Adatédelem
A jelen szabályzat (a továbbiakban: Szabályzat) célja, hogy az adatvédelem és adatbiztonság követelményeinek érvényesülését szem előtt tartva, a hatályos és vonatkozó jogszabályi előírásoknak megfelelően:
A MAGYAR FÖLDRAJZI MÚZEUM ADATKEZELÉSI ÉS ADATVÉDELMI
SZABÁLYZATA
Érd, 2019. február 28.
1. BEVEZETÉS
A jelen szabályzat (a továbbiakban: Szabályzat) célja, hogy az adatvédelem és
adatbiztonság követelményeinek érvényesülését szem előtt tartva, a hatályos és
vonatkozó jogszabályi előírásoknak megfelelően:
(a) részletesen és kimerítően tájékoztassa az érintetteket a Magyar Földrajzi
Múzeum (a továbbiakban: Adatkezelő) által kezelt személyes adatainak köréről,
az adatkezelés céljáról, módjáról, illetve az adatok kezelésével kapcsolatos minden
egyéb tényről, így különösen, de nem kizárólagosan az adatkezeléssel kapcsolatos
jogaikról és az általuk igénybe vehető jogorvoslati lehetőségekről.
(b) meghatározza és szabályozza az Adatkezelő által folytatott adatkezelési
tevékenységek jogi, műszaki, biztonsági és egyéb jellegű feltételeit és
követelményeit.
(c) Meghatározza és szabályozza azon magánszemélyek jogait és ezek
érvényesítésének módját, akinek személyes adatai vonatkozásában az Adatkezelő a
jelen szabályzat szerint adatkezelést végez (a továbbiakban: Érintett).
2. ADATKEZELŐ ADATAI, ADATVÉDELMI FELELŐS
2.1. Az Adatkezelő adatai:
Név: Magyar Földrajzi Múzeum
Székhely: 2030 Érd, Budai út 4.
Adószám: 16792654-1-13
telefonszám: 06 (23) 363-036
e-mail: info@foldrajzimuzeum.hu
2.2. Az Adatkezelő adatvédelmi felelőse
Adatkezelő adatvédelmi felelőse ügyel a jelen Szabályzat betartása, és az Adatkezelőnél a
személyes adatok védelmével és kezelésével kapcsolatos eljárások betartására, és egyúttal az
Adatkezelő kapcsolattartójaként is eljár az Adatkezelő valamennyi személyes adatok
kezelésével kapcsolatos ügyekben és kérdésekben. Adatkezelő adatvédelmi felelősének neve,
elérhetőségei:
név: Dr. Kubassek János igazgató
e-mail: info@foldrajzimuzeum.hu
telefonszám: 06 (23) 363-036
3.JOGSZABÁLYI HIVATKOZÁSOK, EGYÉB BELSŐ ELŐÍRÁSOK,
ADATKEZELŐ FELADATAI, SZOLGÁLTATÁSAI
3.1 Jogszabályi hivatkozások, egyéb belső előírások:
Jelen szabályozás az alábbi jogszabályokon alapul:
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi
CXII. törvényt (a továbbiakban: Infotv.);
- az Európai Parlament és a Tanács (EU) 2016/679 számú, a természetes
személyeknek a személyes adatok kezelése tekintetében történő védelméről és az
ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül
helyezéséről szóló rendeletet (a továbbiakban: GDPR);
- Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény (a
továbbiakban:
Mötv.);
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.);
- a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről
szóló 1997. évi CXL. törvény (a továbbiakban: Múzeumi tv.);
- a kulturális örökség védelméről szóló 2001. évi LXIV. törvény (a továbbiakban:
Kövtv.);
- a nevelési-oktatási intézmények működéséről és a köznevelési intézmények
névhasználatáról szóló 20/2012. (VIII.31.) EMMI rendelet (a továbbiakban: EMMI
rend.);
- a nemzeti köznevelésről szóló 2011. évi CXC. törvény (a továbbiakban:
Köznevelési tv.)
- a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvény (a továbbiakban:
Felsőoktatási tv.)
- a jelen szabályzatban, vagy mellékleteiben egyébként hivatkozott további
jogszabályok, illetve tárgybeli önkormányzati rendeletek.
3.2 Adatkezelő feladatai, szolgáltatásai
3.2.1 Muzeális intézmény fenntartása
A Múzeumi tv. 50. § (1) bekezdés alapján a muzeális intézmény fenntartója az a
természetes személy vagy jogi személy, amely biztosítja a muzeális intézmény
folyamatos és rendeltetésszerű működéséhez szükséges feltételeket. A Magyar Földrajzi
Múzeum fenntartója Érd Megyei Jogú Város Önkormányzata.
4. A SZEMÉLYES ADATOK KEZELÉSÉVEL KAPCSOLATOS FOGALMAK ÉS
MEGHATÁROZÁSUK
“személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”)
vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen
vagy közvetett módon, különösen valamely azonosító, például név, szám,
helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai,
genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy
vagy több tényező alapján azonosítható;
“különleges adat”: a személyes adatok különleges kategóriáiba tartozó minden adat,
azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti
meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a
genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok,
az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális
irányultságára vonatkozó személyes adatok;
“adatkezelő”: a természetes vagy jogi személy, illetve jogi személyiséggel nem
rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi
aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat
kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt)
vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval
végrehajttatja;
“adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem
automatizált módon végzett bármely művelet vagy műveletek összessége, így a
gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás,
lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon
történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás,
törlés, illetve megsemmisítés;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő
tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat
vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy
beleegyezését adja az őt érintő személyes adatok kezeléséhez;
“adatfeldolgozó”: az a természetes vagy jogi személy, illetve jogi személyiséggel
nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező
jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő
megbízásából vagy rendelkezése alapján személyes adatokat kezel;
“adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró
adatfeldolgozó által végzett adatkezelési műveletek összessége;
“adattovábbítás”: az adat meghatározott harmadik személy számára történő
hozzáférhetővé tétele;
“nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele;
“adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé
nem lehetséges
“profilalkotás”: személyes adat bármely olyan - automatizált módon történő -
kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi
teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes
preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez,
tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére,
elemzésére vagy előrejelzésére irányul.
