Adatvédelmi irányelvek - Kossuth Művelődési Központ

A „Kossuth Művelődési Központ” Nonprofit Kft.
Adatkezelési szabályzata és tájékoztatója

I. A szabályzat és tájékoztató hatálya

Jelen szabályzat és tájékoztató hatálya kiterjed a „Kossuth Művelődési Központ” Nonprofit Kft. (a továbbiakban: vállalkozás) teljes egészére, valamennyi szervezeti egységére, az összes foglalkoztatottjára, valamint azon természetes személyekre terjed ki, akikre az adatkezelési tevékenysége kiterjed. A jelen Szabályzatban és tájékoztatóban rögzített adatkezelési tevékenység természetes személyek személyes adataira irányul. A Szabályzat és tájékoztató hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

II. A szabályzat és tájékoztató célja

1. A Szabályzat és tájékoztató célja, hogy biztosítsa a személyes adatok alaptörvény szerinti védelmének érvényesülését, az információs önrendelkezés megvalósulását, továbbá, hogy a vállalkozás által kezelt személyes adatok tekintetében meghatározza az adatkezelés során irányadó adatvédelmi és adatbiztonsági szabályokat.

2. A Szabályzat és tájékoztató célja, hogy az érintettek részletes tájékoztatást kapjanak az adataik kezelésével kapcsolatos tevékenységekről és jogaikról.

III. Irányadó jogszabályok

A vállalkozásnak az adatkezelése során az alábbi jogszabályokban foglalt előírásoknak megfelelően kell eljárnia, a jelen szabályzatban és tájékoztatóban foglaltak szerint:

− Az Európai Parlament és a Tanács (Eu) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR)
− az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.)
− a polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.)
− a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.)
− a Magyar Könyvvizsgálói Kamaráról, a könyvvizsgálói tevékenységről, valamint a könyvvizsgálói közfelügyeletről szóló a 2007. évi LXXV. törvény (a továbbiakban: Kkt.)
− az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény;
− a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a továbbiakban: Grt.);
− a számvitelről szóló 2000. évi C. törvény (a továbbiakban: Számv. tv.)
− a közokiratokról, a közlevéltárakról, valamint a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (a továbbiakban: Levéltári tv.)
− az általános forgalmi adóról szóló 2017. évi CXXVII. törvény (a továbbiakban ÁFA tv.)
− a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (a továbbiakban SzJA tv.)
− az adatvédelmi hatóság ajánlásai, állásfoglalásai és az általa kialakított adatvédelmi gyakorlat.

IV. Értelmező rendelkezések

A GDPR-ban meghatározott fogalmak, amelyek közül jelen szabályzat és tájékoztató jellegével összhangban az alábbi fogalmak emelendők ki:

a) személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára
vonatkozó egy vagy több tényező alapján azonosítható.

b) adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

c) adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

d) adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

e) címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat
keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

f) nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

g) adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való
jogosulatlan hozzáférést eredményezi.

V. Az adatkezelés alapelvei

1. A vállalkozás az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi (jogszerűség, tisztességes eljárás és átláthatóság).

2. A vállalkozás a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség).

3. A vállalkozás az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság). Ennek megfelelően a vállalkozás nem gyűjt és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges.

4. A vállalkozás adatkezelése pontos és naprakész. A vállalkozás minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság).

5. A vállalkozás a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási
kötelezettségre (korlátozott tárolhatóság).

6. A vállalkozás megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével
vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg).

7. A vállalkozás felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá a vállalkozás igazolja ezen megfelelést (elszámoltathatóság). Ennek értelmében a vállalkozás gondoskodik a jelen belső szabályzatban foglaltak folyamatos
érvényesüléséről, az adatkezelésének folyamatos felülvizsgálatáról és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről. A vállalkozás a jogszabályi kötelezettségeknek való megfelelés igazolására dokumentációt készít.

VI. Adatkezelési jogalapok

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiakban meghatározott jogalapok egyike teljesül:

1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (a továbbiakban: hozzájáruláson alapuló adatkezelés).
2. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (a továbbiakban: szerződésen alapuló adatkezelés).
3. Az adatkezelés a vállalkozásra vonatkozó jogi kötelezettség teljesítéséhez szükséges (a továbbiakban: jogi kötelezettségen alapuló adatkezelés).
4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (a továbbiakban: létfontosságú érdeken alapuló adatkezelés).
5. Az adatkezelés közérdekű vagy a vállalkozásra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (a továbbiakban: közhatalmi jogosítványon alapuló adatkezelés).
6. Az adatkezelés a vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (a továbbiakban: jogos érdeken alapuló
adatkezelés).

Jogi szolgáltatás

IX. Az adatkezelési nyilvántartás

1. A vállalkozás a tevékenysége körében végzett adatkezelésre vonatkozó, jelen szabályzat hatálya alá tartozó személyes adatokat érintő adatkezelési tevékenységekről a GDPR 30. cikkében meghatározott tartalommal adatkezelési nyilvántartást vezet. Az
adatkezelési nyilvántartás tartalmazza a vállalkozás által kezelt összes adatkört.
2. Az adatkezelési nyilvántartást az adatkezelő elektronikus úton vezeti.

X. Az egyes adatkezelések

1. Szerződő partnerek adatainak kezelése

A vállalkozás az üzleti tevékenységével összefüggésben, szerződések létesítése és teljesítése, valamint az ezekkel összefüggő egyéb kötelezettségek teljesítése (szállítás/beszerzés szervezése, számlázás/számlafizetés, panaszügyek kezelése, jótállási/szavatossági igények intézése stb.) céljából a vele kapcsolatban álló, illetve ilyen kapcsolatot létesíteni kívánó
személyek (jogi személyek esetén az azokat képviselő személyek) adatait kezeli. Egyes szerződő felek (pl.: tanfolyamvezetők stb…) esetében előfordulhat, hogy az érintett elérhetőségeit az adatkezelő a szerződés tárgyát képező program/esemény népszerűsítése érdekében az adott programot reklámozó kiadványokon, a honlapján, illetve Facebookon megjelenteti. Az ilyen jellegű adatkezelésről az érintettet az adatkezelő mindig előzetesen tájékoztatja, és hozzájárulásáról nyilatkoztatja.

