Zöldövezet Társulás Környezetvédelmi Egyesület
8097 Nadap, Haladás út 58.
Adatkezelési és adatvédelmi szabályzat
Hatálybalépés dátuma: 2022. január 1.
Készítette:
Domonyik Annamária
alelnök
Ellenőrizte:
Lászlóné Csobay Krisztina
elnök
Jóváhagyta:
Sidóné Koller Andrea
társelnök
Adatkezelési és adatvédelmi szabályzat
Hatálybalépés:
2022. 01. 01.
1. Preambulum
A Zöldövezet Társulás Környezetvédelmi Egyesület (a továbbiakban: Egyesület) Az Adatkezelési és adatvédelmi szabályzat (a továbbiakban: Szabályzat) az Egyesület adatkezelési tevékenységének belső szabályait tartalmazza a hatályos adatvédelmi jogszabályok és előírások rendelkezéseinek, így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény és az Európai Parlament és a Tanács (EU) 2016/679 rendeletének való megfelelés céljából.
2. Kapcsolódások
Jelen Szabályzat kapcsolódik
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi
CXII. törvény (Infotv.);
• a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.)
• az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes
személyeknek a személyes adatok kezelése tekintetében történő védelméről és az
ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül
helyezéséről (általános adatvédelmi rendelet, General Data Protection Regulation
[GDPR]);
• az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges
törvénymódosításokról szóló 2019. évi XXXIV. törvény (GDPR salátatörvény)
rendelkezéseihez.
3. A Szabályzat célja és hatálya
Az Egyesület jelen Szabályzat megalkotásával és elfogadásával biztosítani kívánja az adatkezelési tevékenységgel érintett természetes személyek tájékoztatáshoz való jogának érvényesülését, valamint meghatározza azon alapelveket és eljárásrendet, amelyet adatkezelési tevékenysége során követ. Jelen Szabályzat célja, hogy az érintettek megfelelő tájékoztatást kapjanak az Egyesületnél végzett adatkezelési tevékenységről, az egyesület által kezelt, illetőleg az általa megbízott adatfeldolgozó által feldolgozott adatokról és az adatkezelés, illetve -feldolgozás valamennyi releváns körülményéről, valamint az érintett személyes adatainak továbbítása esetén az adattovábbítás jogalapjáról és címzettjéről. Jelen Szabályzattal az Egyesület biztosítani kívánja a jogszabály alapján kötelező nyilvántartások vezetésének rendjét és meghatározza az irányadó adatbiztonsági szintet, illetve az annak érvényesítésére szolgáló eljárást. Jelen Szabályzat kiterjed az Egyesület működése során folytatott valamennyi olyan folyamatra, amely során természetes személyek személyes adatainak kezelése megvalósul.
Jelen Szabályzat időbeli hatálya 2022. január 1. napjától visszavonásig tart.
4. Az adatkezelő adatai
Az adatkezelő személye a Zöldövezet Társulás Környezetvédelmi Egyesület, melynek adatai:
Nyilvántartási szám: 01-02-0010885
Adószám: 18250767-2-07
Székhely: 8097 Nadap, Haladás út 58.
Weboldal: www.zoldovezet.info
E-mail-cím: elnokseg@zoldovezet.info
Telefonszám: +36203444750
Képviseli: a mindenkori hatályos civil szervezetek
névjegyzékében feltüntetett képviselő(k)
4.1 Tárhelyszolgáltató adatai
Név: Trust-IT Kft.
Székhely: 1203 Budapest, Közműhelytelep u. 28. A. lház. 3. em. 1
Cégjegyzékszám: 01 09 730323
Adószám: 13341802-2-43
E-mail: info@trustit.hu
5. Fogalom meghatározások
Jelen Szabályzat fogalomhasználata megfelel az Európai Parlament és a Tanács (EU)
2016/679 rendeletében meghatározott rendelkezéseknek, melyből kiemelendőek az
alábbiak:
a) adatállomány: egy nyilvántartó rendszerben kezelt adatok összessége;
b) adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől;
c) adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi; továbbá az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
d) adathordozók: minden olyan eszköz, amely adatok tárolására alkalmas;
e) adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. Adatkezelésnek számít a fénykép-, hang vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is;
f) adatkezelő: az Egyesület, melynek adatait jelen Szabályzat 4. fejezete tartalmazza;
g) adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;
h) adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
i) adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, valamint az adatvédelmi jogi szabályok megsértése. A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményez;
j) érintett: bármely meghatározott, személyes adat alapján azonosított vagy –közvetlenül vagy közvetve – azonosítható természetes személy. A jelen Szabályzat hatálya alá tartozó adatkezeléseket illetően érintett elsősorban az Egyesület tagja, munkavállalója és a vele szerződéses vagy egyéb jogviszonyban álló személy, továbbá az a személy, aki az Egyesületbe való jelentkezés céljából tagfelvételi kérelmet nyújt be.
