Adatvédelmi Belső Szabályzat

  1. Szabályzat célja

Jelen Szabályzat célja, hogy az Alapítvány a természetes személyek személyes adatai kezelésének és védelmének alapvető szabályait, valamint a személyes adatok szabad áramlásának szabályait – a tevékenysége során előforduló esetekre tekintettel –, valamint az Alapítvány kialakított adatvédelmi eljárásait írásban rögzítse.

  1. Szabályzat hatálya

Jelen Szabályzat valamennyi az Alapítvány alkalmazottja vagy megbízottja által folytatott tevékenység esetén irányadó a személyes adatok kezelésére.

  1. Személyes Adatok és Személyes Adatok Különleges Kategóriájába Tartozó Adatok kezelése

Az Alapítvány az Adatkezelés módjának meghatározásakor, illetve az Adatkezelés során olyan technikai és szervezési intézkedéseket tesz, amelyek célja az adatvédelmi alapelvek betartása és az Érintettek jogainak védelme. Továbbá az Alapítvány csak olyan Személyes Adatot kezel, amely a konkrét adatkezelési cél elérése szempontjából elengedhetetlen.

Az Alapítvány vállalja, hogy gondoskodik arról, hogy a képviselői, munkavállalói, illetve bármely olyan személy, aki az Alapítvány helyett és/vagy nevében eljár, a jelen Szabályzatban foglaltakat megismerjék és a jelen Szabályzat rendelkezései szerint járnak el.

Az Alapítvány mindent megtesz annak érdekében, hogy az adatkezeléssel kapcsolatos tevékenységei és adatfeldolgozással kapcsolatos tevékenységei során a jelen Szabályzatban, illetve a jogszabályokban foglaltaknak megfelelően járjon el.

Az Alapítvány által folytatott adatkezelési tevékenységek esetén a Személyes Adatok Különleges Kategóriájába Tartozó Adatok kezelésre vonatkozó általános tilalom az alábbiak következteében nem alkalmazandó:

  • ha az Érintett kifejezett hozzájárulását adta az adott Személyes Adatok Különleges Kategóriájába Tartozó Adatkezeléséhez (kifejezett hozzájárulás esetén sem kezelhető a Személyes Adatok Különleges Kategóriájába Tartozó Adat, ha az uniós vagy tagállami jog ezt nem teszi lehetővé) (Rendelet 9. cikk (2) bekezdés a) pont);
  • foglalkoztatással kapcsolatos Személyes Adatok kezelése tekintetében: ha az Adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges (Rendelet 9. cikk (2) bekezdés b) pont);
  • ha az Adatkezelés az Érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az Érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni (Rendelet 9. cikk (2) bekezdés c pont);
  • ha az Adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges (Rendelet 9. cikk (2) bekezdés f) pont);
  • egészségügyi kezelés nyújtásával kapcsolatos személyes adatok kezelése tekintetében: ha az Adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges (feltéve, hogy ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai vagy egyéb uniós jogban megállapított titoktartási kötelezettség hatálya alatt áll) (Rendelet 9. cikk (2) bekezdés h) pont).
  1. Adatfeldolgozói tevékenység

    • Adatfeldolgozónak minősül az a természetes vagy jogi személy, amely az Adatkezelő nevében Személyes Adatokat kezel.
    • Az Alapítvány az általa megbízott Adatfeldolgozókkal írásbeli szerződést köt az Adatfeldolgozóként végzett adatkezelési tevékenység tekintetében. Az Alapítvány Adatfeldolgozással kizárólag olyan szervezetet bíz meg, amely (i) a Rendelet előírásainak megfelel, továbbá (ii) a feldolgozandó Személyes Adatokat felhasználó üzleti tevékenységben nem érdekelt.

Az adatfeldolgozási szerződés legalább a Rendelet 28. cikkében foglaltak szerinti rendelkezéseket tartalmazza.