5. ALAPELVEK ÉS ALAPVETŐ RENDELKEZÉSEK
5.1. Jogszerűség, tisztességes eljárás és átláthatóság
Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára
átlátható módon kell végezni.
5.2. Célhoz kötöttség
Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból, jog
gyakorlása és kötelezettség teljesítése érdekében történhet, és azok nem kezelhetők
ezekkel a célokkal össze nem egyeztethető módon. Csak olyan személyes adat
kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél
elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges
mértékben és ideig kezelhető.
5.3. Adattakarékosság
A kezelt személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és
relevánsak kell lenniük, és a szükségesre kell korlátozódniuk;
5.4. Pontosság
A kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük;
minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai
szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
5.5. Korlátozott tárolhatóság
A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek
azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig
teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor
kerülhet sor, amennyiben a személyes adatok kezelésére a vonatkozó jogszabályoknak
megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból
vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és
szabadságainak védelme érdekében előírt megfelelő technikai és szervezési
intézkedések végrehajtására is figyelemmel.
5.6. Integritás és bizalmas jelleg
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy
szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok
megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen
elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
5.7. Elszámoltathatóság
Az adatkezelő felelős az adatkezelési elveknek való megfelelésért, továbbá képesnek is
kell lennie e megfelelés igazolására.
6. ADATBIZTONSÁG BIZTOSÍTÁSA
6.1 Az Adatbiztonság általános elvei:
6.1.1 Az Adatkezelő és az általa igénybe vett adatfeldolgozó a tudomány és technológia állása
és megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és
céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó
valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és
szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének
megfelelő szintű adatbiztonságot garantálja.
6.1.2 Az Adatkezelő gondoskodik az érintettek személyes adatainak biztonságáról,
megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az
eljárási szabályokat, amelyek a GDPR, az Infotv., valamint az egyéb adat- és
titokvédelmi szabályok érvényre juttatásához szükségesek.
6.1.3 Az Adatkezelő a személyes adatokat megfelelő intézkedésekkel védi különösen a
jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy
megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott
technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
6.1.4 A különböző nyilvántartásokban elektronikusan kezelt adatállományok
védelme érdekében az Adatkezelő megfelelő technikai megoldással biztosítja, hogy a
nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi - közvetlenül ne
legyenek összekapcsolhatók és az érintetthez rendelhetők.
6.1.5 A biztonság fenntartása és az Infotv-t vagy GDPR-t sértő adatkezelés megelőzése
érdekében az Adatkezelő értékeli az adatkezelés természetéből fakadó kockázatokat, és
szükség esetén az e kockázatok csökkentését szolgáló további intézkedéseket, például
titkosítást, álnevesítést alkalmaz. Jelenleg ilyen intézkedéseket az Adatkezelő nem
alkalmaz.
6.1.6 Az Adatkezelő a személyes adatok kezeléséhez a szolgáltatás nyújtása során
alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt
személyes adat:
a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
c) változatlansága igazolható (adatintegritás);
d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
6.1.7 Adatkezelő az adatkezelés során megőrzi:
a) a titkosságot: megvédi az Érintett személyes adatát, hogy csak az férhessen hozzá,
aki erre jogosult;
b) a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a
pontosságát és teljességét;
c) a rendelkezésre állást: gondoskodik arról, hogy amikor az Adatkezelő részéről
eljáró, arra jogosult használónak szüksége van rá, valóban hozzá tudjon férni a
kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
6.1.8 Az Adatkezelő az adatbiztonság feltételeinek érvényesítése és biztosítása érdekében
gondoskodik az érintett közalkalmazottak megfelelő és rendszeres felkészítéséről és
továbbképzéséről.
6.2 Az Adatkezelő informatikai rendszereinek főbb adatbiztonsági jellemzői és
eszközei:
6.2.1 Az Adatkezelő által igénybe vett informatikai szolgáltató az informatikai rendszer
biztonságáról, és a rendszerelemek zártságáról a rendszerszintű adminisztratív, fizikai
és logikai intézkedésekkel és védelmi eljárásokkal gondoskodik, amely intézkedések a
technika mindenkori állása szerint észszerűen elvárható intézkedésekből állnak, és
magukban foglalják különösen – de nem kizárólag – (i) a jogosulatlan hozzáférés elleni
védelmet, ideértve különösen a rendszerekhez, eszközökhöz történő hozzáférés erős
jelszóval történő védelmét (ii) az adatállományok helyreállításának lehetőségét
biztosító intézkedéseket, különösen a rendszeres biztonsági mentést és az ilyen
biztonsági mentések (másolatok) elkülönített, biztonságos kezelését, (iii) a tárolt, vagy
egyéb módon kezelt adatállományok kártékony kódok, programok elleni védelmét
(vírusvédelem, tűzfal, stb.) (iv) az ilyen adatállományok, illetve az adatokat hordozó
eszközök fizikai védelmét, ideértve különösen az objektumvédelmi intézkedéseket,
tűzkár, vízkár, villámcsapás, egyéb elemi kár védelmét, illetve az ilyen események
következtében bekövetkező károsodások helyreállíthatóságát.
