Page tree

Fogalomtár

Érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.

Személyes adat: az Érintettel kapcsolatba hozható adat - különösen az Érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az Érintettre vonatkozó következtetés.

Különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.

Egészségügyi adategy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

Biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat.

Genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered.

Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az Érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.

Hozzájárulás: az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.

Tiltakozás: az Érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri.

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az Adatfeldolgozóval végrehajtatja.

Adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése.

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.

Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges.

Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.

Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.

Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik.

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi.

Közös adatkezelőaz az Adatkezelő, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - az adatkezelés céljait és eszközeit egy vagy több másik Adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik Adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az Adatfeldolgozóval.

Adatállomány: az egy nyilvántartásban kezelt adatok összessége.

Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az Érintettel, az Adatkezelővel vagy az Adatfeldolgozóval.

EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.

Harmadik ország: minden olyan állam, amely nem EGT-állam.

Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából.

Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az Adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy Adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

Profilalkotásszemélyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.

1. Bevezető rendelkezések

1.1. A szabályozás célja

A jelen szabályzat célja az, hogy az Adatkezelő alkalmazásában levők számára összegyűjtse a legfontosabb tudnivalókat a személyes adatok kezelésével kapcsolatban, továbbá hogy munkatársai számára röviden ismertesse az alkalmazandó jogszabályokat és bemutassa azokat az intézkedéseket, amiket a Rendszerinformatika Zrt. a jogszabályoknak való megfelelés érdekében tesz, illetve amit Munkatársainak, Adatfeldolgozóinak e cél érdekében tenniük kell.

1.2. A szabályozás hatálya

Ez a szabályozás vonatkozik minden rendszerre, személyre és folyamatra, akik/amelyek az Adatkezelő információs rendszerét alkotják, beleértve minden foglalkoztatási jogviszonyban állót, Adatfeldolgozót és további harmadik feleket, akik hozzáférhetnek az Adatkezelő rendszereihez és ez által a személyes adatokhoz.

A Szabályzat hatálya nem terjed ki az olyan adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat, valamit nem terjed ki az elhunyt személyek személyes adatainak kezelésére.

A Szabályzat tárgyi hatálya kiterjed az Adatkezelőnél keletkezett, által rögzített és kezelt személyes adatra, az adatkezelés eredményeképpen létrejött adatra.

1.3. A személyes adatok kezelésére vonatkozó jogszabályok

a) az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről, általános adatvédelmi rendeletet (a továbbiakban GDPR)

b) Az információs és önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (a továbbiakban: Info tv.)

c) A 2012. évi I. törvény a munka törvénykönyvéről (a továbbiakban Mt.)

d) 2013. évi V. törvény a Polgári Törvénykönyvről (a továbbiakban Ptk.)

2. Az adatkezelés

A Rendszerinformatika Zrt. az által, hogy kezeli ügyfelei és munkavállalói személyes adatait adatkezelési tevékenységet folytat. Az adatkezelés célját és eszközeit meghatározza, tehát adatkezelőnek minősül.

2.1. Az adatkezelés elvei (GDPR 5. cikk)

A jelen pontban felsorolt alapelvek kötelezően alkalmazandóak a személyes adatok kezelése során.

a) Jogszerűség, tisztességes eljárás és átláthatóság elve

Az adatkezelését jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni.

b) Célhoz kötöttség elve

Az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetőek ezekkel a célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a statisztikai célból történő további adatkezelés.

c) Adattakarékosság elve

A gyűjtött személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.

d) Pontosság és naprakészség elve

A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. A pontatlan személyes adatokat lehetőség szerint haladéktalanul törölni vagy helyesbíteni kell.

e) Korlátozott tárolhatóság elve

A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére statisztikai célból kerül majd sor, megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

f) Integritás és bizalmas jelleg elve

Az adatokat oly módon kell kezelni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok biztonsága, ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is.

g) Elszámoltathatóság elve

A Rendszerinformatika Zrt.-nek tudnia kell igazolni, hogy a fenti elveknek megfelelően kezeli a személyes adatokat.

2.3 Az adatkezelés célja

Az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetőek ezekkel a célokkal össze nem egyeztethető módon.

Ha az eltérő célból történő adatkezelés nem az Érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötte az Adatkezelő, figyelembe kell venni az alábbiakat:

a) A személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b) A személyes adatok gyűjtésének körülményeit, különös tekintettel az Érintettek és az Adatkezelő közötti kapcsolatokra.

2.4 Az adatkezelés jogalapja (GDPR 6. cikk)

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az Érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az Érintett gyermek.


A jogalapok használatával kapcsolatos hatályos és alkalmazandó rendelkezések a Confluence rendszerben találhatóak, valamint az 1. számú és a 2. számú mellékletben.

Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az Érintettet egyértelműen, közérthetően és részletesen tájékoztatni szükséges a kezelésre kerülő személyes adatokról, valamint az adatainak kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat.  


Különleges adatok kezelése (GDPR 9. cikk)

​A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

Különleges adatok kezelése esetében is rendelkezni kell a GDPR 6. cikk (1) bekezdésben felsorolt jogalapok egyikével.

A tilalom alól csak az alábbiak jelenthetnek kivételt:

a) Az adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az Érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

b) Az adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, amennyiben jogszabály lehetővé teszi;

c) Az adatkezelés az Érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az Érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;

d) Az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az Érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;

e) Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az Érintett kifejezetten nyilvánosságra hozott;

f) Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;

g) Az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

h) Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a jelen pont utolsó bekezdésében említett feltételekre és garanciákra figyelemmel;

i) Az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az Érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

j) Az adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;


A különleges adatokat abban az esetben lehet a h) pontban említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.


Bűnügyi adatok kezelése (GDPR 10. cikk)

Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűncselekmények megelőzésére, felderítésére és üldözésére irányuló, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, a szabálysértési, a polgári peres és nemperes ügyekre, valamint a közigazgatási peres és nemperes ügyekre vonatkozó adatokat tartalmazó nyilvántartásokat.

Az Adatkezelő csak kivételes körülmények között, jogszabályban meghatározott esetekben, az ott kijelölt célból, az ott megállapított módon kezelheti a bűnügyi személyes adatokat.

2.5 A kezelt személyes adatok típusa

Az Adatkezelő tevékenysége során törekszik rá, hogy kizárólag az adatkezelés céljának teljesítéséhez valóban szükséges számú és jellegű személyes adatot rögzítse.

Az Adatkezelő gyermekek adatait kizárólag a munkavállalónak járó kedvezmények biztosítása érdekében kezeli a vonatkozó munkaügyi és adójogi jogszabályokban meghatározottak szerint.

Különleges adatokat, valamint bűnügyi személyes adatokat csak a munkavállalók alkalmasságának felmérése, továbbá egyéb munkajogi és társadalombiztosítási jogszabályban foglalt rendelkezéseknek megfelelően kezel az Adatkezelő.

Különleges adatok kezelése esetén az Adatkezelő megfelelő műszaki és szervezési intézkedésekkel biztosítja, hogy az adatkezelési műveletek végzése során a különleges adatokhoz kizárólag az rendelkezzen hozzáféréssel, akinek az adatkezelési művelettel összefüggő feladatának ellátásához feltétlenül szükséges.

Bűnügyi személyes adatok kezelése esetén a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni.

Gyermekek adatainak kezelése esetén a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni.

2.6 Az adatkezelés időtartama

Az adatkezelés időtartamának meghatározása során figyelemmel kell lenni az adatkezelés jogalapjára, az adatkezelés céljára, valamint az adatkezelés sajátságaira. Az adatkezelés időtartamát minden esetben pontosan, a valóságnak megfelelően, adatkezelési célonként elkülönítve szükséges meghatározni.

Amennyiben az adatkezelésre irányadó időtartamot jogszabály állapítja meg, úgy annak rendelkezései szerint szükséges eljárni.

Amennyiben az adatkezelés jogalapja az Érintett személy hozzájárulása, úgy az adatok az adatkezelés céljának teljesüléséig kezelhetőek. Abban az esetben, ha az Érintett az adatkezelés időtartama alatt visszavonja hozzájárulását, úgy adatait a lehető leghamarabb véglegesen törölni szükséges.

Az általános adatvédelmi rendeletben meghatározott egyéb jogalapok használata esetén a megőrzési idő meghatározása az Adatkezelő feladata és felelőssége. Az adatok tárolásának ideje a lehető legrövidebb időtartamra kell, hogy korlátozódjon, a kitűzött adatkezelési cél ellehetetlenülése, illetve teljesülése esetén a személyes adatokat törölni szükséges.

Egyéb alkalmazandó rendelkezéseket a tudásbázisra feltöltött dokumentumok megőrzésre vonatkozó eljárásrend tartalmaz.

2.7 Az Adatkezelő által végzett adatkezelési tevékenységek

Az Adatkezelő által végzett különböző adatkezelési tevékenységekről speciális szabályzatok és eljárásrendek rendelkeznek.


3. Adatfeldolgozó, adatfeldolgozás

3.1 Fogalmak

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az Adatfeldolgozóval végrehajtatja;

Közös adatkezelő: az az Adatkezelő, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - az adatkezelés céljait és eszközeit egy vagy több másik Adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik Adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az Adatfeldolgozóval;

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az Adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;

Amennyiben egy Adatfeldolgozó maga határozza meg az adatkezelés céljait és eszközeit, úgy azt az érintett adatkezelés tekintetében Adatkezelőnek kell tekinteni.

3.2 A Rendszerinformatika Zrt., mint Adatkezelő alkalmaz Adatfeldolgozót

Az Adatkezelő feladatainak ellátása érdekében Adatfeldolgozót alkalmazhat.

Adatfeldolgozóként kizárólag olyan személy vagy szervezet járhat el, aki vagy amely megfelelő garanciákat nyújt az adatkezelés jogszerűségének és az Érintettek jogai védelmének biztosítására alkalmas műszaki és szervezési intézkedések végrehajtására. Ezen garanciákat az adatkezelés megkezdését megelőzően az Adatfeldolgozó igazolja az Adatkezelő számára.

Az Adatkezelő és az Adatfeldolgozó írásbeli szerződést köteles készíteni, amely minimum az alábbiakat kell, hogy tartalmazza:

a) Az adatkezelés tárgyát;

b) Az adatkezelés időtartamát;

c) Az adatkezelés jellegét és célját;

d) Az érintett személyes adatok típusát;

e) Az Érintettek körét;

f) Az Adatfeldolgozó és az Adatkezelő Info tv.-ben, valamint az általános adatvédelmi rendeletben (GDPR) nem szabályozott jogait és kötelezettségeit;

g) Azt a tényt, hogy az Adatfeldolgozó tevékenysége során kizárólag az Adatkezelő írásbeli utasítása alapján járhat el;

h) Azt, hogy tevékenysége során az Adatfeldolgozó biztosítani köteles, hogy a személyes adatokhoz való hozzáférésre feljogosított személyek - ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak - az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállalnak;

i) Azt, hogy az Adatfeldolgozó tevékenysége során folyamán minden megfelelő eszközzel segíteni köteles az Adatkezelőt az Érintettek jogai érvényesítésének elősegítése, ezzel kapcsolatos kötelezettségei teljesítése érdekében;

j) Azt, hogy az Adatkezelő választásának megfelelően az Adatfeldolgozó az adatkezelési műveletek befejezését követően - ha törvény másként nem rendelkezik - vagy haladéktalanul törli a tevékenysége során megismert személyes adatokat, vagy továbbítja azokat az adatkezelőnek és azt követően törli a meglévő másolatokat;

k) Azt, hogy az Adatfeldolgozó köteles az Adatkezelő rendelkezésére bocsátani minden olyan információt, amely az Adatfeldolgozó igénybevételére vonatkozó jogi rendelkezéseknek való megfelelés igazolásához szükséges; valamint

l) Azt a körülményt, hogy az Adatfeldolgozó további adatfeldolgozót milyen módon vehet igénybe.

3.3 A Rendszerinformatika Zrt., mint Adatfeldolgozó

A Rendszerinformatika Zrt. Adatfeldolgozóként jár el abban az estben, amikor tevékenységének végzése során a partnerek által kezelt és tárolt személyes adatokat megismeri és azokon a partner utasításának megfelelően műveleteket hajt végre.

Az Adatfeldolgozó a személyes adatok kezelése során mindig az Adatkezelő utasításainak megfelelően kell, hogy eljárjon, kivéve, ha jogszabály eltérően rendelkezik. A kommunikáció írásban kell, hogy történjen, a szóbeli utasítás írásba foglalása iránt a lehető leghamarabb szükséges intézkedni,   annak érdekében, hogy bizonyítható legyen, hogy az Adatfeldolgozó gondosan, az Adatkezelő rendelkezéseinek megfelelően járt el.

A különböző Adatkezelőktől származó adatokat lehetőleg fizikailag elkülönítve, de legalább logikailag elválasztva szükséges kezelni.

Érintettek hozzáférési jogának biztosítása Adatfeldolgozóként:

Az Adatfeldolgozónak kötelessége az érintetti jogok érvényesíthetőségének elősegítése. Az Adatfeldolgozó ebben az estben is az adatvédelmi jogszabályoknak, az adatfeldolgozói szerződésben foglaltaknak és az Adatkezelő írásbeli utasításának megfelelően kell, hogy eljárjon.

Beérkező kérelem esetén a teendők:

 • A kérelem lehető leggyorsabb vizsgálata, annak megállapítása érdekében, hogy az adott igény vonatkozásában ki minősül Adatkezelőnek;
 • Az illetékes Adatkezelővel kötött szerződésben foglalt eljárásrend alkalmazása/ az Adatkezelő megkeresése írásban a teendők tisztázása végett;
 • Az Érintett kérelmének az Adatkezelő utasításai szerinti teljesítése.

Egyéb alkalmazandó rendelkezések az érintettek hozzáférési jogáról szóló eljárásrendben található.


Adatvédelmi incidens kezelése Adatfeldolgozóként:

Az Adatfeldolgozó ebben az estben is az adatvédelmi jogszabályoknak, az adatfeldolgozói szerződésben foglaltaknak és az Adatkezelő írásbeli utasításának megfelelően kell, hogy eljárjon.

Teendők adatvédelmi incidens esetén:

 • Amennyiben bizonyos, hogy adatvédelmi incidens történt, úgy az incidenst a lehető leghamarabb, indokolatlan késedelem nélkül közölni kell az Adatkezelő által megjelölt módon, az általa kijelölt személlyel. Amennyiben nincs ilyen személy vagy mód, úgy az Adatkezelő képviselőjével/kapcsolattartójával mind telefonon, mind pedig írásban közölni kell az adatvédelmi incidenssel kapcsolatos információkat, abban az esetben is, ha az incidens körülményei még nem tisztázottak;
 • Az incidens elhárítását azonnal meg kell kezdeni és fel kell mérni az incidens hatásait;
 • Folyamatosan tájékoztatni kell az Adatkezelőt;
 • Az incidenst az Adatkezelő utasításainak megfelelően kell dokumentálni, amennyiben ilyen iránymutatás nem létezik, úgy az Adatkezelő saját eljárásrendjének megfelelően kell az adatokat és az incidens körülményeit rögzíteni.

Egyéb alkalmazandó rendelkezések a tudásbázisra feltöltött adatvédelmi incidensről szóló eljárásrendben találhatóak.


Adatvédelmi hatásvizsgálatban való részvétel:

Az Adatfeldolgozó kizárólag segítséget nyújt az Adatkezelő részére, kivéve, ha köztük létrejött szerződés ettől eltérően rendelkezik.


Adatfeldolgozó által vezetendő nyilvántartások:

Adatfeldolgozói nyilvántartás

Az adatfeldolgozói nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt - kérésére - a felügyeleti hatóság rendelkezésére kell bocsátani.

Megőrzés: Adatok törlését követő 10 év.

A nyilvántartás tartalmazza:

a) Az Adatkezelő, az Adatfeldolgozó, a további adatfeldolgozók, valamint az Adatfeldolgozó adatvédelmi tisztviselőjének nevét és elérhetőségeit;

b) Az Adatkezelő megbízásából vagy rendelkezése szerint végzett adatkezelések típusait;

c) Az Adatkezelő kifejezett utasítására történő nemzetközi adattovábbítás esetén a nemzetközi adattovábbítás tényét, valamint a címzett harmadik ország vagy nemzetközi szervezet megjelölését;

d) A végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását.


Elektronikus napló

A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az Adatfeldolgozó automatizált adatkezelési rendszerben (elektronikus napló) rögzíti:

a) Az adatkezelési művelettel érintett személyes adatok körének meghatározását,

b) Az adatkezelési művelet célját és indokát,

c) Az adatkezelési művelet elvégzésének pontos időpontját,

d) Az adatkezelési műveletet végrehajtó személy megjelölését,

e) A személyes adatok továbbítása esetén az adattovábbítás címzettjét.


Az elektronikus naplóban rögzített adatok kizárólag az adatkezelés jogszerűségének ellenőrzése, az adatbiztonsági követelmények érvényesítése, továbbá büntetőeljárás lefolytatása céljából ismerhetőek meg és használhatóak fel.

Az elektronikus naplóhoz a felügyeleti hatóság, továbbá jogszabályban meghatározott tevékenységet folytató személy és szervezet részére - azok erre irányuló kérelmére az Adatfeldolgozó hozzáférést biztosít, abból részükre adatot továbbít.

Megőrzés: Adatok törlését követő 10 év.