  • Az Alapítvány a következő Adatfeldolgozók szolgáltatásait veszi igénybe a tevékenysége végzése során:
  • a bérszámfejtési tevékenység végzése tekintetében: ZSÉ Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (székhely: 8000 Székesfehérvár, Széchenyi utca 19; cégjegyzékszám: 07-09-010807);
  • a rendszergazdai tevékenység végzése tekintetében: Horváth András egyéni vállalkozó (székhely: 1076 Budapest, Szinva u. 8.);
  • az egészségügyi adatokat kezelő és a Nemzeti Egészségbiztosítási Alapkezelő részére továbbító program fejlesztése és karbantartása tekintetében: Screenager egyéni cég (székhely: 1098 Budapest, Börzsöny utca 9. 4. em. 16; cégjegyzékszám: 01-11-004745);
  • az elektronikus levelezés tekintetében: Microsoft Ireland Operations Ltd. (székhely: One Microsoft Place, South County Business Park Leopardstown Dublin 18, D18 P521 Írország)
  • a deveny.hu honlap tárhelyszolgáltatása tekintetében: Info Com Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (székhely: 1145 Budapest, Bácska u. 35. A. ép. 2. lház. tetőtér 3; cégjegyzékszám: 01-09-710112);
    • Az Alapítvány a tevékenysége során az alábbi tevékenységek folytatása során jár el Adatfeldolgozóként:

Az Alapítvány a Dévény-módszerrel dolgozó DGSM szakgyógytornászok részére a kötelező NEAK-adatszolgáltatással kapcsolatban biztosítja a szükséges szoftvert, valamint a NEAK programon keresztül történő adatszolgáltatás hibamentes benyújtása érdekében adminisztratív tevékenységet végez Adatfeldolgozóként.

  1. Személyes Adatok kezelésének alapelvei

    • Jogszerűség, tisztességes eljárás és átláthatóság

Az Alapítvány a Személyes Adatokat jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kezeli. Az Alapítvány az Adatkezelést megfelelő jogalap alapján végzi.

A z Alapítvány az Adatkezelés során az erkölcsi értelemben vett tisztességességi szabályokat betartja, valamint az emberi méltóságot tiszteletben tartja. Az Alapítvány figyelembe veszi, hogy az Érintett „nem pusztán tárgya, hanem alanya az Adatkezelésnek”, így nem téveszti meg az Érintettet az Adatkezelés során, nem bocsát ki megtévesztő tartalmú tájékoztató anyagot.

Az Alapítvány az Adatkezelés megkezdését megelőzően, valamint az Adatkezelés során meghatározott időközönként teljes körűen tájékoztatja az Érintettet az Adatkezelésről, az Érintett jogairól, valamint az Adatkezeléssel kapcsolatos kockázatokról, szabályokról, garanciákról, továbbá biztosítja, hogy az Érintett az Alapítvány által kezelt Személyes Adataival a jogszabályi kereteken belül rendelkezhessen.

Az Alapítvány az átláthatóság elvének való megfelelés érdekében az Érintettek részére nyújtandó tájékoztatás, valamint az Érintettekkel folytatandó kommunikáció (ideértve a jogok érvényesítésével, valamint az Adatvédelmi Incidenssel kapcsolatos kommunikációt) során az alábbi szempontokat figyelembe veszi:

  • tömörség, átláthatóság, érthetőség és könnyen hozzáférhetőség;
  • világos és közérthető nyelvezet;
  • írásbeliség vagy más – a konkrét Adatkezelés tekintetében – megfelelő mód, valamint az Érintett kérésére szóbeli tájékoztatás.

Az Alapítvány az Érintettek részére az alábbi módok egyikén nyújt tájékoztatást:

  • elektronikus úton történő tájékoztatás;
  • papíralapú tájékoztatás;
  • személyesen történő tájékoztatás, amely megfelelően írásban dokumentálásra kerül.
    • Célhoz kötöttség

Az Alapítvány a Személyes Adatokat meghatározott, egyértelmű és jogszerű célból kezeli. Az Alapítvány nem kezel Személyes Adatokat meghatározott cél nélkül vagy előre meg nem határozott, jövőbeli felhasználás érdekében.

Az Alapítvány az Adatkezelés célját az Adatkezelés megkezdése előtt esetről esetre világosan, a törvényekkel összhangban meghatározza.