k) az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
l) harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
m)különleges adat: a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
n) profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
o) személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
p) tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
6. Az adatkezelés jogszerűségének biztosítása
6.1. Az Egyesület adatvédelmi szervezete
Az Egyesület adatvédelemmel, adatkezeléssel, adatbiztonsággal és
információbiztonsággal kapcsolatos vezetését az Egyesület irányítását ellátó mindenkori
elnökség látja el, aki a közvetlen irányítása alá tartozó, az Egyesület tevékenységével
összefüggésben adatkezelést végző tagok részére adott utasításokkal és az általa kiadott
szabályzatokkal az Egyesület teljes szervezetét irányítja adatvédelem és adatkezelés
szempontjából. Az Egyesület jelen Szabályzatot valmennyi tagja és önkéntese számára elérhetővé teszi és kötelezi őket annak betartására. Az Egyesület elnöksége gondoskodik arról, hogy adatkezelést végző tagjai az adatkezelésre vonatkozó jogszabályi és hatósági
kötelezettségeket megismerjék és betartsák, a személyes adatokkal kizárólag meghatározott jogosultságok alapján, az Egyesület szervezetében ellátott feladatnak megfelelő célból és módon kerüljenek kapcsolatba és azokat csak a meghatározott módonkezeljék. Az Egyesület tagjai az Egyesület Alapszabálya, belső szabályzatai és döntései szerint férhetnek hozzá személyes adatokhoz és kezelhetik azokat. Az Egyesület az adatkezelésre jogosult tagok személyét és az általuk végezhető adatkezelési műveleteket, valamint a kezelt adatok körét nyilvántartja. A jogosulatlan hozzáférés megakadályozása érdekében az Egyesület mind az elektronikusan, mind a papíralapon tárolt, személyes adatokat tartalmazó dokumentumokat megfelelő védelemmel látja el. Az elektronikusan kezelt adatok védelme érdekében az Egyesület informatikai rendszereit tűzfallal védi és vírusvédelemmel látja el, az általa használt szoftvereket pedig úgy választja meg, hogy azok a mindenkori információbiztonsági követelményeknek megfeleljenek. Informatikai rendszereihez különböző jogosultsági szinteket határoz meg és az információkhoz való hozzáférést jelszóvédelemmel korlátozza, továbbá
gondoskodik az adatállományok helyreállításának lehetőségét biztosító intézkedésekről,
így különösen rendszeres biztonsági mentésekről és a másolatok elkülönített, biztonságos
tárolásáról.
A papíralapon kezelt személyes adatok biztonsága érdekében az Egyesület az ezeket tartalmazó dokumentumokat zárható módon, fizikai védelmet biztosítva tárolja és gondoskodik arról, hogy azokhoz jogosulatlan személy ne férhessen hozzá.
6.2. Az adatkezelésre vonatkozó alapvető szabályok
Az Egyesület személyes adatokat kizárólag jogok gyakorlása és kötelezettségek teljesítése érdekében, a célhoz kötöttség elvének betartásával, a szükséges mértékben és időtartamban kezel. Az adatkezelés ennek megfelelően minden szakaszában az előre meghatározott célból történik. Amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. Az adatkezelés célját az Egyesület az adat felvétele előtt közli az érintettel nyilvánosan elérhető tájékoztató, szabályzat vagy egyedi közlés útján. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. Amennyiben az adatkezelésre az Egyesület adatfeldolgozó(ka)t vesz igénybe, úgy e célból kizárólag olyan személy(eke)t választ, aki(k) megfelelő garanciákat nyújt(anak)az adatkezelésre vonatkozó jogszabályi rendelkezéseknek való megfelelést és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Az Egyesület adatkezelést az alábbi esetek valamelyikének fennállása esetén végez:
a) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú
érdekeinek védelme miatt szükséges;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. Az érintetti hozzájárulás kizárólag akkor felel meg a jogszabályi követelményeknek, ha az önkéntesen, egyértelműen és megfelelő tájékoztatást, azaz az adatkezelésre vonatkozó információk birtokában történik. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonást megelőző adatkezelés jogszerűségét, tehát a visszavonás kizárólag a jövőre vonatkozik. Amennyiben a személyes adat kezelését jogszabály rendeli el, illetőleg az Egyesület jogi kötelezettségének teljesítéséhez szükséges, úgy az adatkezelés kötelező. Kötelező adatkezelés esetén, ha az érintett az adatszolgáltatást elmulasztja, úgy az Egyesület a szolgáltatás nyújtásának megtagadására köteles. Az adatkezelés időtartama az adott adatkezelésre vonatkozó tájékoztatóban kerül megjelölésre. Általános szabályként az Egyesület jelen Szabályzatban rögzíti, hogy az adatkezelés addig történik, ameddig a tárgyi adat kezelésére – az adatkezelés célját figyelembe véve – szükség van. Az adatkezelés hozzájárulás alapján kezelt adatok esetén a hozzájárulás visszavonásáig, bíróság vagy hatóság törlésre vonatkozó döntésének végrehajtásáig, illetőleg azon jogviszonyból eredő jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Egyesület a személyes adatokat kezeli. A Ptk. 6:22 § alapján az általános elévülési idő 5 év. Jogszabály alapján történő adatkezelés a jogszabályban meghatározott időtartamig vagy a feltételek fennállásáig tart.
