
19. az érinttetett ért balesetek jegyzőkönyveiben rögzített adatokat;
20. tanfolyamok, képzések bizonyítványai, amiket kötelező elvégeznie a köztisztviselőnek (pl. közigazgatási szakvizsga),
21. jegyzőkönyvek munkáltatói ellenőrzés kapcsán,
22. erkölcsi bizonyítvány.
A személyes adatok címzettjei: az Önkormányzat munkáltatói jogok gyakorlására jogosult vezetője, munkaügyi feladatokat ellátó dolgozók, és irattározással, iktatással foglalkozó dolgozók.
A személyes adatok tárolásának időtartama: a (2) bekezdésben foglalt 1-9., 12-16., 19., pontok tekintetében 50 év, a többi pont esetében a közalkalmazotti jogviszony megszűnését követő 3 év.
2. Tájékoztatás alkalmassági vizsgával kapcsolatban
Önkormányzatunk a köztisztviselővel, munkavállalóval szemben csak olyan alkalmassági vizsgálatot alkalmazhat, amelyet foglalkoztatási jogviszonyra vonatkozó jogszabály ír elő, vagy amely foglalkoztatási jogviszonyra vonatkozó szabályban meghatározott jog gyakorlása, illetve kötelezettség teljesítése érdekében szükséges.
Önkormányzatunk az alkalmassági vizsgával kapcsolatban csak azt az információt kaphatja meg, hogy a vizsgált személy alkalmas-e az adott munkakörre vagy sem, illetve milyen feltételek biztosítandók a munkakörből adódó feladatok ellátásához. A vizsgálat részleteit, illetve annak dokumentációját nem ismerhetjük meg, vizsgálatra vonatkozó személyes adatot az alkalmasság tényén kívül („igen”, „nem”,
„igen, az alábbi feltételekkel”) nem kezelünk.
Az adatkezelés jogalapja jogi kötelezettség teljesítése, a személyes adat kezelésének célja pedig a munkakör betöltése, munkaviszony létesítése, illetve fenntartása. A személyes adat kezelésének időtartama a munkaviszony megszűnését követő három év. A személyes adatok címzettjei: az Intézmény munkáltatói jogok gyakorlására jogosult vezetője, irodai munkatársak (intézményvezető, intézményvezető- helyettesek, iskolatitkár).
A munkakör betöltéséhez szükséges alkalmassági vizsgálat rövid leírása: Az üzemorvos a székhelyén tartja meg éves szinten a vizsgálatot, melyen a dolgozó köteles megjelenni.
Önkormányzat az alábbiakban hivatkozott jogszabály alapján alábbi vizsgálatokat kéri: munkaköri alkalmassági vizsgálat.
Vonatkozó jogszabály a szakmai alkalmassági vizsgálatra vonatkozó jogszabály a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet. E rendelet alkalmazásában:
a. munkaköri alkalmassági vizsgálat: annak megállapítása, hogy egy meghatározott munkakörben és munkahelyen végzett tevékenység által okozott megterhelés a vizsgált személy számára milyen igénybevételt jelent és annak képes-e megfelelni,
b. szakmai alkalmassági vizsgálat: a szakma elsajátításának megkezdését megelőző, illetőleg a képzés és az átképzés időszakában az alkalmasság véleményezése érdekében végzett orvosi vizsgálat,
c. személyi higiénés alkalmassági vizsgálat: annak megállapítása, hogy a járványügyi szempontból kiemelt munkaterületen munkát végző személy fertőző megbetegedése mások egészségét nem veszélyezteti, illetve meghatározott esetekben kórokozó hordozása mások egészségét nem veszélyezteti.
A rendelet 3. § (1) bekezdése alapján az alkalmasság véleményezése:
a) a munkaköri alkalmasság esetében a munkáltató által megjelölt munkakörre,
b) a szakmai alkalmasság esetében az adott szakmára, illetve szakmai jellegű képzésre, az álláskereső esetében szakmai jellegű képzésre, átképzésre, az adott személy számára ellátható foglalkozási csoportokra vagy szakmák megjelölésére,
c) a személyi higiénés alkalmasság esetében a járványügyi szempontból kiemelt jelentőségű munkaterületen folytatott tevékenységre
történik.
A rendelet 3. § (2)-(7) bekezdési szerint:
A munkaköri és a szakmai alkalmasság orvosi vizsgálata lehet előzetes, időszakos és soron kívüli. A munkaköri alkalmasság vizsgálata és véleményezése a 8. §-ban meghatározott esetekben záróvizsgálattal egészül ki. (Pl. idült foglalkozási betegség veszélyével járó munkavégzés, illetve munkakörnyezet megszűnésekor)
A munkaköri és a szakmai alkalmasság vizsgálatának célja annak elbírálása, hogy a munkavállaló, illetve a tanuló vagy a hallgató, az álláskereső:
a) a munkavégzésből és a munkakörnyezetből eredő megterhelés által okozott igénybevétele aa) egészségét, testi, illetve xxxxx épségét nem veszélyezteti-e,
ab) nem befolyásolja-e egészségi állapotát kedvezőtlenül,
ac) nem okozhatja-e utódai testi, szellemi, pszichés fejlődésének károsodását,
b) esetleges idült betegsége vagy fogyatékossága a munkakör ellátása, illetőleg a szakma elsajátítása és gyakorlása során nem idéz-e elő baleseti veszélyt,
c) a járványügyi szempontból kiemelt jelentőségű munkakörökben, illetve szakmákban történő munkavégzés esetén személyi higiénés és egészségi állapota nem veszélyezteti-e mások egészségét, foglalkoztatható-e az adott munkakörben,
d) milyen munkakörben, illetve szakmában és milyen feltételek mellett foglalkoztatható állapotrosszabbodás veszélye nélkül, amennyiben átmenetileg vagy véglegesen megváltozott munkaképességű,
e) foglalkoztatható-e tovább jelenlegi munkakörében, illetve folytathatja-e tanulmányait a választott szakmában,
f) szenved-e olyan betegségben, amely miatt munkaköre ellátása során rendszeres foglalkozás- egészségügyi ellenőrzést igényel,
g) külföldön történő munkavégzés esetén egészségi szempontból várhatóan alkalmas-e az adott országban a megjelölt szakmai feladat ellátására.
A személyi higiénés alkalmassági vizsgálat lehet előzetes, időszakos és soron kívüli.
A személyi higiénés alkalmasság vizsgálatának célja annak elbírálása, hogy a munkát végző személy egészségi állapota - a tevékenység gyakorlása esetén - a járványügyi szempontból kiemelt jelentőségű munkaterületeken nem veszélyezteti-e mások egészségét, folytathat-e tevékenységet az adott munkaterületen.
A munkaköri, szakmai, illetve személyi higiénés alkalmasság vizsgálata, valamint a foglalkoztathatóság szakvéleményezése nem terjed ki a munkaképesség változás mértékének, a rokkantság fokának meghatározására, valamint a szellemi képesség és az elmeállapot véleményezésére.
A soron kívüli munkaköri, illetve személyi higiénés alkalmasság vizsgálata keretében végzett, HIV fertőzés megállapítására irányuló szűrővizsgálati kötelezettségkörét, a szűrővizsgálatok elvégzésének rendjét külön jogszabály állapítja meg.
Az alkalmassággal kapcsolatos vélemény:
A rendelet 13. § (1) szerint a munkaköri, szakmai, illetve személyi higiénés alkalmassági véleményben meg kell határozni, hogy a vizsgált személy az adott munkakörre, tevékenységre, a tanuló és hallgató esetében az adott szakmára, az álláskereső esetében az adott szakmára, ellátható foglalkozási csoportokra alkalmas, ideiglenesen nem alkalmas vagy nem alkalmas.
3. A köztisztviselőkre vonatkozó speciális előírások a személyi anyag tekintetében
(1) A köztisztviselők esetében a munkáltató köteles betartani a közszolgálati személyügyi nyilvántartásra és statisztikai adatgyűjtésre, a közszolgálati alkalmazottak és a munkavállalók személyi irataira vonatkozó szabályokról, valamint a kormányzati igazgatási szervek álláshelyeinek nyilvántartásáról szóló 87/2019. (IV.23.) Kormányrendelet (továbbiakban: Korm.r.) szabályait is betartani.
(2) A személyi irat fogalma: személyi irat bármilyen anyagon, alakban és bármilyen eszköz felhasználásával keletkezett adathordozó, amely a szolgálati jogviszony létesítésekor, fennállása alatt, megszűnésekor, illetve azt követően keletkezik és a közszolgálati tisztviselő személyével összefüggésben adatot, megállapítást tartalmaz. (Korm.r.2.§)
(3) A személyi anyag tartalmazza a közszolgálati tisztviselő szolgálati jogviszonyával kapcsolatos iratai közül a tisztviselő öt évnél nem régebbi fényképét, a közszolgálati alapnyilvántartás adatlapját, az
önéletrajzot, a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítványt, az esküokmányt, a kinevezést és annak módosítását, a főtisztviselői kinevezést, a vezetői kinevezést, a címadományozást, a besorolásról, illetve a visszatartásról, valamint az áthelyezésről rendelkező iratokat, a teljesítményértékelést, a minősítést, a szolgálati jogviszonyt megszüntető iratot, a hatályban lévő fegyelmi büntetést kiszabó határozatot, a közszolgálati igazolás másolatát. Ezen iratokat együttesen kell tárolni. (Kttv. 184. § (1) bek.)
(4) A személyi iratok köre:
- a személyi anyag az 1.1. pont meghatározott iratai.
- a szolgálati jogviszonnyal összefüggő egyéb iratok (ide nem értve a külön törvény által szabályozott vagyon-nyilatkozattételi kötelezettséggel kapcsolatos iratokat);
- a szolgálati jogviszonnyal összefüggő más jogviszonyokkal kapcsolatos iratok;
- a közszolgálati tisztviselő saját kérelmére kiállított vagy a közigazgatási szervnek önként átadott adatokat tartalmazó iratok. (Korm.r. 6. §)
4. Adattárolásra alkalmas eszközökkel kapcsolatos eljárási rend
Amennyiben Önkormányzatunk munkavégzés céljából számítógépet, laptopot, tabletet, okostelefont, fényképezőgépet, kamerát vagy egyéb, adattárolásra alkalmas eszközt (továbbiak eszközök) bocsát a foglalkoztatottak rendelkezésre, azt a foglalkoztatott nem kizárólag munkaköri feladata ellátása érdekében használhatja, az Önkormányzat ezen készülékek magáncélú használatát engedélyezi. Ezeken az eszközökön a foglalkoztatott az internetet magáncélra is használhatja, személyes adatot, levelezést, fotót, videót kezelhet és tárolhat, a munkavégzéssel összefüggő adatoktól elkülönítetten.
A foglalkoztatott tudomásul veszi, hogy az Önkormányzat a saját tulajdonú eszközöket és az azokon tárolt adatokat rendszeresen ellenőrizheti.
Az adatbiztonság, illetve az informatikai rendszer védelme miatt az Önkormányzat informatikai hálózatát üzemeltető rendszergazda a számítógép tartalmába jogosult betekinteni, de az ily módon megismert adatokat harmadik személy számára - így az Önkormányzat részére - sem továbbíthatja.
A munkáltató által biztosított eszközök ellenőrzése során az adatkezelés jogalapja a munkáltató jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont), az ellenőrzés célja ezen készülékek használatára vonatkozó munkáltatói rendelkezések betartásának ellenőrzése, illetve a közalkalmazotti kötelezettségek teljesítésének ellenőrzése. Az adatkezelés megkezdése előtt Intézményünk érdekmérlegelési tesztet végzett, melynek eredményéről jelen tájékoztató átadásával egyidejűleg a közalkalmazottat tájékoztatjuk.
Az ellenőrzés végrehajtására az Önkormányzat vezetője (polgármester) jogosult, az adatok címzettje a munkáltatói jogok gyakorlója. Az adatok megőrzési ideje 3 év.
Amennyiben az ellenőrzés körülményei lehetővé teszik, biztosítjuk az ellenőrzés időtartama alatt a közalkalmazott jelenlétét.
Az ellenőrzés előtt Xxxxxxxxxx tájékoztatja a foglalkoztatottat arról, hogy
a. milyen munkáltatói érdek alapján történik az ellenőrzés,
b. a munkáltató részéről ki végezheti az ellenőrzést,
c. milyen szabályok szerint kerülhet sor ellenőrzésre,
d. mi az eljárás menete, valamint
e. milyen jogai és jogorvoslati lehetőségei vannak a közalkalmazottnak a készülékek ellenőrzés kapcsán.
Az ellenőrzés során Önkormányzatunk köteles betartani a fokozatosság elvét és a szükségesség- arányosság követelményét, ennek megfelelően elsődlegesen a tárolt fájlok és levelek megnevezéséről, illetve címzettjéből és tárgyából állapítjuk meg azt, hogy azok a közalkalmazott munkaköri feladatával kapcsolatosak-e vagy személyesek. A nem személyes célú fájlok és e-mailek tartalmát korlátozás nélkül vizsgálhatjuk, a személyes fájlok tartalmának megismerésére azonban nem vagyunk jogosultak annak ellenére sem, hogy a készülékek személyes használata az Adatkezelési Szabályzat szerint megengedett.
Amennyiben az ellenőrzés során az ellenőrzést végző személy megállapítja az internethasználattal kapcsolatos szabályok megszegését, akkor sem jogosult vizsgálni, hogy a nem engedélyezett weblapok meglátogatása során milyen tevékenységet végzett azokon a foglalkoztatott (például milyen aloldalakat nyitott meg, milyen video fájlokat tekintett meg, stb.)
Felhívjuk a foglalkoztatottak figyelmét, hogy a munkavégzés céljáról rendelkezésére bocsátott eszközök elvesztését, a foglalkoztatott birtokából egyéb módon kikerülését (lopást), az eszköz megsérülését vagy bármi módon működésképtelenné válását – további intézkedés céljából – haladéktalanul jelenteni kötelesek a munkáltatói jogokat gyakorló vezetőnek. A foglalkoztatott tudomásul veszi, hogy az adatvédelmi incidens kivizsgálásában, illetve a kárenyhítésben tevékenyen köteles részt venni.
4. Internethasználattal kapcsolatos eljárási rend
A foglalkoztatottak kötelesek gondos mérlegelés alapján dönteni arról, hogy mennyire indokolt a magáncélú felhasználás. Az Önkormányzat informatikai rendszere blokkolhatja egyes honlapok megtekintését.
Önkormányzatunk a vonatkozó jogszabályok, valamint az Adatkezelési Szabályzatban foglaltak alapján a foglalkoztatottak internethasználatát ellenőrizheti, mellyel kapcsolatos adatkezelés jogalapja a munkáltatói jogos érdek. Az ellenőrzés végrehajtására az Önkormányzat vezetője jogosult, az adatok címzettje a munkáltatói jogok gyakorlója.
Az adatbiztonság, illetve az informatikai rendszer védelme miatt az informatikai hálózatot üzemeltető rendszergazda a számítógép tartalmába jogosult betekinteni, de az így megismert adatokat harmadik személy számára - így az Intézmény részére - nem továbbíthatja.
A munkahelyi internethasználat ellenőrzése során az adatkezelés jogalapja a munkáltató jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont), az ellenőrzés célja a munkahelyi internet használatára vonatkozó munkáltatói rendelkezések betartásának ellenőrzése, illetve a közalkalmazotti kötelezettségek teljesítésének ellenőrzése. Az ellenőrzéssel kapcsolatos adatok tárolási időtartama 3 év.
Az internethasználat konkrét ellenőrzéséről Önkormányzatunk tájékoztatja a foglalkoztatottat. A tájékoztatóban kitér többek között az alábbiakra:
a. milyen célból, milyen munkáltatói érdekek miatt kerül sor az internethasználat ellenőrzésére,
b. az Intézmény részéről ki végezheti az ellenőrzést,
c. milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, valamint
d. milyen jogai és jogorvoslati lehetőségeik vannak a foglalkoztatottnak az internet használatának ellenőrzésével együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során Önkormányzatunk betartja a fokozatosság elvét, illetve fokozottan ügyel a magánszféra sérülésének elkerülésére. Amennyiben az ellenőrzés során az ellenőrzést végző személy megállapítja az internethasználattal kapcsolatos szabályok megszegését (például az internetes előzmények átvizsgálása eredményeképpen), akkor sem jogosult vizsgálni, hogy az esetlegesen nem engedélyezett weblapok meglátogatása során milyen tevékenységet végzett azokon a foglalkoztatott (például milyen aloldalakat nyitott meg, milyen video fájlokat tekintett meg, stb.).