6.2.2 Az Adatkezelő az adatbiztonság biztosítása érdekében biztosítja továbbá informatikai
rendszereinek belső megfigyelését, amely során minden, a szokásostól eltérő
felhasználást, vagy egyéb biztonsági eltérést rögzíthet. A rendszermegfigyelés ezen
kívül lehetővé teszi az alkalmazott óvintézkedések hatékonyságának ellenőrzését is.
6.2.3 Az Adatkezelő a személyes adatokat tartalmazó adatállományokhoz történő hozzáférési
jogosultságokat egyéni szinten osztja ki.
6.2.4 Az adathordozó eszközök elhelyezésére csak olyan helyiség jelölhető ki, amely
elegendő biztonságot nyújt az illetéktelen vagy erőszakos behatolás, tűz vagy természeti
csapás ellen.
A számítástechnikai eszközök használatára felhatalmazott személyek névsorát – a
feladataik meghatározásával – el kell készíteni. A listát az Adatkezelő
intézményvezetője állítja össze.
6.2.5.Külső személy (pl. karbantartás) számára a számítástechnikai eszközökhöz való
hozzáférést lehetőleg úgy kell biztosítani, hogy a kezelt adatokat ne ismerhesse meg.
6.3 Az Adatkezelő papíralapú adatkezelésének főbb adatbiztonsági jellemzői és
eszközei:
6.3.1 A személyes adatokat tartalmazó papír dokumentumok tárolásának és védelmének
biztosítását Adatkezelő különösen (i) a jogosulatlan hozzáférés elleni védelem, ideértve
különösen a személyes adatokat tartalmazó okiratok elkülönített tárolását és csak az arra
jogosultak számára történő hozzáférés biztosítását (ii) az okiratok fizikai védelmét,
ideértve különösen az objektumvédelmi intézkedéseket, tűzkár, vízkár, villámcsapás,
egyéb elemi kár védelmét.
6.3.2 Az Adatkezelő a személyes adatokat tartalmazó okiratokhoz történő hozzáférési
jogosultságokat egyéni szinten osztja ki.
6.3.3 Amikor dolgozói adatkezelés folyik, az adatkezelő helyiségbe csak olyan személy
léphet be, aki adatkezelésre jogosult.
6.4 Az Adatkezelő alapvető belső adatkezelési gyakorlati előírásai az informatika
rendszer vonatkozásában az Adatkezelő kollegái részére:
6.4.1 Az Adatkezelő valamennyi kollegája és közreműködője a személyes adatok kezelése
során az alábbi lényeges gyakorlati előírásokat köteles betartani:
(i) Az Adatkezelő működése során csak az adott folyamathoz elengedhetetlenül
szükséges személyes adatok tárolhatók, továbbíthatók, és egyéb módon kezelhetők.
(ii) Az informatikai jogosultságok engedélyezésekor figyelemmel kell lenni arra, hogy
személyes adathoz csak az férhessen hozzá, akinek a munkavégzéséhez az az
adat, adatkör elengedhetetlenül szükséges.
(iii) E-mailben személyes adatot tartalmazó dokumentum csak csatolmányként és csak
olyan módon úgy továbbítható, hogy biztosított legyen, hogy azt csak az arra
jogosult tekintheti meg, ennek érdekében — minimálisan — a személyes
adattartalomra utaló figyelmeztető mondatot kell elhelyezni a levél
törzsszövegében, a következők szerint: “A jelen email csatolmánya személyes
adatokat tartalmaz, ennek megismerésére csak és kizárólag a levél címzettje
jogosult.”
(iv) Az Adatkezelő által használt közös (több közalkalmazott, közreműködő stb. által
elérhető) meghajtókon személyes adatot tartalmazó dokumentum csak olyan
módon tárolható, ha biztosított, hogy azt
a) csak az Adatkezelő arra jogosult kollegái, közreműködői stb. érhetik el, vagy
(v) Az Adatkezelő kollegái és egyéb közreműködői az általuk használt vagy
birtokukban levő, személyes adatokat is tartalmazó adathordozókat — függetlenül
az adatok rögzítésének módjától— kötelesek biztonságosan őrizni es védeni a
jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés
vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen.
7. AZ ÉRINTETTEK JOGAI
7.1 Hozzáférési jog:
7.1.1 Az Érintett jogosult arra, hogy az Adatkezelőtől kérésére tájékoztatást kapjon arra
vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen
adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az alábbi
információkhoz hozzáférést kapjon: a az adatkezelés céljai; a személyes adatok
kategóriái; azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a
személyes adatokat az Adatkezelő közölte vagy közölni fogja (különösen a harmadik
országbeli címzetteket, illetve a nemzetközi szervezeteket); a személyes adatok
tárolásának tervezett időtartama, ha ez nem lehetséges, ezen időtartam
meghatározásának szempontjai; a Nemzeti Adatvédelmi Információszabadság
Hatósághoz panasz benyújtásának joga; valamint amennyiben az adatokat nem
közvetlenül az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető
információ.
7.1.2 Az Adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől
számított 30 (harminc) napon belül tájékoztatja az Érintettet a kérelme nyomán hozott
intézkedésekről.
7.1.3 Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a
határidő további 60 (hatvan) nappal meghosszabbítható. A határidő meghosszabbításáról
Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételtől számított 30
(harminc) napon belül tájékoztatja az Érintetett.
7.2 A helyesbítéshez való jog:
Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül
helyesbítse a rá vonatkozó pontatlan személyes adatokat, valamint, hogy kérje a hiányos
személyes adatok kiegészítését.
