Akciós csomagajánlataink
Adatvédelmi szabályzat
HŐFORRÁS ÜDÜLŐSZÖVETKEZET
(5700 Gyula, Rábai M u 2.)
ADATVÉDELMI ÉS ADATBIZTONSÁGI
SZABÁLYZATA
A Magyarország Alaptörvénye által meghatározott alapvető jogok, az általános adatvédelemről szóló 2016/679. EU Rendelet (a továbbiakban: Rendelet), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Törvény) érvényesülésének biztosítása érdekében a Hőforrás Üdülőszövetkezet (5700 Gyula, Rábai M u 2. - továbbiakban az üdülőszövetkezet) Igazgatósága az alábbi Adatvédelmi és Adatbiztonsági Szabályzatot (a továbbiakban: Szabályzat) alkotja meg:
1. A Szabályzat célja
Az üdülőszövetkezet tevékenysége során az alaptörvényben meghatározott alapvető jogok és a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülésének biztosítása, valamint az üdülőszövetkezet tevékenysége által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében az adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírások meghatározása.
2. A Szabályzat hatálya
A Szabályzat hatálya kiterjed:
- az üdülőszövetkezet minden személyes adatot érintő adatkezelésére, valamennyi testületi szervére, tisztségviselőjére, alkalmazottjára,
- az üdülőszövetkezettel szerződéses kapcsolatban álló valamennyi természetes és jogi személyre, jogi személyiség nélküli szervezetre, ideértve ezek alkalmazottaira is,
- az üdülőszövetkezet tevékenysége során keletkező valamennyi iratban található személyes adatok kezelésére és védelmére,
- a közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjére, a jelen adatvédelmi és informatikai biztonsági szabályzatban rendezett kérdésekre
- az adatkezelő munkaügyi, egyéb munkavégzésre irányuló jogviszonnyal kapcsolatos adatkezelési kérdésekre
A Szabályzat hatálya nem terjed ki:
- az elhunyt személyekkel kapcsolatos személyes adatok kezelésére
3. A Szabályzat elfogadása, módosítása, érvényesítése, alapfogalmak
A Szabályzat elfogadása (megállapítása) és módosítása az üdülőszövetkezet igazgatóságának hatáskörébe tartozik. A Szabályzatban foglaltak betartásáért az üdülőszövetkezet elnöke a felelős.
A Szabályzat alkalmazása során a személyes adatokkal kapcsolatos fogalmak és értelmezések jelen szabályzat 1. sz. mellékletében találhatók
4. A személyes adat
Személyes adat az azonosított vagy azonosítható természetes személyre (továbbiakban: Érintett) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító tényező alapján azonosítható: név, személyigazolvány szám, lakcím adat, születési hely, idő, online azonosító.
A személyes adatok adatkezelését, gyűjtését:
• jogszerűen, célhoz kötötten és tisztességesen, az érintett számára átlátható módon kell végezni,
• az adatokat nem lehet ezekkel a célokkal össze nem egyeztethető módon sem gyűjteni, sem kezelni
• az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre, adattakarékosságra kell korlátozódniuk, pontosnak és szükség esetén naprakésznek kell lenniük
Az adatok tárolásának szabályai:
• olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (papír és/vagy elektronikus),
• a személyes adatok ennél hosszabb ideig történő – papír alapú és elektronikus - tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a Rendelet 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a Rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel,
• az üdülőszövetkezeti adatok, gazdasági események feldolgozásának, adatkezelésének és tárolásának, adatvédelmének saját hatáskörű, vagy szerződéses partner útján történő adatfeldolgozási szabályait jelen szabályzat keretei belül kell megvalósítani. Az internetes, valamint az egyéb kapcsolattartás adatvédelmi és biztonsági szabályai jelen szabályzat 2. sz. mellékletében található,
• az adatok kezelését, tárolását fenti szigorú előírások mellett és azokra figyelemmel oly módon kell végezni, hogy az előírt, megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelme.
5. Az adatkérés, adatgyűjtés jogszerűsége
A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a.) Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez, és megismerte az üdülőszövetkezet általános adatvédelmi tájékoztatójának hirdetményét, és az üdülőszövetkezet általános adatvédelmi tájékoztatóját.
Az üdülőszövetkezet
általános adatvédelmi tájékoztatójának hirdetménye, és
általános adatvédelmi tájékoztatója
jelen szabályzat 3. sz. mellékletében található.
Az üdülőszövetkezet
tagi belépési nyilatkozat,
rendelkezésre álló üdülési turnus igénybevételére vonatkozó meghatalmazás,
turnus igénybevételére vonatkozó nyilatkozat,
kedvezményes szállás igénybevételére jogosító meghatalmazás,
érintett adatkezelési hozzájárulási nyilatkozat,
weboldalon (üdülőszövetkezeti honlapon) történő ajánlatkérés,
szállodai bejelentő lap,
közgyűlési meghatalmazás
adatkezelési mintája jelen szabályzat 4. sz. mellékletében találhatók.
A belépési és a hozzájáruló nyilatkozatot az adatkezelés fennmaradásának időpontjáig meg kell őrizni. Az egyéb, fent felsorolt nyilatkozatokat legfeljebb 1 évig, illetőleg az indokolt, kötelezettség mulasztásból keletkező jog érvényesítéséhez szükséges időtartamáig kell megőrizni. A hozzájárulási és egyéb, fent felsorolt nyilatkozatok kérése során biztosítani kell, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta az adott adatkezeléshez, és hogy azt milyen formában tette meg. A hozzájárulásnak önkéntesnek kell lenni, ha az adatkezelés egyszerre több célt is szolgál, a hozzájárulást az összes adatkezelési célra vonatkozóan, ugyanazon hozzájárulási nyilatkozatban is meg kell adni. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ez egyben az adat törlését is megköveteli.
b.) Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
c.) Az adatkezelés jogszabály által előírt kötelezettségnek teljesítéséhez szükséges.
d.) Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
6. Adatkezelés, adatfeldolgozás, adattárolás, tárolt adatok védelme
Adatkezelés:
Az adatvédelmi előírások alkalmazása szempontjából az üdülőszövetkezet– mint adatkezelő szerv – vezetőjének az üdülőszövetkezet elnökét kell tekinteni (továbbiakban Adatkezelő). Ennek megfelelően az üdülőszövetkezet elnöke jelen szabályzat keretei alapján meghatározza az adatkezelés célját és eszközeit, azaz dönt az adatok sorsáról.
Adatkezelés és tárolás részben, vagy egészében saját hatáskörben, illetőleg partneri szerződés útján is megvalósulhat.
a./ Saját hatáskörű adatkezelés
Az adatkezelés magában foglalja a személyes adatokon végzett saját hatáskörű, vagy szerződéses partneri cselekményeket, a személyes adatok gyűjtését, felvételét, tárolását, felhasználását, továbbítását, módosítását, korlátozását, védelmét, törlését. Az adatfeldolgozás során az adatkezelésben érintett természetes személyek kezelt adatainak körét, célját jelen szabályzat 5. sz. melléklete tartalmazza.
Az üdülőszövetkezet az általa gyűjtött személyes adatok őrzését az adatkezelés idején személyi, tárgyi és szervezési intézkedések útján oly módon biztosítja, hogy a gyűjtött és tárolt személyes adatot
• illetéktelen harmadik személy nem ismerheti meg, nem férhet hozzá;
• nem vetik alá jogosulatlan adatkezelésnek;
• illetéktelen személy nem változtathatja meg, nem továbbíthatja, hozhatja nyilvánosságra;
• nem továbbítják a jelen szabályzatban meghatározott hozzájárulás nélkül;
• jogosulatlanul nem módosítják, nem törölheti;
• elvesztéstől, sérüléstől megóvja.
Az adatfeldolgozás keretében érintett és az üdülőszövetkezetnél foglalkoztatásra irányuló jogviszonyt létrehozó természetes személy(ek) számára – hasonlóan a tagi, partneri és felhasználó általános adatvédelmi tájékoztatóhoz (3. sz. melléklet) - adatkezelési tájékoztatót kell kiadni. Az adatkezelési tájékoztató az üdülőszövetkezetnél foglalkoztatásra irányuló jogviszonyt létrehozó természetes személy számára az 6. sz. mellékletben található.
Az adatkezelést magában foglaló munkákat végző személy az adatfeldolgozó, aki az adatkezelő szerv vezetőjének utasításai alapján végez – jellemzően technikai jellegű – műveleteket a személyes adatokon. Az adatfeldolgozást végző személlyel az adatfeldolgozási tevékenység végzésére – munkavállalóval, vagy partnerrel - szerződést kell kötni. Munkaviszonyban álló, illetve más munkakört is ellátó adatfeldolgozó esetében ez történhet a munkaszerződés kiegészítéseként, vagy külön szerződés keretében. Megbízási jogviszonyban alkalmazott adatfeldolgozó esetén az előbbieket megfelelően kell alkalmazni. Az adatfeldolgozó személy kijelölését, valamint szerződés feltételeit a Rendelet 28. cikk (3) bekezdésében foglaltak figyelembevételével az üdülőszövetkezet adatkezelő szerv vezetője a munkavállalói (partneri) megállapodás és hozzájárulás személyes adatok kezeléséhez és továbbításához című, a 7. sz. mellékletben található forma alapján állapítja meg. Az adatkezelés speciális jogszabályi alapjait tartalmazó legfontosabb jogszabályi környezete jelen szabályzat 8. sz. mellékletében található.