Amennyiben az Önkormányzat foglalkoztatottja munkakörében eljárva az Önkormányzat nevében regisztrál, abban az esetben az internetes regisztrációk jogosultja az Önkormányzat és a regisztráció során az Önkormányzatra utaló azonosítót kell alkalmazni. A regisztrációkról a regisztrációhoz kapcsolódó szakterület vezetője nyilvántartást vezet, a regisztrációval kapcsolatos adatokat a foglalkoztatott neki köteles nyilvántartás céljából átadni. Amennyiben a regisztrációt végrehajtó foglalkoztatott jogviszonya megszűnik és a regisztrációhoz szükség volt személyes adatok megadására, az Önkormányzat a regisztrációt a személyes adatok tekintetében módosítja (amennyiben ez lehetséges az adatkezelési szabályok figyelembe vételével), illetve törli (törölteti).
5. E-mail fiók használatának ellenőrzésével kapcsolatos adatkezelés
Az Önkormányzat munkakörökhöz irányítottan e-mail fiókot bocsát a foglalkoztatottak rendelkezésére
– ezen e-mail címet és fiókot a foglalkoztatott kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a foglalkoztatottak ezen keresztül tartsák egymással a kapcsolatot, vagy a munkáltató képviseletében levelezzenek hatóságokkal, más személyekkel, szervezetekkel.
A foglalkoztatott az e-mail fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat.
A munkáltató jogosult az e-mail fiók teljes tartalmát és használatát rendszeresen – 3 havonta - ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e- mail fiók használatára vonatkozó munkáltatói rendelkezés betartásának ellenőrzése, továbbá a munkavállalói, köztisztviselői kötelezettségek (Mt. 8. §, 52. §) ellenőrzése.
Az ellenőrzésre és adatkezelésre a munkáltató vezetője, vagy a munkáltatói jogok gyakorlója jogosult. Az ellenőrzésre egyebekben a 3-4. pont szabályai irányadóak.
Tájékoztatás az érintett jogairól
Önnek, mint az Intézménynél személyes adatok kezelésében érintett személynek joga van
g. kérelmezni Intézményünktől az Önre vonatkozó személyes adatokhoz való hozzáférést, személyes adatainak kiegészítését, helyesbítését, törlését vagy korlátozását,
h. jogszabályban meghatározott feltételek fennállása esetén Önnek joga van az adathordozhatósághoz, továbbá
i. tiltakozhat az Ön személyes adatainak kezelése ellen (amennyiben erre jogszabály lehetőséget ad), illetve
j. Önnek joga van az adatkezelési hozzájárulását bármely időpontban ingyenesen visszavonni. A visszavonás nem érinti – a hozzájárulás visszavonása előtt – végrehajtott adatkezelés jogszerűségét. A visszavonást Ön postai vagy elektronikus úton is kezdeményezheti a xxxxxx@xxxxxxxxxxxx.xx mail címen. A hozzájárulás visszavonása alapján az adatkezelés megszüntetésének technikai átfutási ideje 30 nap.
k. Önnek joga van a felügyeleti hatósághoz panaszt benyújtani (Nemzeti Adatvédelmi és Információszabadság Hatóság, xxxx://xxxx.xx, telefonszám: x00 (0) 000-0000, postacím: 1530 Budapest, Pf.: 5., e-mail: xxxxxxxxxxxxxxx@xxxx.xx). Amennyiben Ön külföldi állampolgár, úgy a szokásos tartózkodási helye illetve munkahelye szerinti felügyeleti hatóságnál is panaszt tehet.
l. Jogai megsértése esetén Ön bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Az adatvédelmi perek elbírálása a törvényszék hatáskörébe tartozik, a per – az Ön választása szerint – az Ön lakhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
Kérjük Önt, hogy mielőtt a felügyeleti hatósághoz vagy bírósághoz fordulna panaszával – egyeztetés és a felmerült probléma minél gyorsabb megoldása érdekében – keresse meg Intézményünket.
További információ az adatkezelési tájékoztatónkban olvasható, amely az Intézmény székhelyén található.
A személyes adatok kezelése tekintetében a főbb irányadó jogszabályok a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.).
A felügyeleti hatóság témában kiadott tájékoztatója: A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (2016. 11. 15)
A tájékoztatás egy példányát átvettem, az abban foglaltakat tudomásul vettem.
…………………………………., 20…, ……………….. hó ……….
………………………………………….. (a közalkalmazott aláírása)
Készült 2 példányban:
1. sz. pld. Közalkalmazott
2. sz. pld. Intézmény (a közalkalmazott személyi anyaga)
2/A. SZ. MELLÉKLET - ADATVÉDELMI TÁJÉKOZTATÓ KÖZFOGLALKOZTATOTTAK RÉSZÉRE
Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx.
Az adatkezelő adatai
Neve: Felsőtárkány Község Önkormányzata
Székhelye és postacíme: 0000 Xxxxxxxxxxxx, Xx xx 000. xx. Telefonszám: +36/00-000-000
Email cím: xxxxxx@xxxxxxxxxxxx.xx
3. Tájékoztatás a közfoglalkoztatási jogviszonnyal kapcsolatban történő adatkezelésről
A közfoglalkoztatottak személyi anyagaiban megjelenő adatokat döntő többségében a munkaszerződés előkészítésének időszakában veszik fel. Az új közfoglalkoztatott adatait a munkaszerződés előkészítésével megbízott munkatárs veszi fel.
Az Önkormányzat szerződés teljesítése (Rendelet 6. cikk (1) bekezdése b) pont), továbbá jogi kötelezettség teljesítése (pl. NAV felé történő adatbejelentés) jogcímén jogviszony létesítése, teljesítése vagy megszűnése céljából kezeli a közfoglalkoztatott alábbi adatait:
1. név,
2. születési név,
3. születési ideje,
4. anyja neve,
5. lakcíme/levelezési címe,
6. állampolgársága,
7. adóazonosító jele,
8. TAJ száma,
9. nyugdíjas törzsszám (nyugdíjas esetén),
10. telefonszám,
11. bankszámlaszáma,
12. munkába lépésének kezdő és befejező időpontja,
13. munkakör.
A személyes adatok címzettjei: az Önkormányzat munkáltatói jogok gyakorlására jogosult vezetője, munkaügyi feladatokat ellátó dolgozók, és irattározással, iktatással foglalkozó dolgozók.
A személyes adatok tárolásának időtartama: a (2) bekezdésben foglalt 1-9., 12-13., pontok tekintetében 50 év, a többi pont esetében a jogviszony megszűnését követő 3 év.
Az Önkormányzat a közfoglalkoztatott alábbi személyes adatait továbbíthatja azon munkáltató részére, ahol a közfoglalkoztatott ténylegesen munkát végez: ………………………….
Az adatkezelés jogalapja: szerződéses kötelezettség teljesítése, illetve jogi kötelezettség teljesítés az Mt. valamint a közfoglalkoztatásról és a közfoglalkoztatáshoz kapcsolódó, valamint egyéb törvények módosításáról szóló 2011. évi CVI. törvény alapján.
4. Tájékoztatás alkalmassági vizsgával kapcsolatban
Önkormányzatunk a közfoglalkoztatottal szemben csak olyan alkalmassági vizsgálatot alkalmazhat, amelyet foglalkoztatási jogviszonyra vonatkozó jogszabály ír elő, vagy amely foglalkoztatási jogviszonyra vonatkozó szabályban meghatározott jog gyakorlása, illetve kötelezettség teljesítése érdekében szükséges.
Önkormányzatunk az alkalmassági vizsgával kapcsolatban csak azt az információt kaphatja meg, hogy a vizsgált személy alkalmas-e az adott munkakörre vagy sem, illetve milyen feltételek biztosítandók a munkakörből adódó feladatok ellátásához. A vizsgálat részleteit, illetve annak dokumentációját nem ismerhetjük meg, vizsgálatra vonatkozó személyes adatot az alkalmasság tényén kívül („igen”, „nem”,
„igen, az alábbi feltételekkel”) nem kezelünk.
Az adatkezelés jogalapja jogi kötelezettség teljesítése, a személyes adat kezelésének célja pedig a munkakör betöltése, munkaviszony létesítése, illetve fenntartása. A személyes adat kezelésének időtartama a munkaviszony megszűnését követő három év. A személyes adatok címzettjei: az Intézmény munkáltatói jogok gyakorlására jogosult vezetője, irodai munkatársak (intézményvezető, intézményvezető- helyettesek, iskolatitkár).
A munkakör betöltéséhez szükséges alkalmassági vizsgálat rövid leírása: Az üzemorvos a székhelyén tartja meg éves szinten a vizsgálatot, melyen a dolgozó köteles megjelenni.
Önkormányzat az alábbiakban hivatkozott jogszabály alapján alábbi vizsgálatokat kéri: munkaköri alkalmassági vizsgálat.
Vonatkozó jogszabály a szakmai alkalmassági vizsgálatra vonatkozó jogszabály a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet. E rendelet alkalmazásában:
d. munkaköri alkalmassági vizsgálat: annak megállapítása, hogy egy meghatározott munkakörben és munkahelyen végzett tevékenység által okozott megterhelés a vizsgált személy számára milyen igénybevételt jelent és annak képes-e megfelelni,
e. szakmai alkalmassági vizsgálat: a szakma elsajátításának megkezdését megelőző, illetőleg a képzés és az átképzés időszakában az alkalmasság véleményezése érdekében végzett orvosi vizsgálat,
f. személyi higiénés alkalmassági vizsgálat: annak megállapítása, hogy a járványügyi szempontból kiemelt munkaterületen munkát végző személy fertőző megbetegedése mások egészségét nem veszélyezteti, illetve meghatározott esetekben kórokozó hordozása mások egészségét nem veszélyezteti.
A rendelet 3. § (1) bekezdése alapján az alkalmasság véleményezése:
a) a munkaköri alkalmasság esetében a munkáltató által megjelölt munkakörre,
b) a szakmai alkalmasság esetében az adott szakmára, illetve szakmai jellegű képzésre, az álláskereső esetében szakmai jellegű képzésre, átképzésre, az adott személy számára ellátható foglalkozási csoportokra vagy szakmák megjelölésére,
c) a személyi higiénés alkalmasság esetében a járványügyi szempontból kiemelt jelentőségű munkaterületen folytatott tevékenységre
történik.
A rendelet 3.§ (2)-(7) bekezdési szerint:
A munkaköri és a szakmai alkalmasság orvosi vizsgálata lehet előzetes, időszakos és soron kívüli. A munkaköri alkalmasság vizsgálata és véleményezése a 8. §-ban meghatározott esetekben záróvizsgálattal egészül ki. (Pl. idült foglalkozási betegség veszélyével járó munkavégzés, illetve munkakörnyezet megszűnésekor)
A munkaköri és a szakmai alkalmasság vizsgálatának célja annak elbírálása, hogy a munkavállaló, illetve a tanuló vagy a hallgató, az álláskereső:
a) a munkavégzésből és a munkakörnyezetből eredő megterhelés által okozott igénybevétele aa) egészségét, testi, illetve xxxxx épségét nem veszélyezteti-e,
ab) nem befolyásolja-e egészségi állapotát kedvezőtlenül,
ac) nem okozhatja-e utódai testi, szellemi, pszichés fejlődésének károsodását,
b) esetleges idült betegsége vagy fogyatékossága a munkakör ellátása, illetőleg a szakma elsajátítása és gyakorlása során nem idéz-e elő baleseti veszélyt,
c) a járványügyi szempontból kiemelt jelentőségű munkakörökben, illetve szakmákban történő munkavégzés esetén személyi higiénés és egészségi állapota nem veszélyezteti-e mások egészségét, foglalkoztatható-e az adott munkakörben,
d) milyen munkakörben, illetve szakmában és milyen feltételek mellett foglalkoztatható állapotrosszabbodás veszélye nélkül, amennyiben átmenetileg vagy véglegesen megváltozott munkaképességű,
e) foglalkoztatható-e tovább jelenlegi munkakörében, illetve folytathatja-e tanulmányait a választott szakmában,
f) szenved-e olyan betegségben, amely miatt munkaköre ellátása során rendszeres foglalkozás- egészségügyi ellenőrzést igényel,
g) külföldön történő munkavégzés esetén egészségi szempontból várhatóan alkalmas-e az adott országban a megjelölt szakmai feladat ellátására.
A személyi higiénés alkalmassági vizsgálat lehet előzetes, időszakos és soron kívüli.
A személyi higiénés alkalmasság vizsgálatának célja annak elbírálása, hogy a munkát végző személy egészségi állapota - a tevékenység gyakorlása esetén - a járványügyi szempontból kiemelt jelentőségű munkaterületeken nem veszélyezteti-e mások egészségét, folytathat-e tevékenységet az adott munkaterületen.
A munkaköri, szakmai, illetve személyi higiénés alkalmasság vizsgálata, valamint a foglalkoztathatóság szakvéleményezése nem terjed ki a munkaképesség változás mértékének, a rokkantság fokának meghatározására, valamint a szellemi képesség és az elmeállapot véleményezésére.
A soron kívüli munkaköri, illetve személyi higiénés alkalmasság vizsgálata keretében végzett, HIV fertőzés megállapítására irányuló szűrővizsgálati kötelezettségkörét, a szűrővizsgálatok elvégzésének rendjét külön jogszabály állapítja meg.
Az alkalmassággal kapcsolatos vélemény:
A rendelet 13. § (1) szerint a munkaköri, szakmai, illetve személyi higiénés alkalmassági véleményben meg kell határozni, hogy a vizsgált személy az adott munkakörre, tevékenységre, a tanuló és hallgató esetében az adott szakmára, az álláskereső esetében az adott szakmára, ellátható foglalkozási csoportokra alkalmas, ideiglenesen nem alkalmas vagy nem alkalmas.
Az alkalmassági vizsgálattal kapcsolatban felmerülő adatokat az Önkormányzat kezeli.
Az Ön jogai, jogorvoslati lehetőségei
Személyes adatai kezelése esetén Önt számos jog megilleti, amely jogokat a 2. pontban meghatározott valamely elérhetőségre küldött kérelem útján gyakorolhatja.
A személyes adatokhoz való hozzáférés és azok helyesbítésének joga
Személyes adataihoz bármikor jogosult hozzáférni, másolatot kérni, továbbá azokat helyesbíteni vagy frissíteni.
A hozzáférési jog alapján Ön jogosult arra, hogy az alábbiakról információt kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga.
Értjük ennek fontosságát, ezért amennyiben élni kíván ezen xxxxxxxx, vegye fel velünk a kapcsolatot 2. pontban meghatározott valamely elérhetőségen keresztül.
Adathordozhatósághoz való jog
Személyes adatai hordozhatóak, így Ön jogosult arra, hogy tagolt, széles körben használt, géppel olvasható formátumban megkapja azokat. Ez azt jelenti, hogy Ön az általunk kezelt személyes adatait számítógép által olvasható és Ön által más személynek elektronikus úton átadható formátumban kapja meg.
Amennyiben gyakorolni kívánja az adathordozhatósághoz való jogát, vegye fel az Adatkezelővel a kapcsolatot a 2. pontban meghatározott valamely elérhetőségén keresztül.
A személyes adatok törlésének joga
Ön jogosult adatai törlését kérni, amennyiben
a) személyes adataira már nincs szükség azon cél(ok)hoz, amely(ek)re tekintettel azokat begyűjtöttük; vagy
b) visszavonja a személyes adatai kezeléséhez adott korábbi hozzájárulását, és nincs egyéb jogalapja az adatkezelésnek; vagy
c) tiltakozik személyes adatai kezelése ellen;
d) a személyes adatok kezelése nem jogszerűen történik; vagy
e) személyes adatainak törlését a jogszabályoknak való megfelelés indokolja.
Amennyiben törölni kívánja az általunk tárolt személyes adatait, vegye fel velünk a kapcsolatot a 2. pontban meghatározott valamely elérhetőségen keresztül.
Az adatkezelés korlátozásának joga
Ön abban az esetben korlátozhatja személyes adatainak kezelését, amennyiben
a) úgy véli, hogy az Önnel kapcsolatban tárolt személyes adatok nem pontosak; vagy
b) a személyes adatok kezelése nem jogszerűen történik, de ahelyett, hogy a törlésüket kérné, inkább korlátozni szeretné a kezelésüket; vagy
c) személyes adataira nincs többé szükségünk azon cél(ok)hoz, amely(ek) miatt eredetileg begyűjtöttük azokat, Ön azonban igény tart ezen adatokra valamely peres követelés benyújtása, érvényesítése vagy a követeléssel szembeni védekezés céljából vagy
d) Ön tiltakozott személyes adatai kezelése ellen és várja az arra vonatkozó visszaigazolást, hogy az Ön tiltakozással kapcsolatos érdekei felülírják-e az adatkezelés jogalapját.