4. Közös adatkezelés

Ha az adatkezelés céljait, módját és eszközeit két vagy több Adatkezelő közösen határozza meg, azok Közös adatkezelőknek minősülnek. A Közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg a fennálló kötelezettségeiket, különös tekintettel az Érintett jogainak gyakorlásával és a GDPR 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatosan, kivéve, ha az Adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg.

A megállapodásban az Érintettek számára kapcsolattartót szükséges kijelölni. A megállapodásnak megfelelően tükröznie kell a Közös adatkezelők Érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az Érintett rendelkezésére kell bocsátani. Az Érintett a megállapodás feltételeitől függetlenül mindegyik Adatkezelő vonatkozásában és mindegyik Adatkezelővel szemben gyakorolhatja jogait.


Adatkezelési tájékoztató:

A tájékoztatóban fel kell tüntetni a közös adatkezelés tényét és meg kell jelölni a kapcsolattartó személyt.


Adatvédelmi nyilvántartás:

A közös adatkezelés ténye a nyilvántartásban is kell, hogy szerepeljen.


Adatvédelmi incidens:

Incidens esetén, eltérő megállapodás hiányában, a közös adatkezelők a bejelentésért és nyilvántartás vezetésért közösen felelnek.


Adatvédelmi hatásvizsgálat:

A felügyeleti hatósággal folytatott konzultáció során tájékoztatni kell a hatóságot a közös adatkezelés tényéről.


5. Adatvédelmi dokumentumok, nyilvántartások

A jelen pontban tárgyalt dokumentumok vezetése, kiállítása, felülvizsgálata és tárolása kötelező az itt leírtak szerint. Egyéb alkalmazandó rendelkezéseket a tudásbázisba feltöltött eljárásrend tartalmaz.

5.1 Adatkezelési és adatvédelmi tájékoztató

Az általános adatvédelmi rendelet értelmében az Érintetteket tájékoztatni kell az adatkezelés lényeges körülményeiről. A tájékoztatást célszerű írásban megadni az elszámoltathatóság elve okán.

A tájékoztatót a lehető leghamarabb, már az első kapcsolatfelvételkor az Érintett rendelkezésére kell bocsátani.

A tájékoztatót és annak különböző verzióit minimum az adatkezelés lezárultáig őrizni szükséges.

A tájékoztató kötelező tartalmi elemei, ha az adatokat az Érintett személytől gyűjtik:

a) Az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;

b) Az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) A személyes adatok tervezett kezelésének célja;

d) az adatkezelés jogalapja;

e) A GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;

f) A személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

g) annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja-e továbbítani a személyes adatokat; és ha igen, akkor az említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése;

h) A személyes adatok tárolásának időtartama, vagy ezen időtartam meghatározásának szempontjai;

i) Az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;

j) A hozzájárulás bármely időpontban történő visszavonásához fűződő jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

k) A felügyeleti hatósághoz címzett panasz benyújtásának joga;

l) Annak ténye, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;

m) Automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.


A tájékoztató kötelező tartalmi elemei, ha az adatokat nem az Érintett személytől gyűjtik:

a) Az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;

b) Az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) A személyes adatok tervezett kezelésének célja;

d) Az adatkezelés jogalapja;

e) A személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;

f) Az Érintett személyes adatok kategóriái;

g) A GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;

h) A személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

i) Annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja-e továbbítani a személyes adatokat; és ha igen, akkor az említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése;

j) A személyes adatok tárolásának időtartama, vagy ezen időtartam meghatározásának szempontjai;

k) Az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;

l) A hozzájárulás bármely időpontban történő visszavonásához fűződő jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

m) A felügyeleti hatósághoz címzett panasz benyújtásának joga;

n) Annak ténye, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;

o) Automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.

5.2 Érdekmérlegelési teszt

Amennyiben az adatkezelés jogalapja jogos érdek úgy érdekmérlegelési tesztet szükséges készíteni, amelyet az Érintettek rendelkezésére kell bocsátani. Az érdekmérlegelési teszt igazolja azt a tényt, hogy az adatkezelést valós és nyomós indokok támasztják alá, valamint azt a körülményt, hogy az Adatkezelő adatkezeléshez fűződő érdeke előbbre való az Érintett jogainál és szabadságainál.

Egyedi érdekmérlegelési tesztet szükséges végezni az Érintett tiltakozása (GDPR 21. cikk) esetén.

A tesztet és annak különböző verzióit minimum az adatkezelés lezárultáig őrizni kell.

Az Érdekmérlegelés az alábbi 5 lépésből épül fel:

 1. Az adatkezelés szükségességének vizsgálata;
 2. A jogos érdek lehető legpontosabb meghatározása;
 3. Az adatkezelés körülményeinek kialakítása;
 4. Az Érintettek érdekei;
 5. Az adatkezelés arányosságának vizsgálata.

Az érdekmérlegelési teszt elvégzésével kapcsolatban egyéb rendelkezéseket a vonatkozó eljárásrend tartalmaz (2. számú melléklet).

5.3 Adatvédelmi hatásvizsgálat

Adatvédelmi hatásvizsgálatra abban az esetben van szükség, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint az Érintettek személyes adatait fenyegető kockázatok mérséklése. Hatásvizsgálatot alapvetően az adatkezelés megkezdése előtt kell lefolytatni.

A hatásvizsgálatot és annak különböző verzióit minimum az adatkezelés lezárultáig őrizni kell.

Előkészület

Valószínűsíthetően magas kockázattal járó adatkezelés:

a) Az Érintettekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen (ideértve a profilalkotást is) alapul és ezen adatkezelésre olyan döntések épülnek, amelyek jelentősen kihatnak az Érintettekre;

b) Különleges kategóriájú személyes adatok és bűnügyi adatok kezelése;

c) Nyilvános helyek nagymértékű, módszeres megfigyelése.

Azon adatkezelési műveletek típusainak a jegyzéke, amelyekre nézve az Adatkezelőnek kötelező hatásvizsgálatot lefolytatnia: https://naih.hu/hatasvizsgalati-lista


Nem kell hatásvizsgálatot végezni az alábbi esetekben:

a) Amennyiben az adatkezelés nem jár magas kockázattal;

b) Ha az adatkezelés célját, jellegét, hatókörét, körülményeit tekintve hasonlít egy másik adatkezelésre, amelyről már készült hatásvizsgálat;

c) Az adatkezelési műveleteket felügyeleti hatóság már ellenőrizte (és a folyamatban és körülményeiben az ellenőrzés óta nem történt változás),

d) Amennyiben az adatkezelés jogi kötelezettségen vagy közhatalmi jogosítvány gyakorlásának jogcímén történik, jog szabályozza az adott adatkezelési műveletet és a jogalap megállapítása során már készült adatvédelmi hatásvizsgálat (kivéve, ha a tagállam kimondta, hogy az adatkezelési műveletet megelőzően hatásvizsgálatot szükséges végezni),

e) Az adatkezelés szerepel azoknak az adatkezelési műveleteknek a (felügyeleti hatóság által összeállított) nem kötelező jegyzékében, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.


Amennyiben az Adatkezelő alapos mérlegelést követően arra jut, hogy nem szükséges a hatásvizsgálat elvégzése, úgy a döntés indokait és körülményeit dokumentálni kell.


Adatvédelmi hatásvizsgálat

Adatvédelmi hatásvizsgálati szoftver:

https://naih.hu/hatasvizsgalati-szoftver

Az adatvédelmi hatásvizsgálat tartalma:

a) A tervezett adatkezelési műveletek módszeres leírása, az adatkezelés céljainak ismertetése, a jogos érdek bemutatása;

b) Az adatkezelési műveletek szükségességi és arányossági szempontból való vizsgálata, mely során figyelembe kell venni az adatkezelés céljait is;

c) Az Érintettek jogait és szabadságait érintő kockázatok vizsgálata;

d) A kockázatok kezelését célzó intézkedések bemutatása, köztük az Érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.


Előzetes konzultációt az alábbi esetekben kell kezdeményezni a felügyeleti hatóságnál:

a) Ha az Adatkezelő a hatásvizsgálat során arra jutott, hogy a tervezett adatkezelés a meghozott intézkedések ellenére magas kockázatú;

b) Ha egyértelmű, hogy a kockázat be fog következni.

5.4 Hozzájáruló nyilatkozat

Amennyiben az adatkezelés jogalapja az Érintett önkéntes hozzájárulása, úgy az Érintett hozzájáruló nyilatkozatát valamilyen igazolható formában be kell szerezni. A hozzájárulást írásban vagy egyéb maradandó és visszakereshető módon szükséges rögzíteni az elszámoltathatóság elve okán.

A hozzájáruló nyilatkozatokat főszabály szerint az adatkezelés fennállásáig, illetve a hozzájárulás visszavonásáig szükséges megőrizni.

A hozzájárulással kapcsolatban egyéb rendelkezéseket a vonatkozó eljárásrend tartalmaz (1.számú melléklet).

5.5 Érintetti kérelmi űrlap

Az Érintett az adatkezelés folyamán bármikor élhet a GDPR 13-22.cikkében rendezett jogaival.  Az Érintett ezen jogát bármilyen módon gyakorolhatja, az Adatkezelő nem korlátozhatja az Érintetett, nem szabhat feltételeket. Az Adatkezelő szervezési és technikai intézkedéseket hoz annak érdekében, hogy elősegítse az Érintettek hozzáférési jogának gyakorlását, amelynek egyik módja a kérelmi űrlap. Az űrlap használatát nem lehet kötelezővé tenni.

A beérkező érintetti kérelmeket a lehető leghamarabb, de maximum 30 napon belül teljesíteni kell, a teljesítés néhány kivételes esettől eltekintve ingyenes.

A kérelmet a teljesítési igazolás kiállítását követően célszerű törölni. A megőrzési idő meghatározása az Adatkezelő feladata. Egyéb alkalmazandó rendelkezéseket jelen szabályzat vonatkozó pontja és a tudásbázisba feltöltött eljárásrend tartalmaz.

Az érintetti jogok gyakorlásának elősegítése érdekében az Adatkezelő Érintetti kérelmi űrlapot biztosít (3.számú melléklet). 

5.6 Érintetti jogok teljesítési igazolása

Az érintetti jogok teljesítési igazolása tartalmazza a szükséges információt arra nézve, hogy az Adatkezelő milyen érintetti kérelmet, mikor teljesített vagy utasított el. Az űrlap egyrészt az Adatkezelő munkájának megkönnyítését és igazolását szolgálja, másrészt pedig tartalmazza az esetleges elutasítási indokokat is, amelyeket minden esetben az Érintettek rendelkezésére kell bocsátani.

A teljesíti igazolás egy naptári évig őrizhető, annak érdekében, hogy az Adatkezelő ellenőrizni tudja az ismétlődő kéréseket.

Az igazolás alkalmazandó nyomtatványa jelen szabályzat 4. számú mellékletében található.

5.7 Adatvédelmi oktatási nyilvántartásra, illetve jegyzőkönyv

Az Adatkezelő kötelezettsége biztosítani, hogy minden munkavállalója az adatvédelmi rendelkezésék ismeretében és azoknak megfelelően kezelje a személyes adatokat. Ezen kötelezettség teljesítésének igazolására az oktatásokról és az azon részt vett munkavállalókról nyilvántartást vezet az Adatkezelő.

A megőrzési időről a mindenkor hatályos, tudásbázisra feltöltött eljárásrend rendelkezik.

Az oktatási jegyzőkönyv formanyomtatványa jelen szabályzat 5. számú mellékletében található.

5.8 Adatkezelést felülvizsgáló jegyzőkönyv

Az Adatkezelőnek törvényi kötelezettsége, hogy az általa, illetve az Adatfeldolgozója által az adatkezelésben kezelt adatok szükségességét időszakosan, minimum 3 évente felülvizsgálja. Ezen felülvizsgálat körülményeit és eredményét az Adatkezelőnek dokumentálja, és a dokumentációt a felülvizsgálat elvégzését követő tíz évig őrzi.

A felülvizsgálati jegyzőkönyvet jelen szabályzat 6. számú melléklete tartalmazza.

5.9 Törlési jegyzőkönyv

A személyes adatok véglegesen, minden adathordozóról való törlésének tényét az elszámoltathatóság elvének, a törlés visszakereshetőségének, valamint ellenőrzésének okán az Adatkezelő jegyzőkönyvbe foglalja.

A jegyzőkönyv megőrzéséről a tudásbázisra feltöltött dokumentum megőrzésére vonatkozó eljárásrend rendelkezik.

A jegyzőkönyv formanyomtatványát jelen szabályzat 7. számú melléklete tartalmazza.

5.10 Adatkezelési és adatvédelmi szabályzat

A szabályzat célja az adatvédelmi folyamatok rendszerezése és ismertetése, az adatvédelmi megfelelés és adatkezelések átláthatóságának biztosítása érdekében.

A szabályzatot és annak későbbi verzióit minimum az adatkezelés fennállásáig meg kell őrizni.

5.11 Kötelező vezetendő nyilvántartások Adatkezelőként

Az Info tv. 25/E.§ (1) bekezdés értelmében az Adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az Érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet (a továbbiakban együtt: adatkezelői nyilvántartás).

A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az Adatkezelő és az Adatfeldolgozó elektronikus naplót vezet.

A nyilvántartásokat az adatkezelés megszűnését követő 10 évig szükséges őrizni.

5.12 Kötelező nyilvántartások vezetése Adatfeldolgozóként

Az Adatfeldolgozó az Adatkezelő(k) megbízásából vagy rendelkezése szerint végzett adatkezeléseiről nyilvántartást vezet.

A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az Adatkezelő és az Adatfeldolgozó elektronikus naplót vezet.

A nyilvántartásokat az adatkezelés megszűnését követő 10 évig szükséges őrizni.

5.13 Személyes adatokkal kapcsolatos adatkezelésekről vezetett nyilvántartás

A nyilvántartás az alábbiakat kell, hogy tartalmazza:

a) Az Adatkezelő, ideértve minden egyes Közös adatkezelőt is, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit;

b) Az adatkezelés célját vagy céljait;

c) Személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – körét;

d) Az Érintettek, valamint a kezelt adatok körét;

e) Profilalkotás alkalmazása esetén annak tényét;

f) Nemzetközi adattovábbítás esetén a továbbított adatok körét;

g) Az adatkezelési műveletek - ideértve az adattovábbítást is – jogalapjait;

h) Ha az ismert, a kezelt személyes adatok törlésének időpontját;

i) A végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását.


A nyilvántartás nem tartalmazhat személyes adatot, a nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt - kérésére - a felügyeleti hatóság rendelkezésére kell bocsátani.

A nyilvántartást az adatok törlését követő 10 évig kell megőrizni.

5.14 Adatvédelmi incidensekről vezetett nyilvántartás

A nyilvántartás az alábbiakat kell, hogy tartalmazza:

a) Az érintett személyes adatok körét;

b) Az adatvédelmi incidenssel Érintettek körét és számát;

c) Az adatvédelmi incidens időpontját;

d) Az adatvédelmi incidens körülményeit, hatásait;

e) Az adatvédelmi incidens orvoslására megtett intézkedéseket;

f) Az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.


A nyilvántartás nem tartalmazhat személyes adatot, a nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt - kérésére - a felügyeleti hatóság rendelkezésére kell bocsátani.

A nyilvántartást az adatok törlését követő 10 évig kell megőrizni.

5.15 Érintettek hozzáférési jogával kapcsolatban vezetett nyilvántartás

A nyilvántartás az alábbiakat kell, hogy tartalmazza:

a) A kérelmezett érintetti jog;

b) Kérelem beérkezésének ideje;

c) Teljesítés ideje;

d) Elutasítás ideje;

e) Elutasítás vagy korlátozás jogi és ténybeli indokai.


A nyilvántartás nem tartalmazhat személyes adatot, a nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt - kérésére - a felügyeleti hatóság rendelkezésére kell bocsátani.

A nyilvántartást az adatok törlését követő 10 évig kell megőrizni.

5.16 Adatfeldolgozó által vezetendő nyilvántartás

A nyilvántartás az alábbiakat kell, hogy tartalmazza:

a) Az Adatkezelő, az Adatfeldolgozó, a további Adatfeldolgozók, valamint az Adatfeldolgozó adatvédelmi tisztviselőjének nevét és elérhetőségeit;

b) Az Adatkezelő megbízásából vagy rendelkezése szerint végzett adatkezelések típusait;

c) Az Adatkezelő kifejezett utasítására történő nemzetközi adattovábbítás esetén a nemzetközi adattovábbítás tényét, valamint a címzett harmadik ország vagy nemzetközi szervezet megjelölését;

d) A végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását.


A nyilvántartás nem tartalmazhat személyes adatot, a nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt - kérésére - a felügyleti hatóság rendelkezésére kell bocsátani.

A nyilvántartást az adatok törlését követő 10 évig kell megőrizni.

5.17 Elektronikus napló

A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az Adatkezelő és az Adatfeldolgozó automatizált adatkezelési rendszerben (a továbbiakban: elektronikus napló) rögzíti:

a) Az adatkezelési művelettel érintett személyes adatok körének meghatározását;

b) Az adatkezelési művelet célját és indokát;

c) Az adatkezelési művelet elvégzésének pontos időpontját;

d) Az adatkezelési műveletet végrehajtó személy megjelölését;

e) A személyes adatok továbbítása esetén az adattovábbítás címzettjét.