7.3 A törléshez való jog:
7.3.1 Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül
törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat
gyűjtötték vagy más módon kezelték;
b) az Érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk
(2) bekezdésének a) pontja értelmében az adatkezelés alapját képező
hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az Érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen,
és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az Érintett a
GDPR. 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat az Adatkezelő jogellenesen kezelte;
e) ha a személyes adatokat jogszabály alapján törölni kell;
f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett,
információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan
került sor (gyermek hozzájárulására vonatkozó feltételek).
7.3.2 Az adatot az Adatkezelő az Érintett erre vonatkozó kérése esetén sem törli, amennyiben
az adatkezelés a következő okok valamelyike miatt továbbra is szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása
céljából;
b) a személyes adatok kezelését előíró jog szerinti kötelezettség teljesítése céljából;
c) vagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez
szükséges.
A fenti esetben Adatkezelő az Érintett személyes adatainak kezelését a fenti célokból
történő adatkezelésre korlátozza.
7.4 Az adatkezelés korlátozásához való jog:
7.4.1 Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést,
amennyiben az alábbi feltételek bármelyike megvalósul:
a) az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az
időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a
személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri
azok felhasználásának korlátozását;
c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából,
de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy
védelméhez; vagy
d) az Érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az
időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos
indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.
7.4.2 Az adatkezelés korlátozása esetén a korlátozással érintett személyes adatokat a tárolás
kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez,
érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak
védelme érdekében, vagy az Európai Unió, illetve valamely tagállam fontos
közérdekéből lehet kezelni.
7.4.3 A korlátozás feloldásáról az Adatkezelő előzetesen tájékoztatást nyújt az azt kérelmező
Érintettnek.
7.5 A tiltakozáshoz való jog:
Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor
tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján
alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló esetleges
profilalkotást is. Az Érintett jogszerű tiltakozása esetén az Adatkezelő az Érintett
személyes adatait nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést
olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az
Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények
előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
7.6 Az adathordozhatósághoz való jog:
Az Érintett jogosult arra, hogy a rá vonatkozó személyes adatait tagolt, széles körben
használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket
az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az
Adatkezelő, feltéve, hogy:
a) az adatkezelés a GDPR. 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2)
bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1)
bekezdésének b) pontja szerinti szerződésen alapul; és
b) az adatkezelés automatizált módon történik.
Adatkezelőnél jelenleg automatizált módon történő adatkezelés nem zajlik.
8. AZ ADATKEZELÉS RÉSZLETES SZABÁLYAI
8.1. Az Érintett tájékoztatása az adatkezelésről
Az Érintett jogosult a személyes adatai kezeléséről tömör, átlátható és könnyen
hozzáférhető formában, világosan és közérthetően tájékoztatást kapni.
8.1.1 Mikor szükséges tájékoztatni
- Az Érintettet a profilalkotás és automatizált döntéshozatal tényéről és annak
következményeiről tájékoztatni kell.
- Ha a személyes adatokat az Érintettől gyűjtik, az Érintettet arról is tájékoztatni kell,
hogy köteles- e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás
elmaradása milyen következményekkel jár.
- Az Érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az
adatgyűjtés időpontjában kell az Érintett részére megadni, illetve, ha az adatokat
nem az Érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe
véve, észszerű határidőn belül kell rendelkezésre bocsátani.
- Ha a személyes adatok jogszerűen közölhetők más címzettel, a címzettel történő
első közléskor arról az Érintettet tájékoztatni kell.
- Ha az Adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból
kívánja kezelni, a további adatkezelést megelőzően az Érintettet erről az eltérő
célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.
- Ha az Adatkezelő nem tud tájékoztatást nyújtani az Érintett részére a személyes
adatok eredetéről, mivel azok különböző forrásokból származnak, általános
tájékoztatást kell adni.
8.1.2 Miről szükséges tájékoztatni
- az Adatkezelő kilétéről és elérhetőségéről;
- a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés
jogalapjáról;
- a „jogos érdeken” alapuló adatkezelés esetén ezen jogos érdekekről;
- a személyes adatok címzettjeiről;
- az adatkezelés tervezett időtartamáról;
- az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó
személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy
kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,
valamint az Érintett adathordozhatósághoz való jogáról;
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
- arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve
milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
- az esetleges automatizált döntéshozatalról, ideértve a profilalkotást is.
8.2 Az adatkezelés jogszerűsége
A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak egyike
teljesül:
- az Érintett hozzájárulását adta személyes adatainak kezeléséhez, vagy
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az
egyik fél, vagy
- az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez
szükséges, vagy
- az adatkezelés az Érintett létfontosságú érdekeinek védelme miatt szükséges, vagy
- az adatkezelés közérdekű feladat végrehajtásához szükséges, vagy
- az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek
érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget
élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek
személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.
8.3 Adatkezelő által kezelt személyes adatok köre, az egyes adatkezelések célja,
időtartama
Az Adatkezelő az alább célokból az alábbi Érintettek alábbi személyes adatait az alábbi
módon kezeli:
8.3.1 ÜGYFÉL- ÉS PARTNERADATOK KEZELÉSE
Az Adatkezelő kizárólag a szolgáltatásait igénybe vevő magánszeméllyel, jogi
személlyel, valamint jogi személyiséggel nem rendelkező szervezetekkel mint
ügyfelekkel megkötendő szerződések létrehozatala, azok tartalmának meghatározása,
módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása,
valamint az azzal kapcsolatos követelések érvényesítése, továbbá kutatók, támogatók,
múzeumpedagógusok és önkéntesek közreműködése, illetve rendezvényeit
népszerűsítő tartalom előállítása céljából kezelheti a vele szerződéses kapcsolatot
létesíteni kívánó vagy vele szerződéses kapcsolatot létesített magánszemélyek vagy
nem magánszemély ügyfelek vezető tisztségviselői, magánszemély tulajdonosai és
tényleges tulajdonos magánszemélyei, vagy részükről eljáró egyéb magánszemélyek
mint (együttesen) Érintettek azonosításához szükséges és elégséges személyes
adatokat.
