Adatvédelmi tájékoztató

TRIVIUM EGYESÜLET

Adatvédelmi szabályzat 2018
.

Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: GDPR), az információs önrendelkezési jogról és az információszabadságról szóló jogszabály alapján a Trivium Egyesület adatvédelmének, adatbiztonságának és adatkezelésének rendjében az alábbi szabályok szerint jár el.

Az adatkezelő adatai, elérhetőségei

Cégnév: Trivium Egyesület
Cég székhelye: HU-2721 Pilis, Bicskei út 16.
Telefon: +36 29 954 303
E-mail címe: trivium@triviumnet.hu
Nyilvántartásba-vételi szerv: Budapest Környéki Törvényszék
Nyilvántartási szám: 13-02-0005551
Adószám: 18725605-1-13
Adatvédelmi nyilvántartási szám: NAIH-127553/2017
Engedély száma: 262/2017.

Adatkezeléssel rendelkező tagok: Czinkos Éva, Fazekas Beáta, Ripp Gábor, Tárcza Zoltán

1. AZ ADATVÉDELMI SZABÁLYZAT CÉLJA ÉS HATÁLYA

1.1. Az Adatvédelmi szabályzat célja, hogy a triviumnet.hu domain alatt működő honlap látogatóit, illetve az Adatvédelmi szabályzat olvasóit tájékoztassa az egyesület működésével összefüggő adatkezelésekről a személyes adatok védelmét szabályozó jogszabályok rendelkezéseinek megfelelően.

1.2. Az Adatvédelmi szabályzat személyi hatálya kiterjed a Trivium Egyesületnél megbízási jogviszony alapján munkát végző természetes személyre, aki tevékenysége során személyes adatot kezel, továbbá a Adatvédelmi szabályzat tárgyi hatálya kiterjed a Trivium Egyesület által bármely célból kezelt személyes adatoknak valamennyi nyilvántartására, függetlenül azok megjelenési formájától.

2. ÉRTELMEZŐ RENDELKEZÉSEK

Személyes adat: bármely meghatározott, azonosított vagy azonosítható természetes személlyel kapcsolatba hozható adat és az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható (amennyiben az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek).

Különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, valamint a kóros szenvedélyre vonatkozó és a bűnügyi személyes adat.

Adatalany/érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, például az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése.

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése.

Adatfeldolgozó: az személy vagy szervezet, aki/amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – az adatok feldolgozását végzi.

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. Különleges adatok esetében szükséges az írásos forma.

Tájékoztatás: az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés a hozzájárulásán alapul-e vagy kötelező, továbbá egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik jogosultak az adatok megismerésére. A tájékoztatásnak magába kell foglalnia az érintett adatkezeléssel kapcsolatos jogait és jogorvoslati lehetőségeit is.

Tiltakozás: az érintett nyilatkozatával személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.

Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása és megsemmisítése elleni műszaki és szervezési megoldások rendszere.

Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.

Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.

Harmadik ország: minden olyan állam, amely nem az Európai Gazdasági Térség tagja.

Adatvédelmi tisztviselő: olyan szereplő az adatkezelő vagy az adatfeldolgozó oldalán, aki ismeri az adatvédelmi szabályokat és gyakorlatot, illetve az adatkezelő/adatfeldolgozó működését. Tájékoztat és szakmai tanácsot ad az adatkezelő/adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére; ellenőrzi az adatvédelmi rendelkezéseknek és belső szabályoknak való megfelelést, kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, amelyet nyomon is követ. Együttműködik a felügyeleti hatósággal, az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a hatóság felé, adott esetben konzultációt folytat vele.

3. ÁLTALÁNOS RENDELKEZÉSEK

  • Az Adatvédelmi szabályzat hatálya alá tartozó személyes adatok a Trivium Egyesület kezelésében állnak.

  • Az érintett önkéntes hozzájárulása adja a személyes adatok kezelésének jogalapját. Az Adatvédelmi szabályzat értelmében a Trivium Egyesület az abban meghatározott célokból különleges adatot nem kezel. A megadott személyes adatok kezelése kizárólag az érintett hozzájárulásának visszavonásáig történik.

  • Harmadik személy részére a személyes adatok nem kerülnek továbbításra. A megadott személyes adatokhoz kizárólag a Trivium Egyesület adatkezelési engedéllyel rendelkező tagjai férhetnek hozzá.