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: Szerződések létesítése és teljesítése, valamint az ezekkel összefüggő egyéb kötelezettségek teljesítése (szállítás/beszerzés szervezése, számlázás/számlafizetés, panaszügyek kezelése, jótállási/szavatossági igények intézése stb.)

Az adatkezelés jogalapja: jogszabályi rendelkezések: Ptk., Számviteli tv. stb.

Amennyiben a szerződő felek adatait az adatkezelő nyilvánosságra hozza, az adatkezelés jogalapja a jogszabályi rendelkezéseken túl a GDPR. 6. cikk (1) bek. a) bekezdése alapján az érintett hozzájárulása és a GDPR. 6. cikk (1) bek. f) pontja alapján a vállalkozás – a program népszerűsítéséhez fűződő – jogos érdeke.

A kezelt adatok köre: a vállalkozással üzleti kapcsolatban álló, illetve ilyen kapcsolatot létesíteni kívánó személyek nyilvánosan elérhető (cégjegyzékben, EV nyilvántartásban) cégadatai, illetve képviselői adatok, egyéb, a partner által hozzáférhetővé tett adatok (névjegykártyák adatai, képviselő, kapcsolattartó neve, telefonszám, e-mail elérhetőség, beosztás, vásározók esetében a gépjármű rendszáma stb.), a szerződés teljesítéséhez szükséges egyéb adatok.

Az adatkezelés időtartama: szerződés létesítése esetén a számviteli és adózási jogszabályokban előírtak teljesítéséhez szükséges adatok esetén a szerződés teljesítését követő 8 év, a szerződés teljesítéséhez szükséges adatok esetében 5 év, egyéb adatok (pl. gépjármű rendszáma, kapcsolattartók adatai) esetében 2 év, szerződés létesítésének hiányában a tárgyalások meghiúsulásig.

A tárolt adatok megtekintésére jogosultak köre: a vállalkozás jogosultsággal rendelkező munkavállalói, valamint adatfeldolgozóként a vállalkozás részére szolgáltatást nyújtó szervezet jogosultsággal rendelkező munkavállalói, adott esetben a jogi szolgáltatást nyújtó ügyvéd.
Adattovábbítás lehetősége: a vállalkozás szerződései teljesítése során jogosult arra, hogy a szerződésből eredő kötelezettségeit és követeléseit átruházza harmadik személyre. Az ilyen szerződés-átruházás alapján a kezelt adatok is megfelelően átadásra kerülnek. Az adattovábbítások jogalapját az érintett hozzájárulása, illetve a vonatkozó jogszabályok (Ptk.,
Számviteli tv.) képezik.

Az adatszolgáltatás elmaradásának lehetséges következményei: szerződés nem jön létre, vagy nem tartható fenn.

2. Jogi személy ügyfelek, partnerek természetes személy képviselőinek adatai

A vállalkozással szerződéses kapcsolatban álló, vagy szerződéses kapcsolatot létesítő jogi személyeknek, vagy jogi személyiség nélküli egyéb szervezeteknek a képviseletét ellátó természetes személy képviselő személyes adatait a vállalkozás a szerződés teljesítése, illetve kapcsolattartás céljából kezeli. Egyes szerződő felek esetében előfordulhat, hogy a szerződő fél 9
képviselőjének elérhetőségeit az adatkezelő a szerződés tárgyát képező program/esemény népszerűsítése érdekében az adott programot reklámozó kiadványokon, a honlapján, illetve Facebookon megjelenteti. Az ilyen jellegű adatkezelésről az érintettet az adatkezelő mindig előzetesen tájékoztatja, és hozzájárulásáról nyilatkoztatja.

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: a vállalkozás jogi személy, vagy jogi személyiséggel nem rendelkező egyéb szervezet partnerével szerződés megkötése, a megkötött szerződés teljesítése, módosítása, megszüntetése, üzleti kapcsolattartás.

Az adatkezelés jogalapja: a GDPR. 6. cikk (1) bek. b) pontja alapján a szerződés teljesítése. Ezen adatkezelés jogszerűnek minősül akkor is, ha az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Amennyiben a szerződő fél képviselőjének adatait az adatkezelő nyilvánosságra hozza, az adatkezelés jogalapja a szerződés teljesítésén túl a GDPR. 6. cikk (1) bek. a) bekezdése alapján az érintett hozzájárulása és a GDPR. 6. cikk (1) bek. f) pontja alapján a vállalkozás – a program népszerűsítéséhez fűződő – jogos érdeke.

A kezelt adatok köre: név, lakcím, telefonszám, e-mail cím

Az adatkezelés időtartama: az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 8 évig.
A tárolt adatok megtekintésére jogosultak köre: a vállalkozás üzleti kapcsolatokkal foglalkozó munkavállalói. A szerződő fél képviselője személyes adatainak fenti célból történő nyilvánosságra hozatala esetén a vállalkozás marketingtevékenységet ellátó munkavállalói is. Adatfeldolgozóként az adatokat megismerhetik a vállalkozás részére számviteli szolgáltatást, számlázó szolgáltatást nyújtó szervezet jogosultsággal rendelkező munkavállalói, adott esetben a jogi szolgáltatást nyújtó ügyvéd.

Az adatszolgáltatás elmaradásának lehetséges következményei: szerződés nem jön létre, vagy nem tartható fenn.

Adattovábbítás: A tárolt adatok nem kerülnek továbbításra, kivéve, ha a vállalkozás jogos érdekének érvényesítése, vagy jogi igények érvényesítése vagy védelme miatt az szükséges.

3. Új munkaerő felvétele, álláshirdetés

A vállalkozás a betöltetlen állásaira történő jelentkezők személyes adatait a betöltetlen munkakörök mielőbbi, a lehető legalkalmasabb munkavállalóval való betöltése céljából tárolja és kezeli.

