1. melléklet a 2011. évi CXII. törvényhez

  

2. számú melléklet

Dányi Bóbita Szociális és Gyermekjóléti Alapellátási Központ

Állománytábla

 

Szakterület

Munkakör

Létszám

Munkaidő/nap

Szakképzettség

 

Intézmény vezetése

 Intézményvezető

1 fő

8 óra

 szociális szakvizsga, csecsemő-és kisgyermeknevelő, diplomás ápoló

 

házi segítségnyújtás

Gondozó

2 fő

8 óra

szociális ápoló és gondozó

 

szociális étkeztetés

 Asszisztens

1 fő

8 óra

szociális ápoló és gondozó

 

család- és gyermekjóléti szolgáltatás ellátás

Családsegítő

( Közülük 1 fő az intézményvezető helyettesi feladatokat is ellátja, és a család-és gyermekjóléti szolgáltatás ellátás szakmai vezetői tevékenységét)

       2 fő

8- 6óra

1 fő szakképzett szociális munkás

1 fő felmentéssel végzett munkatevékenység

 

család- és gyermekjóléti szolgáltatás ellátás

Szociális asszisztens

      1 fő

8 óra

1 fő pedagógiai és családsegítő munkatárs

 

Bölcsődei ellátás

Kisgyermeknevelő

7 fő

8 óra-/ 1 fő tartós távollét

kisgyermeknevelő- gondozó 6 fő Okj –s végzettséggel

1 fő Pedagógus minősítéssel

látja el a feladatokat

 

Bölcsődei ellátás

Kisgyermeknevelő szakmai vezető

1 fő

8 óra

Pedagógus

 

Bölcsődei ellátás

technikai személyzet

Közülük 2 fő Bölcsődei dajka

3 fő

8 óra

2 fő Tanúsítvánnyal rendelkező Bölcsődei dajka

1 fő Technikai munkatárs

 

Bölcsődei ellátás/ konyha

élelmezésvezető

1 fő

8 óra

élelmezésvezető szakképesítés OKJ

 

Bölcsődei ellátás / konyha

szakács

2 fő

8óra

Szakácsképesítés/

1 fő felmentéssel végzi a munkáját

 

Bölcsődei ellátás/ konyha

konyhai kisegítő

2 fő

8 óra

nincs szakképzettségi előírás

 

Bölcsőde ellátás

gyermekorvos

1fő

havi 8 óra

gyermek szakorvos

Dányi Bóbita Szociális és Gyermekjóléti Alapszolgáltatási Központ

Adatvédelmi és Adatkezelési Szabályzata

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2023

Tartalom

Dokumentum verzió kontroll 3

I.       Preambulum.. 3

II.      Kapcsolódó jogszabályok. 3

III.    A Szabályzat hatálya. 4

IV.         Értelmező rendelkezések. 4

V.      Az Adatkezelő adatkezelésének alapelvei 8

VI.         Az Adatkezelő adatvédelmi szervezete. 9

VII.        A személyes adatok kezelésének törvényes alapjai 10

VIII.       Az Érintettek tájékoztatása. 12

IX.     A tájékoztatás minimális tartalma. 12

X.      Az érintett adatkezeléssel összefüggő jogairól 15

XI.     Hozzájárulás. 17

XII.        Az érintett természetes személyekre vonatkozó különleges személyes adatok köre és az adatkezelés különös szabályai 18

XIII.       Adattovábbításra vonatkozó rendelkezések. 19

XIV.       Adatfeldolgozók, adatfeldolgozás. 19

XV.        Közös adatkezelők. 20

XVI.       További ügymenetek: panasz, észrevétel 20

XVII.      Bölcsődei jogviszonyhoz kapcsolódó speciális rendelkezések. 21

XVIII.         Beépített és alapértelmezett adatvédelem.. 22

XIX.       Az adatkezelési tevékenységek nyilvántartása. 23

XX.         Adatvédelmi hatásvizsgálat. 23

XXI.       Az adatvédelmi tisztviselő. 23

XXII.      Adatbiztonság - adatvédelmi incidens. 24

XXIII.     Az érintett jogorvoslati jogosultságai és a jogorvoslati jogok érvényesítésének feltételei 26

XXIV.          Záró rendelkezések. 26

 

 

 

Dokumentum verzió kontroll

Verzió

Dátum

Szerző

Megjegyzés

 

1. verzió

2019

Közinformatika Nonprofit Kft.

dokumentum elfogadása

 

2. verzió

2020

Közinformatika Nonprofit Kft.

dokumentum felülvizsgálata

 

3. verzió

2022

Közinformatika Nonprofit Kft.

dokumentum felülvizsgálata és módosítása

 

4. verzió

2023. június

Közinformatika Nonprofit Kft

dokumentum felülvizsgálata és módosítása

 

                                                                                                                                                        I.            Preambulum

A Dányi Bóbita Szociális és Gyermekjóléti Alapszolgáltatási Központ (a továbbiakban: Adatkezelő/Bölcsőde/Intézmény) az Adatvédelmi és Adatkezelési Szabályzatát az alábbiak szerint határozza meg.

 

Az Adatkezelési Szabályzat kiadásának célja, az Alaptörvényre alapulóan az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), a továbbiakban „GDPR", továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, a továbbiakban: „Info tv." rendelkezéseinek való megfelelés biztosítása, az adatkezelés és adatfeldolgozás szabályainak Adatkezelő tevékenységeire vonatkozó megállapítása, annak érdekében, hogy az érintett természetes személyek törvényben biztosított alapvető jogai és szabadságai ne sérüljenek.

 

Jelen szabályzatban nem tartalmazott eljárásrendekre a külön ívben szövegezett eljárásrendek szabályai az irányadók.

                                                                                                                                    II.            Kapcsolódó jogszabályok

Adatkezelő az adatkezelését elsődlegesen- de nem kizárólag - az alábbi jogszabályok rendelkezésivel összhangban végzi:

 

1.                  a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló az EU Parlament és Tanács 2016/679. számú Rendelete (GDPR),

2.                  az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.),

3.                  az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet (Vhr.),

4.                  Magyarország Alaptörvénye

5.                  a gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény

6.                  a személyes gondoskodást végző személyek adatainak működési nyilvántartásáról szóló 8/2000. (VIII. 4.) SzCsM rendelet

7.                  a gyámhatóságok, a területi gyermekvédelmi szakszolgálatok, a gyermekjóléti szolgálatok és a személyes gondoskodást nyújtó szervek és személyek által kezelt személyes adatokról szóló 235/1997. (XII. 17.) Korm. rendelet

 

 

                                                                                                                                         III.            A Szabályzat hatálya

1.   § A Szabályzat hatálya kiterjed

(1)                               Az Adatkezelő valamennyi szervezeti egységére,

(2)                              Az Adatkezelő valamennyi dolgozójára, függetlenül a munkavégzés jogviszonyától   (közszolgálati, közalkalmazotti, munkaviszony, munkavégzésre irányuló egyéb         jogviszony),

(3)                                        Az adatfeldolgozóra, továbbá az Adatkezelővel szerződéses jogviszonyban álló egyéb szervezetekre („Harmadik személy") és alkalmazottaira, akik az Adatkezelő által kezelt személyes adatok kezelésében, feldolgozásában közreműködnek, avagy a jogszerű tevékenységük során az Adatkezelő által kezelt személyes adatokat ismerhetnek meg.

2.   §                        A Szabályzat rendelkezéseit az Adatkezelő honlapja tekintetében is alkalmazni          kell. Amennyiben a honlapot nem az Adatkezelő üzemelteti, az üzemeltetőre        az 1. § (3) bekezdés rendelkezése vonatkozik.

 

3.    §                                       (1)         A Szabályzatot a manuálisan és az automatizált eszközzel végzett személyes adatkezelésre egyaránt alkalmazni kell, függetlenül attól, hogy az adat kezelése digitálisan, egyéb elektronikus rögzítővel (pl. hang- vagy kép-, videófelvétel) vagy papíralapon történik.

 

(2)         A jelen Szabályzat alkalmazása kötelező a személyes adatok bármely módon történő gyűjtésére, az adatkezelés teljes folyamatára, az adatok törléséig,       megsemmisítéséig, avagy amíg az adatok anonimizálása meg nem történik.

