A KÖZNEVELÉSI INTÉZMÉNYBEN MEGTARTOTT BALLAGÁSON A KÖZNEVELÉSI INTÉZMÉNY MEGBÍZÁSÁBÓL KÉSZÍTETT HIVATALOS FOTÓK ÉS VIDEÓFELVÉTELEK RÉVÉN KEZELT SZEMÉLYES ADATOK ADATKEZELÉSI TÁJÉKOZTATÓJA
Készítette és kiadta:
Szentendre, 2024. április 29.
|
Molnárné Reskovits Zsuzsanna intézményvezető |
Az adatkezelő, a Szentendrei II.Rákóczi Ferenc Általános Iskola és Gimnázium végzős tanulóit ballagási ünnepség keretében búcsúztatja el, amelyen az adatkezelő megbízásából – külső szakember megbízásával – számos fotó és videófelvétel készül.
E hivatalos fotók a köznevelési intézmény honlapjára és Facebook oldalára, míg a videók a megelőzőkön túlmenően a Youtube fájlmegosztó portálra is feltöltésre kerülnek.
A köznevelési intézmény honlapja és Facebook oldala nyilvános, az oda feltöltött hivatalos fotók és videók bárki számára megtekinthetők, illetve megoszthatók.
A Youtube fájlmegosztó portálra a köznevelési intézmény által feltöltött videók nem nyilvánosak, azok vonatkozásában minden végzős tanuló egy kódot kap, amelynek segítségével a Youtube fájlmegosztó portálra belépve a köznevelési intézmény által oda feltöltött videókat megtekintheti. A tanulóknak ugyanakkor technikailag lehetőségük van arra is e fájlmegosztó portálon (amely lehetőséget a Youtube fájlmegosztó portál teremti meg és adatkezelő korlátozni nem tudja), hogy az itt megtekintett videókat letöltsék, illetve megosszák másokkal is, így a kóddal védett videók széles körben továbbításra kerülhetnek. Erre az adattovábbításra a köznevelési intézménynek ráhatása már nincsen és az adattovábbítás lehetőségét korlátozni sem tudja, így felelősséget e tekintetben teljes mértékben kizárja.
Hasonlóképpen nem a köznevelési intézmény adatkezelési tevékenységének része a látogatók, résztvevők által az eseményről készített saját fotók, videók kezelése. Ezt a tevékenységet az adatkezelő korlátozni vagy megakadályozni nem tudja, a fotók és felvételek készítése alapvető igénye az esemény látogatóinak; így az adatkezelő mindenfajta felelősségét e területen is teljes egészében kizárja.
A köznevelési intézmény megbízásából készített hivatalos képek és videók megrendelését megelőzően a köznevelési intézménynek nincs lehetősége arra, hogy valamennyi érintett előzetes hozzájárulását beszerezze, hiszen a képeken/videókon az esemény nyilvánosságára figyelemmel nem csupán a végzős tanulók, hanem azok hozzátartozói, barátai, a nem végzős tanulók, a pedagógusok, illetve egy előre meg nem határozható, tág látogatói kör szerepelhet, azaz az érintetti kör pontosan meg nem határozható. Erre figyelemmel, illetve azt is tudomásul véve, hogy mind a tanulók, mind a szüleik, rokonaik, hozzátartozóik jogos igénye a ballagás fotókkal és videókkal való megörökítése; az adatkezelő a személyes adatokat – az alábbiakban bemutatottak szerint – jogos érdek alapon, az alább bemutatott érdekmérlegelést követően kezeli:
Bármilyen további adatkezelési, adatvédelmi kérdés merül fel, úgy a köznevelési intézmény adatvédelmi tisztviselője készséggel nyújt benne tájékoztatást.
Az adatkezelésre mindenekelőtt az Európai Parlament és a Tanács (EU) 2016/679. számú általános adatvédelmi rendeletének (a továbbiakban: a „GDPR”) megfelelően kerül sor.