Az üdülőszövetkezet tulajdonában álló informatikai eszközökön az adatkezelést úgy hajtja végre, hogy a Rendelet - GDPR, valamint egyéb adatvédelmi jogszabályok megtartása mellett tiszteletben tartja a személyes adat jogosultjának családi és magánélethez való alapvető jogát, egyéb jogait és szabadságait.
Az üdülőszövetkezet az adatkezelési, adattovábbítási, valamint ezzel kapcsolatos szervezési tevékenysége során figyelembe veszi a tudomány és technológia mindenkori állását és fejlődését. Törekszik arra, hogy az adatbiztonság fenntartása érdekében a lehető legbiztonságosabb, illetve a kockázat mértékének megfelelő adatbiztonságot garantáló technológiát alkalmazza a természetes személyek jogainak és szabadságainak védelme érdekében.
b./ Adatkezelés, tárolás és adatvédelem saját hatáskörű ellátásának szabályai
Az üdülőszövetkezet a természetes személyek személyes adatait papír alapon, és elektronikus adatrögzítő eszközökön egyaránt tárolja.
A személyes adatok kezelésére, tárolására, védelmére vonatkozó jelen szabályzatban meghatározott rendelkezések egyaránt vonatkoznak az elektronikus formában tárolt olyan személyes adatra, amelyek nyilvántartási rendszerét részét képezik, azok továbbításra kerülnek, illetve amelyeket az üdülőszövetkezet részben vagy egészben automatizált módon kezel.
A személyes adatok kezelésére, tárolására, védelmére vonatkozó részletes szabályok:
• Az üdülőszövetkezet személyes adatok elektronikus tárolására az üdülőszövetkezet elsődlegesen tulajdonában álló eszközöket használ.
• A tárolás az üdülőszövetkezet székhelyként használt ingatlanban, erre a célra kizárólag kijelölt helyiségben történik, és a tárolt személyes adatok az üdülőszövetkezeti adatkezelés érdekében kerülnek gyűjtésre és jogszabályban meghatározott célból, megfelelő jogcímmel kezelhetők.
• A természetes személyek papír alapú személyes adatainak kezelését és tárolását az üdülőszövetkezet adatkezeléssel megbízott munkavállalója köteles az üdülőszövetkezet székhelyén e célra külön és kizárólagosan kijelölt, hivatalos helyiségében ellátni.
• Az adatfeldolgozást és tárolást végző kijelölt helyiségbe csak az adatkezeléssel megbízott személy és jelen szabályzatban erre felhatalmazott személyek, kizárólag Az üdülőszövetkezet irodai fogadó órájának (nyitvatartásának) időtartama alatt léphetnek be. A helyiségbe belépésre feljogosított személyekről nyilvántartást kell vezetni, a nyilvántartásban szereplő személyek névjegyzékét az adattárolásra kijelölt lakásszövetkezeti hivatalos helyiségben jól látható módon ki kell függeszteni.
• Az adatok kezelését, tárolását biztosító helyiség bejárati ajtajára „Illetéktelen személy részére a belépés tilos!” táblát kell elhelyezni, és belső szervezési intézkedésekkel kell biztosítani, hogy az adatfeldolgozást végző, és munkaszerződésben erre vonatkozó felhatalmazással nem rendelkező munkatársakon kívül más személy a természetes személyek személyes adatainak tárolásához ne férhessen hozzá.
• Az adattárolásra kijelölt helyiségben a természetes személyek személyes adatainak papír alapú tárolását és a személyes hozzáférést is védő kettős biztonsági zárral ellátott irattárolást elsődleges tűzbiztonságot eredményező szekrényben kell biztosítani.
• Az irattároló szekrény kulcsainak másolatát az adatfeldolgozást végző munkavállaló az adatkezelő szerv vezetőjénél zárható, és a felnyitást ellenőrizhető záró szalaggal ellátott fém kazettában letétbe helyezi.
• Az üdülőszövetkezet tulajdonában álló informatikai eszközön tárolt bármely természetes személy személyes adatát úgy kell védeni, hogy az informatikai eszköz (asztali számítógép, laptop, notebook, külső adattároló, okos telefon stb.) legalább nyolc karakterből álló hozzáférési kóddal legyen elérhető. A hozzáférési kód tetszőleges számú, de kis és nagy betűkből és számokból kell, hogy összetevődjön. A hozzáférési kódot az adatkezelő szerv vezetője által megállapított rendszeres időközönként, de évente legkevesebb két alkalommal meg kell változtatni. Az aktuális informatikai eszközök hozzáférési kódjait az adatkezelő szerv vezetője zárható, és a felnyitást ellenőrizhető záró szalaggal ellátott fém kazettában tárolja és a tárolásra szolgáló tárgy biztonságos őrzéséről gondoskodni köteles.
• Az üdülőszövetkezet tulajdonában álló helyhez kötött informatikai eszközöket az adattárolásra kijelölt helyiségben kell tárolni.
• A helyhez kötött asztali számítógépekhez történő munkaidő utáni hozzáférését, energiaellátását áramellátás védelmi eszközzel kell biztosítani.
• A hordozható informatikai eszközöket a hivatali időn túl erre a célra kialakított, vagy rendszeresített biztonsági kóddal védett fém, vagy fa irattárolóba kell elzárni (laptop széf).
• A természetes személyek adatainak tárolását ellátó helyhez kötött, vagy mobil berendezések elmozdítását az üdülőszövetkezet illetékességi irodájából csak az adatkezelő szerv vezetője előzetes engedélyével lehet végrehajtani.
• Az üdülőszövetkezetnél tárolt természetes személyek személyes adatainak a székhelyén tárolására kijelölt hivatali helyiségeit – illetéktelen személyek belépésének megakadályozása érdekében - biztonsági riasztórendszerrel, és eseti helyi lehetőségek figyelembevételével tűz esetén tűzvédelmi berendezéssel (tűzjelző berendezés, poroltó készülék stb.) is védeni kell. Ez az előírás egyaránt vonatkozik a papír alapú, illetve informatikai eszközön tárolt adatok biztonságos védelmére is.
• Az adatkezelő szerv vezetője az üdülőszövetkezet tulajdonosi ellenőrzést ellátó felügyelő bizottságával közösen éves program szerint köteles az adatkezelés és az adattárolás kijelölt hivatali helyiségei biztonságos körülményeinek fennállását, jelen szabályzat végrehajtását ellenőrizni.
• Az adatkezelő szerv vezetője az üdülőszövetkezet tulajdonosi ellenőrzést ellátó felügyelő bizottságával közösen éves program szerint köteles az adatkezelés tekintetében továbbadott adatok felhasználói kezelését a felhasználóval egyeztetett időpontban évente legkevesebb egy alkalommal ellenőrizni
• A természetes személyek személyes adatainak adatfeldolgozásával érintett munkavállaló munkaszerződésébe a következő munkakörre vonatkozó előírást kell beiktatni: „A munkavállaló köteles a munkáltató adatvédelmi és adatbiztonsági szabályzatában foglalt előírásokat maradéktalanul betartani, különös tekintettel, Az üdülőszövetkezet tevékenységével összefüggő adatgyűjtési, adatkezelési, és adattárolási feladatok területén. Az adatkezelési tevékenysége során köteles az üdülőszövetkezet adatvédelmi intézményrendszerének eljárási folyamatában közreműködni, az adatkezeléssel összefüggésben tudomására jutott információkat megőrizni, a Munka Törvénykönyvében meghatározott titokvédelmi szabályoknak (8.§ (3) bek.) megfelelően.”
c./ Szerződéses partneri adatfeldolgozás, tárolás, adatvédelmi és biztonsági szabályai
Az üdülőszövetkezet működési, gazdálkodási feladatait önállóan, saját hatáskörben, vagy partneri, együttműködői kapcsolat létesítése útján vállalkozásba is kiadhatja. Az üdülőszövetkezet bármely tevékenységének külső partneri, vállalkozási körbe adása esetén köteles a hatályos adatvédelmi és adatbiztonsági szabályok, jogszabályi előírások betartásáról gondoskodni. Ennek során az alábbi feladatok teljesítését kell biztosítani:
• A vállalkozásba adott tevékenységről (könyvvezetés, műszaki, személyi adatbázis vezetése, tagnyilvántartás stb.) a hatályos Ptk. szerződéses jogviszonyról szóló fejezete tartalmi, formai elemeinek megfelelő vállalkozási szerződés kötése (felhasználói Szerződés)
• Adatvédelmi tájékoztatók és hozzájárulási nyilatkozatok beszerzése az üdülőszövetkezettel bármilyen jogviszonyban álló természetes személy személyes adatairól, amelyek a vállalkozásba adás tevékenységének tárgyához adattovábbítás szempontjából feltétlen kötődnek. [Hozzájáruló nyilatkozat adatkezeléshez (4. sz. melléklet); Adatkezelési Tájékoztató az üdülőszövetkezetnél foglalkoztatásra irányuló jogviszonyt létrehozó természetes személy számára (6. sz. melléklet); Munkavállalói (partneri) megállapodás és hozzájárulás személyes adatok továbbításához (7. sz. melléklet); Adattovábbítási tájékoztató és nyilatkozat (9. sz. melléklet)]
• Adatkezelési céllal továbbadott adatokat kezelő partnerrel (Felhasználóval) adatkezelési tájékoztató és nyilatkozat biztosítása, ennek tartalmi és formai mintáját a 11. sz melléklet tartalmazza.