A betöltetlen állásra való jelentkezés az alábbi módokon valósulhat meg:
– személyes jelentkezés útján,
– postai vagy elektronikus úton (e-mail) történő jelentkezéssel.10

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: a betöltetlen munkakörök mielőbbi, a lehető legalkalmasabb munkavállalóval való betöltése.

Az adatkezelés jogalapja: a GDPR. 6. cikk (1) bek. a) pontja alapján az érintett hozzájárulása.

A kezelt adatok köre: a jelentkező neve, lakcíme, (tartózkodási helye), fényképe, aláírása, telefonos és elektronikus elérhetősége, az érintett által megadott, illetve csatolt egyéb adat.

Az adatkezelés időtartama: munkaviszony létesítése nélkül, és további hozzájárulás hiányában az elbírálást követő 4 hónapig, amennyiben a jelentkező külön nyilatkozattal hozzájárul az adatainak hosszabb ideig történő kezeléséhez (más munkakörökre való figyelembevétel céljából), úgy a hozzájárulásban megjelölt időtartamig; munkaviszony létesítése esetén a következő pontban foglaltak szerint.

A tárolt adatok megtekintésére jogosultak köre: a munkáltatói jogkör gyakorlója, a vállalkozás jogosultsággal rendelkező munkavállalói, munkaviszony létesítése esetén a következő pontban foglaltak szerint.

Az adatszolgáltatás elmaradásának lehetséges következményei: az érintett nem tud állásra jelentkezni a vállalkozásnál.

Adattovábbítás: A tárolt adatok nem kerülnek továbbításra.

4. Munkavállalók adatainak kezelése

A munkavállalók adatainak kezelésével kapcsolatos rendelkezések és a munkavállalókat érintő tájékoztató külön belső szabályzatban szerepel.

5. A vállalkozás által szervezett tanfolyamokra, foglalkozásokra, táborokba jelentkezők
adatainak kezelése

A vállalkozás az általa szervezett tanfolyamokra, foglalkozásokra, táborokba jelentkező azon személyek adatait, akik jelentkeznek, és az ehhez szükséges adataikat önkéntesen a vállalkozás rendelkezésére bocsátják, kezeli a tanfolyam/foglalkozás/tábor záró időpontjáig annak érdekében, hogy a tanfolyamot/foglalkozást/tábort meg tudja szervezni, le tudja bonyolítani, kapcsolatot tartson a jelentkezővel/résztvevővel, illetve biztosítsa a biztonságos részvételt.

A jelentkezés a vállalkozás által szervezett tanfolyamokra, foglalkozásokra, táborokba papír alapú regisztrációval történik, valamint a https://cegledikultura.hu/ oldalon is lehetséges a
„Kapcsolat” menüpontban.

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: a tábor/tanfolyam/foglalkozás megszervezése és lebonyolítása, és a
táborban/tanfolyamon/foglalkozáson való biztonságos részvétel biztosítása, valamint a
tábor/tanfolyam/foglalkozás időtartama alatti kapcsolattartás.11

Az adatkezelés jogalapja: a GDPR. 6. cikk (1) bek. a) pontja alapján az érintett hozzájárulása.

A kezelt adatok köre:
tanfolyam/foglalkozás esetén az érintett neve, e-mail címe, papír alapú regisztráció esetén aláírás,

tábor esetén
a jelentkezési lapon: név, lakcím, születési idő, a jelentkező anyja neve, gyermek esetében a szülő/törvényes képviselő viselt neve, lakcíme, telefonszáma, email címe, papír alapú regisztráció esetén aláírás, különleges adat: a jelentkező étkezési szokásaira és az allergiára vonatkozó információ, az egészségügyi nyilatkozaton: a jelentkező neve, születési ideje, lakcíme, anyja neve,
egészségi állapotával kapcsolatos adat – különleges adat, gyermek esetében a szülő/törvényes képviselő viselt neve, lakcíme, telefonszáma, email címe, papír alapú regisztráció esetén aláírás.

Az adatkezelés időtartama: az adatkezelés a tanfolyam/foglalkozás/tábor záró napjától számított 30 nap.

A tárolt adatok megtekintésére jogosultak köre: a vállalkozás jogosultsággal rendelkező munkavállalói, amennyiben szükséges (tábor esetében), a megfelelő egészségügyi ellátás biztosítása érdekében az ügyeletes orvos.

Az adatszolgáltatás elmaradásának lehetséges következményei: az érintett részére nem biztosítható a megfelelő étkezés, egészségügyi ellátás, nem tud a szervező az érintettel kapcsolatot tartani.

Gyermek táborba való jelentkezése esetén az adatszolgáltatás elmaradásának lehetséges következménye, hogy az érintett gyermek saját biztonsága érdekében nem vehet részt a tanfolyamon/foglalkozáson/táborban, amennyiben az adatkezelő nem ismerheti meg az allergiára, egészségi állapotára vonatkozó adatokat.

Adattovábbítás: a tárolt adatok nem kerülnek továbbításra.

6. Hírlevél küldése céljából történő adatkezelések

A vállalkozás az általa szervezett rendezvényekkel, programokkal kapcsolatos hírekkel, információkkal, promóciókkal kapcsolatosan rendszeresen hírlevelet küld azon személyek részére, akik a hírlevélre feliratkoznak és az ehhez szükséges adataikat önkéntesen az vállalkozás rendelkezésére bocsátják.

A Hírlevélre való feliratkozás a vállalkozás által szervezett rendezvények során papír alapú regisztrációval történik, valamint a hírlevélre való feliratkozás a https://cegledikultura.hu/ oldalon is lehetséges a „Hírlevél” menüpontban.

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: hírlevél küldése

Az adatkezelés jogalapja: a GDPR. 6. cikk (1) bek. a) pontja alapján az érintett hozzájárulása.

A kezelt adatok köre: érintett neve, e-mail címe, papír alapú regisztráció esetén aláírás.

Az adatkezelés időtartama: az érintett hozzájárulásának visszavonásáig.

A tárolt adatok megtekintésére jogosultak köre: a vállalkozás jogosultsággal rendelkező munkavállalói.

