Barion Pixel

Adatvédelmi tájékoztató

1.    BEVEZETŐ

A Magyarországi Református Egyház Bethesda Gyermekkórháza ezúton tájékoztatja az akademia.bethesda.hu weboldal (továbbiakban: weboldal) használatával, és a weboldalon nyújtott szolgáltatásokkal kapcsolatos személyes adatok kezelése körében követett gyakorlatáról, az adatok védelme érdekében megtett szervezési és technikai intézkedéseiről, valamint az adatkezeléssel kapcsolatos jogairól, jogai érvényesítésének lehetőségeiről.

A jelen tájékoztató és az adatkezelés során a vonatkozó hatályos jogszabályok szerint járunk el, különös tekintettel az alábbiakra:

  • 2016/679 EU rendelet (GDPR: Általános Adatvédelmi Rendelet, továbbiakban: Rendelet)
  • Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info. törvény)
  • Az elektronikus kereskedelmi szolgáltatások valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (továbbiakban: Ektv.)
  • A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény.


2.    A SZEMÉLYES ADATOKKAL KAPCSOLATOS ALAPVETŐ FOGALMAK ÉS ÉRTELMEZÉSEIK

személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi


3. AZ ADATKEZELŐ

Adatkezelő: Magyarországi Református Egyház Bethesda Gyermekkórháza
Címe: 1146 Budapest, Bethesda utca 3.
Főigazgató: Dr. Velkey György János
e-mail: bethesda@bethesda.hu


4. AZ ADATKEZELÉS ALAPELVEI

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

A személyes adatok gyűjtése csak célhoz kötötten, meghatározott, egyértelmű és jogszerű célból történhet. A kezelt adatoknak az adatkezelés célja szempontjából megfelelőek és relevánsak kell lenniük, és a szükséges mértékre kell korlátozódniuk.

A kezelt adatoknak pontosnak, és szükség esetén naprakésznek kell lenniük. Minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.


5. AZ ÉRINTETTEK KÖRE

Az adatkezeléssel érintettek az Adatkezelő által üzemeltetett weboldalt meglátogató azon személyek, akik regisztrálnak a honlapon, annak érdekében, hogy a  weboldalon kínált online vagy személyes kurzuson, konferencián, tréningen részt vegyenek és annak díját megfizessék (kivéve, ha ingyenes a szolgáltatás).


6. A KEZELT ADATOK

6.1. A Weboldalon ismeretterjesztő, tudományos előadás, workshop, kurzus, konferencia, tréning megrendeléséhez kapcsolódó regisztráció esetén az Adatkezelő az érintett következő adatait kezeli: név, beosztás, telefonszám, email cím, lakcím, munkahely neve, munkahely címe. /szakember képzésre jelentkezése esetén pecsétszám/nyilvántartási szám./

6.2. A weboldalt látogatók kezelt adatai: a weboldal használata során különböző típusú cookie-k, azaz sütik kerülhetnek feltelepítésre az érintett látogató eszközére (a sütikről való részletes tájékoztatást lásd a 11. pontban). Az egyes sütik tárolhatják a látogató IP-címét, vagy annak valamely részét, a böngésző típusát, a weboldal használatára vonatkozó adatokat (látogatás ideje, felkeresett oldalak, munkamenet időtartama, kattintások száma).


7. AZ ADATKEZELÉS CÉLJA

7.1.  Online vagy személyes ismeretterjesztő, tudományos előadás, workshop, kurzus, konferencia, tréning megrendelése esetén az adatkezelés célja a megrendelés rögzítése, visszaigazolása, a megrendelés teljesítése (a workshop típusától függően online vagy helyszíni teljesítéssel).

A telefonszám megadása esetén a telefonszám kezelésének célja a workshop megrendelésével és teljesítésével kapcsolatos egyeztetés, kapcsolattartás. A számlázási nevet, címet, adószámot az Adatkezelő a számla kiállításához kezeli.