Az elektronikus naplóban rögzített adatok kizárólag az adatkezelés jogszerűségének ellenőrzése, az adatbiztonsági követelmények érvényesítése, továbbá büntetőeljárás lefolytatása céljából ismerhetőek meg és használhatóak fel.

Az elektronikus naplóhoz az Adatkezelő, illetve az Adatfeldolgozó hozzáférést biztosít a felügyeleti hatóság, nyomozó hatóság, valamint bíróság részére, abból részükre adatot továbbít.

A nyilvántartást az adatok törlését követő 10 évig kell megőrizni.

5.18 Közös adatkezelésről szóló megállapodás

A közös adatkezelésről megállapodást szükséges kötni. A szerződést az Érintettek rendelkezésére kell bocsátani, nyilvánosságra kell hozni.

A megállapodás kötelező elemei az alábbiak:

a) Általános adatvédelmi rendeletben foglalt kötelezettségek teljesítésének módja;

b) Érintetti jogok biztosításának módja;

c) Közös adatkezelők Érintettekkel szembeni szerepe és a velük való kapcsolattartás;

d) Érintetti jogok gyakorlásának elősegítése érdekében kapcsolattartásra köteles fél kijelölése.


Az Érintettek a megállapodás tartalmától függetlenül bármelyik felet megkereshetik jogaik gyakorlása érdekében.

A szerződést és annak módosításait minimum az adatkezelés fennállásáig szükséges őrizni.

5.19 Adatfeldolgozói szerződés

Az Adatfeldolgozó az Adatkezelő utasításainak megfelelően, valamint az adatfeldolgozói szerződésben foglaltak szerint végzi az adatkezelést, továbbá a hozzáféréssel érintett személyes adatokkal kizárólag az Adatkezelő utasításában meghatározott műveletek végzésére jogosult.

Adatfeldolgozói szerződés kötelező tartalmi elemei:

a) Adatkezelő/Adatfeldolgozó megnevezése, címe;

b) Adatkezelés tárgya;

c) Adatkezelés időtartama;

d) Adatkezelés jellege és célja;

e) A kezelt személyes adatok típusai;

d) Az Érintettek kategóriái;

e) Elvégzendő adatkezelés kapcsán az Adatfeldolgozóra háruló konkrét feladatok és felelősségek;

f) Adatkezelő és Adatfeldolgozó jogai és kötelezettségei.


A szerződésben rendelkezni kell arról, hogy az Adatfeldolgozó:

a) Kizárólag az Adatkezelő utasításai alapján végzi az adatkezelést;

b) Biztosítja a személyes adatokhoz hozzáférő személyek titoktartását;

c) Segíti az Adatkezelőt az Érintettek jogainak érvényesítésében;

d) Adatfeldolgozói tevékenységének végeztével az Adatkezelő utasításainak megfelelően haladéktalanul törli, vagy az Adatkezelőnek való átadást követően törli a személyes adatokat;

e) Hogyan igazolja, hogy megfelel a törvényi elvárásoknak;

f) Adatvédelmi incidens esetén hogyan és mikor (azonnal) tájékoztatja az Adatkezelőt;

g) További Adatfeldolgozót, hogyan és milyen módon jogosult az adatkezelésben bevonni.


A szerződést és annak módosításait minimum az adatkezelés fennállásáig őrizni kell.


6. Érintettek hozzáférési joga

A jelen pontban tárgyaltakon túl egyéb alkalmazandó rendelkezéseket a tudásbázisra feltöltött eljárásrend tartalmaz.

6.1 Az Érintettek jogai

Az Érintett jogosult:

Előzetes tájékoztatást kapni (Info tv. 14. §, 16. §, GDPR 13. és 14. cikk): tömör, átlátható, érthető és könnyen hozzáférhető formában megfogalmazott tájékoztatást kapni a személyes adatok adatainak kezeléséről.

A tájékoztató kötelező tartalmi elemei, ha az adatokat az Érintett személytől gyűjtik:

a) Az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;

b) Az Adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) A személyes adatok tervezett kezelésének célja;

d) az adatkezelés jogalapja;

e) A GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;

f) A személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

g) annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja-e továbbítani a személyes adatokat; és ha igen, akkor az említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése;

h) A személyes adatok tárolásának időtartama, vagy ezen időtartam meghatározásának szempontjai;

i) Az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;

j) A hozzájárulás bármely időpontban történő visszavonásához fűződő jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

k) A felügyeleti hatósághoz címzett panasz benyújtásának joga;

l) Annak ténye, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a személyes adatokat megadni továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;

m) Automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.


A tájékoztató kötelező tartalmi elemei, ha az adatokat nem az Érintett személytől gyűjtik:

a) Az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;

b) Az Adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) A személyes adatok tervezett kezelésének célja;

d) Az adatkezelés jogalapja;

e) A személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;

f) Az Érintett személyes adatok kategóriái;

g) A GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az Adatkezelő vagy harmadik fél jogos érdekei;

h) A személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

i) Annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja-e továbbítani a személyes adatokat; és ha igen, akkor az említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése;

j) A személyes adatok tárolásának időtartama, vagy ezen időtartam meghatározásának szempontjai;

k) Az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;

l) A hozzájárulás bármely időpontban történő visszavonásához fűződő jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

m) A felügyeleti hatósághoz címzett panasz benyújtásának joga;

n) Annak ténye, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a személyes adatokat megadni továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;

o) Automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.


Személyes adataihoz és a következő információkhoz hozzáférést kapni (Info tv. 17. §, GDPR 15. cikk): visszajelzést kapni arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon: 

a) Személyes adatai másolatának egy példánya (további példányok díj ellenében);

b) Személyes adatai adatkezelésének célja és jogalapja;

c) Személyes adatai kategóriái;

d) Azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel személyes adatait közöljük vagy közölni fogjuk, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

e) Harmadik országba vagy nemzetközi szervezet részére történő továbbítás esetén, az Érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozó megfelelő garanciákról;

f) Személyes adatai tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

g) A felügyeleti hatósághoz panasz benyújtásának joga;

h) Ha az adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

i) Automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár;

j) Az Érintett személyes adatainak kezelésével összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményei, azok hatásai és az azok kezelésére tett intézkedések. 


Személyes adatai helyesbítéséhez (Info tv. 18. §, GDPR 16. cikk): a pontatlan adatainak indokolatlan késedelem nélkül helyesbítésre, kiegészítésre.

Mentesül ezen kötelezettség alól az Adatkezelő, ha:

a) a pontos, helytálló, illetve hiánytalan személyes adatok nem állnak rendelkezésére és azokat az Érintett sem bocsátja a rendelkezésére, vagy

b) az Érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.


Ha az Adatkezelő az általa, illetve a megbízásából vagy rendelkezése alapján eljáró Adatfeldolgozó által kezelt személyes adatokat helyesbíti, annak tényéről és a helyesbített személyes adatról tájékoztatja azt az Adatkezelőt, amely részére a helyesbítéssel érintett személyes adatot továbbította.


Személyes adatai töröltetéséhez (Info tv. 20. §, GDPR 17. cikk): indokolatlan késedelem nélkül, ha az alábbiak valamelyike fennáll:  

a) Nincs már szükség az adatra, az adatkezelés célja megszűnt; 

b) Az Érintett visszavonja a hozzájárulását, és az adatkezelésnek nincs más jogalapja;  

c) Az Érintett tiltakozik az adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;  

d) Az adatkezelés jogellenes;  

e) Jogi kötelezettség teljesítése miatt szükséges az adattörlés, 

f) Az adatkezelésre az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor. 


Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését


A fentiek nem alkalmazandóak, amennyiben az adatkezelés szükséges: 

a) A véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;

b) A személyes adatok kezelését előíró jogszabály szerinti kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

c) Népegészségügy területét érintő közérdek alapján; 

d) Közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból;

e) Jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. 


Az adatkezelés korlátozásához (Info tv. 19. §, GDPR 18. cikk): az alábbi felsorolt esetekben: 

a) Az Érintett vitatja a személyes adatai pontosságát, helytállóságát, hiánytalanságát;

b) Az adatkezelés jogellenes és az Érintett ellenzi az adatok törlését;

c) Már nincs szükség az Érintett személyes adataira, de az Érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

d) Az Érintett tiltakozik az adatkezelés ellen. 


Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az Adatkezelő az Érintettet az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.


Az adatkezelési hozzájárulását bármikor visszavonni (GDPR 7. cikk)a visszavonás nem érinti a hozzájárulás visszavonása előtt történt adatkezelés jogszerűségét. A visszavonást postai vagy elektronikus úton is kezdeményezheti az adatkezelő elérhetőségein.  


Az adathordozhatósághoz (GDPR 20. cikk): Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a) az adatkezelés hozzájáruláson vagy szerződésen alapul; és

b) az adatkezelés automatizált módon történik.


Az adatok hordozhatóságához való jog gyakorlása során az Érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok Adatkezelők közötti közvetlen továbbítását.

Ezen jog gyakorlása nem sértheti a törléshez való jogot. Az adathordozhatósághoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

Az adathordozhatósághoz való jog nem érintheti hátrányosan mások jogait és szabadságait.


A tiltakozáshoz (GDPR 21. cikk): Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az Érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Az Érintettel való első kapcsolatfelvétel során a tiltakozáshoz való jogra kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

(Az Érintett tiltakozása esetén egyedi, Érintettre szabott érdekmérlegelési tesztet szükséges végezni.) 


Az automatizált döntéshozatal és profilalkotás ellen tiltakozni (GDPR 22. cikk): az Érintett joga, hogy ne terjedjen ki rá a kizárólag automatizált adatkezelésen, ideértve a profilalkotáson is - alapuló döntés hatálya, amely rá nézve jelentős joghatással járna vagy őt jelentős mértékben érintené. Ez alól kivételt jelent, ha: 

a) Az Érintett és az Adatkezelő lévő szerződés megkötése vagy teljesítése érdekében szükséges;

b) Jogszabály lehetővé teszi;

c) Az Érintett ehhez kifejezetten hozzájárul.


A fent említett a) és c) esetekben az Érintett jogosult:    

 • Emberi beavatkozást kérni;
 • Álláspontját kifejezni;
 • A döntéssel szemben kifogást benyújtani.


A felügyeleti hatósághoz panaszt benyújtani (GDPR 77. cikk): Nemzeti Adatvédelmi és Információszabadság Hatóság, http://naih.hu. Amennyiben az Érintett külföldi állampolgár, úgy a szokásos tartózkodási helye, illetve munkahelye szerinti felügyeleti hatóságnál is panaszt tehet. 


Felügyeleti hatósággal szembeni bírósági jogorvoslathoz (GDPR 78. cikk): amennyiben a hatóság nem hoz döntést a panasszal kapcsolatban, vagy 3 hónapon belül nem ad azzal kapcsolatban tájékoztatást, úgy az Érintettnek lehetősége van bírósághoz fordulni. 


Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz (GDPR 79. cikk): A hatósági eljárástól és más eljárásoktól függetlenül az Érintett bírósághoz fordulhat az Adatkezelő és Adatfeldolgozó ellen az Adatkezelő/Adatfeldolgozó tevékenysége helye szerinti bíróság előtt. A pert az Érintett tartózkodási helye szerinti tagállam szerinti bíróságon is megindíthatja. 


Kártérítéshez és sérelemdíjhoz (GDPR 82. cikk): a Rendelet megsértéséből fakadóan elszenvedett vagyoni vagy nem vagyoni kár okán kártérítésre jogosult. Amennyiben több Adatkezelő van, úgy ők egyetemleges felelősséggel tartoznak az okozott kárért, egymás között pedig felelősségük mértékében számolnak el. Az Adatfeldolgozó azonban csak akkor felel a bekövetkezett kárért, ha eltért az utasításoktól vagy vétett az Adatfeldolgozókra vonatkozó szabályok ellen. 


A személyes adatokkal összefüggő jogok érvényesítése az Érintett halálát követően (Info tv. 25. §)

Az Érintett halálát követő öt éven belül az általános adatvédelmi rendelet 15-18. és 21. cikkében meghatározott, az elhaltat életében megillető jogokat az Érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az Adatkezelőnél tett nyilatkozattal - ha az Érintett egy Adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal - meghatalmazott személy jogosult érvényesíteni.

Ha az Érintett nem tett jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult az általános adatvédelmi rendelet 16. és 21. cikkében, valamint - ha az adatkezelés már az Érintett életében is jogellenes volt vagy az adatkezelés célja az Érintett halálával megszűnt - az általános adatvédelmi rendelet 17. és 18. cikkében meghatározott, az elhaltat életében megillető jogokat érvényesíteni az Érintett halálát követő öt éven belül. Az Érintett jogainak e bekezdés szerinti érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.

Az Érintett jogait érvényesítő személy az Érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát - és közeli hozzátartozói minőségét - közokirattal igazolja.

Az Adatkezelő kérelemre tájékoztatja az Érintett Polgári Törvénykönyv szerinti közeli hozzátartozóját a megtett intézkedésekről, kivéve, ha azt az Érintett korábbi nyilatkozatában megtiltotta.

6.2 Érintetti jogok biztosításának módja

Adatkezelőként

Az Adatkezelő megfelelő szervezési és technikai intézkedéseket hoz annak érdekében, hogy az Érintettek számára biztosítsa az általános adatvédelmi rendeletben foglalt érintetti jogokat.

Az Adatkezelő minden általa folytatott adatkezelésről előzetes tájékoztatást nyújt az Érintettek részére.

Az Érintettnek joga van kérelem útján érvényesíteni személyes adataihoz fűződő egyéb jogait. A kérelem bármilyen formában és bármilyen adattartalommal érkezhet, írásban vagy szóban, telefonon vagy e-mailben. Az Adatkezelő kérelmi nyomtatványt biztosít (3. számú melléklet) az Érintett részére, annak érdekében, hogy elősegítse az érintettek hozzáférési jogának gyakorlását.


Vizsgálat

A beérkező kérelmet meg kell vizsgálni és a megadott személyes adatok alapján be kell azonosítani a kérelmező személyt.  Amennyiben ez sikertelen, úgy az Érintettet fel kell kérni arra, hogy olyan adatot közöljön, ami szerepel az Adatkezelő adatbázisában és alkalmas az Érintett azonosítására. Nem kérhető olyan adat, ami nem szerepel semmilyen adatbázisban. Az Adatkezelő csak akkor köteles vizsgálni a Kérelmező személyazonosságát, ha kétségei merülnek fel az Érintett kilétét illetően.

A személyazonosság igazolására magyar állampolgárok vonatkozásában az alábbi dokumentumok alkalmasak:

a) személyi igazolvány;

b) útlevél;

c) kártya formátumú vezetői engedély.


Az Érintett saját nevében vagy képviselő útján járhat el. Képviselet esetén a képviseletre való jogosultságot minden esetben igazolni szükséges.


A képviseletet mindig a képviselet formájának megfelelően szükséges igazolni. Néhány példa a képviseletre:

a) szülő/gyám (szülői felügyeleti jogot igazoló dokumentum, gyámot kirendelő határozat);

b) gondnok (gondnokot kirendelő határozat);

c) ügyvéd (ügyvédi megbízás);

d) meghatalmazott (teljes bizonyító erejű magánokiratba foglalt meghatalmazás);

e) egyéb.


Teljesítés

A kérelemről és a benne kérelmezett tevékenységről alapos vizsgálatot követően 25 napon belül dönt az Adatkezelő. A kérelem összetettsége vagy a kérelmezett tevékenységek bonyolultsága esetén ez az időtartam további 2 hónappal kitolható. Az Érintettet a kérelem beérkezését követő 1 hónapon belül tájékoztatni kell a késedelemről és annak indokairól.

Az Adatkezelő teljesítési igazolást állít ki (4. számú melléklet) mind a kérelem teljesítéséről, mind pedig a kérelem elutasításáról és azt megküldi az Érintett részére a kérelem beérkezésétől számított 25 napon belül, hosszabbítás esetén maximum 2 hónapon belül. Elektronikusan érkezett kérelemre az Adatkezelő elektronikus úton köteles válaszolni. Amennyiben az Érintett megjelölte a teljesítés módját, úgy annak megfelelően kell a kérésnek eleget tenni. Az elutasított kérelmeket alaposan indokolni kell és tájékoztatni kell az Érintett arról, hogy a felügyeleti hatósághoz panasszal fordulhat és élhet a bírósági jogorvoslat jogával.


Eljárás díja

Az eljárás alapvetően díjmentes, kivéve, ha az Érintett a folyó évben, azonos adatkörre vonatkozóan ismételten kérelmet nyújt be, és e kérelme alapján az Adatkezelő által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását az Adatkezelő jogszerűen mellőzi, ebben az esetben az Adatkezelő az Érintett jogainak ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az Érintettől. 

Adatfeldolgozóként

Adatfeldolgozóként mindig vizsgálni szükséges, hogy az Adatkezelővel kötött adatfeldolgozói szerződésben foglaltaknak megfelelően milyen kötelezettségei vannak a Rendszerinformatika Zrt.-nek. Azon kérelmek esetében, ahol a Rendszerinformatika Zrt. Adatfeldolgozó szerepet tölt be, minden esetben meg kell állapítani az Adatkezelő kilétét és a lehető leghamarabb értesíteni kell a beérkezett igényről. A kérelmeket az Adatkezelő utasításának megfelelően kell kezelni és teljesíteni.

