Adatkezelési és adatvédelmi szabályzat
Preambulum
A Hagyományok Háza (a továbbiakban: HH vagy Intézmény) az alábbi Adatkezelési és Adatvédelmi Szabályzatban (a továbbiakban: Szabályzat) foglaltak szerint állapítja meg az Intézmény szervezeti egységeinél folytatott személyes adatok kezelésére irányuló tevékenységek elveit és szabályait.
I. Bevezető rendelkezések
1. A Szabályzat célja
A szabályzat célja, hogy az Intézmény tevékenységéhez kapcsolódóan a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása és a kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó és alkalmazandó alapvető elveket, adatvédelmi és adatbiztonsági előírásokat, szabályokat.
2. A Szabályzat hatálya
a) A Szabályzat tárgyi hatálya kiterjed az Intézmény tevékenységéhez kapcsolódóan minden olyan adatkezelésre, amely személyes adatra vonatkozik, az adatok megjelenési formájától függetlenül, valamennyi adatkezelési műveletre kiterjedően, az adatok megszerzésétől vagy keletkezésétől azok törléséig, illetve megsemmisítéséig.
b) A Szabályzat személyi hatálya kiterjed:
szervezetileg: az Intézmény valamennyi szervezeti egységére,
a személyi kört tekintve: az Intézmény munkavállalóira,
az Intézménnyel munkavégzésre irányuló vagy bármely más jogviszonyban állókra, amelyek, illetve akik tevékenységük, feladataik ellátása során személyes adatot kezelnek, illetve akikről az Intézmény a jogviszonyukhoz kapcsolódóan személyes adatot kezel.
3. Alkalmazandó jogszabályok
az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabadáramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR)
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)
1997. évi CXL. törvény a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről (Kultv.)
2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (Ekertv.)
2013. évi V. törvény a Polgári Törvénykönyvről szóló (Ptk.)
530/2017. (XII. 29.) Korm. rendelet a hagyományőrzéssel és a néphagyomány gondozásával kapcsolatos állami szerv kijelöléséről, valamint a népi iparművészeti és a népművészeti alkotások minősítéséről
2012. évi I. törvény a munka törvénykönyvéről - továbbiakban Mt.,
1995. évi CXVII. törvény a személyi jövedelemadóról - továbbiakban Szja tv.
1997. évi LXXXIII. törvény a kötelező egészségbiztosítás ellátásairól - továbbiakban Egészségbiztosítási tv.,
1997. évi LXXXI. törvény a társadalombiztosítási nyugellátásról, - továbbiakban Nyugdíj tv.,
2017. évi CL. törvény az adózás rendjéről - továbbiakban Art,
1994. évi LIII. törvény a bírósági végrehajtásról - továbbiakban Végrehajtási tv.
2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól munkavállalóval - továbbiakban Szvtv.
1993. évi XCIII. törvény a munkavédelemről,
33/1998. (VI. 24.) NM rendelet a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről
A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény (a továbbiakban: Flt.)
2020. évi CXXXV. törvény - a foglalkoztatást elősegítő szolgáltatásokról és támogatásokról, valamint a foglalkoztatás felügyeletéről,
599/2021. (X. 28.) Korm. rendelet a koronavírus elleni védőoltásnak az állami és önkormányzati intézményeknél foglalkoztatottak által történő kötelező igénybevételéről.
4. Kapcsolódó szabályzatok
A közügyek átláthatósága és a közérdekű és a közérdekből nyilvános adatok megismeréséhez fűződő jog érvényesülésének elősegítse érdekében a Hagyományok Háza külön szabályzatban határozza meg a kötelezően közzéteendő közérdekű adatok nyilvánosságra hozatalának, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjét.
Az Intézménynél alkalmazandó informatikai adatbiztonsági követelményekre vonatkozó részletes előírásokat külön szabályzat tartalmazza.
5. Az adatkezelés alapfogalmai, értelmező rendelkezések
adat: adathordozótól független, bármilyen módon vagy formában rögzített információ, vagy ismeret
Hagyományok Háza Adatkezelési és Adatvédelmi Szabályzat
adatállomány: az egy nyilvántartásban kezelt adatok összessége
adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége
adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel
adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése
adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján
adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi
adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése
adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele
adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges
adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi
érintett: bármely információ alapján - közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján - azonosított vagy azonosítható természetes személy
harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek
Hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez
kötelező adatkezelés: törvényben vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendeletében, közérdeken alapuló célból elrendelt adatkezelés
különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok
nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele
személyes adat: az érintettre vonatkozó bármely információ
II. Az adatkezelés és adatvédelem szervezeti felelősségi rendje
1. Főigazgató
A Főigazgató, mint az Intézmény munkaszervezetének vezetője felelős
a) a HH által kezelt személyes adatok kezeléséhez és védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó intézkedések megtételéért,
b) a HH adatkezelési tevékenységének rendszeres ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért,
c) az érintettek jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételek biztosításáért,
d) az adatvédelmi hatásvizsgálatok lefolytatásáért és rendszeres felülvizsgálatáért, valamint az ahhoz szükséges feltételek biztosításáért,
e) az adatvédelmi feladatok ellátására alkalmas adatvédelmi tisztviselő kijelöléséért, nevének és elérhetőségének a Hatóság részére történő bejelentéséért, szakértői szintű ismereteinek fenntartásához szükséges feltételek biztosításáért,
f) az adatvédelmi tisztviselő feladatainak végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréséért, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges feltételek és források biztosításáért.