6.3. Az Egyesület tagjainak adatkezeléssel és adatvédelemmel kapcsolatos kötelességei
a) a rábízott adatkezelési tevékenységet úgy megszervezni és azt oly módon végezni, hogy az Egyesület adat- és titokvédelmi előírásai teljesüljenek;
b) a feladatvégzéssel összefüggésben általa létrehozott vagy birtokába került adatokat megvédeni a jogosulatlan hozzáféréstől, az elvesztéstől és a fizikai károsodástól;
c) egyéni hozzáférési adatait, jelszavait megőrizni (a jelszavak mással nem közölhetők és nem közzétehetők);
d) az informatikai rendszerekből használat után kilépni, az elektronikus eszközökhöz való hozzáférést távozás vagy a munkamenet megszakítása esetén zárolni, papíralapú adatkezelés esetén az adathordozókat elzárni és elzárva tartani;
e) az elektronikusan tárolt adatok elvesztésének megakadályozása érdekében a kizárólag általa használt adattárolási helyeken lévő adatokról rendszeres időközönként biztonsági mentést végezni vagy végeztetni a megfelelő feladatot ellátó, megfelelő jogosultsággal rendelkező másik taggal;
f) az Egyesület által szervezett adatvédelmi oktatásokon részt venni;
g) adatvédelmi incidens észlelése esetén az Egyesület jelen Szabályzata szerint
eljárni.
7. Az érintettek jogai és jogaik érvényesítése
7.1. Az érintettek jogai
7.1.1. Tájékoztatáshoz való jog és a személyes adatokhoz való hozzáférés
Az érintett jogosult tájékoztatást kérni kezelt személyes adatainak köréről és az adatkezelés körülményeiről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelés időtartamáról és az esetleges adatvédelmi incidensekről, továbbá az adatkezelés megsértése esetén a jogorvoslati lehetőségekről. A tájékoztatáshoz való jog akkor is megilleti az érintettet, ha az Egyesület a személyes adatait más személytől szerezte meg, mely esetben az Egyesület arra vonatkozóan is részletes tájékoztatást nyújt, hogy az adatok felvétele kitől, mikor és milyen módon történt. Az érintett jogosult arra, hogy az Egyesülettől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, az Egyesület az adatkezelés tárgyát képező személyes adatokhoz részére hozzáférést biztosít. Az érintett kérelmére a kezelt adatokat részére az Egyesület másolatban átadja.
7.1.2. A helyesbítéshez való jog
Az érintettek jogosultak a hibásan rögzített személyes adataik helyesbítését, szükség és lehetőség szerint kiegészítését kérelmezni, amelyet az Egyesület indokolatlan késedelem nélkül köteles teljesíteni.
7.1.3. A törléshez való jog („az elfeledtetéshez való jog”) és a tiltakozáshoz való jog
Az érintett hozzájárulásán alapuló adatkezelés esetén az érintettek jogosultak az adatok törlését kérelmezni, mely kérelem jogossága szerint a törölni kért adatok minden adatbázisból törlendők. Amennyiben az adatkezelés az Egyesület jogos érdekén alapul, úgy az érintett az adatkezelés ellen tiltakozni jogosult, amely esetben a személyes adat kizárólag akkor kezelhető tovább, ha az Egyesület adatkezeléshez fűződő joga elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságaival szemben, vagy ha a kezelt személyes adat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik. Az elsőbbséget élvező érdek megállapításáig a tárgyi személyes adathoz való hozzáférést az Egyesület – a lentebbieknek megfelelően – korlátozza. Amennyiben egyes személyi adatok kezelésére a továbbiakban már nincsen szükség abból a célból, amelyből azt addig kezelték, illetőleg az adatkezelés jogellenes, úgy az érintett szintén kérelmezheti a törlést. Amennyiben a személyes adatok kezelésére tudományos és történelmi kutatási vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség. Az Egyesület statisztikai célú adatszolgáltatásra kötelezett a hivatalos statisztikáról szóló 2016. évi CLV. törvény 24. és 26. §-a alapján, mely esetben a továbbított adatok az Egyesülettel ügyfélkapcsolatban álló személyek azonosítására nem alkalmasak.
7.1.4. Az adatkezelés korlátozásához való jog
Az érintettek jogosultak arra, hogy kérelmükre az Egyesület korlátozza a rájuk vonatkozó adatkezelést az alábbi esetekben:
a) ha a személyes adatok pontosságát az érintett vitatja;
b) ha az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett
azok felhasználásának korlátozását kéri;
c) ha az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából,
de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy
védelméhez.