Az érintettek hozzáférési jogával kapcsolatban vezetett nyilvántartás

Az érintetti kérelmeket és az Adatkezelő által tett intézkedéseket nyilvántartásba kell foglalni. Az „Adatkezelői tevékenységekről vezetett nyilvántartás” része az „Érintettek hozzáférési jogával kapcsolatban vezetett nyilvántartás”. A nyilvántartást a kezelt adatok törlését követő 10 évig kell őrizni és a felügyeleti hatóság megkeresésére azt rendelkezésére kell bocsátani.

7. Adatvédelmi hatásvizsgálat

Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint az Érintettek személyes adatait fenyegető kockázatok mérséklése. Az adatvédelmi hatásvizsgálat az általános adatvédelmi rendelet betartásának elérésére és bizonyítására szolgáló eljárás.

7.1 Hatásvizsgálat elvégzésének szükségessége

Az Adatkezelőknek folyamatosan értékeli adatkezelésből eredő kockázatokat, annak érdekében, hogy fel tudja mérni, hogy az adatkezelés milyen veszélyeket hordoz. Adatvédelmi hatásvizsgálatra abban az esetben van szükség, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

Azon adatkezelési műveletek típusainak a jegyzéke, amelyekre nézve az Adatkezelőnek kötelező hatásvizsgálatot lefolytatnia: A felügyeleti hatóság (NAIH) közzétette azon adatkezelések listáját, amelyek vonatkozásában az Adatkezelőnek kötelező hatásvizsgálatot végeznie. A lista az alábbi linken érhető el: https://naih.hu/hatasvizsgalati-lista

A magas kockázati tényezők vizsgálata:

Valószínűsíthetően magas kockázattal járó adatkezelés:

a) Az Érintettekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen (ideértve a profilalkotást is) alapul és ezen adatkezelésre olyan döntések épülnek, amelyek jelentősen kihatnak az Érintettekre;

b) Különleges kategóriájú személyes adatok és bűnügyi adatok kezelése;

c) Nyilvános helyek nagymértékű, módszeres megfigyelése.


A felsoroláson túli egyéb esetekben a valószínűsíthetően magas kockázat az alábbiak alapján mérlegelendő:

Amennyiben ezek közül két szempont teljesül, szükséges a hatásvizsgálat elvégzése az adott adatkezelés vonatkozásában.

Értékelés, pontozás, profilalkotás, előrejelzés:

Az Érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, érdeklődési körére, megbízhatóságára, viselkedésére, tartózkodási helyére, mozgására vonatkozó jellemzők.

Joghatással vagy jelentős hatással bíró automatizált döntéshozatal:

Olyan adatkezelés, amely eredményezheti az Érintettek kirekesztését vagy hátrányos megkülönböztetését.

Módszeres megfigyelés:

Az Érintettek megfigyelése, nyomon követése vagy ellenőrzése céljából végzett adatkezelés, többek között a hálózatokon keresztüli adatgyűjtés vagy a „nyilvános helyek nagymértékű, módszeres megfigyelése”.

Különleges adatok vagy fokozottan személyes jellegű adatok:

a) A különleges kategóriájú vagy bűnügyi személyes adatok kezelése;

b) Otthoni vagy magánjellegű tevékenységekhez kapcsolódó adatok;

c) Olyan adatok, amelyek kihatnak valamely alapvető jog gyakorlására;

d) Az jogsértések egyértelműen súlyos hatást gyakorolnak az Érintett mindennapi életére;

e) Nagy számban kezelt adatok az alábbi szempontok szerint:

 • Az Érintettek konkrét száma vagy az Érintettek száma a lakosság viszonyában;
 • A kezelt adatfajták köre vagy mennyisége;
 • Az adatkezelési tevékenység időtartama állandóságának jellege;
 • Az adatkezelés földrajzi kiterjedése.

Adatkészletek egymással való megfeleltetése vagy összevonása történik.

Kiszolgáltatott helyzetben lévő Érintettek:

 • Gyermekek;
 • Munkavállalók;
 • Lakosság kiszolgáltatott tagjai;
 • Érintett és az Adatkezelő egyenlőtlen kapcsolata esetén.

Új technológiák vagy szervezési megoldások innovatív használata.

Amennyiben az adatkezelés megakadályozza, hogy az Érintettek jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe.

Amennyiben az Adatkezelő mindezen körülmények fennállása ellenére úgy dönt, hogy nem szükséges a hatásvizsgálat elvégzése, úgy ezen a döntést indokolni kell és dokumentumokkal alá kell támasztani.


Nem kell adatvédelmi hatásvizsgálatot végezni az alábbi esetekben:

a) Amennyiben az adatkezelés nem jár magas kockázattal;

b) Ha az adatkezelés célját, jellegét, hatókörét, körülményeit tekintve hasonlít egy másik adatkezelésre, amelyről már készült hatásvizsgálat;

c) Az adatkezelési műveleteket felügyeleti hatóság már ellenőrizte (és a folyamatban és körülményeiben az ellenőrzés óta nem történt változás),

d) Amennyiben az adatkezelés jogi kötelezettségen vagy közhatalmi jogosítvány gyakorlásának jogcímén történik, jog szabályozza az adott adatkezelési műveletet és a jogalap megállapítása során már készült adatvédelmi hatásvizsgálat (kivéve, ha a tagállam kimondta, hogy az adatkezelési műveletet megelőzően hatásvizsgálatot szükséges végezni),

e) Az adatkezelés szerepel azoknak az adatkezelési műveleteknek a (felügyeleti hatóság által összeállított) nem kötelező jegyzékében, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.

7.2 Hatásvizsgálat lefolytatása

Hatásvizsgálatot mindig az adatkezelést megelőzően kell végezni, azonban, ha a folyamatban lévő adatkezelés tekintetében az adatkezelés magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve és megváltoztak a kockázati tényezők, szintén szükséges a hatásvizsgálat elvégzése. Egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

A hatásvizsgálatot az Adatkezelő végzi, az ő felelőssége a rendeletnek való megfelelés biztosítása és bizonyítása. Szükséges kikérni az adatvédelmi tisztviselő tanácsát és dokumentálni az általa javasoltakat. Amennyiben az adatkezelést részben vagy teljes egészében Adatfeldolgozó végzi, az Adatfeldolgozónak segítenie kell az adatvédelmi hatásvizsgálat lefolytatásában és közölnie kell a szükséges információkat.


Hatásvizsgálati módszer választása

Az Adatkezelő felelőssége kiválasztani a megfelelő hatásvizsgálati módszert.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) közzétett a honlapján egy hatásvizsgálat szoftvert, amely segítséget nyújt a hatásvizsgálat lefolytatásában és amelyet az Adatkezelő a vizsgálat lefolytatására alkalmaz:

https://naih.hu/hatasvizsgalati-szoftver


Az adatvédelmi hatásvizsgálat célja

a) A személyes adatkezelés jellegének feltárása;

b) A szükségességének és arányosságának vizsgálata;

c) A személyes adatok kezeléséből eredő kockázatok értékelésével ezen kockázatok kezelésének elősegítése és

d) A kezelésükre szolgáló intézkedések meghatározása.


Az adatvédelmi hatásvizsgálat tartalma

a) A tervezett adatkezelési műveletek módszeres leírása, az adatkezelés céljainak ismertetése, a jogos érdek bemutatása;

b) Az adatkezelési műveletek szükségességi és arányossági szempontból való vizsgálata, mely során figyelembe kell venni az adatkezelés céljait is;

c) Az Érintettek jogait és szabadságait érintő kockázatok vizsgálata;

d) A kockázatok kezelését célzó intézkedések bemutatása, köztük az Érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.


Az Adatkezelő a vizsgálat során köteles kikérni az Érintettek véleményét a tervezett adatkezelés vonatkozásában, az Érintettek véleményétől való eltérést indokolni és dokumentálni kell.


A hatásvizsgálat állandó, ismétlődő folyamata

a) A tervezett adatkezelés leírása;

b) A szükségesség és arányosság vizsgálata;

c) Már tervezett intézkedések;

d) A jogokat és szabadságokat érintő kockázatok vizsgálata;

e) Kockázatok kezelésére irányuló intézkedések;

d) Dokumentáció;

e) Nyomon követés és felülvizsgálat.

Forrás: https://naih.hu/files/WP248_rev01_hu.pdf

7.3 Előzetes konzultáció az illetékes felügyeleti hatósággal

Az Adatkezelő vagy tevékenysége keretei között az Adatfeldolgozó az adatkezelés megkezdését megelőzően konzultációt kezdeményez az illetékes felügyeleti hatósággal.

a) Ha az Adatkezelő a hatásvizsgálat során arra jutott, hogy a tervezett adatkezelés a meghozott intézkedések ellenére magas kockázatú;

b) Ha egyértelmű, hogy a kockázat be fog következni.


Az Adatkezelő az alábbi információkat és dokumentumokat köteles benyújtani a felügyeleti hatóságnak:

a) Az adatkezelésben részt vevő Adatkezelő, közös Adatkezelők és Adatfeldolgozók feladatkörei;

b) A tervezett adatkezelés céljai és módjai;

c) Az Érintettek jogainak és szabadságainak védelmében hozott intézkedések és garanciák;

d) Az adatvédelmi tisztviselő elérhetőségei;

e) Az adatvédelmi hatásvizsgálat és

f) A felügyeleti hatóság által kért minden egyéb információ.


Ha a felügyeleti hatóság az előzetes konzultáció során arra a megállapításra jut, hogy a tervezett adatkezelés vonatkozásában az arra irányadó jogszabályban meghatározott előírások nem érvényesülnek maradéktalanul, a feladat- és hatáskörébe tartozó bármely egyéb intézkedés megtétele mellett vagy helyett a feltárt hiányosságok megszüntetésére alkalmas lépéseket határoz meg és azok végrehajtására tesz javaslatot.

7.4 Hatásvizsgálat nyilvánossága

Az adatvédelmi hatásvizsgálat közzététele nem kötelező, azonban az átláthatóság és az elszámoltathatóság elvének érvényesülése érdekében a hatásvizsgálat főbb megállapításait az Adatkezelő az Érintettek tudomására hozza.


8. Adatvédelmi incidens

A jelen pontban tárgyaltak a tudásbázisra feltöltött eljárásrenddel együtt értelmezendőek.

8.1 Az adatvédelmi incidens fogalma

A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférését eredményezni.

Lényegét tekintve minden adatvédelmi incidens biztonsági incidens, azonban nem feltétlenül minősül mindegyik biztonsági incidens adatvédelmi incidensnek. Adatvédelmi incidensről csak személyes adatok biztonságának sérülése estén beszélhetünk.

8.2 Az adatvédelmi incidensek fajtái

Az adatvédelmi incidensek az alábbi három jól ismert információbiztonsági elv szerint kategorizálhatók:

 • „titoksértés”: személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés;
 • „sértetlenségi adatsértés”: személyes adatok jogosulatlan vagy véletlen módosítása;
 • „hozzáférhetőségi adatsértés”: a személyes adatokhoz való hozzáférés véletlen vagy jogosulatlan elvesztése vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése. Az incidens mindig hozzáférhetőségi adatsértésnek minősül, ha a személyes adatok véglegesem elvesznek vagy megsemmisülnek.

8.3 Az adatvédelmi incidens észlelése

Az Adatkezelő felelőssége megtenni a szükséges szervezési és technikai intézkedéseket annak érdekében, hogy az adatvédelmi incidens a lehető leghamarabb felismerhetővé váljon.

Incidens gyanú esetén az incidens észlelője rövid vizsgálatot végez annak megállapítása érdekében, hogy sérültek-e személyes adatok. A vizsgálati idő ésszerű kell, hogy legyen, nem haladhatja meg az egy, maximum két órát, mivel az Adatkezelőnek rövid idő áll rendelkezésére a felügyeleti hatóság (NAIH) és az Érintettek értesítésére.

Akkor tekinthető úgy, hogy az incidens az adatkezelő tudomására jutott, amikor az adatkezelő ésszerű bizonyossággal meggyőződött arról, hogy olyan biztonsági incidens történt, amelynek következtében a személyes adatok veszélybe kerültek.

8.4 Értesítendő személyek

Amennyiben bizonyossá vált, hogy adatvédelmi incidens történt, úgy mind az Adatkezelőt (vezető tisztségviselő, vezető beosztású munkavállaló), mind az Adatvédelmi tisztviselőt a lehető leghamarabb értesíteni kell.

Amennyiben a Rendszerinformatika Zrt., mint Adatfeldolgozó érintett, úgy abban az estben (is) az adatvédelmi jogszabályoknak, az adatfeldolgozói szerződésben foglaltaknak, a vonatkozó eljárásrend szerint és az Adatkezelő írásbeli utasításának megfelelően kell, hogy eljárjon.

Adatfeldolgozóként végzendő teendők adatvédelmi incidens esetén:

a) Amennyiben bizonyos, hogy adatvédelmi incidens történt, úgy az incidenst a lehető leghamarabb, indokolatlan késedelem nélkül közölni kell az Adatkezelő által megjelölt módon, az általa kijelölt személlyel, amennyiben nincs ilyen, úgy az Adatkezelő képviselőjével/kapcsolattartójával mind telefonon, mind pedig írásban, abban az esetben is, ha az incidens körülményei még nem tisztázottak;

b) Az incidens elhárítását azonnal meg kell kezdeni és fel kell mérni az incidens hatásait;

c) Folyamatosan tájékoztatni kell az Adatkezelőt;

d) Az incidenst az Adatkezelő utasításainak megfelelően kell dokumentálni, amennyiben ilyen iránymutatás nem létezik, úgy az Adatkezelő saját eljárásrendjének megfelelően kell az adatokat és az incidens körülményeit rögzíteni.

8.5 Az adatvédelmi incidens elhárítása

Az incidens elhárítását a lehető leghamarabb meg kell kezdeni, az incidens okát meg kell szüntetni, valamint az adatok biztonságát szükséges a lehető leggyorsabban helyreállítani. Ezzel párhuzamosan a kockázatok felmérését is meg kell kezdeni.

8.6 Kockázatok felmérése

A kockázatok felmérését amint lehetséges meg kell indítani. Az elemzés során Mérlegelendő tényezők:

A kockázat felmérése során figyelembe kell vennie az incidens konkrét körülményeit, lehetséges hatásának súlyosságát és a hatások bekövetkezésének valószínűségét.

Az incidens jellege

A különböző jellegű incidensek eltérő hatást gyakorolhatnak az Érintettekre.

 • „titoksértés”
 • „sértetlenségi adatsértés”
 • „hozzáférhetőségi adatsértés”

 A személyes adatok jellege, érzékenysége és mennyisége

A felmérés során minden esetben vizsgálja az Adatkezelő, hogy milyen jellegű adatokat érint az incidens, továbbá figyelembe veszi, hogy az adatok együttes ismerete milyen következménnyel járhat az Érintettekre.

Az egyének könnyű azonosíthatósága

Mérlegelni szükséges, hogy a veszélyeztetett személyes adatokhoz hozzáférő személy mennyire könnyen tudja azonosítani az egyes Érintetteket, vagy az egyének azonosítása céljából más információkkal összeegyeztetni az adatokat.

Az egyéneket érintő következmények súlyosság

A súlyosság felmérése során az alábbi szempontokat szükséges figyelembe venni:

a) Az adatok jellege;

b) Az adatok mennyisége;

c) Az Érintettek kiszolgáltatott helyzete;

d) A kiszivárgott adatok kihez/hova kerültek;

e) Az idő elteltével a várható hatások alakulása, következmények tartóssága.

Az egyén sajátosságai

Az Érintettek sajátosságai, úgymint koruk, szociális vagy pénzügyi helyzetük, cselekvőképességük, befolyásolhatják az adatvédelmi incidens kockázatait.

Az Adatkezelő sajátosságai

Az Adatkezelő tevékenysége befolyásolhatja az incidensből fakadó kockázati tényezőket.

Az Érintett egyének száma

Általánosságban elmondható, hogy minél nagyobb az Érintettek száma, annál nagyobb hatást gyakorol a biztonság sérülése. Az incidens azonban csupán egy Érintettre is súlyos kihatással lehet.

8.7 A felügyeleti hatóság értesítése

Amennyiben a kockázatok felmérése során arra jutott az Adatkezelő, hogy az incidens (magas) kockázattal jár az Érintettek jogaira és szabadságaira nézve, úgy az incidenst haladéktalanul, de legkésőbb 72 órán belül bejelenti a felügyeleti hatóság (NAIH) felé. Határokon átnyúló incidens esetén a főfelügyeleti hatóság az illetékes.

Az incidens időben történő bejelentése előtt az sem lehet akadály, hogy nem állnak rendelkezésre pontos információk, ebben az esetben, részletekben is teljesíthető a bejelentési kötelezettség. A részletekben történő bejelentés esetén a felügyeleti hatóságot tájékoztatni kell erről a tényről és a késedelmes közlés okáról.

Amennyiben az Adatkezelő 72 órán belül nem tett eleget jelentési kötelezettségének, úgy a megfelelő igazolásokkal alátámasztva meg kell indokolnia a késedelem okát.

Az incidenst a NAIH elektronikus rendszerén keresztül kell jelenteni.

https://naih.hu/index.php/adatvedelmi-incidensbejelento-rendszer

A bejelentésnek minimum az alábbiakat kell tartalmaznia:

a) Ismertetni szükséges az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) Közölni kell az Adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) Ismertetni szükséges az Adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) Ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

8.8 Az Érintettek tájékoztatása

Az Érintetteket haladéktalanul tájékoztatni szükséges, amennyiben az incidens rájuk nézve jelentős kockázattal jár.