Ha az Alapítvány ugyanazon Személyes Adatokat több, egymáshoz nem kapcsolódó adatkezelési célból kezeli, akkor valamennyi adatkezelési cél tekintetében a fentiek szerint jár el.

  • Adattakarékosság

Az Alapítvány a konkrét adatkezelési cél szempontjából megfelelő, releváns és szükséges Személyes Adatokat kezeli.

Az Alapítvány valamennyi Adatkezelés esetén megvizsgálja, hogy az adatkezelési cél megvalósítható lenne-e egyéb módon, ami a magánszférát kevésbé sérti. Az Alapítvány már az Adatkezelés megtervezésénél figyelembe veszi, hogy a Személyes Adatok kezelése a konkrét adatkezelési cél megvalósításához szükséges-e, azzal arányos-e, van-e bármilyen egyéb mód arra, hogy az Alapítvány az adatkezelési célt elérje.

  • Pontosság

Az Adatkezelés során az Alapítvány biztosítja az adatok pontosságát, teljességét és – ha az Adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az Érintettet csak az Adatkezelés céljához szükséges ideig lehessen azonosítani

Ha az Alapítvány arról szerez tudomást, hogy az általa kezelt Személyes Adat az Adatkezelés célja szempontjából pontatlan, hibás, hiányos vagy időszerűtlen, minden észszerű intézkedést megtesz annak érdekében, hogy a Személyes Adatokat haladéktalanul töröljék vagy helyesbítsék.

Az Alapítvány mindent megtesz annak érdekében, hogy azon adatbázisok, amelyek személyazonosító, illetve kapcsolattartási adatokat tartalmaznak, pontos információkat tartalmazzanak, így az adatbázisokat rendszeres időközönként átvizsgálja és az adatokat szükség esetén frissíti.

  • Korlátozott tárolhatóság

Az Alapítvány a Személyes Adatot csak a cél megvalósulásához szükséges mértékben és ideig kezeli.

Az Alapítvány a Személyes Adatok tárolási idejére vonatkozó listát készít, amely alapján az egyes Személyes Adatok törlésének idejét nyomon követi. Az Alapítvány a listát rendszeres időközönként felülvizsgálja.

Amikor a Személyes Adatok kezelésének célja megvalósul, vagy az Alapítvány által rögzített tárolási idő lejárt, akkor az Alapítvány a Személyes Adatokat törli, a Személyes Adatok törlését pedig írásban rögzíti, illetve a papíralapon kezelt személyes adatokat megsemmisíti és a megsemmisítést dokumentálja.

  • Integritás és bizalmas jelleg

Az Alapítvány olyan technikai és szervezési intézkedéseket alkalmaz, amelyek biztosítják a Személyes Adatok biztonságát, illetve védelmet biztosítanak az ellen, hogy a Személyes Adatokat jogosulatlanul vagy jogellenesen kezeljék, azok véletlenül elvesszenek, megsemmisüljenek vagy károsodjanak.

A Személyes Adatok biztonsága érdekében tett intézkedéseket az Alapítvány adatbiztonsági és adatvédelmi incidens szabályzata tartalmazza.

  • Elszámoltathatóság

Az Alapítvány felelős azért, hogy valamennyi fenti alapelvnek megfeleljen, illetve, hogy képes legyen igazolni a fenti alapelveknek való megfelelést. Az Alapítvány anyagi felelősséggel tartozik az adatvédelmi alapelvek végrehajtásáért.

Az Alapítvány – többek között – a következő intézkedéseket teszi meg az alapelveknek való megfelelés és annak igazolhatósága érdekében:

  • adatvédelmi tisztviselő kinevezése;
  • írásbeli adatvédelmi szabályzat készítése;
  • írásbeli adatbiztonsági és adatvédelmi incidens szabályzat készítése;
  • adatkezelési tájékoztatók készítése és átadása az érintettek részére az adatkezelés megkezdését megelőzően;
  • adatbiztonsági kérdésekben jártas rendszergazda megbízása;
  • egészségügyi adatok kezelésére egyedi számítógépes program fejleszttetése és folyamatos szakember által történő karbantartásra külső informatikus megbízása;
  • számítógépes hálózatok biztonságának átgondolása, ellenőrzése és biztonsági szint javítása;
  • munkavállalók oktatása, stb.
  1. Személyes Adatok kezelésének jogszerűsége