4.    §                       A Szabályzat hatálya alá tartozik az Adatkezelő által kezelt valamennyi magánszemélyre vonatkozó személyes adat.

 

5.    §                       A Szabályzat betartása az 1. § rendelkezésében megjelölt címzettek számára               kötelező.

 

6.   §                       A jelen Szabályzat rendelkezéseit az Adatkezelő más szabályzatainak rendelkezéseivel összhangba kell hozni. Amennyiben a Szabályzat és egyéb más szabályzatok rendelkezései ugyanabban a tárgyban eltérően rendelkeznek, az adatvédelmi tisztviselő állásfoglalását kell kikérni. Kétség esetén a jelen Szabályzat           rendelkezései alkalmazandók.

                                                                                                                                 IV.            Értelmező rendelkezések

(1)                „Személyes adat”: azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

(2)                „Adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

(3)                „Adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

(4)                „Adatvédelmi megbízott”: az adatkezelési művelet végzésével érintett szervezeti egység vezetője által az Adatvédelmi Tisztviselő javaslatának figyelembevételével kijelölt tisztviselő, aki az adatvédelmi feladatok ellátásának önálló szervezeti egységen belüli felelőse.

(5)                „Adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel

(6)                „Adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.

(7)                 "címzett": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.

Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

(8)                "harmadik fél": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

(9)                „Profilalkotás”: a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. (Profilalkotás törvényi felhatalmazás hiányában az Adatkezelő tevékenységében nem megengedett.)

(10)            „Az adatkezelés korlátozása”: a tárolt személyes adat megjelölése jövőbeli kezelésük korlátozása céljából

(11)            „Álnevesítés” (pszeudo-anonimizálás): személyes adat olyan módon történő kezelése, amely további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

(12)            „Anonimizálás”: személyes adat olyan módon történő kezelése, amely következtében a személyes adat kapcsolata a természetes személlyel már nem állítható helyre. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, a statisztikai vagy kutatási célú adatkezelést is ideértve.

(13)             „Nyilvántartási rendszer”: a személyes adatok bármely módon - centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

(14)             „Az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

(15)            „Adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

(16)            „A személyes adatok különleges kategóriái”: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji, etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,

(17)            "genetikai adat": egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

(18)            „biometrikus adat": egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

(19)            "egészségügyi adat": egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

(20)            „Bűnügyi személyes adat”: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.

(21)            „Közérdekű adat”: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.

(22)            „Közérdekből nyilvános adat”: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli.

(23)            „Adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.

(24)            „Nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele.

(25)            „Adatmegjelölés”: az adat azonosító jelzéssel történő ellátása annak megkülönböztetése céljából.

(26)            „Adatmegsemmisítés”: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.

(27)            „Adatállomány”: az egy nyilvántartásban kezelt adatok összessége.

(28)            „Tiltakozás”: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kér.

(29)            „Adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

(30)            „Adatfelelős”: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;

(31)            „Adatközlő”: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi.

(32)            „Óraadó”: megbízási szerződés keretében legfeljebb heti tizennégy óra vagy foglalkozás megtartására alkalmazott pedagógus, oktató.

(33)            „Köznevelési alapfeladat”: a köznevelési intézmény alapító okiratában, szakmai alapdokumentumában meghatározott köznevelési feladat.

(34)            „Kiemelt figyelmet igénylő gyermek különleges bánásmódot igénylő gyermek, sajátos nevelési igényű gyermek, beilleszkedési, tanulási, magatartási nehézséggel küzdő gyermek, kiemelten tehetséges gyermek, a gyermekek védelméről és a gyámügyi igazgatásról szóló törvény szerint hátrányos és halmozottan hátrányos helyzetű gyermek, tartós gyógykezelés alatt álló gyermek.

(35)            beilleszkedési, tanulási, magatartási nehézséggel küzdő gyermek: az a különleges bánásmódot igénylő gyermek, tanuló, aki a szakértői bizottság szakértői véleménye alapján az életkorához viszonyítottan jelentősen alulteljesít, társas kapcsolati problémákkal, tanulási, magatartásszabályozási hiányosságokkal küzd, közösségbe való beilleszkedése, továbbá személyiségfejlődése nehezített vagy sajátos tendenciákat mutat, de nem minősül sajátos nevelési igényűnek.

(36)            sajátos nevelési igényű gyermek: az a különleges bánásmódot igénylő gyermek aki a szakértői bizottság szakértői véleménye alapján mozgásszervi, érzékszervi (látási, hallási), értelmi vagy beszédfogyatékos, több fogyatékosság együttes előfordulása esetén halmozottan fogyatékos, autizmus spektrum zavarral vagy egyéb pszichés fejlődési zavarral (súlyos tanulási, figyelem- vagy magatartásszabályozási zavarral) küzd.

(37)            tanuló- és gyermekbaleset: minden olyan baleset, amely a gyermeket, a tanulót az alatt az idő alatt vagy tevékenység során éri, amikor a nevelési-oktatási intézmény felügyelete alatt áll.

(38)            Felügyeleti hatóság: Nemzetei Adatvédelmi és Információszabadság Hatóság 1055 Budapest, Falk Miksa utca 9-11.

(39)            Adatvédelmi tisztviselő (DPO): Adatvédelmi tisztviselő neve: Közinformatika Nonprofit Kft. E-mail cím: dpo@kozinformatika.hu, levelezési cím: 1147 Budapest, Ilosvai Selymes utca 120., Telefonos elérhetősége: +36 1 786 23 63.

 

 

                                                                                                           V.            Az Adatkezelő adatkezelésének alapelvei

(1) A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni ("jogszerűség, tisztességes eljárás és átláthatóság");

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés ("célhoz kötöttség");

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk ("adattakarékosság");

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék ("pontosság");

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel ("korlátozott tárolhatóság");

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve ("integritás és bizalmas jelleg").

(2)      A személyes adatok kezelését tisztességesnek és törvényesnek kell tekinteni, ha az érintett véleménynyilvánítási szabadságának biztosítása érdekében az érintett véleményét megismerni kívánó személy az érintett lakóhelyén vagy tartózkodási helyén felkeresi, feltéve, hogy az érintett személyes adatait e törvény rendelkezéseinek megfelelően kezelik és a személyes megkeresés nem üzleti célra irányul. A személyes megkeresésre a munka törvénykönyve szerinti munkaszüneti napon nem kerülhet sor.

(3)      Az alapelvek és a Szabályzat valamennyi rendelkezése betartásáért, a személyes adatok kezelésének törvényességéért az Adatkezelő felelős. A felelőssége alapján a felügyeleti hatóság vagy bíróság felhívására az Adatkezelő bizonyítja, hogy a személyes adatkezelés a törvényi rendelkezéseknek megfelelő.

(4)           Az Adatkezelő az adatkezelés jogszerűségét, átláthatóságát, illetve az adatkezelésre vonatkozó rendelkezések betartását az adatvédelmi tisztviselő szakmai közreműködésével biztosítja. Az adatvédelmi tisztviselőhöz bármely Érintett (pl. ügyfél, dolgozó) észrevétellel fordulhat. Az adatvédelmi tisztviselő működésének szabályairól, feladatairól a jelen Szabályzat külön rendelkezik.

(5)           A személyes adatok kezelése során az adatok személyes jellege megmarad mindaddig, amíg a kapcsolata az érintettel helyreállítható.

(6)           Az Adatkezelő az adatbiztonságra vonatkozó szabályzatában (Információbiztonsági Szabályzat (IBSZ)) rendelkezik részletesen azokra a szabályokra nézve, amelyek az adatkezelés során arra alkalmas műszaki vagy szervezési - így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító - feltételek meghatározásával biztosítják a személyes adatok és az adatkezelés megfelelő biztonságát.

(7)           Az Adatkezelő az átlátható és tisztességes eljárás érdekében az általa kezelt személyes adatokról, adatkezelési folyamatokról nyilvántartást vezet (Személyesadat-térkép). A nyilvántartás tételesen tartalmazza a személyes adatokat, adatkezelési folyamatokat az adatkezelést ténylegesen végző szervezeti egység megjelölésével, továbbá egyéb olyan adatokat, amelyek biztosítják, hogy az Adatkezelő a személyes adatok kezelését a törvényi kötelezettségeket maradéktalanul betartva végzi.