Kezelt Adatkezelés célja Adatkezelés Adatkezelés Közös
személyes jogalapja időtartama adatkezelő,
adatok és (törlésre képviselőjének
kategóriái előirányzott és adatvédelmi
határidők) tisztviselőjének
megnevezése és
elérhetősége
(ha van ilyen)
Termé Természetes Magánszemély GDPR 6. Cikk A szakmai gyakorlat nincs
személy neve önkéntes (1) bekezdés elvégzésétől
munkavállalása, (b) pont számított 5 (öt)
kapcsolattartás. évig. (Ptk. 6:22. § (1)
bekezdés)
Természetes Adományok GDPR. 6. A hozzájárulás nincs
személy neve, nyilvántartása, Cikk (1) visszavonásáig.
címe, születési kutathatóság, bekezdés (a)
hely és ideje, kapcsolattartás. pontja
telefonszáma,
email címe
Természetes Magánszemély kutató GDPR. 6. A kutatás elvégzése nincs
személy neve, nyilvántartásának Cikk (1) után 5 (öt) évig.
címe, születési vezetése, bekezdés (b) (Ptk. 6:22. § (1)
hely és ideje, kapcsolattartás. pontja bekezdés)
telefonszáma,
email címe
Természetes Rendezvényt GDPR 6. cikk A felvétel Nincs
személyről népszerűsítő tartalom (1) bekezdés készítésétől
készített álló- előállítása, statisztikai (f) pontja és a számított 3 (három)
és/vagy céllal látogatottság Ptk. 2:48. § (2) év
mozgógép mérése bekezdése
(ha az ábrázolás
módja nem
egyedi)
Természetes Rendezvényt GDPR 6. cikk A hozzájárulás Nincs
személyről népszerűsítő tartalom (1) bekezdés visszavonásáig
készített álló- előállítása (a) pontja
és/vagy
mozgógép
(egyént ábrázoló
felvétel)
Adatkezelő Közérdekű GDPR 6. cikk Az Info.tv. 29. § Nincs
részére adatigénylések (1) bekezdés (1a) bekezdésében
benyújtott elbírálása, teljesítése (c) pontja, meghatározott
közérdekű InfoTv. 28. § egyéves idő
adatigénylésben (2) bekezdése. elteltéig, illetve a
megadott közérdekű
személyes adatigényléssel
adatok kapcsolatos
költségek
megfizetéséig
(amelyik hosszabb)
(Info.tv. 28. § (2)
bek.).
Természetes Pedagógusok GDPR 6. cikk A hozzájárulás Nincs
személy neve, nyilvántartása, (1) bekezdés visszavonásáig.
telefonszáma, kapcsolattartás (a) pontja
email címe.
Természetes Adatkezelőnél iskolai GDPR 6. cikk A közösségi
személy neve, közösségi szolgálat (1) bekezdés szolgálat teljesítést
anyja neve, teljesítése céljából, (c) pont követő 5 (öt) évig.
születési dátuma, kapcsolattartás. (Ptk. 6:22. § (1)
TAJ száma, bekezdés)
Oktatási
azonosítója,
Köznevelési tv. 6. §
(4) bekezdés és
EMMI rendelet 133 §
(1)bekezdése alapján
iskola neve és
OM
azonosít
ója.
Törvény
es
képvisel
ő
lakcíme,
telefons
záma
Természetes Jótékonysági GDPR 6. cikk A hozzájárulás Nincs
személy neve, rendezvényen (1) bekezdés visszavonásáig.
lakcíme, versenybe résztvevők (a) pontja
telefonszáma, kisorsolása,
email címe. kapcsolattartás.
Természetes Főiskolai vagy GDPR 6. cikk A szakmai gyakorlat
személy neve, Egyetemi szakmai (1) bekezdés elvégzésétől
anyja neve, gyakorlat elvégzése, (b) pontja számított 5 (öt)
születési helye, kapcsolattartás. évig. (Ptk. 6:22. §
ideje, (1) bekezdés)
telefonszáma,
email címe. Felsőoktatási tv. 15.
§ (3) bekezdése
alapján.
Természetes Diákmunkára GDPR 6. cikk A diákmunka
személy neve, jelentkezők (1) bekezdés elvégzésétől
anyja neve, foglalkoztatása, (b) pontja számított 5 (öt)
születési helye, kapcsolattartás. évig. (Ptk. 6:22. §
ideje, (1) bekezdés)
telefonszáma,
email címe.
Természetes Gyermektáboroztatás GDPR 6. cikk A tábort követő 30
személy neve, napközi tábor), (1) bekezdés (harminc) napig.
anyja neve, kapcsolattartás. (b) pontja
lakcím, TAJ
száma, orvosi
igazolás.
Törvényes
képviselő neve,
telefonszáma
Természetes Kulturális GDPR 6. cikk A alkalmazás
személy neve, közfoglalkoztatottak (1) bekezdés elvégzésétől
anyja neve, alkalmazása, (b) pontja számított 5 (öt)
születési helye, kapcsolattartás. évig. (Ptk. 6:22. §
ideje, (1) bekezdés)
telefonszáma,
email címe.
A fenti adatok tekintetében Adatkezelő adatfeldolgozó(ka)t vesz igénybe.
8.3.2 KÖZALKALMAZOTTAKKAL ÖSSZEFÜGGŐ SZEMÉLYES ADATOK
KEZELÉSE
Az Adatkezelő a vele közalkalmazotti jogviszonyban álló, vagy ilyen jogviszonyt
létesíteni kívánó magánszemélyek személyes adatait a jelen szabályzat 1. számú
mellékletét képező Munkáltatói Adatkezelési Szabályzat és Tájékoztatóban foglaltak
szerint kezeli.