  • A Trivium Egyesület az általa kezelt személyes adatok biztonsága érdekében biztosítja az adatok védelmét, és kialakítja a korábban említett hazai és nemzetközi jogszabályok betartásához szükséges eljárási szabályokat.

  • A Trivium Egyesület nem engedi a kezelt személyes adatokhoz történő jogosulatlan hozzáférést, az adatok megváltoztatását, továbbítását, nyilvánosságra hozását, törlését vagy megsemmisítését, valamint védelmet biztosít a véletlen megsemmisülés és sérülés ellen.

4. ADATKEZELŐK ÉS ADATFELDOLGOZÁS

4.1. A Trivium Egyesület képviseletében eljáró személy, aki személyes adat birtokába jut, ilyet munkaköre vagy tisztsége alapján kezel, köteles védeni és őrizni a személyes adatokat, és minden intézkedést megtenni annak érdekében, hogy azok megfelelő védelmét biztosítsa.

4.2. A Trivium Egyesület képviseletében adatkezelést/adatfeldolgozást végző személyek felelősséggel tartoznak mindazon károkért, amelyek adatkezelési, adatvédelmi kötelezettségük megszegéséből származik.

4.3. Az adatfeldolgozó által végzett adatkezelést olyan írásbeli szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót a Trivium Egyesülettel szemben, és meghatározza az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait. Szerződésben vagy más jogi aktusban szükséges rögzíteni továbbá az arra vonatkozó előírásokat, hogy az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli, kivéve akkor, ha az adatkezelést jogszabály írja elő; hogy az adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak. Rögzíteni kell, hogy betartja az adatkezelés biztonsága érdekében szükséges biztonsági intézkedéseket, és hogy a további adatfeldolgozó igénybevételére vonatkozóan tiszteletben tartja a GDPR által előírt feltételeket.

4.4. Az adatfeldolgozó a szerződés szerint az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel segíti az adatkezelőt az érintetti jogok gyakorlása során a kapcsolódó kérelmek megválaszolása tekintetében, és segíti az adatkezelőt elsősorban az adatvédelmi incidens bejelentésének, az adatvédelmi hatásvizsgálat lefolytatásának és az előzetes konzultációnak a teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat. Az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha jogszabály a személyes adatok tárolását írja elő. Az adatkezelő a szerződés értelmében rendelkezésére bocsát minden információt, amely a fenti kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

5. AZ ÉRINTETT HOZZÁJÁRULÁSA MINT AZ ADATKEZELÉS JOGALAPJA

5.1. Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, úgy a Trivium Egyesületnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez megfelelően hozzájárult.

5.2. Az „érintett hozzájárulása” akkor tekinthető az adatkezelés érvényes jogalapjának, amennyiben az az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

5.3. Az érintett hozzájárulása során biztosítani kell azt, hogy valódi választási lehetőség álljon az érintett rendelkezésére. Nem minősül önkéntesnek a hozzájárulás akkor, ha az érintettnek nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

5.4. A hozzájárulás nem szolgálhat érvényes jogalapként akkor, ha az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn.

5.5. Az adatkezelőnek biztosítania kell azt, hogy az érintett a hozzájárulását bármikor visszavonhassa. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell.

6. AZ ÉRINTETTEK JOGAI ÉS AZOK ÉRVÉNYESÍTÉSE

6.1. TÁJÉKOZTATÁSI KÖTELEZETTSÉG

6.1.1. Az érintettek részére a személyes adatok megszerzésének időpontjában tájékoztatást kell adni a személyes adatok kezelésének tényéről, céljáról, jogalapjáról, a kezelt adatok köréről, az adatkezelés módjáról, időtartamáról vagy az időtartam meghatározásának szempontjairól, az adattovábbítás szabályairól, az érintett személyes adatot érintő jogairól, a felügyeleti hatósághoz címzett panasz benyújtásának jogáról, a Trivium Egyesület adatkezelőjének nevéről és elérhetőségéről, kivéve, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

6.1.2. A tájékoztatás mellett az érintett figyelmét kifejezetten fel kell hívni a tiltakozáshoz való jog érvényesítésének lehetőségére, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

6.1.3. A tájékoztatásokat tömör, átlátható módon, elkülönítetten kell megjeleníteni: a megbízási vagy más munkavégzésre irányuló egyéb jogviszonyt létesítő személyek részére a jogviszony létrejöttekor, az általános tájékoztatás keretében a szerződés mellékleteként.

