Általános Adatvédelmi Tájékoztató / Szabályzat

Tartalomjegyzék

  1. Általános Adatvédelmi Tájékoztató, Szabályzat
    1. ÁLTALÁNOS RENDELKEZÉSEK
      1. A Szabályzat hatálya
      2. A személyes adat fogalmára
      3. Az „adatkezelés” fogalma 
    2. AZ ADATKEZELÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK
      1. Az adatkezelési tevékenység alapvető szabálya
      2. Jogszerűség, tisztességes eljárás és átláthatóság elve
      3. Célhoz kötöttség elve
      4. Adattakarékosság vagy „adatminimalizálás elve
      5. Pontosság elve
      6. Korlátozott tárolhatóság elve
      7. Integritás és bizalmas jelleg
      8. Elszámoltathatóság elve
    3. Az adatkezelési tevékenységek azonosítása és nyilvántartása
    4. Belső nyilvántartások, adatbázisok vezetésének adatvédelmi szabályai
      1. A) Nyilvántartás céljának meghatározása
      2. B) Szükséges adatok körének megállapítása (adattakarékosság)
      3. C) Személyes adat Jogalapjának meghatározása, nyilvántartás
      4. D) Adatok Tárolása, Továbbítása
      5. E) Ki férhet hozzá az adatokhoz és milyen műveleteket végezhet
      6. F) Adatok tárolásának ideje
    5. AZ ÉRINTETT JOGGYAKORLÁSÁNAK ELŐSEGÍTÉSE
      1. Átlátható tájékoztatás
      2. Hozzáférési jog
      3. A helyesbítéshez való jog (pontosság)
      4. A törléshez való jog
      5. Az adatkezelés korlátozásához való jog
      6. Az adathordozhatósághoz való jog
      7. Az adatkezelések jogalapja
      8. A személyes adatoknak az EU-n kívülre történő továbbítása
      9. Adatkezelési incidensek jelentése
      10. Eljárás 16. életévét be nem töltött kiskorú érintett esetén
      11. Eljárás adatfeldolgozó igénybevétele esetén
      12. Eljárás adatfeldolgozóként
      13. Az adatkezelések felülvizsgálata
    6. NYILVÁNTARTÁSOK
      1. Az adatkezelői nyilvántartás:
      2. Adatfeldolgozói nyilvántartás:
      3. Elektronikus napló:
      4. Vonatkozó jogszabályok:


Általános Adatvédelmi Tájékoztató, Szabályzat

ÁLTALÁNOS RENDELKEZÉSEK

A Szabályzat célja

Jelen Szabályzat célja azon belső adatvédelmi szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a természetes személyek személyes adatainak kezelése során az Adatkezelő adatkezelési tevékenysége megfeleljen az EU 2016/679 Rendeletnek (továbbiakban: GDPR).

A Szabályzat hatálya

Jelen szabályzat tárgyi hatálya – összhangban a GDPR tárgyi hatályával - a személyes adatok Adatkezelő általi számítógépes (automatizált) kezelésére, nyilvántartásaira terjed ki.

A személyes adatok Adatkezelő általi manuális kezelésére akkor terjed ki a GDPR, és jelen Szabályzat hatálya, ha a személyes adatokat az adatkezelő nyilvántartási rendszerben tárolja vagy kívánja tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak a GDPR és jelen Szabályzat hatálya alá. (GDPR (15) Preambulumbekezdés)

A személyes adat fogalmára

Jelen Szabályzat alkalmazásában is a GDPR 1. cikk 1. pontja irányadó: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Az „adatkezelés” fogalma 

A következőket jelenti: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; (GDPR 1. cikk 2.)

Jelen Szabályzat személyi hatálya kiterjed az adatkezelő valamennyi foglalkoztatottjára. A foglalkoztatottak a személyes adatok kezelése körében köteles jelen Szabályzat rendelkezéseinek érvényt szerezni.

AZ ADATKEZELÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK

Az adatkezelési tevékenység alapvető szabálya

Az Adatkezelőnek és minden munkavállalójának, foglalkoztatottjának a személyes adatok kezelése során biztosítani kell a GDPR elvei és az érintett jogai érvényesülését.

Jogszerűség, tisztességes eljárás és átláthatóság elve

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. Az átláthatóság azt jelenti, hogy az adatkezelés valamennyi stádiuma alatt (gyűjtés, kezelés, továbbítás, törlés stb.) minden fél számára (adatkezelő, érintett, hatóság stb.) világosnak és egyértelműnek kell lennie minden személyes adatra vonatkozó információnak (ki kezeli, milyen célból, milyen jogalappal, hol tárolja, hogyan védi, ki fér hozzá, mikor törli stb.).

Célhoz kötöttség elve

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem lehet ezekkel a célokkal össze nem egyeztethető módon kezelni.