    • Az Alapítvány a Személyes Adatokat akkor és olyan mértékben kezeli jogszerűen, amikor és amennyiben legalább alábbi pontban foglaltak egyike teljesül:
  • az Érintett hozzájárulását adta a Személyes Adatainak konkrét célból történő kezeléséhez;
  • az Adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
  • az Adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  • az Adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  • az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek Személyes Adatok védelmét teszik szükségessé (különösen, ha az Érintett gyermek).

Az Alapítvány az Adatkezelés célját a fenti pontok (jogalapok) egyikére való hivatkozással határozza meg. Az Alapítvány valamennyi adatkezelési cél tekintetében feltünteti a megfelelő jogalapot az adatkezelési nyilvántartási lapokon.

  • Amennyiben az Alapítvány a Személyes Adatokat egy konkrét célból gyűjti, és a gyűjtött Személyes Adatokat bármely más célból is használni kívánja, akkor – amennyiben az eltérő célú Adatkezelés nem az Érintett hozzájárulásán vagy nem olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban – az Alapítvány az eltérő célú Adatkezelés jogszerűségének megítélése szempontjából az alábbi szempontokat veszi figyelembe:
  • a Személyes Adatok gyűjtésének céljait és a tervezett további Adatkezelés céljai közötti esetleges kapcsolatokat;
  • a Személyes Adatok gyűjtésének körülményeit (különös tekintettel az Érintettek és az Adatkezelő közötti kapcsolatokra);
  • a Személyes Adatok jellegét (különösen azt, hogy Személyes Adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó);
  • azt, hogy az Érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
  • megfelelő garanciák meglétét (például titkosítás vagy álnevesítés).
  1. Érintetti jogok és Érintetti jogok gyakorlása

Az Érintettek a Személyes Adataik kezelésével kapcsolatban a következő jogokat jogosultak gyakorolni: tájékoztatáshoz való jog, hozzáféréshez való jog, helyesbítéshez való jog, törléshez való jog, Adatkezelés korlátozásához való jog, adathordozhatósághoz való jog, tiltakozáshoz való jog, panasztételhez való jog, valamint hozzájárulás visszavonásához való jog.

  • Érintetti jogok gyakorlása

Az Alapítvány valamennyi adatkezelésre vonatkozó tájékoztatóban tájékoztatást nyújt az Érintettek részére a Személyes Adataik kezelésével kapcsolatos jogok gyakorlására vonatkozó lehetőségről.

Az Alapítvány a Személyes Adatok kezelésével kapcsolatos jogok gyakorlására e-mail címet létesített kapcsolattartási e-mail címként, amely e-mail címet az Alapítvány adatvédelmi tisztviselője kezel. Az Alapítvány a létrehozott e-mail címet jelöli meg valamennyi tájékoztatóban mint az érintetti jogok gyakorlása esetén használandó kapcsolattartási e-mail címet.

  • Érintetti jogok gyakorlása esetén benyújtott kérelmek kezelése

Az Érintetti jogok gyakorlása esetén benyújtott kérelmeket az Alapítvány adatvédelmi tisztviselője kezeli, illetve amennyiben a kérelemben foglaltak teljesítéséhez az Alapítvány munkatársainak bevonása szükséges, akkor az Alapítvány adatvédelmi tisztviselője koordinálja.

Az Alapítvány adatvédelmi tisztviselője abban az esetben, ha a kérelmező személyazonosságát illetőlen kétség merül fel, akkor – mielőtt a kérelem teljesítését megkezdené – meggyőződik arról, hogy a kérelmet benyújtó személy az, aki a jogosult a kérelem benyújtására, illetve a Személyes Adatok megismerésére. Az Alapítvány az Érintett által benyújtott kérelem teljesítését csak akkor tagadja meg, ha bizonyítani tudja, hogy az Érintettet nem áll módjában azonosítani.