Amennyiben korlátozni kívánja személyes adatai kezelését, kérjük vegye fel velünk a kapcsolatot 2. pontban meghatározott valamely elérhetőségen keresztül.
A tiltakozás joga
Ön személyes adatainak kezelése ellen bármikor tiltakozhat. Ilyen szándék esetén vegye fel velünk a kapcsolatot a 2. pontban meghatározott valamely elérhetőségen keresztül.
Valamely jog gyakorlásának megtagadása esetén, vagy ha Ön nem elégedett a tőlünk kapott válasszal, akkor személyes adatai védelméhez való jogát polgári bíróság előtt érvényesítheti, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 0000 Xxxxxxxx, Xxxxxxxx Xxxxxxxx xxxxx 00/c.;
postacím: 1530 Budapest, Pf.: 5.; telefonszám: x00 (0) 000-0000; email cím: xxxxxxxxxxxxxxx@xxxx.xx) fordulhat.
A tájékoztatás egy példányát átvettem, az abban foglaltakat tudomásul vettem.
…………………………………., 20.…, ……………….. hó ……….
………………………………………….. (a munkavállaló aláírása)
Készült 2 példányban:
3. sz. pld. Munkavállaló
4. sz. pld. Önkormányzat (a munkavállaló személyi anyaga)
3. SZ. MELLÉKLET - NYILATKOZAT ADATKEZELÉSI SZABÁLYZAT, ADATVÉDELMI TÁJÉKOZTATÓ
MEGISMERÉSÉRŐL
(már közszolgálati tisztviselői jogviszonyban álló köztisztviselők, és munkaviszonyban álló munkavállalók részére)
Alulírott kijelentem, hogy a Felsőtárkány Község Önkormányzata köztisztviselőjeként, munkavállalójaként megismertem az adatvédelmi és adatkezelési szabályzatot, továbbá a köztisztviselőknek, munkavállalóknak szóló adatvédelmi tájékoztatót; azok tartalmát megértettem és tudomásul vettem; a munkavégzés során a szabályzat tartalmát követem.
Kijelentem továbbá, hogy az Önkormányzat a hatályban lévő Adatkezelési Szabályzatát a rendelkezésemre bocsátotta, annak tartalmát megismertem.
Tudomásul veszem, hogy amennyiben az Adatkezelési Szabályzat rendelkezéseit szándékosan vagy súlyos gondatlansággal jelentős mértékben megszegem, azzal a közszolgálati tisztviselői jogviszonyból, illetve munkaviszonyból származó lényeges kötelezettségemet szegem meg, ez a cselekményem munkajogi, illetve büntetőjogi következményeket vonhat maga után.
Kötelezettséget vállalok arra, hogy
a. munkavégzésem során maradéktalanul betartom és betartatom az Adatkezelési Szabályzat rendelkezéseit figyelembe veszem,
b. a munkáltatónál tudomásomra jutott személyes adatokat kizárólag az Adatkezelési Szabályzatban foglaltaknak megfelelően, csakis munkaköri feladataim teljesítése céljából kezelem és továbbítom, valamint az általam kezelt személyes adatokat az adatok kezelésére jogosultsággal nem rendelkező személy(ek)nek nem hozom tudomására és nem adom tovább,
c. a kezelt adatokat az előre meghatározott célon kívül más célra nem használom és nem használtatom fel, valamint a tudomásomra jutott személyes adatokat nem hozom nyilvánosságra,
d. az Önkormányzatnál rendszeresített biztonsági előírások betartásával és betartatásával megakadályozom az adatokhoz való jogosulatlan hozzáférést,
e. amennyiben az Adatkezelési Szabályzatban foglaltak megsértését észlelem, úgy azt haladéktalanul jelentem az Önkormányzat vezetőjének, valamint
f. adatvédelmi incidens esetében az Adatkezelési Szabályzatban foglaltak szerint járok el.
4. Tudomásul veszem, hogy a titoktartási kötelezettségem megszegése kimerítheti a Btk. 223.§-a szerinti magántitok megsértése bűncselekmény törvényi tényállását, amely szerint, aki a foglalkozásánál fogva tudomására jutott magántitkot alapos ok nélkül felfedi, vétség miatt elzárással büntetendő. A büntetés egy évig terjedő szabadságvesztés, amennyiben a bűncselekmény jelentős érdeksérelmet okoz.
4. Tudomásul veszem, hogy jelen titoktartási kötelezettségem a jogviszonyom megszűnését követően is terhel.
Név | Aláírás | Dátum |
…...............................................
Jegyző aláírása
4. SZ. MELLÉKLET - ADATKÉRŐ LAP ÚJ KÖZTISZTVISELŐK, MUNKAVÁLLALÓK RÉSZÉRE
Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx.
ADATKÉRŐ LAP
SZEMÉLYES ADATOK KEZELÉSÉHEZ
AZ ÉRINTETT ADATAI | |
Név | |
Születési név | |
Anyja neve | |
Születési hely, idő | |
Lakcím | |
Állampolgárság | |
Adóazonosító jel | |
TAJ szám | |
Telefonszám | |
E-mail cím | |
Bankszámlaszám | |
Egyéb személyes adatok (pl. nyugdíjas törzsszám) | (az adattakarékosság elvének megfelelően kizárólag csak az adatkezelés szempontjából elengedhetetlenül szükséges adatok szerepeltethetők az adatlapon) |
AZ ADATKEZELŐ ADATAI | |
Az adatkezelő neve, címe (postai cím is) | Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx. |
Az adatkezelő képviselője (név, elérhetőség) | |
Az adatkezelő elérhetősége | +36/00-000-000 |
Az adatkezelés jogalapja | szerződéses kötelezettség, jogi kötelezettség teljesítése (GDPR 6. cikk (1) bek. b) és c) pont) |
Az adatkezelés célja | közszolgálati tisztviselői jogviszony, illetve munkaviszony létesítése |
A személyes adatok címzettje(i) | az Önkormányzat munkáltatói jogok gyakorlására jogosult vezetője, munkaügyi feladatokat ellátó dolgozók, és irattározással, iktatással foglalkozó dolgozók |
Adatfeldolgozó igénybevétele (név, cím) | |
Adattovábbítás ténye, címzettje | - |
A személyes adatok tárolásának időtartama | a jogviszony megszűnését követő 50 év |
További információ | |
Tájékoztatás az érintett jogairól
Önnek, mint az Önkormányzatnál személyes adatok kezelésében érintett személynek joga van
m. kérelmezni Önkormányzatunktól az Önre vonatkozó személyes adatokhoz való hozzáférést, személyes adatainak kiegészítését, helyesbítését, törlését vagy korlátozását,
n. jogszabályban meghatározott feltételek fennállása esetén Önnek joga van az adathordozhatósághoz, továbbá
o. tiltakozhat az Ön személyes adatainak kezelése ellen (amennyiben erre jogszabály lehetőséget ad), illetve
p. Önnek joga van az adatkezelési hozzájárulását bármely időpontban ingyenesen visszavonni. A visszavonás nem érinti – a hozzájárulás visszavonása előtt – végrehajtott adatkezelés jogszerűségét. A visszavonást Ön postai vagy elektronikus úton is kezdeményezheti az xxxxxx@xxxxxxxxxxxx.xx e-mail címen. A hozzájárulás visszavonása alapján az adatkezelés megszüntetésének technikai átfutási ideje 30 nap.
q. Önnek joga van a felügyeleti hatósághoz panaszt benyújtani (Nemzeti Adatvédelmi és Információszabadság Hatóság, xxxx://xxxx.xx, telefonszám: x00 (0) 000-0000, postacím: 1530 Budapest, Pf.: 5., e-mail: xxxxxxxxxxxxxxx@xxxx.xx). Amennyiben Ön külföldi állampolgár, úgy a szokásos tartózkodási helye, illetve munkahelye szerinti felügyeleti hatóságnál is panaszt tehet.
r. Jogai megsértése esetén Ön bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Az adatvédelmi perek elbírálása a törvényszék hatáskörébe tartozik, a per – az Ön választása szerint – az Ön lakhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
Kérjük Önt, hogy mielőtt a felügyeleti hatósághoz vagy bírósághoz fordulna panaszával – egyeztetés és a felmerült probléma minél gyorsabb megoldása érdekében – keresse meg Intézményünket.
További információ az adatkezelési tájékoztatónkban olvasható, amely a Hivatal székhelyén található. A személyes adatok kezelése tekintetében a főbb irányadó jogszabályok a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.).
***********
Kijelentem, hogy az általam fentiekben megadott személyes adataim a valóságnak megfelelnek és a jelen dokumentumban megjelölt célú és időtartamú adatkezeléséhez előzetes tájékoztatás után önkéntesen, minden külső befolyás nélkül járulok hozzá.
…………………………………., 20…, ……………….. hó ……….
………………………………………….. (az érintett aláírása)
5. SZ. MELLÉKLET - ADATKEZELÉSI TÁJÉKOZTATÓ
a Felsőtárkány Község Önkormányzatánál meghirdetett állásra pályázók részére
1. Általános jogi közlemény
A jelen adatvédelmi tájékoztató a Felsőtárkány Község Önkormányzata (mint Adatkezelő) által meghirdetett állásokkal és az azokra történő jelentkezéssel kapcsolatos személyes adatok kezelésére vonatkozó szabályokat, valamint adatkezelésre vonatkozó tájékoztatást tartalmazza.
Azon természetes személyek adatait kezeljük, akik az általunk meghirdetett álláshelyre jelentkeznek közalkalmazotti jogviszony létesítése céljából.
Tájékoztatjuk, hogy személyes adatait az érintett hozzájárulása jogalapon tároljuk. Az adatkezeléssel kapcsolatos kéréseit az alábbi elérhetőségeinken jelezheti felénk.
2. Az adatkezelő megnevezése:
Neve: Felsőtárkány Község Önkormányzata
Székhelye és postacíme: 0000 Xxxxxxxxxxxx, Xx xx 000. xx. Telefonszám: +36/00-000-000
Email cím: xxxxxx@xxxxxxxxxxxx.xx
3. Az adatkezelés jogalapja:
Tájékoztatjuk, hogy az álláspályázattal kapcsolatos adatkezelés az érintett hozzájárulása jogalapon valósul meg.
A fentiek alapján az adatkezelés az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) illetve az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (GDPR) 6. cikk (1) bekezdésének a) pontja szerint az adatkezelés szerződés teljesítéséhez szükséges.
4. Adatkezelés célja:
A meghirdetett álláshely betöltése.
5. Személyes adatok köre:
a természetes személy neve, születési ideje és helye, anyja neve, lakcíme, képesítési adatok, erkölcsi bizonyítvány.
Kérjük, hogy minden esetben valós adatokat adjon meg.
A fentieken kívül azonban nem kérünk és nem is fogadunk el más adat megadását, így kérjük, hogy más személyes adatot, vagy különleges adatot (így pl. etnikai, politikai vagy vallási hovatartozására vonatkozó adatot) ne küldjön, ne adjon meg és ne osszon meg velünk.
A kezelt személyes adatokat kizárólag az álláshely betöltéséhez szükséges mértékig, az ehhez szükséges terjedelemben kezeljük.
6. Adatfeldolgozás, adattovábbítás
Az álláshely betöltése céljából kezelt személyes adatokat kizárólag Önkormányzatunk kezeli.
7. Adatkezelés időtartama:
Az álláspályázat elbírálásáig. A megfelelő jelölt kiválasztását és a kinevezés elfogadását vagy munkaszerződés megkötését követően a többi pályázó adatait, önéletrajzát megsemmisítjük.
8. Adatok tárolása
Az Ön által megadott adatokat papír alapon és digitálisan tároljuk.
9. Az Ön jogai, jogorvoslati lehetőségei
Személyes adatai kezelése esetén Önt számos jog megilleti, amely jogokat a 2. pontban meghatározott valamely elérhetőségre küldött kérelem útján gyakorolhatja.
A személyes adatokhoz való hozzáférés és azok helyesbítésének joga
Személyes adataihoz bármikor jogosult hozzáférni, másolatot kérni, továbbá azokat helyesbíteni vagy frissíteni.
A hozzáférési jog alapján Ön jogosult arra, hogy az alábbiakról információt kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga.
Értjük ennek fontosságát, ezért amennyiben élni kíván ezen xxxxxxxx, vegye fel velünk a kapcsolatot 2. pontban meghatározott valamely elérhetőségen keresztül.
Adathordozhatósághoz való jog
Személyes adatai hordozhatóak, így Ön jogosult arra, hogy tagolt, széles körben használt, géppel olvasható formátumban megkapja azokat. Ez azt jelenti, hogy Ön az általunk kezelt személyes adatait számítógép által olvasható és Ön által más személynek elektronikus úton átadható formátumban kapja meg.
Amennyiben gyakorolni kívánja az adathordozhatósághoz való jogát, vegye fel az Adatkezelővel a kapcsolatot a 2. pontban meghatározott valamely elérhetőségén keresztül.
A személyes adatok törlésének joga
Ön jogosult adatai törlését kérni, amennyiben
a) személyes adataira már nincs szükség azon cél(ok)hoz, amely(ek)re tekintettel azokat begyűjtöttük; vagy
b) visszavonja a személyes adatai kezeléséhez adott korábbi hozzájárulását, és nincs egyéb jogalapja az adatkezelésnek; vagy
c) tiltakozik személyes adatai kezelése ellen;
d) a személyes adatok kezelése nem jogszerűen történik; vagy
e) személyes adatainak törlését a jogszabályoknak való megfelelés indokolja.
Amennyiben törölni kívánja az általunk tárolt személyes adatait, vegye fel velünk a kapcsolatot a 2. pontban meghatározott valamely elérhetőségen keresztül.
Az adatkezelés korlátozásának joga
Ön abban az esetben korlátozhatja személyes adatainak kezelését, amennyiben
a) úgy véli, hogy az Önnel kapcsolatban tárolt személyes adatok nem pontosak; vagy
b) a személyes adatok kezelése nem jogszerűen történik, de ahelyett, hogy a törlésüket kérné, inkább korlátozni szeretné a kezelésüket; vagy
c) személyes adataira nincs többé szükségünk azon cél(ok)hoz, amely(ek) miatt eredetileg begyűjtöttük azokat, Ön azonban igény tart ezen adatokra valamely peres követelés benyújtása, érvényesítése vagy a követeléssel szembeni védekezés céljából vagy
d) Ön tiltakozott személyes adatai kezelése ellen és várja az arra vonatkozó visszaigazolást, hogy az Ön tiltakozással kapcsolatos érdekei felülírják-e az adatkezelés jogalapját.
Amennyiben korlátozni kívánja személyes adatai kezelését, kérjük vegye fel velünk a kapcsolatot 2. pontban meghatározott valamely elérhetőségen keresztül.
A tiltakozás joga
Ön személyes adatainak kezelése ellen bármikor tiltakozhat. Ilyen szándék esetén vegye fel velünk a kapcsolatot a 2. pontban meghatározott valamely elérhetőségen keresztül.
Valamely jog gyakorlásának megtagadása esetén, vagy ha Ön nem elégedett a tőlünk kapott válasszal, akkor személyes adatai védelméhez való jogát polgári bíróság előtt érvényesítheti, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 0000 Xxxxxxxx, Xxxxxxxx Xxxxxxxx xxxxx 00/x.; postacím: 1530 Budapest, Pf.: 5.; telefonszám: x00 (0) 000-0000; email cím: xxxxxxxxxxxxxxx@xxxx.xx) fordulhat.
Jelen nyilatkozat aláírásával elfogadom és kijelentem, hogy az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) alapján készült Adatkezelési Tájékoztatót elolvastam, megértettem és tudomásul vettem. Hozzájárulok, hogy a fentiekben megjelölt személyes adataimat az Adatkezelő, a fentiekben megjelölt adatkezelési céllal kezelje, és felhatalmazást adok az Adatkezelőnek a közölt adatok helyességének ellenőrzésére. Kijelentem továbbá, hogy a jelen nyilatkozat és a nyilatkozatban foglalt hozzájárulások megadása önkéntesen és a megfelelő tájékoztatás birtokában történt.
Kelt: .............. ………………...