Az adatkezelő neve: Az adatkezelő székhelye: Az adatkezelő e-mail elérhetősége: Az adatkezelő telefonszáma: Az adatkezelő honlapja: Az adatkezelő Facebook profilneve: Az adatkezelő törvényes képviselője: Adatvédelmi tisztviselő neve: Adatvédelmi tisztviselő elérhetősége: |
Szentendrei II.Rákóczi Ferenc Ált.Isk. és Gimnátzium 2000 Szentendre Rákóczi u. 6. Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. 26-785-192 www.sziirfig.hu Rákóczi Szentendre Molnárné Reskovits Zsuzsanna intézményvezető Juhász Andrea Éva Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. |
Az adatkezelés célja: |
Az adatkezelés célja a ballagási ünnepség tényének és hangulatának megörökítése, az emlékállítás, a közösségépítés. |
Az adatkezelés jogalapja: |
Az adatkezelés a GDPR 6. cikk (1)(f) bekezdés szerinti, az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. |
Jogos érdek alapú-e az adatkezelés? |
Igen, az adatkezelés jogos érdek alapon történik, amely a ballagási ünnepség tényének és hangulatának megörökítése, az emlékállítás, a közösségépítés lehetőségének megteremtése hatékony eszközzel. Az adatkezelő ezen jogalap alkalmazhatósága érdekében előzetes érdekmérlegelést végzett, melynek eredményét alább olvashatja. |
Az érintettek kategóriái: |
A ballagáson részt vevők (pl. tanulók, hozzátartozók, ismerősök, pedagógusok, érdeklődők). Az esemény nyilvános, így az érintettek köre egzakt módon nem határozható meg. |
A személyes adatok kategóriái: |
A köznevelési intézmény által megrendelt hivatalos fotón vagy videón szereplő valamennyi személy képmása, hangja, a róla (egyben a többi résztvevőről) készült fotó, illetve videófelvétel tartalmi elemei; mindezek elkészítésének dátuma, helyszíne, az alapul szolgáló esemény jellege. |
A címzettek kategóriái: |
Felhívjuk arra is a figyelmet, hogy a képek, illetve videofelvételek honlapra való feltöltést követőn – a honlap nyilvános voltára figyelemmel – bármely honlaplátógató számára megismerhetővé válnak. A Facebook közösségi portálon, illetve a Youtube fájlmegosztón megjelenő képek és videók feltöltése által az adatkezelő adatokat továbbít a Facebook, illetve a Youtube, vagyis harmadik országbeli adatkezelő számára. Fontos ugyanakkor tudnia az érintettnek, hogy az adatkezelőnek jelen esetben korlátozott ráhatása van a személyes adatok kezelésére, ugyanis a Facebook/Youtube – szintén, mint önálló adatkezelő – saját adatkezelési szabályokat állított fel az adott portálon megvalósuló adatkezelések időtartamára, módjára, illetve az adatok törlési és módosítási lehetőségeire nézve. Az adatkezelési tájékoztatók elérési útvonala a fent említett közösségi oldalak vonatkozásában: A Facebook adatkezelési tájékoztatója itt érhető el: https://www.facebook.com/business/gdpr A Youtube adatkezelési tájékoztatója itt érhető el: https://support.google.com/youtube/answer/2801895?hl=hu Felhívjuk arra is a figyelmet, hogy a képek, illetve videofelvételek a Facebook-ra való feltöltést követőn bármely Facebook látogató számára megismerhetővé válnak. A köznevelési intézmény Facebook profilját bármely felhasználó követheti, üzenetet írhat, az egyes posztokat lájkolhatja, illetve kommentálhatja („hozzászólás”). Amennyiben ezt megteszi, úgy személyes adatai jelennek meg e Facebook oldalakon, amelyeket részben adatkezelő, mint az adott Facebook profilok jogosultja kezel. A köznevelési intézmény a Youtube fájlmegosztó portálra feltöltött videók nyilvános megtekintését a tanulók számára kiosztott megtekintési kód használatával akadályozza meg. Felhívjuk a figyelmet nyomatékkal ugyanakkor arra, hogy a tanulók által kódjuk segítségével elért Youtube videók tanuló általi letöltése, illetve másokkal való megosztása révén a kóddal védett tartalom – immár a köznevelési intézmény hatóköréből kilépve – széles körben továbbításra kerülhet. Ez az adattovábbítás már nem az adatkezelő, azaz a köznevelési intézmény felelősségi körébe tartozó adatkezelés, ezt az adattovábbítást az adatkezelő megakadályozni nem tudja. |
Harmadik országba történő adattovábbítás |