Az adatszolgáltatás elmaradásának lehetséges következményei: az érintett részére a vállalkozás nem tud hírlevelet küldeni.
Adattovábbítás: a tárolt adatok nem kerülnek továbbításra.

7. Direkt marketing célú adatkezelés

A vállalkozás az általa, illetve a közreműködésével rendezett/szervezett programok, események, rendezvények népszerűsítése, kiajánlása érdekében értesítést küldhet annak, aki a személyes adatai e célból történő kezeléséhez előzetesen hozzájárult. A vállalkozás rendezvényein résztvevőknek minden alkalommal lehetősége van arra, hogy a programajánlatokról szóló értesítések megküldése érdekében személyes adatait egy papír alapú adatkezelési nyilatkozat kitöltésével megadhassa, és eldönthesse azt, hogy a tájékoztató füzeteket/brosúrákat, egyéb értesítéseket milyen formában (e-mail, posta) kívánja megkapni.

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: a vállalkozás tevékenységéhez kapcsolódó direkt marketing tevékenység folytatása, azaz reklámkiadványok, aktuális ajánlatok nyomtatott (postai) vagy elektronikus formában (e-mail) történő rendszeres vagy időszakonkénti megküldése a regisztrációkor, feliratkozáskor, illetve hozzájáruláskor megadott elérhetőségekre.

Az adatkezelés jogalapja: GDPR. 6. cikk (1) bek. a) pontja és a Grt. 6. § (1)-(2) bek. alapján az érintett hozzájárulása. Tájékoztatjuk az érintettet, hogy a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti az azt megelőző adatkezelés jogszerűségét. A vállalkozás leiratkozás esetén a személyes adatokat törli a nyilvántartásából
és további ajánlatokkal nem keresi meg az érintettet.

A kezelt adatok köre: név, e-mail cím, telefonszám, lakcím.

Az adatkezelés időtartama: az érintett hozzájárulásának visszavonásáig.

A tárolt adatok megtekintésére jogosultak köre: a vállalkozás jogosultsággal rendelkező munkavállalói, és a hírlevélküldő szolgáltatást üzemeltető vállalkozás arra jogosult munkavállalói.

Adattovábbítás: a tárolt adatok nem kerülnek továbbításra.

Az adatszolgáltatás elmaradásának lehetséges következményei: az érintett nem értesül
programajánlatról, termék vagy szolgáltatáskínálatról. 13

8. Cookie-k (sütik)

A vállalkozás mobilapplikációi és egyes oldalak a vállalkozás weblapjain sütiket használnak. A sütik kis adatfájlok, amelyeket a honlap használójának böngészője telepít, akkor amikor meglátogatja a vállalkozás weblapját, vagy használja a mobil applikációit. A cookie-kat azért használja a vállalkozás, hogy testreszabhassa a jövőben az érintett számára weblapjait és
alkalmazásait, olyan módon, hogy megértse az érintett preferenciáit vagy megjegyezze a böngészési szokásait.

Amennyiben a vállalkozás a weblapjain sütiket használ, az érintett ezeket a sütiket bármikor letilthatja. Ezt olyan módon teheti meg, hogy böngészőjében aktiválja azt a funkciót, amely a sütibeállításokat tudja letiltani. Tájékoztatjuk ugyanakkor az érintettet, hogy amennyiben az összes sütit letiltja a böngészőjében, előfordulhat, hogy nem lesz képes a weblapok egyes
részeit látogatni, vagy egyes funkciókat nem tud majd használni.

A sütikkel kapcsolatos további információ a süti szabályzatban érhető el: https://cegledikultura.hu/adatvedelem/cookie-szabalyzat/.

9. Adatkezelés a vállalkozás Facebook oldalán

A vállalkozás szolgáltatásai megismertetése, népszerűsítése céljából Facebook oldalt tart fenn, mely az alábbi hivatkozáson érhető el: https://facebook.com/kossuthmuvelodesikozpont/.

A vállalkozás Facebook oldalán a látogatók által közzétett személyes adatokat a vállalkozás – nyereményjátékkal kapcsolatos adatkezeléstől eltekintve, lásd a következő pont) – nem kezeli, a felhasználókra a Facebook Adatvédelmi- és Szolgáltatási Feltételei irányadók.

Az egyes felhasználók által jogellenes, vagy sértő tartalom publikálása esetén a vállalkozás előzetes értesítés nélkül kizárhatja az érintettet a tagok közül, vagy törölheti hozzászólását. A vállalkozás nem felel a Facebook felhasználók által közzétett jogsértő adattartalmakért, hozzászólásokért.

10. Ajándéksorsolás szervezésével kapcsolatos adatkezelés

A vállalkozás által, illetve a vállalkozás közreműködésével szervezett nyereményjátékok és ajándéksorsolások alkalmával a vállalkozás a nyereményjátékra jelentkező érintettek személyes adatait kezeli. Az egyes nyereményjátékokra mindenkor külön játékszabályzat vonatkozik, melyet az adott nyereményjátékkal kapcsolatban a vállalkozás a Facebookon hozzáférhetővé
tesz.

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: nyereményjáték nyertesének megállapítása, értesítése, a nyeremény megküldése.

Az adatkezelés jogalapja: a GDPR. 6. cikk (1) bek. a) pontja az érintett hozzájárulása. Tájékoztatjuk az érintettet, hogy a hozzájárulását bármikor visszavonhatja, a hozzájárulás visszavonása azonban nem érinti az azt megelőző adatkezelés jogszerűségét.

A kezelt adatok köre: név, telefonszám, e-mail cím, születési dátum, az érintett édesanyja neve, Facebook nyereményjáték esetén: az érintett Facebook felhasználóneve, profilképe és az érintett által a nyereményjátékkal kapcsolatban a Facebookon megosztott egyéb személyes adatok.

Az adatkezelés időtartama: az érintett hozzájárulásának visszavonásáig, illetve amennyiben a játékszabályzat erre lehetőséget teremt, a pótnyertesek kihúzása érdekében a nyeremények átvételének időpontjáig.