....................................................
(név)
6. SZ. MELLÉKLET
SÜTIK
FONTOS:
Sütikre vonatkozólag technikai megvalósítás kapcsán fontos leírás, a NAIH tájékoztatója. Ezt a kivitelező fejlesztőnek javasoljuk, hogy olvassa át.
xxxxx://xxx.xxxx.xx/xxxxx/0000-00-00-xxxxxxxxx-xxxxxxxxxxx-XXXX-0000-0000-X.xxx
A tájékoztató 16. oldalán ezt kell átolvasniuk és ennek figyelembevételével elkészíteni: 3.1. A sütikre vonatkozó követelmények jogi háttere
Süti ablak javasolt szövege:
A weboldal felhasználói élmény fokozása, célzott hirdetések kiszolgálása, valamint kényelmi és statisztikai célból tárol adatokat (Sütik) készülékeden, web szervereken az oldal látogatóiról. Ezen adatok tárolásának módját a "Részletek megjelenítése"-re kattintva tudod módosítani. Ha hozzájárulsz a sütik használatához, kattints az “Elfogadom” gombra. Részletesebb információt a Süti tájékoztató (link) oldalunkon találsz.
Megjegyzés:
A Részletek megjelenítése résznél kellene a xxxxxxxxx által feltérképezhető, az oldalon használt sütiket megmutatni. A cookiebot azért jó, mert lefuttatva ingyenesen összegyűjti a cookiekat és csak be kell másolni.
Így fog kinézni: xxxxx://xxx.xxxxxxxxx.xxx/xx/
alul a süti sávon kattints a show details tab-ra! Ez egy jó példa, de amúgy az információk alapján több jó megoldás is van!
Süti tájékoztató
Mi az a Süti? - Általános tájékoztató a sütikről
A weblap bizonyos funkcióinak működéséhez (pl. beállítások, dobozok becsukása, megnövelése, stb.) és a célzott hirdetésekhez sütikkel (cookie-kal) gyűjt névtelen információkat.
A weboldal cookie-kat, azaz sütiket helyezhet el a látogató böngészésre használt eszközén, amennyiben ezt Ön kifejezetten jóváhagyja a weboldalra való első belépéskor. Fontos, hogy ezek a cookie-k nem az Intézménynél, hanem a látogató böngészésre használt saját eszközén kerülnek elhelyezésre, így a felhasználó az, aki teljes mértékben rendelkezik felettük.
Ha nem engedélyezi őket, számítógépe böngészőjében bármikor beállíthatja a tiltásukat és eltávolításukat:
Cookie kezelés beállítása a Chrome böngészőben Cookie kezelés beállítása a Firefox böngészőben
Cookie kezelés beállítása az Internet Explorer böngészőben
A cookie egy rövid szöveg, amelyet a felkeresett webhely küld el böngészőjébe. Segítségével a webhely megjegyzi a látogatásával kapcsolatos információkat, például az Ön által használt nyelvet és egyéb beállításokat. Ezáltal gördülékenyebbé válhat a következő látogatás, és könnyebb lesz a webhely használata. A cookie-k fontos szerepet játszanak. Nélkülük az internet használata sokkal nehézkesebb lenne.
Többféle célra használjuk fel a cookie-kat. Használatukkal például megjegyezzük a biztonságos keresésre vonatkozó beállításait, hogy ezáltal releváns hirdetéseket jelenítsünk meg Önnek, számláljuk, hogy hány látogató érkezett az adott oldalra, megkönnyítjük a szolgáltatásainkra való regisztrációt, és megvédjük az adatait.
Láthatja a Google által használt cookie-k listáját, és megtudhatja, hogy a Google és partnerei miként használnak cookie-kat a hirdetésekben. Azt, hogy miként védjük az Ön adatait a cookie- k és egyéb információk használata közben, adatvédelmi irányelveink ismertetik.
Még több: xxxxx://xxx.xxxxxx.xxx/xxxxxxxx/xxxxxxxxxxxx/xxxxxxx/
Adatkezelési tájékoztató
- Látogatói adatok (sütik) kezelésére -
1. Általános jogi közlemény
A jelen adatkezelési tájékoztató a Felsőtárkány Község Önkormányzata (mint Adatkezelő) által üzemeltetett xxxxx://xxx.xxxxxxxxxxxx.xx (továbbiakban: weboldal) által kezelt látogatói adatokkal kapcsolatos adatkezelésre vonatkozó tájékoztatást tartalmazza.
2. Az adatkezelő megnevezése:
Neve: Felsőtárkány Község Önkormányzata
Székhelye és postacíme: 0000 Xxxxxxxxxxxx, Xx xx 000. xx. Telefonszám: +36/00-000-000
Email cím: xxxxxx@xxxxxxxxxxxx.xx Weboldal: xxxxx://xxx.xxxxxxxxxxxx.xx/
3. A sütik kapcsán kezelt adatok köre
A weboldal megtekintése során a látogató gépén elhelyezett sütik/cookie-k használata segítségével automatikusan rögzítésre kerülhet a látogató látogatásának kezdő és befejező időpontja, IP-címe, illetve egyes esetekben – a látogató számítógépének beállításától függően
– a böngésző, az operációs rendszer típusa, nyelve, a látogató eszközének paraméterei, a látogató által a weboldalon megadott beállítások, a meglátogatott aloldalak és az azokon eltöltött idő.
Az Adatkezelő ezen adatokat nem kapcsolja össze és nem is tudja összekapcsolni személyes adatokkal, ezek megosztásáról Ön dönt a részünkre adott kifejezett felhatalmazás, valamint a böngészőjében megadott cookie-beállításaival.
4. Az adatkezelés célja
A cookie-k a felhasználói élmény javítását szolgálják. A cookie-k használata révén a rendszer automatikusan statisztikai adatokat generál a látogatás időtartamáról, a meglátogatott oldalakról annak érdekében, hogy a weboldal szolgáltatásait az Adatkezelő tovább tudja fejleszteni, optimalizálni, még inkább a látogató igényeire szabni. Az Adatkezelő a sütiket arra is felhasználja, hogy a következő látogatás során a látogató korábbi tevékenységével összhangban lévő tartalmat nyújtson a látogató számára, automatikusan be tudja tölteni annak saját beállításait, így kényelmesebbé téve a weboldal használatát.
Az Adatkezelő a látogatókra vonatkozó valamennyi adatot és tényt bizalmasan kezel, azokat kizárólag a szolgáltatásai fejlesztéséhez és saját statisztika készítéséhez használja fel. Az ezekről készült kimutatások publikálása csak olyan formában történik, amely nem alkalmas az egyes látogatók egyedi beazonosítására.
Személyes adatait hozzájárulása nélkül az Adatkezelő nem továbbítja, nem teszi közzé, nem adja el, illetve nem adja bérbe és harmadik személy részére nem teszi hozzáférhetővé, ha csak ezen adatvédelmi tájékoztatóban foglalt célok miatt szükséges, vagy azt jogszabály írja elő.
5. Az adatkezelés időtartama
A session ID-k a weboldal elhagyásakor automatikusan törlődnek, ugyanakkor a cookie-k egy másik része abban nyújt segítséget az Adatkezelő számára, hogy használatuk révén az Adatkezelő tisztában legyen a látogató korábbi beállításaival, az általa megadott adatokkal, információkkal, weboldal használatának egyéb jellemzőivel, hogy azokat a következő látogatáskor ne kelljen ismét megadnia, valamint beállításai automatikusan betöltődjenek egy kellemesebb felhasználói élmény elérése érdekében. Ezeknek a sütiknek a lejárati ideje változó, de jellemzően addig vannak jelen a látogató eszközén, ameddig azokat a látogató nem törli.
Az Adatkezelő nem vállal felelősséget a már törölt, de az internetes keresőprogramok közreműködésével mégis archiválásra került, korábbi oldalaiért. Ezek eltávolításáról a keresőoldal működtetőjének kell gondoskodni.
6. Az adatokhoz hozzáférők köre, adatfeldolgozók
Adatait az Adatkezelő illetékes munkatársai ismerhetik meg. Továbbá az alábbi adatfeldolgozók férhetnek hozzá:
Adatkezelő IT szolgáltatója
Adatkezelő a weboldal napi üzemeltetéshez adatfeldolgozókat vesz igénybe, akik az IT szolgáltatásokat (szerverműködtetés, fejlesztési és üzemeltetési feladatok ellátása, rendszergazda- és tárhelyszolgáltatás) biztosítja, és ennek keretében – a vele fennálló szerződés tartamáig – tárolja a weboldalon megadott személyes adatokat a weboldal kiszolgáló szerveren.
IT (weboldal)Webtárhely szolgáltatója és fejlesztője, adatfeldolgozó partner: Adatfeldolgozó neve: MAXER Hosting Kft…………..
Székhely: 0000 Xxxx, Xxxxx Xxxxx xxxx 00. xx.
Postacím: 0000 Xxxx, Xxxxx Xxxxx xxxx 00.………………………...
Telefonszám: x0000000000…………………
E-mail cím: xxxx@xxxxx.xx………………………
Weboldal: xxxxx://xxxxx.xx/…………………….
7. Adatok tárolása
Az Ön által megadott adatokat digitálisan tároljuk.
8. Az Ön jogai, jogorvoslati lehetőségei
Személyes adatai kezelése esetén Önt számos jog megilleti, amely jogokat a 2. pontban meghatározott valamely elérhetőségre küldött kérelem útján gyakorolhatja.
A személyes adatokhoz való hozzáférés és azok helyesbítésének joga
Személyes adataihoz bármikor jogosult hozzáférni, másolatot kérni, továbbá azokat helyesbíteni vagy frissíteni.
A hozzáférési jog alapján Ön jogosult arra, hogy az alábbiakról információt kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga.
Értjük ennek fontosságát, ezért amennyiben élni kíván ezen xxxxxxxx, vegye fel velünk a kapcsolatot 2. pontban meghatározott valamely elérhetőségen keresztül.
Adathordozhatósághoz való jog
Személyes adatai hordozhatóak, így Ön jogosult arra, hogy tagolt, széles körben használt, géppel olvasható formátumban megkapja azokat. Ez azt jelenti, hogy Ön az általunk kezelt személyes adatait számítógép által olvasható és Ön által más személynek elektronikus úton átadható formátumban kapja meg.
Amennyiben gyakorolni kívánja az adathordozhatósághoz való jogát, vegye fel az Adatkezelővel a kapcsolatot a 2. pontban meghatározott valamely elérhetőségén keresztül.
A személyes adatok törlésének joga
Ön jogosult adatai törlését kérni, amennyiben
a) személyes adataira már nincs szükség azon cél(ok)hoz, amely(ek)re tekintettel azokat begyűjtöttük; vagy
b) visszavonja a személyes adatai kezeléséhez adott korábbi hozzájárulását, és nincs egyéb jogalapja az adatkezelésnek; vagy
c) tiltakozik személyes adatai kezelése ellen;
d) a személyes adatok kezelése nem jogszerűen történik; vagy
e) személyes adatainak törlését a jogszabályoknak való megfelelés indokolja.
Amennyiben törölni kívánja az általunk tárolt személyes adatait, vegye fel velünk a kapcsolatot a 2. pontban meghatározott valamely elérhetőségen keresztül.
Az adatkezelés korlátozásának joga
Ön abban az esetben korlátozhatja személyes adatainak kezelését, amennyiben
a) úgy véli, hogy az Önnel kapcsolatban tárolt személyes adatok nem pontosak; vagy
b) a személyes adatok kezelése nem jogszerűen történik, de ahelyett, hogy a törlésüket kérné, inkább korlátozni szeretné a kezelésüket; vagy
c) személyes adataira nincs többé szükségünk azon cél(ok)hoz, amely(ek) miatt eredetileg begyűjtöttük azokat, Ön azonban igény tart ezen adatokra valamely peres követelés benyújtása, érvényesítése vagy a követeléssel szembeni védekezés céljából vagy
d) Ön tiltakozott személyes adatai kezelése ellen és várja az arra vonatkozó visszaigazolást, hogy az Ön tiltakozással kapcsolatos érdekei felülírják-e az adatkezelés jogalapját.
Amennyiben korlátozni kívánja személyes adatai kezelését, kérjük vegye fel velünk a kapcsolatot 2. pontban meghatározott valamely elérhetőségen keresztül.
A tiltakozás joga
Ön személyes adatainak kezelése ellen bármikor tiltakozhat. Ilyen szándék esetén vegye fel velünk a kapcsolatot a 2. pontban meghatározott valamely elérhetőségen keresztül.
Valamely jog gyakorlásának megtagadása esetén, vagy ha Ön nem elégedett a tőlünk kapott válasszal, akkor személyes adatai védelméhez való jogát polgári bíróság előtt érvényesítheti, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 0000 Xxxxxxxx, Xxxxxxxx Xxxxxxxx xxxxx 00/x.; postacím: 1530 Budapest, Pf.: 5.; telefonszám: x00 (0) 000-0000; email cím: xxxxxxxxxxxxxxx@xxxx.xx) fordulhat.
Kelt: …………………………………..
7. SZ. MELLÉKLET - TÁJÉKOZTATÓ NEM TERMÉSZETES SZEMÉLY TERMÉSZETES SZEMÉLY KÉPVISELŐJÉNEK SZEMÉLYES
ADATKEZELÉSÉHEZ
Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx.
ADATKEZELÉSI TÁJÉKOZTATÓ
AZ ÉRINTETT ADATAI* | |
Név | |
A képviselt cég neve | |
Telefonszám | |
E-mail cím | |
Egyéb személyes adatok (az adattakarékosság és célhoz kötöttség alapján feltétlen fontos egyéb adatok) | |
AZ ADATKEZELŐ ADATAI | |
Az adatkezelő neve | Felsőtárkány Község Önkormányzata 0000 Xxxxxxxxxxxx, Xx xx 000. xx. |
A Társaság képviselője | |
A Társaság elérhetősége | +36/00-000-000 |
Az adatkezelés jogalapja | a szerződő partner jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont) |
Az adatkezelés célja | szerződés teljesítése, üzleti kapcsolattartás |
A személyes adatok címzettje(i) | a Hivatal vezetője, pénzügyi feladatokat ellátó dolgozók |
A személyes adatok tárolásának időtartama | az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig |
A személyes adatok adatfeldolgozásra átadásra kerülnek könyvelési és egyéb feladatok ellátása céljából | |
További információ | |
Tájékoztatás az érintett jogairól
Felhívjuk figyelmét hogy Xxxxx, mint Önkormányzatunknál személyes adatok kezelésében érintettnek
a. joga van ahhoz, hogy részletesen tájékozódhasson minden tényről, amely az Ön személyes adatainak kezelésével kapcsolatos (így különösen a személyes adatai kezelésének céljáról és jogalapjáról, az adatkezelésre és adatfeldolgozásra jogosult személyek köréről, az adatkezelés időtartamáról, az adatok megismerésére jogosult személyek köréről, az Ön adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire valamint a vonatkozó főbb jogszabályi helyekről),
b. kérheti a személyes adatainak kiegészítését, helyesbítését, törlését vagy korlátozását,
c. joga van az adathordozhatósághoz (amennyiben a személyes adatok kezelése automatizált módon történik), valamint
d. a törvényben meghatározott esetekben tiltakozhat az Ön személyes adatainak kezelése ellen, illetve
e. jogosult arra, hogy személyes adatainak kezeléséhez adott hozzájárulását (amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) pontja) bármikor ingyenesen visszavonja (xxxxxx@xxxxxxxxxxxx.xx). A hozzájárulás visszavonása nem érinti a visszavonás előtti – hozzájáruláson alapuló – adatkezelés jogszerűségét.
f. joga van továbbá a felügyeleti hatósághoz panaszt benyújtani (Nemzeti Adatvédelmi és Információszabadság Hatóság, xxxx://xxxx.xx, telefonszám: x00 (0) 000-0000, postacím: 1530 Budapest, Pf.: 5., e-mail: xxxxxxxxxxxxxxx@xxxx.xx), illetve jogorvoslatért bírósághoz fordulni. Az adatvédelmi perek elbírálása a törvényszék hatáskörébe tartozik, a per – az Ön választása szerint – az Ön lakhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Amennyiben Ön külföldi állampolgár, úgy a szokásos tartózkodási helye, illetve munkahelye szerint felügyeleti Hatósághoz is benyújthatja panaszát.
Kérjük Önt, hogy mielőtt a felügyeleti hatósághoz vagy bírósághoz fordulna panaszával
– egyeztetés és a felmerült probléma minél gyorsabb megoldása érdekében – keresse meg Társaságunkat.