(8)           Amennyiben az Adatkezelő más szabályzatai kifejezetten eltérően nem rendelkeznek, az általuk nem szabályozott személyes adatok kezelésére, védelmére vonatkozó kérdésekben a jelen Szabályzat rendelkezései alkalmazandóak.

                                                                                                             VI.            Az Adatkezelő adatvédelmi szervezete

1. §        Az adatvédelmi szabályok betartatásáért az Adatkezelő vezetője felel, aki jogosult az adatvédelem és adatkezelés belső szabályait meghatározni, szervezeti rendjét meghatározni, a vezetése alá tartozó bármely személynek egyedi utasítást adni, tájékoztatást kérni, illetve, bármely kérdésben az adatvédelmi tisztviselő írásbeli vagy szóbeli álláspontját, javaslatát kikérni. Az Adatkezelő vezetője a folyamatba épített adatvédelem útján ellenőrzi az adatkezelés jogszerűségét, az adatvédelmi szabályok maradéktalan betartását.

 

2.§         A szervezeti egységek jogszerű adatkezelési gyakorlatának biztosításáért, az önálló szervezeti egység dolgozói részéről az adatvédelmi, adatkezelési szabályok betartatásáért a szervezeti egység vezetője felelős. A vezetők jogosultak az Adatvédelmi Tisztviselő tanácsát, javaslatát, véleményezését kérni.

 

3.§         Az Adatvédelmi Tisztviselőhöz a kompetenciájába tartozó ügyekben bármely dolgozó fordulhat indokolt esetben.

 

4.§         Az Adatvédelmi Tisztviselő rendszeresen tájékozódik az adatvédelmi és adatkezelési szabályok betartásáról, illetve a saját éves ellenőrzési terve vagy az Adatkezelő vezetőjének felkérése alapján, továbbá minden olyan esetben amikor ezt az Adatvédelmi Tisztviselő a jogszerű feladatellátásához szükségesnek tartja, ellenőrzést tart, értékeli a szervezeti egységek adatvédelmi-adatkezelési gyakorlatát. A tapasztaltak alapján ajánlásokat fogalmaz meg, valamint mérlegeli, hogy szükséges-e soron kívüli ismeretbővítő oktatás tartása, ha igen, a vezetőknek vagy a dolgozók mely körének.

 

5.§         Az Adatkezelő dolgozóinak kötelezettsége a jelen Szabályzat előírásainak maradéktalan       betartása. (Erről nyilatkoznak az adatvédelmi és adatkezelési szabályok megismeréséről szóló dokumentum aláírásával)

6.§          A vezetők és az Adatkezelő dolgozói kötelesek tájékoztatni az Adatvédelmi Tisztviselőt        bármely általuk észlelt adatvédelmi, adatkezelési problémáról.

7.§         Az adatkezelő dolgozóinak kötelezettsége, hogy észrevétel esetén az adatkezeléssel kapcsolatosan feltárt visszásságot haladéktalanul megszüntessék.

8.§         Az Adatvédelmi Tisztviselő együttműködik az IBF-fel (továbbiakban: Információbiztonsági Felelős). Az Adatkezelő vezetői, az Adatvédelmi Tisztviselő és az Információbiztonsági Felelős szükség szerinti rendszerességgel együttesen értékelik az Adatkezelő Adatbiztonsági Szabályzatában meghatározottak érvényesülését, illetve az adatvédelem szintjéhez szükséges, továbbá az adatkezeléshez kapcsolódó érintetti jogok gyakorlásához szükséges informatikai háttér biztosítására vonatkozó szabályokat.

 

 

                                                                                         VII.            A személyes adatok kezelésének törvényes alapjai

1.§         Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból, kezelhető. A jelen szakaszban felsorolt, bármely törvényi feltétel teljesülése biztosítja az adatkezelés kellő jogi alapját.

 

2.§         Az adatkezelés jogalapja lehet:

 

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első f) pont nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

 

A c) és e) pont szerinti adatkezelés jogalapját a következőknek kell megállapítania:

a) az uniós jog, vagy

b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.

 

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az e) pontban említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

 

3.§             Az Adatkezelő automatizált adatkezelést döntés meghozatala érdekében nem folytat.

4.§         Különleges személyes adat

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

 

5.§                         Az Adatkezelő az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségességét időszakosan felülvizsgálja, a felülvizsgálatot az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.

 

                Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

 

6.§             Az Adatkezelő az általa kezelt személyes adatokról, az adatok típusának megjelölésével, részletes nyilvántartást vezet a személyes adatkezelés átláthatóságának biztosítása érdekében a törvényi kötelezettséggel összhangban. A nyilvántartásokat az Adatvédelmi Tisztviselő vezeti a szervezeti egységek vezetői által szolgáltatott adatok alapján.  

 

 

                                                                                                                          VIII.            Az Érintettek tájékoztatása

1.§         Az Adatkezelő feladatainak ellátása során az érintetteket az egyes adatkezelésekről külön adatkezelési tájékoztatók útján tájékoztatja.

2.§         A tájékoztatás megtörténtét az Érintettnek igazolnia kell aláírásával, kijelentve, hogy a tájékoztatást megismerte, megértette. A tájékoztatásnak az érintett jogairól és a jogorvoslat lehetőségeiről is részletesen ki kell térnie.

3.§         Minden ügyintézéshez, adatkezeléséhez vizsgálni kell, hogy a már meglévő tájékoztatás megfelelő-e, alkalmazható-e, mint teljes körű tájékoztatás. Amennyiben az adott ügyben igazoltan nem áll rendelkezésre megfelelő és teljes körű tájékoztatás, a tájékoztatást kötelező megadni.

4.§         Az Adatkezelő az ügyintézési eljárásaiban valamennyi ügyben alkalmazott tájékoztatást elsődlegesen írásban, közérthető és egyszerű megfogalmazással kell, hogy kialakítsa. Törekedni kell a tájékoztató tömörségére. A tájékoztatók tartalmi kialakításáért az Adatvédelmi Tisztviselő felel. A tájékoztatók alkalmazását az önálló szervezeti egységek vezetői ellenőrzik.

5.§          Az Érintettnek a jogai gyakorlásához a tájékoztatására vonatkozó valamennyi rendelkezés betartása kiemelten fontos, egyúttal az Adatkezelő jogszerű feladatellátásának a bizonyítására szolgáló eljárás, amely az Adatkezelő kiemelt érdeke, ennek megfelelően betartása valamennyi dolgozó számára kötelező. (Érintetti kérelem kezelésének eljárásrendje)

6.§          Új tájékoztató tartalmára az adott ügy, ügyek, ügytípusok intézésére kellő tapasztalattal rendelkező ügyintéző tesz javaslatot, amelyet az önálló szervezeti egység vezetője hagy jóvá az Adatvédelmi Tisztviselő álláspontjának kikérésével, szükség szerinti közreműködésével. A tájékoztató kötelező bevezetéséről az Adatkezelő vezetője dönt.

                                                                                                                    IX.            A tájékoztatás minimális tartalma

1. §            Az egyes tájékoztatókban az alábbi információkat kell rendelkezésre bocsátani:

A.               Rendelkezésre bocsátandó információk, tájékoztatás, ha a személyes adatokat az érintettől gyűjtik:

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

 

a.       az adatkezelőnek és az adatkezelő képviselőjének a kiléte és elérhetőségei;

b.       az adatvédelmi tisztviselő elérhetőségei,

c.        a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d.       a GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

e.       adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái,

f.         adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

g.       a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

h.       az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

i.         a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

j.         a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

k.       arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

l.         automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

 

Az 1. § A. pontja nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

B.               Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg

Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

 

a.       az adatkezelőnek és - ha van ilyen - az adatkezelő képviselőjének a kiléte és elérhetőségei;

b.       az adatvédelmi tisztviselő elérhetőségei,

c.        a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d.       az érintett személyes adatok kategóriái;

e.       a személyes adatok címzettjei, illetve a címzettek kategóriái;

f.         adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat

g.       a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

h.       ha az adatkezelés a GDPR 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;

i.         az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;

j.         a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

k.       a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

l.         a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és

m.     automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

 

Az 1. § B. pontját nem kell alkalmazni, ha és amilyen mértékben

a) az érintett már rendelkezik az információkkal;

b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikkben említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia - az információk nyilvánosan elérhetővé tételét is ideértve - az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.

