Kinizsi Természetbarát Egyesület
Adatvédelmi és Adatkezelési szabályzata
1. BEVEZETÉS
A szabályzat célja
A Kinizsi Természetbarát Egyesület (a továbbiakban: Egyesület) jelen szabályzat megalkotásával és hatályba léptetésével a személyes adatok törvényi követelményeknek és a Egyesület működésének/tevékenységének megfelelő kezelését biztosító szabályrendszert hoz létre.
Az Egyesület a szabályzat által meghatározott rendszer működtetésével a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.
A szabályzat célja, hogy alkalmazásával az Egyesület megfeleljen az EU 2016/679 számú Általános Adatvédelmi Rendeletének (a továbbiakban: GDPR), és a személyes adatok kezelését érintő magyar jogszabályoknak.
A szabályzat kezelése
Jelen szabályzatot a jogszabályi változásokat, illetve jelentős Egyesületi változásokat követően át kell vizsgálni és aktualizálni kell. A GDPR változása és/vagy a magyarországi vonatkozó jogszabályok változása esetén a szabályzat aktualizálását teljeskörűen és késedelem nélkül el kell végezni.
A szabályzat elkészítését és rendszeres felülvizsgálatát az Egyesület évről évre külön megbízás alapján végezteti el. A Szabályzatot az Egyesület saját honlapján teszi közzé, az Érintettek számára megismerhetővé.
2. A SZABÁLYZAT HATÁLYA
Személyi hatály
Jelen szabályzat az Egyesület irányítása alatt tevékenységet végző természetes személyekre, az Egyesület tagjaira, Elnökségére, illetve önkénteseire, valamint az Egyesület tevékenységében közreműködő vagy szolgáltatásait igénybe vevő természetes személyekre vagy az Egyesület által szervezett túrák, versenyek, túramozgalmak, táborok résztvevőire, mint természetes személyekre vonatkozik.
Tárgyi hatály
Ezt a szabályzatot kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik.
A személyes adatok kezelésére vonatkozó törvényi előírások
GDPR – AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
Info tv. – 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadság korlátairól.
A sportról szóló 2004. évi I. törvény
3. FOGALOMMEGHATÁROZÁSOK ÉS RÖVIDÍTÉSEK
A szabályzat a GDPR-ban meghatározott fogalmakat használja a következők szerint:
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
„biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
„felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
4. AZ EGYESÜLET ADATKEZELÉSI TEVÉKENYSÉGEI
Az Egyesület adatkezelési tevékenysége
Az Egyesület a GDPR meghatározása alapján Adatkezelőnek minősül tagjai, Elnöksége, önkéntesei, valamint az Egyesület által szervezett túrák, versenyek, túramozgalmak, táborok résztvevői adatainak kezelésének tekintetében.
Az Egyesület kizárólag a GDPR 6. cikk (1) bekezdés a) pontja szerinti adatkezelést végez, így az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
Az Egyesület, mint adatkezelő mindent megtesz annak érdekében, hogy maradéktalanul igazolja, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
Az Egyesület biztosítja az érintett azon jogát, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről az Egyesület tájékoztatja. A hozzájárulás visszavonását ugyanolyan egyszerű módon teszi lehetővé az Egyesület, mint annak megadását.
A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelését az Egyesület kizárólag akkor és olyan mértékben végzi, ahogy a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló megadta, illetve engedélyezte.
Az Egyesület, mint adatkezelő az alábbi adatokat kezeli nyilvántartásaiban:
A tagság, vezetőség, önkéntesek vonatkozásában nyilvántartja a következő személyes adatokat:
név, lakcím, születési hely, idő, anyja neve, elérhetőség(ek).
A tagok, Elnökség, önkéntesek vonatkozásában nyilvántartja a következő személyes adatokat: túravezetői végzettség, túrázói minősítés, versenybírói, jelzésfestői, vizsgabiztosi képesítés.
A nem egyesületi tagok vonatkozásában, így a túrák, versenyek, túramozgalmak, táborok résztvevői vonatkozásában nyilvántartja a következő személyes adatokat:
Név, lakcím, születési idő, elérhetőség, esetenként egyesülete.
A „Kinizsi Százas” teljesítménytúra lebonyolításával kapcsolatban sportorvosi engedélyek, egészségi (orvosi) igazolások (mely szerint adott résztvevő általános egyészségügyi állapota alapján alkalmas az adott eseményen történő részvételre, adott esemény szervezői kiírása szerint), amely igazolások másolatát egy évig őrzi (papír alapú, vagy elektronikus, digitalizált formában) az Egyesület elsődlegesen az Érintett kifejezett erre irányuló hozzájárulása alapján, másrészt az Egyesület, mint adatkezelő jogos érdekének érvényesítése okán.