A korlátozás alá eső személyes adatokat a tárolás kivételével csak az érintett
hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Európai
Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Amennyiben valamely személyes adat helyesbítése vagy törlése történik, illetőleg
az adatkezelést korlátozni kell, úgy az Egyesület e tényről minden olyan címzettet
tájékoztat, akivel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy
aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Egyesület tájékoztatja e
címzettekről.
7.2. Az érintett tájékoztatása az adatvédelmi incidensről
Amennyiben az Egyesületnél adatvédelmi incidens következik be, és az valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve, az Egyesület indokolatlan késedelem nélkül tájékoztatja az érintettet valamennyi releváns körülményről.Az Egyesület adatvédelmi incidensek bekövetkezésének esetére vonatkozó részletes eljárásrendjét jelen Szabályzat 10. fejezete tartalmazza.
7.3. A jogérvényesítés módja
Az érintett adatkezeléssel kapcsolatos kérelmeit és bejelentéseit az Egyesület fent megjelölt elérhetőségein tudja megtenni. Az Egyesület az adatkezeléssel kapcsolatos valamennyi kérelmet és bejelentést megvizsgál, és a beérkezést követő 30 napon belül döntést hoz, amelyet írásban – ideértve az elektronikus levelet is – közöl az érintettel. Az Egyesület írásbeli válaszában a jogorvoslati lehetőségeket is feltünteti. Az Egyesület rögzíti, hogy a kérelem, illetőleg bejelentés tartalmától függően –éppen az adatvédelmi előírásokból adódóan – abban az esetben fogadható el, ha a kérelmező magát azonosítja. A szükséges azonosítás elmaradása esetén az Egyesület a kérelmezőt hiánypótlásra szólíthatja fel, amely időtartam a fenti határidőbe – ha az azonosítás ténylegesen szükséges – nem számítandó bele. A beérkező kérelmekről –adatvédelmi jogi kötelezettségének teljesítése érdekében – az Egyesület nyilvántartást vezet, amely a kérelmező megjelölését, a kérelmezés időpontját és a kérelmet tartalmazza. Amennyiben az érintett az Egyesület fentiek szerinti döntésével nem ért egyet, vagy az Egyesület a rá vonatkozó határidőt megfelelő indokolás nélkül elmulasztja, illetőleg a megkeresésre nem reagál, az érintett 30 napon belül jogosult bírósághoz fordulni. Az adatkezelésre vonatkozó pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Egyesület köteles bizonyítani. A perben a jogellenes adatkezeléssel okozott kár megtérítése mellett a személyiségi jogok – így különösen az adatvédelmi önrendelkezési jog – megsértéséből eredő sérelemdíj-igény is érvényesíthető. Amennyiben az Egyesületegyes adatkezelési műveletek elvégzése érdekében adatfeldolgozót vett igénybe, úgy az érintettel szemben – az esettől függően az adatfeldolgozó mellett – az Egyesület is felel az adatfeldolgozó által okozott kárért és sérelemért. Az Egyesület kizárólag abban az esetben mentesül az okozott kárért és sérelemért való felelősség alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt és nem követelhető sérelemdíj továbbá akkor, ha a kár vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott, így különösen hamis adatszolgáltatás esetén.Információs önrendelkezési jogának megsértése esetén az érintett jogosult bejelentést tenni a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (1125 Budapest, Szilágyi Erzsébet fasor 22/C). Az Egyesület rögzíti, hogy az érintetti jogokat jogszabály bizonyos körben, azérintettek alapvető jogaira figyelemmel korlátozhatja, mely esetben az Egyesület a kötelező jogszabályi előírásokat köteles betartani. Az Egyesület ezen esetekben a beérkező érintetti kérelmekre és bejelentésekre válaszul a jogszabályi korlátozást megjelöli.
8. Az Egyesülettel tagsági kapcsolatban álló személyek adatainak kezelése
Az Egyesület az egyesületi minőségéből adódóan tagjait a Ptk. 3:63. § (1) bekezdése szerint nyilvántartja. A tagok adatainak nyilvántartása az Egyesületre vonatkozó jogi kötelezettségen alapul, illetőleg a tagokkal való kapcsolattartás, ezáltal az Egyesület működése érdekében arra szükség van, azt az Egyesület jogos érdeke is indokolja.
Az Egyesület a tagok alábbi adatait kezeli:
a) név;
b) születési hely, idő;
c) édesanya leánykori neve;
d) adóazonosító jele
e) lakcíme
f) tb száma
g) telefonszáma
h) e-mail címe
i) az Egyesületben aktuálisan és korábban betöltött pozíció(k);
Az Egyesület tagjainak képmása az Egyesület tevékenységének bemutatása céljából az Egyesület weboldalán megjelenhet, mely esetben az adatkezelés jogalapja az Egyesület jogos érdeke. Az Egyesület rögzíti, hogy az adatok harmadik személy részére kizárólag az Egyesületre kötelező előírás teljesítése, illetőleg az érintett hozzájárulása esetén kerülnek továbbításra.