 

2.§         A tájékoztatás módjai:

a)      Az Érintett - ügyfél - személyes eljárása esetén írásbeli tájékoztatót kell átadni, amely átolvasása után az Érintett (ügyfél) aláírásával igazolja, hogy azt megismerte. Az aláírásával igazolja a tájékoztató tartalmának megértését és tudomásulvételét.

b)      Amennyiben az Érintett - ügyfél - az ügyintézés megindítását postai úton megküldött levélben kéri, postafordultával, szintén postai úton kell számára a tájékoztatót megküldeni, arra történő figyelmeztetéssel, hogy a tájékoztató tudomásulvételének igazolása az ügyintézés megindításának feltétele.

c)       E-mailben akkor lehet a tájékoztatót megküldeni, ha az Érintett maga is e-mailben kezdeményezte az ügyintézést, de a tájékoztató visszaküldése csak postai úton vagy személyes, illetve meghatalmazott személyes eljárásával lehetséges.

d)      Telefonon csak abban az esetben adható tájékoztatás, ha az Érintett telefonon kezdeményezi az ügyintézést, különösen, ha az ügyintézés érdemi megindítását megelőzően érdeklődik, avagy az ügytípus olyan, általános vagy gyakran ismétlődő eljárást tesz lehetővé, amelyre nézve a tájékoztatás tartalma nem tekinthető specifikusnak, illetve egyértelműen megállapítható, hogy az ügyfelek számára ismert tartalommal bír. Ha az Érintett kérelme telefonon elintézhető, a tájékoztatás megtörténtének tényét, módját akkor kell rögzíteni, ha a telefonon való megkeresésről írásban legalább feljegyzés történik.

3.§         Az Adatvédelmi Tisztviselőnek törekednie kell arra, hogy ösztönözze a dolgozók az adatkezelési folyamatok kapcsán az egyszerű, könnyen kezelhető és érvényesíthető tájékoztatók alkalmazását, ennek megfelelően a tájékoztatókat lehetőség szerint az ügyintézés megindításához kitöltendő nyomtatvány – elkülönült – részeként kell kialakítani.

4.§         Az Adatkezelő adatkezelési folyamat egyszerűsítése érdekében törekedni kell arra, hogy az Adatkezelő hivatalos weboldalán részletes, általános tájékoztató és minél több olyan adatkezelési, adatvédelmi információ elérhető legyen, amely egy-egy ügytípusra vonatkozik. Az ügytípusok leírásánál, így különösen, ha az adott ügytípus körében az ügyintézés megindításához űrlap, nyomtatvány is elérhető, ki kell alakítani, hogy a honlapon hozzáférhető releváns adatvédelmi-, adatkezelési szabályok közvetlenül a leírások, űrlapok megfelelő részére való koppintással (link beiktatásával) elérhetőek legyenek.

5.§      A tájékoztatást bármely módon történik, úgy kell megtenni, hogy utólagosan is bizonyítható legyen.

6.§      Amennyiben az ügyintézés megkezdését megelőzően az érintett számára adott tájékoztatáshoz képest az ügyintézés során a korábbi tájékoztatás bármely elemében változás következett be, az ilyen körülményekről az Érintettet tájékoztatni kell.

 

7.§      Ha az Adatkezelő jogszerű eljárása körében a személyes adatokat más célra kívánja használni, mint amilyen célból az adatokat beszerezte, az adatkezelés előtt ismét meg kell adni a jelen cím szerinti tartalommal a tájékoztatót, amelyben az új cél szerepel. Ismételt tájékoztatás nélkül az adatkezelés megkezdése tilos.

8.§         Az érintett azonosítása:

                (1) A személyesen eljáró érintettől személyi azonosító okmány, lakcímkártya vagy útlevél együttes megtekintésével és tartalmának rögzítésével lehet az azonosítást elvégezni. 

(2) Igazolványt, okmányt fénymásolni, avagy bármely kép eszközzel, képfelvevővel a lefényképezni tilos.  

(3) Amennyiben bármely korábban felvett aktában ilyen dokumentum található, annak észlelése esetén az igazolvány tartalmát rögzíteni kell, a képet (fénymásolt képet, fényképet stb.) pedig haladéktalanul meg kell semmisíteni. A megsemmisítésről jegyzőkönyvet kell felvenni.

                                                                                                     X.            Az érintett adatkezeléssel összefüggő jogairól

1.§         Érintett tájékoztatáshoz való joga

Az Adatkezelő a VII. és VIII. címben rögzített intézkedéseket hozta annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.

 

2.§         Az érintett hozzáférési joga

Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

·         az adatkezelés céljai;

·         az érintett személyes adatok kategóriái;

·         azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

·         adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

·         az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

·         a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

·         ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

·         automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

 

3.§         Érintett helyesbítéshez való joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

 

4.§         Érintett törléshez való joga („az elfeledtetéshez való jog”)

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

·         a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

·         az érintett visszavonja a hozzájárulását, és az adatkezelésnek nincs más jogalapja;

·         az érintett a tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;

·         a személyes adatokat jogellenesen kezelték;

·         a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

A törlés nem alkalmazandó, amennyiben az adatkezelés szükséges:

·         a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

·         a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

·         a népegészségügy területét érintő közérdek alapján;

·         a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törlési jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy

·         jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

Törlés esetén az összes kezelt adatot törölni kell.

 

5.§         Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

·         az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

·         az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

·         az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

·         az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Az adatkezelés korlátozását esetében a személyes adatokon további adatkezelési műveletek nem végezhetők.

 

6.§         Érintett adathordozhatósághoz való joga

Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.

Érintett jogosult arra, hogy kérje a személyes adatok adatkezelők közötti közvetlen továbbítását, amely kérést teljesíteni kell.

 

7.§         Érintett tiltakozáshoz való joga

Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetükre vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához, illetve az Adatkezelő vagy egy harmadik fél jogos érdekei alapján van szükség.

 

 

 

8.§         Érintett jogainak gyakorlása esetében alkalmazandó eljárás

Amennyiben bármely érintetti jogot érintő kérelem érkezik, arról az adatok kezelését ténylegesen végző tisztviselő, ügyintéző haladéktalanul köteles felettesét értesíteni.

 Az adatok kezelését ténylegesen végző tisztviselő, ügyintéző felettese haladéktalanul felveszi a kapcsolatot az Adatvédelmi Tisztviselővel, akivel közösen javaslatot tesznek a megkeresésre, kérelemre adandó válaszra, amelyet az Adatkezelő vezetője elé terjesztenek. A válasz jóváhagyása az Adatkezelő vezetőjének felelőssége.

 

Az érintetti jogokat érintő kérelmek esetében az alábbiakat kell figyelembe venni:

 

 Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül köteles tájékoztatni az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható.

 

Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

 

Az Adatkezelő a tájékoztatást a kérelem beérkezésétől számított 1 hónapon belül, a kérelemmel megegyező formában, írásban postai vagy elektronikus úton, díjmentesen köteles megadni.

 

Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

 

Ha az érintett kérelme egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a) észszerű összegű díjat számíthat fel, vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

Díj meghatározása esetén az Adatkezelő vezetője külön rendelkezést hoz a tárgyban, amely részletesen és pontosan meghatározza a díjfizetéssel érintett eseteket és feltételeket, valamint a felszámítható díjak összegét.

 

Ha az Adatkezelő ügyintézőjének megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

 

Az Adatkezelő az adatok kezelését ténylegesen végző dolgozó biztosítja, hogy az Érintett számára bármely értesítés, tájékoztatás könnyen hozzáférhető és olvasható formában, tömör, világos és közérthetően megfogalmazott tartalmú legyen.