A fenti szükséges és elégséges feltételek megléte esetén az üdülőszövetkezet az általa gyűjtött, kezelt, tárolt adatokat a szerződéses partnerének - Felhasználónak –továbbíthatja.
Az üdülőszövetkezet jelen szabályzata előírása alapján a felhasználói adatkezelés, tárolás és adatvédelem körülményeit ellenőrizni köteles.
d./ Saját hatáskörű és szerződéses partneri adatfeldolgozás, tárolás, adatvédelmi és biztonsági közös szabályai
A személyes adatok biztonsága érdekében az üdülőszövetkezet az általa és a továbbított és kezelt személyes adatoknak a tárolását az alábbiaknak megfelelően végzi, vagy végezteti:
Informatikai védelemi intézkedések és garanciális elemek alkalmazása (tárolás helyiségének megfigyelő rendszerrel történő ellátása, biztonságos, szünetmentes elektromos energiaellátás, riasztórendszer betörés, tűz ellen)
az adatkezelés során használt informatikai eszközök kizárólag az üdülőszövetkezet tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező, illetőleg szerződésen alapuló joggal bír az üdülőszövetkezet;
az informatikai eszközökön található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval lehet csak hozzáférni, a jelszavak cseréjéről az üdülőszövetkezet adatkezeléséért felelős elnök, illetve a szerződéses partner törvényes képviselője rendszeresen, illetve indokolt esetben azonnal gondoskodik;
az informatikai eszközökön történő adatkezelés minden folyamata nyomon követhetően naplózásra kerül, a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl – szakszolgáltatás igénybevételével - visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
a hálózaton tárolt adatok biztonsága érdekében a szerveren folyamatos tükrözéssel kerüli el az üdülőszövetkezet, illetve szerződéses partner az adatvesztést, a személyes adatokat tartalmazó adatbázisok aktív adataiból napi (folyamatos) mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik;
a lementett adatokat tároló eszköz az erre a célra kialakított tűzbiztos helyen és módon tárolt;
a személyes adatokat kezelő hálózaton az üdülőszövetkezet, illetve szerződéses partner folyamatos és állandóan frissített vírusvédelemről gondoskodik;
a rendelkezésre álló számítástechnikai eszközökkel, azok szakszerű alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.
Az üdülőszövetkezet adatkezelése folyamán anonimizálást igazgatósági határozatnak megfelelő indokolt esetben alkalmaz
7. Az adatkezeléssel érintett személyek jogai
a.) Tájékoztatáshoz való jog
b.) Hozzáféréshez való jog
c.) Adatok helyesbítésének kérése
d.) Törléshez való jog
e.) Az adatkezelés korlátozásához való jog
f.) Adathordozhatósághoz való jog
g.) Tiltakozáshoz való jog
8. Adatkezelési és adattovábbítási tájékoztatás
Az érintettre vonatkozó személyes adatok bekérésekor, más módon történő beszerzés esetén - az érintett kérelmére – az érintett rendelkezésére kell bocsátani az alábbi információkat:
a.) az adatkezelő, illetve képviselőjének megnevezése és elérhetősége
b.) a személyes adatok kezelésének célja és jogalapja
c.) a személyes adatok címzettjei
d.) a személyes adat tárolásának időtartama, illetve ezen időtartam meghatározásának szempontjai
e.) az érintett tájékoztatása a személyes adat hozzáférhetőségi, helyesbítési, törlési, stb. jogáról
f.) az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás visszavonásának jogáról
g.) a felügyeleti hatósághoz való fordulás jogáról
h.) az adatszolgáltatási elmulasztásának következményeiről
A természetes személyek személyes adatainak – szükség szerinti – adattovábbításáról, a fentiekre is tekintettel, valamennyi az üdülőszövetkezetnél érintett természetes személy vonatkozásában tájékoztatatást és nyilatkozatot kell kiadni, illetve beszerezni. Az adattovábbítási tájékoztató és nyilatkozat jelen szabályzat 9. sz. mellékletében található.
9. Az érintett adatkezelési joggyakorlásának belső eljárásrendje
Az érintett a tájékoztatáshoz, a hozzáféréshez, adatai helyesbítéséhez, adatai hordozhatóságához, és adatai tiltásához kapcsolódó jogával az adatkezelőhöz benyújtott írásos beadvány útján élhet.
a.) Törlési kérelem kezelése
Az érintett jogosult, az adatkezelő pedig köteles a személyes adat törlésére az alábbi esetekben:
- a személyes adatokra már nincs szükség abból a célból, amelyekből azokat gyűjtötték vagy más módon kezelték,
- az érintett visszavonja az adatkezelés alapját szolgáló hozzájárulását, és az adatkezelésnek más jogalapja nincs,
- az érintett az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés célja ellen tiltakozik és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
- a személyes adatokat jogellenesen kezelte az adatkezelő
Amennyiben az üdülőszövetkezet, mint az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, akkor az üdülőszövetkezet köteles tájékoztatni az adatot kezelő más adatkezelőket a törlés iránti kérelemről.
A törlést nem kell teljesíteni, ha az adatkezelés:
a.) véleménynyilvánítás szabadságához, vagy a tájékoztatáshoz való jog gyakorlása céljából szükséges
b.) jogi igények előterjesztéséhez, érvényesítéséhez és védelméhez szükséges
c.) jogi kötelezettség teljesítése miatt szükséges
A törlés teljesítésének elutasításáról az érintettet értesíteni kell a fenti a.) – c.) pontokra hivatkozva, és fel kell hívni az érintett figyelmét jelen szabályzatban megjelölt jogorvoslati lehetőségekre.
Törlés esetén az üdülőszövetkezet a személyes adatot az informatikai rendszereiből visszaállíthatatlanul törli. A papír alapú dokumentációk esetében azok jegyzőkönyvi megsemmisítéséről kell gondoskodni. A jegyzőkönyvben rögzíteni kell a megsemmisített irat beazonosíthatóságához szükséges információkat, a megsemmisítés időpontját és a megsemmisítést végző személy nevét, beosztását, külső partner esetén annak nevét. Elektronikus adat visszaállíthatatlan törlésére az üdülőszövetkezet szakszolgáltatást vesz igénybe, arról és annak minden eljárási lépéséről jegyzőkönyvet vesz fel.
b.) Személyes adat korlátozása iránti kérelem kezelése
Az érintett az alábbi esetekben jogosult arra, hogy az adatkezelő korlátozza az adatkezelést:
- az érintett vitatja a személyes adatok pontosságát. Ilyen esetben a korlátozás arra az időtartamra vonatkozik, amely idő alatt az adatkezelő ellenőrizheti az adat pontosságát.
- az adatkezelés jogellenes és az adatkezelő ellenzi az adatok törlését
- az adatkezelőnek már nincs szüksége az adatokra, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez
- az érintett tiltakozott az adatkezelés ellen, de az adatkezelő jogos érdeke is megalapozhatja az adatkezelést. Ebben az esetben az adatkezelést korlátozni kell addig, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez, vagy védelméhez, illetve más természetes vagy jogi személy jogainak védelme érdekében lehet kezelni.
10. Adatvédelmi incidens
Az üdülőszövetkezetnek, mint adatfeldolgozónak kötelessége, hogy a munkája körében bekövetkezett adatvédelmi incidensről haladéktalanul értesítse az adatkezelőt (elnök, igazgatóság). Az adatvédelmi incidensekkel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást kell vezetni. A nyilvántartásnak tartalmaznia kell az adatvédelmi incidenseket, feltüntetve az incidensekhez kapcsolódó tényeket, azok hatásait, valamint a megoldásukra tett intézkedéseket. Az adatvédelmi ellenőrzések, incidensek, adatvédelmi nyilvántartásnak mintája jelen szabályzat 10. sz. mellékletében található.
Az adatvédelmi incidens során alkalmazandó eljárás rendje:
Alacsony szintű adatvédelmi incidens:
A személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ilyen esetben az adatvédelemért felelős személy az érintett rendszer rendszergazdájával és az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdájával meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére. Rögzíti továbbá az adatvédelmi incidenst az incidensek nyilvántartásába.
Közepes szintű adatvédelmi incidens:
A személyes adatok csekély körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ilyen esetben az adatvédelemért felelős személy haladéktalanul, de legkésőbb a tudomásszerzéstől számított 12 órán belül munkacsoportot hív össze, amelyen részt vesz a rendszergazda, az adatgazda és az adatkezelő vezetője.
Magas szintű adatvédelmi incidens:
A személyes adatok széles körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ide tartozik még at adatok körétől függetlenül minden olyan eset, amikor valószínűsíthető, hogy az incidensnek az érintettre hátrányos hatása van, vagy biztosra vehető, hogy az incidensnek az érintettre hátrányos hatása van. Ilyen esetben az adatvédelmi szervezet vezetője (a közepes szintű incidensnél írtakon túlmenően) értesíti a felügyeleti hatóságot az adatvédelmi incidensről a tudomásszerzéstől számított 72 órán belül.
