Adatvédelmi irányelvek

A személyes adatok védelmének szabályzat

A Kecskeméti TE elnöke a természetes személyek személyes adatai kezelése védelme érdekében:

• a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezé- sérol szóló az Európai Parlament és a Tanács 2016/679. számú rendeletét, (továbbiakban: Általános adatvédelmi rendelet), valamint
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Info tv.)

figyelembe vételével a következők szerint határozza meg a személyes adatok védelmének helyi szabályait.

Az Egyesület a jelen szabályzatban a GDPR szerkezetét követve azokat a szabályokat rögzíti, amelyek betartása elengedhetetlen a jogszerű adatkezelés érdekében.

• Bevezető szabályok

Az EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 rendeletével elfogadta a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló rendeletét (GDPR), amely a kihirdetését követő 20. napon hatályba lépett, de a rendelet kötelező alkalmazására a jogalkotó 2018. május 25-ig haladékot adott.

Az Egyesület egy adatvédelmi projekt keretében felleltározta az Egyesületnél működő személyes adatkezelést megvalósító folyamatait, áttekintette a kezelt adatok körét, az adatkezelések célját, jogalapját és meghatározta azokat a feladatokat, amelyek végrehajtása elnegedhetetlen a megváltozott jogszabályi környezet alapján.

A jelen szabályzat az Egyesület adatkezelési tevékenységének fő irányait és az ezekre irányadó elvárásokat rögzíti.

1. A szabályzat célja

A szabályzat célja, az Európai Unió Általános Adatvédelmi rendeletén alapuló belső adatvédelmi szabály meghatározása.

A szabályzat meghatározza:

• a személyes adatok kezelésére vonatkozó védelmi előírásokat, ennek során az adatkezelői feladatokat,
• a természetes személyeknek az adataik védelméhez kapcsolódó alapvető jogait és szabad- ságát.

2. A szabályzat hatálya Tárgyi hatálya

A szabályzat rendelkezéseit alkalmazni kell, minden olyan ügyben, amelynek során az Egyesület adatkezelőként vagy adatfeldolgozóként érintett. A hatályos adatvédelmi jogszabályokban foglaltakat a számítástechnikával támogatott, valamint a manuális módon végzett adatkezelésre (adatfeldolgozásra) egyaránt alkalmazni kell.

Az adatbiztonsági kérdésekről külön utasítás rendelkezik.

Az Egyesület által kötött szerződésekben, az Egyesület által kezelt adatok szabályszerű kezelése érdekében a jelen utasításra hivatkozni kell!

Tárgyi hatály kiterjed:

• a személyes adatok részben vagy egészben automatizált módon történt kezelésére,
• a nem automatizált módon történő személyes adatok kezelésére:
  • amelyek a nyilvántartási rendszer részét képezik, vagy
  • amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

A szabályzat hatálya tehát kiterjed minden a Kecskeméti TE székhelyén, telephelyén és fióktelepén folytatott olyan adatkezelésre és feldolgozásra, amely természetes személy adataira vonatkozik, függetlenül attól, hogy az teljesen vagy részben automatizált eszközzel, vagy manuális módon történik-e.

A szabályzat hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

Szervezeti hatálya a Kecskeméti TE -re terjed ki.

A Kecskeméti TE megbízásából történő bármely adatkezelést és feldolgozást végzőre a szabályzat a vonatkozó szerződés, illetve megállapodás alapján terjed ki.

Személyi hatálya kiterjed:

• a Kecskeméti TE teljes személyi állományára, valamennyi munkavállalójára a munkavégzés helyétől függetlenül.
• minden olyan természetes és jogi személyre, aki a Kecskeméti TE -nél tárolt, kezelt személyes adatokkal kapcsolatba kerül, vagy kerülhet. Kiterjed továbbá a Kecskeméti TE vel szerződéses kapcsolatban álló természetes személyekre, jogi személyekre, gazdasági társaságokra, akik a szerződés teljesítése során a Kecskeméti TE érdekében, az Egyesület által rendelkezésre bocsátott személyes adatokon adatkezelést, adatfeldolgozást végez.

A szabályzatban foglaltakkal összhangban kell értelmezni és gyakorlatban érvényesíteni a Kecskeméti TE további adatvédelemmel összefüggő szabályozásait, így különösen:

• a Közérdekű adatok szabályzatát,
• a Polgárok személyi adatainak védelmére vonatkozó szabályzatot.

Ezek a szabályzatok a jelen szabályzatban meghatározott szabályokkal összhangban, az adott területre vonatkozó további adatvédelmi szabályokat is meghatározhatnak.

3. Fogalmak

–„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

–„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automa- tizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés,

rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasz- nálás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, ösz- szehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

–„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük kor- látozása céljából;

–„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jel- lemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tar- tózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére hasz- nálják;

–„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosí- tott vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

–„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférheto;

–„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog hatá- rozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

–„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

–„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. (Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagál- lami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés cél- jainak megfelelően az alkalmazandó adatvédelmi szabályoknak);

–„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bár- mely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

–„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékozta- táson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az ot érintő személyes adatok kezeléséhez;

• „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megvál- toztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
• „különleges adat”: A faji vagy etnikai származásra, politikai véleményre, vallási vagy

világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a

természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;

–„genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonat- kozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi álla- potára vonatkozó egyedi információt hordoz, és amely elsosorban az említett természetes sze- mélyből vett biológiai minta elemzéséből ered;

–„biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

–„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vo- natkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgál- tatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

–„képviselő”: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkezo és az adatke-

zelő vagy adatfeldolgozó által az Általános adatvédelmi rendelet 27. cikk alapján írásban meg- jelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelore vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettsé- gek vonatkozásában;

–„vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesító társa- ságokat és egyesületeket is;

–„felügyeleti hatóság”: egy tagállam által az Általános adatvédelmi rendelet 51. cikknek meg- felelően létrehozott független közhatalmi szerv;

–„érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése

a következő okok valamelyike alapján érintett:

1. az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának terü- letén rendelkezik tevékenységi hellyel;
2. az adatkezelés jelentős mértékben érinti vagy valószínusíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
3. panaszt nyújtottak be az említett felügyeleti hatósághoz;

-„személyes adatok határokon átnyúló adatkezelése”:

1. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tag- államban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
2. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínusíthetően jelentős mértékben érint érintetteket;

–„releváns és megalapozott kifogás”: a döntéstervezettel szemben benyújtott, azzal kapcsola- tos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfel- dolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyér- telműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira,

valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentoségét;

–„az információs társadalommal összefüggö szolgáltatás”: az (EU) 2015/1535 európai par- lamenti és tanácsi irányelv (¹⁹) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgálta- tás;

–„nemzetközi szervezet”: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alá- rendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre.

-„érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

-„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módón történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

-„adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövobeli kezelésük korlátozása céljából;

–„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fuzodo bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

-„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

-„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

–adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

-adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében, az adatkezelő utasítása alapján személyes adatokat kezel;

–adatfeldolgozás (Info. tv. 3. § 17. pont): az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől;

–címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik

fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

–harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányíása alatt a személyes adatok kezelésére felhatalmazást kaptak;

–adattovábbítás: ha az adatot az adatkezelő/adatfeldolgozó harmadik személy számára hozzáférhetővé teszi;

-nyilvánosságra hozatal (Info. tv. 3. § 12. pont): ha az adatkezelő/adatfeldolgozó az adatot bárki számára hozzáférhetővé teszi;

–adatállomány (Info. tv. 3. § 21. pont): egy nyilvántartó rendszerben kezelt adatok összessége;

–üzleti titok (Ptk:2:47): Üzleti titok a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megorzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli.

–közvetlen üzletszerzés (direkt marketing) (1995.évi CXIX. törvény): azoknak a közvetlen megkeresés módszerével végzett, tájékoztató tevékenységeknek és kiegészítő szolgáltatásoknak az összessége, amelyeknek célja termékek vagy szolgáltatások értékesítésével, szolgáltatásával vagy eladásösztönzésével közvetlen kapcsolatban álló, a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a továbbiakban: Grt.) 3. §-ának d) pontja szerinti reklám továbbítása a fogyasztók vagy kereskedelmi partnerek (a továbbiakban együtt: ügyfelek) részére;

–közvetlen üzletszerzési (direkt marketing) lista (a továbbiakban: üzletszerzési lista)

/1995.évi CXIX. törvény/: kizárólag postai címzett reklámküldemények útján a Grt. 6. §-ának

4. bekezdése szerint reklámok közlése céljából a kapcsolatfelvételt és kapcsolattartást szolgáló, kizárólag az ügyfél nevét, lakcímét, nemét, születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista;

–kapcsolat-felvételi lista /1995.évi CXIX. törvény/: kizárólag a közvetlen üzletszerzés céljából küldendő küldemények fogadásához való hozzájárulás beszerzése érdekében az ügyfelekkel való kapcsolatfelvételt szolgáló, legfeljebb az ügyfél nevét, lakcímét, elektronikus levélcímét vagy elektronikus hírközlési azonosítóját, nemét, születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista;

–tilalmi lista /1995.évi CXIX. törvény/: azon érintettek név- és lakcímadatainak a nyilvántartása, akik nem járultak hozzá, hogy személyes adataikat e szabályzatban meghatározott közvetlen üzletszerzési célok valamelyikére felhasználják, vagy megtiltották azok e célból történő további kezelését;

–anonimizálás: olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítási lehetőségének végleges kizárását;

–adatmegsemmisítés (Info. tv. 3. § 16. pont): az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése;

–ILO: (International Labour Organization) Nemzetközi Munkaügyi Szervezet;

–érintett (Info tv. 3. § 1. pont): bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

–Opt in alapú adatkezelés: csak azoknak küldhetők reklám üzenetek, akik ehhez előzetesen hozzájárultak,

–Opt out alapú adatkezelés: címzett reklám küldemény előzetes hozzájárulás nélkül is küldhető, azonban a címzett a reklámküldemény küldését bármikor, korlátozás nélkül, térítésmentesen megtilthatja,

–ügyfél: mindenki, akinek a személyes vagy különleges adatát a jelen szabályzat rendelkezései érintik.

–EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

–harmadik ország: minden olyan állam, amely nem EGT-állam;

–automatizált egyedi döntés: olyan automatizált adatfeldolgozás, ahol az érintett jellemzőinek elemzését kizárólag, számítástechnikai eszközzel hajtják végre, amelynek eredményeként az ügyfél az adataiból képzett információk alapján, egyes szegmentált csoportokba kerül besorolásra;

–közérdekből nyilvános adat (Info tv. 3. § 6. pont): a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;

-felügyeleti hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv;

–érintett felügyeleti hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:

4. az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
5. az adatkezelés jelentos mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
6. panaszt nyújtottak be az említett felügyeleti hatósághoz;

–Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban hatóság): a személyes adatok védelméhez, valamint a közérdekű és közérdekből nyilvános adatok megismeréséhez való jog érvényesülését ellenorző, elosegítő államigazgatási szerv;

–SPAM: a címzett elozetes hozzájárulása nélkül (kéretlenül) küldött elektronikus reklám üzenet;

–Cloud computing: A szolgáltatásokat nem egy dedikált hardver eszközön üzemeltetik, hanem a szolgáltató eszközein elosztva, a szolgáltatás üzemeltetési részleteit a felhasználótól elrejtve. Ezeket a szolgáltatásokat a felhasználók hálózaton keresztül érhetik el, publikus felhő esetében az interneten keresztül, privát felhő esetében a helyi hálózaton vagy az interneten;

–Cookie: Egy a felhasználó gépén tárolt fájl, amely pl. beállításokat, preferenciákat tartalmaz annak érdekében, hogy egy későbbi látogatás során a felhasználót és az általa használt beállításokat automatikusan, újabb beállítások nélkül be lehessen tölteni;

–adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

Irányadó jogszabályok

Az EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 számú

rendelete (továbbiakban: GDPR)

2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. (továbbiakban: Infotv.)

2012. I. Törvény a Munka Törvénykönyve (továbbiakban: Mt.)

1992. évi LXVI. Törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról (továbbiakban: Szltv.)

146/1993. (X.26.) Korm. rendelet a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. Törvény végrehajtásáról (továbbiakban: Vhr.)

1995. évi CXIX törvény a kutatás és üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről (továbbiakban: Kktv.)

1997. évi XLVII. Törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről (továbbiakban: Eüaktv.)

2001. évi CVIII. Törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (továbbiakban: Ekertv.)

2003. évi C. törvény az elektronikus hírközlésről (továbbiakban: Eht.)

2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (továbbiakban: Grt.)

2013. évi XXXVII. törvény az adó- és egyéb közterhekkel kapcsolatos nemzetközi közigazgatási együttmuködés egyes szabályairól (továbbiakban: Aktv.)

2017. évi CLI. törvény az adóigazgatási rendtartásról (Art.)

• Alapelvek

4. A személyes adatok kezelésére vonatkozóalapelvek

A személyes adatok kezelése során be kell tartani az alábbi hat alapelvet:

1. A jogszerűség, tisztességes eljárás és átláthatóság elvét, (az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni)
2. A célhoz kötöttség elvét, (az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfeleloen nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés)
3. Az adattakarékosság elvét, (az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk)
4. A pontosság elvét, (az adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törlésre vagy helyesbítésre kerüljön)
5. A korlátozott tárolhatóság elvét. (tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak

védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel)

6. Integritás és bizalmas jelleg elvét. (kezelés oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve)

Az alapelvek betartása, érvényesítése a Kecskeméti TE valamennyi dolgozójának, illetve a személyes adatokkal kapcsolatba kerülő más személyek feladata is.

Az adatkezelő felelős az alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

5. A jogszerűség, tisztességes eljárás és átláthatóság

5. A jogszerűség, tisztességes eljárás és átláthatóság elve

A jogszerűség, tisztességes eljárás és átláthatóság elve érvényesülése érdekében a Kecskeméti TE -nél a személyes adatok kezelését:

• jogszerűen,
• tisztességesen,
• az érintett számára átlátható módon kell végezni.

5. A személyes adatok kezelésének jogszerűsége

A Kecskeméti TE – a jelen szabályzatban rögzített eljárásrendnek megfelelően – minden személyes adat kezelés megkezdése előtt megvizsgálja, hogy fenn áll-e a személyes adat kezelésének jogszerűségi feltétele. A személyes adat csak akkor kezelhető, kizárólag akkor és annyiban jogszerű, amennyiben az adatkezelés egyik feltétele teljesül.

Az adatkezelés általános jogszerű feltételi

A jogszerűségi feltételek:

• az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
• az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtétel- éhez szükséges;
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; (kötelező adatkezelés)
• az adatkezelés az érintett vagy egy másik természetes személy létfontosságúérdekeinek

védelme miatt szükséges;

• az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványgyakor- lásának keretében végzett feladat végrehajtásához szükséges; (kötelező adatkezelés)

Ide tartozik:

• a törvény alapján, vagy
• a törvény felhatalmazása alapján helyi önkormányzat által elrendelt adatkezelés;
• az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érde- kei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szüksé- gessé, különösen, ha az érintett gyermek.

A különleges adatok adatkezelésének jogszeruségi feltételei

Alapvető szabály, hogy tilos:

• a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőző- désre vagy szakszervezeti tagságra utaló személyes adatok, valamint
• a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányult- ságára vonatkozó személyes adatok

kezelése.

Abban az esetben kezelhető különleges adat, ha:

• az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konk- rét célból történő kezeléséhez, kivéve, ha jogszabály úgy rendelkezik, hogy a tilalom nem oldható fel az érintett hozzájárulásával;
• az adatkezelés az adatkezelonek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesí- tése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érde- keit védő megfelelő garanciákról is rendelkező kollektív szerzodés ezt lehetővé teszi;
• az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védel- méhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
• az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
• az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szük- séges;
• az adatkezelés jelentős közérdek miatt szükséges jogszabály alapján, amely arányos az el- érni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tar- talmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét in- tézkedéseket ír elő;
• az adatkezelés megeloző egészségügyi vagy munkahelyi egészségügyi célokból, a munka- vállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, jogszabály alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a vonatkozó feltételekre és garanciákra figyelemmel;

A büntetöjogi felelösséggel és bűncselekményekre vonatkozó személyes adatok kezelésé- nek feltétele

Büntetojogi felelősséggel és bűncselekményekre vonatkozó személyes adat kezelését csak közhatalmi szerv kezelhet.

5. Az érintetthozzájárulása

A Kecskeméti TE – a jelen szabályzatban rögzített eljárásrendnek megfelelően – személyes adatot az érintett hozzájárulása jogalapra hivatkozva csak akkor kezelhet, ha a hozzájárulás megadása az érintett részéről tevőleges, önkéntes, és egyértelmű.

Fontos, hogy a hozzájárulás megadásának bizonyíthatónak kell lennie, tehát arról:

5. írásos, (papír vagy elektronikus) dokumentumnak kell rendelkezésre állnia, illetve
6. hang, illetve videó felvételnek kell lennie.

A hozzájárulás szövegének tartalmaznia kell azt, hogy az érintett beleegyezik az adott célra, vagy több célra történő adatkezelésbe.

Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely nem felel meg ennek a követelménynek, kötelező erővel nem bír.

5. A kötelező adatkezelésjogalapja

A Kecskeméti TE – a jelen szabályzatban rögzített eljárásrendnek megfeleloen – biztosítja a kötelező adatkezelés jogalapjára vonatkozó alapelv érvényesülését.

A kötelező adatkezelés körébe tartozó jogszerűségi feltételek:

5. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges,
6. az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlá- sának keretében végzett feladat végrehajtásához szükséges.

Ezekben az esetekben az adatkezelés célját a konkrét jogalapra hivatkozással kell meghatároz- ni. Fontos, hogy az adatkezelést meghatározó törvényben, illetve helyi rendeletben rögzítette- ket kell figyelembe venni:

5. a kezelendő adatok fajtája,
6. az adatkezelés célja és konkrét feltételei,
7. az adatok megismerhetősége,
8. az adatkezelés idotartama tekintetében.

5. Az adatok eredeti gyűjtési céljától eltérőgyűjtése

A Kecskeméti TE – a jelen szabályzatban rögzített eljárásrendnek megfelelően – biztosítja az adatok eredeti gyűjtési céljától eltérő gyűjtésére vonatkozó alapelv érvényesülését.

A Kecskeméti TE ilyen esetekben vizsgálja:

5. a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat,
6. a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adat- kezelő közötti kapcsolatokra,
7. a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges ka- tegóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó,
8. azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok terve- zett további kezelése,
9. a megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

5.3. Az elvhez kapcsolódó jogok

Az elv érvényesüléséhez közvetlenül kapcsolódnak az alábbi jogok:

5. az átláthatósággal kapcsolatos jogok és intézkedések,
6. az adatkezeléssel kapcsolatos tájékoztatáshoz való jog:
   • ha a személyes adatokat az érintettől gyűjtik,
   • ha a személyes adatokat nem az érintettől szerezték meg,
7. az érintett hozzáférési joga.

5. A célhoz kötöttség

5. A célhoz kötöttség elve

A célhoz kötöttség elve alapján a Kecskeméti TE -nél:

• a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet,
• a személyes adatok nem kezelhetőek célokkal össze nem egyeztethető módon.

(Ezen elv alól kivételt képez a közérdekű archiválás, a tudományos és történelmi kutatási cél vagy a statisztikai célból történő további adatkezelés.)

5. Az elvhez kapcsolódó jogok

Az elv érvényesüléséhez közvetlenül kapcsolódnak az alábbi jogok:

– az érintett hozzáférési joga.

5. Az adattakarékosság

5. Az adattakarékosság elve

A Kecskeméti TE. az adattakarékosság elve érdekében a személyes adatok közül annyi és olyan adatot kezelhet, amelyek az adatkezelési cél szempontjából megfelelőek és meghatározóak. Tehát csak a ténylegesen szükséges adatokat kell és szabad kezelni.

5. Az elvhez kapcsolódó jogok

Az elv érvényesüléséhez közvetlenül kapcsolódó jog elsosorban az érintett hozzáférési joga.

5. A pontosság

5. A pontosság elve

A pontosság elvének érvényesítése során a Kecskeméti TE -nek szem előtt kell tartania azt, hogy csak a helyes, pontos adatot kezelje, tartsa nyilván. Ennek érdekében törekedni kell:

• a kezelt adatok pontosságára,
• a naprakészség biztosítására,
• a szükséges törlések vagy helyesbítések elvégzésére.

5. Az elvhez kapcsolódó jogok

Az elv érvényesüléséhez közvetlenül kapcsolódnak az alábbi jogok:

• az érintett hozzáférési joga,
• a helyesbítéshez való jog,
• a törléshez való jog.

5. A korlátozott tárolhatóság

5. A korlátozott tárolhatóság elve

A Kecskeméti TE a korlátozott tárolhatóság elve érvényesítése érdekében szem előtt tarja, hogy a személyes adat tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

(A további tárolás csak közérdekű archiválás, a tudományos és történelmi kutatási cél vagy statisztikai célból történhet.)

5. Az elvhez kapcsolódó jogok

Az elv érvényesüléséhez közvetlenül kapcsolódó jog az érintett hozzáférési joga.