A személyes adatok kezelése tekintetében a főbb irányadó jogszabályok a GDPR (természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete), illetve az Infotv. (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény).
További információ az adatkezelési tájékoztatónkban olvasható, amely a társaság székhelyén található.
A tájékoztatásban foglaltakat tudomásul vettem. Kijelentem, hogy az általam fentiekben megadott személyes adataim a valóságnak megfelelnek.
Kelt: …………………………………………………..
……………………………………………….. aláírás
8. SZ. MELLÉKLET - ADATVÉDELMI
INCIDENS
NYILVÁNTARTÁSA
Felsőtárkány Község Önkormányzata
JEGYZŐKÖNYV ADATVÉDELMI INCIDENSRŐL
Felsőtárkány Község Önkormányzatánál
Az érintett személyes adatok köre:
Az adatvédelmi incidenssel érintettek köre és száma:
Az adatvédelmi incidens időpontja:
Az adatvédelmi incidens körülményei és hatásai:
Az adatvédelmi incidens elhárítására megtett intézkedések:
Az adatvédelmi incidenssel kapcsolatos egyéb adatok:
Kelt:
Aláírás:
9. SZ. MELLÉKLET
KÉRELEM KÖZÉRDEKŰ ADATOK IGÉNYLÉSÉHEZ
Kérelmezett megnevezése: ……………………………………………………
Kérelmező neve:...................................................................................................
Kérelmező értesítési címe:....................................................................................
...............................................................................................................................
Az igényelt közérdekű, vagy közérdekből nyilvános adat pontos meghatározása:
................................................................................................................................
................................................................................................................................
................................................................................................................................
Az adatokról másolat készítését:
kérem
nem kérem.
Kérelmemre adott választ:
személyesen kívánom átvenni postai úton kérem megküldeni
elektronikus úton kérem megküldeni. Egyéb közlendők:
...............................................................................................................................
...............................................................................................................................
Kelt:
Kérelmező
10. SZ. MELLÉKLET - ADATKEZELÉSI
KÉRELMEK NYILVÁNTARTÁSA
Felsőtárkány Község Önkormányzata
JEGYZŐKÖNYV ADATKEZELÉSI KÉRELEMRŐL
Felsőtárkány Község Önkormányzatánál
Az adatkezelési kérelem bekövetkeztének időpontja és helye:
Az adatkezelési kérelem leírása:
Az érintett személyes adatok köre és számossága:
Az adatkezelési kérelem megválaszolására megtett intézkedés:
Az adatkezelési kérelemmel kapcsolatos egyéb adat/információ:
Kelt:
Aláírás:
11. SZ. MELLÉKLET - ADATFELDOLGOZÓI SZERZŐDÉS
(kiegészítés)
Az adatfeldolgozó adatai:
Cégnév:
Székhely:
Adószám:
Képviselő neve:
Telefonszám:
E-mail cím:
Honlap:
továbbiakban: Adatfeldolgozó
Az adatkezelő adatai:
Cégnév:
Székhely:
Adószám:
Képviselő neve:
Telefonszám:
E-mail cím:
Honlap:
továbbiakban: Adatkezelő I.Általános rendelkezések
1. Felek rögzítik, hogy közöttük …………………. napján ……. szerződés jött létre (továbbiakban: Alapszerződés), amely alapján az Adatfeldolgozó
…………………..tevékenységet végez/… feladatokat lát el az Adatkezelő részére.
2. Megbízó a kiegészítő szerződés értelmében a GDPR fogalmai szerint adatkezelőnek, megbízott Társaságunk pedig adatfeldolgozónak minősül.
3. Jelen szerződés az Alapszerződés elválaszthatatlan mellékletét képezi. Az itt foglalt feltételeket akkor kell alkalmazni, amikor Társaságunk az adatkezelőtől természetes személyek adatait veszi át és azokat a megbízó adatkezelő érdekében és nevében kezeli és feldolgozza.
II.Adatfeldolgozás tárgya
Az Alapszerződés jogszerű teljesítéséhez feltétlenül szükséges, a megbízóval meghatározott jogviszonyban lévő, érintett természetes személyek átvett adatainak kezelése, a számvitelről szóló 2000. évi C. törvény (a továbbiakban: Számviteli törvény) 166. §-a szerint számviteli bizonylatnak minősülő okmányok (számla, szerződés, megállapodás, kimutatás, hitelintézeti bizonylat, bankkivonat, jogszabályi rendelkezés, egyéb ilyennek minősíthető irat) feldolgozásával.
III.Adatkezelés- és feldolgozás időtartama
Az Alapszerződés hatályával azonos, figyelemmel a Számviteli törvény 169. §-a szerinti 8 éves iratmegőrzési időre.
IV.Adatkezelés- és feldolgozás jellege és célja
Adatfeldolgozó Társaságunk garantálja, hogy az általa az Alapszerződés keretében megkapott és kezelt személyes adatokat más célból nem használja fel. Célhoz kötötten csak a Megbízót terhelő adó-, járulék-, és számviteli kötelezettségek teljesítését, valamint a kapcsolódó munkajogi és bérszámfejtési feladatokat végzi el.
V.Személyes adatok típusai
1. Természetes személyek személyes adatai:
▪ név (születési név, előző név, titulusok)
▪ születési adatok (hely, idő, szülők neve)
▪ nem
▪ állampolgárság
▪ családi állapot
▪ adóazonosító jel
▪ társadalombiztosítási azonosító jel
▪ lakcím
▪ bankszámlaszám
▪ egyéni vállalkozó igazolványszáma, adószáma, őstermelő azonosító száma
▪ …………………………………………..
▪ ……………………………………………
2. Különleges adatok, amennyiben azokhoz törvény adójogi vagy munkajogi következményeket rendel
▪ egészségügyi adatok (pl. adókedvezményre jogosító betegség)
▪ szakszervezeti tagság
▪ ………………………………..
▪ ………………………………..
VI.Érintett személyek kategóriái
Az adatfeldolgozó igénybevételéhez nem kell az érintettek beleegyezését kérni. Az adatkezelő feladata az érintettek kapcsolódó tájékoztatása.
▪ munkavállalók
▪ munkavégzésre irányuló egyéb jogviszonyban állók
▪ megbízótól egyéb jogcímen juttatásban részesülő személyek (pl. megajándékozottak)
▪ munkavállalók családtagjai (törvényi felhatalmazás alapján)
▪ szerződő partnerek (beszállítók, vevők)
▪ …………………………………
▪ …………………………………
VII.Megbízó adatkezelő jogai és kötelezettségei
1. Az adatkezeléssel érintett természetes személyek tájékoztatása, ha hozzájárulásuk jogszabályi előírás, akkor azok beszerzése.
2. Szerződésben meghatározott feladatokkal kapcsolatos utasításai jog.
3. Szerződésben meghatározott feladatokkal kapcsolatos ellenőrzési jog, beleértve az adatfeldolgozónál való helyszíni ellenőrzést is.
4. Felelősség az adatfeldolgozónak adott utasítások jogszerűségéért.
5. Jelen szerződés aláírásával általános felhatalmazást ad adatfeldolgozó Társaságunknak további adatfeldolgozó (alvállalkozó) igénybevételére a későbbiekben részletezett eljárás betartása mellett.
VIII.Adatfeldolgozó Társaságunk jogai és kötelezettségei
1. Tevékenysége során kizárólag a Megbízó adatkezelő írásbeli utasítása alapján jár el. Köteles ugyanakkor haladéktalanul jelezni, ha a Megbízó adatkezelő utasítása vagy annak végrehajtása jogszabályba ütközne.
2. Biztosítja, hogy a személyes adatokhoz való hozzáférésre feljogosított képviselői az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséggel tartoznak, törvény alapján vagy egyéni külön megállapodás alapján.
3. Megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. A megfelelő szint meghatározásához figyelembe veszi
▪ a tudomány és technológia állását,
▪ a megvalósítás költségeit,
▪ az adatkezelés jellegét, hatókörét, körülményeit és célját,
▪ a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat.
4. Gondoskodik arról, hogy a tárolt adatokhoz belső rendszeren keresztül vagy közvetlen hozzáférés útján kizárólag az arra feljogosított személyek, és kizárólag az adatkezelés céljával összefüggésben férjenek hozzá.
4. Intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező képviselői kizárólag a Megbízó adatkezelő utasításának megfelelően kezelhessék az adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
4. Gondoskodik a felhasznált eszközök szükséges, rendszeres karbantartásáról, fejlesztéséről.
4. Az adatokat tároló eszközt megfelelő fizikai védelemmel ellátott zárt helyiségben helyezi el, gondoskodik annak fizikai védelméről is.
4. Megfelelő ismerettel és gyakorlattal rendelkező személyeket köteles igénybe venni a feladatok ellátása érdekében. Köteles gondoskodni az általa igénybe vett személyek felkészítéséről a betartandó adatvédelmi jogszabályi rendelkezések, a szerződésben foglalt kötelezettségek, valamint az adatfelvétel célja és módja tekintetében.
4. Együttműködik a Megbízó adatkezelővel, segíti a GDPR 32–36. cikk (Adatbiztonság, Adatvédelmi hatásvizsgálat és előzetes konzultáció) szerinti kötelezettségek teljesítésében. Rendelkezésére bocsát minden olyan információt, amely a GDPR 28. cikkében (Az adatfeldolgozó) meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti a végzendő auditokat, beleértve a helyszíni vizsgálatokat is.
IX.Adatok visszaszolgáltatása és megőrzése
Társaságunk a feldolgozott számviteli bizonylatokat legkésőbb a tárgyévet követő év május 31-ig visszaszolgáltatja. Az elektronikusan kezelt adatokat, listákat, nyilvántartásokat az Alapszerződés megszűnéséig, de legkésőbb a Számviteli törvényben előírt bizonylat-megőrzési ideig (8 évig) tárolja.
X.További adatfeldolgozó igénybevétele
1. Adatfeldolgozó Társaságunk további adatfeldolgozót csak a jogszabályokban meghatározott feltételek teljesítése mellett vesz igénybe.
2. Az ilyenkor követendő eljárás a következő: előzetesen tájékoztatja a Megbízó adatkezelőt a további adatfeldolgozó személyéről, valamint az általa végzendő feladatokról. Ha ezen tájékoztatás alapján a Megbízó kifogást emel, a további adatfeldolgozó igénybevételére az adatfeldolgozó Társaságunk kizárólag a kifogásban megjelölt feltételek teljesítése esetén jogosult. A további adatfeldolgozó szolgáltatás igénybevételére Társaságunk köteles írásba foglalt szerződést kötni, és abban a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket előírni, mint a jelen szerződésben. Ha a további adatfeldolgozó nem teljesíti ezen kötelezettségeit, Társaságunk teljes felelősséggel tartozik a Megbízó adatkezelő felé.
XI.Szerződés megszűnése
1. A jelen szerződés felmondására, megszűnésére a felek között létrejött Alapszerződés rendelkezései az irányadók.
2. Az Alapszerződés megszűnése jelen adatfeldolgozási szerződés megszűnését is eredményezi.
3. A megszűnést követően a Társaságunk minden birtokában levő számviteli bizonylatot, nyilvántartást az Alapszerződésben írtak szerint visszaszolgáltat a Megbízó adatkezelőnek. Az elektronikusan kezelt adatokat, listákat, nyilvántartásokat ilyen módon továbbítja. Amennyiben ezek elektronikus fogadására a Megbízó adatkezelő nem képes, az adatokat papíralapon (kinyomtatva) adja át, ezzel egyidejűleg a Megbízó adatkezelőtől származó minden személyes adatot és ezeket tartalmazó másolatot töröl saját nyilvántartásából és eszközeiről. Az adatok, nyilvántartások, számviteli bizonylatok (papíralapú és elektronikus is) törvényben előírt megőrzéséről ezt követően a Megbízó Adatkezelő köteles gondoskodni.
XII.Záró rendelkezések
1. A jelen szerződésben nem szabályozott kérdésekben a Polgári Törvénykönyvről szóló. 2013. évi V. törvény, valamint a GDPR és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény rendelkezései az irányadók.
2. A Megbízó adatkezelő, illetve egyedi szerződés kiegészítése esetén mindkét szerződő fél cégszerű aláírásával igazolja, hogy a szerződésben foglaltakat megismerte, megértette és azokat elfogadja.
Kelt: 2018. hó nap
Adatfeldolgozó Adatkezelő
GDPR TUDNIVALÓK
SEGÉDLET
Tartalomjegyzék:
(1) Mi az a GDPR?
(2) Mi az új a GDPR-ban?
(3) Kikre vonatkozik a GDPR?
(4) Mit kell tenni?
(5) Mi a személyes adat?
(6) Mit jelent a személyes adatok álnevesítése?
(7) Mik az adatvédelmi alapelvek?
(8) Hogyan kezelhetünk személyes adatokat?
(9) Mi jelent érvényes hozzájárulást a személyes adatok gyűjtéséhez?
(10) Lehet-e adatokat kezelni marketing céllal a szervezet jogos érdeke alapján (leiratkozás, opt-out)?
(11) Milyen tájékoztatást kell adni az érintett számára?
(12) Mi az adattörléshez való jog („az elfeledtetéshez való jog”)?
(13) Mi az adathordozhatósághoz való jog?
(14) Mi a tiltakozáshoz való jog (a leiratkozáshoz való jog / opt-out)?
(15) Mik a profilalkotásra vonatkozó új szabályok?
(16) Mit mond a Rendelet az adatvédelmi hatásvizsgálatról?
(17) Mik az adatvédelmi tisztviselőre vonatkozó követelmények?
(18) Mi az az „Egyablakos Ügyintézés”?
(19) Milyen új szabályok vonatkoznak a nemzetközi adattovábbításokra?
(20) Mik az új adatbiztonsági kötelezettségek?
(21) Mik az új szabályok adatvédelmi incidens esetén?
(22) Mit jelent az elszámoltathatóság alapelve?
(23) A munkahelyi adatkezelések alapvető követelményei - Bevezető (NAIH tájékoztató)
(24) A munkahelyi adatkezelés során érvényesülő munkahelyi alapelvek
(25) Adatkezelés jogalapjai munkahelyi adatkezelés során
(26) Az előzetes tájékoztatás követelménye a munkahelyi adatkezelés során
(27) Adattovábbítás külföldre munkahelyi adatkezelés kapcsán
(28) Anoním álláshírdetések
(29) Az álláspályázatra jelentkező munkavállaló valamely közösségi oldalon létrehozott profiljának megtekintése
(30) A pályázatok, önéletrajzok megőrzése
(31) A pályázati anyagok kezelésével kapcsolatos egyéb adatvédelmi követelmények
(32) A magán-munkaközvetítő által kezelhető adatok
(33) Alkalmassági vizsgálatok
(34) A munkáltató által előírt alkalmassági vizsgálatok követelményei
(35) A munkaviszony fennállta alatt végzett munkahelyi tréningek adatvédelmi követelményei
(36) A munkavállalók feddhetetlen előéletének igazolása
(37) Munkahelyi kamerás megfigyelés
(38) A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail fiók használatának ellenőrzése
(39) A munkáltató által a munkavállaló rendelkezésére bocsátott laptop, számítógép, tablet ellenőrzése
(40) Az internethasználat ellenőrizhetősége
(41) A „céges mobiltelefon” használatának ellenőrizhetősége
(42) GPS navigációs rendszer alkalmazhatósága
(43) Biometrikus rendszerek alkalmazhatósága
(44) A belső visszaélés-bejelentési rendszer (whistleblowing) adatvédelmi követelményei
(45) Adatfeldolgozói szerződés tartalma a GDPR rendelet szerint
(46) Érintett hozzáférési joga
(47) Helyesbítéshez való jog
(48) Törléshez való jog “elfeledtetéshez való jog”
(49) Az adatkezelés korlátozásához való jog
(50) Adathordozhatósághoz való jog
(51) Tiltakozáshoz való jog
(52) Adatkezelő feladatai
(53) Adatkezelés biztonsága
(54) Fotó, képfelvétel felhasználása
(55) Webáruházak adatvédelme
(56) E-DM tájékoztató
(1) Mi az a GDPR?
Az általános adatvédelmi rendelet („a Rendelet”) egy új EU-s rendelet, amelyet 2016 második negyedévében fogadtak el, és felváltja a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46 Irányelvet („az Irányelv”). A cégek/szervezetek számára lényeges, hogy megértsék és betartsák a Rendeletet, mivel ez határozza meg a személyes adatok kezelésének szabályait, valamint az érintett személyek adatvédelmi jogait.