7.2. A weboldal működése során használ sütik céljáról a 11. pontban található tájékoztatás.


8. AZ ADATKEZELÉS JOGALAPJA

8.1. Ismeretterjesztő, tudományos előadás, workshop, kurzus, konferencia, tréning megrendelése esetén az érintett megrendelő neve, e-mail címe, számlázási név, cím, beosztás, telefonszám, munkahely neve, munkahely címe. /szakemberképzésre jelentkezése esetén pecsétszám/nyilvántartási szám/ tekintetében az adatkezelés jogalapja a Rendelet 6. cikk (1) bek. b) pontja és az Ektv. 13/A. §. /

Ezen adatok az ismeretterjesztő, tudományos előadás, workshop szolgáltatására vonatkozó szerződés létrejöttéhez és teljesítéséhez szükségesek. Ezen adatok nélkül a szerződés nem jöhet létre és nem teljesíthető (a megrendelő nem tudja leadni megrendelését, az Adatkezelő nem tud számlázni, és teljesíteni a workshopot).

A telefonszám, email cím, az adószám, pecsétszám/nyilvántartási szám, munkahely neve, munkahely címe adat kezelése az érintett önkéntes hozzájárulásán alapul (Rendelet 6. cikk (1) bek. a) pont). Az adószám annak megadása esetén a számlán kerül feltüntetésre.

8.2. A weboldalon keresztül elküldött érdeklődés esetén megadott adatok esetén az adatkezelés jogalapja az érintett önkéntes hozzájárulása (Rendelet 6. cikk (1) bek. a) pont).

8.3. A weboldalon keresztül az érintett látogató gépére települő sütik esetén az adatkezelés jogalapja:

Olyan sütik esetén, amelyek a weboldal működéséhez, a weboldalon nyújtott szolgáltatások, funkciók igénybevételéhez technikailag szükségesek: Ektv. 13/A. §., Rendelet 6. cikk (1) bek. b) pontja.

Olyan sütik esetén, amelyek kényelmi vagy marketing funkciót, vagy a weboldal használatának elemzését, teljesítményének javítását szolgálják: az érintett önkéntes hozzájárulása (Rendelet 6. cikk (1) bek. a) pont).

8.4. Az Adatkezelő az érintett adatait akkor is kezelheti, ha ez jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. (Rendelet 6. cikk (1) bek. f) pont). Ilyen eset lehet, ha az Adatkezelőnek az érintettel szemben követelése (pl. kiegyenlítetlen számlája) áll fenn.


9. AZ ADATKEZELÉS IDŐTARTAMA

9.1. A weboldalon történő ismeretterjesztő, tudományos előadás, workshop, kurzus megrendelést követően az Adatkezelő az adatokat addig kezeli, ameddig az a megrendelés, szerződés teljesítéséhez szükséges. Az Adatkezelő az adatot legkésőbb a teljesítéstől számított 1 év elteltével automatikusan törli, kivéve a 9.3. pontban foglalt eseteket, illetve ha az adatkezelésnek más jogalapja is fennáll.

9.2. Amennyiben az érintett személyes adatai szerepelnek a számlán, az Adatkezelő a számvitelről szóló 2000. évi C. törvény 169. §-a alapján e bizonylatokat köteles 8 évig megőrizni. Azokat az adatokat, amelyek adózáshoz kapcsolódó iratokon szerepelnek (pl. megrendelésen, szerződésen, az adózás rendjéről szóló 2017. évi CL. törvény 78. § alapján az adó megállapításához való jog elévüléséig, a halasztott adó esetén a halasztott adó esedékessége naptári évének utolsó napjától számított 5 évig kell megőrizni.

9.3. A weboldalon keresztül elküldött érdeklődés esetén kezelt adatokat az Adatkezelő addig kezeli, amíg az érintettnek a kért tájékoztatást megadja. Az Adatkezelő az adatot legkésőbb ezt követő 1 év elteltével automatikusan törli, kivéve, ha az érintett ismét megkereste az Adatkezelőt. Ismételt megkeresés esetén az Adatkezelő a személyes adatot a tájékoztatás teljesítésétől számított legkésőbb 1 évig kezeli.

9.4. A sütik élettartamáról a 11. pontban találhat tájékoztatást. A Facebookon a Weboldal „kedvelt”-ként való megjelölése, illetve feliratkozás esetén az adatkezelés az érintett törlési kérelméig tart (leiratkozás, megjelölés visszavonása).