A tárolt adatok megtekintésére jogosultak köre: a vállalkozás marketing tevékenységével kapcsolatos feladatokat ellátó munkavállalói.

Az adatszolgáltatás elmaradásának lehetséges következményei: az érintett nem tud részt venni a nyereményjátékban.

11. Nyilvános rendezvényeken készített fénykép, illetve videófelvételekkel kapcsolatos adatkezelés

A vállalkozás által vagy a közreműködésével rendezett, illetve szervezett nyilvános rendezvényeken/eseményeken/programokon a rendezvény, illetve a vállalkozás hasonló szolgáltatásainak népszerűsítése érdekében, továbbá a rendezvény eseményeit összefoglaló filmek/videók/reklámanyagok/brosúrák készítése céljából az egyes eseményeken fotó-, hangés videófelvételek készülhetnek. A felvételeket a vállalkozás közösségi oldalakon, sajtóban, illetve egyéb médiumokban nyilvánosságra hozhatja. A felvételek készítése a rendezvényen részt vevő látogatókat is érinthetik, tekintettel arra, hogy róluk képmás, hangfelvétel, illetve
képmást és hangfelvételt is tartalmazó videó készülhet.

A vállalkozás az érintett kifejezett és előzetes hozzájárulása hiányában nem készít kifejezetten csak az érintettről felvételt (egyéni ábrázolás), azonban a rendezvényt látogatók a tömeg/nagy nyilvánosság részeként adott esetben megjelenhetnek a felvételeken a nagy nyilvánosság előtt zajló események összhatásában történő bemutatása érdekében. A rendezvény látogatói a rendezvényen való részvétellel hozzájárulásukat adják ahhoz, hogy esetlegesen tömegfelvétel szereplőjeként különböző felvételeken megjelenjenek.

A vállalkozás a rendezvényen részt vevő látogató tájékoztatása érdekében jól látható helyen felvétel készítésére vonatkozó figyelmeztető jelzéseket helyez ki. Amennyiben a látogató nem kíván a felvételeken szerepelni, a kihelyezett kamerák látószögéről a rendezvény szervezőitől tájékoztatást kérhet, illetve a felvétel készítése, vagy nyilvánosságra hozatala ellen tiltakozhat, a róla készült felvétel törlését kérheti.

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.15

Az adatkezelés célja: a vállalkozás tevékenységének marketingtevékenységgel történő népszerűsítése, a rendezvények megörökítése.

Az adatkezelés jogalapja: GDPR. 6. cikk (1) bek. a) pontja alapján az érintett hozzájárulása, valamint GDPR. 6. cikk (1) bek. f) pontja alapján a vállalkozás jogos érdeke. A vállalkozás jogos érdeke az általa rendezett események látogatottságának növelése. A Ptk. 2:48. § (2) bekezdése alapján a tömegfelvételek készítéséhez az érintett hozzájárulása nem szükséges.

A kezelt adatok köre: képmás, hang.

Az adatkezelés időtartama: a marketing tevékenységgel elérni kívánt cél megvalósulásáig, illetve az érintett hozzájárulásának visszavonásáig.

A tárolt adatok megtekintésére jogosultak köre: a vállalkozás marketing tevékenységében közreműködő munkavállalói.
Az adatszolgáltatás elmaradásának lehetséges következményei: Az érintett bizonyos megfigyelt területeken nem tud tartózkodni.

12. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából

A vállalkozás a törvényben előírt adó és számviteli kötelezettség teljesítése (pl.: számla/nyugta kiállítás és megőrzés) céljából személyes adatot kezel az alábbiak szerint:

Adatkezelő megnevezése: „Kossuth Művelődési Központ” Nonprofit Közhasznú Kft.

Az adatkezelés célja: törvényben előírt adó és számviteli kötelezettségek teljesítése.

Az adatkezelés jogalapja: GDPR. 6. cikk (1) bek. c) pontja alapján az ÁFA törvény 169.§, és 202.§, a számviteli törvény 167. § és 169. § (2) szakaszában foglalt, továbbá az SZJA törvény szerinti jogi kötelezettség teljesítése érdekében.

A kezelt adatok köre: az ÁFA törvény alapján: adószám, név, cím, adózási státusz. A számvitelről szóló törvény alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása, a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása. Az SZJA törvény alapján:
vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.

Az adatkezelés időtartama: a jogalapot adó jogviszony megszűnését követő 8 év.

A tárolt adatok megtekintésére jogosultak köre: a vállalkozás adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.

Az adatszolgáltatás elmaradásának lehetséges következményei: szerződés, illetve jogviszony nem jön létre, vagy nem tartható fenn.

13. A Levéltári törvény szerinti kötelező adatkezelés

A vállalkozás a Levéltári törvény 3. § j) pontjában meghatározott maradandó értékű irat (a gazdasági, társadalmi, politikai, jogi, honvédelmi, nemzetbiztonsági, tudományos, művelődési, műszaki vagy egyéb szempontból jelentős, a történelmi múlt kutatásához, megismeréséhez, megértéséhez, a közfeladatok folyamatos ellátásához és az állampolgári jogok érvényesítéséhez
nélkülözhetetlen, más forrásból nem, vagy csak részlegesen megismerhető adatot tartalmazó irat) megőrzésére köteles. A vállalkozás a jogszabályi kötelezettség teljesítése céljából személyes adatot kezel az alábbiak szerint:

A kezelt adatok köre: A Levéltári törvény szerint maradandó értékűnek minősülő iratok és az abban foglalt személyes adatok.

Az adatkezelés célja: a vállalkozás maradandó értékű iratainak a jövő nemzedék számára történő fenntartása.

Az adatkezelés jogalapja: GDPR. 6. cikk (1) bek. c) pontja alapján a Levéltári törvény szerinti jogi kötelezettség teljesítése érdekében.

Az adatkezelés időtartama: 50 év

A tárolt adatok megtekintésére jogosultak köre: közlevéltár.