Az Egyesület jogos érdeke ugyanis annak biztosítása, az adott helyzetben általában elvárhatóság általános polgári jogi alapelvének érvényre juttatása érdekében, hogy a teljesítménytúrán indulók előzetesen felméressék általános egészségi állapotukat, ugyanis a teljesítménytúra kifejezetten nagy fizikai igénybevételt jelent, azaz a szervezetet megterheli. Az Egyesület mind az előzetes nevezés folyamán, (amely történhet személyesen, illetve történhet internetes felületen) mind pedig a teljesítménytúra megrendezésének napján a rajtban az Érintett személyes nevezése során, kifejezett írásos hozzájárulását kéri az induló személynek. A hozzájárulás kiterjed az egészségügyi adat kezeléséhez történő hozzájárulásra, továbbá az egyéb az Egyesület által kezelt adat kezeléséhez. Az Egyesület mind az egészségügyi adatok kezelésére, mind az egyéb személyes adatok kezelésére vonatkozóan egyszerű, közérthető Tájékoztatót tesz hozzáférhetővé az Érintettek számára.
A „Kinizsi Százas” teljesítménytúra vonatkozásában elsődlegesen elektronikus nyilvántartást vezet az Egyesület az indulók nevéről, születési idejéről és településéről, ahol lakcímmel rendelkezik.
Az Egyesület a Teljesítői nyilvántartásban: a túramozgalmakra vonatkozóan nyilvántartó füzetben az Érintett nevét és egyesületének megnevezését nyilvántartja.
Az Egyesület által szervezett túrákkal kapcsolatban az Egyesület túrajelentésben rögzíti a résztvevők nevét.
Az Egyesület által szervezett versenyeken az Egyesület rögzíti az indulók nevét, egyesületének megnevezését és a versenyen elért eredményét.
Az Egyesület által szervezett táborokban az Egyesület a táborjelentésben rögzíti a résztvevők nevét.
5. VEZETÉS
Vezetői elkötelezettség
Az Egyesület vezetése elkötelezett abban, hogy megfelelő intézkedéseket tegyen a természetes személyek személyes adatainak védelmében. Ezen elkötelezettség jegyében az Egyesület vezetése az Egyesület stratégiájával összhangban adatvédelmi szabályrendszert alakít ki, vezet be és működtet.
Az Egyesület vezetése biztosítja az adatvédelmi szabályrendszer céljainak megvalósulásához szükséges erőforrásokat, közvetlenül támogatja az adatvédelmi szabályrendszer működését biztosító személyek munkáját és a szabályrendszer folyamatos fejlesztését.
Az Egyesület vezetése ezen felül rendszeresen, de minimálisan évente egy alkalommal ellenőrzi/ellenőrizteti az Egyesületben a személyes adatkezelés folyamatait.
Adatkezelésre feljogosított személyek
Az Egyesület tagjai, Elnöksége, önkéntesei kisebb-nagyobb mértékben kezel az Egyesületbeli feladatai ellátása során személyes adatokat. Az Egyesület gondoskodik arról, hogy minden tagja, az Elnökség és az önkéntesei a személyes adatok kezelésére vonatkozó titoktartási kötelezettséget vállaljon.
6. ADATKEZELÉSI FOLYAMATOK
Az Egyesület az adatkezelés tervezésekor a kockázatokkal arányos technikai és szervezési védelmi intézkedéseket épít az adatkezelés folyamatába, hogy biztosítsa az érintettek személyes adatainak védelmét. Az Egyesület végrehajtja a megfelelő technikai és szervezési intézkedéseket annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek és azzal arányosak.
A személyes adatok kezelése kockázatokkal járhat a természetes személyek alapvető jogaira és szabadságaira és különösen a személyes adatok védelméhez való jogukra nézve, ezért az Egyesület az adatkezelés megkezdése előtt, az adott adatkezelés vonatkozásában mérlegeli a kockázatokat és ennek megfelelően hoz döntést az adatkezelési tevékenységről.
Az Egyesület a kockázatelemzést követően hozott szervezési és a technikai intézkedésekkel együttesen fedi le az adatkezelés teljes folyamatát és így felel meg az adatvédelmi követelményeknek.
Technikai intézkedések
Az Egyesület a személyes adatok védelmével kapcsolatos technikai intézkedések megvalósítás érdekében bevezette, üzemelteti és rendszeresen felülvizsgálja informatikai rendszereit és azok védelmét biztosítja.