 

Az Érintett jogai gyakorlásának korlátozásához vagy teljesítésének megtagadásához, az Adatkezelő vezetőjének az Adatvédelmi Tisztviselő álláspontjának kikérését követően meghozott döntése szükséges.

 

A döntésről tájékoztatni kell az Érintettet, továbbá a jogi, ténybeli indokokról, az őt megillető jogokról és a jogorvoslati lehetőségekről.

                                                                                                                                                     XI.            Hozzájárulás

1.§         A hozzájárulással az Érintett önkéntes, egyértelmű és kifejezett hozzájárulását adja a személyes adatai kezeléséhez abban az esetben, ha a személyes adatok kezelésének jogalapja az érintett hozzájárulása. A hozzájárulás előfeltétele, az Érintett megfelelő és teljes körű tájékoztatása. A közérthető, egyszerű és teljeskörű tájékoztatás elmaradása esetén az Érintett hozzájáruló nyilatkozata nem tekinthető érvényesnek.

2.§         Ha az adatkezelés hozzájáruláson alapul, az Adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

3.§         Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a GDPR előírásait, kötelező erővel nem bír.

4.§         Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását

5.§         Az hozzájárulás érvényességét nem érinti, ha az Érintett a feltételek biztosítása ellenére a tájékoztatót, vagy az annak megismeréséről szóló nyilatkozatot annak részletes elolvasása nélkül írja alá.

6.§         Amennyiben az Érintett által indított ügyben – amely esetében az adatkezelés jogalapja a hozzájárulás - más nagykorú személy is érintett (különösen az Érintett hozzátartozója), az adatkezeléshez a hozzájárulást ezen személynek is meg kell adnia a tájékoztató alapján, amelyet – ha a további érintett nem személyesen teszi meg a hozzájáruló nyilatkozatát – legalább teljes bizonyító erejű magánokiratba kell foglalni.

7.§          Minden olyan esetben amikor a tájékoztatás tudomásulvétele, avagy a külön hozzájárulás szükségessége kérdéses, az Adatvédelmi Tisztviselő álláspontját ki kell kérni. A kérdésben a szervezeti egységek vezetői, illetve az Adatkezelő vezetője döntenek.

                                                          XII.            Az érintett természetes személyekre vonatkozó különleges személyes
adatok köre és az adatkezelés különös szabályai

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése főszabály szerint tilos.

Mindez nem alkalmazandó abban az esetben, ha:

a)     az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy a tilalom nem oldható fel az érintett hozzájárulásával;

b)     az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

e)      az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

f)       az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

g)      az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

h)      az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

i)        az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a GDPR-ban említett feltételekre és garanciákra figyelemmel;

j)        az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

k)      az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

                                                                                                 XIII.            Adattovábbításra vonatkozó rendelkezések

1.§          Személyes adatok továbbítását, közérdekű adatok közlését (a továbbiakban: adattovábbítást) kizárólag erre jogosult, az Adatkezelő foglalkoztatásában levő személyek végezhetnek.

2.§          Az Adatkezelő adatkezeléseiből személyes adatot továbbítani az érintett hozzájárulásának hiányában csak jogszabályban meghatározott szervek részére, csak a törvényben meghatározott adatkörben lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével. Az Adatkezelő csak olyan személyes adatot továbbíthat, amelynek az Adatkezelő az adatkezelője.

3.§          Az adattovábbítás feltételeit (jogalap, célhoz kötöttség, adatbiztonság) az adatot továbbító minden esetben ellenőrizni köteles.

4.§          Az adattovábbítási kérelem elbírálása kétség esetén - a törvényben kötelezően előírt adattovábbítás esetét kivéve – az Adatkezelő vezetőjének hatáskörébe tartozik.

                                                                                                                 XIV.            Adatfeldolgozók, adatfeldolgozás

1.§          Az Adatkezelő kötelezettsége, hogy biztosítsa a személyes adatok védelmét olyan esetben is, amikor az adatok kezelését adatfeldolgozó végzi.

2.§          Az Adatkezelő az adatfeldolgozóval szerződést köt, amelyben meg kell állapodni az adatfeldolgozás pontos feltételeiről, az átadásra kerülő adatok köréről, továbbá hangsúlyosan annak biztosításáról, hogy az adatfeldolgozó valamennyi törvényi rendelkezés betartásával jár el, a szerződés kötelező elemeit a GDPR 28. cikke tartalmazza.

3.§         Az Adatkezelő, mint adatkezelő felelőssége meghatározni azokat a feltételeket, amelyek ellenőrizhető és átlátható módon biztosítják az adatfeldolgozás törvényességét az adatfeldolgozási tevékenység valamennyi részletében és teljes időtartamában. Ez adatvédelmi és adatbiztonsági feltételek meghatározását egyaránt magában foglalja.

4.§         Az Adatkezelő jogosult továbbá megbizonyosodni az adatfeldolgozók jogszabálynak való megfelelősségéről is.

5.§         Az adatkezelés során az adatfeldolgozó igénybevételéről tájékoztatni kell az Érintetett.

6.§         Az Érintett hozzájárulása az adatfeldolgozó igénybevételéhez nem szükséges.

7.§         Az adatfeldolgozókkal megkötendő szerződések részletes és minimális tartalmi feltételeiről a „Adatkezelő/adatfeldolgozó egyezség eljárásrendje” rendelkezik, az adatfeldolgozóval megkötendő mintaszerződést a „Adatfeldolgozói szerződésminta” tartalmazza.

                Az adatfeldolgozó törvényes működésének, illetve az adatfeldolgozói szerződés betartásának ellenőrzésére a „Adatfeldolgozók biztonsági ellenőrzésének eljárásrendje” előírásai vonatkoznak.

8.§         Az adatfeldolgozókról részletes nyilvántartást kell vezetni az adatkezelés átláthatósága érdekében. Ezt a nyilvántartást az Adatvédelmi Tisztviselő vezeti az Adatkezelő által nyújtott információk alapján.

                                                                                                                                          XV.            Közös adatkezelők

1.§         Közös adatkezelés akkor valósul meg, ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg.

2.§         A közös adatkezelők az adatkezelés tekintetében az Érintettekkel történő kapcsolattartásra, kapcsolattartót jelölnek ki. A kapcsolattartó kijelölése nem érinti az Adatkezelők felelősségét.

3.§         A közös adatkezelést valamennyi adatkezelő a közöttük létrejött megállapodás szerint végzi, a felelősségük a megállapodásban meghatározott feladatmegosztásnak megfelelő. A megállapodás érdemi részét az Érintettekkel ismertetni kell.

4.§         A közös adatkezelői megállapodás, illetve a közös adatkezelés ténye az érintett számára a jogai gyakorlása vonatkozásában nem lehet terhesebb. Erre tekintettel az Érintett bármely adatkezelő felé joghatályosan megteheti mindazt, illetve élhet valamennyi törvényes jogával ugyanúgy, mintha egy adatkezelő végezné a személyes adatok kezelését.

                                                                                                      XVI.            További ügymenetek: panasz, észrevétel

1.§          Személyes adatok kezelését, védelmét érintő kérdésekben panasz benyújtása esetén a panasz előzetes megvizsgálása arra irányul, hogy az abban foglaltak alapján szükséges-e a panasz tárgyában vizsgálatot lefolytatni. Amennyiben igen, az érintettet tájékoztatni kell erről a tényről és egyúttal a kivizsgáláshoz szükséges személyes adatok köréről.

2.§         Amennyiben a panasz kivizsgálásának ügymenetében az Érintett hozzájárulásának megadása nem mellőzhető, a tájékoztatásnak erre ki kell térnie, azzal, hogy az érintett bármikor jogosult visszavonni a kivizsgáláshoz szükséges személyes adatai kezeléséhez adott hozzájárulását.

3.§         Amennyiben a panasz olyan tárgyra irányul, amelynek kivizsgálása az Adatkezelő számára kötelező, különösen, ha más személyt, ügyintézést (az Adatkezelő kötelezettségét) is érint, ezt a tényt a tájékoztatónak tartalmaznia kell, egyúttal az arra való figyelmeztetést is, hogy az érintett a hozzájárulását nem vonhatja vissza, a panasz kivizsgálását nem szakíthatja meg.