Az adatok ezen fájlmegosztó portálokra (Facebook, illetve Youtube) való feltöltésével adattovábbítás történik a két harmadik országbeli adatkezelő, azaz a Facebook, illetve a Youtube részére. Mindkét adatkezelő bemutatja honlapján az adatkezelési elveit, melyek a következők: https://privacy.google.com/businesses/compliance/ https://www.facebook.com/business/gdpr Rámutatunk arra is, hogy a Google (Youtube kezelője) az EU-USA adatvédelmi pajzs részese volt, jelenleg pedig e két címzett az Európai Bizottság szerződéses mintaklauzuláit alkalmazza. |
Adattörlésre előirányzott határidő: |
A két közösségi oldalon és a honlapon az adatkezelő által feltöltött személyes adatokat (képek, videók által tartalmazott személyes adatokat) az adatkezelő az érintett tiltakozásáig kezeli, azaz a honlapon elérhetővé teszi. Az érintett által a Facebook-ra feltöltött személyes adatokat (lájk, követési funkció, komment vagy üzenet) az adatkezelő addig kezeli, amíg az érintett azok törlését nem kéri, vagy az érintett maga nem törli. Egyebekben az adatkezelés a közösségi oldalakon valósul meg, így az adatkezelés időtartamára, módjára, illetve az adatok törlési és módosítási lehetőségeire az adott közösségi oldal szabályozása is vonatkozik. Az adatkezelési tájékoztatók elérési útvonala a fent említett közösségi oldalak vonatkozásában: |
A személyes adatok forrása: |
A fotón, illetve a videón kezelt személyes adatokat az azokon szereplő érintettek szolgáltatják, jelenlétükkel. |
Automatizált döntéshozatal / profilalkotás megvalósul-e? |
Nem valósul meg. |
Az érintett adatkezeléssel összefüggő jogai: |
Az érintett jogai a jogos érdek jogalapon kezelt adatok tekintetében a következők: Az érintetti jogok az adatkezelés folyamatban létéről való tájékoztatáshoz való jog; az adatkezeléssel kapcsolatos fenti információkhoz való hozzáférés joga; a kezelt személyes adatok másolatának rendelkezésre bocsátása iránti jog; a rá vonatkozó személyes adatok helyesbítése, törlése, kezelése korlátozásának kérése iránti jog; a személyes adatok kezelése elleni tiltakozáshoz való jog; a felügyeleti hatósághoz való panasz benyújtásának joga, valamint a bírósághoz fordulás joga.
Az egyes érintetti jogok részletes magyarázatát a „Az érintett adatkezeléssel összefüggő jogainak magyarázata” című fejezetben olvashatja el. |
Kötelező-e az adatszolgáltatás: |
Az adatszolgáltatás a köznevelési intézmény által felkért szakember által beállított, előre megtervezett fotók (pl. beállított csoportképek) és a résztvevőkkel előre megtervezett videófelvételek tekintetében önkéntes; azonban az eseményeket bemutató, nem beállított, azaz spontán felvételek esetében azokon az érintett a jelenléte okán szerepelni fog. |
Az adatszolgáltatás elmaradásának következményei: |
Amennyiben az érintett nem szeretné, hogy a fotón vagy videófelvételen szerepeljen, úgy az előre beállított, előre megtervezett felvételek esetében a felvételről távol maradhat; míg a nem beállított, spontán felvételek valamennyi résztvevőt rögzítik, függetlenül attól, hogy kíván-e szerepelni a felvételen vagy sem. |
Érdekmérlegelés:
A köznevelési intézmény, mint adatkezelő érdekmérlegelést végzett, miután a fotókon és videófelvételeken szereplő, általa kezelt személyes adatok hozzájárulás jogalapon történő kezelése nem kivitelezhető, ugyanakkor a felvételek által nagy számban kezel gyermekekre vonatkozó személyes adatokat, akiket fokozott, különös védelem kell, hogy megillessen; hiszen kevésbé vannak tisztában az adatkezelés kockázataival, körülményeivel; nem tudnak jogaikról és nem tudják azokat kellőképpen megvédeni.
Az adatkezelő érdekmérlegelése során a következő lényeges megállapításokra jutott:
Az adatkezelési tevékenység lényege egy nyilvános eseményen (ballagás) történő fotó-, illetve videófelvétel készítés, majd a felvételeknek a köznevelési intézmény nyilvános weboldalára és népszerű fájlmegosztó oldalakra (Facebook és Youtube) történbő feltöltése. A tevékenységgel érintett mindenki, aki az eseményen részt vesz, ezáltal a fotókon, illetve videókon szerepelhet.