Informatikai rendszerrel szembeni elvárások
Az informatikai rendszerre vonatkozó technikai intézkedések megtervezésének kiindulópontjaként a szervezési intézkedések tervezése során figyelembe kell venni minimálisan az alábbiakat:
Az informatikai rendszer képes legyen:
· biztosítani a benne kezelt személyes adatok bizalmasságát, sértetlenségét és rendelkezésre állását.
· a kockázatokkal arányos titkosítási eljárások alkalmazására
· teljesíteni az üzletmenet folytonossági eljárásokat és incidens esetén az adatok hozzáférését képes legyen a megfelelő időn belül visszaállítani.
További elvárás az informatikai rendszer üzemeltetőjétől a technikai és szervezési intézkedések rendszeres, de minimum évente egy alkalommal történő tesztelése.
Információbiztonsági intézkedések
Az információbiztonsági intézkedések azok a technikai és szervezési intézkedések, amelyek az Egyesület információs vagyonának, és ezen belül kiemelten a személyes adatoknak a bizalmas jellegét, az integritását és a rendelkezésre állását biztosítják.
Adatkezelési tevékenységek nyilvántartása
Az Egyesület a már megkezdett és a későbbiekben bevezetésre kerülő adatkezelési tevékenységekről teljes körű nyilvántartást vezet. Az „adatkezelési tevékenység” azon adatkezelési műveletek összessége, amelyeknek egy adott célja van.
Adatkezelési tevékenységek azonosítása
Az Egyesület azonosítja az adatkezelőként vagy adatfeldolgozóként végzett adatkezelési tevékenyégeit. Az adatkezelési tevekénységek azonosításának célja, hogy az Egyesület tisztában legyen a személyes adatok kezelési folyamatainak Egyesületen belüli megvalósításával annak érdekében, hogy megfelelő kontroll alatt tarthassa azokat.
Az adatkezelés jogszerűsége
Az Egyesület a személyes adatok kezelését csak akkor végzi, ha a GDPR 6. cikk (1) pontjában megadott hat jogalap közül, legalább az egyik alkalmazható.
Gyermekek személyes adatainak kezelése
Az Egyesület alaptevekénységét gyermek (16. életévét be nem töltött) korúak számára is nyújtja, ezért az Egyesület jelen szabályzat bevezetése előtt megkezdett adatkezelések esetében az Egyesület a 16. életévét be nem töltött személyek esetében haladéktalanul beszerzi a szülői felügyeleti jog gyakorlójától az adatkezeléshez a hozzájárulást vagy megszünteti az adatok kezelését.
Jelen szabályzat bevezetését követően, a 16. életévét be nem töltött személyek esetében az adatkezelés megkezdése előtt beszerzi az Egyesület a szülői felügyeleti jog gyakorlójától az adatkezeléshez a hozzájárulást.
Ha az Egyesület felügyelete alatt adatkezelést végzők számára egyértelművé válik, hogy egy kezelt adat 16 éven aluli természetes személyé, amelyhez az Egyesület nem rendelkezik a szülői felügyeleti jog gyakorlójától származó hozzájárulással, ez esetben késedelem nélkül intézkedik az adat megsemmisítéséről, egyidejűleg jelenti az Elnökség részére.
A személyes adatok különleges kategóriái kezelése
Különleges adatok a következők: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy Egyesületi tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Az Egyesület a GDPR rendelet 9.cikk 2 pontjában megfogalmazott kivételek alapján, de legfőképpen az alábbiak alapján kezel különleges személyes adatokat:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, illetve az Egyesület jogos érdekeinek megóvása érdekében merül fel az adatkezelés szükségessége (6. cikk (1) bekezdés a) és f) pontjai alapján):
b) az Egyesület a nevezésekhez kapcsolódóan nyilvántartást vezet az Egyesület által szervezett túrák, versenyek, túramozgalmak, táborok résztvevőinek sportorvosi engedélyeiről, valamint orvosi igazolásairól (mely szerint adott résztvevő általános egyészségügyi állapota alapján alkalmas az adott eseményen történő részvételre, adott esemény szervezői kiírása szerint), azok papír alapú, avagy elektronikus, digitalizált másolatainak megőrzésével. A nyilvántartásban a megrendezett túra/verseny/túramozgalom/tábor megrendezésétől számított egy évig őrzi az Egyesület a nevezéshez kapcsolódóan leadott sportorvosi engedély/orvosi igazolás papír alapú, avagy annak elektronikus másolatát. Az egy év leteltét követően az Egyesület intézkedik a sportorvosi engedély/orvosi igazolások másolatainak megsemmisítéséről így mind a papír alapú, mind az elektronikus, azaz digitalizált formában őrzött másolatok megsemmisítéséről.