Egyéb adatkezelések

Jelen tájékoztatóban fel nem sorolt adatkezelésekről a vállalkozás az adat felvételekor ad tájékoztatást. Tájékoztatjuk az érintetteket, hogy a hatóságok, valamint jogszabály felhatalmazás alapján más szervek megkereshetik az adatkezelőt tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása céljából. Az adatkezelő azonban ebben az esetben is csak olyan személyes adatot és csak olyan mértékben ad ki, amely a megkeresés céljának eléréséhez elengedhetetlenül szükséges.

XI. Az érintettek jogai és azok érvényesítése

A vállalkozás a GDPR rendelkezéseivel összhangban az alábbiakat biztosítja az érintettek számára.

Tájékoztatáshoz való jog

1. Az érintettek bármikor kérhetik a vállalkozástól, hogy személyes adataik kezeléséről, valamint az adathordozhatóság jogáról adjon tájékoztatást, illetve bármikor kérhetik személyes adataikhoz való hozzáférést, azok módosítását, helyesbítését, illetve – a kötelező adatkezelés kivételével – törlését vagy zárolását. Az érintettek e jogaikat az adatkezelő jelen szabályzat VII.fejezetében megjelölt elérhetőségein gyakorolhatják szóban vagy írásban. Tájékoztatjuk, hogy a szóbeli tájékoztatás feltétele a személyazonosság igazolása.

2. A vállalkozás indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 30 napon belül tájékoztatja az érintettet az egyéb érintetti jogokra vonatkozó érintetti kérelem nyomán hozott intézkedésekről.

3. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, a 30 napos határidő további 60 nappal meghosszabbítható. A határidő meghosszabbításáról a vállalkozás a késedelem okainak megjelölésével a kérelem
kézhezvételétől számított 30 napon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

4. A tájékoztatást és intézkedést díjmentesen kell biztosítani.

5. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, úgy a vállalkozás, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív
költségekre:
a) észszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.

Kötelező tájékoztatás

6. Amennyiben a vállalkozás az adatokat közvetlenül az érintettől szerezte meg, úgy
a vállalkozás mindenképpen tájékoztatást nyújt az alábbiakról:
a) a vállalkozás és a vállalkozás képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés
jogalapja
d) a jogos érdeken alapuló adatkezelés esetén, a vállalkozás vagy harmadik fél
jogos érdekei;
e) adott esetben a személyes adatok címzettjei
f) adott esetben annak ténye, hogy a vállalkozás harmadik országba vagy
nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

7. A személyes adatok első megszerzésének időpontjában a vállalkozás a fentieken
túl az érintetteket tájékoztatja az alábbiakról is:
a) a személyes adatok tárolásának időtartamáról
b) az érintett azon jogáról, hogy kérelmezheti a vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, egyes jogalapokhoz 18 tartozó adatkezelés esetében törlését vagy kezelésének korlátozását, és egyes
jogalapokhoz tartozó adatkezelés esetében tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a hozzájáruláson alapuló adatkezelés bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz (Nemzeti Adatvédelmi Hatóság, továbbiakban:
Hatóság vagy NAIH) címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása.

8. Ha a vállalkozás a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és a 7. pontban említett minden releváns kiegészítő
információról.

9. A vállalkozás a kötelező tájékoztatásnak többféle módon tesz eleget.
a) Az e fejezetben foglalt információkat a vállalkozás (“Adatkezelési szabályzat és tájékoztató” címen) közzéteszi a honlapján olyan módon, hogy az könnyen megtalálható és könnyen elérhető legyen az érintettek számára.
b) A honlapon való közzététel mellett a vállalkozás bizonyos esetekben a tájékoztatást szerződés, a tanfolyamra/foglalkozásra/táborba jelentkezők vagy hírlevélre feliratkozók esetén a szerződés, jelentkezési lap, regisztrációs lap
mellékleteként teszi hozzáférhetővé.

Hozzáférés joga

10. Az érintett jogosult arra, hogy a vállalkozástól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat a vállalkozás közölte vagy közölni fogja
d) adott esetben a személyes adatok tárolásának tervezett időtartama
e) az érintett azon joga, hogy kérelmezheti a vállalkozástól a rá vonatkozó személyes adatok helyesbítését, egyes jogalapokhoz kötött adatkezelés esetén ezen adatok törlését vagy kezelésének korlátozását, és egyes jogalapokhoz kötött adatkezelés esetén tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre
nézve milyen várható következményekkel jár.

11. A vállalkozás az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja.

12. Az érintett által kért további másolatokért a vállalkozás az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.

Helyesbítéshez való jog

13. A vállalkozás, az érintett erre irányuló kérelme esetén indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozóan pontatlanul kezelt személyes adatokat. Az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett
kiegészítő nyilatkozat útján történő – kiegészítését.
14. A vállalkozás tájékoztatja a helyesbítésről vagy kiegészítésről mindazokat, akikkel a személyes adatot közölték (pl. adatfeldolgozók).

Törléshez (elfeledtetéshez) való jog

15. A vállalkozás indokolatlan késedelem nélkül törli az érintettre vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását (hozzájáruláson alapuló adatkezelés esetén), és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatokat jogellenesen kezelte a vállalkozás;
e) a személyes adatokat a vállalkozásra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell
f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások közvetlenül gyermekeknek kínálásával kapcsolatosan került sor.

Az érintett nem kezdeményezheti az adatok törlését, ha az adatkezelés szükséges:

– a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
– a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat
végrehajtása céljából;
– népegészségügy területét érintő közérdek alapján;
– közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az adat törlése valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
– jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

16. Amennyiben a vállalkozáshoz törlési kérelem érkezik, a vállalkozás első lépésként megvizsgálja, hogy a törlési kérelem valóban a jogosulttól származik-e. Ennek érdekében a vállalkozás elkérheti az érintett és a vállalkozás között fennálló
szerződés azonosítására szolgáló adatokat (például szerződésszám, szerződés kelte), az érintett számára a vállalkozás által kiállított irat azonosítószámát, az érintettről nyilvántartott személyazonosító adatok megadását (a vállalkozás azonban nem kérhet azonosításként olyan plusz adatot, amelyet az érintettről nem tart nyilván).