8.3.3 AZ ADATKEZELŐ HONLAPJÁN FOLYTATOTT ADATKEZELÉS
8.3.4. HÍRLEVÉL
Az adatkezelés célja az Adatkezelő egy vagy több témában rendszeresen küldendő
elektronikus vagy postai úton küldött hírleveleire (a továbbiakban: Hírlevél)
feliratkozó személyek részére az Adatkezelőt, illetve szolgáltatásait bemutató,
népszerűsítő elektronikus vagy postai úton kézbesített hírlevelek rendszeres
küldése, amelynek révén az Adatkezelő társaság közvetlen fogyasztói csatornákon
keresztül lép kapcsolatba a természetes személyekkel, és amely során a
tevékenységével összefüggő reklámanyagok, tájékoztatók kiküldésére kerül sor.
Az adatkezelés jogalapja a GDPR 6. cikk (1) (a) pontja; miszerint az Érintett,
vagyis a Hírlevélre feliratkozó személy hozzájárulását adta személyes adatainak
egy vagy több konkrét célból történő kezeléséhez. Az Érintett hozzájárulását
bármikor visszavonhatja, leiratkozás vagy írásos jognyilatkozat útján.
Kezelt személyes Adatkezelés célja Adatkezelés Adatkezelés Közös
adatok és jogalapja időtartama adatkezelő,
kategóriái (törlésre képviselőjének
előirányzott és adatvédelmi
határidők) tisztviselőjének
megnevezése és
elérhetősége (ha
van ilyen)
Feliratkozó személy Adatkezelő GDPR 6. cikk (1) A hozzájárulás Nincs
- teljes neve, szolgáltatásait bekezdés (a) ponja visszavonásáig.
- email címe bemutató,
-
és/vagy népszerűsítő
lakcíme. elektronikus vagy
14. életévét be nem postai úton küldött
töltött gyermek hírlevél küldése.
esetén
- szülője,
törvényes
képviselője
neve, email
címe.
Az Adatkezelés a Hírlevélre történő feliratkozástól a leiratkozás időpontjáig vagyis
hozzájárulás visszavonásáig) vagy pedig a hírlevélküldési tevékenység megszűnéséig
tart.
8.4 Adatkezelési tevékenységek nyilvántartása
Az Adatkezelő és képviselője (adatvédelmi tisztviselője) a felelősségében tartozó
adatkezelési tevékenységekről adatkezelési nyilvántartást a GDPR 30. cikk
rendelkezéseire tekintettel vezet.
8.5 Adatvédelmi hatásvizsgálat
A tervezett adatkezelési műveletek személyes adatok védelmére vonatkozó hatása
tekintetében az Adatkezelő az adatkezelés megkezdését megelőzően hatásvizsgálatot
folytat le, amennyiben a tervezett adatkezelés – különösen új technológiákat
alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és
céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és
szabadságaira nézve. Ha az elvégzett kockázatbecslés alapján a tervezett adatkezelés
valószínűsíthetően az Érintetteket megillető, valamely alapvető jog érvényesülését
lényegesen befolyásolja, az Adatkezelő – a kötelező adatkezelés eseteit kivéve – az
adatkezelés megkezdését megelőzően írásban elemzést készít arról, hogy a tervezett
adatkezelés az érintetteket megillető alapvető jogok érvényesülésére milyen várható
hatásokat fog gyakorolni, amelynek tartalmaznia kell továbbá a kockázatok kezelése
céljából tervezett, valamint a személyes adatokhoz fűződő jog érvényesülésének
biztosítására irányuló, az adatkezelő által alkalmazott intézkedéseket.
8.6 Adatok megőrzése és törlése
8.6.1 Az Adatkezelő az Érintett személyes adatait csak a lehető legrövidebb ideig tárolhatja.
Ennek az időtartamnak a meghatározásánál figyelembe kell venni az adatkezelés okát,
valamint az Adatkezelőre irányadó, az adatok meghatározott ideig történő megőrzésére
irányuló jogszabályi előírásokat (pl. az közalkalmazottak személyes adatainak
meghatározott ideig történő megőrzését előíró nemzeti közalkalmazotti, adóügyi vagy
egyéb jogszabályokat).
8.6.2 Az Adatkezelő a személyes adatot törli, ha:
- annak kezelése jogellenes;
- az Érintett azt a jelen szabályzat 7.3.1 pontjával összhangban kéri és a 7.3.2.
pontban meghatározott esetek egyike sem áll fenn;
- az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve,
hogy a törlést jogszabály nem zárja ki;
- az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben
meghatározott határideje lejárt;
- azt bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság
elrendelte;
- az adat törlését jogszabály elrendeli.
8.6.3 Az Adatkezelő a létre nem jött szolgáltatási szerződéssel kapcsolatos banktitkot képező
személyes adatokat addig kezelheti, ameddig a szerződés létrejöttének meghiúsulásával
kapcsolatban igény érvényesíthető, ezt követően azokat köteles törölni. Az
igényérvényesítés szempontjából - törvény eltérő rendelkezése hiányában - a Ptk.-ban
meghatározott általános elévülési idő az irányadó.
8.6.4 Törlés esetén az Adatkezelő az adatokat személyazonosításra alkalmatlanná teszi.
Amennyiben jogszabály azt előírja, az Adatkezelő a személyes adatot tartalmazó
adathordozót megsemmisíti. Az Adatkezelő fenntartja a jogot, hogy a törölt adatokat
személyazonosításra alkalmatlan módon nyilvántartsa.