5. Az integritás és bizalmas jelleg

5. Az integritás és bizalmas jelleg elve

Az integritás és bizalmas jelleg elve érdekében a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva le- gyen a személyes adatok megfelelő biztonsága. A megfelelő biztonság során gondoskodni kell:

• az adatok jogosulatlan vagy jogellenes kezelése,
• az adatok véletlen elvesztése,
• az adatok megsemmisítése vagy károsodása, elleni védelemről.

5. Az elvhez kapcsolódó jogok

Az elv érvényesüléséhez közvetlenül kapcsolódó jog különösen: az érintett hozzáférési joga.

5. Azonosítást nem igénylő adatkezelés

Ha az adatkezeléshez szükség van az érintett azonosítására, de a Kecskeméti TE nincs abban a helyzetben, hogy azonosítsa az érintettet, erről őt megfelelő módon tájékoztatni kell. Ilyen esetekben az érintetti jogok nem alkalmazhatók, kivéve, ha az érintett abból a célból, hogy jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

III. Az érintett jogai

11. Az érintett személyes adatokkal kapcsolatosjogai

Az érintett személyes adatokkal kapcsolatos jogai:

1. az átláthatóság és az érintett jogainak gyakorlására vonatkozó intézkedések körében:
   • az átlátható tájékoztatáshoz és kommunikációhoz való jog, valamint
   • a joggyakorlásra vonatkozó intézkedésekkel összefüggő jogok,
2. a tájékoztatás és a személyes adatokhoz való hozzáférés témakörében:
   • az információkhoz való jog, ha a személyes adatokat a Kecskeméti TE az érintettől gyűjti,
   • információkhoz való jog, ha az adatokat Kecskeméti TE nem az érintettől szerzi meg,
   • a hozzáférési jog,
3. a helyesbítés és törlés témakörében:
   • a helyesbítéshez való jog,
   • a törléshez való jog,
   • az adatkezelési korlátozáshoz való jog,
   • az adathordozhatósághoz való jog,
4. a tiltakozáshoz való jog és az automatizált döntéshozatal témakörében:
   • a tiltakozáshoz való jog,
   • az automatizált döntéshozatallal kapcsolatos jogok.

11. Az átlátható tájékoztatáshoz és kommunikációhoz való jog, valamint a joggyakorlás- ra vonatkozó intézkedésekkel összefüggő jogok

A Kecskeméti TE az átlátható adatkezelés érdekében – a jelen szabályzatban meghatározott intézkedéseket hozza – annak érdekében, hogy az érintett részére a személyes adatok kezelésre vonatkozó valamennyi információ és tájékoztatás átlátható, érthető, világos, közérthető és tömör legyen.

Az érintett részére valamennyi információt, tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

Az érintetti jogok gyakorlását elő kell segíteni, erre tekintettel joggyakorlására irányuló kérelem teljesítése nem tagadható meg, kivéve, ha bizonyítani tudjuk hogy az érintettet nem áll módunkban azonosítani. Ha megalapozott kétségek vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk kérhetők.

A Kecskeméti TE -nek a fenti követelményt kell érvényesítenie az alábbi:

1. információk tekintetében:
   • az érintettől való közvetlen, illetve
   • a nem közvetlenül az érintettől való adatgyűjtése során;
2. a tájékoztatások tekintetében az érintett:
   • a hozzáférési jogával,
   • a helyesbítéshez való jogával,
   • a törléshez való jogával,
   • az adatkezelés korlátozásához való jogával,
   • az adatkezelo értesítési kötelezettségével,
   • az adathordozhatósághoz való jogával,
   • a tiltakozáshoz való jogával,
   • az adatvédelmi incidenssel kapcsolatos tájékoztatási jogával kapcsolatos tájékoztatás alkalmával.

A tájékoztatás és információ átadás alkalmazott módjai:

1. írásos,
2. elektronikus út,
3. szóbeli – ha az érintett személyazonosságának igazolása megfeleloen megtörtént.

A joggyakorlás segítése

A Kecskeméti TE valamennyi dolgozója, illetve a Kecskeméti TE -nél adatkezelést végzo köteles elosegíteni az érintett egyes jogai gyakorlását, így különösen:

1. a hozzáférési jogával,
2. a helyesbítéshez való jogával,
3. a törléshez való jogával,
4. az adatkezelés korlátozásához való jogával,
5. az adatkezelo értesítési kötelezettségével,
6. az adathordozhatósághoz való jogával,
7. a tiltakozáshoz való jogával, összefüggő joggyakorlást.

A tájékoztatás megadásának határideje

Az előző jogok gyakorlása iránti kérelem teljesítését a Kecskeméti TE csak akkor tagadhatja meg, ha bizonyítható, hogy az érintettet nem lehet azonosítani. A tájékoztatás megtagadásáról az adat- kezelési felelős, ennek hiányában az adatkezelő illetve az elnök dönthet.

A beérkező adatkezeléssel kapcsolatos kérelmet az átvevő köteles haladéktalanul továbbítani az adatkezelési felelősnek, ennek hiányában az adatkezelőnek, vagy elnöknek aki aktívan köz- reműködik a kérelmek teljesítésében, vagy közvetlenül teljesíti azokat.

Az adatkezeléssel kapcsolatos kérelmek alapján:

1. a tájékoztatást a kérelem beérkezését követően haladéktalanul,
2. ha a haladéktalan tájékoztatás nem lehetséges, akkor a kérelem beérkezésétől számított egy hónapon belül

meg kell adni.

Kivételes esetben lehetőség van a határidő két hónappal történő meghosszabbítására. Erről azonban tájékoztatni kell az érintettet a kérelem benyújtását követő 1 hónapon belül, megadva a határidő hosszabbítás okát, mely a következő lehet:

1. a kérelem összetettsége,
2. a benyújtott kérelmek száma.

A tájékoztatás elmaradása

Ha a Kecskeméti TE a kérelmet valamely okból nem tudja teljesíteni, az adatkezelési felelos, ennek hiányában az adatkezelőnek, vagy elnök a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja az érintettet a tájékoztatás elmaradásáról, valamint arról hogy panasszal élhet valamely felügyeleti hatóságnál, és élhet a bírósági jogorvoslati jogával.

Az információ nyújtás és tájékoztatás megtagadása

A Kecskeméti TE nevében az adatkezelési felelős, ennek hiányában az adatkezelőnek, vagy elnök dönt az információ, illetve a tájékoztatás nyújtásának megtagadásáról akkor, ha a kérelem egyértelműen megalapozatlan vagy túlzó. Ebben az esetben az érintettel a kérelem benyújtását követő 1 hónapon belül közölni kell a kérelem megtagadásának okát.

Díj felszámítása

A Kecskeméti TE az információ nyújtás és tájékoztatás megtagadására okot adó körülmények esetén jogosult ésszerű összegű díjat felszámítani a tájékoztatás, illetve információnyújtás miatt.

A díj felszámításáról, illetve összegéről az adatkezelési felelős, ennek hiányában az adatkezelő- nek, vagy elnök dönt.

11. Az információkhoz való jog, ha a személyes adatokat a Kecskeméti TE az érintettől gyűjti

11. Az információ biztosítás tartalma

Ha a Kecskeméti TE, az érintettre vonatkozó személyes adatokat közvetlenül az érintettől gyűjti, a Kecskeméti TE, mint adatkezelő a személyes adatok megszerzésének időpontjában köteles az érintett rendelkezésére bocsátani az alábbi:

1. alapvető információkat:
   • az adatkezelőnek és – ha van ilyen – az adatkezelő képviselojének a kilétét és elérhető- ségeit,
   • az adatkezelési felelős elérhetoségeit, ha van ilyen,
   • a személyes adatok tervezett kezelésének célját, valamint az adatkezelés jogalapját,
   • az adatkezelő vagy egy harmadik fél jogos érdekének érvényesítésén alapuló adatkeze- lés esetén, az adatkezelő vagy harmadik fél jogos érdekeit,
   • adott esetben a személyes adatok címzettjeit, illetve a címzettek kategóriáit, ha van ilyen,
2. kiegészítő információkat (az adatkezelés tisztességének és átláthatóságának érdekében):
   • a személyes adatok tárolásának idotartamát, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait,
   • az érintett azon jogát, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordoz- hatósághoz való jogáról,
   • az érintett hozzájárulásán alapuló vagy az érintett különleges adatainak kezeléséhez ki- fejezett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely idopontban tör-

ténő visszavonásához való jogát, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

1. a felügyeleti hatósághoz címzett panasz benyújtásának jogát;
2. azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a sze- mélyes adatokat megadni továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
3. az automatizált döntéshozatal tényét ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható kö- vetkezményekkel bír.

Az adatkezelés időtartamának meghatározása során figyelemmel kell lenni jogszabály kötelező rendelkezésére (pl. számviteli törvény, pénzmosás és a terrorizmus finanszírozásának megelőzésérol szóló törvény, Mt., az adatkezelő jogos érdekére pl. a büncselekmények büntethetősége körében), az adatkezelés céljára, a felhasznált adatok frissességére, pontosságára és ezek alapján kell a lehető legrövidebb időt meghatározni.

Mellőzhető a fenti tájékoztatás olyan mértékben, amilyen mértékben az érintett már rendelkezik az információkkal, feltéve, hogy ez igazolható.

11. Az információ biztosítás szükségtelensége

Kecskeméti TE -nek nem kell biztosítani az információkat akkor, ha az érintett már a vonatkozó információkkal rendelkezik.

11. Az információ biztosításáért való felelösség

Az információk jelen szabályzat szerinti biztosításáért elsősorban az adatkezelési felelős, ennek hiányában az adatkezelőnek, vagy elnök a felelős.

11. Az információkhoz való jog, ha az adatokat Kecskeméti TE nem az érintettől szerzi meg

11. Az információ biztosítás tartalma

Ebbe a körbe tartozhat pl. a más adatbázis kezelőtől átvett adatok köre, közvetlenül az ügyféltől felvett adatok köre.

Ha Kecskeméti TE a személyes adatokat nem az érintettől szerezte meg, köteles az érintett rendelkezésére bocsátatni a következő:

1. alapvető információkat:
   • az adatkezelőnek és – ha van ilyen – az adatkezelő képviselojének a kilétét és elérhető- ségeit,
   • az adatkezelési felelős elérhetőségeit, ha van ilyen,
   • a személyes adatok tervezett kezelésének célját, valamint az adatkezelés jogalapját,
   • az érintett személyes adatok kategóriáit,
   • a személyes adatok címzettjeit, illetve a címzettek kategóriáit, ha van ilyen;
2. kiegészítő információkat:
   • a személyes adatok tárolásának időtartamát, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait,
   • ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítésén alapul, az adatkezelő vagy harmadik fél jogos érdekeiről,
   • az érintett azon jogát, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogát;
   • az érintett hozzájárulásán alapuló vagy az érintett különleges adatainak kezeléséhez ki- fejezett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely idopontban va- ló visszavonásához való jogát, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,
   • a valamely felügyeleti hatósághoz címzett panasz benyújtásának jogát,
   • a személyes adatok forrását és adott esetben azt, hogy az adatok nyilvánosan hozzáfér- heto forrásokból származnak-e; és
   • az automatizált döntéshozatal tényét, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható kö- vetkezményekkel bír.