17. Amennyiben a vállalkozásnak eleget kell tennie a törlési kérelemnek, úgy köteles mindent megtenni annak érdekében, hogy a személyes adat az összes adatbázisból törlésre kerüljön.

18. A vállalkozás a törlésről jegyzőkönyvet vesz fel annak érdekében, hogy a törlés megtörténtét igazolni tudja. A jegyzőkönyvet a vállalkozás képviselője vagy azok a személyek írják alá, akiknek erre a munkaköri leírása nyomán jogosultságuk
van. A törlési jegyzőkönyv tartalmazza:
a) az érintett nevét
b) a törölt személyes adattípust
c) a törlés időpontját.

19. A vállalkozás tájékoztatja a törlési kötelezettségről mindazokat, akikkel a személyes adatot közölték (pl. adatfeldolgozók).21
Az adatkezelés korlátozásához való jog

20. A vállalkozás az érintett kérésére korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra
az időtartamra vonatkozik, amely lehetővé teszi, hogy a vállalkozás ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) a vállalkozásnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés esetében tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a vállalkozás jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

21. Ha az adatkezelés az előző pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Európai Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

22. A vállalkozás tájékoztatja a korlátozásról mindazokat, akikkel a személyes adatot közölték (pl. adatfeldolgozók).

23. A vállalkozás az érintett személyes adatának korlátozás alóli feloldásáról az érintettet értesíti.

Tiltakozás

24. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (GDPR 6. cikk. (1) bek. e) pont) adatkezelés, vagy az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk. (1) bek. f) pont) kezelése ellen, ideértve a profilalkotást is. Hozzájáruláson alapuló adatkezelés esetén az érintettnek nincsen tiltakozási joga, csak abban az esetben, ha az adatok kezelése közvetlen üzletszerzés érdekében történik.22

25. A vállalkozás az érintett tiltakozás iránti kérelme esetén a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel,
jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

26. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen.

27. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Adathordozhatósághoz való jog

28. Az adathordozhatósághoz való jog a hozzájáruláson vagy a szerződésen alapuló adatkezelés jogalap esetében illeti meg az érintettet, ha az adatkezelés automatizált módon történik. Tekintettel arra, hogy a vállalkozásnál a fenti esetekben az adatkezelés nem automatizált módon történik, az adathordozhatósághoz való joggal az érintettek nem tudnak élni.

Visszavonás joga

29. Az érintett a hozzájáruláson alapuló (GDPR 6. cikk. (1) bek. a) pont) személyes adatkezelés esetén jogosult arra, hogy a hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, visszavonás előtti
adatkezelés jogszerűségét.

Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

30. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Nem alkalmazandó a fenti jogosultság abban az esetben, ha a döntés:
– az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
– meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
– az érintett kifejezett hozzájárulásán alapul.

Jogorvoslathoz való jog

31. Amennyiben a vállalkozás az érintett szerint megsértett valamely, az adatkezelésre vonatkozó törvényi rendelkezést, vagy nem teljesítette az érintett valamely kérelmét, az érintett jogosult a felügyeleti hatósághoz panaszt benyújtani (Nemzeti Adatvédelmi és Információszabadság Hatóság, http://naih.hu, telefonszám: +36 (1) 391-1400, postacím: 1530 Budapest, Pf.: 5., e-mail: ugyfelszolgalat@naih.hu).

32. Amennyiben az érintett külföldi állampolgár, úgy a lakhelye szerinti felügyeleti hatóságnál is panaszt tehet.

33. Az érintett jogosult jogai megsértése esetén bírósághoz fordulni.

XII. Adatkezelési tevékenységek nyilvántartása

1. Az adatkezelési tevékenységek nyilvántartását a vállalkozás az elszámoltathatóság elvéből következően annak érdekében végzi, hogy az GDPRnak való megfelelést nyomon tudja követni, és igazolni tudja.

2. A vállalkozás a felelősségébe tartozóan végzett adatkezelési tevékenységekről legalább az alábbi nyilvántartásokat vezeti:
a) adattovábbítás nyilvántartása
b) érintetti jogok érvényesítése iránti kérelmek és az arra a vállalkozás által adott válaszok nyilvántartása
c) hatósági megkeresések és az arra a vállalkozás által adott válaszok nyilvántartása
d) adatkezelés megszüntetése iránti kérelmek nyilvántartása
e) szerződő partnerek nyilvántartása
f) marketing célú megkeresések nyilvántartása
g) munkaviszonnyal összefüggő személyes adatok kezelésének nyilvántartása
h) munkaerő-felvétel nyilvántartása
i) adatvédelmi incidensek nyilvántartása.

3. A vállalkozás nyilvántartást vezet az adatfeldolgozóként végzett adatkezelési tevékenységéről, mely nyilvántartás a következő információkat tartalmazza:
a) az adatfeldolgozó vagy adatfeldolgozók és azok képviselőinek neve és elérhetőségei;
b) a más adatkezelő nevében végzett adatkezelési tevékenységek kategóriái;
c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása. 24

4. A nyilvántartásokat a vállalkozás írásban vezeti, papír alapon vagy elektronikus formátumban.

XIII. Adatbiztonsági rendelkezések

1. A vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

2. Előzőek értelmében a vállalkozás köteles garantálni az általa kezelt adatok bizalmasságát, sérthetetlenségét és rendelkezésre állását.

3. A megfelelő szintű adatbiztonsági intézkedések meghatározása érdekében a vállalkozás a kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából értékel, és biztonsági fokozatba sorol.

4. Az egyes adatkezelések biztonsági fokozatának megállapításához elemezni kell:
a) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök
megrongálásával járó kockázatot és a várható kárt;
b) azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét;
c) azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni;
d) az adatbiztonságot veszélyeztető más kockázati elemeket;

5. Az adatkezelés biztonsága megvalósítása érdekében a vállalkozás fizikai, logikai és adminisztratív kontrollokat alkalmaz együttesen.