Az adatkezelő azokat az adatokat kezeli, amelyek a fotókon, illetve videófelvételeken rögzítésre kerültek, illetve amelyek azokból megállapíthatóak.
Az adatkezelés célja a ballagásnak, mint nyilvános eseménynek a megörökítése, emlék állítása, a dokumentálás, a közösségépítés.
Az adatkezelő jogos érdeke, hogy a ballagási eseményt fotók, videófelvételek segítségével dokumentálja, ezáltal az iskola egyik kiemelkedő fontosságú eseményét bemutassa, népszerűsítse, a végzős tanulók emlékét ilyen formában is megörökítse, a köznevelési intézmény életének egyik fontos éves eseményét képi formában is ábrázolja.
Ez a jogos érdek egybeesik a végzős tanulók és törvényes képviselőik, illetve hozzátartozóik egyértelmű elvárásával; azaz azzal, hogy a ballagást a köznevelési intézmény által megbízott hivatalos fotós szakmai színvonalú fotókkal és videókkal mutassa be, örökítse meg; amely felvételek utána számukra is elérhetők, illetve lementhetők legyenek; továbbá azokat az eseményen részt nem vett személyek (rokonság, baráti kör stb.) számára továbbítani tudják.
Az adatkezelés a fenti jogos érdekek eléréséhez feltétlenül szükséges, arra alkalmas és azzal arányos; ugyanakkor az is megállapítható, hogy nincs más olyan adatkezeléssel egyáltalán nem járó, vagy kisebb mértékű adatkezeléssel járó eszköz, amely ugyanezt a célt hatékonyan, az érintettek magánszférájára kevésbé kockázatos megoldással tudná elérni. A személyes adatok anonimizálása vagy kevesebb személyes adat kezelése lehetetlenné tenné a fenti adatkezelési célokat.
Az érintett figyelembe veendő jogai e tekintetben főképpen a képmásához, magánszférájához, illetve a megfigyelésmentes mozgásszabadsághoz való joga, illetve az a joga, hogy képmása csak a törvényileg megengedett keretek között kerüljön felhasználásra.
Az adatkezelő dokumentáláshoz, megörökítéshez, emlékállításhoz való joga azonban azért élvez elsőbbséget, mert ez nem csupán az adatkezelő jogos érdeke, hanem akceptálható elvárás az irányába valamennyi végzős tanuló és hozzátartozói részéről. Ugyanakkor valamennyi érintett számára is kedvező hatása az adatkezelésnek az, hogy az eseményen való részvételét, a felvételkori hangulatot, életérzést a felvételek számára is megörökítik; ezáltal emléket állítanak. Kedveztőlen hatása az adatkezelésnek, hogy amennyiben az érintett nem kíván a felvételeken szerepelni, ezt csupán az előre beállított, megszervezett felvételek esetében tudja elkerülni; a spontán, nem beállított felvételek esetében fennáll annak a lehetősége, hogy a felvételen szerepeljen. Ugyanakkor az érintettek az adatkezelésre számíthatnak, adatkezelő arra figyelmüket többféle módon is felhíja, hiszen arról nem csupán a honlapon elektronikus formában és a főbejáratnál papír alapon is megtalálható jelen Adatkezelési Tájékoztató; hanem a köznevelési intézmény főbejáratánál kihelyezett, a felvételek készítésére és az Adatkezelési Tájékoztató létére figyelmeztető tábla kerül kihelyezésre.
A kedvezőtlen hatásokat ellensúlyozza az, hogy az érintettet számos jog illeti meg a jelen adatkezelés kapcsán. Az érintetti jogok az adatkezelés folyamatban létéről való tájékoztatáshoz való jog; az adatkezeléssel kapcsolatos fenti információkhoz való hozzáférés joga; a kezelt személyes adatok másolatának rendelkezésre bocsátása iránti jog; a rá vonatkozó személyes adatok helyesbítése, törlése, kezelése korlátozásának kérése iránti jog; a személyes adatok kezelése elleni tiltakozáshoz való jog; a felügyeleti hatósághoz való panasz benyújtásának joga, valamint a bírósághoz fordulás joga. Az egyes érintetti jogok pontos tartalmát az Adatkezelési Tájékoztató későbbi fejezete részletesen bemutatja.