4.§          Észrevétel megtétele esetén a tartalom szerinti elbírálás elvének megfelelően, a panaszra irányadó szabályokat kell alkalmazni.

5.§         Amennyiben a panasz vagy észrevétel olyan tartalmú, amely nem igényli az ügyfél személyes adatainak kezelését, az adatkezelésre vonatkozó tájékoztatót nem kell kiadni.

6.§         Az Adatvédelmi Tisztviselő a hozzá benyújtott panaszokat kivizsgálja és az ügyről, intézkedési javaslatával együtt, tájékoztatja az Adatkezelő vezetőjét. Amennyiben a panaszt vagy észrevételt valamely szervezeti egységhez terjesztik elő, a szervezeti egység vezetője továbbítja az Adatvédelmi Tisztviselőnek.

7.§         Az adatvédelem, adatkezelés körét érintő beadványokról (kérdések, észrevételek, panaszok, kérelmek, követelések) az Adatvédelmi Tisztviselő nyilvántartást vezet, az Adatkezelő által nyújtott információk alapján. A nyilvántartás mintalapjaként a „Érintetti adatvédelemmel kapcsolatos kérelem nyilvántartás” dokumentum szolgál.

                                                                    XVII.            Bölcsődei jogviszonyhoz kapcsolódó speciális rendelkezések

1.§         A bölcsőde vezetője a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvénynek a szociális, valamint a gyermekjóléti és gyermekvédelmi ágazatban történő végrehajtásáról szóló 257/2000. (XII. 26.) Korm. rendeletben meghatározott pedagógus munkakörben foglalkoztatott számára a KIR honlapján keresztül a Gyvt.-ben meghatározott adatok megküldésével a jogszabályban meghatározott pedagógus munkakörben foglalkoztatott részére a jogviszony létesítésének napját követő öt napon belül tizenegy jegyű azonosító szám (a továbbiakban: oktatási azonosító szám) kiadását kezdeményezi.

 

2.§         Az Oktatási Hivatal az igénylés befogadása napjától számított tizenöt napon belül adja ki az oktatási azonosító számot, amelyet a kiadással egyidejűleg a KIR zárt rendszerén keresztül a bölcsőde számára elérhetővé tesz. A bölcsőde, vezetője gondoskodik arról, hogy az érintett megismerje a részére kiadott oktatási azonosító számot.

 

3.§         Az oktatási azonosító szám a KIR-ben való megjelenésének időpontjától kezdve kezelhető és használható fel.

 

4.§         Ha az érintett tájékoztatást kér az oktatási azonosító számáról és a KIR-ben róla nyilvántartott adatokról, a bölcsőde vezetője a kérelem napján, térítésmentesen a KIR-ből nyomtatható tájékoztatást állít ki. Az Oktatási Hivatal az oktatási azonosító szám kiadásával egyidejűleg a KIR-en keresztül biztosítja a tájékoztatás céljául szolgáló formátumhoz való hozzáférést.

 

5.§         A bölcsőde vezetője - az érintett kérelemére - a 4.§ bekezdés szerint új tájékoztatást állít ki az elveszett, megsemmisült vagy megrongálódott tájékoztatás helyett.

 

6.§         Ha a bölcsőde a vonatkozó jogszabályban meghatározott pedagógus munkakörben olyan személlyel létesített jogviszonyt, aki rendelkezik oktatási azonosító számmal, a jogviszony létesítését követő öt napon belül köteles a jogviszony létrejöttét bejelenteni a KIR-en keresztül. A bejelentéskor az érintett részére nem lehet új oktatási azonosító számot kérni és kiadni.

Oktatási Hivatal felel azért, hogy a pedagógus munkakörben foglalkoztatottnak csak egy oktatási azonosító száma legyen.

 

7.§         A bölcsőde vezetője a KIR-ben az oktatási azonosító számmal kapcsolatosan nyilvántartott adatok változását a változást követő öt napon belül köteles bejelenteni. A tájékoztatás tartalmát érintő adatváltozás átvezetése után a bölcsőde vezetője az érintettnek a tájékoztatást a megváltozott adatok alapján állítja ki.

 

8.§         Ha az oktatási azonosító számmal rendelkező személy jogviszonya megszűnik, a bölcsőde vezetője a jogviszony megszűnését a megszűnés időpontjától számított öt napon belül jelenti be a KIR-en keresztül.

 

9.§         A Bölcsőde, mint gyermekjóléti alapellátást nyújtó intézmény az ellátások, intézkedések nyújtása és megtétele, mindezek ellenőrzése, valamint biztosítása során, a meghatározott jogok érvényesülésének elősegítése céljából a Gyvt-ben meghatározott, alábbi adatok kezelésére jogosult.

a) a gyermek

aa)  személyazonosító adatainak, társadalombiztosítási azonosító jelére és adóazonosító jelére vonatkozó, személyazonosító igazolványával, lakcímet igazoló hatósági igazolványával, diákigazolványával, közgyógyellátási igazolványával, oltási könyvével kapcsolatos,

ab) anyanyelvére vonatkozó,

ac) családi jogállására vonatkozó,

ad) veszélyeztetettségének megállapításához szükséges és elégséges adatainak, így különösen vagyoni helyzetére, környezetére, élelmezésére, ruházatára, lakhatási viszonyaira vonatkozó,

ae) megfelelő ellátásához, gondozásához szükséges és elégséges adatainak, így különösen a személyiségére, magatartására, személyes kapcsolataira, szokásaira, tanulmányi eredményeire, neveltségi állapotára vonatkozó,

af) egészségi állapotára vonatkozó,

ag) büntetlen előéletére, illetve a vele kapcsolatos hatósági, bírósági eljárásokra, határozatokra vonatkozó,

ah) kóros szenvedélyére vonatkozó,

ai) *  áldozattá válásának körülményeire vonatkozó, a bűncselekmények áldozatainak segítéséről és az állami kárenyhítésről szóló 2005. évi CXXXV. törvény (a továbbiakban: Ást.) 16. § (2) bekezdés a)-c) pontjában meghatározott,

aj) *  fényképére, a róla készített mozgóképre vonatkozó,

ak) *  hátrányos vagy halmozottan hátrányos helyzetére vonatkozó;

b) *  a szülő, törvényes képviselő, befogadó szülő

ba) *  személyazonosító, és a társadalombiztosítási azonosító jelére vonatkozó,

bb) vagyoni helyzetére, munkahelyére, iskolai végzettségére, kapcsolataira vonatkozó,

bc) gyermekneveléssel összefüggő, így különösen életvezetésére, nevelési magatartására vonatkozó,

bd) egészségi állapotára vonatkozó,

be) büntetlen előéletére vonatkozó,

bf) *  áldozattá válásának körülményeire vonatkozó, az Ást. 16. § (2) bekezdés a)-c) pontjában meghatározott;

c) a gyermek

ca) *  testvéreinek személyazonosító és társadalombiztosítási azonosító jelére vonatkozó,

cb) *  saját gyermekének személyazonosító és társadalombiztosítási azonosító jelére vonatkozó,

cc) *  kapcsolattartásra jogosult hozzátartozójának személyazonosító és társadalombiztosítási azonosító jelére vonatkozó,

cd) lakóhelyén életvitelszerűen tartózkodó személyek személyazonosító és személyes körülményeire vonatkozó,

ce) sorsának megtervezése szempontjából jelentőséggel bíró személyek, így különösen a korábbi gondozók, szomszédok elérhetőségére vonatkozó,

cf) *  háziorvosának, védőnőjének, ha gyermekek napközbeni ellátásában, óvodai, iskolai nevelésben részesül, a napközbeni ellátást nyújtó szolgáltató, intézmény, a nevelési-oktatási intézmény vezetőjének elérhetőségére vonatkozó, valamint a gyermek veszélyeztetettségének megelőzésében, képességeinek, mentális állapotának fejlesztésében, vizsgálatában közreműködő intézmény, szakember elérhetőségére vonatkozó,

 

10.§       A 9.§ bekezdésben meghatározott adatkörök rögzítése jogszabályban meghatározottak szerint a gyermekjóléti szolgáltatás tekintetében a Gyermekeink védelmében elnevezésű informatikai rendszerben történik.