(2) Mi az új a GDPR-ban?
A Rendelet a jelenleg is hatályos adatvédelmi alapelveken alapul, de sokkal részletesebb, mint az Irányelv:
- A Rendelet tárgyi és földrajzi hatálya szélesebb. A személyes adatok meghatározása is bővült. Így több adatkezelési művelet tartozik a Rendelet hatálya alá. A szélesebb földrajzi hatálynak köszönhetően a Rendelet több EU-n kívüli szervezetre alkalmazandó.
- A Rendelet új jogokat biztosít az érintett személyeknek, például szolgáltatóváltás esetén jogot a személyes adatok továbbvitelére (az adathordozhatósághoz való jog), valamint új kötelezettségeket határoz meg az adatkezeléshez kapcsolódóan, például:
- az adatvédelmi incidensek bejelentése;
- az adatvédelem beépítése a projektekbe már az induláskor (beépített adatvédelem);
- annak biztosítása, hogy már a kiindulási adatvédelmi beállítások blokkolják a kapcsolatfelvételt (alapértelmezett adatvédelem);
- az új termékeknek és szolgáltatásoknak az érintett személyek adatvédelmi jogaira gyakorolt hatásának vizsgálata (adatvédelmi hatásvizsgálat).
- A Rendelet nagyon részletesen kiterjeszti és pontosítja a szervezetek és az egyének adatvédelmi jogaira vonatkozó jelenlegi kötelezettségeket, például:
- a hozzájárulás egyértelmű kell, hogy legyen, a szervezetek szélesebb körű tájékoztatást kell, hogy adjanak az érintett személyeknek;
- az érintettek „elfeledtetéshez” való joga, ami azt jelenti, hogy szélesebb körben jogosultak személyes adataikat töröltetni).
Az Irányelvvel ellentétben, amely csak elérendő célokat fogalmaz meg a tagállamok számára, így a jogszabály szövegét a tagállamok helyi törvények formájában kellett, hogy átültessék a nemzeti jogba, a Rendelet közvetlenül alkalmazandó az EU minden tagállamában (azaz nincs szükség külön helyi törvényekre az alkalmazásához).
(3) Kikre vonatkozik a GDPR?
A Rendelet az alábbi szervezetekre vonatkozik:
- Az Európai Unióban tevékenységi hellyel rendelkező szervezetekre. Abban az esetben is, ha az adatkezelés az Európai Unión kívül történik, vagy ha a személyes adat nem az Európai Unióban élő személyhez kapcsolódik.
- Az Európai Unióban tevékenységi hellyel nem rendelkező szervezetre akkor is, ha az adatkezelés áruknak vagy szolgáltatásoknak az Európai Unióban való nyújtásához kapcsolódik (ideértve az ingyenes árukat és szolgáltatásokat is), vagy ha ezek a szervezetek egyének viselkedését figyelik meg.
Ennek következtében bármely, az Európai Unióban tevékenységi hellyel rendelkező, vagy az EU-ban árukat vagy szolgáltatásokat kínáló, vagy az EU-ban egyének viselkedését megfigyelő direkt és interaktív marketing tevékenységet folytató cég a GDPR hatálya alá tartozik.
(4) Mit kell tenni?
A Rexxxxxx xxtal bevezetett új jogi kötelezettségeknek meg kell felelni, és azok általános gyakorlattá kell, hogy váljanak.
A megfelelési folyamat lépései:
- Az személyes adatokat tartalmazó folyamatokat fel kell térképezni, adatvagyonleltárt kell készíteni.
- Az adatvédelmi szabályzatok és adatvédelmi tájékoztatók, valamint a szerződéses feltételek felülvizsgálata és frissítése;
- Új technikai és szervezési folyamatok bevezetése (pl. adatvédelmi incidensek kötelező bejelentéséhez); - A meglévő adatbiztonsági intézkedések felülvizsgálata;
- Az adatkezelési szerződések, valamint az adatfeldolgozókkal, partnerekkel és ügyfelekkel való egyéb megállapodások felülvizsgálata;
- Az Európai Unión kívüli országokba történő nemzetközi adattovábbítások jogalapjának felülvizsgálata.
Az új Rendelet bevezeti ezen kívül az elszámoltathatóság fogalmát is. Ennek alapján a szervezeteknek képeseknek kell lenniük arra, hogy a nemzeti adatvédelmi hatóságoknak bizonyítsák a jogszabályi előírásoknak való megfelelést. A megfelelés az alapelvnek több kötelezettséggel is jár, úgymint:
- A szervezet tevékenysége során az adatvédelem beépítése a projektekbe már az induláskor (beépített adatvédelem);
- Annak biztosítása, hogy már a kiindulási adatvédelmi beállítások blokkolják a kapcsolatfelvételt (alapértelmezett adatvédelem);
- Az adatvédelmi szabályzatok és eljárások dokumentálásának kötelezettsége.
(5) Mi a személyes adat?
A Rendelet úgy határozza meg a személyes adatot, mint „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.
A Rendelet megállapítja, hogy egyes „online” adatok személyes adatnak minősülhetnek, például az online azonosítók, helymeghatározó adatok, azonosító számok (pl. eszközazonosítók, süti azonosítók, IP-címek és rádiófrekvenciás azonosító címkék). Az új Rendelet szövegének fényében jogi szempontból először azt kell megvizsgálni, hogy a digitális formában kezelt adatok személyes adatnak minősülnek-e. Egyértelmű például, hogy az internetszolgáltatók által tárolt statikus IP-cím személyes adat, mert alkalmas az érintett azonosítására. Az 8 azonban csak a későbbi joggyakorlatból derül majd ki, hogy a böngészők vagy eszközök által használt azonosítók személyes adatnak minősülnek-e, ha egy azonos érdeklődési körrel rendelkező csoport tagjaként azonosítanak egy érintett személyt, de őt magát egyértelműen nem.
(6) Mit jelent a személyes adatok álnevesítése?
A Rendelet új koncepcióként vezeti be az álnevesítést. Az adatok álnevesítése csökkenti az egyének számára az adatvédelmi kockázatot, mivel ennek során a személyes adatokat adatbiztonságot fokozó technikákkal kezelik (pl. egy irányú kivonatolás), így az egyén többé már nem azonosítható kizárólag a létrejött adathalmazból. Az álnevesített adat kiegészítő információ – mint például egy kulcs – segítségével újra azonosíthatóvá válik. Bár még mindig a személyes adat egyik formájaként, de a Rendelet rugalmasabban kezeli az álnevesített adatot. Álnevesített adatok használatával a direkt és interaktív marketing tevékenységet folytató cégek például könnyebben végezhetnek profilalkotást, valamint rugalmasabban határozhatják meg, használható-e az adat az adatgyűjtés céljától eltérő célra. Az adatvédelemnek a projektbe már az induláskor való
beépítésével (beépített adatvédelem), továbbá már a kiindulási adatvédelmi beállítások kapcsolatfelvétel blokkolása céljából való meghatározásával (alapértelmezett adatvédelem) kapcsolatos kötelezettségeknek történő megfelelés során az álnevesítést figyelembe kell venni. Ahol ez megvalósítható, vizsgálják meg, tudják-e álnevesíteni az általuk kezelt személyes adatokat, és ha igen, használják ki a Rendelet által az álnevesített személyes adatok kezelésével kapcsolatban biztosított előnyöket.
(7) Mik az adatvédelmi alapelvek?
A Rendelet a személyes adatok kezeléséhez kapcsolódóan alapelveket határoz meg, amelyek nagyon hasonlóak az Irányelvben foglaltakhoz.
Ezek szerint:
(1) a személyes adatok kezelését jogszerűen, tisztességesen és az egyének számára átlátható módon kell végezni (jogszerűség, tisztességes eljárás és átláthatóság);
(2) a személyes adatok gyűjtése meghatározott egyértelmű és jogszerű célból kell, hogy történjen, és nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség);
(3) a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (adattakarékosság);
(4) a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük (pontosság);
(5) a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (korlátozott tárolhatóság);
(6) a személyes adatok kezelését úgy kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítani lehessen a személyes adatok megfelelő biztonságát (integritás és bizalmas jelleg).
(8) Hogyan kezelhetünk személyes adatokat?
A cégek akkor gyűjthetnek és kezelhetnek személyes adatokat, ha az adatkezelést a Rendeletben leírt jogalapok valamelyike alapján végzik. A Rendelet ugyanazt a 6 jogalapot határozza meg, mint az Irányelv.
Ezek a jogalapok a következők:
- az érintett hozzájárulása,
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél,
- az adatkezelés a szervezetre vonatkozó Európai Uniós jogból vagy tagállami jogból származó kötelezettség teljesítéséhez szükséges,
- az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges,
- az adatkezelés közérdek vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,
- az adatkezelés az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
A marketingtevékenységek során a személyes adatok kezelésére a leginkább alkalmazható és a legtöbbet használt jogalap az érintett személy hozzájárulása, illetve az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítése.
Különleges személyes adatok (faji, etnikai származás, politikai vélemény, vallási- illetve világnézeti meggyőződés, szakszervezeti tagságra utaló személyes adat, genetikai vagy biometrikus adatok, egészségügyi adatok, szexuális életre vagy szexuális irányultságra utaló adatok, ) kezelése fő szabály szerint tilos.
A GDPR rendelet 9. cikkében találhatóak bizonyos kivételek. Abban az esetben ha a szervezet kezel, vagy kezelni kíván az iméntiekben felsorolt különleges személyes adatokat ezeket a kezelési kivételeket el kell olvasni: xxxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=HU
(9) Mi jelent érvényes hozzájárulást a személyes adatok gyűjtéséhez?
A Rendelet alapján a hozzájárulásnak:
- önkéntesnek,
- konkrétnak,
- megfelelő tájékoztatáson alapulónak
- és egyértelműnek
kell lennie.
A hozzájárulás fogalma majdnem teljesen azonos alapelvekre épül, mint az Irányelvben, a Rendelet azonban tisztázza, hogy mi számít érvényes hozzájárulásnak. Az egyéneknek nyilatkozattal vagy a megerősítést félreérthetetlenül kifejező cselekedet útján kell kifejezniük akaratukat.
A cégeknek nem szabad szem elől téveszteniük azt a jogszabályi követelményt, hogy adatkezelési tevékenységükről már az adatok gyűjtése során elegendő információt kell, hogy biztosítsanak az érintettek számára. A tájékoztatási követelmények a Rexxxxxx XXX. fejezetének 2. szakaszában kerültek meghatározásra, és attól függően változnak, hogy a személyes adatot az érintett személytől közvetlenül vagy nem közvetlenül gyűjtötték-
e. A tájékoztatást tömör, átlátható és érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani.
Az elszámoltathatóság alapelvének részeként a cégeknek bármikor képeseknek kell lenniük a Rendeletnek való megfelelés igazolására a nemzeti adatvédelmi hatóságok felé. A bizonyítási terhet a szervezetek viselik, és ha a személyes adatok kezelésének jogalapja a hozzájárulás, akkor megfelelő bizonyítékot kell szolgáltatniuk a hozzájárulás megszerzésére.
A Rexxxxxx xegerősíti a gyermekek jogainak védelmét. A cégeknek igazolniuk kell, hogy ésszerű erőfeszítéseket tettek annak ellenőrzése érdekében, hogy a hozzájárulást a 13 és 16 év közötti gyermek esetében a felettes szülői felügyeleti jogot gyakorló adta meg. Az egyes tagállamok az erre vonatkozó szabályozásban 16 évnél alacsonyabb, de 13 évnél nem alacsonyabb életkort is meghatározhatnak.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A visszavonás jogáról az érintettet előzetesen tájékoztatni kell, valamint a visszavonás módját ugyan olyan egyszerűen kell lehetővé tenni mint ahogyan a hozzájárulás megadása megtörtént.
(10) Lehet-e adatokat kezelni marketing céllal a szervezet jogos érdeke alapján (leiratkozás, opt-out)?
A személyes adatok kezeléséhez a cégek számára a Rendelet alapján rendelkezésre áll egy másik jogalap is: a jogos érdek. Az Irányelv alapján ezt a jogalapot a cégek a postai úton történő direkt marketing céljából alkalmazzák. A Rendelet egyértelművé teszi azt, hogy a „személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető”. A direkt és interaktív marketing tevékenységet folytató cégeknek mérlegelniük kell a személyes adatok kezeléséhez kapcsolódó érdekeiket és az érintett személyeknek a Rendelet alapján fennálló jogait. Az érdekmérlegelési teszt eredménye határozza meg, hogy kezelhető-e a személyes adat hozzájárulás nélkül. A jelenlegi Irányelv alapján fennálló gyakorlat azt valószínűsíti, hogy az érintett személyek jogai biztosíthatók a direkt marketing küldeményekről történő – az adat gyűjtésének időpontjában gyakorolható – leiratkozási (opt-out) jogaik postai úton történő lehetővé tételével, valamint annak ellenőrzésével, hogy az érintett korábban megtiltotta-e adatai kezelését, vagy szerepel-e valamilyen
Robinson listán. A direkt és interaktív marketing tevékenységet folytató cégeknek más csatornákon keresztül történő marketingtevékenység megkezdése előtt egyéb jogszabályok általános rendelkezései – például az Elektronikus Hírközlési Adatvédelmi Irányelv – szerint is be kell szerezniük az érintett személy hozzájárulását. Az Elektronikus Hírközlési Adatvédelmi Irányelv például általánosságban megköveteli a direkt és interaktív marketing tevékenységet folytató cégektől, hogy direkt marketing célú email kiküldése előtt szerezzék meg az érintett hozzájárulását. A Rendelet ezeken a specifikus szabályokon nem változtat. A fentieken túlmenően a direkt és interaktív marketing tevékenységet folytató cégek a személyes adatoknak a Rendeletben meghatározott különleges kategóriáit, melyeket az Irányelv különleges adatnak nevez (például politikai véleményekre, faji vagy etnikai hovatartozásra és egészségi állapotra vonatkozó adatok) kizárólag az egyén kifejezett hozzájárulásával kezelhetik.
(11) Milyen tájékoztatást kell adni az érintett számára?
Az érintett személyek adatai kezelésével kapcsolatos átláthatóság növelése érdekében a GDPR előírja, hogy a szervezetek személyes adatok gyűjtésekor milyen információkról kötelesek az érintett személyeket tájékoztatni. A szervezeteknek tájékoztatniuk kell az érintett személyeket a Xxxxxxxx XXX. fejezetének 2. szakaszában meghatározott információkról. Az érintett személyek számára rendelkezésre bocsátott információkkal kapcsolatos követelmények attól függően változnak, hogy a személyes adatokat közvetlenül az érintettől gyűjtötték-e vagy nem. A tájékoztatást az adatgyűjtés időpontjában vagy az első adattovábbításkor kell megadni az érintett részére. A GDPR megállapítja, hogy a tájékoztatásnak könnyen hozzáférhetőnek és közérthetőnek kell lennie, de nem tér ki arra, hogy milyen formában kell az információt rendelkezésre bocsátani.
Az adatvédelmi értesítésnek az alábbi információkat kell tartalmaznia:
- az adatkezelő kiléte, elérhetőségi adatokkal és az adatkezelés céljával és jogalapjával,
- információt az érintett jogairól (tájékoztatáshoz való jog, helyesbítéshez való jog, törléshez való jog, tiltakozáshoz való jog, adathordozhatósághoz való jog, korlátozáshoz való jog, valamint hozzájárulás jogalap esetén visszavonáshoz való jog),
- azon címzettek vagy címzettek kategóriái, akikkel a személyes adatokat közölték,
- ha az adatkezelés a szervezet jogos érdekein alapszik, melyek ezek a jogos érdekek,
- ha az adatkezelés kifejezett hozzájáruláson alapszik, az egyének azon joga, hogy visszavonhatják a hozzájárulást,
- információ a nemzetközi adattovábbításról, ideértve a megfelelően nyújtott garanciákat,
- a személyes adatok tárolásának időtartama,
- a felügyeleti hatósághoz címzett panasz benyújtásának joga,
- automatizált döntéshozatal ténye (profilalkotás),
- a személyes adatok gyűjtésének eredeti céljától eltérő célból történő további adatkezelés szándéka.
Ha egy szervezet nem közvetlenül az érintettől szerzi meg a személyes adatot, a fenti információkon túl az érintettet tájékoztatni kell a kezelt adatok kategóriájáról és az adatok forrásáról – ésszerű határidőn belül vagy legalább az érintettel való első kapcsolatfelvétel alkalmával.