Hozzájárulás jogalap alkalmazása
GDPR 6. cikk (1) a): az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
Az érintetti hozzájáruláson alapuló adatkezelését megelőzően az érintettet tájékoztatni kell a releváns adatkezelési tájékoztató rendelkezésre bocsátásával. A tájékoztatásnak ugyanazon a csatornán, a hozzájárulás kérésével egyidőben kell megtörténnie.
Hozzájáruló nyilatkozat
A hozzájárulási nyilatkozatnak – függetlenül annak megjelenési formájától – teljesítenie kell a következő feltételeket:
· legyen egyértelmű,
· más ügyektől elkülöníthető,
· érhető, világos, egyszerű nyelvezetű.
Hozzájárulás
A hozzájárulás érvényességének feltétele az önkéntesség, melyre az Egyesület különös hangsúlyt fektet.
Hozzájárulás visszavonása
Az érintettet az adatkezeléshez való hozzájárulását bármikor visszavonhatja, erről a jogáról, illetve a visszavonás módjáról a hozzájárulási nyilatkozatban vagy az ezzel egyidőben átadott adatkezelési tájékoztatóban kell tájékoztatni. A hozzájárulás visszavonásának olyan egyszerűnek kell lenni, mint amilyen a hozzájárulás megadása.
Jogos érdek jogalap alkalmazása
GDPR 6. cikk (1) f): „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek;”
Jogos érdek jogalap alkalmazását megelőzően az Egyesület mérlegeli, hogy az adott adatkezelés esetében az érintett alapvető jogai és szabadságai és különösen a személyes adatok védelméhez való joga milyen mértékben sérülhet, és ezt összeveti saját érdekével, amely az adatkezelést szükségessé teszi.
Célhoz kötöttség és adattakarékosság
Az Egyesület személyes adatokat csak tisztességes, jól meghatározott, egyértelmű és jogszerű célból kezel. Az Egyesület az adatkezelési tevékenységek megtervezése során gondoskodik arról, hogy a kezelt személyes adatok terjedelme csak a cél szempontjából releváns és szükséges mértékű legyen.
Pontosság
Az Egyesület az adatkezelési tevékenysége során folyamatba épített ellenőrzéseket végez a kezelt személyes adatok pontosságának biztosítása érdekében.
A személyes adatokhoz való hozzáférés korlátozása és a hozzáférés ellenőrzése csökkenti az adatok véletlen vagy szándékos megváltoztatásának kockázatát.
Adatmegőrzés és adateltávolítás
Amíg az adatkezelésnek van célja és érvényes jogalapja, addig az adatot meg kell őrizni, ezt az időpontot követően az adatot törölni kell. Az adatkezelési cél megváltozását vagy megszűnését követően adott esetben megfelelően intézkedni kell az adatok törléséről.
A megőrzési idő leteltének jelzésére lehetőség szerint jelezze az informatikai rendszer, de automatizált törlést nem szabad alkalmazni.
Integritás és bizalmas jelleg
Az Egyesület által megtervezett és megvalósított információbiztonsági intézkedések biztosítják a személyes adatok bizalmas jellegét, integritását és rendelkezésre állását.
7. ADATVÉDELMI INCIDENSEK KEZELÉSE
Az incidenskezelés Szerepköre
Az adatvédelmi Incidensek menedzseléséért felelős az Elnökség,akiknek felelőssége és feladata a teljes incidenskezelési folyamat menedzselése, az incidenskezelésben résztvevő személyek munkájának irányítása.
Incidensek észlelése
Adatvédelmi incidensekkel, illetve az Információbiztonsági és adatvédelmi kontrollok gyengeségeivel, potenciális veszélyforrásokkal az Egyesület valamennyi tagja, az Elnökség, illetve az informatikai rendszert fejlesztő, működtető és üzemeltető személyek szembesülhetnek, illetve észlelhetnek incidensre utaló jeleket.
Az incidensek korai felismerése érdekében az Egyesület információbiztonsági rendszereket és eljárásokat működtet, melyek segítségével észlelésre kerülnek információbiztonsági és/vagy adatvédelmi események, amelyek adott esetben incidensnek minősülhetnek.
Incidens észlelésekor minden lényeges részletet azonnal fel kell jegyezni, a számítógép képernyőről másolatot kell készíteni (amennyiben releváns).
Általában az incidensek bekövetkezése előtt vagy bekövetkezése során különleges emberi viselkedés és/vagy az informatikai rendszer helytelen, szokatlan működése lép fel. Az esemény későbbi nyomon-követhetősége érdekében fontos, hogy szakmai kompetencia hiányában az incidenst észlelő ne avatkozzon be, saját hatáskörben ne kezdje meg az esemény kivizsgálását. (Kivételt képez ez alól a vagyoni kárelhárítás, illetve az emberi élet védelmében tett intézkedések.)