Az értesítési kötelezettség teljesítésétől alól az alábbi, a felügyeleti hatóság felé megfelelően igazolható esetekben lehet eltekinteni:

a) Az Adatkezelő az incidens bekövetkezése előtt megfelelő technikai és szervezési intézkedéseket alkalmazott személyes adatok védelme érdekében, ideértve különösen azokat az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b) Az Adatkezelő rögtön az incidenst követően intézkedéseket tett annak biztosítása érdekében, hogy az egyének jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően ne valósuljon meg;

c) Az Érintettekkel való kapcsolatfelvétel aránytalan erőfeszítést tenne szükségessé, talán azért, mert elérhetőségi adataik az incidens következtében elvesztek, vagy eleve nem is voltak ismertek.


Amennyiben a mentesülés feltételei nem állnak fent az Érintetteket közvetlenül kell tájékoztatni az adott incidensről, kivéve, ha ez aránytalan erőfeszítéssel járna. Ilyen esetekben az Érintetteket nyilvánosan közzétett információk útján is lehet tájékoztatni, vagy olyan intézkedést szükséges hozni, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását. Ha szükséges az Érintetteket több csatornán, többféleképpen is tájékoztatni kell.

Elsődleges tájékoztatási csatornák:

 • Érintett e-mail címére küldött levél;
 • Érintett telefonszámára küldött sms;
 • Érintett által gyakran látogatott honlapon közzétett információ;


Az értesítés során az Adatkezelő az alábbiakról tájékoztatja az Érintetteteket világos és közérthető módon:

a) Az incidens jellege;

b) Az Adatvédelmi tisztviselő vagy egyéb kapcsolattartó neve és elérhetőségei;

c) Az incidens valószínűsíthető következményei;

d) Az Adatkezelő által az incidens orvoslására tett vagy tervezett intézkedések ismertetése, beleértve adott esetben az incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket is. Az Adatkezelő emellett konkrét tanácsokkal láthatja el az Érintetteket, hogy védekezni tudjanak az incidens esetleges hátrányos következményeivel szemben.

8.9 Az adatvédelmi incidensek nyilvántartása

Az Adatkezelő köteles minden incidenst nyilvántartásba venni, függetlenül az incidens mértékétől.

Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Az „Adatkezelői tevékenységekről vezetett nyilvántartás” része az „Adatvédelmi incidensek nyilvántartása”. A nyilvántartást a kezelt adatok törlését követő 10 évig kell őrizni és a felügyeleti hatóság megkeresésére azt rendelkezésére kell bocsátani.

8.10 Az adatvédelmi incidens lezárása

Az adatvédelmi incidensről a 8. számú mellékletben foglaltaknak megfelelően jegyzőkönyvet kell kiállítani.

Az incidenssel érintett adatkezelések adatbiztonsági kockázatait újra kell értékelni és a kockázatoknak megfelelő szervezési és technikai intézkedéseket a lehető leghamarabb be kell építeni.

Az adatvédelmi incidenst követően adatvédelmi oktatást szükséges tartani.


9. Adatvédelmi tisztviselő

Adatvédelmi tisztviselőnek az jelölhető ki, aki a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkezik.

Az Adatkezelő, illetve az Adatfeldolgozó tájékoztatja a  felügyeleti hatóságot (NAIH) az Adatvédelmi tisztviselő nevéről, postai és elektronikus levélcíméről, valamint ezen adatok változásáról. A tisztviselő nevét és elérhetőségi adatait nyilvánosságra kell hozni.

Az Adatkezelő kellő időben bevonja az Adatvédelmi tisztviselőt valamennyi, a személyes adatok védelmét érintő döntés előkészítésébe, továbbá biztosítja az Adatvédelmi tisztviselő számára mindazon feltételeket, jogosultságokat és erőforrásokat, továbbá hozzáférést biztosít mindazon adatokhoz és információkhoz, amelyek az Adatvédelmi tisztviselő által ellátandó feladatok végrehajtásához, valamint az Adatvédelmi tisztviselő szakmai ismereteinek naprakészen tartásához szükségesek.

Az Adatvédelmi tisztviselő elősegíti az Adatkezelő, illetve az Adatfeldolgozó - a személyes adatok kezelésére vonatkozó jogi előírásokban meghatározott - kötelezettségeinek teljesítését, így különösen

a) A személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad az Adatkezelő, az Adatfeldolgozó és az azok által foglalkoztatott, az adatkezelési műveleteket végző személyek részére;

b) Folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását;

c) Elősegíti az Érintettet megillető jogok gyakorlását, így különösen kivizsgálja az Érintettek panaszait és kezdeményezi az Adatkezelőnél, illetve az Adatfeldolgozónál a panasz orvoslásához szükséges intézkedések megtételét,

d) Szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását,

e) Együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és személyekkel, így különösen kapcsolatot tart a felügyeleti hatósággal az előzetes konzultáció és a hatóság által lefolytatott eljárások elősegítése érdekében,

f) Közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában.


Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó Adatkezelő vagy Adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.

Az Adatvédelmi tisztviselő a vezető tisztségviselők írásbeli javaslatait, kéréseit mérlegeli és teljesíti. Az Adatvédelmi tisztviselő kizárólag javaslattételi jogkörrel rendelkezik, nem jogosult a személyes adatok kezelésének vonatkozásában döntést hozni.

Az Adatvédelmi tisztviselő havonta jelentést tesz az igazgatóság felé a személyes adatok kezelésével kapcsolatos minden eseményéről.

 

10. Adatvédelmi oktatás

Az Adatkezelő alkalmazásában álló munkavállalók rendszeres adatvédelmi oktatása elengedhetetlen. Az oktatás célja, hogy minden foglalkoztatási jogviszonyban lévő munkavállaló megszerezze a számára szükséges ismereteket, tisztában legyen az adatvédelmi kockázatokkal, azok megelőzésével, illetve ismerje az adatvédelemmel kapcsolatban a munkakörére vonatkozó szabályokat.

Az oktatást:

 • a foglalkoztatási jogviszony kezdetekor;
 • jogszabályváltozáskor;
 • adatvédelmi incidenst követően; illetve
 • éves rendszerességgel valamennyi alkalmazott számára meg kell tartani.

Az oktatáson való részvétel igazolására az oktatási jegyzőkönyv szolgál, amelyet a Munkavállaló személyi mappájában szükséges elhelyezni, a jegyzőkönyv formanyomtatványát az 5. számú melléklet tartalmazza.


11. Adatkezelések felülvizsgálata

Az adatkezelés szükségességét, az adatkezelés célját, jogalapját és a megőrzési időket minden adatkezelési típus vonatkozásában minimum 3 évente felül kell vizsgálni.  A felülvizsgálat során releváns tényekre kell támaszkodni, amelyeket dokumentumokkal, igazolásokkal alá kell tudni támasztani. A felülvizsgálatot jegyzőkönyvbe kell foglalni és mellékletként csatolni szükséges hozzá a releváns tények alátámasztására szolgáló igazolásokat. A jegyzőkönyvet és annak mellékleteit a vizsgálatot követő 10 évig őrizni szükséges. 

Az Adatkezelő indokolt esetben harmadik felet bízhat meg a felülvizsgálat elvégzésével, a megbízott félnek szakértői szintű ismeretekkel kell rendelkeznie a vizsgált adatkezelések vonatkozásában. 

A felülvizsgálathoz szükséges adatlapot a 6. számú melléklet tartalmazza.


12. Adatbiztonság

12.1 Az adatbiztonság elvei

Az Adatkezelő, illetve az Adatfeldolgozó köteles körültekintően gondoskodni az adatok biztonságáról a technika mindenkor állásának megfelelő szinten. Az adatokat védeni kell a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisítés, véletlen megsemmisülés ellen. Biztosítani kell, hogy csak meghatározott esetben és célra, kizárólag a felhatalmazott személyek férhessenek az adatokhoz.

Az Adatkezelő és az Adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a) A személyes adatok álnevesítését és titkosítását;

b) A személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c) Fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d) Az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.


A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

Az Adatkezelő és az Adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az Adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

Az Adatkezelő biztosítja, hogy a személyes adatokhoz hozzáférő személyek titoktartási szerződést írjanak alá.

12.2 Szükségesség és arányosság vizsgálata, az adatkezelés felülvizsgálata, hatásvizsgálat

Az adatkezelések szükségességét, a kezelt adatok számát és jellegét, az Érintettek körét, a megőrzési időt, az adatkezelés célját, valamint jogalapját, továbbá minden lényeges körülményt új adatkezelés esetén vizsgálni szükséges, ezenfelül minimum 3 évente felül is kell vizsgálni az adatkezeléseket. A felülvizsgálathoz szükséges adatlapot a 6. számú melléklet tartalmazza.

Az adatkezelés kockázatait adatvédelmi szempontból folyamatosan és dokumentáltan vizsgálja az Adatkezelő, különösen új adatkezelés vagy már folyamatban lévő adatkezelésben beállt változások esetén.

Hatásvizsgálatot szükséges végezni abban az esetben, ha az adatkezelés körülményeiben változás áll be és ezen változások hatással vannak az Érintettek jogaira és szabadságaira veszélyt jelentő kockázatokra, ilyen változás lehet például: új technológia, új szoftver alkalmazása, Érintetti kör összetételének változása, kezelt adatokban beállt változás. A hatásvizsgálat elvégzéséhez szükséges információk a hatásvizsgálatról rendelkező fejezetben találhatóak.

Abban az esetben, ha az Adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az Érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell.

12.3 Adatbiztonsági intézkedések

A részletes adatbiztonsági intézkedéseket az Informatikai Biztonsági Szabályzat tartalmazza.


13. Záró és hatályba léptető rendelkezések

Jelen szabályzat egy általános rendelkezéseket tartalmazó törzsszöveg, amelyet minden speciális rendelkezést tartalmazó adatvédelmi szabályzat és eljárásrend értelmezése és használata során alkalmazni szükséges.  A törzsszöveg és a speciális szabályzat ütközése esetén jelen dokumentum rendelkezései az irányadóak. Jelen Szabályzat az Informatikai Biztonsági Szabályzattal együtt értelmezendő és alkalmazandó.

A Szabályzatot az Adatkezelő minden alkalmazottja köteles megismerni és betartani.

A tartalmát érintő jogszabályi változások esetén a Szabályzatot ki kell egészíteni, vagy szükség esetén módosítani szükséges.

Jelen szabályzat 2018. 05. 25. napján lép hatályba.

Jelen szabályzat aktuális módosítása 2021. 09. 01-jén lép hatályba.

                                                                                                                                                      


1. számú melléklet-Hozzájárulással kezelt adatok

Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.” (Info tv.)


A hozzájárulásra, mint jogalapra csak az alábbi 3 feltétel együttes teljesülése esetén lehet hivatkozni:

 • Tájékoztatás

Az Adatkezelő a hozzájárulások beszerzése előtt megfelelő tájékoztatást nyújt az Érintettek részére az adatkezelés lényeges körülményeiről. 

 • Önkéntesség

A tájékoztatóban foglaltak alapján az Érintett szabadon dönthet hozzájárulásának megadásáról. Az Érintetettet nem érheti hátrány vagy megkülönböztetés abból fakadóan, hogy nem járul hozzá az adatok kezeléséhez vagy abban az esetben, ha visszavonja korábbi hozzájárulást. Egyenlőtlen viszonyok esetén az önkéntesség nem feltételezhető.

 • Akarat félreérthetetlen és egyértelmű kinyilvánítása

Az Érintettnek egyértelmű cselekedettel kell jeleznie az adatkezeléshez való hozzájárulását. Ilyen lehet például: írásbeli nyilatkozat, ráutaló magatartás, honlapon elhelyezett bepipálható checkbox, amelyet az Érintett pipál ki, stb. Nem tekinthető a hozzájárulás megadottnak, ha az Érintett hallgat, nem válaszol vagy nem tesz egyértelmű jelzést.

A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. (GDPR  preambulum (32) bekezdés ) A hozzájárulást adatkezelési célonként szükséges beszerezni.

Gyermekek esetén a hozzájárulást a szülői felügyeleti jogot gyakorló személytől kell beszerezni. (GDPR 8. cikk)

A hozzájárulás visszavonása, az adatkezelés megszűnése

Az Érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. (GDPR 7. cikk (3) bekezdés)

A tárolt adatokat és a nyilatkozatokat a hozzájárulás visszavonását követően azonnal törli az Adatkezelő.


2. számú melléklet- Érdekmérlegelési teszt ismertető

Bevezetés

Az érdekmérlegelési teszt célja, hogy bizonyítsa az adatkezelésben Érintett személyek számára, hogy az Adatkezelőnek valóban jogos érdeke az adatok kezelése és hogy ezen érdek elsőbbséget élvez az Érintettek információs önrendelkezéshez fűződő jogával szemben.

Elkülönülő adatkezelési műveletek esetén, minden egyes művelet viszonylatában szükséges a jogos érdek fennállásának bizonyítása. Az érdekmérlegelési teszttel kapcsolatban fontos kiemelni azt is, hogy a tesztnek nem a jogszabályi rendelkezések megismétléséből kell állnia. Az érdekek mérlegelése során a hangsúlyos elem a korábban tapasztalat jogsértések, illetve azok a sajátos, egyedi jellemzők kell, hogy legyenek, amelyek az Adatkezelő tevékenységére vonatkoznak. Ebből következően tehát a tesztben a jogszabályi rendelkezésekre csak utalni kell, de az érdemi részének annak bemutatásából kell állnia, hogy milyen módon biztosítja az Adatkezelő az Érintettek jogait.

A felügyeleti hatóság által javasolt 5 lépés a teszt elvégzése során

1.Az adatkezelés szükségessége
Vizsgálni kell, hogy a kitűzött adatkezelési cél elérése szempontjából feltétlenül szükséges-e az adatkezelés vagy rendelkezésre állnak olyan más, alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett adatkezelési cél.


2.A jogos érdek lehető legpontosabb meghatározása
Az Adatkezelőnek alá kell támasztania az adatkezeléshez fűződő azon érdekét, amely szükségessé teszi az adatkezelést, ezt az alábbi szempont segítségével tudja megtenni:
a) A jogos érdek pontos meghatározása;
b) Az érdek jogszerűségének indoklása;
c) Jogos érdek konkrétságának igazolása;
d) Jogos érdek valódi és aktuális voltának bizonyítása;
e) Az adatkezeléshez fűződő egyéb érdekek meghatározása.

3. Az adatkezelési körülmények kialakítása
Az Adatkezelőnek a GDPR rendelkezéseit szem előtt tartva kell kialakítania az adatkezelési körülményeket. A tesztben az alábbi szempontok szerint szükséges ezek bemutatása:
a) Körülmények felmérése;
b) Alkalmazandó eszközök műszaki tulajdonságai, az eszközök száma;
c) Adatbiztonságra vonatkozó adatok;
d) Az adatok felhasználásnak módja;
e) Érintetteknek biztosított jogok;


4. Az Érintettek érdekeinek figyelembevétele
Az Adatkezelőnek vizsgálnia kell azt is, hogy az Érintetteknek mik lehetnek az érdekeik és ésszerű elvárásaik az adott adatkezelés vonatkozásában, így például milyen ellenérveket sorakoztatnának fel az adatkezeléssel szemben. Jó gyakorlat, ha az Adatkezelő valóban kikéri az Érintettek véleményét.


5. Az adatkezelés arányosságának megfogalmazása
Végül szükséges annak a meghatározása, hogy miért korlátozza arányosan az Adatkezelő jogos érdeke a 4. lépésben meghatározott Érintetti érdekeket. Ennek során különböző garanciák biztosításával lehet elérni azt, hogy a magánszféra-korlátozás arányos legyen. Mind az adatkezelés pozitív, mind pedig az adatkezelés negatív hatásait mérlegre kell tenni és azok alapján szükséges levonni a végső következtetést.
pozitív hatás --><--negatív hatás= Arányosság megállapítása és indoklás.

Az érdekmérlegelési teszt eredménye és nyilvánosságra hozatala

Amennyiben a teszt eredménye alapján az adatkezelés nem arányos, úgy más, megfelelő jogalapot kell találni vagy amennyiben ez nem lehetséges, úgy az adatkezelést nem lehet megkezdeni vagy a már folyamatban lévő adatkezelést meg kell szüntetni.
A(z) (sikeres) érdekmérlegelési tesztet vagy annak eredményét nyilvánossá kell tenni és a tájékoztatóval együtt az Érintett rendelkezésére kell bocsájtani. A felügyeleti hatóság a tájékoztatás körében kiemelt figyelmet fordít a tájékoztató közérthetőségére és világosságára, annak érdekében, hogy az adatkezelés mindenki számára átlátható legyen, éppen ezért célszerű a tesztet egyszerűen megfogalmazni, oly módon, hogy abból egyértelműen kitűnjön, hogy miért szükséges az Érintett önrendelkezési jogának korlátozása.

Egyedi érdekmérlegelés az Érintett tiltakozása esetén

Amennyiben az Érintett tiltakozik az adatkezelés ellen (GDPR 21. cikk), úgy az érdekmérlegelési tesztet ismételten el kell végzeni, azonban ezúttal egyedileg, az Érintett körülményeire szabottan.
Annak érdekében, hogy az Adatkezelő a tiltakozást követő második, egyedi érdekmérlegelést megfelelően el tudja végezni, elvárható és szükséges, hogy az Érintett kellő részletességgel kifejtse, hogy miért, milyen okból kifolyólag tiltakozik az adatkezelés ellen. Ezen adatokat kizárólag a tiltakozási jog gyakorlására irányuló kérelem elbírálása és az egyedi érdekmérlegelés elvégzése céljából kezelhetők és használhatók fel. A teszt eredményét minden esetben az Érintett rendelkezésére kell bocsátani.