Adattakarékosság vagy „adatminimalizálás elve

Csak annyi személyes adat kezelhető, amennyire feltétlenül szükség van. A személyes adatokhoz az fér hozzá, akinek a munkája végzéséhez ehhez feltétlenül szüksége van.

Pontosság elve

A személyes adatok pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

Korlátozott tárolhatóság elve

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

Integritás és bizalmas jelleg

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Elszámoltathatóság elve

Ennek értelmében az adatkezelő felelős a fenti elveknek való megfelelésért, és ezt képesnek kell lennie dokumentumokkal alátámasztva igazolni.

Az adatkezelési tevékenységek azonosítása és nyilvántartása

Az Adatkezelőnél végzett minden adatkezelést az adatkezelési céllal kell meghatározni és nyilvántartani.

Minden egyes – céljával meghatározott – adatkezelés csak a megfelelő jogalap fennállása esetén végezhető. A jogalapot mindig igazolni kell. E szabályzatban, a továbbiakban „adatkezelés” alatt egy céljával meghatározott és megfelelő jogalappal rendelkező adatkezelés értendő.

Minden egyes – céljával azonosított - adatkezelést be kell vezetni az adatkezelési tevékenységek nyilvántartásába. Az adatkezelés megkezdése előtt az adatkezelési tevékenységek nyilvántartásában meg kell határozni az adatkezelés célját és jogalapját, a cél által meghatározott adatkört és az adatok tárolásának idejét, és ha lehetséges az adatbiztonsági intézkedéseket, továbbá a GDPR 30. cikkében előírtakat.

Belső nyilvántartások, adatbázisok vezetésének adatvédelmi szabályai

A személyes adatokat tartalmazó minden számítógépen, és papíralapon vezetett nyilvántartással szembeni követelmények a következők:

A) Nyilvántartás céljának meghatározása

  • Minden egyes adatkezelési célnak meghatározottnak, egyértelműnek és jogszerűnek kell lennie. 
  • A személyes adatok nem kezelhető e célokkal össze nem egyeztethető módon. (GDPR. 5. cikk /1/ a./)

B) Szükséges adatok körének megállapítása (adattakarékosság)

  • A nyilvántartásban kezelt, tárolt adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és az adatkezelésnek a szükséges adatokra kell korlátozódnia.
  • Az adatkezelés cél teljesítéséhez nem szükséges, nem releváns adatokat a nyilvántartás nem tartalmazhat, ezeket törölni is kell. (GDPR. 5. cikk /1/ c./)

C) Személyes adat Jogalapjának meghatározása, nyilvántartás

  • Az adatkezelőnek az adatkezeléshez jogalappal kell rendelkeznie, és ezt igazolnia kell. Tehát az adatkezelés jogalapját dokumentálni kell. Tehát az adatkezelő nyilvántartásába csak olyan személyes adat vehető fel, amelynek kezelésére az adatkezelő igazolt jogalappal rendelkezik.
  • Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
  • Az adatkezelésről és a jogairól az érintett személyt írásban tájékoztatni kell. Ha az Adatkezelő a személyes adatokat az érintettől személyesen kéri, ezt a tájékoztatást az adatfelvételkor kell megadni, és az ezt tartalmazó dokumentumot az érintettel aláíratni. Elektronikus adatkezelés esetén a tájékoztatás tudomásul vételét, hozzájárulás megadását naplózni kell.
  • Ha az Adatkezelő a személyes adatokat nem az érintettől szerezte meg, akkor az érintettet utólag kell tájékoztatni az adatkezelésről és a jogairól, a GDPR 14. cikke szerint.
  • Az adatfelvételkor és a nyilvántartás vezetése során biztosítani kell a felvett és kezelt adatok pontosságát. (GDPR. 5. cikk /1/ a./, 13-14. cikk)

D) Adatok Tárolása, Továbbítása


  • A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. A kockázat mértékének megfelelő szintű adatbiztonságot garantáláshoz szükséges intézkedések lehetnek adott esetben:
  • A személyes adatok álnevesítése és titkosítása,
  • Biztonsági mentések készítése,
  • Az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, felmérése és értékelése,
  • Vírusvédelem, kíbertámadások elleni védelem,
  • Munkavégzésre vonatkozó információbiztonsági követelmények előírása és érvényesítése a foglalkoztatottakkal szemben,
  • Az informatikai eszközök, és papíralapú dokumentumok fizikai védelmére alkalmazott vagyonvédelmi intézkedések. (GDPR. 5. cikk /1/ f./)

E) Ki férhet hozzá az adatokhoz és milyen műveleteket végezhet


  • Az adatkezelő a számítógépes nyilvántartásokhoz való hozzáférésre azonosítást és hitelesítést alkalmaz.
  • Az adatkezelő az informatikai rendszerében, alkalmaz jogosultságkezelő rendszert.
  • Az informatikai rendszerbe történő belépéseket és műveleteket naplózni kell. (GDPR. 5. cikk /1/ f./)

F) Adatok tárolásának ideje


  • Az adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (GDPR. 5. cikk /1/ e./) Ennek érdekében a nyilvántartott személyes adatok kezelhetőségét rendszeresen felül kell vizsgálni.
  • A már nem kezelhető adatokat törölni kell.