6.2. AZ ÉRINTETT TÁJÉKOZTATÁSHOZ VALÓ JOGA

6.2.1. Az érintett – jogosultsága igazolását követően befogadott – kérelmére az adatvédelmi tisztviselő a kérelem beérkezésétől számított 30 napon belül tájékoztatást ad az érintettet illetően folyamatban lévő adatkezelésről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő maximum további két hónappal meghosszabbítható a tájékoztatást kérő személy tájékoztatása mellett. A személyes adatokhoz való hozzáférést úgy kell biztosítani, hogy ez alatt az érintett más személy adatait ne ismerhesse meg.

6.3. A HELYESBÍTÉSHEZ VALÓ JOG

Az érintett – jogosultsága igazolását követően befogadott – kérelmére az adatvédelmi tisztviselő indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozó pontatlan vagy hiányos személyes adatokat.

6.4. AZ ADATKEZELÉS KORLÁTOZÁSÁHOZ VALÓ JOG

Az érintett – jogosultsága igazolását követően befogadott – kérelmére az adatvédelmi tisztviselő korlátozza az adatkezelést, ha annak GDPR-ban, illetve jogszabályban foglalt feltételei fennállnak. Amennyiben az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni. Az érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni kell.

6.5. A TÖRLÉSHEZ VALÓ JOG

6.5.1. Az érintett – jogosultsága igazolását követően befogadott – kérelmére az adatvédelmi tisztviselő indokolatlan késedelem nélkül törli az érintett személyes adatait vagy azoknak az érintett által meghatározott körét, amennyiben annak GDPR-ban, illetve jogszabályban foglalt feltételei fennállnak.

6.5.2. Amennyiben a Trivium Egyesület nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével köteles megtenni az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlése érdekében.

6.6. A TILTAKOZÁSHOZ VALÓ JOG

Amennyiben a Trivium Egyesület az érintett adatait azon a jogalapon kezeli, miszerint az adatkezelés közérdekű feladat végrehajtásához vagy a Trivium Egyesület (vagy egy harmadik fél) jogos érdekeinek érvényesítéséhez szükséges, úgy az érintett ezen személyes adatok kezelése ellen tiltakozhat. Ebben az esetben a Trivium Egyesület a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

6.7. A JOGORVOSLATHOZ VALÓ JOG

Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett az adatvédelmi tisztviselőhöz fordulhat, aki a bejelentést köteles megvizsgálni. Alapos bejelentés esetén az Iroda vezetőjénél intézkedést kezdeményez, ellenkező esetben azt elutasítja. Az elutasításról az érintettet a bejelentés kézhezvételét követő 30 napon belül írásban tájékoztatja, az elutasítás ténybeli és jogi indokait is közölve. Elutasítás esetén az érintettet tájékoztatni kell a bírósági jogorvoslat, továbbá a felügyeleti szervhez fordulás lehetőségéről is.

7. AZ ADATKEZELÉS BIZTONSÁGA

7.1. ADATBIZTONSÁGI SZABÁLYOK

7.1.1. A Trivium Egyesület az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ez magába foglalja a személyes adatok kezelésére használt rendszerek és szolgáltatások bizalmas jellegének folyamatos biztosítását, valamint az adatsérülés vagy adatvesztés elkerülése érdekében rendszeres biztonsági másolatok készítését annak érdekében, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; továbbá tartalmazza az intézkedések hatékonyságának rendszeres évente történő felülvizsgálatát.

7.1.2. A Trivium Egyesület megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.

7.1.3. Személyes adatot tartalmazó irat nem hagyható olyan helyen, ahol harmadik személy is hozzáférhet. Az ilyen iratok elzárásáról azokban az irodákban, illetve személyzeti helyiségekben is gondoskodni kell, ahol az illetékes iratkezelőkön kívül más, harmadik személy is megfordulhat.

7.1.4. Az adathordozók elhelyezéséről és fizikai védelmének szintjéről az irodavezető az adatvédelmi tisztviselővel egyeztetve dönt.

7.1.5. Az adatkezelési rendszer környezetének védelméről a helyi adottságok figyelembevételével kell gondoskodni.

7.1.6. A manuálisan kezelt személyes adatok elvesztésének megelőzése érdekében eredeti iratokat csak hivatalos ügyintézés, különösen bírósági eljárás vagy nyomozati eljárás során lehet kiadni. Kiadást megelőzően az eredeti iratokról az illetékes szervezeti egységnél történő megőrzés céljára hiánytalan másolatot kell készíteni.