11. Az információ biztosítás határideje

A Kecskeméti TE nevében az adatkezelési felelős köteles az információkat az alábbi határidők betartásával biztosítani:

11. alapesetben
12. a személyes adatok kezelésének konkrét körülményeit tekintetbe véve,
13. a személyes adatok megszerzésétől számított ésszerű határidőn, de legkésőbb egy hónapon belül,
14. ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával,
15. ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alka- lommal való közlésekor.

11. Az információ biztosítás mellőzhetősége

A Kecskeméti TE-nek nem kell biztosítani az információkat akkor, ha:

11. az érintett már a vonatkozó információkkal rendelkezik,
12. az információ biztosítása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia
13. az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
14. az adat megszerzését vagy közlését jogszabály írja elő, amely az érintett jogos érdekeinek védelmét szolgáló megfelelo intézkedésekrol rendelkezik; vagy
15. a személyes adatoknak valamely uniós vagy tagállami jogban eloírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.
16. Az információ biztosításáért való felelősség

Az információk jelen szabályzat szerinti biztosításáért első sorban az adatkezelési felelős, ennek hiányában az adatkezelőnek, vagy elnök a felelős.

11. A hozzáférési jog

11. Az információ biztosítás tartalma

Az érintett jogosult arra, hogy a Kecskeméti TE.-tól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és információkhoz hozzáférést kapjon. A tájékoztatás kérés joga valamennyi információra kiterjed.

Az érintett kérésére az adatkezelés tárgyát képező, általa megadott személyes adatok másolatát az érintett rendelkezésére kell bocsátani. Az érintett által kért további másolatokért adminisztratív költségein alapuló, észszeru mértéku díj számítható fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban, az adatbiztonsági követelményekre is figyelemmel kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

Az érintett jogosult arra, hogy információt kapjon:

1. arról, hogy személyes adatainak kezelése folyamatban van-e,
2. a folyamatban lévő adatkezelés esetén az alábbi információkról:
   • az adatkezelés céljairól;
   • az érintett személyes adatok kategóriáiról,
   • azon címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes ada- tokat közölték vagy közölni fogják,
   • adott esetben a személyes adatok tárolásának tervezett időtartamáról, vagy ha ez nem le- hetséges, ezen időtartam meghatározásának szempontjairól,
   • az érintett azon jogairól, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen szemé- lyes adatok kezelése ellen,
   • a valamely felügyeleti hatósághoz címzett panasz benyújtásának jogáról,
   • ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető in- formációról,
   • az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezek- ben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következ- ményekkel jár.

11. Az információ biztosítás szabályai

A Kecskeméti TE adatkezelési felelőse, ennek hiányában az adatkezelő, vagy elnök vagy az által adott ügyben felkért dolgozó az érintett kérelmére az adatkezelés tárgyát képező személyes adatokról másolatot készít és azt térítés nélkül a rendelkezésére bocsátja. A további másolatokért ésszerű mértékű díjat lehet felszámítani. A díj felszámításáról, illetve a fizetendő díjról az adatkezelési felelős dönt.

11. A helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére a Kecskeméti TE, mint adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

A helyesbítéssel kapcsolatos kérelemről, észrevételről az adatkezelési felelőst haladéktalanul értesíteni kell, aki áttekinti a kérelmet, és dönt a kérelem tárgyában.

11. A törléshez való jog (az elfeledtetéshez való jog)

11. Az adatok törlése

Meghatározott feltételek fennállása mellett az érintett jogosult arra, hogy kérésére az adatkezelo indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje

Az adatokat akkor kell törölni, ha az alábbi indokok közül legalább egy fennáll:

11. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
12. az érintett visszavonja az adatai kezelésre adott hozzájárulását vagy a különleges adatai kezelésére vonatkozó kifejezett hozzájárulását, és az adatkezelésnek nincs más jogalapja,
13. az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
14. a személyes adatokat jogellenesen kezelték,
15. a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban eloírt jogi kötelezettség teljesítéséhez törölni kell,
16. a személyes adatok gyujtésére gyermekeknek kínált, információs társadalommal összefüg-

gő szolgáltatások kínálásával kapcsolatosan került sor.

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azokat törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszeruen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

11. Az adattörlési kötelezettség megtagadásának lehetöségei

A Kecskeméti TE -nek nem kell törölni azokat az adatokat, melyek kezelése:

11. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából szükséges,
12. a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó jogszabály szerinti kö- telezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosít- vány gyakorlása keretében végzett feladat végrehajtása céljából indokolt,
13. a népegészségügy területét érintő közérdek alapján szükséges,
14. a jogi igények eloterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

11. Az adatok törlésével kapcsolatos felelősség

Az adatkezelési felelős ennek hiányában az adatkezelő, vagy elnök dönt az érintettek adattörlé- si kérelmei ügyében, és szükség szerint intézkedik az adatok törléséről.

11. Az adatkezelési korlátozáshoz való jog, értesítési kötelezettség

Az érintettnek joga van arra, hogy kérje, hogy az adatkezelo korlátozza a személyes adatai kezelését.

A Kecskeméti TE, mint adatkezelő az adatkezelés korlátozására irányuló kérést akkor köteles teljesíteni, ha az alábbi feltételek valamelyike teljesül:

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtar- tamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenorizze a személyes adatok pontosságát,
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését és helyette kéri azok fel- használásának korlátozását,
• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
• az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vo- natkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget él- veznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az adatkezelő az adatkezelési korlátozás feloldásáról köteles előzetesen tájékoztatni az érintet- tet.

Az adatkezelési felelős ennek hiányában az adatkezelő, vagy elnök dönt az érintettek adatkeze- lési korlátozási joggal kapcsolatos kérelmei ügyében, és szükség szerint intézkedik az adatke- zelés korlátozásáról.

Az adatkezelő köteles minden olyan címzettet tájékoztatni a helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölte kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

11. Az adathordozhatósághoz való jog

Az érintett:

• a hozzájárulásán alapuló személyi adatkezelés,
• a kifejezett hozzájárulásán alapuló különleges személyi adatok kezelése,
• a személyi adatok megadásával kötendő szerzodések teljesítéséhez szükséges személyi adatkezelés,
• illetve az automatizált adatkezelés esetén

jogosult az adathordozhatóság jogának gyakorlására.

Az adathordozhatóság érdekében az érintett jogosult:

• hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja,
• arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt aka- dályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta,
• arra, hogy kérésére az adatkezelő az adatokat közvetlenül másik adatkezelőnek továbbítsa
• akkor, ha ez technikailag megvalósítható.

Az érintett nem gyakorolhatja az adathordozhatósághoz való jogát:

• a közérdekű adatkezelés,
• vagy az adatkezelő közhatalmi feladatai ellátása keretében végzett adatkezelés esetén.

Az adatkezelési felelős ennek hiányában az adatkezelő, vagy elnök dönt az érintettek adathor- dozhatósági joggal kapcsolatos kérelmei ügyében, és teljesítendő kérelem esetében biztosítja az adathordozhatóságot. A tevékenységébe szükség esetén bevonja az adatkezelést ténylegesen végző személyt.

11. A tiltakozáshoz való jog

A nem üzletszerzés érdekében történő adatkezeléssel kapcsolatos tiltakozási jog

Az érintett joga, hogy a saját helyzetével kapcsolatos okokból tiltakozzon a személyes adatai- nak:

• jogos érdek alapon kezelt adatkezelése
• a profilalkotáson alapuló adatkezelés,

• közvetlen üzletszerzési célú adatkezelés,
• statisztikai célú adatkezelés ellen a rá vonatkozó adatok tekintetében

A tiltakozást követoen:

• az adatok nem kezelhetők tovább,
• csak akkor kezelhető tovább, ha a Kecskeméti TE bizonyítja az adatkezelés elsőőbbségét az érintett jogaival szemben, vagy a jogi igények eloterjesztéséhez, érvényesítéséhez, vagy védelméhez szükséges adatkezelés tényét.

Az üzletszerzés érdekében történő adatkezeléssel kapcsolatos tiltakozási jog

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan a tiltakozás joga muszaki eloírásokon alapuló automatizált eszközökkel is gyakorolható.

Az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök feladatai:

• megvizsgálja az érintettek adatkezeléssel kapcsolatos tiltakozását,
• a jogos tiltakozás alapján intézkedik arról, hogy a Kecskeméti TE. az adatokat tovább ne kezelje,
• a tiltakozás ellenére történo adatkezelés esetén írásban dokumentálja a további adatkezelés okait.

11. Az automatizált döntéshozatallal, profilalkotással kapcsolatos jogok

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen

– ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy ot hasonlóképpen jelentos mértékben érintené.

A fenti rendelkezés nem alkalmazandó abban az esetben, ha a döntés:

1. az érintett és az adatkezelo közötti szerzodés megkötése vagy teljesítése érdekében szükséges;
2. meghozatalát az adatkezelore alkalmazandó olyan uniós vagy tagállami jog teszi lehetové, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelo intézkedéseket is megállapít; vagy
3. az érintett kifejezett hozzájárulásán alapul.

Az említett esetekben az adatkezelo köteles biztosítani az érintettnek legalább azt a jogát, hogy az adatkezelo részérol emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

Nem hozható automatizált döntés a személyes adatok különleges kategóriáin, kivéve, ha az érintett kifejezetten hozzájárul.

Az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök kivizsgálja az automatizált döntéshozatallal kapcsolatos jogok gyakorlására vonatkozó ügyeket, és gondoskodik e jog biztosításáról.

Profilalkotás

A Kecskeméti TE szerzodések megkötése elott, illetve marketing tíupú döntések meghozatala elott, automatizált eljárás keretében értékelheti az érintett személyes és különleges adatait. Tekintettel arra, hogy különleges adatok is bekererülhetnek az elemzésbe, az elemzésekhez az érintettek elozetes hozzájárulása szükséges.

IV. Az adatkezelő

Kecskeméti TE szerzodött partnereit az általuk végzett tevékenység alapján adatvédelmi szempontból minosíteni kell. Szükség esetén, jogász véleményét kell kérni.

A partnerekkel kötendő szerzodéshez, minosítésüktol függoen mellékelni kell a pertnertol elvárható adatbiztonsági követelmények figyelembevételével egy adatfeldolgzói, vagy adatkezeloi/közös adatkezeloi szerzodés mellékletet. A szerzodésben foglalt adatbiztonsági elvárások csak az adatbiztonságért felelos szakérto véleménye alapján módosítható.