3. számú melléklet- Kérelem az érintetti jogok érvényesítése iránt

Érintett adatai

Kérjük, hogy ha van rá mód, úgy olyan adatot adjon meg, amelyet kezelünk már Önről és amely alkalmas az Ön azonosítására.

Érintett nevében eljáró személy adatai

Név:      

Elérhetőség:

Eljárási/ügyintézési jogosultságot megalapozó tény:

(pl.: szülő, törvényes képviselő, meghatalmazott, stb.)

Eljárásra/ügyintézésre való jogosultság igazolásának módja

(pl.: meghatalmazás csatolása)

Érvényesíteni kívánt jog

Adatkezelés megnevezése, körülírása: 


Kérelmezett tevékenység:

 • Információt kérek a kezelt személyes adataimról  (GDPR 13., vagy 14. cikk)
 • Információt kérek, hogy folyamatban van-e a személyes adataim kezelése (GDPR 15. cikk)
 • Kérem az adataim helyesbítését (GDPR 16. cikk)

megjegyzés/indoklás:

 • Kérem az adataim törlését (GDPR 17. cikk)

megjegyzés/indoklás:

 • Kérem az adataim kezelésének korlátozását (GDPR 18. cikk)

megjegyzés/indoklás:

 • Kérem az adataim átadását más Adatkezelőnek (GDPR 20. cikk)

másik adatkezelő elérhetősége:

 • Tiltakozom a személyes adataim kezelése ellen (GDPR 21. cikk)

megjegyzés/indoklás:

 • Ne terjedjen ki rám az automatizált döntéshozatal, illetve a profilalkotás (GDPR 22. cikk)

Értesítés módja

 • Elektronikus úton
 • Postai úton
 • Személyes átvétel útján


 

 Dátum: .........................................................................                                               .................................................................................                                                    

                                                                                                                                                Aláírás


 

Tájékoztató

 

Kérjük, hogy ha lehetséges csak olyan adatokat közöljön, amikkel már rendelkezik a Rendszerinformatika Zrt.

Eljárás időtartama: A kérelem beérkezésétől számított maximum 25 nap. (Info tv. 15. § (1) b) pont) Nagy mennyiségű adatigénylés esetén az Adatkezelő előzetesen tájékoztatja a kérelmezőt a teljesítés időpontjáról, amely ebben az esetben sem haladhatja meg a két hónapot.

Eljárás díja: Alapvetően díjmentes, kivéve, ha az Érintett a folyó évben, azonos adatkörre vonatkozóan ismételten kérelmet nyújt be, és e kérelme alapján az Adatkezelő által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását az Adatkezelő jogszerűen mellőzi, ebben az esetben az Adatkezelő az Érintett jogainak ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az Érintettől. (Info tv. 15. § (2)-(3) bekezdés)

Személyazonosság igazolása: Ha megalapozottan feltehető, hogy az érintetti jogok érvényesítése iránt kérelmet benyújtó személy az Érintettel nem azonos személy, az Adatkezelő a kérelmet az azt benyújtó személy személyazonosságának hitelt érdemlő igazolását követően teljesíti. (Info tv. 15. § (4) bekezdés)

Személyazonosság igazolására csak az alábbi okmányok bemutatásával van lehetőség:

 • Személyi igazolvány
 • Vezetői engedély (2001. július 1.-je után kiadott)
 • Útlevél

Eljárásra/ügyintézésre való jogosultság igazolása: Jognyilatkozatot más személy útján is lehet tenni. A képviseleti jog jogszabályon, bírósági vagy hatósági határozaton, létesítő okiraton vagy meghatalmazáson alapulhat. (Ptk. 6:11. §)

Igazolásra alkalmas:

 • Meghatalmazás (két tanú aláírásával)
 • Gondnokot kirendelő határozat
 • stb.

Elhunyt személy adataival kapcsolatos jogok érvényesítése: Az Érintett halálát követő 5 éven belül az Érintett hozzáférési jogával az Érintett által írásban meghatalmazott személy jogosult élni. Amennyiben nincs ilyen jellegű nyilatkozat, úgy az Érintett közeli hozzátartozója jogosult kérni a hibás adatok kijavítását, továbbá ő jogosult tiltakozni az adatkezelés ellen.  Abban az esetben, ha az adatkezelés már az Érintett életében is jogellenes volt, közeli hozzátartozója kérheti az adatok zárolását és törlését a halált követő 5 éven belül. Az Érintett közeli hozzátartozója köteles bemutatni a halotti anyakönyvi kivonatot, valamint köteles saját személy azonosságát és közeli hozzátartozói státuszát igazolni. (Info tv. 25. §)

Közeli hozzátartozó: házastárs, az egyeneságbeli rokon, az örökbefogadott, a mostoha- és a nevelt gyermek, az örökbefogadó-, a mostoha- és a nevelőszülő és a testvér. (Ptk. 8:1. § (1) 1.)

Kérelmek tárolása: Az Adatkezelő az érintetti jogok érvényesítésével kapcsolatban beérkezett kérelmeket a a teljesítési igazolás kiállításáig őrzi. Amennyiben az érintettek hozzáférési jogának biztosításával kapcsolatban hatósági vagy bírósági eljárás van folyamatban, úgy az eljárás jogerős lezárultig kezeli az adatokat.


Jogorvoslat:  

A vitás helyzet rendezése érdekében keresse az Adatkezelő Adatvédelmi tisztviselőjét

Panasszal fordulhat a Hatóság felé

Nemzeti Adatvédelmi és Információszabadság Hatóság

Postacím: 1363 Budapest, Pf.: 9.

E-mail: ugyfelszolgalat@naih.hu

Tel: +36 (1) 391-14004. számú melléklet- Teljesítési igazolás érintettek hozzáférési jogának teljesítésével kapcsolatban

Érintett

Érintett által megadott adat:................................................................................................................................................


Kérelem beérkezésének ideje:..............................................................................................................................................

Érintette nevében eljáró személy

Név:...............................................................................................................................................................................................


Elérhetőség:...............................................................................................................................................................................


Eljárásra jogosító tény:..........................................................................................................................................................

Díj

.......................................................................................................................................................................................................

Kérelmezett érintetti jog

Adatkezelés megnevezése/adatok köre:.......................................................................................................................

 • Információ kérés az Érintettről kezelt személyes adatokról  (GDPR 14. cikk)
 • Információ kérés a személyes adatok folyamatban lévő kezeléséről (GDPR 15. cikk)
 • Kérelem az adatok helyesbítésére, pontosítására (GDPR 16. cikk)
 • Kérelem az adatok törlésére (GDPR 17. cikk)
 • Kérelem az adatok kezelésének korlátozására (GDPR 18. cikk)
 • Kérelem az adatok más Adatkezelőnek történő átadására (GDPR 20. cikk)
 • Tiltakozás a személyes adatok kezelése ellen (GDPR 21. cikk)
 • Tiltakozás az automatizált döntéshozatallal illetve profilalkotással kapcsolatban (GDPR 22. cikk)

Teljesített kérés

Adatkezelés megnevezése/adatok köre:.......................................................................................................................

 • Információ kérés az Érintettről kezelt személyes adatokról  (GDPR 14. cikk)
 • Információ kérés a személyes adatok folyamatban lévő kezeléséről (GDPR 15. cikk)
 • Kérelem az adatok helyesbítésére, pontosítására (GDPR 16. cikk)
 • Kérelem az adatok törlésére (GDPR 17. cikk)
 • Kérelem az adatok kezelésének korlátozására (GDPR 18. cikk)
 • Kérelem az adatok más Adatkezelőnek történő átadására (GDPR 20. cikk)
 • Tiltakozás a személyes adatok kezelése ellen (GDPR 21. cikk)
 • Tiltakozás az automatizált döntéshozatallal illetve profilalkotással kapcsolatban (GDPR 22. cikk)

Nem teljesített kérés

Adatkezelés megnevezése/adatok köre:.......................................................................................................................

 • Információ kérés az Érintettről kezelt személyes adatokról  (GDPR 14. cikk)
 • Információ kérés a személyes adatok folyamatban lévő kezeléséről (GDPR 15. cikk)
 • Kérelem az adatok helyesbítésére, pontosítására (GDPR 16. cikk)
 • Kérelem az adatok törlésére (GDPR 17. cikk)
 • Kérelem az adatok kezelésének korlátozására (GDPR 18. cikk)
 • Kérelem az adatok más Adatkezelőnek történő átadására (GDPR 20. cikk)
 • Tiltakozás a személyes adatok kezelése ellen (GDPR 21. cikk)
 • Tiltakozás az automatizált döntéshozatallal illetve profilalkotással kapcsolatban (GDPR 22. cikk)


Indoklás:....................................................................................................................................................................................


.......................................................................................................................................................................................................


........................................................................................................................................................................................................

 

 

Dátum: .........................................................                                                                                                                           

                                                                                                     …..…………………………………………………

                                                                                                                        Ügyintéző


Jogorvoslat  


A vitás helyzet rendezése érdekében keresse az Adatkezelő Adatvédelmi tisztviselőjét.

E-mail: borbely.edina@rendszerinformatika.hu

Tel.: 06 30 689 63 75


A felügyeleti hatósághoz panaszt benyújtani (GDPR 77. cikk): Nemzeti Adatvédelmi és Információszabadság Hatóság, http://naih.hu, telefonszám: +36 (1) 391-1400, postacím: 1363 Budapest, Pf.: 9., e-mail: ugyfelszolgalat@naih.hu. Amennyiben az Érintett külföldi állampolgár, úgy a szokásos tartózkodási helye, illetve munkahelye szerinti felügyeleti hatóságnál is panaszt tehet.


Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz (GDPR 79. cikk): A hatósági eljárástól és más eljárásoktól függetlenül az érintett bírósághoz fordulhat az Adatkezelő és Adatfeldolgozó ellen az Adatkezelő/Adatfeldolgozó tevékenysége helye szerinti bíróság előtt. A pert az Érintett tartózkodási helye szerinti tagállam szerinti bíróságon is megindíthatja.

Kártérítéshez és sérelemdíjhoz (GDPR 82. cikk): a Rendelet megsértéséből fakadóan elszenvedett vagyoni vagy nem vagyoni kár okán kártérítésre jogosult. Amennyiben több Adatkezelő van, úgy ők egyetemleges felelősséggel tartoznak az okozott kárért, egymás között pedig felelősségük mértékében számolnak el. Az Adatfeldolgozó azonban csak akkor felel a bekövetkezett kárért, ha eltért az utasításoktól vagy vétett az Adatfeldolgozókra vonatkozó szabályok ellen.5. számú melléklet- Jegyzőkönyv az adatvédelmi oktatásról

Oktatás jellege:*                                                         Rendkívüli oktatás oka:*

- első (alap) oktatás (A)                                                - jogszabályváltozás (J)

- ismétlődő (éves) oktatás (É)                                       - incidens utáni emlékeztető tréning (I)

- rendkívüli oktatás (R)                                                 - egyéb más, éspedig: (M)


*A megfelelő meghatározás betűjelzését írja az alábbi táblázat rubrikáiba! 

 

Dátum

Oktatás

 jellege

Rendkívüli jellegű oktatás oka,

egyéb részletei

Aláírásommal igazolom, hogy az adatvédelmi oktatást megkaptam6. számú melléklet- Adatkezelést felülvizsgáló jegyzőkönyv

 

Adatkezelő neve:

 

A vizsgált adatkezelés:


Adatkezelésben résztvevők:


A felülvizsgálata oka:


A felülvizsgálat időpontja:


Az adatkezelés szükségességét alátámasztó indokok és azok bizonyítékai:


Javasolt módosítások:


Megjegyzés:


Dátum:


8. számú melléklet-Adatvédelmi incidensről készített jegyzőkönyv

Adatvédelmi incidensről készített jegyzőkönyv

az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény 25/J. § paragrafusa alapján


Adatkezelő megnevezése:


Adatfeldolgozó megnevezése:


Az adatvédelmi tisztviselő/tájékoztatást nyújtó kapcsolattartó elérhetősége:


Az adatvédelmi incidens jellege:


Az adatvédelmi incidenssel érintettek köre és hozzávetőleges száma:


Az adatvédelmi incidenssel érintettek adatok köre és hozzávetőleges száma:


Az adatvédelmi incidensből eredő, valószínűsíthető következmények:


Az adatvédelmi incidens időpontja:


Az adatvédelmi incidens körülményei és hatásai:


Adatvédelmi incidens kezelésére tett vagy tervezett - az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb - intézkedések:


Az adatvédelmi incidenssel kapcsolatos egyéb adatok:Dátum:                                                                                   …………………………………………………………

                                                                                                        Jegyzőkönyv kiállítója


9. számú melléklet-Segédlet az adatvédelmi incidens kockázatainak felméréséhez

A WP 29 iránymutatása nyomán

A kockázat, mint bejelentést kiváltó tényező

Az általános adatvédelmi rendelet bevezeti az incidens bejelentésének kötelezettségét, azonban nem írja elő, hogy ennek a kötelezettségnek minden körülmények között eleget kell tenni:

 • az illetékes felügyeleti hatóságnak való bejelentés kötelező, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az egyének jogaira és szabadságaira nézve;
 • az egyének incidensről való tájékoztatása csak akkor merül fel, ha az incidens valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.

Ennek értelmében rendkívül fontos, hogy az Adatkezelő rögtön az incidensről való tudomás szerzést követően ne kizárólag az incidens elhárításra törekedjen, hanem az incidenssel járó kockázatot is felmérje.

Ennek két lényeges oka van: az egyénekre gyakorolt hatás valószínűségének és lehetséges súlyosságának ismeretében az Adatkezelő egyrészről könnyebben tud hatékony intézkedéseket hozni az incidens elhárítására és kezelésére, másrészt gördülékenyebben meg tudja állapítani, hogy kell-e a felügyeleti hatóságnak bejelentést tenni, és szükség esetén az Érintett egyéneket értesíteni.

A fentiekben leírtak szerint az incidens bejelentése kötelező, kivéve, ha valószínűsíthetően nem jár kockázattal az egyének jogaira és szabadságaira nézve, az Érintettek incidensről való tájékoztatása pedig akkor válik szükségessé, ha valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.

Ilyen kockázat akkor merül fel, ha az incidens fizikai, vagyoni vagy nem vagyoni károkat okozhatnak azoknak az egyéneknek, akiknek az adatait az incidens érinti. E károk közé tartozik például a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a személyazonossággal való visszaélés, a pénzügyi veszteség és a jó hírnév sérelme. Amennyiben az incidens a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatokat érint, vagy genetikai adatokra, egészségügyi adatokra, szexuális irányultságára vonatkozó adatokra vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó adatokra is kiterjed, akkor az ilyen károk valószínűleg bekövetkeznek.

A kockázat felmérésekor mérlegelendő tényezők

Az általános adatvédelmi rendelet (75) és a (76) preambulumbekezdése utal arra, hogy a kockázatfelmérésekor általában az Érintettek jogait és szabadságait érintő kockázat valószínűségét és súlyosságát egyaránt figyelembe kell venni. Emellett azt is kimondja, hogy a kockázatot objektívértékelés alapján kell felmérni.

Megjegyzendő, hogy az incidens következtében az egyének jogait és szabadságait fenyegető kockázatfelmérése más szempontokra irányul, mint a kockázat adatvédelmi hatásvizsgálat keretében történő felmérése. Az adatvédelmi hatásvizsgálat az adatkezelés terv szerint végrehajtásának kockázataira és az incidens esetén felmerülő kockázatokra egyaránt kiterjed. Az esetleges incidens mérlegelésekor általában véve a bekövetkezésének valószínűségével és az Érintettet érő esetleges károkkal foglalkozik, más szóval feltételezett eseményt mér fel. Tényleges incidens esetén már bekövetkezett az esemény, így teljes mértékben az incidens egyénekre gyakorolt hatásából eredő kockázatra kerül a hangsúly.

Példa:

Az adatvédelmi hatásvizsgálat szerint egy bizonyos biztonsági szoftvertermék személyes adatok védelmére javasolt használata alkalmas intézkedés arra, hogy megfelelő szintű adatbiztonságot garantáljon ahhoz a kockázathoz mérten, amelyet az adatkezelés egyébként az egyénekre jelentene.

Ha azonban utólag fény derül valamilyen sebezhetőségre, azzal megváltozna a szoftver alkalmassága a védett személyes adatokat fenyegető kockázat elhárítására, így azt a folyamatban lévő adatvédelmi hatásvizsgálat keretében újra fel kell mérni.

A termék sebezhetőségét később valaki kihasználja, és incidens történik. Az Adatkezelőnek ekkor meg kell vizsgálnia az incidens konkrét körülményeit, az érintett adatok körét, az egyénekre gyakorolt hatás lehetséges mértékét és a kockázat megvalósulásának valószínűségét.

Ennek megfelelően az Adatkezelőnek az egyéneket incidens miatt felmerülő kockázat felmérése során figyelembe kell vennie az incidens konkrét körülményeit, köztük a lehetséges hatás súlyosságát és a bekövetkezésének valószínűségét. A 29. cikk szerinti munkacsoport ezért azt ajánlja, hogy az értékelés során térjenek ki az alábbi kritériumokra:

Az incidens jellege

A megtörtént incidens jellege befolyásolhatja az egyéneket érintő kockázat mértékét. Például az egyén számára eltérő következményekkel járhat a titoksértés, amelynek keretében jogosulatlan felek egészségügyi információkhoz jutnak, mint az incidens, amelynek keretében az egyén egészségügyi adatai elvesznek vagy hozzáférhetetlenné válnak.