Fontos, hogy az adatvédelmi tájékoztató naprakész és könnyen hozzáférhető legyen. Az online adatvédelmi tájékoztatóra mutató linknek mindenhol elérhetőnek kell lennie, ahol az adatkezelő adatot gyűjt, például belépő oldalakon, online regisztrációs nyomtatványokon, stb.
Az érintettek tájékoztatásával kapcsolatosan a NAIH is kiadott egy tájékloztatót aminek javasoljuk az elolvasását: xxxx://xxxx.xx/xxxxx/xxxxxxxxxxx-xxxxxxx-x-0000-00-00.xxx
(12) Mi az adattörléshez való jog („az elfeledtetéshez való jog”)?
A Rendelet lehetővé teszi az érintett személyek számára, hogy meghatározott esetekben kérjék adataik törlését. Az adattörléshez való jog, más néven az elfeledtetéshez való jog a Xxxxxxxx XXX. fejezetének 3. szakaszában felsorolt helyzetekben és korlátozásokkal alkalmazandó. A cégeknek nem kell törölniük a személyes adatokat, ha azokat nyilvántartási célokból meg kell őrizniük, például könyvviteli, adózási vagy más külső szabályozási követelmények miatt. A direkt és interaktív marketing tevékenységet folytató cégeknek alaposan meg kell fontolniuk, hogy a
személyes adatot törlik, vagy megőrzik saját belső Robinson-listájukon. Ha az érintett személy kéri a személyes adatainak törlését, mert a továbbiakban nem szeretne direkt marketing üzenetet kapni a szervezettől, a személyes adatok törlése helyett a szervezetnek inkább hozzá kell adnia az érintett személy kapcsolattartási adatait a saját belső Robinsonlistájához. Ha a szervezet teljesen törli az érintett személy személyes adatait, akkor fennáll annak a veszélye, hogy a jövőben újabb direkt marketing üzenetet küld, pedig az érintett éppen ezt nem szerette volna.
Ha azonban az érintett személyek adatai a szervezet saját belső Robinson listájára kerülnek, akkor a szervezet a jövőben nem fog semmilyen egyéb direkt marketing üzenetet küldeni az érintett személyek számára. A Rendelet szerint a szervezetek jogosultak a fentiek szerint eljárni. A szervezetek meg kell, hogy tegyék az ésszerűen elvárható lépéseket annak érdekében, hogy tájékoztassák azokat a harmadik feleket, amelyeknek a személyes adatok átadásra kerültek. A cégeknek csak akkor kell tájékoztatniuk a harmadik feleket az érintett személyek adattörlési kérelméről, ha ez az elérhető technológia és a megvalósítás költségeinek figyelembevételével ésszerűen elvárható, és a cég nem felelős azért, hogy a harmadik fél szervezet törli-e az adatokat vagy sem. Ha a személyes adatokat anonimizálták, az érintett személy nem jogosult kérni a korábban hozzá kapcsolt adatok törlését.
(13) Mi az adathordozhatósághoz való jog?
A Rendelet új jogot biztosít az érintett személyek számára: az adathordozhatósághoz való jogot. Eszerint az érintett személy jogosult megkapni azokat az adatait, amelyek szolgáltatóváltásához szükségesek, különösen az online világban. A szervezetnek az érintett kérésére át kell adnia az érintett számára „a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat”. A személyes adatokat
„tagolt, széles körben használt, géppel olvasható formátumban” kell átadni. Ezért az érintett személy kérheti, hogy személyes adatai közvetlenül egy másik szervezetnek kerüljenek továbbításra. Az adathordozhatósághoz való joghoz két korlátozás kapcsolódik: - csak olyan személyes adatra vonatkozik, amelyet automatizált módon kezelnek, - csak akkor alkalmazandó, ha a személyes adatok kezelése a felhasználó hozzájárulásán vagy a szerződés teljesítése érdekében történik. Ennek
következtében az adathordozhatósághoz való jog nem vonatkozik a „jogos érdek” alapján személyes adatokat kezelő direkt és interaktív marketing tevékenységet folytató cégekre.
(14) Mi a tiltakozáshoz való jog (a leiratkozáshoz való jog / opt- out)?
A Xxxxxxxx biztosítja az érintett személyek számára a jogot, hogy tiltakozzanak a személyes adataik kezelése ellen, vagyis hogy leiratkozási (opt-out) jogaikat gyakorolják adataik felhasználásával kapcsolatban. Ez a jog már a jelenlegi Irányelv alapján is létezik. A Xxxxxxxx azonban az érintett személyek számára megkönnyíti a tiltakozáshoz való jog gyakorlását. Ha a személyes adatot direkt marketing célokra használják, az érintett személyeknek joguk van tiltakozni a személyes adataik ilyen célú kezelése ellen. A Rendelet kifejezetten rögzíti, hogy a tiltakozáshoz való jog direkt marketing tevékenységekhez kapcsolódó profilalkotási tevékenységekre is vonatkozik. Ha az érintett személyek leiratkoznak (opt- out jogaikat gyakorolják) a direkt marketinggel kapcsolatban, a direkt és interaktív marketing tevékenységet folytató cégnek abba kell hagynia a direkt marketing célokra történő adatkezelést, és az egyén elérhetőségeit hozzá kell adnia saját, belső Robinson-listájához. A cégeknek tájékoztatniuk kell az érintetteket a személyes adataik kezeléséhez kapcsolódó tiltakozási jogukról. A tiltakozási jogra vonatkozó tájékoztatásnak egyértelműnek és a szervezetek által az érintett személyeknek nyújtott más információktól elkülönültnek kell lennie.
(15) Mik a profilalkotásra vonatkozó új szabályok?
A Rendelet bevezet néhány újdonságot a profilalkotással kapcsolatosan, miközben megtartja a korábbi alapelvet: az érintett személyek számára meg kell adni a lehetőséget, hogy tiltakozzanak a profilalkotással szemben, azaz az erről való leiratkozással (opt-outtal). A Rendelet a profilalkotást személyes adatok automatizált kezeléseként határozza meg, amely személyes jellemzők kiértékelésére szolgál, különösen, ha az érintett személy személyes jellemzőinek elemzésére vagy előrejelzésére kerül sor. Adatvezérelt marketing során minden bizonnyal profilalkotásnak minősül egy algoritmus adatelemzési célú használata, ha célja annak megállapítása,
hogy egy érintett személy vagy érintett személyek kategóriája egyes terméktípusok vagy szolgáltatástípusok iránt érdeklődik-e, hajlandó-e egy bizonyos terméket megvásárolni, bizonyos módon viselkedik-e, vagy meghatározott helyeken tartózkodik-e. Adatvezérelt marketing során az érintett személynek joga van kérni a direkt marketing célokból történő profilalkotás megszüntetését. Amikor egy szervezet a direkt marketing célú profilalkotási tevékenységen túlmenően profilalkotási tevékenységet végez, figyelembe kell vennie a profilalkotás alapján hozott döntésének az egyénre kifejtett hatását. Ha a profilalkotás alapján hozott döntés „joghatással bír”, vagy „jelentős mértékben érint” egyes személyeket, az érintett személynek joga van a profilalkotás megszüntetését kérni (opt-out jogait gyakorolni). Az érintett személyek nem jogosultak erre, ha:
- a profilalkotás az érintett és a szervezet közötti szerződés megkötése vagy teljesítése érdekében szükséges,
- a profilalkotást Európai Uniós jog vagy tagállami jog lehetővé teszi,
- a profilalkotás az érintett kifejezett hozzájárulásán alapul.
A Rendelet az érintett személyekre joghatással bíró vagy jelentős mértékben érintő tevékenységekre példaként egy online hitelkérelem automatikus elutasítását vagy emberi beavatkozás nélkül folytatott online munkaerő-toborzást említi. A profilalkotás szabályainak véglegesítésére a Rendelet elfogadásának egyik utolsó lépéseként került sor, ezért a
„joghatással bír” és „jelentős mértékben érint” kifejezések jelentésének értelmezéséhez a nemzeti adatvédelmi hatóságok iránymutatására lesz szükség.
(16) Mit mond a Rendelet az adatvédelmi hatásvizsgálatról?
Személyes adatok kezelésének megkezdése előtt az adatkezelő szervezetnek meg kell határoznia, hogy az adatkezelés az érintett személyek számára mikor járhat valószínűsíthetően magas kockázattal. Ha a szervezet az adatvédelmi hatásvizsgálat elvégzését követően úgy véli, hogy az adatkezelés magas kockázattal jár, akkor az adatkezelés megkezdését megelőzően egyeztetnie kell a nemzeti adatvédelmi
hatósággal. A nemzeti adatvédelmi hatóság az adatkezeléssel kapcsolatban konzultál az adatkezelővel.
A Rendelet tisztázza, hogy az érintett személyekre joghatással járó profilalkotás, valamint a személyes adatok különleges kategóriáinak (melyeket az Irányelv különleges adatnak nevez) nagy számban történő kezelése nagy kockázattal járó adatkezelésnek tekintendők, és ilyenkor az adatvédelmi hatásvizsgálat elvégzése kötelező. A nemzeti adatvédelmi hatóságok listát készítenek a magas kockázatúnak minősülő adatkezelési tevékenységekről.
A Rendelet az adatvédelmi hatásvizsgálat elemeit az alábbiak szerint határozza meg:
- a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetése;
- az adatkezelés céljait figyelembe véve az adatkezelési műveletek szükségességének és arányosságának vizsgálata;
- az érintett személyeket érintő kockázatok vizsgálata;
- a szervezetnek az érintett személyeket érintő adatkezelési tevékenységgel okozott adatvédelmi kockázatok csökkentésére vonatkozó javaslata (pl. további adatbiztonsági intézkedések a kezelt személyes adatok védelme érdekében).
(17) Mik az adatvédelmi tisztviselőre vonatkozó követelmények?
A Rendelet egyes szervezetek számára kötelezően előírja az adatvédelmi tisztviselő (Data Protection Officer – „DPO”) kinevezését.
A szervezetnek adatvédelmi tisztviselőt kell kineveznie, ha fő tevékenységei
„érintettek rendszeres és szisztematikus, nagymértékű megfigyelését” vagy
„adatok különleges kategóriáinak nagy számban történő kezelését”
foglalják magukban. Az Irányelv az utóbbiakat különleges adatnak nevezi (faji, etnikai hovatartozásra, politikai véleményre, vallási vagy lelkiismereti meggyőződésre, szakszervezeti tagságra vonatkozó adatok, valamint genetikai adatok stb.). A DPO lehet az adatkezelő vagy az adatfeldolgozó alkalmazottja, illetve szolgáltatási szerződés keretében is elláthatja a feladatait. Az „érintettek rendszeres és szisztematikus, nagymérték megfigyelésének” fogalom értelmezéséhez várhatóan a nemzeti adatvédelmi hatóságok adnak iránymutatást. „Az adatvédelmi jog és gyakorlat szakértői szintű ismeretével” rendelkező DPO mind európai, mind nemzeti szinten felelős a Rendeletnek való megfelelésért, tájékoztatja a szervezetet a Rendelet szerinti kötelezettségeiről, tájékoztatást ad az adatvédelmi hatásvizsgálat elvégzésének időpontjáról és módjáról, valamint a nemzeti adatvédelmi hatóságoktól érkező megkeresések, illetve az érintett személyektől érkező megkeresések és adathozzáférési kérések esetén a szervezet kapcsolattartójaként szolgál. A DPO vagy a szervezet alkalmazottja (két évre kell kinevezni és ez alatt az idő alatt felmondási tilalom védi) vagy külső szolgáltató (tanácsadó, ügyvédi iroda). A DPO rendelkezik „a feladat végrehajtásához szükséges forrásokkal” és
„közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel”. Ha a szervezetnek a Rendelet szerint nem kötelező DPO-t kineveznie, a Rendeletnek való megfelelési kötelezettség teljesítésének segítése érdekében önkéntesen is kinevezhet egyet.
(18) Mi az az „Egyablakos Ügyintézés”?
Az „Egyablakos Ügyintézés” koncepciója lehetővé teszi az egy vagy több tagállamban létrehozott szervezetek számára, hogy legyen egy fő felügyeleti hatóságuk, amely elsődlegesen eljár velük kapcsolatosan. A fő felügyeleti hatóság azon ország adatvédelmi hatósága, ahol a szervezet marketing tevékenységét végzi. A többi ország nemzeti adatvédelmi hatóságaival való egyeztetést, az Európai Adatvédelmi Testülethez fordulást, valamint az egyes nemzeti adatvédelmi hatóságok közötti véleménykülönbség feloldását összetett eljárásrend szabályozza. Ez a Rendelet VII. fejezetében részletezett ún. egységességi mechanizmus.
(19) Milyen új szabályok vonatkoznak a nemzetközi adattovábbításokra?
A személyes adatok Európai Unión belüli továbbításával szemben a Rendelet nem támaszt többletfeltételt. Az Irányelvhez hasonlóan a Rendelet lehetővé teszi az adatok az Európai Unión kívüli harmadik országokba történő továbbítását is, feltéve, hogy a személyes adatokat megkapó országban biztosítják a személyes adatok védelmének megfelelő szintjét.
Az Európai Bizottság jogosult eldönteni, hogy egy Európai Unión kívüli harmadik ország mikor biztosítja a személyes adatok védelmének megfelelő szintjét. A Bizottság azt is eldöntheti, hogy „a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata” megfelelő adatvédelmi szintet biztosít-e. Az Irányelv szerint a Bizottság jelenleg 11 országban minősítette az adatvédelmet valamilyen módon megfelelőnek. A Bizottság megfelelőségi döntése hiányában a Rendelet megfelelő garanciák ellenében engedélyezi az adatok nemzetközi továbbítását, „de csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre” az Európai Unión kívüli harmadik országban.
A Rendelet számos megoldást elismer az Európai Unión kívüli nemzetközi adattovábbítások esetében, például:
- Nemzeti adatvédelmi hatóságok jóváhagyásához kötött, kötelező erejű vállalati szabályok. Ezek csak nagy szervezetek részére megfelelőek, mivel a jóváhagyási folyamatuk jogi és adminisztrációs szempontból egyaránt összetett, és akár 2 évig is eltarthat.
- Általános adatvédelmi klauzulák, más néven általános szerződési feltételek / adattovábbítási modellszerződések (SCCk). Ezek váltják fel az Irányelv szerinti Adattovábbítási Modellszerződéseket (Model Contract Clauses). Annak ellenére, hogy a Bizottság korábbi határozataiban már engedélyezte az Adattovábbítási Modellszerződések használatát, az Irányelv alapján néhány nemzeti adatvédelmi hatóság ragaszkodott az Adattovábbítási Modellszerződések jóváhagyásához, mielőtt az adott cég azokat az EU-n kívüli harmadik országokba való adattovábbítás alapjaként használta volna. A Rendelet szerint azonban az SCCk használatához nem szükséges a nemzeti adatvédelmi hatóságok előzetes jóváhagyása.
- Jóváhagyott magatartási kódex vagy jóváhagyott tanúsítási mechanizmus
– a személyes adatokat az EU-n kívüli harmadik országokban megkapó szervezet kötelező és kikényszeríthető kötelezettségvállalásával.
A Bizottság megfelelőségi döntésének vagy megfelelő garanciák hiányában egy szervezet továbbra is továbbíthat személyes adatot egy harmadik országban lévő szervezet részére az alábbi feltételek szerint:
- Az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő esetleges kockázatokról.
- Az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges.
- Az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges.
- Egyszeri vagy nem rendszeres adattovábbítás történhet az EU-ban letelepedett szervezet jogos érdeke alapján, amíg az adattovábbítás nem ismétlődő, csak korlátozott számú érintettre vonatkozik és megfelelő garanciák kerültek alkalmazásra. Ilyen jellegű adattovábbítás esetén az EU- ban letelepedett szervezetnek tájékoztatnia kell a saját nemzeti adatvédelmi hatóságát az adattovábbításról.
(20) Mik az új adatbiztonsági kötelezettségek?
A Rendelet a jelenlegi Irányelvhez hasonló adatbiztonsági követelményeket tartalmaz. „A szervezeteknek és a kiszervezett szolgáltatást nyújtóknak a kockázat mértékének megfelelő szintű adatbiztonság biztosítása érdekében megfelelő technikai és szervezési intézkedéseket kell végrehajtaniuk.”