Incidensek bejelentése
Az Egyesület adatkezelési tevékenysége kapcsán felmerülő minden személyes adatokra vonatkozó adatvédelmi incidenst indokolatlan késedelem nélkül az Elnökségfelé kell jelenteni.
Az incidenst észlelő késedelem nélkül (azonnal) értesíti az Elnökségettelefonon, e-mailben vagy személyesen.
Az incidensek nyilvántartása
A bejelentést követően az Elnökség az incidens adatait rögzíti külön nyilvántartásban. Az Elnökség kötelessége, hogy az incidenskezelési folyamat minden lépése – a bejelentéstől az incidens lezárásáig – dokumentált legyen.
A nyilvántartás naprakész vezetése egyben lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze vonatkozó törvényi követelményeinek való megfelelést.
Gyorselemzés, kárenyhítés
A bejelentést követően az Elnökség azonnal megkezdi az incidensek elemzését. Már ebben a fázisában is szükséges lehet további szakértők (jogász, informatikus, információbiztonsági elemző) bevonása. Az Elnökség információt gyűjt az incidensről. Az incidens körülményeinek vizsgálata és a kezdeti diagnosztikai lépések célja, hogy minél hamarabb, minél részletesebb információ álljon rendelkezésre az incidensről. Cél, hogy meghatározásra kerüljön:
· az incidens jellege
· az érintettek kategóriái és száma
· az érintett személyes adatok kategóriái és száma
· a valószínűsíthető következmények
· az érintett IT infrastruktúra, alkalmazói rendszer környezet, felhasználói kör,
· ki vagy mi okozta az esemény bekövetkezését,
· milyen sérülékenység, gyengeség került kihasználásra.
Ebben a szakaszban elsősorban az incidens káros hatásának a minimalizálásához szükséges ismereteket kell összegyűjteni, feltárni, hogy meghatározható legyen az incidens súlyossági szintje, kiterjedtsége, annak érdekében, hogy a fellépő káreseményt minimalizálni lehessen. Az elemzés során kiemelt figyelmet kell fordítani az incidenshez kapcsolódó bizonyítékok szakszerű gyűjtésére és megőrzésére.
Az összegyűjtött releváns információkat a kapcsolódó nyilvántartásban rögzíteni kell. Amennyiben indokolt az incidens természetéhez illeszkedően azonnali válaszlépésként meg kell tenni a szükséges és lehetséges intézkedéseket az incidens elhatárolására. Cél, hogy a fellépő károk minimalizálása érdekében az incidens kiterjedését, a további károkat megakadályozzuk.
Az incidens egyértelműen nem jár kockázattal az Érintettek számára
Amennyiben a gyorselemzés során egyértelműen bebizonyosodik, hogy a bejelentés téves volt vagy a korábban megtett biztonsági intézkedések (pl.: titkosítás) következtében az Érintettek személyes adatai nincsenek veszélyben az incidens vizsgálata az Elnökség döntését követően lezárható.
Az Elnökség az incidenst és a hozzá kapcsolódó összes bizonyítékot a külön nyilvántartásbandokumentálja.
A bejelentett incidens lezárható például a következő esetekben:
- Titkosított notebook vagy USB adathordozó elvesztése/ eltulajdonítása esetén.
- Személyes adatok rendelkezésre állásának sérülése esetén abban azt esetben, ha az informatikai mentési rendszerből az adatok hiánytalanul visszaállításra kerültek.
- Személyes adatok integritásának sérülése esetén, ha az informatikai mentési rendszerből az adatok az eredeti állapotban visszaállításra kerültek.
Döntés az Incidensről
Az azonnali kárenyhítő intézkedések megtételét követően, vagy ha lehetséges azzal egyidőben az Elnökségkiértékeli az incidens a következő szempontok alapján:
· Érintettek száma, köre
· Érintett személyes adatok kategóriái
· Az érintett adatrekordok száma, köre
· Érint-e különleges adatot
· Könnyen/nehezen azonosíthatók az érintett természetes személyek
· Érint-e gyermekeket vagy hátrányos helyzetű/ sérült embereket
· Sérült-e a személyes adatok bizalmassága
· Sérült-e a személyes adatok integritása
· Sérült-e a személyes adatok rendelkezésre állása
· Szándékos károkozás történt?
· A jogsértés (lehetséges) következményei, annak súlyossága
Minden egyes szempont értékelését rögzíteni kell az adatvédelmi incidensek nyilvántartásában.