Az adatvédelmi incidens szintjét az adatkezelő szerv vezetője, az üdülőszövetkezet elnöke köteles értékelni, azt követően megállapítani.
11. Az üdülőszövetkezet tevékenységének területei, amelyek végzése során a személyes adatok kezelése megvalósul
a.) Az üdülőszövetkezet tisztségviselőinek a cégbírósági nyilvántartásba történő bejegyeztetése és törlése
b.) Az üdülőszövetkezet felhatalmazott képviselőinek a cégbírósági nyilvántartásba történő bejegyeztetése és törlése
c.) A hátralékos tulajdonosokkal szemben indított fizetési meghagyásos eljárások és bírósági végrehajtási eljárások
d.) A szövetkezeti ingatlantulajdonosok és az üdülőszövetkezeti szerződések megkötése
e.) Tagfelvételi kérelmek benyújtása és elbírálása, valamint a tagnyilvántartás vezetése
f.) Az üdülőszövetkezetben bekövetkezett szervezeti változások nyilvántartása
g.) A vállalkozásnak nem minősülő munkavégzésre kötött megállapodások kezelése
h.) A korszerűsítési, felújítási, karbantartási munkák végzése során megkötendő szerződéskötések (kivitelezők, vállalkozók)
i.) A foglalkoztatással összefüggő iratok (ideértve az álláskeresési célú pályázó személyes adatait is)
j.) személy és vagyonvédelmi célból készített kamerás megfigyelő rendszer
k.) A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését a Rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni.
A személyes adatok kezelése során az adatkezelő adatfeldolgozást ellátó, e tevékenységgel megbízott munkavállalójának az érintettel szembeni eljárási szabályai:
• A tagi képviselet ellátása során történő adatkezelésnél köteles az üdülőszövetkezet az érintettel megismertetni az adatkezelési és adatvédelmi szabályzatban foglalt általános adatkezelési tájékoztatót, és adattovábbítás esetén az adattovábbítási tájékoztatót, illetve beszerezni az ahhoz kapcsolódó nyilatkozatot.
• Köteles minden szükséges intézkedést megtenni az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülés elleni védelméért.
• Az érintettektől azokat az adatokat kérheti (gyűjtheti), amelyek az adott tevékenység végzéséhez szükségesek és indokoltak. A begyűjtött, kapott adatokat csak az igényelt célra lehet felhasználni.
• Amennyiben a kezelt adatra már nincs és a jogviszony jellegéből adódóan nem is lehet szükség, úgy az adatot törölni kell az üdülőszövetkezet nyilvántartásából, erről az érintettet köteles értesíteni.
Az üdülőszövetkezet adatvédelemi intézményrendszere
Az adatkezelés során az adatvédelmi előírások alkalmazása szempontjából az üdülőszövetkezet, mint adatkezelő szerv vezetőjének az üdülőszövetkezet elnökét kell tekinteni.
Az üdülőszövetkezet elnöke
o felelős az üdülőszövetkezet adatkezelésének jogszerűségéért,
o gondoskodik az adatkezelés személyi és tárgyi feltételeinek biztosításáról,
o az üdülőszövetkezet, mint adatkezelő szerv tekintetében meghozza az adatkezelésre vonatkozó döntéseket.
Az üdülőszövetkezet hivatali és egyes ügyviteli szerveinek vezetői felelősek az irányításuk alá tartozó munkatársak adatkezelésének jogszerűségéért, valamint a Szabályzatban foglaltak betartásáért, illetve betartatásáért.
Az üdülőszövetkezet adatvédelemért felelős ügyviteli szerve az üdülőszövetkezet igazgatósága.
Az adatvédelemért felelős ügyviteli szerv:
o közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
o ellenőrzi az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban: Info. tv.), a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
o kivizsgálja az üdülőszövetkezet részére érkezett, jogosulatlan adatkezeléssel kapcsolatos bejelentéseket;
o jogosulatlan adatkezelés észlelése esetén – az üdülőszövetkezet elnökének értesítése mellett – felszólítja az adatfeldolgozót a jogsértés megszüntetésére;
o megállapítja és folyamatosan karbantartja jelen Szabályzatot;
o közreműködik az adatvédelmi ismeretek oktatásában, továbbképzésében;
o jogi segítséget nyújt a az üdülőszövetkezethez érkező közérdekű adatigénylések megválaszolásában, kontrollálja az adatigénylések az üdülőszövetkezet részéről történő teljesítését;
o figyelemmel kíséri az adatvédelemmel, adatbiztonsággal összefüggő jogszabályokat, tájékoztatást, felvilágosítást ad, illetve adott esetben konzultációt tart a jogszabályok helyes alkalmazása céljából;
o egyedi ügyekben kidolgozott állásfoglalásával segíti az adatvédelmi tevékenységet;
o az adatvédelmi előírások megsértésének észlelése esetén intézkedést tesz annak megszüntetésére, tájékoztatja erről az üdülőszövetkezet felügyelő bizottságát, indokolt esetben kezdeményezi a felelősségre vonási eljárás lefolytatását.
Az adatvédelemért felelős igazgatóság a feladatai ellátása során az adatkezelést végző szervezeti egységtől minden olyan kérdésben felvilágosítást kérhet, az összes olyan iratba, nyilvántartásba betekinthet, illetve iratról másolatot kérhet, adatkezelést megismerhet, amely személyes adatokkal vagy közérdekű (közérdekből nyilvános) adatokkal összefügghet.
Az üdülőszövetkezet köz-, küldöttgyűlése tagjai, küldöttei és tisztségviselői, valamint alkalmazottai kötelesek az üdülőszövetkezet elnökének, mint az adatkezelésért felelősnek a megkeresésére az adatvédelemmel kapcsolatban szükséges intézkedéseket megtenni, és a megtett intézkedésekről az adatvédelemért felelős igazgatóságot tájékoztatni.
Az üdülőszövetkezet adatkezelésével kapcsolatos adatvédelmi kérdés, illetőleg panasz esetén az érintettek (beleértve az alkalmazottakat és külső munkavállalókat is) közvetlenül megkereshetik az adatvédelemért felelős igazgatóságot.
Az adatkezelésért felelős elnök az igazgatóságnak közvetlen alárendeltségében látja el feladatait, adatvédelmi feladatkörében eljárva kizárólag az igazgatóság – hatályos jogi előírások és jelen szabályzat keretein belül - utasíthatja, és kizárólag felé tartozik beszámolási kötelezettséggel.
Az üdülőszövetkezet jogszabályi kötelezettség, illetőleg szerződéses partneri kapcsolat fennállása esetén a szerződéses partner adatkezelési tájékoztatóját és nyilatkozatát köteles beszerezni, illetőleg annak meglétéről gondoskodni.
Az üdülőszövetkezet elsődleges szerződéses (Felhasználói) szolgáltatói partnerei:
Honlap: Könyvelés:
Webfield-Design Kft. Danima Kft.
5700 gyula, Botond u. 12/1 5700 Gyula, Laktanya u. 17.
Adószám. 22689922-2-04 Adószám.13379508-2-04
Cégj.szám: Cégj.szám:
A szerződéses partnerek (Felhasználók) adatkezelési tájékoztatójának és nyilatkozatának tartalmát jelen szabályzat 11. sz. melléklete figyelembevételével kell beszerezni.
12. Jogorvoslati lehetőségek
Az érintett személy az adatkezeléssel kapcsolatban sérelmeivel elsősorban az adatkezelő szerv vezetőjéhez fordulhat a sérelem megszűntetése érdekében. Amennyiben ily módon az ügy nem rendeződik számára elfogadhatóan, úgy az érintett a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) fordulhat. Az előbbiekben megjelölt adatvédelmi hatóság döntése ellen az érintett a bírósághoz nyújthat be kereseti kérelmet.
A Hatóság elérhetőségei: 1125 Budapest, Szilágyi Erzsébet fasor 22c.
telefonszám: +36 1 391-1400, e-mail: ugyfelszolgalat@naih.hu.,
honlap: https://naih.hu/, http://naih.hu/bejelentkezes.html,
Az adatkezelő szerv vezetője köteles a természetes személy kérésére személyes adatai ügyintézéséhez a Hatóság valamennyi elérhetőségét rendelkezésre bocsátani.
13. Záró rendelkezések
Az üdülőszövetkezetnél a tagok, munkavállalók, szerződéses partnerek adatainak kezelésén túl további adatkezelési szolgáltatás nem történik, így a hatósági adatvédelmi nyilvántartás nem szükséges. Ebből adódóan az üdülőszövetkezetnek a lakásszövetkezeti törvény adatkezelési felhatalmazására, valamint a kezelt adatok sajátosságaira tekintettel adatvédelmi biztost alkalmaznia nem kell, továbbá az üdülőszövetkezet NAIH nyilvántartásra sem kötelezett.
Az üdülőszövetkezet sajátos működési, gazdálkodási és tevékenységi jellegére adatvédelmi hatásvizsgálatot és adatmérlegelési tesztet nem végez.
Az adatkezelő jelen szabályzat tartalmi megismertetését, karbantartását, és a szabályzatban foglaltakkal kapcsolatos továbbképzést, üdülőszövetkezeti adatvédelmi módozattal kiegészített biztosítás kötését eseti külön igazgatósági határozat szerint hajtja végre.
A 3. sz. mellékletében foglalt adatvédelmi hirdetmény és általános adatvédelmi tájékoztató 2018.05.25-i kiadásának napján vált hatályossá.