Külön kiemeljük a megelőző felsorolásból, hogy az érintettet megilleti az adatkezelés elleni tiltakozás joga: az érintett az adatkezelést a jelen Adatkezelési Tájékoztatóban leírtak szerint, az itt bemutatott jogai gyakorlása révén ellenőrizheti és jogosult élni tiltakozási jogával.
Az érintett adatkezeléssel összefüggő jogainak magyarázata:
Bármilyen adatkezelési, adatvédelmi kérdés merül fel, úgy a köznevelési intézmény adatvédelmi tisztviselője készséggel nyújt benne tájékoztatást.
Az adatbiztonsági követelmények teljesülése és az érintett jogainak védelme érdekében az adatkezelő köteles meggyőződni arról, hogy az érintetti jogokat gyakorolni kívánó személy valóban azonos-e az érintettel; így az érintetti joggyakorlás előfeltétele minden esetben az érintett személyének azonosítása.
Tájékoztatáshoz való jog:
Ön érintettként az adatkezelőtől tájékoztatást kérhet személyes adatai kezelésével kapcsolatban.
Az adatkezelő az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva köteles átadni.
Az információkat az adatkezelő késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül írásban adja meg. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy az érintett a személyazonosságát megelőzőleg más módon hitelt érdemlően igazolta.
Amennyiben a kérelem összetett és nagy számú, az egy hónapos határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
A személyes adatokhoz, az adatkezeléssel kapcsolatos információkhoz való hozzáférés joga:
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
- az adatkezelés céljai;
- az érintett személyes adatok kategóriái;
- azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják;
- a személyes adatok tárolásának tervezett időtartama, vagy ezen időtartam meghatározásának szempontjai;
- az érintett tájékoztatása arról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
- a felügyeleti hatósághoz címzett panasz benyújtásának joga;
- ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
- az automatizált döntéshozatal (ideértve a profilalkotást is) megvalósul-e az adatkezelőnél
Másolat rendelkezésre bocsátásának joga:
Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja az érintett kérelme esetén. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
A másolat igénylésére vonatkozó jog korlátját képezi azonban, hogy az nem érintheti hátrányosan mások jogait és szabadságait.
Az adathordozhatósághoz való jog:
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a jelen adatkezelő, amennyiben az adatkezelés jogalapja az érintett hozzájárulása, vagy kifejezett hozzájárulása vagy szerződés teljesítése; és egyben, ha az adatkezelés automatizált módon történik.
Az érintett jogosult a fenti feltételek megvalósulása esetén arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
Az adathordozhatósághoz való jog korlátját képezi azonban, hogy az nem érintheti hátrányosan mások jogait és szabadságait.
A helyesbítés joga:
Az érintett jogosult arra, hogy az adatkezelőtől kérje a rá vonatkozó pontatlan személyes adatok indokolatlan késedelem nélküli helyesbítését, illetőleg a hiányos személyes adatok – egyebek mellett pl. kiegészítő nyilatkozat útján történő – kiegészítését.
A törlés joga:
Az érintett jogosult arra, hogy az adatkezelőtől kérje a rá vonatkozó személyes adatok indokolatlan késedelem nélküli törlését, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja az adatkezelés jogalapját képező hozzájárulását (vagy kifejezett hozzájárulását), és az adatkezelésnek nincs másik jogalapja;
- az érintett tiltakozik a közérdekből vagy jogos érdekből történő adatkezelése ellen, és valóban nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a közvetlen üzletszerzési érdekből történő adatkezelés ellen tiltakozik;
- a személyes adatokat az adatkezelő jogellenesen kezelte;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő egyéb adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Nem lehet az adatok törlését kérni, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- a népegészségügy területét érintő közérdek alapján;
- közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Az Irattári Terv értelmében Levéltárba adandó iratokba foglalt személyes adatokat az adatkezelő nem törli (miután az az irat integritásának sérelme nélkül nem lenne megvalósítható), hanem az Irattári Terv szerinti határidő lejártával ezen iratokat az adatkezelő átadja a Levéltárnak. Hasonlóképpen jár el az adatkezelő az Irattári terv alapján nem selejtezhető iratokba foglalt személyes adatok esetében is.
Az adatkezelés korlátozásához való jog:
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, azonban az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a tiltakozás jogszerű, helytálló-e vagy sem.