A személyes adatok jellege, érzékenysége és mennyisége

A kockázat felmérésekor természetesen kulcsfontosságú tényező az incidens által veszélyeztetett személyes adatok jellege és érzékenysége. Rendszerint minél érzékenyebbek az adatok, annál nagyobb a kár bekövetkeztének kockázata az érintett egyének számára, ugyanakkor figyelembe kell venni az Érintettről rendelkezésre álló egyéb személyes adatokat is. Például az egyén nevének és címének közlése rendes körülmények között valószínűleg nem okoz jelentős kárt. Ha azonban az örökbefogadó szülő nevét és címét kiadják a vér szerinti szülőnek, ez nagyon súlyos következményekkel járhat az örökbefogadó szülő és a gyermek számára egyaránt.

Az egészségügyi adatokat, személyazonosító okmányokat vagy pénzügyi adatokat, például hitelkártya adatokat érintő incidensek önmagukban is mind kárt okozhatnak, együttesen azonban személyazonosság-lopáshoz vezethetnek. A személyes adatok rendszerint együttesen érzékenyebbnek tekinthetők, mint külön-külön.

Bizonyos fajta személyes adatok először viszonylag ártalmatlannak tűnhetnek, azonban gondosan mérlegelni kell, mit árulhatnak el az érintett egyénről. A rendszeresen küldeményeket fogadóügyfelek listája különösebben nem érzékeny, de a nyaralás idejére a küldemények leállítását kérőügyfelekre vonatkozó hasonló adatok már hasznosak lehetnek a bűnözők számára.

Ehhez hasonlóan kis mennyiségű, fokozottan érzékeny személyes adatnak jelentős hatása lehet az egyénre, és nagy mennyiségű adat információk még szélesebb körét fedheti fel az egyénről. A számos Érintettel kapcsolatos, nagy mennyiségű személyes adatot érintő incidens ugyanolyan nagy számú egyénre lehet hatással.

Az egyének könnyű azonosíthatósága

Fontos, mérlegelendő tényező, hogy a veszélyeztetett személyes adatokhoz hozzáférő fél mennyire könnyen tudja azonosítani az egyes egyéneket, vagy egyének azonosítása céljából más információkkal összeegyeztetni az adatokat. Az azonosításra a körülményektől függően lehetőség nyílhat közvetlenül az incidenssel érintett személyes adatokból, az egyének személyazonosságának felfedésére irányuló különleges kutatás nélkül, de az is előfordulhat, hogy rendkívül nehéz megfeleltetni a személyes adatokat egy bizonyos egyénnek, azonban bizonyos feltételek mellett ekkor is lehetséges. Az azonosítás az incidenssel érintett adatokból közvetlenül és közvetve is megvalósítható, de az incidens sajátos körülményeitől és a kapcsolódó személyes adatok nyilvános hozzáférhetőségétől is függhet. Ez lényegesebb lehet titoksértés és hozzáférhetőségi adatsértés esetén.

 A fentiekben leírtak szerint a megfelelő szintű titkosítással védett személyes adatok jogosulatlan személyek számára visszafejtő kulcs nélkül értelmezhetetlenek. Ezenkívül a megfelelően megvalósított álnevesítés is csökkentheti annak a valószínűségét, hogy incidensesetén azonosítani lehessen az egyéneket. Azonban nem tekinthető úgy, hogy az álnevesítési technikák önmagukban értelmezhetetlenné teszik az adatokat.

(a 4. cikk 5. pontja szerinti „álnevesítés” fogalom meghatározása: „a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni”)

Az egyéneket érintő következmények súlyossága

Az incidensben érintett személyes adatok jellegétől függően, például különleges kategóriájú adatok esetében különösen súlyosak lehetnek az egyéneket fenyegető lehetséges károk, különösen akkor, ha az incidens személyazonosság-lopáshoz, személyazonossággal való visszaéléshez, testi sérelemhez, lelki gyötrelemhez, a becsület csorbításához vagy hírnévrontáshoz vezethet. Ha az incidens kiszolgáltatott helyzetben lévő egyének személyes adatait érinti, az ő esetükben nagyobb lehet a károk kockázata.

A lehetséges kockázat mértékére hatással lehet az is, hogy az Adatkezelőnek tudomása van-e arról, a személyes adatok ismeretlen vagy rossz szándékú személyekhez kerültek. Titoksértés merülhet fel, amennyiben a személyes adatokat tévedésből közlik a 4. cikk 10. pontjában meghatározott harmadik féllel vagy más címzettel. Ez például akkor fordulhat elő, ha a személyes adatokat véletlenül a szervezet rossz szervezeti egységének vagy széles körben igénybe vett beszállító szervezetnek küldik. Az Adatkezelő arra kérheti a címzettet, hogy a kapott adatokat juttassa vissza vagy biztonságosan semmisítse meg. A címzett mindkét esetben „megbízhatónak” tekinthető, amennyiben az Adatkezelő folyamatos kapcsolatban áll vele, és ismeri eljárásaikat, történetüket és más fontos részletet. Más szóval az Adatkezelő bizonyos mértékig megbízhat a címzettben, így észszerűen várhatja el, hogy a másik fél a tévedésből neki küldött adatokat nem tanulmányozza át, és nem tekint bele, valamint eleget tesz az adatok visszaszolgáltatására vonatkozó utasításoknak. Még ha a címzett be is tekintett az adatokba, az Adatkezelő akkor is bízhat abban, hogy további műveleteket nem végez velük, haladéktalanul visszaszolgáltatja őket az Adatkezelőnek, és együttműködik a helyreállításukban. Ilyen esetben ez figyelembe vehető az Adatkezelő által az incidenst követően elvégzendő kockázatértékelés során: az a tény, hogy a címzett megbízható, nem teszi meg nem történtté az incidenst, csupán mérsékelheti annak súlyosságát. Ugyanakkor ezáltal kiküszöbölhető az egyéneket érintő kockázatvalószínűsége, így már nem lesz szükséges a felügyeleti hatóságnak bejelentést tenni vagy az érintett egyéneket értesíteni. Ez szintén esettől függ. Mindazonáltal az Adatkezelőnek az incidensek nyilvántartására vonatkozó általános kötelezettsége (lásd a lenti V. szakaszt) részeként ennek ellenére meg kell őriznie az incidensre vonatkozó információkat.

Az egyéneket érintő következmények tartósságát is mérlegelni kell, amennyiben hosszan tartó hatások esetén súlyosabb az incidens kihatása.

Az egyén sajátosságai

Az incidens érintheti gyermekek vagy más olyan, kiszolgáltatott helyzetben lévő egyének személyes adatait, akik ennek következtében nagyobb veszélybe kerülhetnek. Az egyénnel kapcsolatosan más olyan tényezők is felmerülhetnek, amelyek befolyásolják az incidens rájuk gyakorolt hatását.

Az Adatkezelő sajátosságai

Az Adatkezelő és tevékenységei jellege és szerepe befolyásolhatják az incidens következtében az egyéneket érintő kockázat mértékét. Például az egészségügyi szervezetek különleges kategóriájú személyes adatokat dolgoznak fel, következésképpen e személyes adataik megsértése esetén nagyobb fenyegetés éri az egyéneket, mint ha egy újság terjesztési listája kerülne nyilvánosságra.

Az érintett egyének száma

Az incidens érinthet csak egy, néhány, több ezer vagy akár még több egyént. Általánosságban elmondható, hogy minél nagyobb az érintett egyének száma, annál nagyobb hatást gyakorol az incidens. Az incidens azonban a személyes adatok jellegétől és veszélybe kerülésük körülményeitől függően csupán egyénre is súlyos kihatással lehet. Ismételten az a lényeg, hogy mérlegelni kell az Érintettekre gyakorolt hatás valószínűségét és súlyosságát.

Általános szempontok

Következésképpen a valószínűsíthetően az incidens miatt felmerülő kockázat felmérésekor az Adatkezelőnek együttesen kell mérlegelnie az egyének jogaira és szabadságaira esetlegesen gyakorolt hatás súlyosságát és bekövetkezésének valószínűségét. Egyértelmű, hogy amikor az incidenssúlyosabb következményekkel jár, a kockázat is magasabb, és ehhez hasonlóan, amikor nagyobb ezek bekövetkezésének valószínűsége, akkor a kockázat is fokozódik. Kétség esetén az Adatkezelőnek a biztonság kedvéért érdemes inkább bejelentést tenni. A B. melléklet néhány hasznos példával szolgál az egyének számára kockázattal vagy magas kockázattal járó incidensek különböző fajtáira.

Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) ajánlásokat fogalmazott meg az incidensek súlyosságának felmérésére szolgáló módszerről, amelyet az Adatkezelők és az Adatfeldolgozók hasznosnak találhatnak incidenskezelési tervük kidolgozása során.


10/A. számú melléklet-Adatfeldolgozói nyilvántartás minta

A nyilvántartást az Adatfeldolgozó a kezelt adatok törlését követő 10 évig köteles őrizni és azt a  felügyeleti hatóság kérésére részükre átadni!

Adatkezelő megnevezéseAlkalmazott egyéb adatfeldolgozóAdatvédelmi tisztviselőAdatkezelések típusaNemzetközi adattovábbítás címzettjeNemzetközi adattovábbításra történő adatkezelői utasítás ideje Műszaki, szervezési intézkedések10/B. számú melléklet-Használati utasítás az adatfeldolgozói nyilvántartás kitöltéséhez

Adatfeldolgozóként kötelező ezen nyilvántartás adatkezelőnkénti vezetése. A nyilvántartást a felügyeleti hatóság és egyéb hatóság bármikor bekérheti, a nyilvántartásban szereplő adatokat az adatok törlését követő 10 évig kell őrizni.

AdatkezelőAnnak a személynek vagy szervezetnek a neve és elérhetősége, aki/ami megbízta a céget a személyes adatok kezelésével. Pl.: ZrrrT Bt., 1000 Mintaváros, Minta u. 5/B.
Alkalmazott egyéb adatfeldolgozóAzon adatfeldolgozók, akiket az adatfeldolgozó, azaz a RI alkalmaz az adatkezelés vonatkozásában. Pl.: ZrrrT Bt., 1000 Mintaváros, Minta u. 5/B.
Adatvédelmi tisztviselőAlkalmazott tisztviselő neve és címe.
Adatkezelések típusaTípusonként egyesével feltüntetve! A típusokat az adatfeldolgozói szerződés tartalmazza.
Nemzetközi adattovábbítás címzettjeCímzett neve és címe. Pl.: HHHH Co., Alabama 123 srt. 56. USA
Nemzetközi adattovábbításra történő adatkezelői utasítás ideje Az írásbeli utasítás pontos ideje, amennyiben van ügyszáma, úgy érdemes azt is feltüntetni.
Műszaki, szervezési intézkedésekElektronikusan/papír alapon, titkosítás, tűzfal, vírusvédelem, jelszó, hozzáférések, stb.12. számú melléklet-Személyes adatok kezeléséről vezetett nyilvántartás minta

A nyilvántartást az Adatkezelő a kezelt adatok törlését követő 10 évig köteles őrizni és azt a felügyeleti hatóság kérésére részükre átadni!

AdatkezelőKözös adatkezelőAdatvagyon megnevezéseKezelt adatok érintetti körönkéntA kezelt adat minősítése  a)közérdekből nyilvános adat b)közérdekű adat c)személyes adat d) különleges adatAdatkezelés céljaÉrintettek köreAz adatkezelés jogalapjaAz adatok forrásaProfilalkotás történik az adatokkal  igen/nemAutomatizált döntéshozatal történik az adatokkal  igen/nemAdatfeldolgozó neve és elérhetőségeCímzettek kategóriája, akiknek az adatokat továbbítják vagy továbbítani fogjákAz adattovábbítás jogalapjaHarmadik országba vagy nemzetközi szervezet részére továbbított adatok (beleérte ezek azonosítását, illetve a 49. cikk szerinti garanciáik)Az adatkezelés időtartama/törléseAz adatokért felelős munkakörének megnevezéseAdattárolás helyeAdatkezelés technikai és szervezési intézkedések
13/A. számú melléklet-Adatvédelmi incidensről vezetett nyilvántartás

A nyilvántartást az Adatkezelő a kezelt adatok törlését követő 10 évig köteles őrizni és azt a felügyeleti hatóság kérésére részükre átadni!

SorszámBejegyzés időpontjaAdatkezelő megnevezéseAdatfeldolgozó megnevezéseIncidens észlelésének időpontjaIncidens bekövetkeztének valószínűsíthető időpontjaIncidens észlelője, incidens felismerőjeIncidens körülményeinek leírásaÉrintetti körök megnevezéseÉrintettek számaÉrintett különleges adatok kategóriája vagy gyermekek adataiIncidens jelenlegi következménye, hatásaIncidens várható/jövőbeli következménye, hatásaAdatvédelmi tisztviselő értesítésének idejeAdatkezelő értesítése, értesítés ideje és módjaAz Érintettek értesítése, értesítés ideje és módjaMegtett javítást célzó intézkedések és az intézkedések időpontjaAz adatvédelmi tisztviselő javaslata alapján hatósági értesítés Hatósági értesítés dátuma

Az Érintettek és a Hatóság értesítésének mellőzését megalapozó érvek és indokok

Eset lezárása, egyéb lényeges információAmennyiben készült jegyzőkönyv, úgy annak a száma


13/B. számú melléklet-Használati útmutató az adatvédelmi incidensekről vezetett nyilvántartás kitöltéséhez

Fogalom és példák

Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Példa1: Személyes adatok, pl: privát telefonszám kiadása illetéktelen személynek.

Példa2: Feltört honlapról vagy szerverről kikerülő e-mail címek, jelszavak, stb.


Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.

Példa: a Rendszerinformatika Zrt. adatkezelő a munkavállalók foglalkoztatása tekintetében.


Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel.

Példa1: A Rendszerinformatika Zrt. adatfeldolgozója a munkavállalók bérszámfejtését végző cég, a Jira üzemeltetője, az üzemorvos, stb.

Példa:2 A Rendszerinformatika Zrt. adatfeldolgozást végez az ügyfelei nagy részének.


Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.  A gyermekek adatainak és a bűnügyi személyes adatok kezelésére a különleges adatokra vonatkozó rendelkezéseket kell alkalmazni.

A táblázat használata


SorszámMinden incidenst sorszámmal kell ellátni, tilos a táblázatból olyan sort, oszlopot vagy cellát törölni, amely adatot tartalmaz!
Bejegyzés időpontja

A táblázat kitöltésének időpontja

pl: 2019.08.09. 

Adatkezelő megnevezése

Adatkezelő neve

pl.: Rendszerinformatika Zrt.

Adatfeldolgozó megnevezése

Adatfeldolgozó neve

pl.: Rendszerinformatika Zrt.

Incidens észlelésének időpontja

Az az időpont, amikor valaki felfedezte, hogy incidens történt

pl.: 2018.08.09. 23:22

Incidens bekövetkeztének valószínűsíthető időpontjaAz az időpont, amikor valószínűsíthetően megtörtént az incidens, minél pontosabb az időpont meghatározás, annál jobb.
Incidens észlelője, incidens felismerője

Csak munkakör megnevezése, személyes adatok megadását, amennyire lehet kerülni kell.

pl.: Ügyeletes

Incidens körülményeinek leírása

Minden lényeges körülményt le kell írni, "hol" történt, milyen módon történt, ismert-e az elkövető, milyen jellegű az incidens, stb.

pl.: 2018. 08. 08.- án este hat óra körül észleltük, hogy az"xy" cég "h" szervert "z" módon nagyjából 2 napja feltörték, ennek következtében a szerveren található minden adathoz hozzá lehet férni...  