A Rendelet lehetővé teszi a szervezetek számára, hogy a szükséges biztonsági intézkedések előzetes felmérése során figyelembe vegyék „a tudomány és technológia állását és a megvalósítás költségeit”, valamint a kockázat alapú megközelítés részeként az adatkezeléshez kapcsolódó szempontokat. Az Irányelvben előírtakhoz hasonlóan a direkt és interaktív marketing tevékenységet folytató cégeknek biztosítaniuk kell a személyes adatok kezelésének védelme érdekében megfelelő adatbiztonsági intézkedéseket. Az adatbiztonsági intézkedéseknek az adatkezelés során az érintett személyekkel kapcsolatban esetlegesen felmerülő kockázat szintjével arányosnak kell lenniük.
A Rendelet számos adatbiztonsági intézkedés foganatosítását javasolja:
- a személyes adatok álnevesítését és titkosítását;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenállóképességét;
- fizikai vagy műszaki incidens esetén a képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárások alkalmazását.
A Rendelet adatbiztonsági megközelítése összekapcsolódik az új kötelezettségekkel, melyek célja az adatvédelem beépítése a projektekbe már az induláskor (beépített adatvédelem), továbbá annak biztosítása, hogy a kiindulási adatvédelmi beállítások blokkolják a kapcsolatfelvételt (alapértelmezett adatvédelem), valamint annak biztosítása, hogy új projektek az érintett személyek adatvédelmi jogaira gyakorolt hatásának felmérésére hatásvizsgálatokat végezzenek (adatvédelmi hatásvizsgálat).
Az adatkezelési tevékenységekkel kapcsolatban mind a szervezeteket, mind a kiszervezett szolgáltatást nyújtókat adatbiztonsági kötelezettségek
terhelik. A Rendelet egyértelművé teszi, hogy a „az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak megfelelő technikai és szervezési intézkedések végrehajtására”. Ezek a jelenlegi Irányelvhez hasonló követelmények.
(21) Mik az új szabályok adatvédelmi incidens esetén?
A Rendelet az adatvédelmi incidens fogalmát meglehetősen széles körűen határozza meg („a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”).
Az incidens meghatározása nem veszi figyelembe, hogy az incidens maga kárt okozott-e az egyénnek vagy nem. Adatvédelmi incidens esetén a szervezeteknek tájékoztatniuk kell saját nemzeti adatvédelmi hatóságukat indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens ténye a tudomásukra jutott. Ha a szervezet a megadott határidőn belül nem jelenti be az adatvédelmi incidenst a nemzeti adatvédelmi hatóságnak, akkor az esetleges bejelentés alkalmával a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is.
A Rendelet meghatározza, hogy a szervezeteknek milyen tájékoztatást kell adniuk a nemzeti adatvédelmi hatóságok számára adatvédelmi incidens esetén. A szervezeteknek „indokolatlan késedelem nélkül” tájékoztatniuk kell az adatvédelmi incidenssel érintett személyeket az incidensről, „ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. A tájékoztatásban
„világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét” és tartalmaznia kell az alábbi információkat:
(1) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, ahol az érintett további információkat tud szerezni az incidensről;
(2) ismertetni kell az adatvédelmi incidensből eredően valószínűsíthető következményeket;
(3) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő, az érintett egyénekre hatással lévő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
A szervezetnek nem kell tájékoztatnia az érintett személyeket, ha:
- a szervezet megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre az adatvédelmi incidens által érintett adatok tekintetében, mint például titkosítás alkalmazása;
- a szervezet az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az említett magas kockázat a továbbiakban valószínűsíthetően ne valósuljon meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosság útján kell tájékoztatni, például hirdetés formájában.
(22) Mit jelent az elszámoltathatóság alapelve?
Az új Rendelet bevezeti az elszámoltathatóság alapelvét, ami elvárja a szervezetektől, hogy a nemzeti adatvédelmi hatóságok felé bármikor képesek legyenek igazolni a Rendeletnek való megfelelésüket. Például a Rendelet eltörli az Adatvédelmi Nyilvántartásba való bejelentkezés kötelezettségét, de a szervezeteknek a Rendelet értelmében továbbra is meg kell őrizniük az Adatvédelmi Nyilvántartásba való bejelentkezési kötelezettségek teljesítése során a nemzeti adatvédelmi hatóságoknak korábban elküldött dokumentumok másolatait. A nemzeti adatvédelmi hatóság bármikor betekintést kérhet ezekbe a dokumentumokba.
(23) A munkahelyi adatkezelések alapvető követelményei -
Bevezető (NAIH tájékoztató)
A Nemzeti Adatvédelmi és Információszabadsághoz (a továbbiakban: Hatóság) számos olyan panasz, illetve konzultációs beadvány érkezik, mely a munkahelyi adatkezelések területét érinti. A munkahelyi adatkezelések több csoportba sorolhatóak. Egyrészt különbség tehető abban a tekintetben, hogy létező munkaviszonyról beszélünk-e, vagy sem. A munkaviszony létesítése előtt megvalósuló adatkezelés alapvetően az azt megelőző pályáztatási eljárással, valamint a munkakörre való alkalmasság vizsgálatával összefüggésben valósul meg. A munkaviszony
megszűnését követően szintén történik adatkezelés, amikor is például a munkáltató jogszabályi kötelezettség alapján nyilvántartja a volt munkavállalója személyes adatait. A munkaviszony fennállása alatti adatkezelések között is differenciálhatunk. Egyrészt például társadalombiztosítási, adózási okokból szükséges személyes adatok kezelése, de ekkor is felmerülhet az alkalmassággal kapcsolatban adatkezelés. Szintén gyakori adatkezelésként jelenik meg az egyre
jobban elterjedő visszaélés-bejelentési rendszerekkel összefüggő adatkezelés. További adatkezelés a munkavégzéssel összefüggésben keletkezik: minősítési, fegyelmi vétségekkel és büntetésekkel kapcsolatos eljárások során. Ezen túlmenően a munkavállaló ellenőrzésével kapcsolatban is felmerül személyes adatok kezelése. Ez utóbbi esettel kapcsolatban elmondható, hogy a technika fejlődésével egyre gyakoribb a munkavállalók technikai eszközökkel történő ellenőrzése. Ebbe a körbe tartozik többek között a munkavállalók kamerás megfigyelése, elektronikus levelezésük, valamint internethasználatuk ellenőrzése, a rendelkezésükre bocsátott úgynevezett „céges mobiltelefon” használatának ellenőrzése, a GPS navigációs rendszer alkalmazása során történő ellenőrzés, illetve a biometrikus rendszerek alkalmazásával
megvalósuló ellenőrzés.
A Hatósághoz érkező beadványok nagy számban a munkavállalók technikai ellenőrzésével együtt járó adatkezeléseket érintik. Jelen állásfoglalás célja, hogy útmutatóul szolgáljon mind a munkavállalók, mind a munkáltatók számára, és megismerjék, hogy a munkavégzést érintő adatkezelések, különösen a munkáltatói
ellenőrzéssel összefüggő adatkezelések esetében milyen követelményeknek kell érvényesülniük.
A Hatóság a tájékoztatóban szereplő alapvető szempontokkal kívánja segíteni az adatkezelőket a jogszerű adatkezelés kialakításában. A 2018. május 25-étől Magyarországon is alkalmazandó új adatvédelmi rendelet a Hatóság előzetes elemzése alapján jelentős változásokat nem fog eredményezni az ügyek tartalmi megítélésében.
(24) A munkahelyi adatkezelés során érvényesülő munkahelyi
alapelvek
A munkahelyi adatkezelés során érvényesülő adatvédelmi alapelvek
Az Infotv.1 és az Mt. egyaránt tartalmazza az adatvédelem alapelveit, amelyek kiemelten fontosak ahhoz, hogy bizonyos, a munkáltató rendelkezései szerint kialakított adatkezelések jogszerűek legyenek. A munkáltatóknak ezen alapelvekre figyelemmel kell kialakítaniuk az adatkezelési körülményeket. Ezért érdemes áttekinteni, hogy az egyes alapelvekből milyen gyakorlati követelmények származnak a munkahelyi adatkezelésekkel kapcsolatban.
A célhoz kötött adatkezelés elve
Infotv. 4. § (1) bekezdés:
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
Mt. 10. § (1) bekezdés:
A munkavállalótól csak olyan (…) adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban
meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
Ezen alapelvből fakadó gyakorlati követelmények:
- Az adatkezelés célját az adatok rögzítését megelőzően, világosan és egyértelműen meg kell határozni. A célnak kellően részletesnek kell lennie annak érdekében, hogy azonosíthatóak legyenek a szükséges adatkezelési műveletek és az alkalmazandó további garanciális szabályok. A cél meghatározásának részletezettsége alapvetően az adatkezelés körülményeitől és a kezelt személyes adatok fajtáitól függ. Általánosságban elmondható, hogy a túl tág, általános fogalmakkal körülírt cél nem felel meg e követelménynek.
- A munkáltatónak minden egyes adatkezelés esetében adatkezelési célonként külön-külön meg kell határoznia azt a jogot, amelynek gyakorlásához szükséges valamely személyes adat kezelése, vagy azt a kötelezettséget, amelynek teljesítése szükségessé teszi az adatkezelést.
1 A tájékoztató III. pontjában („Jogszabályjegyzék”) megtalálható valamennyi, a tájékoztatóban hivatkozott magyar jogszabály pontos megjelölése. A tájékoztató szövegében a jogszabályok rövidített elnevezései szerepelnek.
- A célhoz kötött adatkezelés elve a hivatkozott Mt. 10. § (1) bekezdésben is megjelenik. Ez azt jelenti, hogy a munkáltatónak minden adatkezeléséhez célt kell rendelnie. Azaz személyes adat csak akkor kezelhető, ha az lényeges, ha az adat kezelése nélkül a munkaviszony létesítése, fenntartása, megszűnése nem lenne lehetséges. A munkáltatónak az adatkezelései jogszerűségét elsősorban azzal kell alátámasztania, hogy minden adatkezelése vonatkozásában igazolni tudja az adatkezelés célját, és azt, hogy az adatkezelés a cél eléréséhez szükséges.
- Mindezek alapján a munkáltató köteles a munkavállalóktól kért adatok körét előre oly módon meghatározni, hogy az adatok csakis a munkaviszony létesítéséhez, fenntartásához, megszűnéséhez kapcsolódjanak. A munkavállalókat tájékoztatni kell arról, hogy a tőlük kért adatok, velük szemben alkalmazott vizsgálatok milyen információként szolgálhatnak a munkáltató számára. Minden olyan adat kérése, mely nem ad lényeges tájékoztatást a munkaviszony létesítése, fenntartása, megszüntetése szempontjából, indokolatlanul korlátozza a munkavállalók magánszféráját, személyes adataikkal való rendelkezés jogukat – különösen akkor, ha a
munkáltató az adatszolgáltatás megtagadása esetén kilátásba helyezi például a munkaviszony létesítésének megtagadását.
- Amennyiben az adatokon eltérő célokból végeznek műveleteket, akkor a célokat egyenként definiálni kell. Továbbá az adatkezelésnek minden szakaszában meg kell felelnie az adott adatkezelési célnak, és tilos adatokat kezelni olyan újabb célból, amely összeegyeztethetetlen az eredetivel. Így például, ha a munkáltató a munkaszerződés alapján rendelkezésére álló adatokat fel akarja használni belső képzésszervezésére (így különösen a munkavállalók nevét, munkakörét, végzettségét), akkor ez a munkajogviszonyból fakadó, korábbi adatkezelésekhez képest új adatkezelési cél, amelyet külön definiálnia kell.
- Bizonyos munkakörök esetén munkaviszonyra vonatkozó szabály2 alkalmassági vizsgálatot írhat elő. Ebben a körben különösen fontos szerepe van a tisztességes adatkezelés követelményének, ugyanis a munkáltató – például a munkahelyi felvételi eljárás során – kizárólag olyan kérdést intézhet a munkavállalók felé, amely a munkaviszony, alkalmassági vizsgálat szempontjából releváns, és az érintettek személyiségi jogait – így a személyes adatok védelméhez való jogukat – nem sérti. Az adatkezelés tisztességes volta az emberi méltóság védelmével áll szoros kapcsolatban, a tisztességtelen adatkezelési gyakorlat az érintetteket nem csak személyes adataikhoz fűződő jogában, de emberi méltóságukban is súlyosan sértheti.
A szükségeség-arányosság elve
Infotv. 4. § (2) bekezdés:
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának
megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
Mt. 9. § (2) bekezdés:
A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a
munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos
Mt. 11. § (1) bekezdés:
A munkáltató a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A munkáltató ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető.
Ezen alapelvnek elsődlegesen a munkáltatói ellenőrzéseknél van jelentősége. Az alapelvből fakadó gyakorlati követelmények:
- Az alkalmazott eszköznek alkalmasnak kell lennie a cél elérésére, vagyis csak akkor lehet ellenőrzést folytatni, ha egyértelmű, hogy az alkalmazni kívánt eszköz, módszer által az ellenőrzés útján a védeni kívánt munkáltatói érdekek, jogok sérelme megelőzhető.
- Az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat. Ez egyszerre jelenti az adatkezelés időbeni korlátozottságát, és azt is, hogy a személyes adatokat csak a szükséges esetben, és csak az arra feljogosított személyek használhatják fel.
- Az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. Ezzel kapcsolatban fontos kiemelni, hogy a munkavállalókat a munkahelyen is megilleti a magánélethez való jog, és ezt a munkáltatónak tiszteletben kell tartania. A „munkahelyi magánélet” tipikus színterei az ebédlő, az öltöző, a pihenőhelyiség, a mosdók.
- Az ellenőrzésnek minden esetben a munkavállalók emberi méltóságának tiszteletben tartásával kell történnie. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is eredményezheti.
(25) Adatkezelés jogalapjai munkahelyi adatkezelés során
A magyar és az uniós jogszabályi rendelkezések alapján különböző jogalapok alkalmazhatóak annak érdekében, hogy az adatkezelés jogszerű legyen3 , amelyek közül a munkahelyi adatkezelés során alapvetően három
jogalap jöhet szóba: az érintett hozzájárulása, törvényi felhatalmazás,
illetve a munkáltató jogos érdekén alapuló adatkezelés.
Az érintett hozzájárulása
A hozzájárulás jogalapjának legfontosabb feltétele, hogy annak önkéntesnek, azaz mindenfajta külső befolyástól mentesnek kell lennie. Az Adatvédelmi Munkacsoport több dokumentumában6 kifejtett álláspontjára támaszkodva a Hatóság gyakorlata szerint is a hozzájárulás jogalapként csak akkor jöhet szóba, ha valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Az önkéntesség hiányában az adatkezelő nem rendelkezik megfelelő jogalappal az adatkezeléshez. A munkavégzésre irányuló jogviszonyokban azonban nem értelmezhető a hozzájárulás önkéntessége: a munkáltató és a munkavállaló közötti alá-fölérendeltségi viszonyban, ha az alkalmazott a hozzájárulását megtagadja, ez anyagi vagy nem anyagi természetű hátrányt okozhat neki. Az érintett hozzájárulására, mint jogalapra, a munkahelyi adatkezelések esetében tehát csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés megtagadása esetén. A hozzájárulás megfelelő jogalap lehet, ha az adatkezelésre nem a munkaviszonnyal összefüggésben kerül sor, vagyis ha az adatkezelés a munkáltatói jogok gyakorlásával nem áll kapcsolatban. Például egy munkáltató egy futóversenyre csapatot szervez, amelyhez a munkáltatónak továbbítania kell a szervezők részére azon munkavállalóinak az adatait, akik részt vennének a versenyen, mivel a munkáltató állja a nevezés költségeit. Emellett a munkáltató pólókat is biztosít a versenyre, ezért a munkavállalók pólóméretét továbbítania kell a pólót készítő vállalkozás részére. Ez két különböző adattovábbítást jelent, és mindkettőhöz egymástól függetlenül önkéntes hozzájárulást tud adni a munkavállaló anélkül, hogy ennek bármilyen következménye lenne a munkaviszonyára nézve.
A hozzájárulás jogalapjának egyik speciális esete az Infotv. 6. § (3) bekezdésében megfogalmazott kivétel, amelynek alapján 16 éven aluli kiskorúakat érintő adatkezelések jogszerűségéhez szükséges a szülő beleegyezése. Az Mt. ezzel szemben más szabályokat tartalmaz a kiskorúak munkavállalásával kapcsolatban. A munkahelyi adatkezelések során párhuzamosan figyelemmel kell lenni mind az Infotv., mind az Mt. sajátos