9. Tagnak nem minősülő személyek adatainak kezelése
9.1. Felvételre jelentkező tagok adatainak kezelése
Az Egyesület tagjává válhat valamennyi olyan személy, aki rendelkezik két rendes tag ajánlásával, aki nyilatkozik a belépési szándékáról, elfogadja az Egyesület Alapszabályban rögzített céljait és vállalja az Egyesület tagjait terhelő kötelezettségek teljesítését. Az Egyesület a hozzá beérkező tagfelvételi kérelmeket nyilvántartja, azokat a tagfelvételi döntés meghozataláig, illetőleg a taggá felvett személyek fentebb megjelölt személyes adatait a továbbiakban mint tagra vonatkozó adatokat kezeli. A tagfelvételi jelentkezés önkéntes hozzájáruláson alapul. A kezelhető személyes adatok köre kiterjed az érintett által a jelentkezés során megadott valamennyi személyes adatra. A személyes adatok továbbításra nem kerülnek, azokat kizárólag a tagfelvételi kérelem elbírálására jogosultak ismerhetik meg. Az adatkezelés időtartama a tagfelvételi kérelem elbírálása, a tagfelvételi kérelem visszavonása esetén az erről szóló értesítés beérkezése, ezt követően a fel nem vett jelentkezőket az Egyesület az elutasítás tényéről értesíti és személyes adataikat törli. A felvett jelentkező személyes adatainak kezelésére a tagsági viszony létesítését követően a tagokra vonatkozó szabályok vonatkoznak, melyeket jelen Szabályzat 8. fejezete tartalmaz.
9.2 Önkéntesek adatainak kezelése
Az Egyesület önkéntesévé válhat minden olyan személy, aki nyilatkozik önkéntesség válási szándékáról, aki egyetért és elfogadja az Egyesület alapszabályban rögzített céljait és tevékenységeit aki az önkéntes szerződésben meghatározott kötelezettségeket vállalja és ez által az egyesülettel önkéntes jogviszonyba kerül.
Az Egyesület az egyesületi minőségéből adódóan önkénteseit a 2005 évi LXXXVIII tv. szerint nyilvántartja. Az önkéntesek adatainak nyilvántartása az Egyesületre vonatkozó jogi kötelezettségen alapul, illetőleg az önkéntesekkel való kapcsolattartás, ezáltal az Egyesület működése érdekében arra szükség van, azt az Egyesület jogos érdeke is indokolja.
Az Egyesület az önkéntesek alábbi adatait kezeli:
a) név;
b) születési hely, idő;
c) édesanya leánykori neve;
d) adóazonosító jele
e) lakcíme
f) tb száma
g) telefonszáma
h) e-mail címe
Az Egyesület önkénteseinek képmása az Egyesület tevékenységének bemutatása céljából az Egyesület weboldalán megjelenhet, mely esetben az adatkezelés jogalapja az Egyesület jogos érdeke. Az Egyesület rögzíti, hogy az adatok harmadik személy részére kizárólag az Egyesületre kötelező előírás teljesítése, illetőleg az érintett hozzájárulása esetén kerülnek továbbításra.
9.3. A weboldalon történő kapcsolatfelvétel
Az Egyesület lehetőséget biztosít arra, hogy a tevékenysége iránt érdeklődők
weboldalán keresztül üzenetet írjanak részére, melyhez kötelezően megadandó
személyes adat a kapcsolatfelvevő neve és e-mail-címe. A személyes adatok megadása
önkéntes alapon történik, a megadott személyes adatokat az Egyesület önkéntes
hozzájárulás alapján kezeli. Az önkéntes hozzájárulás az érintett személyes adatainak a
weboldal elektronikus felületére való bevitellel megadottnak tekintendő.
A megadott személyes adatok továbbításra vagy harmadik személlyel való
közlésre nem kerülnek. A megadott személyes adatokat az Egyesület kizárólag addig
kezeli, ameddig az Egyesület az érintettel kapcsolatban áll, ezt követően azokat törli.
9.4. Az Egyesület rendezvényeihez kapcsolódó adatkezelés
Az Egyesület tagjainak és vele tagsági viszonyban nem álló személyeknek különböző célú és formájú rendezvényeket szervez, melyeken a résztvevők önkéntesen vesznek részt. Az Egyesület tevékenységének népszerűsítése, illetőleg az arról való beszámoló érdekében rendezvényein kép-, hang- és videófelvételt készíthet, melyeket weboldalán és közösségi média felületein közzé tehet, illetőleg a szervezésben közreműködő harmadik személyek részére továbbíthat. A felvételek készítése az Egyesület alapvető érdeke, hiszen az Egyesület csak ezek révén tudja szélesebb körben bemutatni tevékenységét, továbbá bizonyos pályázati források elnyeréséhez és folyósításához kötelező a rendezvények, illetve események ilyen formában történő dokumentálása. A résztvevők a rendezvényen, illetve eseményen való megjelenéssel hozzájárulásukat adják kép-, hang- és videófelvételek készítéséhez. Az Egyesület ugyanakkor kijelenti, hogy amennyiben egyes felvételek az érintettek érdekeit kirívóan sértik, úgy egyedi, indokolással ellátott – és a jogosultság tekintetében igazolt – panasz vagy kifogás esetén a kifogásolt felvételeket törli.