Az egyes szempontok áttekintését követően amennyiben az incidens nem zárható le, mivel arról nem állapítható meg egyértelműen, hogy nem jár kockázattal az Érintettek számára, az Elnökségdöntést hoz az incidens eszkalálásáról.
Az incidens eszkalálása
Az Elnökség döntése alapján az incidens eszkalálásra kerül, azaz az incidenskezelés további folyamatába bevonásra kerül külön megbízott informatikai, avagy jogi szakember.
Az eszkalációt követően, a kibővített csoport újraértékeli az adatvédelmi incidens kockázatait és döntést hoz az incidens kezeléséről, amely a következő lehet:
1) az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve és lezárásra kerül. (Az Elnökség rosszul ítélte meg a helyzetet vagy újabb korábban nem ismert körülmény került a vizsgálat fókuszába)
2) az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Az incidenskezelést folytatni kell és az incidenst be kell jelenti az illetékes adatvédelmi hatóságnak.
3) az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Az incidenskezelést folytatni kell és az incidenst be kell jelenti az illetékes adatvédelmi hatóságnak és az incidensről tájékoztatni kell az érintetteket.
Az incidens magas kockázatúnak kell tekinteni minimálisan a következő esetekben:
a) Ha az incidens különleges adatokat, kiemelten gyermekek különleges adatait érinti
b) Ha az incidens az adatkezelési folyamatban kezelt összes adatot érinti
Kommunikáció
Az incidenskezelésbe bevontak körén túl bármilyen kommunikáció csak az Egyesület Elnökségének jóváhagyásával lehetséges. Az incidens természetétől és súlyosságától függően az Egyesület tájékoztatja a következő érdekelti köröket:
· az illetékes felügyeleti hatóságot
· az érintetteket
· az Egyesület tagjait, önkénteseit, illetve azok adott csoportjait,
Bejelentés a felügyeleti hatóságnak
Azt az adatvédelmi incidenst, amely valószínűsíthetően kockázattal jár az Elnökség indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens az Egyesület tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak (NAIH – https://www.naih.hu/adatvedelmi-incidensbejelent–rendszer.html). Ha a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni szükséges a késedelem igazolására szolgáló indokokat is.
A bejelentésnek legalább a következőket kell tartalmaznia (összhangban a hatóság által elvártakkal):
· ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
· közölni kell a bejelentő Adatvédelmi Tisztviselő nevét és elérhetőségeit;
· ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
· ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha nem lehetséges az információkat egyidejűleg közölni, azokat további indokolatlan késedelem nélkül később részletekben kell közölni.
A bejelentéseket minden esetben írásos formában, a hatóság által biztosított felületen / formában kell megtenni.
A bejelentések kapcsán az Egyesület
· nyilvántartást vezet a bejelentésekről,
· köteles meggyőződni a bejelentések hatósághoz történő megérkezéséről,
· további kommunikációt folytat az bejelentett incidensek hatósági megítéléséről és a teendőkről.
Érintettek tájékoztatása
Arról az adatvédelmi incidensről, amely valószínűsíthetően magas kockázattal jár, az Egyesület indokolatlan késedelem nélkül tájékoztatja az érintetteket.
Az érintettek részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a következőket:
· az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
· az Egyesület által az adatvédelmi incidens javítására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Az értesítés összeállítását az Egyesület Elnökségevégzi. Az értesítéstől el lehet tekinteni, korlátozni lehet, illetve halasztani lehet a következők mérlegelésével:
· az Egyesület megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
· az Egyesület az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy a „magas kockázat” a továbbiakban valószínűsíthetően nem valósul meg;
· a tájékoztatás aránytalan erőfeszítést tenne szükségessé, ilyen esetekben az érintetteket nyilvánosan közzétett információk (pl. honlap, média stb.) útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Ha az Egyesület még nem értesítette az érintetteket az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett(ek) tájékoztatását, vagy megállapíthatja a fenti bekezdésben említett feltételek valamelyikének teljesülését.
Az érintettek felé megvalósult tájékoztatásról az Egyesület Elnöksége nyilvántartást vezet.
Javító intézkedések tervezése és végrehajtása
A károk enyhítését és az incidens lokalizálását követően az Elnökség az incidenst kiváltó ok megtalálásával, meghatározásával foglalkozik. A javító intézkedések kidolgozásakor a meglévő intézkedéseket mind a szervezési, a technikai és az információbiztonsági területeken át kell tekinteni.