Telefonon keresztül közölt kérelem esetén az Alapítvány munkatársa, aki a telefonhívást kezeli, írásban összefoglalja a szóbeli kérelmet, az írásbeli összefoglalót átadja az Alapítvány adatvédelmi tisztviselője részére, ezt követően az Alapítvány adatvédelmi tisztviselője az írásbeli összefoglalót megküldi a kérelmet benyújtó Érintett részére és kéri a kérelem tartalmának megerősítését.

Személyesen közölt kérelem esetén az Alapítvány munkatársa, akivel a kérelmet közlik, írásban összefoglalja a szóbeli kérelmet, az írásbeli összefoglalót átadja az Alapítvány adatvédelmi tisztviselője részére (amennyiben erre lehetőség van) vagy az írásbeli összefoglalót átadja a kérelmet benyújtó Érintett részére és kéri a kérelem tartalmának megerősítését.

Amennyiben a kérelemből nem egyértelmű, hogy a kérelmező mely érintetti jogát gyakorolta, az Alapítvány a kérelem beérkezését követő legrövidebb időn belül megkeresi a kérelmet benyújtó Érintettet a kérelem pontosítása érdekében.

  • Kérelem megválaszolásának határideje, módja, díja

Az Alapítvány adatvédelmi tisztviselője a beérkezett kérelem alapján tett intézkedésekről indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja a kérelmet benyújtó Érintettet.

Az Alapítvány – az Alapítvány adatvédelmi tisztviselőjének javaslatára – az egy hónapos határidőt a kérelem összetettségére és a kérelmek számára tekintettel legfeljebb további két hónappal meghosszabbíthatja. Az Alapítvány a kérelem beérkezésétől számított egy hónapos határidőn belül tájékoztatja a kérelmet benyújtót a határidő meghosszabbításáról.

Ha az Alapítvány a kérelem beérkezésétől számított egy hónapon belül nem tesz intézkedést, akkor az Alapítvány a kérelem beérkezésétől számított egy hónapos határidőn belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamely felügyeleti hatóságnál és élhet bírósági jogorvoslat jogával.

Az Alapítvány az információkat, a tájékoztatást és intézkedést díjmentesen biztosítja. Amennyiben az Érintett kérelme egyértelműen megalapozatlan vagy túlzó (például ismétlődő jellege miatt), akkor az Alapítvány — esetről esetre hozott döntése alapján — igényt tart az adminisztratív költségek megtérítésére észszerű összegű díj felszámításával vagy megtagadja a kérelem alapján történő intézkedést.

  • Egyes Érintetti jogok esetén követendő eljárás
    • Tájékoztatáshoz való jog

Az Alapítvány tájékoztatást nyújt az Alapítvány adatvédelmi tisztviselője részére bármely olyan tervezet tevékenységéről, ami a Személyes Adatok kezelésével kapcsolatos.

Az Alapítvány adatvédelmi tisztviselője a tervezett tevékenység megismerését követően, azonban annak megkezdését megelőzően tájékoztatót készít a tevékenység során folytatott Adatkezelés tekintetében és útmutatást nyújt az Alapítvány részére a tájékoztató használatára vonatkozóan.

  • Hozzáféréshez való jog

Az Alapítvány adatvédelmi tisztviselőjének koordinációja alatt az Alapítvány adatkezelést végző munkatársai megvizsgálják, hogy az Érintett tájékoztatás iránti kérelme (hozzáféréshez való jog gyakorlása esetén) szerinti Személyes Adatokat a kérelem beérkezésekor kezeli-e az Alapítvány.

Az Alapítvány adatvédelmi tisztviselője az Alapítvány munkatársaitól kapott tájékoztatás alapján megválaszolja az Érintett kérdést, valamint tájékoztatást nyújt az Érintetti jogok gyakorlásával kapcsolatos Személyes Adatai kezeléséről.

  • Helyesbítéshez való jog

Az Alapítvány adatvédelmi tisztviselőjének koordinációja alatt az Alapítvány munkatársai ellenőrzik, hogy az Érintett kérelmében foglalt, helyesbítendő Személyes Adatok az Alapítvány mely Adatkezelési tevékenységei során jelennek meg, továbbá mely munkatársak kezelik a Személyes Adatokat.