Az adatkezeloi/adatfeldolgozói megbízással rendelkezo partnerek közremuködése az elnök elozetes engedélye alapján veheto igénybe. Az egedélyezés során vizsgálni kell a közremuködo alkalmasságát, adatbiztonsági felkészültségét. Az engedélyezési folyamatban ki kell kérni az adatkezelési felelos és az adatbiztonságért felelos szakérto véleményét.

11. Az adatkezelö feladatai

A Kecskeméti TE, mint adatkezelo feladata, hogy megfelelo:

• technikai és
• szervezési

intézkedéseket hozzon és muködtessen.

Az intézkedések célja, hogy a személyes adatok kezelése:

• megfeleloen történjen,
• és a megfelelo adatkezelés bizonyítható legyen.

A Kecskeméti TE adatkezeléssel kapcsolatos legfontosabb intézkedéseit a jelen adatvédelmi szabályzat tartalmazza, figyelemmel az adatkezelések:

• jellegére,
• hatókörére,
• körülményeire és céljaira, és
• a természetes személyek jogaira és szabadságaira jelentett, változó valószínuségu és sú- lyosságú kockázatra.

A jelen szabályzatban meghatározott intézkedéseket, illetve a szabályzat alapján hozott intéz- kedéseket a Kecskeméti TE:

• rendszeresen- eltéro rendelkezések hiányában évente – felülvizsgálja, és
• szükség szerint aktualizálja, naprakésszé teszi.

11. Az adatvédelem

A Kecskeméti TE, mint adatkezelo az egyes adatkezelési intézkedéseket annak érdekében hozza meg, hogy:

• azok biztosítsák az adatvédelmi elveket,
• hozzájáruljanak a személyes adatkezelésre vonatkozó jogszabályi eloírásokban meghatáro- zott követelmények teljesítéséhez,
• az érintettek jogainak védelméhez szükséges garanciák beépítésre kerüljenek az adatkeze- lés folyamatába,
• kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott cél szempont- jából szükségesek.

Az elobbiek érvényre jutása érdekében a Kecskeméti TE gondoskodik arról, hogy:

• naprakész adatvagyon leltár álljon rendelkezésre,
• az adatkezelés az adatvagyon leltárban meghatározottak szerint történjen,
• az adatvagyon leltárban nem szereplo, új adatkezelési helyzetek vizsgálatra kerüljenek az adat és információ védelem szempontjaiból, és a vizsgálat eredményeképpen az adatkezelés megszüntetésre, törlésre kerüljön, vagy pedig felvételre kerüljön az adatvagyon leltárba,
• az adatvagyon leltár rendszeresen, de legalább 3 évente tartalmilag felülvizsgálatra kerül- jön.

11. Adatvagyon leltár

A Kecskeméti TE, mint adatkezelo az adatvédelmi szabályok betartása érdekében adatvagyonleltárt ké- szít és azt folyamatosan aktualizálja.

Az adatvagyon leltárnak tartalmazni kell mindazokat az adatokat, amelyeket a Kecskeméti TE függetle- nül attól, hogy az hatósági ügy, vagy egyszeru tájékoztatás vagy akár a Kecskeméti TE érkezo bejelen- tés, mely során adatok (nevek, címek, elérhetoségek stb.) feljegyzésre kerülnek.

Az adatvagyon leltár a teljesség, valamint a pontos feladat- és felelosség lehatárolása érdeké- ben úgynevezett leltározási területenként készül.

23. Az adatvagyon leltárterületek

Az adatvagyon leltár területeket az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök határozza meg, és vizsgálja felül legalább évente. (A felülvizsgálatot írásban – az adatva- gyon leltár területei és felelosök dokumentumra feljegyzi.)

Az adatvagyon leltár elkészítésért felelos személyeket az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök javaslatára:

23. az elnök

jelöli ki. Személyi változás esetén a kijelölést haladéktalanul meg kell tenni.

23. Az adatvagyonleltártartalma

Az adott területre vonatkozó adatvagyonleltárnak tartalmaznia kell:

23. az adat, illetve adatbázis megnevezését,
24. az adat, illetve adatbázis megjelenési formáját (papír alapú, elektronikus),
25. az adatkezelés jogalapját (a szabályzat 5.2.2. pontja szerinti jogalapok szerint, jogszabály- ok esetén a pontos jogszabályi hivatkozás is),
26. tárolási helyét (fizikai tárolási hely, illetve az elektronikus információs rendszer neve az in- formáció biztonsági szabályzat alapján vezetendo rendszerelem-leltár alapján),
27. az adatkezelo megnevezését,
28. a biztonsági osztályba sorolását,
29. az adat, adatbázis értékét (az adat, adatbázis becsült piaci értékét, ha van ilyen),
30. az adatok felhasználási, feldolgozási folyamatait, eseményeit,
31. az adathoz való hozzáférési jogosultságokat.

23. Az adatvagyon leltár készítéséért felelosszemélyek

Az adatvagyon leltár elkészítéséért az adatvagyon területért felelos személyek tartoznak fele-

losséggel.

Az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök a feladat ellátásához maxi- mális szakmai támogatást nyújt, és elvégzi az adatbázisok biztonsági osztályba sorolását.

Az adatok, adatbázisok biztonsági osztályba sorolása

A Kecskeméti TE, mint adatkezelo gondoskodik arról, hogy a kezelt adatok, adatbázisok biztonsági osz- tályba sorolása megtörténjen.

A biztonsági osztályba sorolás az alábbi szempontok alapján a következo 1-5 fokozatú skálával történik, ahol a magasabb számérték a nagyobb biztonsági osztályt jelenti.

A biztonsági osztályba sorolást az adott területre vonatkozóan az adatvagyon leltár elkészíté- sért felelos személy javaslata alapján az adatkezelési felelos ennek hiányában az adatkezelonek, vagy elnök végzi.

1. Biztonsági osztály

Az adat olyan, mely tartalma, jellege miatt:

1. közvetlen adatvédelmi veszélyt nem jelent,
2. az adattal kapcsolatos esetleges problémák Kecskeméti TE -n belül maradnak és ott megoldhatóak,
3. az adat, adatbázis értékkel nem rendelkezik.

2. Biztonsági osztály

Az adat olyan, mely tartalma, jellege miatt:

1. minimális adatvédelmi veszélyt jelent,
2. az adattal kapcsolatos esetleges problémák Kecskeméti TE -n belül maradnak és ott megoldhatóak,
3. az adat, adatbázis a Kecskeméti TE költségvetésének 1 %-át eléro értékkel rendelkezik.

3. Biztonsági osztály

Az adat olyan, mely tartalma, jellege miatt:

1. közepes adatvédelmi veszélyt jelent,
2. az adattal kapcsolatos esetleges problémák Kecskeméti TE -n belül maradéktalanul nem megoldható- ak,
3. az adat, adatbázis a Kecskeméti TE költségvetésének 5 %-át eléro értékkel rendelkezik.

4. Biztonsági osztály

Az adat olyan, mely tartalma, jellege miatt:

1. nagy adatvédelmi veszélyt jelent,
2. az adattal kapcsolatos esetleges problémák Kecskeméti TE -n belül nem megoldhatóak,
3. az adat, adatbázis a Kecskeméti TE költségvetésének 10 %-át eléro értékkel rendelkezik.

5. Biztonsági osztály

Az adat olyan, mely tartalma, jellege miatt:

1. kiemelt adatvédelmi veszélyt jelent, mivel különleges személyi adatokat, vagy azokat is tartalmaz,
2. az adatvédelmi eloírások sérülése súlyos bizalomvesztéssel járhat,
3. az adat, adatbázis a Kecskeméti TE költségvetésének 15 %-át eléro értékkel rendelkezik.

23. Az adatkezelés ellenörzése

Az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök rendszeresen, évente lega- lább 1 alkalommal ellenorizni köteles, hogy az adatkezelés az adatvagyon leltárban meghatáro- zottak szerint történik-e.

Az ellenorzés során köteles közremuködni az adatvagyon leltár naprakészen tartásáért felelos személy.

Az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök az adatkezelés ellenorzésé-

rol olyan nyilvántartást vezet, melybol egyértelmuen megállapítható:

• az ellenorzési kötelezettsége teljesítése,
• az, hogy az ellenorzés talált-e nem megfeleloséget.

A nyilvántartást az áttekinthetoség érdekében adatvagyon leltár területenként külön-külön kell vezetni.

A nem megfeleloség észlelésérol, az intézkedésekrol, és azok eredményeirol az adatkezelési felelos külön jegyzokönyvet vesz fel.

23. Új adatkezelési helyzetek

A Kecskeméti TE valamennyi adatot kezelo feladata, hogy közvetlenül ismerje a területéhez tartozó adatvagyont és annak adatvédelmi eloírásait.

Ha a dolgozó a tevékenysége során adatvagyon leltárban nem szereplo, új adatkezelési helyze- tet tapasztal, haladéktalanul jeleznie kell a területén az adatvagyon leltár elkészítéséért, napra- készen tartásáért felelos személyt.

Az érintett személy köteles megvizsgálni, hogy az új adatkezelési helyzet:

• valóban új adatkezelési helyzetet jelent,
• olyan adatkezelés körébe tartozik, ami tiltásra került, vagy
• beleillik egy korábban már meghatározott adatkezelési körbe.

Amennyiben az adatvagyon leltárért felelos személy véleménye szerint is új adatkezelési helyzet merült fel, haladéktalanul jelzi az adatkezelési felelosnek ennek hiányában az adatkezelonek, vagy elnöknek.

Az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök ebben az esetben megvizs- gálja az adatvédelmi hatásvizsgálat végzésének szükségességét, és indokolt esetben a hatás- vizsgálatot elvégzi.

23. Az adatvagyon leltár felülvizsgálata

Az adatvédelmi felelos ennek hiányában az adatkezelo, vagy elnök az adatvagyon leltár elkészí- téséért és naprakészen tartásáért felelos személy rendszeresen, de legalább 3 évente tartalmilag felülvizsgálja az adatvagyonleltárba felvett adatokat.

A felülvizsgálatnak ki kell térnie a nyilvántartásban szereplo valamennyi megállapításra, és elle-

norizni kell azok helytállóságát.

Az elkészült felülvizsgálatról jegyzokönyvet kell felvenni.

23. Az adatvagyon leltárba való felvétel tilalma

Az adatkezelési felelos ennek hiányában az adatkezelo, vagy elnök felelos azért, hogy az adat- vagyon leltárba ne szerepeljen olyan adatkezelés, amely nem felel meg az adatvédelmi eloírá- soknak, illetve amely vonatkozásában nem biztosítható a megfelelo védelem.