2. Adatvédelmi tisztviselő
2.1. A Főigazgató az adatkezelésre vonatkozó jogszabályok érvényesülése érdekében adatvédelmi tisztviselőt nevez ki. Adatvédelmi tisztviselőnek csak olyan személy nevezhető ki, aki az általános adatvédelmi rendeletben és az Infotv.-ben foglalt feltételeknek megfelel. Az adatvédelmi tisztviselő nevét és elérhetőségeit a Hatóság nyilvántartásába be kell jelenteni.
2.2. Az adatvédelmi tisztviselő az általános adatvédelmi rendeletben és az Infotv.-ben rögzített feladat- és hatáskörein túl a következő feladatokat látja el:
tájékoztat és szakmai tanácsot ad az Intézmény, továbbá az adatkezelést végző alkalmazottak részére az adatkezeléssel összefüggő kötelezettségeik teljesítéséhez, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában,
ütemterv szerint végzi az egyes adatkezelések ellenőrzését, ennek körében vizsgálja az adatkezelésre vonatkozó jogi normák, valamint a jelen Szabályzatban foglaltak megtartását, az adatkezeléssel kapcsolatos előírások megszegésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására, az ellenőrzés tapasztalatairól rendszeresen tájékoztatja a Főigazgatót,
kivizsgálja a hozzá érkezett bejelentéseket, adatvédelmi incidens észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót, közreműködik annak kivizsgálásában,
kezdeményezi az Intézmény adatvédelmi és adatbiztonsági szabályzatának szükség szerint felülvizsgálatát, módosítási javaslatokat készít elő,
vezeti az Intézmény adatkezelési tevékenységeihez kapcsolódó adatvédelmi nyilvántartásokat,
együttműködik a felügyeleti hatósággal, teljesíti a hatóság részére nyújtandó tájékoztatásokat.
Az adatvédelmi tisztviselő az Intézmény valamennyi szervezeti egységénél jogosult betekinteni az adatkezelésekbe, valamint a hozzájuk kapcsolódó nyilvántartásokba, jegyzőkönyvekbe egyéb dokumentumokba. A szervezeti egység vezetőjétől és munkatársaitól szóban vagy írásban is felvilágosítást kérhet. A vizsgálata során megismert személyes adatokkal kapcsolatban az adatvédelmi tisztviselőt titoktartási kötelezettség terheli. Az adatvédelmi tisztviselő részére biztosítani kell a számára meghatározott feladatok ellátáshoz szükséges hozzáférést az Intézmény adatkezelési tevékenységeivel érintett elektronikus rendszerekhez, iratokhoz, egyéb adathordozókhoz.
3. Az adatkezelési tevékenységet végző szervezeti egységek
3.1. A HH tevékenységéhez és működéséhez kapcsolódó adatkezelést és adatfeldolgozást végző valamennyi munkatárs felelősséggel tartozik a feladat- és hatásköreinek gyakorlása során tudomására és birtokába jutott személyes adatok, valamint a HH-ra és partnereire vonatkozó üzleti és egyéb bizalmas adatoknak a mindenkor hatályos jogszabályoknak és az Intézmény belső szabályzatainak megfelelő kezeléséért.
3.2. A HH szervezeti egységei kötelesek együttműködni az Intézmény adatvédelmi tisztviselőjével.
3.3. A HH tevékenységéhez és működéséhez kapcsolódó adatoknak az intézményi céloktól eltérő kezelése, illetéktelen harmadik személyek számára való hozzáférhetővé tétele tilos.
3.4. A HH, mint adatkezelő a vele munkaviszonyban vagy egyéb jogviszonyban álló azon személlyel szemben, aki az adatkezelésre vonatkozó előírások megszegésével – ezen jogviszonyának keretein belül – kárt okoz, kártérítési igényt érvényesíthet az adott jogviszonyra vonatkozó jogszabályok, illetve a károkozó jogviszonyának feltételei szerint.
4. Adatvédelmi nyilvántartás
4.1. A HH által folytatott adatkezelési tevékenységekről nyilvántartást kell vezetni.
4.2. Az adatkezelési tevékenységek nyilvántartása az alábbi adatokat tartalmazza:
az adatkezelő, valamint képviselőjének neve és elérhetőségei
az adatvédelmi tisztviselő neve és elérhetőségei
az adatkezelés célja
az adatkezeléssel érintettek köre
a kezelt adatok köre
személyes adatok továbbítása esetén az adattovábbítás címzettje vagy címzettjeinek köre,
nemzetközi adattovábbítás esetén a továbbított adatok köre
a kezelt személyes adatok törlésének időpontja (ha lehetséges), vagy az adatkezelés időtartama meghatározásának szempontjai
az adatbiztonság érdekében alkalmazott műszaki és szervezési intézkedések általános leírása
a kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményei, azok hatásai és a kezelésükre tett intézkedések
az érintett hozzáférési jogának érvényesítését korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokai
egyéb, az adatkezelés szempontjából releváns körülmények, illetve az adatkezelésekhez kapcsolódó tájékoztatók áttekinthetősége érdekében:
az adatkezelési műveletek - ideértve az adattovábbítást is – jogalapjai
a GDPR 6. cikk (1) bekezdés f.) pontja szerinti adatkezelés esetén az adatkezelő vagy harmadik fél jogos érdeke.
4.3. A HH által folytatott adatkezelési tevékenységekhez kapcsolódóan nyilvántartást kell vezetni különösen
a személyes adatokkal kapcsolatos tájékoztatáskérésekről,
az érintettek jogainak érvényesítésével összefüggő igények elutasításáról,
a harmadik személy részére vagy külföldre történő adattovábbításokról,
az adatvédelmi incidensekről.
4.4. Az adatkezelési tevékenységek nyilvántartásában rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.