9.4. Hírlevél-szolgáltatás
Az Egyesület tagságának gyarapítása és a potenciális tagok informálása céljából hírlevél-szolgáltatást biztosít az e szolgáltatásra feliratkozó személyek részére. A hírlevélszolgáltatásra való feliratkozás önkéntes alapon történik, az ehhez kapcsolódó adatkezelés jogalapja az érintett önkéntes hozzájárulása, amely egyoldalú nyilatkozattal, indokolás nélkül bármikor visszavonható. A hozzájárulás visszavonása semmilyen hátrányos jogkövetkezményt nem jelent az érintett számára. Az adatkezelés az érintett nevére és e-mail-címére terjed ki, és mindaddig folyamatban van, ameddig az érintett hozzájárulását vissza nem vonja, vagy az Egyesület a hírlevél-szolgáltatást be nem szünteti. A hozzájárulás visszavonása az Egyesület részére küldött írásbeli nyilatkozattal vagy a hírlevélben található, a leiratkozásra irányuló linkre történő kattintással történik.
9.5. Az Egyesület szerződéseihez kapcsolódó adatkezelés
Az Egyesület tevékenységének ellátása során szerződéseket kötött külső partnerekkel rendezvényekhez kapcsolódóan. Az Egyesület jogi kötelezettség teljesítése jogcímén, adó és számviteli kötelezettségeinek teljesítése céljából kezeli a vele üzleti kapcsolatba lépő természetes személyeknek az általános forgalmi adóról szóló 2007. évi CXXVII. törvényben (a továbbiakban: Áfa tv.) és a számvitelről szóló 2000. évi C. törvényben (a továbbiakban: Számv. tv.) meghatározott adatait. A kezelt adatok köre az Áfa tv. 169. §-ban meghatározott, a számla kiállításához szükséges adatok, illetőleg a Számv. tv. 167. §-ban meghatározott adatok. Az adatok tárolására az Egyesület a jogalapot szolgáltató jogviszony megszűnését követő 8 évig köteles. A személyes adatokat tartalmazó bizonylatokat, számlákat az Egyesület könyvelését ellátó személy(ek) ismerheti(k) meg. Az Egyesület rögzíti, hogy az üzleti titok körébe tartozó adatok védelme érdekében eljár, így különösen a jogi személy ügyfelek adatainak kezelése is az Egyesület fentiekben részletezett biztonságú eszközein és rendszereiben, az általánosan meghatározott biztonsági szinten történik, ugyanakkor az Infotv.-ben és a GDPR-ban meghatározott szintű védelem a jogi személyekre nem terjed ki.
9.6. Kapcsolattartókra irányuló adatkezelés
Amennyiben a jogi személy ügyféllel vagy az Egyesülettel jogviszonyban álló más jogi személlyel való kapcsolattartás érdekében szükséges, úgy az Egyesület e partnerének megjelölt képviselőjét kapcsolattartóként rögzíti és egyedileg meghatározott, a partnercég által megadott személyes adatait (név, pozíció, e-mail-cím, telefonszám) a felek jogviszonyának keretei között kezeli. Az Egyesület az adatkezelést – lehetőség szerint – a vonatkozó írásbeli szerződésben rögzíti, egyúttal megköveteli azt, hogy a partnercég az érintettet az adatkezelésről tájékoztassa, az esetleg szükséges hozzájárulását biztosítsa. Az Egyesület adatkezelésének jogalapja az Egyesület és a partnercég jogi érdeke. Az adatkezelés a partnercéggel való jogviszony megszűnéséig, más kapcsolattartó személy kijelöléséig, illetőleg addig tart, amíg az érintett a képviseleti jogának megszűnését az Egyesület részére bejelenti.
10. Adatvédelmi incidensek kezelése
Adatvédelmi incidensnek minősül az adatbiztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatvédelmi incidens így különösen az Egyesület működése során használt, személyes adatokat tároló számítógép vagy más digitális eszköz elvesztése, a személyes adatokat tartalmazó adathordozók nem biztonságos tárolása, megsemmisítése, továbbítása, valamint az Egyesület által használt informatikai rendszerek és weboldal elleni támadások, esetleges feltörése. Az Egyesület technikai és szervezési intézkedések révén minden erőfeszítést megtesz az adatvédelmi incidensek megelőzése érdekében. Adatvédelmi incidens bekövetkezése esetén törekszik annak mielőbbi kezelésére és megoldására, továbbá nyilvántartásba veszi azt a jelen Szabályzat 1. számú melléklete szerinti – elektronikusan is kitölthető – formanyomtatványon.