                                                                                               XVIII.            Beépített és alapértelmezett adatvédelem

1.§         A beépített adatvédelem érvényesítése jelentős mértékben növelheti az adatkezelés törvényes menetének kiszámíthatóságát, fontos eszköz az Adatkezelő dolgozóinak az adatvédelmi rendelkezések betartásával kapcsolatos kötelezettségei teljesítésében.

2.§         Az Adatvédelmi Tisztviselőnek figyelemmel kell lennie arra, hogy az Adatkezelő az adatvédelmi eljárások, módszerek megtervezésekor, mind a manuális adatkezelés, mind az elektronikus rendszerek tekintetében olyan módon alakítsa ki, amelyek a megkerülhetetlen módon magukban hordozzák az adatvédelmi megfeleléshez szükséges szempontok figyelembevételét. Ennek során az Adatvédelmi Tisztviselő együttműködik az Adatkezelő szakembereivel és vezetőségével.

3.§         A beépített adatvédelem érvényesítése hosszabb folyamat, amelyre az együttműködésnek ki kell terjednie. A beépített adatvédelem alkalmas arra, hogy az adatkezelési folyamat során az adatvédelmi előírások betartása könnyen ellenőrizhető legyen, illetve az előírások be nem tartása külön ellenőrzési mechanizmus nélkül is észlelhetővé váljon.

4.§         A beépített adatvédelem alapvető eszközei az álnevesítés, titkosítás.

5.§         Az alapértelmezett adatvédelem elvei alapján az Adatkezelőnek arra kell törekednie, hogy a személyes adatok védelmével kapcsolatos szabályok, védelmi intézkedések, hozzáférések az adatvédelmi szabályok körében a lehető legszigorúbb mértékre legyenek értelmezve és beállítva, elősegítve, hogy az alapértelmezés az adatvédelmi eljárásokban az Érintettek jogainak és alapvető szabadságainak a védelmét a lehető legmagasabb szinten biztosítsák.

6.§         Ezen elveknek való fokozott megfelelés érdekében az Adatvédelmi Tisztviselő rendszeres ajánlásokat fogalmaz meg.

7.§          Az informatikai rendszerben a hozzáférési jogosultságot szintenként kell kialakítani és rögzíteni. Valamennyi alkalmazott szoftver esetében meg kell határozni a hozzáférési jogosultságokat és a hozzáférést ennek megfelelően lehetővé tenni belépési kódokkal. Az egyes személyekre vonatkozó hozzáférésekről nyilvántartást kell vezetni.  

                                                                                             XIX.            Az adatkezelési tevékenységek nyilvántartása

1.§          Az adatkezelési tevékenységekről Adatkezelő nyilvántartást vezet.

2.§          A nyilvántartások tartalmi kialakítása az Adatvédelmi Tisztviselő szakmai kompetenciája, amelyet az Adatkezelő vezetőjének információi alapján és jóváhagyásával határoz meg.

3.§          A nyilvántartások vezetése az Adatvédelmi Tisztviselő feladata az Adatkezelő által adott információk alapján.

4.§          A nyilvántartások az Adatkezelő belső dokumentumai, amelyek biztosítják, hogy kétség esetén az Adatkezelő bizonyítani tudja az adatkezelési folyamatok törvényességét.

5.§          Valamennyi nyilvántartás dinamikus jellegű, azokat folyamatosan frissíteni kell és naprakészen tartani. Az Adatvédelmi Tisztviselő végzi a nyilvántartások frissítését az Adatkezelő által adott információk alapján.

6.§          A nyilvántartásokat digitálisan kell tárolni, amelyhez megtekintésre az Adatkezelő vezetője, továbbá a szervezeti egységek vezetői és az Információbiztonsági Felelős férhetnek hozzá.

                                                                                                                            XX.            Adatvédelmi hatásvizsgálat

1.§          Az Adatkezelő által tervezett adatkezelést (adatgyűjtés, új adatkezelési folyamatok bevezetése, továbbá bármely olyan eset, amely nincs nevesítve, de az Adatvédelmi Tisztviselő vagy az Adatkezelő vezetője a GDPR rendelkezéseire figyelemmel indokoltnak tartja) megelőzően az Adatkezelő adatvédelmi tisztviselőjének szakmai közreműködésével hatásvizsgálatot végezhet annak érdekében, hogy felmérje, a tervezett adatkezelési műveletek milyen hatást fognak gyakorolni az Érintettek alapvető jogaira és szabadságaira nézve.

2.§          A hatásvizsgálat egyes műveleteit, továbbá valamennyi lépését, eredményét, a levont köveztetéseket rögzíteni kell.

3.§          A hatásvizsgálat módszertani leírását a „Adatvédelmi hatásvizsgálat eljárásrendje” tartalmazza.

4.§          A hatásvizsgálatra vonatkozó részletes eljárási szabályokat, menetét, eredményének megállapítását, az Adatvédelmi Tisztviselő által jóváhagyott „Adatvédelmi hatásvizsgálat eljárásrendje" rögzíti, amelyet a rájuk vonatkozó részek tekintetében az Adatkezelő vezetője és a szervezeti egységek vezetői is jóváhagynak.

                                                                                                                            XXI.            Az adatvédelmi tisztviselő

1.§          Az Adatkezelő a személyes adatok törvényes védelmére vonatkozó szabályok betartása, továbbá az Érintettek alapvető jogai és szabadságai védelme érdekében az adatvédelem és adatbiztonság feltételeinek teljesítéséhez adatvédelmi tisztviselőt (a továbbiakban: Adatvédelmi Tisztviselő) alkalmaz.

2.§          Az adatvédelmi tisztviselő az adatvédelem és adatbiztonság szakterületén magas szintű szakértői kompetenciával bíró, különösen az adatvédelmi jog és gyakorlat szakértői szintű ismeretével rendelkező, valamint a GDPR szerinti adatvédelmi tisztviselői feladatok ellátására alkalmasság személy.

3.§          Az Adatkezelő bejelenti a Hatóság felé az adatvédelmi tisztviselő nevét, postai és elektronikus levélcímét, ezen adatok változását.

4.§         Az Adatkezelő a hivatalos weblapján közzéteszi az adatvédelmi tisztviselő nevét, telefonszámát, email címét, címét, amely utóbbi azonos az Adatkezelő székhelycímével.

5.§         Az Adatkezelő vezetője biztosítja, hogy az Adatvédelmi Tisztviselő minden esetben a kellő időben értesüljön minden olyan belső eseményről, feladatról, amelyek személyes adatokra, személyes adatok kezelésére vonatkoznak, avagy a személyes adatok kezelését bármely vonatkozásban érinthetik.  

6.§          Az Adatvédelmi Tisztviselőt be kell vonni a személyes adatok védelmét érintő döntések előkészítésébe. Az ilyen döntésekre irányuló eljárás megkezdésekor az előzményiratokat és valamennyi iratot meg kell küldeni az Adatvédelmi Tisztviselő részére.

7.§          Az Adatkezelő köteles biztosítani, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Az Adatvédelmi Tisztviselő részére a feladatai ellátásához szükséges valamennyi tájékoztatást, dokumentumot meg kell adni, illetve meg kell küldeni.

8.§          Amennyiben az Adatvédelmi Tisztviselő úgy értékeli a kapott információt, hogy az álláspontjának, véleményének kialakításához és közléséhez szükséges - így különösen, ha az adott ügyben a törvényeknek való megfelelés kérdésében összetett szempontrendszert kell figyelembe venni avagy a vizsgálandó kérdés jelentős számú érintett jogait avagy különleges személyes adatokat érint -, előzetes konzultációt kezdeményezhet az Adatkezelői vezetéssel, továbbá többletinformációt kérhet bármely szervezeti egység vezetőjétől, illetve az Adatkezelő bármely dolgozójától.

9.§          Az Érintettek a személyes adataik kezeléséhez és a GDPR szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz közvetlenül fordulhatnak. Ezt az Adatkezelő weblapján egyértelműen fel kell tüntetni.