9. ADATTOVÁBBÍTÁS
9.1 Az Adatkezelő szervezetén belüli adattovábbítás általános szabályai
9.1.1 Az Adatkezelő szervezetén belül az Érintettek személyes adatait kizárólag a célhoz
kötöttség elvével összhangban továbbíthatók és csak megfelelő cél esetén biztosítható
ilyen adatokhoz hozzáférés.
9.1.2 Az Adatkezelő az Érintettek személyes adatait közvetlen üzletszerzésre,
direkt marketing vagy tájékoztatási célra, így különösen saját üzletszerzési céljaira
kizárólag az Érintett kifejezett és előzetes hozzájárulásával használhatja fel.
9.2 Az Adatkezelőn kívüli, harmadik személy részére történő adattovábbítás általános
szabályai
9.3.1 Személyes adatot továbbítani harmadik személy részére csak jogszabályi felhatalmazás
alapján vagy az Érintett előzetes hozzájárulásával lehet.
9.3.2 Az adattovábbítást megelőzően az Adatkezelő kötelessége megvizsgálni, hogy annak
törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei
minden egyes személyes adatra megvalósulnak-e.
9.4 Továbbítás külföldre vagy harmadik országba
Az adattovábbítást megelőzően – az adatvédelmi tisztviselő bevonásával – az
Adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e,
illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes, a
továbbítással érintett személyes adatra megvalósulnak-e.
Az Adatkezelő a GDPR 13. cikk (1) bekezdés f) pontja alapján rögzíti, hogy a jelen
szabályzat hatálybalépésének időpontjában harmadik országba vagy nemzetközi
szervezet részére nem továbbít általa kezelt adatot.
9.5 Adatszolgáltatások hatósági megkeresés alapján
Hivatalos szervektől (különösen, de nem kizárólag bíróság, ügyészség, nyomozó
hatóság, szabálysértési hatóság, közigazgatási hatóság, a Nemzeti Adatvédelmi és
Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más szervek)
beérkező adatkérés alapján – az abban megjelölt módon és tartalommal – tájékoztatás
adására, adatok közlésére, átadására, illetőleg iratok rendelkezésre bocsátására akkor
kerül sor az Adatkezelő részéről, amennyiben a kérelmező hatóság adatkérése az
Adatkezelő legjobb tudomása szerint valószínűsíthetően jogszerű. Az Adatkezelő
személyes adatok hivatalos szervek részére történő átadásának esetleges
jogszerűtlenségével kapcsolatos ezen felüli felelősségét kizárja.
9.6 Az Adatkezelő által kezelt személyes adatok az Érintett hozzájárulása nélkül
átadhatók:
(i) az Adatkezelő és az Érintett közötti esetleg jogviták rendezésére jogszabály alapján
jogosult szervek (békéltető testület, felügyeleti hatóság stb.) részére;
(ii) ha az Érintett elháríthatatlan okból nem képes hozzájárulását megadni, az Érintett
vagy más személy létfontosságú érdekeinek védelme, vagy a személyek életét, testi
épségét vagy javait fenyegető veszély elhárítása vagy megelőzése érdekében, az
adatok megismerésére külön törvényben felhatalmazott szerv kérelme alapján a
felhatalmazott szerv részére;
(iii) az Adatkezelő jogainak érvényesítése érdekében esetenként közreműködő jogi
képviselők (ügyvédi irodák) részére;
(iv) az Adatkezelő az Érintettel vagy az általa képviselt/tulajdonolt vállalattal szembeni
követelése harmadik személyek részére történő (tovább)engedményezése esetén az
érintett követelésekre, valamint a követelések kötelezettjeire vonatkozó adatokat az
engedményes, illetve a követelésre ajánlatot tevő személy részére;
(v) az Adatkezelő az Érintettel vagy az általa képviselt/tulajdonolt vállalattal szembeni
követelése érvényesítése érdekében azon további igazgatási szerv, hatóság, bíróság,
végrehajtó részére, aki (amely) a követelésbehajtáshoz szükséges bármely jogi
eljárást lefolytatja;
(vi) azon további hatósági szerveknek, amely részére az adatszolgáltatást a mindenkor
hatályos jogszabályok előírják, az ilyen jogszabályban előírt módon és
terjedelemben;
(vii) azon további személyeknek vagy szervezeteknek, akik az Adatkezelő megbízása
alapján az Érintett és az Adatkezelő közötti szerződéses jogviszony előkészítésében
vagy teljesítésében adatfeldolgozóként egyéb módon részt vesznek.
10. ADATFELDOLGOZÓK
10.1 Az Adatfeldolgozókra vonatkozó általános szabályok
Az Adatkezelő működése során, az Érintettek részére nyújtandó szolgáltatások
biztosítása céljából adatfeldolgozót vehet igénybe, akinek az Érintett személyes
adatainak részét vagy egészét továbbítja.
Az Adatkezelő tájékoztatja az Érintetteket, hogy adatfeldolgozásra azon személyek
köre jogosult, amelyek feladatellátásához a személyes adatok megismerése
elengedhetetlen.
Az adatfeldolgozó személyében bekövetkezett változással az Adatkezelő minden
esetben frissíti jelen Tájékoztatót. Az adatfeldolgozó további adatfeldolgozót igénybe
vehet. Az igénybe vett további adatfeldolgozóról az Adatkezelőt az adatfeldolgozó
tájékoztatni köteles, ezt követően az Adatkezelő a további adatfeldolgozó személyét
jelen Tájékoztatóban köteles feltüntetni.
10.2 Igénybe vett Adatfeldolgozók
10.2.1. E.N.S. Zrt.
Székhely: 1106 Budapest, Fehér út 10. 2. ép. 2. em
Adószám: 14032868-2-42
A múzeum www.foldrajzimuzeum.hu honlapjának tárhelyét biztosítja.