10. AZ ADATOKHOZ HOZZÁFÉRŐK (CÍMZETTEK) KÖRE

10.1. A személyes adatokhoz hozzáférhetnek az Adatkezelő erre felhatalmazott munkavállalói, vele szerződéses viszonyban álló megbízottai, akik feladatának ellátásához személyes adatokhoz való hozzáférés szükséges, továbbá az Adatkezelő vezető tisztségviselője és helyettese, valamint munkatársai és az adatvédelmi tisztviselő.

Személyes adatokat harmadik személyeknek kizárólag adatfeldolgozás céljából adunk át. Az adatfeldolgozó a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

10.2. A weboldal használatának elemzése (Google Analytics)
Az Adatkezelő a weboldal használatának elemzésére a Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; e-mail: data-protection-office@google.com) által működtetett Google Analytics szolgáltatást használja.

A Google Analytics sütiket (cookie-kat) alkalmaz, amelyek a felhasználó eszközén kerülnek eltárolásra, és amelyek segítségével statisztikai jelentés készül a weboldal használatáról, a látogatók egyedi azonosítása nélkül.

A szolgáltatás igénybevétele során sor kerülhet személyes adatoknak (pl. IP-cím részleges) továbbítására a Google szervereire.

A Google LLC – a Standard Contractual Clauses (SCC) és az EU–USA Data Privacy Framework alapján – megfelelő garanciát nyújt a személyes adatok védelmére.

A Google Analytics igénybevételekor az Adatkezelő, amennyiben lehetséges, él az IP-anonimizálás lehetőségével, így a Google csak az érintettek IP-címének csonkolt (részlegesen anonimizált) változatát kezeli.

A Google Analytics szolgáltatásról és az adatkezelés letiltásának lehetőségeiről bővebb információ a https://policies.google.com/privacy és a https://tools.google.com/dlpage/gaoptout oldalakon érhető el.


11. A WEBOLDALON HASZNÁLT SÜTIK (COOKIE-K)

A Weboldalon alkalmazott sütik (cookie-k) részben a weboldal működéséhez feltétlenül szükségesek, részben pedig az oldalon kínált felhasználói élmény fokozását, statisztikai adatgyűjtést vagy marketingcélokat szolgálnak.
Munkamenet (session) sütik: a látogató böngésző bezárásáig tárolódnak. Ezek használata elengedhetetlen a weboldal megfelelő működéséhez.

Használatot támogató sütik: megjegyzik a felhasználó korábbi beállításait (pl. nyelv, betűméret), megkönnyítve a böngészést. Tárolási időtartamuk jellemzően rövid, néhány naptól néhány hónapig terjedhet.

Teljesítményt biztosító, statisztikai sütik: pl. a Google Analytics (_ga, _gid, stb.). E sütik információt gyűjtenek a weboldal látogatottságáról, a felhasználók böngészési szokásairól. Segítségükkel az Adatkezelő fejleszteni tudja a weboldalt. Tárolási időtartamuk általában 1 nap és 2 év között változhat. A pontos időtartam a böngésződben vagy a Google vonatkozó beállításainál ellenőrizhető.

Hirdetési, marketing sütik: segítségükkel a felhasználó korábbi tevékenysége alapján jeleníthetők meg személyre szabott hirdetések. Ha a weboldal alkalmaz ilyen sütiket, a látogató előzetes hozzájárulása szükséges, és bármikor visszavonható.

A sütik használatához való hozzájárulás és a sütik kezelése

A weboldal látogatója a böngésző beállításaiban vagy a megjelenő sütibanner (cookie banner) használatával tudja megadni, illetve visszavonni a hozzájárulást. Amennyiben nem járul hozzá bizonyos sütik használatához, előfordulhat, hogy a weboldal egyes funkciói nem lesznek teljes körűen elérhetők.

A Google Analytics esetén lehetőség van a követés letiltására a https://tools.google.com/dlpage/gaoptout böngészőbővítmény letöltésével, vagy a böngésző saját sütibeállításainak módosításával.”