Az adatvagyon leltárba fel nem veheto adatokat, illetve adatbázisokat el kell távolítani.

24. Adatkezelési nyilvántartás

A Kecskeméti TE, mint adatkezelo köteles a felelosségi körébe tartozón végzett adatkezelési tevékeny- ségrol nyilvántartást vezetni. Az erre a célra fenntartott rendszereknek alkalmasaknak kell lenniük arra, hogy az adatokat a technika mindenkor aktuális legkorszerubb fejlettségi szintjén kezelje, biztosítsa az érintettek jogainak védelmét, szabad gyakorlását és megakadályozza mások jogosultlan hozzáférését a kezelt adatokhoz.

Az adatkezelési nyilvántartással kapcsolatban az adatkezelési felelos ennek hiányában az adat- kezelo, vagy elnök köteles:

• betartani a nyilvántartás tartalmi követelményeire vonatkozó jogszabályi eloírásokat,
• a nyilvántartást naprakészen vezetni.

A Kecskeméti TE adatkezelési nyilvántartásában – mivel 250 fonél kevesebb személyt foglalkoztat – azo- kat az adatkezeléseket kell nyilván tartani, amelyek:

• az érintettek jogaira és szabadságaira nézve valószínusíthetoen kockázattal járnak,
• során az adatkezelés nem alkalmi jellegu,
• kiterjednek a különleges adatokra,
• a büntetojogi felelosség megállapítására vonatkozó határozatokra és buncselekményekre vonatkoznak.

Az egyes adatkezelések nyilvántartásban való szerepeltetésérol az adatvédelemi tisztviselo en- nek hiányában az adatkezelo, vagy elnök dönt.

24. Együttmuködés a felügyeleti hatósággal

A Kecskeméti TE, mint adatkezelo együttmuködik a felügyeleti hatósággal, teljesíti a konzultációs és jelentéstételi kötelezettségét. Minden felügyeleti hatósági megkeresésrol az elnökt és az adatkezelési felelost haladéktalanul tájékoztatni kell.

A kapcsolattartásra elsosorban az elnök és az adatvédelmi tisztségviselo jogosult.

5. Az adatfeldolgozó

24. Az adatfeldolgozó

Ha az adatkezelést az adatkezelo nevében más végzi, az adatkezelo kizárólag olyan adatfeldol- gozókat vehet igénybe akik, vagy amelyek megfelelo garanciákat nyújtanak az adatkezelés követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelo technikai és szervezési intézkedések végrehajtására.

Az adatkezelo köteles az adatfeldolgozóval olyan szerzodést kötni, melyben szerepelnek a személyes adatok védelmével kapcsolatos garanciális szabályok.

5. Adatbiztonság

24. Általános adatbiztonságikövetelmények

A Kecskeméti TE, mint adatkezelo az adatkezelés biztonsága érdekében – a jelen szabályzatban meghatá- rozottak szerint – gondoskodik:

• a személyes adatok álnevesítésérol és titkosításáról,
• a személyes adatok kezelésére használt rendszerek és szolgáltatások:
  • folyamatos bizalmas jellegének biztosításáról,
  • integritásáról,
  • rendelkezésre állásáról és ellenálló képességérol,
• fizikai vagy muszaki incidens esetén az arra való képességrol, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kello idoben vissza lehessen állítani;
• az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések haté- konyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárásról.

A Kecskeméti TE az adatbiztonsági követelményeket különbözo:

• adminisztratív,
• fizikai, illetve
• logikai

védelmi intézkedésekkel biztosítja.

24. Kecskeméti TE adatvédelmi intézkedései

A Kecskeméti TE adatvédelmi intézkedései keretében értelemszeruen alkalmazza az informatikai bizton- sági szabályzatban meghatározott, és az adatok védelmére vonatkoztatható adminisztratív vé- delmi intézkedéseket.

A Kecskeméti TE adminisztratív adatvédelmi intézkedései körébe tartozik továbbá:

1. a szervezeti szinten ellátandó adminisztratív adatvédelmi tevékenység, ezen belül:
   • kiadásra kerül A személyes adatok védelménekszabályzata,
   • kijelölésre kerül az adatkezelési felelos,
   • nyilvántartásra kerül a Kecskeméti TE adatvagyona (Lásd adatvagyon leltár),
2. az adatokkal kapcsolatos kockázat elemzést végez, ezen belül:
   • muködteti az elozetes adatvédelmi hatásvizsgálat rendszerét,
   • megtiltja egyes adatok, adatbázisok kezelését,
   • meghatározza az adatok adatvédelmi biztonsági osztályba sorolásának elveit,
3. a rendszer és szolgáltatás beszerzési alapfeladatok, melyek az adatok védelme érdekében az információ biztonsági szabályzatban meghatározottak szerint ellátásra kerülnek,
4. hogy az ügymenet folytonosság tervezése érdekében az informatikai rendszerekkel érintett adatkezelésnél érvényesíteni kell az információ biztonsági szabályzatban meghatározott ügy- menet folytonossági eljárásrendet, és tervet. Az elsodlegesen nem informatikai rendszerben kezelt, és felhasznált adatok esetében az adatokról olyan elektronikus másolatot kell készíteni, melynek a kezelése már informatikai rendszerben történik, s a rendszerek ügymenet folytonos- sága biztosítja az ilyen adatok tekintetében is az ügymenet folytonosságát.
5. a biztonsági események kezelésével összefüggo feladatok, ha azok adatvédelmi incidenst is jelentenek ezen belül különösen a nem informatikai rendszerben kezelt adattal összefüggo adatvédelmi incidens kezelésére a megfelelo eljárásrend meghatározása,
6. az emberi tényezoket figyelembe vevo személyi biztonsági tevékenység, ezen belül személy- biztonsági eljárásrend meghatározása,
7. a tudatossággal és képzéssel kapcsolatos alapveto feladatok ellátása

Nyílt interneten, titkosítás, védelem nélkül tilos személyes adatot, biztosítási titkot tartalmazó üzenetet küldeni! Ezen kötelezettség alól nem kérheto érvényes felmentés az érintettol!

Ha küldo fél rossz címzettnek küld elektronikus levelet, a felismerést követoen haladéktalanul köteles kérni a helytelen címzettol a levél és tartalma elolvasás nélküli törlését, illetve annak visszaigazolását, hogy a törlés megtörtént.

27. 1. Adatvédelmi incidenskezelése

Intézkedések annak érdekében, hogy az incidens után az adatok visszaállíthatóak legye- nek

Az incidenst követoen az adatok visszaállíthatósága érdekében teendo intézkedéseket:

27. az elektronikus informatikai rendszerben tárolt adatok esetén az Információ biztonsági szabályzat Biztonsági események kezelésének eljárásrendje,
28. az elsodlegesen nem elektronikus informatikai rendszerben tárolt és kezelt adatok kezelé- sének rendje.

Az Információ biztonsági szabályzatban meghatározott Biztonsági események eljárásrendjének alkalmazási szabályai:

27. csak akkor kell alkalmazni, ha a biztonsági esemény egyben adatvédelmi incidens is,
28. amennyiben a biztonsági esemény adatvédelmi incidens is, és az eseményt eloször az in- formatikai biztonság keretében észlelték, a Biztonsági Felelos köteles haladéktalanul értesí- teni az adatkezelési felelost,
29. amennyiben az adatvédelmi incidenst az adatkezelési felelos észleli, és az incidens kapcso- lódik az elektronikus informatikai rendszerhez, haladéktalanul értesíti a Biztonsági felelost.

(Az értesítési feladatokat értelemszeruen nem kell megtenni akkor, ha a Biztonsági felelos és az adatkezelési felelos ugyan az a személy.)

Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

Az adatvédelmi incidenst a felügyeleti hatóságnak:

27. nem kell bejelenteni, ha az incidens valószínusíthetoen nem jár kockázattal,
28. be kell jelenteni, ha az incidens valószínusíthetoen kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

A bejelentés megtételének határideje Az adatvédelmi incidens:

27. indokolatlan késedelem nélkül,
28. lehetoség szerint az incidens tudomására jutásától számított 72 órán belül be kell jelenteni.

A bejelentésben:

• ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetoleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetoleges számát;
• közölni kell az adatkezelési felelos vagy a további tájékoztatást nyújtó egyéb kapcsolattar- tó nevét és elérhetőségeit;
• ismertetni kell az adatvédelmi incidensbol eredo, valószínusítheto következményeket;
• ismertetni kell az adatkezelo által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensbol eredo esetleges hátrá- nyos következmények enyhítését célzó intézkedéseket.

Adatvédelmi incidens nyilvántartás

Az adatvédelmi incidensről a Kecskeméti TE, mint adatkezelő nyilvántartás vezetésére köteles. A nyilvántartásnak tartalmaznia kell:

• az incidens leírását,
• az incidenshez kapcsolódó tényeket,
• az incidens hatásait,
• az incidens orvoslására tett intézkedéseket.

A nyilvántartást az adatkezelési felelos vezeti.

Az érintett tájékoztatása az adatvédelmi incidensröl

A Kecskeméti TE, mint adatkezelő az érintetett indokolatlan késedelem nélkül tájékoztatni köteles azok- ról az incidensekről, melyekkel kapcsolatban a felügyeleti szerv felé bejelentési kötelezettsége van.

A tájékoztatásnak tartalmaznia kell:

• az adatvédelmi incidens jellegét,

• az adatkezelési felelos vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetoségeit,
• az adatvédelmi incidensbol eredo, valószínusíthető következményeket,
• az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensbol eredő esetleges hátrányos következmé- nyek enyhítését célzó intézkedéseket.

Mellozheto a tájékoztatás, ha:

• az adatkezelo megfelelo technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmaz- ták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhe- tetlenné teszik az adatokat,
• az adatkezelo az adatvédelmi incidenst követoen olyan további intézkedéseket tett, ame- lyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továb- biakban valószínusíthetoen nem valósul meg,

– a tájékoztatás aránytalan erofeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

27. A Kecskeméti TE fizikai adatvédelmi intézkedései

A Kecskeméti TE a fizikai adatvédelmi intézkedései keretében értelemszeruen alkalmazni kell az informa- tikai biztonsági szabályzatban meghatározott, és az adatok védelmére vonatkoztatható fizikai védelmi intézkedéseket.