A jelen adatvédelmi és adatbiztonsági szabályzat a szabályzat 3. sz. mellékletében foglalt adatvédelmi hirdetmény és általános adatvédelmi tájékoztató kivételével az üdülőszövetkezet igazgatóságának a Szabályzatot elfogadó határozata meghozatalát követő napon lép érvénybe.
Záradék
A jelen adatvédelmi és adatbiztonsági szabályzatot az üdülőszövetkezet igazgatósága a …/2018.(….) sz. határozatával 2018.08. ….-i nappal fogadta el.
Dr. Tokaji Ferenc
elnök
Mellékletek:
1. sz. melléklet: a személyes adatokkal kapcsolatos fogalmak és értelmezések a Hőforrás Üdülőszövetkezet adatvédelmi szabályzatához
A Szabályzat alkalmazása során:
1. információs önrendelkezési jog: a laptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak azon tartalma, mely szerint mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;
2. adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az érintett információs önrendelkezési jogának érvényesítése érdekében;
3. személyes adat: az érintettel kapcsolatba hozható adat (az érintettre vonatkozó bármely információ) - különösen az érintett neve, azonosító jele, gazdasági, kulturális, vagy szociális azonosságára jellemző ismeret, az adatból levonható, az érintettre vonatkozó következtetés;
4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől. Így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
5. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
6. hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
7. nyilvánosságra hozatal: adat bárki számára történő hozzáférhetővé tétele;
8. adatállomány: az egy nyilvántartásban kezelt adatok összessége;
9. adatkezelő: a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelő t vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
10. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
12. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
13. adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
14. adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
15. adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; 18. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;
16. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
17. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
18. álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
19. anonimizálás: olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítási lehetőségének végleges kizárását;
20. biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például a rckép vagy a daktiloszkópiai adat;
21. cookie (sütik): a felhasználó böngészőjén keresztül annak winchesterére kerülő információs (általában sima szöveg) file, ami egyértelműen azonosítja a felhasználót a következő látogatás alkalmával;
22. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.
23. érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül, vagy közvetve – azonosítható természetes személy;
24. harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő, vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
25. harmadik ország: minden olyan állam, amely nem EGT-állam.
26. az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
27. nyilvánosságra hozatal: az adatot bárki számára történő hozzáférhetővé tétele;
28. IP cím: valamennyi hálózatban, amelyben a kommunikáció a TCP/IP-protokoll szerint folyik, a szervergépek IP-címmel, az azonosítószámmal rendelkeznek, amelyek az adott gépek hálózaton keresztüli azonosítását teszik lehetővé. Tudvalévő, hogy minden hálózatra kapcsolt számítógép rendelkezik IP címmel, amelyen keresztül beazonosítható.
29. különleges adat:
a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
30. Nemzeti Adatvédelmi és Információszabadság Hatóság: NAIH, akinek a jogállását és feladatait az Info tv. 38.§-a határozza meg (a továbbiakban: Hatóság);
31. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
32. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
33. személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés;
34. természetes személyazonosító adatok: az érintett családi- és utóneve, születéskori neve, anyja neve, születési helye és ideje;
35. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja
2. sz. melléklet: az internetes, valamint az egyéb kapcsolattartás adatvédelmi és biztonsági szabályai a Hőforrás Üdülőszövetkezet adatvédelmi szabályzatához
A/
Az üdülőszövetkezeti internetes kapcsolattartás adatvédelmi és biztonsági szabályai
1. Az üdülőszövetkezet a https://www.hoforrashotel.hu/ és a https://futobarathotel.hu/ honlapok használatával, illetve e honlapokon keresztül tájékoztatás, egyéb szolgáltatás igénybevételére vonatkozó jelentkezéssel jogosult kezelni a honlapot látogató természetes személyek (továbbiakban: Felhasználó) egyes személyes adatait (nevét, e-mail címét és az informatikai eszköz IP címét), az érintett önkéntes, előzetes, meghatározott és konkrét adatkezelési hozzájárulásával. A hozzájárulás az üdülőszövetkezet honlapjára történő belépéssel, illetőleg a honlap adott szolgáltatásának regisztrációjával valósul meg.
2. Az üdülőszövetkezet kizárólag a Felhasználó előzetes regisztrációs hozzájárulásával jogosult a honlapon keresztül megadott személyes adatainak szolgáltatás céljából történő felhasználására. Amennyiben a Felhasználó regisztrált az üdülőszövetkezet honlapján és ezzel hozzájárult ahhoz, hogy megadott személyes adatait a honlap szolgáltatásainak (tájékoztatás, honlapon tárolt anyagok letöltése, stb.) céljából az üdülőszövetkezet felhasználja, úgy az ilyen adatkezelés a hozzájárulás visszavonásáig érvényes.
3. A Felhasználó a honlap szolgáltatás igénybevételére vonatkozó igénye, hozzájárulása akkor jogszerű, ha az
• önkéntes;
• a honlap szolgáltatás igénybevételére vonatkozik.
• megfelelő tájékoztatáson alapul; és
• egyértelmű akaratnyilatkozat.
• az üdülőszövetkezet a honlapja egészére, vagy egyes oldalaira regisztrációs kötelezettséget ír elő.
4. Az üdülőszövetkezet a honlap szolgáltatás igénybevételére vonatkozó igény (regisztráció) leadását megelőzően köteles tájékoztatni a Felhasználót az üdülőszövetkezet általános adatvédelmi tájékoztatójáról, és a Felhasználóval kapcsolatos adatkezelés rendjéről. A Felhasználó a tájékoztatás megadását köteles elismerni az elektronikus felületen történő – a jelen fejezet értelmében végzett adatkezeléshez történő hozzájárulás tartalmú – nyilatkozat megtételével. A nyilatkozat megtételét az elektronikus felületen elhelyezett jelölőnégyzetben elhelyezett jelzés megtétele, és a jelzés az üdülőszövetkezet részére történő megküldése igazolja.
5. Az üdülőszövetkezet fenntartja a jogot arra, hogy a honlap szolgáltatást adott Felhasználó vonatkozásában bármikor megszüntesse, amennyiben azt észleli, hogy szolgáltatást a Felhasználó a rendeltetési céljától eltérő célra, így különösen az üdülőszövetkezet üzletszerű gazdasági és egyéb cél szerinti tevékenységével kapcsolatos jó hírnevének sérelmére használja.
6. A Felhasználó által az üdülőszövetkezeti honlap szolgáltatás igénybevételére megtett hozzájárulását bármikor visszavonhatja a honlapon jelzett „Regisztráció törlés” című parancs aktiválásával. A hozzájárulás visszavonása az üdülőszövetkezet általi tudomásulvételtől függetlenül hatályos, és a visszavonást követően az üdülőszövetkezet honlap szolgáltatás nyújtására az adott Felhasználó vonatkozásában nem jogosult.
7. Az üdülőszövetkezet saját, vagy Szolgáltató kezelésében álló honlapja a honlapra történő látogatás tényénél fogva a Felhasználó végberendezésében sütik segítségével adattárolást, illetve adatkezelést hajthat végre a Felhasználó azonosítása, a Felhasználó további látogatásainak megkönnyítése, a Felhasználó részére célzott tájékoztató, reklám és egyéb tartalom eljuttatása céljából. A sütik használatához a Felhasználónak minden esetben hozzájárulását kell adni a honlapon megjelenő „Ez a weboldal sütiket (cookie-kat) használ” tájékoztató szöveg mellett, e hozzájárulás kinyilvánítására megadott „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát” ikon aktiválásával.
8. A Felhasználónak a sütik alkalmazására szóló hozzájárulását nem kötelező megadni ahhoz, hogy a honlapot látogatni tudja, ugyanakkor a hozzájárulás megadásának hiányában előfordulhat, hogy a honlap vagy annak egyes menüpontjai nem működnek majd megfelelően, illetve a Felhasználó egyes adatokhoz való hozzáférését a honlap megtagadhatja. A „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom a sütik használatát” ikon mellett elhelyezett „További információt kérek” ikon aktiválásával a Felhasználót a weboldal a sütik weboldal használatával kapcsolatos tájékoztatót tartalmazó oldalára irányítja.
9. A honlap használata során bizonyos felhasználói adatok automatikusan az üdülőszövetkezet kezelésébe kerülnek. Ezek a következő adatok:
• Felhasználó honlappal való nyílt hálózaton keresztüli csatlakozást biztosító eszközének egyes adatai;
• Felhasználó által használt IP cím.
10. Ezen adatok kezelésének kizárólagos célja, hogy az üdülőszövetkezet holnap-látogatottsági adatokhoz jusson, illetve a honlappal kapcsolatban felmerülő esetleges hibákat, továbbá támadási kísérleteket megfelelően észlelni és naplózni tudja. Az ilyen adatkezelés jogalapja egyrészt a Felhasználó hozzájárulása, másrészt az üdülőszövetkezet jogos érdekének védelme. Az üdülőszövetkezet az adatkezelésre vonatkozó tájékoztatást az Általános adatvédelmi tájékoztató tartalmának honlapon történő közzétételével teljesíti, és a Felhasználó tudomásulvételét és hozzájárulását e körben a honlapra történő látogatásával, mint ráutaló magatartással adja meg az üdülőszövetkezet részére.