12. A SZEMÉLYES ADATOK BIZTONSÁGA

Az Adatkezelő az adatok kezelése és tárolása során a technika szintjének megfelelő intézkedésekkel (pl. tűzfal) biztosítja a kezelt és tárolt adatok biztonságát, az illetéktelen személyek részéről való hozzáféréstől és az illetéktelen módosítástól, megváltoztatástól való védelmét.

Az Adatkezelő az adatok kezelése során az elvárt védelmi szintet nyújtja.


13. AZ ÉRINTETT ADATKEZELÉSSEL KAPCSOLATOS JOGAI, JOGORVOSLATI LEHETŐSÉGEK  

a. Az érintett hozzáférési joga

  • Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és kapcsolódó információkhoz hozzáférést kapjon.
  • Az Adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.

b. A helyesbítéshez való jog

  • Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.
  • Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

c. A törléshez való jog („az elfeledtetéshez való jog”)

[A GDPR 17. cikke (3) bekezdése alapján nem alkalmazható abban az esetben, ha az adatkezelés jogalapját személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése írja elő, illetve jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez esetén.]

  • Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat,
  • az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha
    • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
    • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
    • az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
    • a személyes adatokat jogellenesen kezelték;
    • a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
    • a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

d. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  • az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

e. Az adathordozhatósághoz való jog

[A GDPR 20. cikke (1) bekezdése alapján csak hozzájárulásos és szerződéses jogalap alapján alkalmazható.]

  • Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
  • Az érintett jogosult arra, hogy - ha ez technikailag megvalósítható - kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
  • Ezen jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges

f. A tiltakozáshoz való jog

  • Az érintett saját helyzetével kapcsolatos okokból bármikor tiltakozhat személyes adatainak közérdekű célból, vagy a jogos érdek érvényesítésén alapuló kezelése ellen.
g. Az érintett tájékoztatása az adatvédelmi incidensről
  • Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a GDPR 34. cikk (1)-(2) bekezdésében foglaltakat.
  • Az érintettet nem kell az tájékoztatni, ha GDPR 34. cikk (3) bekezdésében foglalt feltételek bármelyike teljesül.
h. Visszavonási jog
  • Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

i. Felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

  • Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási szabályokról.

Nemzeti Adatvédelmi és Információszabadság Hatóság
székhely (ügyfélszolgálat): 1125 Budapest, Szilágyi Erzsébet fasor 22/C;
postacím: 1530 Budapest Pf. 5;
honlap: http://www.naih.hu;
telefon: (+36 1) 391 1400;
e-mail: ugyfelszolgalat@naih.hu

j. Bírósághoz fordulás joga

  • Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.


6.) A JOGÉRVÉNYESÍTÉS MÓDJA, HATÁRIDŐK
Az Adatkezelő köteles:
  • Az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíteni, továbbá
  • Az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálni és döntéséről az érintettet írásban, vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.
  • Költségeinek megtérítését követelheti az érintettől, ha az érintett Infotv. 15. § (3) bek. a) és b) pontban foglaltak szerinti ismételt és megalapozatlan kérelmének érvényesítésével összefüggésben közvetlenül felmerült.


7.) ADATFELDOLGOZÓK IGÉNYBEVÉTELE

Az adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Az Adatkezelő olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak - különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében - arra vonatkozóan, hogy a jogszabályokban meghatározott követelmények teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.

Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti adatfeldolgozót az Adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is.

Az adatkezelésnek az Adatkezelő nevében való elvégzését követően az adatfeldolgozó az Adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.


8.) KÖZÖS ADATKEZELÉSEK

Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg a kötelezettségeik teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.


9.) AZ ADATKEZELÉS IDŐTARTAMA

A személyes adatok tárolása

  • uniós, vagy tagállami jogban meghatározott időtartamig, vagy
  • személyes adatok kezelése céljainak eléréséhez szükséges ideig, vagy
  • a személyes adatok kezeléséhez adott hozzájárulás visszavonásáig, vagy
  • a személyes adatok megsemmisüléséig, felismerhetetlenné válásáig, vagy
  • irányadó jogszabályokban meghatározott feltétel esetén bekövetkező törlési időpontjáig
tart.