7.1.7. Személyes adatokat ért sérülés vagy megsemmisülés esetén a rendelkezésre álló egyéb adatforrásokból meg kell kísérelni a lehetséges mértékig a károsodott adatok pótlását. Az adatpótlásba be kell vonni azon illetékes adatkezelő személyt, aki az adatok rögzítésében közreműködött. A pótolt adatokon a pótlás tényét fel kell tüntetni.

7.2. ADATVÉDELMI TISZTVISELŐ

7.2.1. Az adatvédelmi tisztviselő tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban, ellenőrzi a Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, a belső Adatvédelmi szabályzatoknak való megfelelést. Szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését; együttműködik és kapcsolatot tart a felügyeleti hatósággal, valamint adott esetben konzultációt folytat vele. Közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában, kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az illetékes adatkezelőt vagy az adatfeldolgozót, továbbá gondoskodik az adatvédelmi ismereteknek az érintettek felé történő oktatásáról. Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

7.2.2. Az adatvédelmi tisztviselő nyilvántartást vezet:

  • A Trivium Egyesületben végzett adatkezelési tevékenységekről. (A nyilvántartás tartalmazza az adatkezelő szervezeti egység nevét és elérhetőségét, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a nevét és elérhetőségét; az adatkezelés céljait; az érintettek, valamint a személyes adatok kategóriáinak ismertetését. Amennyiben lehetséges, a különböző adatkategóriák törlésére előirányzott határidőket, valamint az adatvédelmi biztonsági technikai és szervezési intézkedések általános leírását, továbbá egyéb, jogszabályban vagy uniós jogban meghatározott adatokat is tartalmazza. A nyilvántartást írásban/elektronikusan kell, folyamatosan naprakészen tartani.)

  • Az észlelt adatvédelmi incidensekről.

  • A végzett adattovábbításról.

  • Az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódhat, feladatai ellátása során a személyes adatokhoz és az adatkezelési műveletekhez hozzáférhet.

  • Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől sem fogadhat el.

  • Az adatvédelmi tisztviselő más feladatokat is elláthat. Amennyiben a Trivium Egyesület az adatvédelmi tisztviselőt más feladatokkal is megbízza, abban az esetben biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

7.3. ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ

Amennyiben az adatkezelés valamely – különösen új technológiákat alkalmazó, típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira – valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, a Trivium Egyesület az adatkezelést megelőzően hatásvizsgálatot végez erre vonatkozóan.

Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázatú, a személyes adatok kezelését megelőzően az adatvédelmi felelős konzultál a felügyeleti hatósággal (előzetes konzultáció).

7.4. ADATVÉDELMI INCIDENS KEZELÉSE

7.4.1. Amennyiben a Trivium Egyesület képviseletében eljáró adatkezelő személy akár saját, akár más, a Trivium Egyesület képviseletében végzett adatkezelése körében adatvédelmi incidens megtörtént észleli, vagy arról tudomást szerez, azt a bejelentésre szolgáló lapon haladéktalanul jelezni köteles kell az adatvédelmi tisztviselő számára.

7.4.2. Amennyiben az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, úgy az adatvédelmi incidenst az adatvédelmi tisztviselő indokolatlan késedelem nélkül, legkésőbb 72 órával azt követően, hogy az adatvédelmi incidens észlelésre került, bejelenti a felügyeleti hatóságnak az érintettek kategóriáinak és hozzávetőleges számának, valamint az incidenssel érintett adatok kategóriáinak és hozzávetőleges számának (valamint a lehetséges következményeknek) a közlésével. Ebben ismertetni kell a megtett és szándékozni tett orvosló intézkedéseket is. Ha a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is.

7.4.3. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Trivium Egyesület – elsősorban az adatvédelmi tisztviselő útján – indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell azokat az információkat, amelyek a felügyeleti hatóság felé is bejelentésre kerültek.