11. Felhasználó kizárólagos felelősséggel tartozik azért, hogy az üdülőszövetkezet által üzemeltetett honlap egyes menüpontjainak belépéshez használt felhasználó nevét és jelszavát jogosulatlan harmadik személy számára hozzáférhetővé ne tegye, ilyen személlyel azt ne közölje, ne semmisítse meg, ne veszítse el. Az üdülőszövetkezet nem vállal felelősséget azért, ha a Felhasználó felhasználói nevét és jelszavát vagy a honlapon megadott egyéb adatait a jelen szabályzat, valamint az adatvédelemre vonatkozó mindenkor hatályos jogszabályok rendelkezéseitől eltérően kezeli, jogosulatlan harmadik személy számára hozzáférhetővé teszi, ilyen személlyel azt közli, megsemmisíti, elveszíti, és ebből közvetlenül vagy közvetetten joghátrány kockázata keletkezik számára.
12. A jelen szabályzat szerinti adatkezelés időtartama: a személyes adat az üdülőszövetkezet általi rögzítésétől számított 5 év.
B/
Az üdülőszövetkezeti honlapon ügyfelekkel történő kapcsolattartás
1. Az adatkezelés célja: Az üdülőszövetkezet honlapján lehetőséget biztosíthat arra, hogy tagjai, leendő partnerei (továbbiakban: érintett) közvetlen kapcsolatot teremthessenek az üdülőszövetkezet kapcsolattartásra kijelölt munkavállalóival. A honlapon keresztül, illetve elektronikus levelezéssel történő kapcsolattartáshoz, ezzel összefüggő adatkezeléshez a honlapon feltüntetett adatvédelmi nyilatkozat elfogadása szükséges.
2. A kezelt adatok köre: Név, lakcím, telefonszám, email cím, IP cím.
3. Az adatkezelés jogalapja: Az információszabadságról és az információs önrendelkezési jogról szóló 2011.évi CXII. tv. 5.§-a. Az érintett adatkezelése ügyféladatnak minősül, így nem kerül bejelentésre az adatvédelmi hatóság nyilvántartásába.
4. Az adatkezelés időtartama: A regisztrált tag, partner, vagy érintett hozzájárulásának visszavonásáig.
5. Jogorvoslati lehetőségek: Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével törlését. Az érintett kérelmére a az üdülőszövetkezet, mint adatkezelő tájékoztatást ad
• az általa kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről,
• továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
• Az adatkezelő a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül írásban, közérthető formában adja meg a tájékoztatást. E tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be.
• Egyéb esetekben az adatkezelő szerv vezetője indokolt mértékű költségtérítést állapít meg. Az üdülőszövetkezet a személyes adatot törli, ha kezelése jogellenes, az érintett kéri, az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy az adatvédelmi biztos elrendelte.
Az érintett tiltakozhat személyes adatának kezelése ellen, ha
• a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
• a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény kutatás vagy tudományos kutatás céljára történik;
• a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.
6. Az üdülőszövetkezet – az adatkezelés egyidejű felfüggesztésével – a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás indokolt, az adatkezelő az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, illetőleg annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Amennyiben az érintett az adatkezelőnek a meghozott döntésével nem ért egyet, az ellen –annak közlésétől számított 30 napon belül – bírósághoz fordulhat. Az üdülőszövetkezet az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt megtéríti. Az adatkezelő mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Az adatkezelő továbbá nem téríti meg a kárt annyiban, amennyiben a károsult (érintett) szándékos vagy súlyosan gondatlan magatartásából származott. Jogorvoslati lehetőséggel, panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni.
C/
Hivatali jegyzőkönyvi, tájékoztatási célzattal készített hangfelvételek készítése
1. Az adatkezelés célja: Az üdülőszövetkezet a munkavégzés, az üdülőszövetkezet keretein belül szervezett rendezvényein (köz-, küldöttgyűlés, tagértekezlet, szakmai nap, stb.) és az elhangzottak utólagos leírásának érdekében, az ott történt események rögzítésére elektronikus eszköz igénybevételével hangfelvételt készíthet, melyen az üdülőszövetkezet tisztségviselői, dolgozói, tagjai, nem tag tulajdonosai, meghívottak (továbbiakban érintettek) szerepelhetnek. Az üdülőszövetkezet az érintetteket nem kötelezi a hangfelvételeken történő szereplésre, ez kizárólag az érintett egyéni döntése. Az üdülőszövetkezet kijelenti, hogy a hangfelvételek készítésének célja nem az érintett megfigyelése, továbbá a hangfelvétel nem sérti az érintettek személyhez fűződő, a jó hírnév, a becsület, illetve az emberi méltóság védelméhez fűződő jogait, a hangfelvétel kizárólag az üdülőszövetkezet rendezvényén elhangzottak hű dokumentálását szolgálja. Az üdülőszövetkezet által készített hangfelvételhez a rendezvény kezdetén, a hangfelvétel indítása előtt az érintettek hozzájárulását ki kell kérni. Ez történhet nyilvános kézfeltartásos, önkéntes hozzájárulási jelzéssel, ebben az esetben a hozzájárulók személyes adatát a jelenléti ív tartalmazza, vagy hozzájáruló nyilatkozat útján (ennek mintáját jelen adatvédelmi szabályzat 4. sz. melléklete tartalmazza). A hangfelvételhez történő kifejezett és önkéntes hozzájárulást kellően dokumentálni kell a rendezvényről készült emlékeztetőben, jegyzőkönyvben. Amennyiben nem teljes körű az érintettek hozzájárulása, akkor a hangfelvétel készítésekor az elutasító érintett(ek) megszólalása(i)kor a hangfelvételt szüneteltetni kell, és erre az időtartamra az elhangzottakat más, arra alkalmas formában kell feljegyezni.
2. A kezelt adatok köre: hangfelvétel
3. Az adatkezelés jogalapja: Az információszabadságról és az információs önrendelkezési jogról szóló 2011.évi CXII. tv 5.§ alapján az érintett önkéntes hozzájárulása.
4. Az adatkezelés időtartama: az üdülőszövetkezeti rendezvény, esemény napját követő 60 nap, de legkésőbb az eseményről készült hangrögzítés alapján történt leírás hitelesítésének napja, illetőleg a hangrögzítéssel kapcsolatos igény elévülése. Az érintett kérésére a vele kapcsolatban készített hangfelvételek törlésre kerülnek, az adatkezelés megszüntetésre kerül.
5. Hivatali jegyzőkönyvi, tájékoztatási célzattal készített hangfelvételekre vonatkozó, 1-4. pontokban leírtak értelemszerűen vonatkoznak a hivatali jegyzőkönyvi, tájékoztatási és arhíválási célzattal készített fotó, film, illetve videó felvételek készítésének adatkezelési és adatvédelmi feladataira is.
D/
A munkahelyi internet, számítógép, laptop, tablet, mobiltelefon használat, az üdülőszövetkezeti e-mail címek ellenőrzésével kapcsolatos adatkezelés
1. Az üdülőszövetkezet által a munkavállaló részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet (továbbiakban: informatikai eszköz) a munkavállaló kizárólag munkaköri feladata ellátására használhatja.
2. Ezek magáncélú használatát az üdülőszövetkezet engedélyezheti, korlátozhatja, illetve erre vonatkozó és a munkavállalónak címzett értesítésben meg is tilthatja. Ezen eszközökön a munkavállaló semmilyen személyes adatot, levelezését nem kezelheti, és nem tárolhatja. A munkáltató ezen eszközökön tárolt adatokat ellenőrizheti. Ezen eszközök munkáltató általi ellenőrzésére és jogkövetkezményire egyebekben a Munka Törvénykönyvében és a jelen szabályzat „munkavállalói megállapodás és hozzájárulás személyes adatok továbbításához” című melléklet rendelkezései irányadók.
3. A munkavállaló az üdülőszövetkezet tulajdonában álló informatikai eszközein csak a munkaköri feladatával kapcsolatos internetes honlapokat látogathatja, a személyes célú munkahelyi internethasználatot és honlap látogatást a munkáltató korlátozhatja, illetve erre vonatkozó és a munkavállalónak címzett értesítésben meg is tilthatja.
4. Az üdülőszövetkezet, mint munkáltató a munkavállaló munkaszerződésében meghatározott feltételek mellett engedélyezheti az üdülőszövetkezet előfizetésében álló vezetékes és mobiltelefon(ok) magáncélú használatát, ebben az esetben azt a munkavállaló személyes célra is használhatja, a mobiltelefonon lévő adatokat azonban a munkáltató jogosult ellenőrzi.
5. Az üdülőszövetkezet az üdülőszövetkezet nevét is tartalmazó, alábbi e-mail címeket használja:
tokaji@hoforrashotel.hu, info@hoforrashotel.hu, szallasrendeles@hoforrashotel.hu
6. A felsorolt e-mail címek az üdülőszövetkezet tulajdonát képezik és az e címeken folytatott levelezés munkacélú levelezésnek minősül. A fogadott és küldött e-mailek tartalma az üdülőszövetkezet tulajdonát képezi. Az ilyen címeken folytatott levelezésbe az üdülőszövetkezet jogosult betekinteni. Az üdülőszövetkezet jogosult a fentnevezett címeken folytatott levelezések meghatározott időközönkénti biztonsági mentésére, az elektronikus levelező rendszer folyamatosságának és stabilitásának érdekében. Az üdülőszövetkezet e-mail címeken nem munkavégzési célú (magán vagy bármilyen egyéb) levelezést tilos folytatni, kivéve, ha az adatkezelő szerv vezetője erre eseti, vagy állandó felmentést ad.