Ha az adatkezelés korlátozás alá esik, úgy az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Az adatkezelő köteles tájékoztatni az érintettet arról előzetesen, amennyiben az adatkezelés korlátozását feloldja.
Az adatkezelés elleni tiltakozáshoz való jog:
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdekből történő kezelése ellen.
Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Panasz benyújtásának joga; illetve a bírósághoz fordulás joga:
Az érintett jogosult arra, hogy amennyiben bármely fenti joga sérülne, úgy a felügyeleti hatósághoz címzett panaszt nyújtson be.
A felügyleti hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (levelezési cím: 1363 Budapest, Pf.: 9., 1055 Budapest, Falk Miksa u. 9-11., telefon: +36 (1) 391-1400, email: Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát., honlap: www.naih.hu), ahol panaszt tehet, illetőleg bejelentéssel vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatai kezelésével kapcsolatban jogsérelem érte vagy annak közvetlen veszélye fennáll, illetve jogainak megsértése esetén.
Tájékoztatjuk arról is, hogy személyes adatai kezelésével kapcsolatban jogsérelem érte vagy annak közvetlen veszélye fennáll, illetve jogainak megsértése esetén közvetlenül bírósághoz is fordulhat.
Észrevételeit, kérdéseit, panaszát az adatkezelő számára az adatvédelmi tisztviselőn keresztül is jelezheti.
AZ ADATKEZELÉSSEL KAPCSOLATOS FOGALMAK MAGYARÁZATA:
A fogalommeghatározások célja annak bemutatása, hogy kik a szabályozás alanyai, illetve a szabályrendszer egyes fogalmak alatt pontosan mit ért. Kérdés esetén az adatvédelmi tisztviselőtől tájékoztatás kérhető.
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; amelyből az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1. pont);
A személyes adatok különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk /1/ bekezdés).
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés azonosítható (GDPR 4. cikk 2. pont);
Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 2. pont);
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7. pont);
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8. pont);
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9. pont);
Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10. pont);
Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4. pont);
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12. pont);
Az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából azonosítható (GDPR 4. cikk 3. pont);
Felügyeleti hatóság: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21. pont), amely Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság.
AZ ADATKEZELÉS ALAPELVEI
Az adatkezelő a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi („jogszerűség, tisztességes eljárás és átláthatóság”);
az adatkezelő adatot csak meghatározott, egyértelmű és jogszerű célból gyűjt, és a begyűjtött adatokat nem kezeli az itt leírt célokkal össze nem egyeztethető módon („célhoz kötöttség”);
az adatkezelő csak az adatkezelési cél szempontjából megfelelő, releváns és szükséges adatokat kezeli („adattakarékosság”);
az adatkezelő minden ésszerű intézkedést megtesz annak érdekében, hogy az adatok pontosak, és ha lehet, naprakészek legyenek, míg a pontatlan személyes adatokat igyekszik haladéktalanul törölni vagy helyesbíteni („pontosság”);
az adatkezelő az adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”);
az adatkezelő megfelelő technikai vagy szervezési intézkedéseket alkalmaz annak érdekében, hogy biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelem („integritás és bizalmas jelleg”).
Az adatkezelő a megfelelés igazolására képes, ezáltal az elszámoltathatóság elvének biztosításáról is gondoskodik („elszámoltathatóság”).
ADATVÉDELMI INCIDENS ESETÉN KÖVETENDŐ ELJÁRÁSUNK
Adatvédelmi incidensnek nevezzük a biztonság olyan sérülését, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatkezelő mindent megtesz annak érdekében, hogy adatvédelmi incidens ne következzen be. Amennyiben erre sor kerül, az alábbi intézkedésekre kerül sor az adatvédelmi incidens súlyossága tükrében:
a.) Az adatvédelmi incidens nyilvántartásba vétele: erre minden esetben sor kerül.
b.) Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak: erre mindazon esetekben sor kerül, amikor az adatvédelmi incidens az érintettre nézve kockázattal jár.
c.) Az érintett közvetlen értesítése: erre mindazon esetekben sor kerül, amikor az adatvédelmi incidens az érintettre nézve kockázattal jár.
1. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
A bejelentésben a felügyeleti szervet az adatkezelő a következőkről köteles tájékoztatni:
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
2. Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül, világosan és közérthetően tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.