10.§       Az Adatvédelmi Tisztviselő a feladatait az adatkezelési műveletekhez fűződő kockázatok megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

11.§       Az Adatvédelmi Tisztviselő javaslatot tesz az adatvédelmi nyilvántartások kialakítására, tartalmi kérdéseire. A nyilvántartások vezetéséhez szükséges adatok megadása az adatkezelést ténylegesen végző dolgozók feladata, a nyilvántartások naprakész vezetésének feladatát az Adatvédelmi Tisztviselő látja el.

12.§       Az Adatvédelmi Tisztviselő rendszeresen áttekinti az adatkezelés belső szabályzatait, kapcsolódó dokumentumait, indokolt esetben szövegszerűen kidolgozott javaslatot tesz a szabályzatok harmonizációjára, amelynek alkalmazásáról az Adatkezelő vezetője dönt.

13.§       Az Adatvédelmi Tisztviselő bármely szabályozási és gyakorlati (megvalósítási) kérdésben jogosult javaslattal, indítvánnyal élni. Ilyen esetben elsődlegesen írásban fordul az Adatkezelő vezetőjéhez. Az Adatkezelő vezetőjének részéről a válaszadás nem tagadható meg, de a javaslat elfogadásáról önállóan hoz döntést. Amennyiben az Adatkezelő vezetője az Adatvédelmi Tisztviselő bármely indítványának, észrevételének nem ad helyt, kérheti a módosított előterjesztés kidolgozását.

                                                                                                        XXII.            Adatbiztonság - adatvédelmi incidens

1.§          Adatvédelmi incidens bekövetkezése esetén az alábbiak szerint kell eljárni.

2.§          A jelen címben meghatározottakat az Információbiztonsági Szabályzattal összhangban kell alkalmazni.

3.§          Adatvédelmi incidens bekövetkezése, illetve bekövetkezésének közvetlen veszélye, avagy korábban történt adatvédelmi incidens felismerése esetén szükséges értesíteni a közvetlen felettest, valamint az adatvédelmi tisztviselőt.

4.§          A 3. § rendelkezése szerint kell eljárni abban az esetben is, ha az adatvédelmi incidenst, avagy annak közvetlen veszélyét észlelő személy nem tudja megállapítani az események tényleges bekövetkezését, avagy a bekövetkezésének közvetlen lehetőségét, csak valószínűsíteni tudja. A bejelentést tevő dolgozót semmilyen hátrány nem érheti akkor sem, ha jóhiszeműen megtett bejelentésének bármely része tévesnek minősül.

5.§          Az észlelő személy köteles haladéktalanul jelezni a közvetlen felettesének vagy az Adatvédelmi Tisztviselőnek a tapasztaltakat. A felettes értesítése esetén a felettes késedelem nélkül értesíti az Adatvédelmi Tisztviselőt és az Adatkezelő vezetőjét.

6.§          Az adatvédelmi incidensekről az Adatvédelmi Tisztviselő szükség szerint tájékoztatja az Információbiztonsági Felelőst, akit indokolt esetben az incidens kivizsgálásába és a szükséges intézkedések kidolgozásába be kell vonni.

7.§          Amennyiben megállapítható az adatvédelmi incidens bekövetkezése, továbbá az incidens következményeképp az is megállapítható, hogy az valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira, az Adatkezelő az Adatvédelmi Tisztviselő útján haladéktalanul, de legkésőbb 72 órán belül jelenti az adatvédelmi incidenst a felügyeleti hatóságnak.

8.§          Amennyiben a 8.§ esetében a bejelentésre nem kerül sor 72 órán belül, a késedelem okának bejelentésével együtt kell az akadály elhárultát követően haladéktalanul megtenni a bejelentést.

9.§          Az Adatvédelmi Tisztviselő - az adatvédelmi incidensekről nyilvántartást vezet, amely legalább az incidenssel érintett személyes adatok körét, az incidens bekövetkezésének körülményeit, azok hatásait, és a kezelésükre tett intézkedések leírását tartalmazza.

10.§       Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

                Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

a)                      az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b)                     az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c)                      a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

11.§       Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles bejelenteni az Adatkezelőnek.

12.§ Az Adatkezelő által megbízott adatfeldolgozóktól a velük kötött szerződésben erről a kötelezettségről minden esetben rendelkezni kell.

13.§       Az adatfeldolgozóval megkötendő szerződésbe kell foglalni a kötelező intézkedések körét, amelyeket az adatfeldolgozónak az adatvédelmi incidens bekövetkezésére esetére kell végrehajtani az Adatkezelő felé.

14.§       Az adatkezelési incidens esetében, amennyiben nem egyértelmű, hogy az magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a bejelentést megelőzően vizsgálatot kell lefolytatni.

15.§       A vizsgálat ebben az esetben a hatásvizsgálatnál rögzített kockázatelemzés lefolytatására, majd ezen eljárás eredménye alapján a vizsgálat értékelési részének lefolytatására irányul. (A szükségesség-arányosság teszt az ilyen esetekben általában nem indokolt.) A vizsgálat az eredménye szerint az alábbi következtetésekre vezethet:

1)      A személyes adat incidens nem igényel bejelentést,

2)      A személyes adat incidens csak a Hatósághoz igényel bejelentést,

3)      A személyes adat incidens a Hatóság felé és az Érintettek felé is bejelentést igényel.

16.§      A jelen pont szerinti vizsgálatot minden olyan esetben is le kell folytatni, amikor az Adatvédelmi Tisztviselő, az Adatkezelő vezetője, avagy a szervezeti egységek álláspontja szerint az incidensre alapot adó / kiváltó körülmények kockázati megítélése nem egyértelmű, avagy a kockázatok kiküszöbölését követően is vélhetően maradvány kockázati körülmények maradtak vagy maradhattak fenn.

17.§      A bejelentést a Hatóság weboldalán kell megtenni a bejelentést az Adatvédelmi Tisztviselő közreműködésével teheti meg Adatkezelő a szükséges adatok megadásával.

18.§      Amennyiben az Érintetteket tájékoztatni kell, az alábbi adatok megadása kötelező: világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, az adatvédelmi tisztviselő neve, elérhetősége, az adatvédelmi incidens valószínű következményeinek ismertetése, továbbá az incidens kezelésére megtett vagy tervezett intézkedésekről tájékoztatás.

                        XXIII.            Az érintett jogorvoslati jogosultságai és a jogorvoslati jogok érvényesítésének feltételei

1.§         Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat, és panasszal a Hatóságnál lehet élni.

2.§         Közvetlen érintetti panasz esetében az Adatvédelmi Tisztviselő javaslatot tesz az eset megoldására, megválaszolására a jelen szabályzat XVI. Címében foglaltaknak megfelelően.

3.§         A jelen Címben meghatározott joggyakorlás, illetve jogorvoslatok esetében Az Adatkezelő Adatvédelmi Tisztviselője az Adatkezelő vezetője tájékoztatására és kérelmére megvizsgálja az esetet.

               Az Adatvédelmi Tisztviselő a vizsgálat eredményét írásban terjeszti elő az Adatkezelő vezetője számára és egyúttal megjelöli azokat a szervezeten belüli okokat, amelyek a jogsérelmet okozták vagy lehetővé tették, egyúttal ajánlásokat és indítványokat dolgoz ki a hasonló esetek ismétlődő előfordulásának a megakadályozása érdekében.

4.§         A Hatóság törvényben biztosított, kérelemre vagy hivatalból indított eljárása esetén az Adatvédelmi Tisztviselő elősegíti az Adatkezelőnek a vizsgálattal összefüggésben keletkező kötelezettségei teljesítését, együttműködésben az Adatkezelő vezetőjével.

                                                                                                                                  XXIV.            Záró rendelkezések

1.§         Adatkezelő vezetője intézkedik arról, hogy az Adatkezelő valamennyi olyan szabályzata, amely érinti a jelen Szabályzat rendelkezéseit, felülvizsgálatra kerüljön. A felülvizsgálat során meg kell szüntetni a jelen Szabályzat előírásaival ellentétes szabályokat, továbbá szükség szerint módosítani kell a hatályban lévő szabályzatokat a jelen Szabályzat rendelkezései betartásának elősegítése érdekében.

 

 

Kelt, 2023. június 22.

 Gálné Czeglédi Henrietta

intézményvezető