10.1. Megelőző intézkedések
Az Egyesület adatvédelmi rendszert épített ki, melyben az adatkezelésre vonatkozó valamennyi releváns körülmény szabályozásra került. Az Egyesület az adatvédelmi szabályzatok betartását lényeges munkaköri kötelességnek minősíti, és gondoskodik arról, hogy tagjai az adatkezelésre vonatkozó kötelezettségeket megismerjék és betartsák. Az Egyesület tagjai a személyes adatokkal kizárólag meghatározott jogosultságok alapján, munkakörüknek megfelelő célból és módon kerülhetnek kapcsolatba és azokat csak meghatározott módon kezelhetik. Az adatkezelést végző tagok és az adatfeldolgozók az adatkezeléssel kapcsolatosan titoktartási nyilatkozatot tesznek. Az Egyesület a személyes adatok védelméről mind elektronikus, mind papíralapú nyilvántartásaiban gondoskodik, a 6.1. pontban leírt módon.
10.2. Kockázatértékelés adatvédelmi incidens bekövetkezése esetén Adatvédelmi incidens bekövetkezése esetén azt az Egyesület az alábbi körülmények szerint vizsgálja:
a) az érintett adatok köre, azok osztályozása (személyes adat vagy annak valamely különleges kategóriája), az érintettek száma és kategóriája, valamint az érintett azonosíthatósága az adatvédelmi incidenssel érintett adatokból;
b) az adatkezelés körülményei;
c) további sérelem elhárításához vagy a bekövetkezett sérelem csökkentéséhez azonnali intézkedés szükséges-e, az adatvédelmi incidens kezelése a normális ügyvitelen túli munkavégzést szükségessé tesz-e, a normális ügyvitelben fennakadást eredményez-e;
d) a sérelem tartós hátrányos eredményt okozott-e az érintettnek;
e) büntetőjogi vagy szabálysértési eljárási jogkövetkezményei lehetnek-e;
f) a sérülés körülményeinek vizsgálata, a biztonság csökkenésének mértéke, az adatvédelmi incidens bekövetkezése kapcsán fennálló szándékosság vizsgálata.
10.3. Eljárás adatvédelmi incidens bekövetkezése esetén Amennyiben az Egyesület bármely tagja adatvédelmi incidens bekövetkezését észleli, úgy köteles azt késedelem nélkül bejelenteni az Egyesület elnökének, valamint annak körülményeit feljegyezni, így különösen
a) az észlelés napját és időpontját, valamint, ha megállapítható, az adatvédelmi incidens bekövetkezésének napját és időpontját;
b) azoknak a személyes adatoknak a körét, amelyet az adatvédelmi incidens érint;
c) a bekövetkezés okát és terjedelmét. Adatvédelmi incidenst bármely személy bejelenthet az Egyesület jelen Szabályzat 4. fejezetében megadott elérhetőségein. Az adatvédelmi incidens orvoslása érdekében az Egyesület késedelem nélkül megteszi a szükséges intézkedéseket és azokat részletesen dokumentálja. Ilyen intézkedés különösen a tagok egyes jogosultságainak megszüntetése, jelszavak módosítása és az informatikai rendszerek átmeneti zárolása. Az Egyesület ezen intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat, amennyiben jogszabály ilyeneket előír. Az adatvédelmi incidens fentiek szerint történő értékelését a tudomásszerzést követő 24 órában el kell végezni. Az Egyesület indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azt követően, hogy az adatvédelmi incidens a tudomására jutott – bejelentést tesz a Nemzeti Adatvédelmi és Információszabadság Hatóságnak a jelen Szabályzat 2. számú mellékletét képező – elektronikusan is kitölthető –formanyomtatványon, kivéve, ha az adatvédelmi incidens a fentiek szerint valószínűsíthetően kockázattal jár. Jelentős kockázat esetén az Egyesület tájékoztatja az érintettet az adatvédelmi incidensről, közli annak jellegét és a valószínűsíthető következményeket, valamint az orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Az érintettet nyilvánosan közzétett információk útján kell tájékoztatni, ha a következő feltételek bármelyiké teljesül:
a) az Egyesület megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az Egyesület az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
11. Záró rendelkezések
Jelen Szabályzatot az Egyesület többi szabályzatának előírásaival összhangban kell értelmezni, viszont amennyiben a személyes adatok védelmével kapcsolatosanellentmondás áll fenn jelen Szabályzat és bármely más utasítás vagy korábban elfogadott szabályzat előírásai között, abban az esetben jelen Szabályzat rendelkezései az irányadóak. A jelen Szabályzatban nem szabályozott kérdések, körülmények tekintetében a mindenkori hatályos vonatkozó jogszabályok rendelkezései az irányadóak. Jelen Szabályzat végrehajtása során az egyes szervezeti egységek és személyek feladatait és felelősségét jelen Szabályzat, továbbá az Egyesület szervezetére, működésére és tevékenységére vonatkozó szabályozások határozzák meg. A jelen Szabályzat végrehajtásával kapcsolatos feladatok koordinációját az Egyesület jogi kérdésekkel, adminisztrációval és működéstámogatással foglalkozó tagjai látják el. Jelen Szabályzat elfogadására és módosítására az Egyesület mindenkori vezető tisztségviselői jogosultak. Jelen Szabályzatot az Egyesület weboldalán és székhelyén közzéteszi, valamint tagjaival megismerteti.