7. Amennyiben a munkavállaló az üdülőszövetkezeti e-mail címeken található levelei magán- vagy bármilyen egyéb célú levelezést folytat, ezzel egy időben, a postafiókban magáncélú személyes adatait tárolja, úgy az üdülőszövetkezet az e-mail cím ellenőrzése során ezeket az adatokat is megismerheti. Ezen adatkezelés ellen kifogással nem élhet a munkavállaló, mert a nem munkavégzés céljából történő, de az üdülőszövetkezeti e-mail címen való személyes adatok tárolása az adatkezeléshez történő 2011. évi CXII. törvény 5.§ (1) a) szerinti érintett hozzájárulásnak minősül.
8. Az üdülőszövetkezeti e-mail címek ellenőrzési kitételei érvényesek az internethasználatra is: az internet használata csak az üdülőszövetkezeti célokra engedélyezett. Emiatt az internetezési adatok az üdülőszövetkezeti adatoknak minősülnek – amennyiben egy ellenőrzés során az üdülőszövetkezet ezeket megismeri, ezek elveszítik személyes adat-jellegüket, illetve ezek megismerésére és tárolására a 2011. évi CXII. törvény 5. § (1) a) szerinti érintett hozzájárulás ad jogalapot.
9. Az ellenőrzés menete
- Az üdülőszövetkezet a tulajdonában álló valamennyi informatikai eszközt bármikor, korlátozás nélkül ellenőrizheti, Az ellenőrzés tényről az ellenőrzés céljával összefüggően tájékoztatja az ellenőrzéssel érintett munkavállalót. A technikai ellenőrzést az adatvédelmi szervezet vezetője, a felügyelő bizottság tagjai végezhetik alkalmi vizsgálatok lefolytatásával, de az üdülőszövetkezet bármely munkavállalója által kérelmezhető, amennyiben az üdülőszövetkezet gazdasági érdekeit veszélyeztető folyamat valószínűsíthető.
- adatkezelés célja: az üdülőszövetkezet jogos üzleti érdekeinek megfelelően a munkavállalók Mt. 11. § (1) szerinti ellenőrzése, így különösen a munkavállalónak biztosított számítógép, e-mail cím és internet-hozzáférés ellenőrzése
- kezelt adatok köre: az ellenőrzés során rögzített adatok, így különösen magán e-mail címek, magán telefonszámok, fényképek, saját számítógépes dokumentumok, internetes böngészési előzmények, cookiek, a munkajogviszony ellátása során észlelt jogsértés ténye, a jogsértés leírása
- adatkezelés jogalapja: 2012. évi I. törvény 11. § (1) és esetlegesen 2011. évi CXII. törvény 5. § (1) a)
- adattárolás határideje: az ellenőrzéstől számított 1 év, de legkésőbb az ellenőrzéssel kapcsolatos igény elévülése
- adattárolás módja: elektronikusan
E/
Külső felhasználó honlapjának, (hírlevél) szolgáltatásának alkalmazásával
kapcsolatos szabályok
Az üdülőszövetkezet adott külső és közösségi oldalak (továbbiakban: Felhasználó) szolgáltatásának regisztrációjával, valamint email címe megadásával hozzájárul ahhoz, hogy a Felhasználó a megadott weboldalán, az üdülőszövetkezet email címre szakmai anyagokat, és egyéb, a Felhasználóval kapcsolatos tájékoztatásokat, értesítéseket küldjön elektronikus formában. A Felhasználó honlapjára a feliratkozás önkéntes és bármikor törölhető, vagy hírlevél esetén visszavonható a hírlevélben feltüntetett link, vagy válasz e-mail segítségével.
A regisztráció, vagy feliratkozás során megadott kapcsolattartói adatokat a Felhasználó saját ügyfélkapcsolat menedzsment rendszerében – az Európai Unión belül, Magyarországon található szervereken – tárolja, azokat bizalmasan kezeli, illetéktelen személyeknek nem adja át, elérhetővé nem teszi.
Az üdülőszövetkezet külső felhasználói körhöz, közösségi oldalhoz, hírlevél szolgáltatáshoz történő regisztrációjáról, a kapcsolattartó személy kijelöléséről – az adatvédelmi szervezet vezetőjének előterjesztésében – egyedi igazgatósági határozat útján dönt.
A külső és a közösségi oldalak szolgáltatásai, mint a Felhasználó tevékenységéhez is kapcsolódó aktuális eseményekre, szabályokra, azok változásaira hívja fel a kapcsolattartók által képviselt szervezetek figyelmét. A külső és a közösségi oldalak az üdülőszövetkezet számára is lehetővé tehetnek egyes eseményeken való részvételt, illetve az esemény gyakorlati megvalósítására is iránymutatást nyújthatnak. Az üdülőszövetkezet a Felhasználó elektronikus oldalán tevékenységével kapcsolatos szakmai, illetve marketing célú ajánlatokat, tájékoztatókat ajánl, illetve rendezvényein személyes megjelenést, részvételi lehetőséget kínál, továbbá az üzleti tevékenységével kapcsolatban tagjainak, munkavállalóinak, partnereinek a közvetlen elérhetőségeit is megismerhetővé teszi.
A Felhasználói szolgáltatások nem a kapcsolattartók, mint magánszemélyek részére, hanem az üdülőszövetkezet részére szólnak, továbbá a fenti adatkezelés kapcsán megadott, tárolt és kezelt adatokat a Felhasználó nem, mint a kapcsolattartó magánszemély személyes adatait, hanem az üdülőszövetkezettel történő kapcsolattartásra szolgáló adatokat tárolja és kezeli, így ez esetben természetes személy személyes adatkezelésre nem kerül sor.
A Felhasználó az üdülőszövetkezeti adatokat mindaddig kezelheti, ameddig azok törlését az üdülőszövetkezet nem kéri.
F/
Kamera segítségével gyűjtött adatok kezelése
Az üdülőszövetkezet a tulajdonában álló, illetve használatában lévő ingatlanok és ingóságok védelme érdekében székhelyén és épületeiben biztonsági kamerarendszert (a továbbiakban: biztonsági kamerarendszer) működtet, amely folyamatosan, és kizárólag az üdülőszövetkezet területén megtörtént eseményeket mozgóképi formában figyel meg.
Az adatkezelés jogcímét, a kamerarendszer létesítését az üdülőszövetkezet érintett épületeinek tulajdonosi közössége kétharmadot meghaladó arányú hozzájárulása teremtette meg.
Az üdülőszövetkezet által végzett ilyen adatkezelés kizárólagos célja az üdülőszövetkezet és tagjai, nem tag tulajdonosai jogos érdekeinek védelme (vagyonvédelem), és semmilyen formában nem irányul ettől eltérő célra. Az üdülőszövetkezet e személyekkel kapcsolatban nem használja fel a kamera által rögzített személyek helyadatait, vagy általuk végzett – nem jogellenes – tevékenységeket.
Az üdülőszövetkezet a biztonsági kamerarendszer segítségével történő megfigyelésre, illetve az ezzel kapcsolatos adatkezelésre vonatkozóan az érintettek figyelmét tájékoztatást tartalmazó tábla (a továbbiakban: figyelmeztetés) elhelyezésével hívja fel (”Kamerával megfigyelt terület). Az üdülőszövetkezet a figyelmeztetést olyan jól látható helyeken és olyan méretben helyezi ki, hogy az érintett még a biztonsági kamerarendszer megfigyelési területére történő belépést megelőzően tudomásul vehesse a megfigyelés és esetleges adatkezelés tényét, illetve döntést tudjon hozni arra vonatkozóan, hogy a figyelmeztetés ellenére a biztonsági kamerarendszer megfigyelési területére be kíván-e lépni vagy sem. Amennyiben a figyelmeztetés ellenére az érintett a biztonsági kamerarendszer megfigyelési területére belép, úgy e cselekedete – biztonsági kamerarendszer által rögzíthető esetleges – személyes adatai üdülőszövetkezet általi megismeréséhez, rögzítéséhez és kezeléséhez történő hozzájárulásnak minősül.
Az üdülőszövetkezet igazgatósága a kamera segítségével végrehajtott vagyonvédelmi megfigyelő rendszer telepítését megelőzően határozatában az alábbi telepítési adatokat köteles rögzíteni:
• Az üdülőszövetkezet által alkalmazott kamerarendszer elemeit (helyszín, telepített kamera darabszáma),
• a kamerarendszer státuszát (az egyes kamerák által megfigyelt területet, kamerák elhelyezkedését, irányultságát)
• annak a ténynek a rögzítését is, hogy az egyes kamerák az élőkép közvetítésén túl adatrögzítést is végrehajtanak-e vagy sem.