Az Alapítvány adatvédelmi tisztviselője az Alapítvány munkatársaitól kapott tájékoztatás alapján egyeztet az Alapítvány munkatársaival a Személyes Adatok helyesbítésének módjáról, valamint ellenőrzi a Személyes Adatok helyesbítésének megtörténtét. Ezt követően tájékoztatást nyújt az Érintett részére a Személyes Adatai helyesbítésének megtörténtéről.

  • Törléshez való jog

Az Alapítvány adatvédelmi tisztviselőjének koordinációja alatt az Alapítvány munkatársai ellenőrzik, hogy az Érintett kérelmében foglalt, törlendő Személyes Adatok az Alapítvány mely Adatkezelési tevékenységei során jelennek meg.

Az Alapítvány adatvédelmi tisztviselője ellenőrzi az egyes Adatkezelési tevékenységek jogalapját és az irányadó őrzési időt az Alapítvány Adatkezelési tevékenységeire vonatkozó nyilvántartási lapokon, továbbá ellenőrzi, hogy a Személyes Adatokhoz mely Címzett részére kerültek továbbításra.

Amennyiben a Személyes Adatok törlésére vonatkozó kérelmet a fentiek figyelembevételével teljesíti az Alapítvány, akkor az elektronikusan kezelt Személyes Adatok törlésére és a papíralapon kezelt Személyes Adatok törlésére az Alapítvány adatvédelmi tisztviselőjének koordinációja alatt kerül sor olyan módon, hogy a Személyes Adatok törlése és megsemmisítést az Alapítvány munkatársai végzik. Az Alapítvány adatvédelmi tisztviselője értesít valamennyi olyan Címzettet, amely a törlendő Személyes Adatokat kezeli. A törlés, illetve a megsemmisítés megtörténtéről az Alapítvány adatvédelmi tisztviselője tájékoztatást nyújt az Érintett részére.

Amennyiben a Személyes Adatok törlésére vonatkozó kérelmet a fentiek figyelembevételével nem teljesíti az Alapítvány, akkor az Alapítvány adatvédelmi tisztviselője tájékoztatást nyújt az Érintett részére a törlési kérelme nem teljesítésének okáról.

  • Adatkezelés korlátozásához való jog

Az Alapítvány adatvédelmi tisztviselője az Adatkezelés korlátozására irányuló kérelem esetén ellenőrizteti az Alapítvány munkatársaival, hogy a Személyes Adatok kezelésére papíralapon vagy elektronikusan kerül-e sor.

Papíralapú dokumentumban kezelt Személyes Adatra vonatkozó korlátozás esetén valamennyi olyan dokumentumot, amelyben a kérelemmel érintett Személyes Adatok előfordulnak, lezárt borítékban helyez el, és gondoskodik arról, hogy ahhoz rajta és az Alapítvány kuratóriumának elnökén kívül senki ne férhessen hozzá olyan módon, hogy a lezárt borítékot az Alapítvány páncélszekrényében helyezi el az Alapítvány kuratóriuma elnökének közreműködésével.

Elektronikus formában kezelt Személyes Adatra vonatkozó korlátozás esetén minden fájlt, amely tartalmazza a kérelemmel érintett Személyes Adatokat, egy külső adathordozóra (cd, dvd vagy pendrive) másol át az eredeti tárolási helyükről törli a fájlokat (esetleg anonimizált formában őrzi tovább őket) az Alapítvány munkatársai közreműködésével. A külső adathordozót az Alapítvány adatvédelmi tisztviselője az Alapítvány kuratóriuma elnökének közreműködésével egy lezárt borítékban helyezi el és gondoskodik arról, hogy ahhoz rajta és az Alapítvány kuratóriumának elnökén kívül senki ne férhessen hozzá olyan módon, hogy a lezárt borítékot az Alapítvány páncélszekrényében helyezi el az Alapítvány kuratóriuma elnökének közreműködésével.