A Kecskeméti TE -nek a fizikai adatvédelmi intézkedései:

1. az elsodlegesen informatikai rendszerben tárolt adatok esetében Az információ biztonsági szabályzatban meghatározott fizikai védelmi intézkedések, melyek kiterjednek a kezelt szemé- lyes adatokra,
2. az elsodlegesen nem informatikai rendszerben tárolt adatok esetében a következő fizikai adatvédelmi intézkedéseket kell megtenni az adat, adatbázis biztonsági osztályba sorolásától függoen:

Adat biztonsági osztály	Fizikai védelmi intézkedés
1. Biztonsági osztály	Az adatokat az adatkezelést követoen az iratkezelés szabá- lyai alapján kell tárolni. Az adatokhoz való hozzáférést csak a hozzáférési jogosult- ságok szerint lehet biztosítani.
2. Biztonsági osztály	Az 1. biztonsági osztálynál leírtak, és Az adatokat az adatkezelést követoen zárható szekrényben, fiókban kell tartani.
3. Biztonsági osztály	Az 1-2. biztonsági osztálynál leírtak, és Az adatokat az adatkezelést követoen tuzbiztos lemezszek- rényben kell tárolni.
4. Biztonsági osztály	Az 1-3. biztonsági osztálynál leírtak, és Az adatokat páncélszekrényben kell tárolni. Az adatok Kft helyiségbol történo kiszállítása az adatkezelé- si felelos jóváhagyásával történik.
5. Biztonsági osztály	Az 1-4. biztonsági osztálynál leírtak, és Elkülönített tároló helyiség biztosítása, ahová idegen nem léphet be. „Idegeneknek belépni tilos” felirat elhelyezése. A helyiség zárva tartása. A víz védelem biztosítása, – csovezetékek foelzáróhoz való hozzáférés biztosítása, illetve amennyiben adott helyiségben több ilyen osztályba sorolt adat kerül tárolásra, a csovezeték kiváltása, áthelyezése. A tuzvédelmi eloírások szigorítása az adat tárolással, és kezeléssel érintett helyiségekben. Az adatok kft-tol történoi kiszállításának elnök engedélye- zése, írásban dokumentálása.

Az adatok szállítása, irodán kívüli kezelése

A nem informatikai rendszerben megjelenő személyes adatok esetén a dokumentumok irodá- ból való kivitele, kezelése csak különösen indokolt esetben lehetséges. A szállítási és Kecskeméti TE -n

kívüli kezelési előírásokat az adatvagyonleltár módosításakor felül kell vizsgálni. A felülvizsgá- latért az adatkezelési felelős tartozik felelősséggel.

27. A Kecskeméti TE logikai adatvédelmi intézkedései

A Kecskeméti TE-nek a logikai adatvédelmi intézkedései keretében értelemszeruen alkalmazni kell az informatikai biztonsági szabályzatban meghatározott, és az adatok védelmére vonatkoztatható logikai védelmi intézkedéseket.

A Kecskeméti TE logikai adatvédelmi intézkedései körébe tartoznak:

1. az elsodlegesen elektronikus informatikai rendszerben tárolt, kezelt adatok tekintetében az Informatikai Biztonsági Szabályzatban meghatározott logikai védelmi intézkedések, ezen belül:
   • az általános védelmi intézkedések,
   • a tervezés,
   • a rendszer és szolgáltatás beszerzés,
   • a biztonsági elemzés,
   • a tesztelés, képzés és felügyelet,
   • a konfigurációkezelés,
   • a karbantartás,
   • az adathordozók védelme,
   • az azonosítási és hitelesítési eljárásrend,
   • a hozzáférés ellenőrzése,
   • a rendszer és információ sértetlenség, ezen belül többek között az álnevesítés és a titkosí- tás (kriptográfiai kulcs előállítása és kezelése, és kriptográfiai védelem),
   • a naplózás és elszámolhatóság,
   • a rendszer és kommunikáció védelem;
2. az elsodlegesen nem elektronikus informatikai rendszerben tárolt, kezelt adatok tekinteté- ben:
   • a papír alapú dokumentumokról készült másolatokat helyileg elkülönítetten, lehetoség sze- rint más személy felelosségi körébe kell kezelni,
   • a másolatok fellelhetoségi helyét külön – idegen számára hozzá nem férhető – módon kell rögzíteni,
   • a tárolásnál akkor, ha az adatok jelentos értéket képviselnek, az adatállományt nem egy- ben, egy helyen kell tárolni, hanem több helyen. (A fellelhetoségi helyeket itt is idegenek számára hozzá nem férhető módon kell rögzíteni.)

27. Az adatok kezelésére használt rendszerek ésszolgáltatások

Biztonsági szint

Az adatkezelés során használt rendszerek és szolgáltatások biztonsági szintje meghatározásá- nak alapja az adatkezelésbol eredő olyan kockázatok, amelyek a tárolt, továbbított, vagy egyéb módon kezelt adatok:

27. véletlen vagy jogellenes:
    • megsemmisítéséből,
    • elvesztéséből,
    • megváltoztatásából,
28. jogosulatlan nyilvánosságra hozatalból vagy az azokhoz való jogosulatlan hozzáférésből erednek.

Ezek a szempontok érvényesülnek a hivatkozott Információ biztonsági szabályzat szerinti biz- tonsági szint besorolásnál is.

Az adatkezelést végző személyek közvetlen felelőssége

A Kecskeméti TE az Információ Biztonsági szabályzatban meghatározott intézkedéssel biztosítja azt, hogy az informatikai rendszerben tárolt és kezelt személyes adatokhoz hozzáféréssel rendelke- zo természetes személyek kizárólag a szabályzatnak megfeleloen kezelhessék az érintett adato- kat.

VII. Adatvédelmi hatásvizsgálat

24. Adatvédelmihatásvizsgálat

24. Adatvédelmi hatásvizsgálat végzési kötelezettség

Az adatkezelési felelos köteles eldönteni, hogy adott adatkezeléssel kapcsolatban:

24. kell-e hatásvizsgálatot végezni, vagy
25. a hatásvizsgálat mellozheto.

Kötelező adatvédelmi hatásvizsgálat

A Kecskeméti TE, mint adatkezelo az adatkezelést megelozoen hatásvizsgálatot köteles végezni akkor, ha az adatkezelés valószínuleg magas kockázattal jár a természetes személyek jogaira és sza- badságaira nézve, így különösen az alábbi esetekben:

24. a természetes személyekre vonatkozó egyes személyes jellemzok olyan módszeres és kiter- jedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentos mértékben érinto döntések épülnek,
25. az érintett kifejezett hozzájárulása alapján kezelt személyes adatok különleges kategóriái, vagy a büntetojogi felelosség megállapítására vonatkozó határozatokra és buncselekmé- nyekre vonatkozó személyes adatok nagy számban történo kezelése,
26. a nyilvános helyek nagymértéku, módszeres megfigyelése
27. személyes adatok különleges kategóriái
28. felügyeleti hatóság által kijelölt körben
29. személyes adatokat érinto új projekt indításakor, vagy új folyamat kialakításának tervezé- sekor
30. egy már muködo, személyes adat kezelést érinto folyamat üzemeltetése során a személyes adatok tekintetében jelentos kockázat vélelmezheto

A hatásvizsgálat célja annak megállapítása, hogy a tervezett adatkezelési muveletek milyen hatást gyakorolnak a személyes adatok védelmére.

A hatásvizsgálatnak olyannak kell lennie, amely kiterjed legalább:

24. a tervezett adatkezelési muveletek módszeres leírására és az adatkezelés céljainak ismerte- tésére, beleértve adott esetben az adatkezelo által érvényesíteni kívánt jogos érdeket,
25. az adatkezelés céljaira figyelemmel az adatkezelési muveletek szükségességi és arányossá- gi vizsgálatára,
26. az érintett jogait és szabadságait érinto kockázatok vizsgálatára, és
27. a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok vé- delmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mecha- nizmusokat.

Az adatvédelmi hatásvizsgálat mellőzése

Nem kell adatvédelmi hatásvizsgálatot végezni, ha egyértelmu, hogy az adott, adatkezelési muvelet a természetes személyek jogaira és szabadságaira nézve nem jár magas kockázattal. (Ha ez a kérdés egyértelmuen nem döntheto el, akkor az adatkezelési felelosnek a hatásvizsgá- lat elvégzésérol kell döntenie.)

Az adatkezelési felelos az adatvédelmi hatásvizsgálat mellozésérol adatkezelésenként külön- külön írásos jegyzokönyvet készít, melyben rögzíti a hatásvizsgálat mellozésének okait.

Az okok között szerepelhet, hogy:

24. az adatkezelés valószínusíthetoen nem jár magas kockázattal,
25. már készült hasonló adatvédelmi hatásvizsgálat, (ahol az adatkezelés jellege, hatóköre, kö- rülménye és célja egymáshoz nagyon hasonló)
26. az adatkezelésnek jogalapja van,
27. az adatkezelés szerepel abban az adatvédelemmel kapcsolatban kiadott – a felügyeleti ha- tóság által kiadott – jegyzékben, melyre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.

8. Az adatvédelem szervezeti háttere

30. A személyes adatok védelmével kapcsolatosszerepkörök

A személyes adatok védelmével kapcsolatos szerepkörök:

1. az elektronikus informatikai rendszerhez kapcsolódó adatok, adatbázisok, illetve adatkezelés esetén az információ biztonsági szabályzatban meghatározott szerepkörök.

Az érintetteknek a személyes adatok kezelés során azonban figyelembe kell venni az adatkeze- lési felelos adatvédelmi iránymutatásait is.

2. a nem elektronikus információ rendszerben tárolt, kezelt adatok, adatbázisok, illetve adatke- zelés esetén:
   • az elnök
   • az elnök által kijelölt munkavállaló,
   • az adatkezelést végzo személy,

30. Az elnök

A Kecskeméti TE kezelésében lévo adatok tekintetében az elnök köteles gondoskodni a személyes adatok védelméről.

Az elnök feladatai:

– a személyes adatok védelmét szolgáló jelen szabályzat kiadása,

– a helyi adatvédelmi, és adatkezeléssel összefüggo belso szabályzatok alapján az adatok összehangolt kezelési rendjének kialakítása és muködtetése,

• a személyes adatok védelmével kapcsolatos alapelvek betartása betartatása,
• a személyes adatok kezelésével érintett személyek jogai gyakorlásának elosegítése,
• a hozzá beérkezo adatkezeléssel kapcsolatos kérelmek adatkezelési felelosnek való továb- bítása,
• részvétel az adatvédelemmel kapcsolatos kötelezo tájékoztatásban,
• az adatvagyon leltár elkészítéséért adott területen felelos személyek kijelölése,
• együttmuködés és kapcsolattartás a felügyeleti hatósággal,
• az adatfeldolgozóval kötendo szerzodés jóváhagyása,
• az adatkezelési felelos kijelölése,
• a szabályzatban meghatározott feladatok ellátása,
• a szabályzat mellékleteiben meghatározott tevékenységek ellátása.

Az adatkezelési felelös kijelölése

A Kecskeméti TE -nél adatkezelési felelos kijelölésre kerül sor.