7.4.4. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  • megfelelő technikai és szervezési védelmi intézkedések az adatvédelmi incidenssel érintett adatkezelési körben végrehajtásra kerültek, különösen azokat az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

  • az adatvédelmi incidenst követően olyan további intézkedéseket kerültek végrehajtásra, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően megszűnt;

  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

7.4.5. Az adatvédelmi incidensre tekintettel meghozott intézkedések végrehajtását követően az Iroda felméri az intézkedések hatékonyságát, szükség esetén az érintett adatkörben újabb kockázatelemzést végez.

8. ADATTOVÁBBÍTÁS

8.1. A Trivium Egyesület szervezetrendszerén belül a személyes adatok – a feladat elvégzéséhez szükséges mértékben és ideig – olyan szervezeti egységhez vagy személyhez továbbíthatók, amelynek/akinek a tisztségéből fakadó vagy munkaköri feladata ellátásához a személyes adatok megismerése és kezelése szükséges.

8.2. Olyan megkeresés, amely a Trivium Egyesület által kezelt személyes adat továbbítására irányul, kizárólag abban az esetben teljesíthető, amennyiben az adattovábbításra jogszerű cél és jogalap igazolhatóan fennáll. Más esetben az adattovábbítás teljesítését meg kell tagadni.

8.3. Külföldre irányuló adattovábbítás esetén az adattovábbítást végzőnek külön meg kell győződnie arról, hogy a külföldre történő adattovábbítás GDPR-ban előírt feltételei fennállnak-e.

8.4. Személyes adatok továbbítása során, amennyiben az postai küldeményként történik, biztosítani kell, hogy a küldemény zártan kerüljön feladásra.

9. MANUÁLISAN KEZELT SZEMÉLYES ADATOK

9.1. A manuálisan kezelt személyes adatok biztonsága érdekében az alábbi intézkedéseket kell végrehajtani: az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni, a személyzeti, a bér- és munkaügyi iratokat biztonságosan elzárva kell tartani, és a jelen Adatvédelmi szabályzatban meghatározott adatkezelések iratainak archiválását rendszeresen el kell végezni. Az archivált iratokat a Trivium Egyesület iratkezelési és selejtezési Adatvédelmi szabályzatának, valamint az irattári terveknek megfelelően kell kezelni.

9.2. Az személyes adatot tartalmazó dokumentációt tároló helyiségek, illetve szekrények kulcsához való hozzáférés rendjét az Iroda vezetője határozza meg.

10. ELEKTRONIKUSAN KEZELT SZEMÉLYES ADATOK

10.1. Amennyiben a Trivium Egyesület olyan elektronikus rendszerben kezel személyes adatot, amelybe csak a hozzáférési listára felvett, nyilvántartott, illetékes adatkezelő léphet be, úgy az illetékes adatkezelőnek egyéni, titkos jelszóval kell bejelentkeznie a rendszerbe. Az adatkezelés befejeztével a rendszerl ki kell lépni. A rendszerben törnt, jelszóval védett adatkezelért az adatkezelő felel. Az ilyen elektronikus rendszerben automatikusan beírt és megjegyzett jelszó nem használható. Az egyéni jelszó az illetékes adatkezelőn kívül kizárólag az adatkezelő munkáltatói jogkör gyakorlója által, az adatkezelési szoftver fejlesztését, üzemeltetését ellátó informatikai munkatársak által, valamint az adatvédelmi tisztviselő által ismerhető meg, ha az a egyesületnél elvégzendő feladatuk ellátásához szükségessé válik.

10.2. Az adatkezelésre használt szátógépek adatbevitelre, lerdezésre alkalmas állapotban történő, felügyelet nélkül hagyása tilos.

10.3. Az egyesület elsősorban olyan adatkezelési rendszert alkalmazhat, amely a rendszerbe történt belépést regisztrálja, illetve a rögzített adatokról megállapítható, hogy az adatrögtés ki által és milyen időpontban történt.

11. ZÁRÓ RENDELKEZÉSEK

11.1. Jelen Adatvédelmi szabályzatot a Trivium Egyesület honlapján nyilvánosan elérhetővé kell tenni.

11.2. Jelen Adatvédelmi szabályzat elfogadásának napján lép hatályba, és visszavonásig hatályos.

11.3. A jelen Adatvédelmi szabályzatban nem meghatározott kérdésekben az Infotv. szabályai az irányadók.

Jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/c
Postacím: 1530 Budapest, Pf.: 5.
Telefon: +36 (1)391-1400
URL:
https://naih.hu
E-mail: ugyfelszolgalat@naih.hu

Az adatvédelmi tájékoztató ITT letölthető.

.