  • Adathordozhatósághoz való jog

Az Alapítvány adatvédelmi tisztviselőjének koordinációja alatt az Alapítvány adatkezelést végző munkatársai megvizsgálják, hogy az Érintett adathordozhatósághoz való jog gyakorlására irányuló kérelmével érintett Személyes Adatokat a kérelem beérkezésekor kezeli-e az Alapítvány, illetve mely Adatkezelési tevékenységek folytatása során kerül sor az Adatkezelésre.

Az Alapítvány adatvédelmi tisztviselője az Alapítvány munkatársaitól kapott tájékoztatás alapján ellenőrzi az egyes Adatkezelési tevékenységek jogalapját és az irányadó őrzési időt az Alapítvány Adatkezelési tevékenységeire vonatkozó nyilvántartási lapokon.

Amennyiben az Alapítvány adatvédelmi tisztviselője megállapítja, hogy az adathordozhatósághoz való jogra vonatkozó kérelmet az Alapítványnak teljesítenie kell, akkor az Alapítvány munkatársai közreműködésével előkészíti a kérelemmel érintett Személyes Adatokat az Érintett vagy az Érintett által megjelölt adatkezelő részére történő átadásra gyakran használt, könnyen beszerezhető fizetős vagy ingyenes szoftverek által olvasható formátumban.

Amennyiben az Alapítvány adatvédelmi tisztviselője megállapítja, hogy az adathordozhatósághoz való jogra vonatkozó kérelmet az Alapítvány nem teljesíti, akkor erre vonatkozó tájékoztatást nyújt az Érintett részére a kérelme teljesítése elmaradása okainak megjelölésével.

  • Tiltakozáshoz való jog

Az Alapítvány adatvédelmi tisztviselőjének koordinációja alatt az Alapítvány adatkezelést végző munkatársai megvizsgálják, hogy az Érintett tiltakozáshoz való jog gyakorlására irányuló kérelmével érintett Személyes Adatokat a kérelem beérkezésekor kezeli-e az Alapítvány, illetve mely Adatkezelési tevékenységek folytatása során kerül sor az Adatkezelésre.

Az Alapítvány adatvédelmi tisztviselője az Alapítvány munkatársaitól kapott tájékoztatás alapján ellenőrzi az egyes Adatkezelési tevékenységek jogalapját és az irányadó őrzési időt az Alapítvány Adatkezelési tevékenységeire vonatkozó nyilvántartási lapokon, továbbá ellenőrzi az egyes Adatkezelések tekintetében elvégzett érdekmérlegelési tesztek tartalmát.

Az Alapítvány adatvédelmi tisztviselője a rendelkezésére álló információk alapján tájékoztatást nyújt az Érintett részére a tiltakozáshoz való joga teljesítésével kapcsolatban.

  1. Adatkezelési tevékenységek nyilvántartása

Az Alapítvány adatvédelmi tisztviselője az Alapítvány felelősségébe tartozóan végzett adatkezelési tevékenységekről külön dokumentumba foglalt nyilvántartást vezet.

Az adatkezelési tevékenységek nyilvántartását az Alapítvány adatvédelmi tisztviselője havonta áttekinti és változás esetén a szükséges módosításokat átvezeti.

  1. Adatvédelmi hatásvizsgálat

Az Alapítvány elsősorban az Alapítvány által folytatott gyógykezelésekkel kapcsolatos, jogi kötelezettség teljesítésén alapuló adatkezelési tevékenységeket végzi. Az Alapítvány a Személyes Adatok Különleges Kategóriájába Tartozó Adatok nagyszámban történő kezelésére tekintettel hatásvizsgálatot folytat le az egészségügyi adatok kezelése tekintetében, amely hatásvizsgálat lefolytatásához a Nemzeti Adatvédelmi és Információszabadság Hatóság honlapján elérhető programot használja.