10.) ADATVÉDELMI INCIDENS

a. Az adatvédelmi incidens fogalma

Az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

b. Az adatvédelmi incidensek fajtái

I. „titoksértés”: személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés;

II. „sértetlenségi adatsértés”: személyes adatok jogosulatlan vagy véletlen módosítása;

III. „hozzáférhetőségi adatsértés”: a személyes adatokhoz való hozzáférés véletlen vagy jogosulatlan elvesztése, vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése. Ezen kör alá nem tartoznak azon esetek, amikor a személyes adatok tervezett rendszerkarbantartás miatt nem hozzáférhetőek.

c. Az adatvédelmi incidensek lehetséges következményei

Hátrányos hatásai lehetnek az egyénekre, ezek a hatások pedig fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek. Ilyen kár lehet többek között a személyes adataik feletti rendelkezés elvesztése vagy a jogaik korlátozása, a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a személyazonossággal való visszaélés, a pénzügyi veszteség, az álnevesítés engedély nélküli feloldása, a jó hírnév sérelme, valamint a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése. E körbe tartozik még az egyéneket sújtó egyéb jelentős gazdasági vagy szociális hátrány is.

d. Az Adatkezelő felelőssége

  • indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti azt az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve
  • tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, kivéve a GDPR 34.  cikk (3) bekezdése szerinti esetekben
  • megfelelő technológiai védelmi és szervezési intézkedéseket tesz meg.


11.) BIZTONSÁGI RENDELKEZÉSEK

Az Adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a vonatkozó jogszabályokkal összhangban történjen. A megfelelő intézkedések körét a tudomány és a technológia állása, a megvalósítás költségei, az adatkezelés jellege, hatóköre és körülményei, valamint a kapcsolódó kockázatok köre, és az adott szervezet sajátosságai határozzák meg. Az személyes adatok biztonságának biztosítására vonatkozó részletes szabályokat az Adatkezelő adatbiztonságra vonatkozó szabályzata, illetve eljárásrendjei határozzák meg.


12.) FELELŐSSÉGI SZABÁLYOK

Az Adatkezelő feladatai, kötelezettségei:

  • a személyes adatokat tartalmazó információk bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése;
  • megfelelő technikai és szervezési intézkedések végrehajtása, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az irányadó szabályozásokban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába;
  • az elszámoltathatóság elvének történő megfelelés,
  • adatkezelési tevékenységekről nyilvántartás vezetése
  • adatkezelési incidensek bejelentése, nyilvántartásának vezetése
  • nyilvántartás vezetése az érintett hozzáférési jogával kapcsolatos intézkedésekről
  • adatvédelmi hatásvizsgálat a GDPR 35. cikke alapján
  • biztosítani az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását;
  • adatvédelmi tisztviselőt kijelölni, továbbá biztosítani köteles számára azokat az forrásokat, amelyek az adatvédelmi tisztviselő feladatai végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.


13.) ADATVÉDELMI TISZTVISELŐ

Az adatvédelmi tisztviselő elősegíti az Adatkezelő - a személyes adatok kezelésére vonatkozó jogi előírásokban meghatározott - kötelezettségeinek teljesítését, így különösen

  • a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok által foglalkoztatott, az adatkezelési műveleteket végző személyek részére;
  • folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását;
  • elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek panaszait és kezdeményezi az adatkezelőnél, illetve az adatfeldolgozónál a panasz orvoslásához szükséges intézkedések megtételét,
  • szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását,
  • együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció és a Hatóság által lefolytatott eljárások elősegítése érdekében,
  • közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában.

Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó Adatkezelő nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.

Az adatvédelmi tisztviselő feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az Adatkezelő az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az Adatkezelő legfelső vezetésének tartozik felelősséggel.

Az Adatkezelő adatvédelmi tisztviselője: Dr. Gyarmati-Henzsel Annamária

Az Adatkezelő adatvédelmi tisztviselője mindenkor elérhető: 1146 Budapest, Bethesda utca 3., illetve a dpo@bethesda.hu e-mail címen.