10.2.2. Adatfeldolgozó: PNB-Photo Kft.
Székhelye: 1222 Budapest, Tóth József utca 48.
Adószám: 13071743-2-43
A Múzeumdigitár oldal üzemeltetése, ezen keresztül az intézmény digitalizált anyagainak
kezelése.
10.2.2 Adatfeldolgozó: Magyar Posta
Székhelye: 1138 Bp., Dunavirág u. 2-6
Cégjegyzékszáma: 01-10-042463
Adószáma: 10901232-2-44
Továbbított adatok köre: vásárló neve, telefonszáma, email címe, irányító száma, szállítási
címe, kapucsengő száma, kézbesítő részére megadott üzenet
Az adattovábbítás célja: termék kiszállítása, utánvéti díj beszedése
10.2.3 Adatfeldolgozó: Raiffeisen Bank
Székhelye: Magyarország, 1054 Budapest, Akadémia utca 6.
Cégjegyzékszáma: 01-10-041042
Adószáma: 10198014-4-44
Továbbított adatok köre: vásárló neve, email címe, vásárlási érték, vásárlás dátuma, vásárlási
tranzakció száma Az adattovábbítás célja: termék kifizetése utánvétes tranzakcióval
10.2.4 A közalkalmazottak adataival összefüggésben igénybe vett Adatfeldolgozókat a
jelen szabályzat 1. számú mellékletét képező Munkáltatói Adatkezelési Szabályzat és
Tájékoztató rögzíti.
11. ADATVÉDELMI INCIDENS
Adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük,
amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy
jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy
az azokhoz való jogosulatlan hozzáférést eredményezi.
Az Adatkezelő adatvédelmi incidenst észlelő kollegája, adatfeldolgozója vagy egyéb
közreműködője az Adatkezelőnek késedelem nélkül köteles bejelenteni az Adatkezelő
képviselőjének, aki haladéktalanul kivizsgálja, és javaslatot tesz a szükséges
intézkedések vonatkozásában, valamint biztosítja és ellenőrzi az alább intézkedések
végrehajtását.
11.1. Adatvédelmi incidens bejelentése Az adatvédelmi incidenst az Adatkezelő
indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az
adatvédelmi incidens a tudomására jutott, köteles bejelenteni az illetékes felügyeleti
hatóság (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár
kockázattal a természetes személy jogaira és szabadságaira nézve. Ha a bejelentés nem
történik meg 72 órán belül, mellékleni kell hozzá a késedelem igazolására szolgáló
indokokat is.
Az adatszolgáltatásnak tartalmaznia kell
- az incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és
hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és
hozzávetőleges számát;
- az Adatkezelő képviselőjének vagy adatvédelmi tisztviselőjének mint
kapcsolattartónak a nevét és elérhetőségeit;
- az incidensből eredő, valószínűsíthető következményeket;
- az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett
intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges
hátrányos következmények enyhítését célzó intézkedéseket.
11.2. Az Érintettek tájékoztatása
Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a
természetes személyek jogaira és szabadságaira nézve, az Adatkezelő képviselője
indokolatlan késedelem nélkül köteles az Érintettet az adatvédelmi incidensről
tájékoztatni, közölve annak jellegét, az Adatkezelő kapcsolattartójának nevét és
elérhetőségét, a valószínűsíthető következményeket, valamint az adatvédelmi incidens
orvosolására, enyhítésére tett vagy tervezett intézkedéseket, kivéve, ha a GDPR 34.
cikkelyének (3) bekezdésében foglalt esetek valamelyike fennáll.
11.3. Adatvédelmi incidens kivizsgálása, kezelése
Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az
adatok kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedések
végrehajtását követően haladéktalanul, de legkésőbb 2 (kettő) munkanapon belül
köteles az Adatkezelő képviselőjét tájékoztatni.
11.4. Adatvédelmi incidensek nyilvántartása
Az Adatkezelő köteles az adatvédelmi incidensek nyilvántartására, amely tartalmazza
az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett
intézkedéseket.
12. PANASZ ÉS JOGORVOSLAT
Az Érintett jogosult arra, hogy felügyeleti hatóságnál panaszt tegyen, illetőleg annak
eljárását kezdeményezze, továbbá bírósági jogorvoslattal éljen, ha úgy ítéli meg, hogy
az adatainak kezelésével vagy az adatkezeléssel összefüggésben megillető jogok
gyakorlásával kapcsolatosan jogsérelem következett be.
A felügyeleti hatóság elérhetőségei:
Nemzeti Adatvédelmi és
Információszabadság Hatóság cím: 1125
Budapest, Szilágyi Erzsébet fasor 22/c,
emailcím: ugyfelszolgalat@naih.hu
Bírósági jogorvoslat esetén a perre az adatkezelő székhelye szerinti bíróság illetékes,
de a per – az érintett személy választása szerint – az érintett személy lakóhelye vagy
tartózkodási helye szerinti bíróság előtt is megindítható.
A fenti jogaik tiszteletben tartása mellett kérjük az Érintetteket, hogy mielőtt a
felügyeleti hatósághoz vagy bírósághoz fordulnának panaszaikkal – egyeztetés és a
felmerült probléma minél gyorsabb megoldása érdekében – keressék meg
intézményünket.
***
14. ZÁRÓ RENDELKEZÉSEK
A jelen szabályzatot az Adatkezelő képviselője módosíthatja a jogszabályokban
meghatározottak szerint. A jelen szabályzat hatálybalépésével a korábbi, adatkezelési és
informatikai szabályzat hatályát veszti.
Érd, 2019. február 28.