Érintetti körök megnevezése

Amennyiben beazonosítható, úgy meg kell határozni az érintetti köröket.

pl.: honlap felhasználói, honlap látogatói, honlapon fizető személyek

Érintettek számaAmennyire pontosan csak lehet meg kell határozni az érintett személyek számát.
Érintett különleges adatok kategóriája vagy gyermekek adatai

Amennyiben az incidens érint különleges adatokat vagy gyermekek adatait, úgy meg kell nevezni, hogy konkrétan milyen jellegű az adat.

pl.: politikai hovatartozás, gyermek adatai

Incidens jelenlegi következménye, hatásapl.: A honlap feltörése következtében az Érintettek jelszavát, felhasználó nevét, profilképét, e-mail címét, rögzített bankkártya adatait arra jogosulatlan személyek megismerhették/megismerték.  
Incidens várható/jövőbeli következménye, hatásapl.: Az Érintettek jelszava, felhasználó neve, profilképe, e-mail címe, rögzített bankkártya adatai személyiségi lopásra is alkalmasak lehetnek. Gyakori, hogy az Érintettek mindenhol ugyanazt a jelszót és felhasználó nevet használják, ennek következtében a jogosulatlanul megszerzett adatok nagy biztonsági kockázatot jelentnek rájuk nézve. A kiszivárgott bankkártya adok alkalmasak arra, hogy anyagi kárt okozzanak az érintett részére.  
Adatvédelmi tisztviselő értesítésének idejeAmennyiben van Adatvédelmi tisztviselő, úgy az értesítésének ideje.
Adatkezelő értesítése, értesítés ideje és módjaAdatkezelő értesítésének pontos ideje. Ügyelni kell arra, hogy az Adatkezelőnek kötelessége az incidenst, ha olyan mértékű, az észleléstől számított 72 órán belül bejelenteni a NAIH részére. Ebből következően az Adatkezelőt a lehető leghamarabb értesíteni szükséges. (Az adatkezelő a cég ügyfele is lehet!!!)
Az Érintettek értesítése, értesítés ideje és módjaAz Érintetteket mindig az Adatkezelő értesíti, abban az esetben, ha rájuk nézve az incidens kockázatot hordoz. Az Érintetteket is a lehető leghamarabb értesíteni kell, hogy ők maguk is meg tudják tenni a szükséges lépéseket az adataik biztonsága érdekében.
Megtett javítást célzó intézkedések és az intézkedések időpontjaAz incidenst okozó tényezők megszüntetésére tett intézkedések megnevezése az intézkedések időpontja, amennyiben nem lehet orvosolni a problémát úgy annak okait kell dokumentálni.
Az adatvédelmi tisztviselő javaslata alapján hatósági értesítés Csak abban az esetben szükséges kitölteni, ha a Rendszerinformatika Zrt. az Adatkezelő.
Hatósági értesítés dátumaCsak abban az esetben szükséges kitölteni, ha a Rendszerinformatika Zrt. az Adatkezelő.
Az Érintettek és a Hatóság értesítésének mellőzését megalapozó érvek és indokokAz érvek és indokok tételes felsorolása, annak érdekében, hogy bizonyítható legyen az Adatkezelő megfelelő eljárása.
Eset lezárása, egyéb lényeges információRövid összegzés, az eset lezárásával kapcsolatos információk.
Amennyiben készült jegyzőkönyv, úgy annak a számaJegyzőkönyv sorszáma, ha készült jegyzőkönyv.

14/A. számú melléklet-Érintettek hozzáférési jogával kapcsolatban vezetett nyilvántartás

A nyilvántartást az Adatkezelő a kezelt adatok törlését követő 10 évig köteles őrizni és azt a felügyeleti hatóság kérésére részükre átadni!

SorszámKérelem beérkezésének idejeAdatkezelő által hozott korlátozó intézkedés típusaAdatkezelő által hozott korlátozó intézkedés idejeÜgyszámIgénylés módja (elektronikusan, papír alapon)Képviselő útján történő kérelmezésKépviselet esetén a személyazonosságot a képviseletre való jogosultságot igazoltákKépviseletet igazoló dokumentum típusaSzemélyazonosság igazolásának módjaÉrvényesíteni kívánt érintetti jog (GDPR cikk)Folyó évben történt azonos igénylés az érintett/kérelmező részérőlDíj felszámításTeljesítés idejeElutasítás idejeTeljesítés/elutasítás módjaElutasítás indoka (korlátozó, megtagadó intézkedés)MegjegyzésEljárással kapcsolatos adatok törlésének ideje14/B. számú melléklet-Használati útmutató az érintetti jogok érvényesítéséről vezetett nyilvántartás kitöltéséhez

Érintetti jogok

•Információ kérés az érintettről kezelt személyes adatokról (GDPR 14. cikk)

• Információ kérés a személyes adatok folyamatban lévő kezeléséről (GDPR 15. cikk)

• Kérelem az adatok helyesbítésére, pontosítására (GDPR 16. cikk)

• Kérelem az adatok törlésére (GDPR 17. cikk)

• Kérelem az adatok kezelésének korlátozására (GDPR 18. cikk)

• Kérelem az adatok más adatkezelőnek történő átadásáról (GDPR 20. cikk)

• Tiltakozás a személyes adatok kezelése ellen (GDPR 21. cikk)

• Tiltakozás az automatizált döntéshozatallal illetve profilalkotással kapcsolatban (GDPR 22. cikk)

• Elhunyt személy jogának érvényesítése (Info tv. 25. §) + az érvényesített jog cikk számaSorszámBeérkezési sorrendben. A táblázatból sort, adatot csak az adott adatkezelés adatainak törlését követő 10 év után lehet törölni!!!!
Kérelem beérkezésének idejeE-mailben szereplő dátum, postai küldemény megérkezésének ideje, szóbeli kérelem időpontja.
Adatkezelő által hozott korlátozó intézkedés típusaBűnügyi adatok kezelése vonatkozásában hozott korlátozó intézkedés fajtája, üzleti titok vagy más jogos érdekének védelmében érdekében hozott korlátozó intézkedés fajtája (pl.: bűnügyi adatkezelés során a tájékozódáshoz való jog korlátozása)
Adatkezelő által hozott korlátozó intézkedés idejeAz adatkezelő által tett korlátozó intézkedés időintervalluma (pl.:2012.10.01-2020.01.01.)
ÜgyszámAmennyiben van, úgy írja be.
Igénylés módja (elektronikusan, papír alapon)pl.: elektronikusan, papír alapon.
Képviselő útján történő kérelmezésIgen/nem
Képviselet esetén a személyazonosságot a képviseletre való jogosultságot igazoltákIgen/nem
Képviseletet igazoló dokumentum típusaSzemélyi igazolvány/Útlevél/Vezetői engedély. Csak ezeke alkalmasak a személyazonosság igazolására magyar állampolgárok esetén.
Személyazonosság igazolásának módjapl.:Adatkezelőnél bemutatott fényképes igazolvánnyal.
Érvényesíteni kívánt érintetti jog (GDPR cikk)pl.: GDPR 15. cikk
Folyó évben történt azonos igénylés az érintett/kérelmező részérőlNem/ igen. Amennyiben igen, úgy az igénylések számát is fel kell tüntetni.
Díj felszámításIgen/nem
Teljesítés idejepl.:2019.03.01
Elutasítás idejepl.:2019.03.02
Teljesítés/elutasítás módjapl.: elektronikusan, papír alapon.
Elutasítás indoka (korlátozó, megtagadó intézkedés)pl.: Az érintett személyes adatait a XXXX. évi. Z. jogszabály X. § alapján kezeljük. Az érintett viszonyában az adatkezelés 2018-ban kezdődött, a törlési kérelem 2019-ben érkezett. Az adatokat azonban nem törölhetőek, mivel az XXXX. évi. Z. jogszabály S. § alapján az adatokat az adatfelvételtől számított 5 évig kell őrizni......
MegjegyzésEgyéb fontos/releváns tény.
Eljárással kapcsolatos adatok törlésének idejeKérelemben megjelölt adatkezelés tekintetében történő tényleges törlés ideje.

15. számú melléklet-Adatvédelmi dokumentumok és nyilvántartások megőrzési rendje

2011. évi CXII. törvény 23. § (2) „Azt, hogy az adatkezelés a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásoknak …meghatározott alapvető követelményeknek - megfelel, az adatkezelő, illetve az adatfeldolgozó köteles bizonyítani.”

GDPR 5. cikk (1) „A személyes adatok:

e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, … az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).”

Dokumentumok és nyilvántartások megőrzésének rendje

Elnevezés

Megőrzési idő

Számozás

Őrzés helye

Adatkezelési és adatvédelmi tájékoztató

Minimum az adatkezelés időtartamáig

AT/késztés vagy módosítás éve/adott adatkezelés során adott tájékoztató száma

pl.: AT/2019/1

KB

Érdekmérlegelési teszt

Minimum az adatkezelés időtartamáig

ET/késztés vagy módosítás éve/adott adatkezelés során készített érdekmérlegelés száma

pl.: ET/2019/1

KB

Érintettek hozzáférési jogának érvényesítése iránti kérelem (minta)

Nem selejtezhető

EKK/készítés vagy módosítás éve/verzió száma

pl.: EKK/2019/1

KB

Érintettek hozzáférési jogának érvényesítése iránti kérelem (kitöltött)

Teljesítési igazolás kiállításáig

-

Jira

Érintetti kérelem teljesítési igazolás (minta)

Nem selejtezhető

EKT/készítés vagy módosítás éve/verzió száma

pl.: EKT/2019/1

KB

Érintetti kérelem teljesítési igazolás (Kitöltött)

Kiállítást követő 1 év

-

Jira

Hozzájáruló nyilatkozat (kitöltött)

Hozzájárulás visszavonásáig vagy az adott adatkezelésre meghatározott időtartamig

-

Jira

Hozzájáruló nyilatkozat (minta)

Minimum az adatkezelés időtartamáig

HNY/Készítés vagy módosítása éve/verzió száma

HNY/2019/1

KB

Adatvédelmi oktatási jegyzőkönyv

Munkavállaló jogviszonyának fennállásáig

OJ/Kiállítás éve/Sorszám

pl.: OJ/2019/1

Munkavállaló aktája/Jira

Adatkezelést felülvizsgáló jegyzőkönyv

Felülvizsgálatot követő 10 év

AFJ/Kiállítás éve

pl.: AFJ/2019

Jira

Kamera betekintési jegyzőkönyv

Rögzítést követő 5 év

KBJ/Kiállítás éve/Sorszám

pl.: KBJ/2019/1

Jira

Adatvédelmi incidens jegyzőkönyv

Adatok törlését követő 10 év

AIJ/Kiállítás/Sorszám

pl.: AIJ/2019/1

Jira

Hatásvizsgálata

Adatkezelés megszűnését követő 10 év

HV/Végzés éve/Adott adatkezelés vonatkozásában végzett vizsgálat száma

pl.: HV/2019/1

Jira

Adatfeldolgozói szerződés

Az adatkezelés fennállásának időtartamáig

AFSZ/kiállítás éve/verzió szám

pl.: AFSZ/2019/1

Jira

Közös adatkezelési megállapodás

Az adatkezelés fennállásának időtartamáig

AKSZ/kiállítás éve/verziószám

pl.: AKSZ/2019/1

Jira

Kamera szabályzat

Minimum az adatkezelés időtartamáig

KSZ/kiállítás éve/verzió száma

KB

Személyes adatok kezelésének nyilvántartása

Adatok törlését követő 10 év

SZNY/verzió

KB

Adatvédelmi incidensek nyilvántartása

Adatok törlését követő 10 év

AINY/verzió

KB

Érintettek hozzáférési jogával kapcsolatos intézkedések nyilvántartása

Adatok törlését követő 10 év

ÉHNY/verzió

KB

Egyedi adattovábbítások nyilvántartása

Adott adatkezelésre vonatkozó időtartamig

EANY/verzió

KB

Adatfeldolgozóként vezetendő nyilvántartás Adatok törlését követő 10 évAFNY/verzióKB

Elektronikus napló

Adatok törlését követő 10 év

 


A megőrzési idő megállapításának szempontjai

Dokumentumok

 • Adatkezelési tájékoztató

Az adatkezelési tájékoztatót az elszámoltathatóság elve alapján minimum az adatkezelés időtartamáig szükséges megőrizni. Pl.: Ha az adatkezelés időtartama 30 év, úgy minimum 30 évig kell őrizni.

Amennyiben jogszabály változás vagy egyéb módosítás okán az Adatkezelő újabb adatkezelési tájékoztatót bocsát az Érintettek rendelkezésére, úgy a régebbi és újabb verziót is őrizni kell az adatkezelés teljes időtartama alatt, érvényességi idejüket feltüntetve.


 • Érdekmérlegelési teszt

Ahogy az adatkezelési tájékoztatót, úgy az érdekmérlegelési tesztet is szükséges megismerhetővé tenni, így tehát ezek megőrzési idejére az adatkezelési tájékoztatóra vonatkozókat kell alkalmazni.


 • Hatásvizsgálat

A hatásvizsgálatot nem kötelező nyilvánosságra hozni, ugyanakkor a hatásvizsgálat a bizonyítéka annak, hogy az Adatkezelő alaposan járt el és már az adatkezelés megkezdése előtt figyelembe vette az Érintettek jogaira és szabadságaira kockázatot jelentő tényezőket és azok mérséklésére intézkedéseket hozott. Ezek alapján a hatásvizsgálatot és annak újabb verziót szintén érdemes minimum az adatkezelés időtartama alatt megőrizni.


 • Különböző hozzájáruló nyilatkozatok

Hozzájáruló nyilatkozat minták:

A nyilatkozat mintákat és a hozzájuk adott adatkezelési tájékoztatókat ajánlott legalább az adatkezelés lezárultáig megőrizni, bizonyítandó, hogy az Adatkezelő az adatvédelmi szabályoknak megfelelően járt el. 

A már kitöltött hozzájárulások:

A hozzájárulásokat célszerű az adatkezelésre irányadó időtartamig, az Adatkezelő által az előzetes adatkezelési tájékoztatóban megjelölt időpontig megőrizni. Amennyiben az Érintett visszavonja hozzájárulását, úgy az adatokat azonnal törölni kell.

A nyilatkozatok személyes adatokat tartalmaznak, amelyeket főszabály szerint csak az adatkezelési cél megvalósulásáig lehet tárolni.

Amennyiben valamelyik fél jogos érdekéből (pl.: perbeli bizonyítás) szükséges tovább őrizni a már kitöltött nyilatkozatot, úgy érdekmérlegelési tesztet szükséges végezni az adott adatkezelés vonatkozásában.


 • Érintettek hozzáférési jogának érvényesítése iránti kérelem

Az űrlapon szereplő adatokat fel kell rögzíteni az „Érintettek hozzáférési jogával kapcsolatos intézkedések nyilvántartása”-ba, amely nyilvántartás tartalmazza a kérelem legfontosabb adatait, így az Adatkezelőnek ezen körülmény ismeretében és a korlátozott tárolhatóság elvének alkalmazásával kell megállapítania az űrlapok tárolási idejét.

A kérelem teljesítését követően a kérelmi űrlap megsemmisíthető. A kérelmi űrlapok megőrzési időtartamát az Adatkezelő döntése alapján meg lehet hosszabbítani, azzal a feltétellel, hogy az Adatkezelőnek ésszerű határidőt kell tűznie és megfelelően indokot kell megneveznie a megőrzési idő meghosszabbítására.


 • Érintetti kérelem teljesítési igazolása

Az Adatkezelő önállóan állapítja meg a tárolásra vonatkozó időintervallumot a korlátozott tárolhatóság figyelembevételével.

Jegyzőkönyvek

 • Oktatási jegyzőkönyv

Az Adatkezelő kötelezettsége biztosítani, hogy minden munkavállalója az adatvédelmi rendelkezésék ismeretében és azoknak megfelelően kezelje a személyes adatokat. Az Adatkezelő oktatási jegyzőkönyvet vezethet annak érdekében, hogy bizonyítsa teljesítette a már fent említett kötelezettségét. A jegyzőkönyvek az Adatkezelő döntésének megfelelő ideig szükséges őrizni.

Mivel a munkáltató jogos érdeke az oktatás megtörténtének bizonyítása, így érdekmérlegelési tesztet szükséges végezni.


 • Adatkezelést felülvizsgáló jegyzőkönyv

2011. évi CXII. törvény 5. § (5) „Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az Adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró Adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az Adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.”


 • Kamera betekintési jegyzőkönyv

Az Adatkezelő feladata meghatározni a megőrzés idejét, a GDPR rendelkezéseit is figyelembe véve.


 • Adatvédelmi incidens jegyzőkönyv

Az adatok törlését követő 10 évig.

Szerződés

 • Adatfeldolgozói szerződés

A szerződés formanyomtatvány nem tartalmaz személyes adatot így az bármeddig tárolható. 

Az Adatkezelőnek az elszámoltathatóság elvét figyelembevéve  a szerződéseket az adatkezelés teljes időtartama alatt őrizni szükséges, még akkor is, ha időközben módosították a szerződést vagy megszűnt a jogviszony a felek között.


 • Közös adatkezelési megállapodás

A szerződés formanyomtatvány nem tartalmaz személyes adatot így az bármeddig tárolható. 

Az Adatkezelőnek az elszámoltathatóság elvét figyelembevéve  a szerződéseket az adatkezelés teljes időtartama alatt őrizni szükséges, még akkor is, ha időközben módosították a szerződést vagy megszűnt a jogviszony a felek között.

Szabályzatok

 • Adatkezelési- és adatvédelmi szabályzat
 • Kamera szabályzat
 • HR szabályzat
 • Szolgáltatások során végzett adatkezelések szabályzata

A szabályzatok megőrzésére vonatkozó döntés során szükséges figyelembe venni az elszámoltathatóság elvét és annak megfelelően megállapítani a tárolás időtartamát.  Hosszabb időtartamot felölelő adatkezelés során a szabályzatok módosulhatnak, változhatnak, így szükséges az adott adatkezelésre irányadó összes szabályzatot minimum az adatkezelés lezárultáig tárolni.

Nyilvántartások

Jogszabály által előírt nyilvántartások

 • Személyes adatok kezelésének nyilvántartása, Incidensek nyilvántartása, Érintettek hozzáférési jogával kapcsolatos intézkedések nyilvántartása:

2011. évi CXII. törvény 25/F. § (4) „Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.”


 • Elektronikus napló

2011. évi CXII. törvény 25/F. § (4) „Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.”


 • Adatfeldolgozó által vezetendő nyilvántartás

Amennyiben a Rendszerinformatika Zrt. adatfeldolgozóként részese az adatkezelésnek, úgy ezen nyilvántartást is vezetni kell. 2011. évi CXII. törvény 25/F. § (4) „Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.”

Elkészült, tárolt szabályzatok, dokumentumok és nyilvántartások száma és elérhetőségi helye

Elnevezés

Hatályos

Hatálytalan

Számozás

Őrzés helye

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  • No labels