Az adatkezelési felelos kijelölésekor figyelembe vételre kerül:

• az tisztviselo szakmai rátermettsége,
• az adatvédelmi jog és gyakorlatban való szakmai jártassága,
• az adatkezelési felelosként ellátandó feladatok ellátására való alkalmassága. Az adatkezelési felelos adatvédelmi feladatait egyéb jogviszony keretében látja el.

Az elnök a Kecskeméti TE–nél jelentkezo adatvédelmi feladatok nagyságrendje alapján az adatkezelési felelost úgy jelöli ki, hogy a tisztviselo köteles ellátni:

• az adatkezelési felelosi feladatokat, illetve
• más, az elnök által meghatározott munkaköri feladatokat is.

30. Az adatkezelési felelös

30. Az adatkezelési felelosjogállása

A Kecskeméti TE -n belül az elnök biztosítja az adatkezelési felelos függetlenségét, így:

30. az adatkezelési felelos e tevékenysége során csak az elnöknek van alárendelve,
31. az adatkezelési felelost e tevékenységében csak az elnök utasíthatja,
32. az adatkezelési felelos a feladatai ellátásával összefüggésben nem bocsátható el és szank- cióval nem sújtható.

Az adatkezelési felelos joga, hogy:

30. a személyes adatok védelmével kapcsolatos minden ügybe megfelelo módon és idoben be- kapcsolódjon,
31. a Kecskeméti TE támogassa a feladatai ellátásában, így biztosítva legyen számára azok a források, melyek szükségesek:
    • a feladatai végrehajtásához,
    • a személyes adatokhoz és az adatkezelési muveletekhez való hozzáféréshez, valamint
    • az adatkezelési felelos szakértoi szintu ismereteinek fenntartásához.

Az adatkezelési felelos kötelessége, hogy a feladatai teljesítésével kapcsolatban betartsa a ti- toktartási kötelezettséget, illetve az adatok bizalmas kezelésére vonatkozó kötelezettséget.

Az adatkezelési felelos olyan személy, akihez az érintettek szabadon fordulhatnak az adatvéde- lemmel kapcsolatos jogaik gyakorlásával összefüggésben.

30. Az adatkezelési felelosfeladatai

Az adatkezelési felelos alap feladatai:

30. Részt vesz a személyes adatok védelmének szabályzata kidolgozásában és felülvizsgálatá- ban,
31. Közremuködik az adatvédelmi alapelvek tartárásban, érvényesítésében.
32. Elosegíti az adatkezeléssel érintett személyek számára az egyes jogaik gyakorlását.
33. Dönt az adatkezeléssel érintett tájékoztatás iránti kérelmének megtagadásában, illetve köz- remuködik a tájékoztatásban. Dönt az információ, illetve tájékoztatás biztosításával kapcso- latos díj felszámításáról, illetve a díj összegérol.
34. Dönt az adathelyesbítési, törlési jog iránti kérelmekben. Szükség szerint intézkedik a tör- lésrol.
35. Dönt az érintettek adatkezelési korlátozási joggal kapcsolatos kérelmei ügyében, és szük- ség szerint intézkedik az adatkezelés korlátozásáról.
36. Megvizsgálja az érintettek adatkezeléssel kapcsolatos tiltakozását.
37. Jogos tiltakozás alapján intézkedik arról, hogy a Kecskeméti TE az adatokat tovább ne kezelje.
38. A tiltakozás ellenére történo adatkezelés esetén írásban dokumentálja a további adatkeze- lés okait.
39. Közremuködik az adatvagyon leltár elkészítésében.
40. Ellenorzi, hogy az adatkezelés az adatvagyonleltár szerint történik-e.
41. Tájékoztat és szakmai tanácsot ad az adatkezelo vagy az adatfeldolgozó, továbbá az adat- kezelést végzo alkalmazottak részére az adatvédelmi rendelkezések szerinti kötelezettsége- ikkel kapcsolatban,
42. ellenorzi az adatvédelmi rendelkezéseknek, továbbá az adatkezelo vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belso szabályainak való megfelelést, ideértve a fe- ladatkörök kijelölését, az adatkezelési muveletekben vevo személyzet tudatosság-növelését és képzését,
43. Ellátja az adatvédelmi hatásvizsgálatra vonatkozó feladatokat,
44. Együttmuködik a felügyeleti hatósággal; és
45. Az adatkezeléssel összefüggo ügyekben kapcsolattartó pontként szolgál a felügyeleti ható- ság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
46. A jelen szabályzatban meghatározott feladatok ellátása.
47. A jelen szabályzat mellékleteiben meghatározott tevékenységek ellátása.

30. Az adatkezelést végzö személy

Az adatkezelést végzo személy feladata:

• A szabályzatban meghatározott alapelvek betartása, érvényesítése az adatkezelés során.
• Elosegíteni az adatkezeléssel érintett személyeket abban, hogy az adatkezeléssel érintett egyes jogaikat gyakorolhassák.
• A hozzá érkezett adatkezelésre irányuló kérelmeket továbbítsa az adatkezelési felelosnek.
• Részvétel a személyes adatok kezelésével érintettek személyek tájékoztatási feladataiban.
• Az adatkezelési felelos kérésére közremuködni a személyes adatok kezelésével érintett személyek részére nyújtandó információk biztosításában.
• A hozzá érkezett adathelyesbítési kérelemrol az adatkezelési felelos tájékoztatása.
• Közremuködni az adattörlésben, ha az érintett személy adattörlési joga érvényesítésre be- nyújtott kérelme alapján az adattörlésnek helye van.
• Közremuködni az adathordozhatósági jog érvényesítésében.
• Kijelölés alapján a területére vonatkozóan adatvagyonleltár elkészítése és vezetése.
• Új adatkezelési helyzet jelzése az adatkezelési felelosnek.
• Az adatvagyon leltár felülvizsgálata – ha kijelölés alapján köteles az adatvagyonleltár elké- szítésére.
• A jelen szabályzatban meghatározott feladatok ellátása.
• A jelen szabályzat mellékleteiben meghatározott tevékenységek ellátása.

30. Más dolgozó, illetve egyéb tisztségviselö

Más dolgozó, illetve egyéb tisztségviselo személy feladata:

• A szabályzatban meghatározott alapelvek betartása, érvényesítése a tevékenysége során.
• Elosegíteni az adatkezeléssel érintett személyeket abban, hogy az adatkezeléssel érintett egyes jogaikat gyakorolhassák.
• A hozzá érkezett adatkezelésre irányuló kérelmeket továbbítsa az adatkezelési felelosnek.
• Részvétel a személyes adatok kezelésével érintettek személyek tájékoztatási feladataiban.
• Az adatkezelési felelos kérésére közremuködni a személyes adatok kezelésével érintett személyek részére nyújtandó információk biztosításában.
• A hozzá érkezett adathelyesbítési kérelemrol az adatkezelési felelos tájékoztatása.
• Új adatkezelési helyzet jelzése az adatkezelési felelosnek.
• A jelen szabályzatban meghatározott feladatok ellátása.
• A jelen szabályzat mellékleteiben meghatározott tevékenységek ellátása.

30. A feladat és felelösség dokumentálása

A munkaköri leírás elkészítéséért felelos személy köteles gondoskodni arról, hogy a munkaköri leírásban meghatározásra kerüljenek:

• legalább a jelen szabályzatra való hivatkozással a személyi adatok védelmére vonatkozó ál- talános védelmi feladatok és felelosségek,
• a konkrét feladat- és felelosségi eloírások, ha az érintett munkakör jellege indokolja. Eb- ben az esetben is elegendo a jelen szabályzat meghatározott pontjaira, témakörére vonatko- zó utalás.

A szabályzattal kapcsolat feladat-és felelosség dokumentálása megtörténik a szabályzat megis- merési záradékának aláírásával, mely feltétele a jelen szabályzatban meghatározott feladatok, tevékenységének ellátásnak.

8. A szabályzat nyilvánossága

A szabályzat és a kapcsolódó mellékletek, nyilvántartások és egyéb dokumentumok nyilvános- ságát a személyes adatok védelmi szempontok szem elott tartásával kell biztosítani.

Az elnök, illetve az adatkezelési felelos, a szabályzat egyes mellékletei, illetve egyes kapcsoló- dó dokumentumok és nyilvántartások tartalmának megismerését különbözo feltételekhez köt- heti.

A szabályzat érintettekkel való megismertetését megismerési záradékkal kell igazolni, mely tartalmazza azt, hogy a megismertetés a szabályzat mellékleteinek és csatolt dokumentumainak mely körére terjedt ki.

A szabályzat mindenki számára megismerheto részét közzé kell tenni, ennek keretében egy példányát a Kecskeméti TE irodájában kell elhelyezni.

Az elnök és az adatkezelési felelos kiemelt feladata, hogy biztosítsa a szabályzat védelmét olyan információk tekintetében, melyek ismerete, nyilvánossága sértené, vagy veszélyeztetné a személyes adatok védelmének biztonságát.

8. A belsö együttmuködés szabályai

A személyes adatok védelmének biztosítása, valamint a jelen szabályzatban meghatározott el- vek, jogok biztosítása, valamint a meghatározott intézkedések hatékonysága érdekében köteles együttmuködni:

• az elnök és az adatkezelési felelos,
• az adatkezelési felelos és a Kecskeméti TE dolgozói, tagjai
• a dolgozók és tisztségviselok.

Kiemelt szakmai együttmuködés szükséges:

• az adatkezelési felelos, és az
• információbiztonsággal összefüggo feladatkört ellátók, így:
  • a Biztonsági Felelos,
  • az üzemeltetési felelos,
  • a biztonsági eseményt kivizsgáló személy

között.

Az adatvédelemmel érintett munkakört ellátóknak a tevékenységük során folyamatos:

• tájékoztatási,
• együttmuködési,
• és tevékenység harmonizációs kötelezettségük van.

Az együttmuködésének jellemzo formái:

• vezetoi szóbeli vagy írásbeli utasítás,
• tájékoztatás,
• beszámoltatás,
• közös tevékenység.

8. A szabályzat felülvizsgálata

A szabályzat teljes felülvizsgálatát legalább évenként el kell végezni. A szabályzat egyes részte- rületeit a szabályzatban meghatározott idonként, az általános felülvizsgálati idotol függetlenül el kell végezni.

Az adatkezelési felelos a szabályzat teljes, illetve egyes részeinek felülvizsgálatát köteles kez- deményezni és a felülvizsgálatot elokészíteni, ha azt a körülmények indokolják. A módosítást az elnök írásban hagyja jóvá.

A jóváhagyást követően ismét gondoskodni kell a szabályzat megismertetéséről, illetve a szabályzat védendő adatainak védelméről.

XXI. Záró rendelkezések

A szabályzat 2018. május 25. napján lép hatályba, és rendelkezéseit a szabályzat hatályon kívül helyezéséig kell alkalmazni.

Kecskemét, 2018. május 25.