Az Egyesület Elnöksége felelős a javító intézkedések végrehajtásához szükséges erőforrások biztosításáért és a javító intézkedések jóváhagyásáért. A kidolgozott és jóváhagyott javító intézkedéseket az adatvédelmi incidensek nyilvántartásába be kell vezetni.
8. ÉRINTETTI JOGOK ÉRVÉNYESÍTÉSE
Az Egyesület fokozott figyelmet fordít arra, hogy a GDPR rendeletben meghatározott érintetti jogok érvényesítése megfeleljen a jogszabályi követelmények és az érintettek elvárásinak.
Adatkezelési tájékoztató
Az Egyesület a tevékenységéhez kapcsolódóan az érintetti csoportok figyelembevételével adatkezelési tájékoztatót készít, ezáltal biztosítva, hogy azok tömörek, könnyen áttekinthetők és közérthetők legyenek.
Az adatkezelési tájékoztatóknak a következő információkat kell tartalmazniuk az adott érintetti csoportra és adatkezelésekre:
· az Egyesületnek, mint adatkezelőnek megnevezése és elérhetőségei;
· az Egyesület Elnökségének elérhetősége
· az érintettek köre;
· a személyes adatok kezelésének célja, jogalapja és kategóriái
· a személyes adatok címzettjei, vagy a címzettek kategóriái;
· személyes adatok tárolásának időtartama (vagy ezen időtartam meghatározásának szempontjai);
· az érintett joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az adathordozhatósághoz való jog;
· az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog;
· a felügyeleti hatósághoz címzett panasz benyújtásának joga
Tájékoztatási szabályok
A tájékoztatás átadásának módjai:
· írásban (személyesen vagy postai úton)
· elektronikusan (web, e-mail)
A tájékoztatások legyenek:
· tömörek,
· könnyen áttekinthetők,
· érthetőek,
· könnyen hozzáférhetőek,
· megfogalmazásuk legyen világos és közérthető.
A tájékoztatás nyújtása az érintett részére:
Ha az Érintettre vonatkozó személyes adatokat az Érintettől gyűjtik, az Egyesület a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja az adatkezelési tájékoztatót,
A kapcsolattartás csatornái
Az Egyesület a következő kapcsolattartási csatornákat működteti:
· telefonon
· személyesen
- saját honlap
Az érintett azonosítása
Az érintetti jogok teljesítésénél fontos szempont, hogy a kérelmet benyújtó érintett azonosítása megfelelő legyen.
E-mailen érkező kérelem
Csak azok a kérelmek teljesíthetők, melyekben a kezelt e-mail cím megegyezik a kérelem feladójának e-mail címével. Az Érintett a kérelmét az Egyesület email címére küldheti.
Kommunikáció
A meghatározott kapcsolattartási csatornákon érkező Érintetti kérelmeket az Elnökség kezeli. Saját hatáskörben válaszol a kérelmekre.
Incidens gyanú
Amennyiben az Elnökség egy Érintetti kérelem kapcsán adatkezelési incidens gyanúját tárja fel, akkor az incidenskezelési szabályozásnak megfelelően kivizsgálja az esetet.
Tájékoztatás az érintetti jogok gyakorlása során
Az érintetti jogok érvényesítése, kérelmek kapcsán az érintetteket tájékoztatni szükséges. Indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül. Amennyiben a kérelem egy hónapon belül nem teljesíthető, az Egyesület a kérelem kézhezvételétől számított egy hónapon belül a késedelem okainak megjelölésével tájékoztatja az érintettet, és tájékoztatja az intézkedések végrehajtásának új határidejéről, amely a kérelem kézhezvételétől számított három hónapon belül kell legyen. Amennyiben az Egyesület nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet. Az Egyesület tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint
arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Tájékoztatás költsége
Az Egyesület az intézkedéseket, illetve a szükséges tájékoztatásokat első alkalommal díjmentesen biztosítja. Amennyiben az Érintett egy hónapon belül 2. alkalommal is kikéri ugyanazon adatokat, melyek ez idő alatt nem változtak az Adatkezelő adminisztratív költséget számít fel. (Az adminisztratív költség elszámolás alapja a mindenkori minimálbér órára vetített költsége, mint óradíj. A tájékoztatáshoz felhasznált munkaórák száma az előbbi óradíjon elszámolva. Továbbá a papír alapú tájékoztatási igény esetén a válasz nyomtatási költsége önköltségi áron és postázási költsége.)
Tájékoztatás megtagadása
Ha az érintett kérelme egyértelműen megalapozatlan, nem jogosult a tájékoztatásra vagy az Egyesület, mint adatkezelő bizonyítani tudja, hogy az Érintett rendelkezik a kért információkkal az adatkezelő elutasítja a tájékoztatási kérelmet.