A kamera segítségével történő megfigyelésről, illetve az ezzel kapcsolatos adatkezelésről az üdülőszövetkezet ügyfeleit, az üdülőszövetkezet által meghirdetett pozícióra jelentkezőket, az üdülőszövetkezet vezető tisztségviselőit, munkavállalóit, az üdülőszövetkezettel foglalkoztatásra irányuló egyéb jogviszonyban álló személyeket a jogviszony létrejöttét megelőzően, vagy – amennyiben a kamerarendszer kihelyezése időben ezt követően történt – a kamerarendszer használatba vételét megelőzően tájékoztatja a részükre adott tájékoztatások részeként.
Minden egyéb olyan személy vonatkozásában, akik:
• nem az üdülőszövetkezet ügyfelei,
• nem az üdülőszövetkezet által meghirdetett pozícióra jelentkeznek, illetve
• nem az üdülőszövetkezet vezető tisztségviselői, munkavállalói, vagy
• az üdülőszövetkezettel foglalkoztatásra irányuló jogviszonyban álló egyéb személyek
az üdülőszövetkezet e személy kérésére tájékoztatást nyújt a kamerarendszer segítségével végzett adatkezelésre vonatkozóan, és biztosítja, hogy az érintett az ezzel összefüggésben őt megillető jogait gyakorolhassa, illetve a jelen szabályzatot az üdülőszövetkezet székhelyén megtekinthesse. Amennyiben az ilyen személy az üdülőszövetkezet a kamerarendszer által végzett megfigyelésre, illetve az ezzel kapcsolatos adatkezelésre felhívó piktogramot és tömör szöveges tájékoztatása ellenére olyan területen tartózkodik, vagy egyébként olyan cselekményt végez, amelyet a kamera rögzít, az üdülőszövetkezet akként tekinti, hogy az adatkeléshez szükséges tájékoztatást ráutaló magatartással megértette.
Az üdülőszövetkezet a kamera segítségével rögzített mozgóképi anyagot annak rögzítésétől számítva a kamera segítségével gyűjtött adatok elrendelését kimondó igazgatósági határozatban meghatározottak szerint, illetőleg az üdülőszövetkezet szervezeti és működési szabályzatában meghatározott ideig tárolhatja.
Az üdülőszövetkezeti kamerás megfigyelő rendszer itt nem szabályozott kérdéseit a 2004. évi CXV. törvény a lakásszövetkezetekről 14/A. §. (1) - (10) bekezdései határozzák meg.
3. sz. melléklet: általános adatvédelmi hirdetmény és tájékoztató a Hőforrás Üdülőszövetkezet adatvédelmi szabályzatához
(üdülőszövetkezet céges levélpapír fejléc)
Kedves Tagunk, Szerződő Partnerünk, Felhasználónk!
A Hőforrás Üdülőszövetkezet (5700 Gyula, Rábai M u 2.) adatkezelése 2018. május 25-től megfelel az Európai Parlament és a Tanács 2016. április 27-ei (EU) 2016/679 rendeletének (Rendelet - GDPR).
Személyes adatai védelme számunkra is fontos, így az Ön személyes adatainak védelme tekintetében betartjuk a vonatkozó jogszabályokat, ennek megfelelően kezelésük során folyamatosan gondoskodunk azok biztonságáról.
A 2018. május 25-e előtt részünkre megadott személyes adatait ennek a rendeletnek megfelelően megalkotott szabályzatunk szerint kezeljük mindaddig, amíg másképp nem rendelkezik.
Kérjük, ismerje meg Adatvédelmi tájékoztatónkat, olvassa el az üdülőszövetkezet www.hoforrashotel.hu honlapján, hogy az általunk végzett adatkezelést és az Önt megillető jogokat a Rendelet - GDPR szabályaival összhangban a jövőben hogyan kezeljük.
Gyula, 2018. május 25.
Tisztelettel:
Dr. Tokaji Ferenc
elnök
(üdülőszövetkezet céges levélpapír fejléc)
Adatvédelmi Tájékoztató
Kedves Tagunk, Szerződő Partnerünk, Felhasználónk!
1. Az Ön személyes adatainak adatkezelője a Hőforrás Üdülőszövetkezet. Levelezési címünk: 5700 Gyula, Rábai M u 2. e-mail: info@hoforrashotel.hu. (az adatkezelő a továbbiakban: Hőforrás Üdülőszövetkezet)
2. Az adatkezelésünk kiterjed: a családnévre, keresztnévre, lakcímre, telefonszámra, e-mail címre, születési adatokra (hely, időpont, anyja neve), továbbá ezen túl meghatározott esetben kiterjedhet: adóazonosító számra, TAJ számra, számítógép IP azonosítóra, kép-, illetve hangfelvételre.
3. Az adatkezelés célja elsődlegesen a kötelező az üdülőszövetkezeti tagnyilvántartás, a munkáltatói joggyakorlás, továbbá tagjaink számára nyújtott Hírlevél szolgáltatáshoz szükséges elérhetőség, valamint a lapszabályunkban tagjaink szándékának megfelelően meghatározott feladataink ellátásához, partneri szerződések teljesítéséhez, LOSZ információs és online sajtótermék hír, reklám tevékenységhez, rendezvényeinkről történő emlékeztetők, jegyzőkönyvek felvételéhez szükséges adatok biztosítása. A személyes adatok kezelésének jogalapja:
Az üdülőszövetkezeti tagnyilvántartás, internetes honlap szolgáltatás esetében az érintett hozzájárulása a Rendelet II. FEJEZET 8. cikk (1) pont szerint, („A tagállamok biztosítják, hogy az adatkezelés csak akkor és kizárólag annyiban legyen jogszerű, ha és amennyiben olyan feladat ellátásához szükséges, amelyet valamely illetékes hatóság az 1. cikk (1) bekezdésében meghatározott célokból végez, és uniós vagy tagállami jog alapján történik.”)
meghatározott feladataink ellátása, partneri szerződések teljesítése esetén az érintett hozzájárulása a Rendelet II. FEJEZET 8. cikk (2) pont szerint, („Az ezen irányelv hatálya alá tartozó adatkezelést szabályozó tagállami jogban rendelkezni kell legalább az adatkezelés célkitűzéseiről, a kezelendő személyes adatokról és az adatkezelés céljairól.”)
az adatok gyűjtése, tárolása, védelme feladat esetén 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, valamint a 2004. évi CXV. törvény a lakásszövetkezetekről, 2012. évi I. törvény a munka törvénykönyvéről,
rendezvényeinkről történő hang felvétele, emlékeztetők, jegyzőkönyvek felvétele esetén az érintettek kifejezett hozzájárulása, csoportos rendezvény meghívója alapján történő részvétel esetén a jelenlévők kifejezett hozzájárulása
az üdülőszövetkezet információs és online sajtótermék hír, reklám tevékenység esetén a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény
4. Személyes adatait az adatkezelő és adatfeldolgozók azon munkatársai ismerhetik meg, akik az adatkezelési feladatokban közreműködnek és feladatvégzésükhöz ez szükséges, adatai kezelésében más személyek – kifejezetten erre irányuló tájékoztatást kivéve - nem működhetnek közre adatfeldolgozóként, azonban az adatkezelő minden esetben az Hőforrás Üdülőszövetkezet marad.
5. Az Ön személyes adatait a fentiekben külön megjelölt és az alkalmazandó jogszabályok által (pl. a polgári, adójogi előírásokról szóló törvény rendelkezései) meghatározott időtartamig, valamint az adatkezelés céljának eléréséhez szükséges időtartamig kezeljük és tároljuk. Ennek megfelelően eltérő jogszabályi rendelkezés hiányában
tagsági adatait tagi jogviszonya fenntartásáig, tagdíjtartozása esetén a tagdíjkövetelés érvényesítéshez szükséges időtartamáig
munkaviszony esetén a hatályos adó és társadalombiztosítási megőrzési időtartamáig
reklám, szolgáltatási szerződés, megrendelés esetén az adójogszabályok által előírt időtartamig
az üdülőszövetkezeti feladataink ellátása céljából addig kezeljük és tároljuk rendelkezésünkre bocsátott adatait, amíg Ön meg nem tiltja kezelését, vagy adatainak törlését nem kéri,
6. Önnek az adatkezelőnél az 1. pontban megadott elérhetőségeken joga van személyes adataihoz hozzáférni (tájékoztatást kérni), kérheti azok helyesbítését, törlését vagy azok kezelésének korlátozását, illetőleg tiltakozhat személyes adatainak kezelése ellen.
7. Személyes adatainak megadása önkéntes, de személyes adatai hiányában nem tudjuk tagsági jogviszonyát az előírások szerint vezetni, az ahhoz kapcsolódó jogai, kötelezettségei teljesítését biztosítani, és nem tudjuk alapszabályi feladatainkról tájékoztatni, illetőleg nem tudjuk a kölcsönös érdekazonosság szerinti szerződéses vállalásaikat, megrendeléseinket teljesíteni. Erre tekintettel a 2018. május 25-e előtt részünkre megadott személyes adatait az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (GDPR) megfelelően megalkotott szabályzatunk szerint kezeljük mindaddig, amíg másképp nem rendelkezik.
8. Személyes adatainak adott célból történő kezeléséhez adott hozzájárulását bármikor visszavonhatja, ez nem érinti a hozzájárulás visszavonása előtti adatkezelés jogszerűségét. Személyes adatai kezelésével kapcsolatban joga van panaszt benyújtani a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (postacím: 1530 Budapest, Pf.: 5. további elérhetőség: www.naih.hu).
Gyula, 2018. május 25.
Dr. Tokaji Ferenc
elnök