Jelen Szabályzat 2022. január. 1. napján lép hatályba.
Budapest, 2022. január 1.
........................................................
Sidóné Koller Andrea
társelnök
1. számú melléklet
Adatvédelmi incidensek nyilvántartására szolgáló formanyomtatvány Az adatkezelő adatai: Név: Zöldövezet Társulás Környezetvédelmi Egyesület Székhely: 8097 Nadap, Haladás út 58. Nyilvántartási szám: 01-02-0010885
1. Az adatkezelés célja: jogi kötelezettség teljesítése
2. Az adatkezelés jogalapja: az EU 2016/679 rendeletének 33. cikk (5) bekezdése
3. Adatvédelmi incidens azonosítására szolgáló jelzés (pl. dátumból képzett
azonosítószám): ......................................................................................................................................
4. Adatvédelmi incidenssel érintett személyes adatok köre: .............................................
..........................................................................................................................................................................
..........................................................................................................................................................................
5. Az adatvédelmi incidenssel érintett érintettek köre: ........................................................
..........................................................................................................................................................................
..........................................................................................................................................................................
6. Az adatvédelmi incidenssel érintett érintettek száma: .....................................................
7. Az adatvédelmi incidens időpontja: ............................................................................................
8. Az adatvédelmi incidens körülményei: .....................................................................................
..........................................................................................................................................................................
..........................................................................................................................................................................
9. Az adatvédelmi incidens jellegének ismertetése: ................................................................
..........................................................................................................................................................................
..........................................................................................................................................................................
10. Az adatvédelmi incidens hatásai: ..................................................................................................
..........................................................................................................................................................................
..........................................................................................................................................................................
..........................................................................................................................................................................
11. Az adatvédelmi incidens elhárítására megtett intézkedések: ......................................
..........................................................................................................................................................................
12. Az adatkezelést előíró jogszabályban meghatározott egyéb adatok (ha
vannak): ......................................................................................................................................................
..........................................................................................................................................................................
13. Az adatvédelmi incidensre vonatkozó bejegyzés lezárásának időpontja és az
azt lezáró neve: .......................................................................................................................................
........................................................
a bejegyzést lezáró aláírása
2. számú melléklet
Formanyomtatvány adatvédelmi incidens bejelentéséhez az EU 2016/679 rendelet 33. cikke alapján Címzett: Nemzeti Adatvédelmi és Információszabadság Hatóság Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C Telefon: +36 1 391-140 Fax: +36 1 391-1410 E-mail: ugyfelszolgalat@naih.hu Weboldal:naih.hu
Alulírott …………………………………………., a ………………………………………… képviseletében az
alábbiakban meghatározott adatvédelmi incidenssel kapcsolatban az EU 2016/679
rendeletének 33. cikke alapján az alábbi bejelentést teszem:
1. Az adatkezelő adatai:
Név: Zöldövezet Társulás Egyesület
Székhely: 8097 Nadap, Haladás út 58.
Nyilvántartási szám: 01-02-0010885
E-mail: elnokseg@zoldovezet.info
Telefonszám: +36 20 344 47 50
Képviseli: …………………………..………….……….…………………….. elnök
2. Az adatvédelmi incidens jellegének ismertetése: ....................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
3. Az adatvédelmi incidenssel érintett egység neve és elérhetőségi adatai: ...................
...................................................................................................................................................................................
4. Az adatvédelmi incidens időpontja: ................................................................................................
5. Ha a bejelentés nem történt meg az észlelést követő 72 órán belül, a késedelem
igazolására szolgáló indokok: ..................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
6. Az érintettek kategóriái és hozzávetőleges száma: .................................................................
...................................................................................................................................................................................
7. Az incidenssel érintett adatok kategóriái és hozzávetőleges száma: ............................
...................................................................................................................................................................................
8. Az adatvédelmi incidensből eredő, valószínűsíthető következmények
ismertetése: .......................................................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
9. Az Egyesület által az adatvédelmi incidens orvoslására tett vagy tervezett
intézkedések – beleértve adott esetben az adatvédelmi incidensből eredő esetleges
hátrányos következmények enyhítését célzó intézkedéseket – ismertetése: ...............
...................................................................................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
...................................................................................................................................................................................
Budapest, 20…………………………..
(P. H.)
........................................................
képviselő