Az Alapítvány egyebekben az általa foglalkoztatottak tekintetében a jogi kötelezettség teljesítéséhez, valamint szerződés teljesítéséhez szükséges személyes adatait kezeli, valamint az oktatáson résztvevők tekintetében a képzési szerződés létesítéséhez és teljesítéséhez szükséges személyes adatokat kezeli. Az Alapítvány így az egészségügyi adatoka kezelésén túl nem folytat olyan Adatkezelési tevékenységet, amely a Nemzeti Adatvédelmi és Információszabadság Hatóság által közzétett, hatásvizsgálat lefolytatására kötelező lista alapján hatásvizsgálat lefolytatására kötelezné.

  1. Adatvédelmi tisztviselő

Az Alapítvány adatvédelmi tisztviselőt nevezett ki, tekintettel arra, hogy az Alapítvány olyan tevékenységet végez főtevékenységként, amely közfeladat ellátására irányul.

Az Alapítvány megbízási szerződés alapján a Sipos Adrienn Ügyvédi Irodát (székhely: 1112 Budapest, Budaörsi út 161.) nevezte ki adatvédelmi tisztviselőnek tekintettel arra, hogy a Sipos Adrienn Ügyvédi Iroda személyesen közreműködő tagja adatbiztonsági és adatvédelmi szakjogász, továbbá általános jogi feladatokat lát el az Alapítvány részére és így az adatvédelem területén tapasztalattal rendelkezik, valamint az Alapítvány működésére vonatkozó információi is vannak.

Az Alapítvány a kinevezett adatvédelmi tisztviselő akadályoztatása esetére a Marczali Ügyvédi Irodát (székhely: 1031 Budapest, Szentendrei út 190.) nevezte ki tekintettel arra, hogy a Marczali Ügyvédi Iroda személyesen közreműködő tagja jelenleg adatbiztonsági és adatvédelmi szakjogász képzést végzi, továbbá dr. Sipos Adrienn helyettes ügyvédje a Magyar Ügyvédi Kamara nyilvántartása szerint és a Sipos Adrienn Ügyvédi Iroda és a Marczali Ügyvédi Iroda megalapította a Sipos-Marczali Ügyvédi Társulást.

Az Alapítvány az adatvédelmi tisztviselő részére a következő e-mail címet biztosítja kapcsolattartási e-mail címként: adatvedelem@deveny.hu.

A kinevezett adatvédelmi tisztviselő legalább az alábbi feladatokat látja el:

  • tájékoztatást nyújt és szakmai tanácsot ad az Alapítvány, továbbá az Alapítvány adatkezelést végző alkalmazottai részére az általános adatvédelmi rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségekkel kapcsolatban;
  • tájékoztatást nyújt az adatvédelmi jogszabályok változásával és a változások következtében szükséges intézkedésekkel kapcsolatban;
  • rendszeres időközönként az Alapítvány kuratóriumának elnökével történő egyeztetés alapján ellenőrzi az Alapítvány általános adatvédelmi rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatvédelmi belső szabályzatnak való megfelelést;
  • rendszeres időközönként az Alapítvány vezetőségével történő egyeztetés alapján adatvédelemmel és adatbiztonsággal kapcsolatos oktatásokat tart az Alapítvány munkatársai részére;
  • az Alapítvány kérdése esetén szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését;
  • az Alapítvány képviseletében együttműködik a felügyeleti hatósággal; és
  • az adatkezeléssel összefüggő ügyekben – ideértve a 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Hatályos: 2019. március 29. napjától

Fogalomtár

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel;

Adatkezelés: a Személyes Adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelés korlátozása: a tárolt Személyes Adatok megjelölése jövőbeli kezelésük korlátozása céljából;

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a Személyes Adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.; ha az Adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az Adatkezelőt vagy az Adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

Alapítvány: a Dévény Anna Alapítvány (székhely: 1051 Budapest, Október 6. u. 24; adószám: 1962679-2-41;

Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a Személyes Adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az Adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;

Rendelet: az Európai Parlament és a Tanács (EU) 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adtaok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;

Szabályzat: a Dévény Anna Alapítvány adatvédelmi belső szabályzata;

Személyes Adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Személyes Adatok Különleges Kategóriájába Tartozó Adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes Adatok:

  • genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan Személyes Adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;
  • biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan, sajátos technikai eljárásokkal nyert Személyes Adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
  • egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó Személyes Adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.