AZ ÉRINTETT JOGGYAKORLÁSÁNAK ELŐSEGÍTÉSE

Átlátható tájékoztatás

A természetes személyek jogosultak a személyes adataik kezeléséről tömör, átlátható és könnyen hozzáférhető formában, világosan és közérthetően tájékoztatást kapni, így különösen:

  • az adatkezelő kilétéről és elérhetőségéről
  • az adatvédelmi tisztviselő elérhetőségeiről (ahol alkalmazni kell)
  • a személyes adatok tervezett kezelésének céljáról, valamint az adatkezelés jogalapjáról
  • a „jogos érdeken” alapuló adatkezelés estén annak okairól
  • a személyes adatok címzettjeiről
  • az EU-n kívülre történő adattovábbítás esetén a megfelelő garanciákról
  • az adatkezelés tervezett időtartamáról
  • az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról
  • a felügyeleti hatósághoz címzett panasz benyújtásának jogáról
  • arról, hogy a szerződés kötésének előfeltétele-e az adatok megadása, illetve milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása
  • az esetleges automatizált döntéshozatalról (logika, következmények), ideértve a profilalkotást is.
Az adatkezelés során elő kell segíteni az érintett jogainak a gyakorlását. Az érintetti kérelmeket 30 napon belül el kell intézni és meg kell válaszolni. Az érintettel történő levelezést és ügyintézés dokumentációját írásban meg kell őrizni 5 évig.

Hozzáférési jog

Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát ingyenesen köteles az érintett rendelkezésére bocsátani.

A helyesbítéshez való jog (pontosság)

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

A törléshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha

  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték
  • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja
  • az érintett tiltakozik az adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre
  • a személyes adatokat jogellenesen kezelték.

Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha
  • az érintett vitatja a személyes adatok pontosságát
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését
  • az adatkezelőnek már nincs szüksége a személyes adatokra, de az érintett igényli azokat jogi igények érvényesítéséhez.

Az adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, ha az adatkezelés hozzájáruláson vagy szerződésen alapul és az adatkezelés automatizált módon történik. Általános formátumok: CSV, XML

Az adatkezelések jogalapja

Az adatkezeléshez minden esetben szükséges a megfelelő jogalap. Ha megszűnik a jogalap, azonnal meg kell szüntetni az adatkezelést. A személyes adatok kezelése akkor jogszerű, amennyiben legalább az alábbiak egyike teljesül:

  • az érintett hozzájárulását adta személyes adatainak kezeléséhez
  • az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges
  • az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges
  • az adatkezelés közérdekű feladat végrehajtásához szükséges
  • az adatkezelő vagy harmadik fél jogos érdeke érvényesítéséhez szükséges
(GDPR törvény 6.cikk (1) pont.)

A személyes adatoknak az EU-n kívülre történő továbbítása

Személyes adatok EGT-n kívülre történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély, ugyanúgy kell tekinteni, mintha az EU-n belül maradna a személyes adat. A biztonságos országok listája a Bizottság honlapján megtalálható.

A fenti döntés hiányában személyes adat akkor továbbítható az Unión kívülre, ha

  • az Európai Bizottság által elfogadott általános adatvédelmi szerződéses kikötéseket alkalmazzák a felek vagy;
  • olyan kötelező erejű vállalati szabályokat (Binding Corporate Rules, BCR) vezet be egy vállalkozás, amelyet az adatvédelmi hatóság jóváhagyott vagy;
  • jóváhagyott magatartási kódexhez csatlakozott vállalkozásnak kerül továbbításra vagy;
  • jóváhagyott tanúsítási mechanizmussal rendelkező vállalkozásnak továbbítják.
A fenti garanciák hiányában az Unión kívülre akkor lehet személyes adatot továbbítani, ha:

az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő (a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó) esetleges kockázatokról vagy;

  • az adattovábbítás szerződés teljesítéséhez szükséges vagy;
  • az adattovábbítás fontos közérdekből szükséges vagy;
  • az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges vagy;
  • az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására vagy;
  • a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja.

Adatkezelési incidensek jelentése

A munkavállaló köteles jelenteni a munkáltatói jogok gyakorlójának, ha adatvédelmi incidens, vagy arra utaló információ jutott a tudomására.

Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Eljárás 16. életévét be nem töltött kiskorú érintett esetén

A 16. életévét be nem töltött kiskorú érintettre vonatkozó adatkezeléshez – ha az hozzájáruláson alapul - be kell szerezni a törvényes képviselő belegyezését, és valamennyi jogcímű adatkezelés esetén a törvényes képviselő részére kell a tájékoztatásokat megadni.

Eljárás adatfeldolgozó igénybevétele esetén

Ha az Adatkezelő adatfeldolgozásnak minősülő szolgáltatást – pl. könyvelés, IT szolgáltatás, vagyonvédelem, rendezvényszervezés, futárszolgálat stb. – vesz igénybe, akkor a szerződés megkötésekor, jogviszony létrejöttekor a külső szolgáltatótól meg kell követelnie a GDPR-ban előírt garanciák teljesítését:

  • Írásban vállaljon garanciát arra, hogy adatkezelése megfelel a GDPR rendelkezéseinek.
  • Ő maga és munkavállaló az általuk megismert személyes adatok kezelése körében titoktartási nyilatkozatot vállaljanak.
  • Alvállalkozót csak az Adatkezelő engedélyével vehet igénybe, akinek meg kell felelnie az 1-2. pont rendelkezéseinek.
Ha a munkavállaló e feltételek hiányát észleli, köteles erről a munkahelyi vezetőjét tájékoztatni.

Eljárás adatfeldolgozóként

Ha az Adatkezelő saját tevékenységi körében kezel más nevében (megbízása alapján) személyes adatokat – azaz ő maga minősül adatfeldolgozónak, az Adatkezelő biztosítja, hogy ilyen tevékenysége megfeleljen a GDPR adatfeldolgozóra előírt követelményeinek.

Az adatkezelések felülvizsgálata

Az egyes – adatkezelési tevékenységek nyilvántartásában feltüntetett – adatkezeléseket háromévente felül kell vizsgálni. A felülvizsgálat keretében:

  • a) Aktualizálni kell az adatkezelésnek a GDPR-ral való összhangjára korábban tett technikai és szervezési intézkedéseket, figyelemmel az adatkezelés jellege, hatóköre, körülményeire és a kockázatokra.
  • b) Felül kell vizsgálni a személyes adatok tárolásának időtartamát. A korlátozott tárolhatóság elve miatt már nem tárolható adatokat törölni kell.
  • c) A felülvizsgálat elvégzését dokumentálni kell.

NYILVÁNTARTÁSOK

Az adatkezelői nyilvántartás:

Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet.

  • a) az adatkezelő, ideértve minden egyes közös adatkezelőt is, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit,
  • b) az adatkezelés célját vagy céljait,
  • c) személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket - körét,
  • d) az érintettek, valamint a kezelt adatok körét,
  • e) profilalkotás alkalmazása esetén annak tényét,
  • f) nemzetközi adattovábbítás esetén a továbbított adatok körét (Google, Facebook, egyéb),
  • g) az adatkezelési műveletek - ideértve az adattovábbítást is - jogalapjait,
  • h) ha az ismert, a kezelt személyes adatok törlésének időpontját,
  • i) az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását,
  • j) az általa kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket,
  • k) az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait.

Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.

Adatfeldolgozói nyilvántartás:

Az adatfeldolgozó az általa az egyes adatkezelők megbízásából vagy rendelkezése szerint végzett adatkezeléseiről nyilvántartást vezet.

  • a) az adatkezelő, az adatfeldolgozó, a további adatfeldolgozók, valamint az adatfeldolgozó adatvédelmi tisztviselőjének nevét és elérhetőségeit (ha van);
  • b) az adatkezelő megbízásából vagy rendelkezése szerint végzett adatkezelések típusait;
  • c) az adatkezelő kifejezett utasítására történő nemzetközi adattovábbítás esetén a nemzetközi adattovábbítás tényét, valamint a címzett harmadik ország vagy nemzetközi szervezet megjelölését;
  • d) az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását.

Az adatkezelői és az adatfeldolgozói nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt - kérésére - a Hatóság rendelkezésére kell bocsátani.

Elektronikus napló:

A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából:

  • a) az adatkezelési művelettel érintett személyes adatok körének meghatározását,
  • b) az adatkezelési művelet célját és indokát,
  • c) az adatkezelési művelet elvégzésének pontos időpontját,
  • d) az adatkezelési műveletet végrehajtó személy megjelölését,
  • e) a személyes adatok továbbítása esetén az adattovábbítás címzettjét.
A naplózott adatokat 10 évig kell megőrizni.

Vonatkozó jogszabályok:

  • - 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információ-szabadságról (Infotv.);
  • - Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR);
  • - 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);

Frissítve 2025 március