Például:
· Három hónapon belül megismételt tájékoztatási kérelem
· Nem gondviselő szülő adatszolgáltatási igénye esetén
· 16 évnél fiatalabb adatszolgáltatási kérelme esetén
- Ha az érintett kérelme különösen ismétlődő jellege miatt – túlzó, az Egyesület megtagadhatja a kérelem alapján történő intézkedést, ha egy hónapon belül harmadik alkalommal él az Érintett ugyanazon tárgyú jogai gyakorlására irányuló kérelemmel.
Az érintett jogai:
- személyes adataihoz való hozzáférését,
- személyes adatainak helyesbítését,
- személyes adatainak törlését,
- az adott adatkezelés korlátozását,
- személyes adatainak hordozhatóságát,
- továbbátiltakozhatszemélyes adatai kezelése ellen.
Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Egyesülettól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az adatkezeléssel kapcsolatos információkhoz hozzáférést kapjon.
A következő adatkezeléssel kapcsolatos információkat kell megadni:
· az adatkezelés céljai;
· az érintett személyes adatok kategóriái;
· adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
· az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
· a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
· ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
· az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés, milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Helyesbítéshez való jog
Az érintettek kérésére az Egyesület biztosítja a rájuk vonatkozó pontatlan személyes adatok indokolatlan késedelem nélküli helyesbítését. Az adatkezelés célját figyelembe véve, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – kiegészítő nyilatkozat útján történő – kiegészítését.
Az adatok módosítását az Elnökség végzi
Törléshez való jog
Amennyiben az érintett személyes adatainak törlését kéri, az Egyesület azt késedelem nélkül elvégzi, ha fennáll a következő indokok valamelyike:
· az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja,
· a személyes adatok kezelése jogellenesen történik,
Az Egyesület továbbá törli a kezelt személyes adatokat, ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték és az adatkezelést az Egyesület nem minősítette át más adatkezelési célra és jogalapra.
Korlátozáshoz való jog
Az érintett kérésére az Egyesület korlátozzaaz adatkezelést, ha az alábbiak valamelyike teljesül:
· az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Egyesület ellenőrizze a személyes adatok pontosságát,
· az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
· az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
Hordozhatóság joga
Az Érintett ezen joga alapján jogosult arra, hogy a rá vonatkozó, és egy adatkezelő rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket a személyes adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. Ezt a jogát akkor gyakorolhatja, ha az adatkezelés hozzájáruláson vagy szerződésen alapul és az adatkezelés automatizált módon történik.
Tiltakozás joga
Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okból bármikor tiltakozzon személyes adatainak kezelése ellen, ha a személyes adatai kezelésére az adatkezelő jogos érdeke miatt kerül kizárólag sor.
9. ADATTÖRLÉS FOLYAMATA
Az Egyesület által kezelt adatok vonatkozásában a hozzájáruláson alapuló adatkezelés során kezelt adatokat az Egyesület – véglegesen és helyreállíthatatlanul, mások számára hozzáférhetetlenné téve – törli:
- Érintett hozzájárulásán alapuló adatkezelés esetén az Egyesület által meghatározott időtartam lejártát követően haladéktalanul,
- Érintett hozzájárulásának visszavonása esetén haladéktalanul.
10.VÁLTOZÁS KEZELÉS
Az Egyesület folyamatosan figyelemmel kíséri az adatkezelési tevékenységeket érintő változásokat:
Az Elnökség feladata, hogy beazonosítsa azokat a jogszabályi változásokat, illetve az érdekelt felek elvárásainak azon változásait, amelyek hatással lehetnek az adatkezelési tevékenységnek a természetes személyek jogait és szabadságait érintő kockázataira, továbbá hogy beazonosítsa azokat a szervezési és technikai változásokat, amelyek hatással lehetnek az adatkezelési tevékenységnek a természetes személyek jogait és szabadságait érintő kockázataira, valamint, hogy beazonosítsa azokat a információbiztonságot érintő szervezési és technológiai változásokat, amelyek hatással lehetnek az adatkezelési tevékenységnek a természetes személyek jogait és szabadságait érintő kockázataira.
11. JOGORVOSLATHOZ VALÓ JOG
A GDPR 57. cikk (1) bekezdésének f) pontja és a 77. cikk (1) bekezdése alapján minden érintettet megilleti a NAIH előtti panasztételi jog, ha megítélése szerint az Érintettre vonatkozó személyes adatok kezelése az általános adatvédelmi rendelkezéseket sérti. (https://www.naih.hu/ugyfelszolgalat-kapcsolat)