6. A vállalkozás legalább az alábbi fizikai kontrollokat alkalmazza:

a) a vállalkozás az általa mind elektronikusan, mind pedig papír alapon kezelt adatokhoz való jogosulatlan hozzáférés elkerülése érdekében biztosítja, hogy a kezelt adatokhoz fizikailag ne férhessen hozzá arra jogosulatlan személy [irodák zárása; monitorok olyan módon történő elhelyezése, hogy az azon szereplő adatokra kizárólag a jogosultak láthassanak rá. A munkavállalók gépei néhány perc tétlenség után zárolják magukat, ismételt bejelentkezéshez jelszó szükséges. A gépek képernyői a munkavállalók felé néznek, így a vállalkozás vendégei nem láthatják a tartalmukat.

b) Minden adatkezeléssel foglalkozó személy munkája közben köteles az elvárható legnagyobb gondossággal eljárni az adatok hitelessége, megőrzése és az illetéktelen hozzáférés megakadályozása érdekében.

7. A vállalkozás legalább az alábbi logikai kontrollokat alkalmazza:

a) a vállalkozás biztosítja, hogy az általa kezelt adatokhoz kizárólag az arra megfelelő jogosultsággal rendelkezők férjenek hozzá.
Alkalmazott biztonsági intézkedések: a munkavállalók bejelentkezése felhasználónévhez és jelszóhoz kötött, a jelszavakat a vállalkozás titkosítottan tárolja, az adatokat naponta menti hálózati adattárolóra (NAS), valós időben felhőbe, és naponta külső adatmentő eszközre. A hálózati eszközök felhasználói névvel és jelszóval védettek, a folyamatos működés biztosítás céljából szünetmentes tápegységeket alkalmaz a vállalkozás. A vezeték nélküli kommunikáció elkülönítve történik az irodai dolgozók, műszaki munkatársak és a vendégek számára, szintén jelszóval védve. Az intézmény és külső telephelyei (Tourinform iroda,
„Kaszinó”) közti hálózati kommunikáció titkosított kapcsolaton keresztül történik (VPN, és Pont Pont vezeték nélküli kapcsolattal) valós időben. A telephelyi gépeken is felhasználói név, jelszó párossal történik a bejelentkezés. A vállalkozás minden számítógépén naponta többször frissülő vírusírtó programot használ. A munkavállalók hozzáférése korlátozott a gépeken és a hálózaton tárolt adatoknál is.

8. A vállalkozás legalább az alábbi adminisztratív kontrollokat alkalmazza:

a) a vállalkozás biztosítja, hogy a személyes adatokhoz való esetleges hozzáférés dokumentációkban nyomon követhető legyen: a
számítógépeken a be-és kijelentkezés naplózott.

b) a vállalkozás biztosítja olyan iratkezelési eljárásrend kialakítását, hogy a hozzá tévesen beérkező személyes adatokat tartalmazó iratok a lehető leghamarabb kiszűrésre kerüljenek és azokat a lehető legszűkebb személyi kör ismerje meg [amennyiben a postabontó úgy ítéli meg, hogy ilyen adatot tartalmazó irat birtokába jutott, úgy azt kizárólag az arra jogosult
személlyel ismerteti, aki haladéktalanul gondoskodik az iratnak a címzetthez/megismerésre jogosulthoz való eljuttatásáról].26

XIV. Adatvédelmi incidensek kezelése

1. Adatvédelmi incidens (a továbbiakban: incidens) bekövetkezése esetében az ezt észlelő munkavállaló haladéktalanul, de legkésőbb annak észlelésétől számított 24 órán belül köteles jelezni az incidenst e-mailben a daranyi.agnes@cegledikultura.hu címre, vagy telefonon az adatvédelmi tisztviselőnek.

2. Az incidenst az adatkezelő haladéktalanul, az adatvédelmi tisztviselő bevonásával kivizsgálja abból a szempontból, hogy az valószínűsíthetően jár-e kockázattal a természetes személyek jogaira és szabadságaira nézve.

3. Amennyiben a kivizsgálás eredménye alapján az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, legkésőbb 72 órával az incidens észlelését követően az adatkezelő elektronikus úton, a GDPR 33. cikk (3) bekezdése szerinti tartalommal bejelenti az incidenst a felügyeleti hatóságnak és az incidens kezelése érdekében megteszi a szükséges technikai, illetve szervezeti intézkedést.

4. Amennyiben a kivizsgálás eredménye alapján az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve,az előző pontban foglalt intézkedéseken túl az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az incidensről, kivéve, ha a GDPR 34. cikk (3) bekezdésében meghatározott feltételek bármelyike fennáll.

5. Az incidensekről a vállalkozás elektronikus nyilvántartást vezet, amelyben feltünteti az incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

6. Amennyiben a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

7. Az adatvédelmi incidenst nem kell a hatóságnak bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

8. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) a vállalkozás megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a
titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

I. A szabályzat és tájékoztató hatálya

II. A szabályzat és tájékoztató célja

III. Irányadó jogszabályok

IV. Értelmező rendelkezések

V. Az adatkezelés alapelvei

VI. Adatkezelési jogalapok

VII. Az adatkezelő és adatvédelmi tisztviselő megnevezése és elérhetőségei

Adatkezelő:

Adatvédelmi tisztviselő:

VIII. Az adatfeldolgozók megnevezése és elérhetőségeik

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

Adatfeldolgozó neve és címe:

Adatfeldolgozás célja:

IX. Az adatkezelési nyilvántartás

X. Az egyes adatkezelések

1. Szerződő partnerek adatainak kezelése

2. Jogi személy ügyfelek, partnerek természetes személy képviselőinek adatai

3. Új munkaerő felvétele, álláshirdetés

4. Munkavállalók adatainak kezelése

5. A vállalkozás által szervezett tanfolyamokra, foglalkozásokra, táborokba jelentkezők adatainak kezelése

6. Hírlevél küldése céljából történő adatkezelések

7. Direkt marketing célú adatkezelés

8. Cookie-k (sütik)

9. Adatkezelés a vállalkozás Facebook oldalán

10. Ajándéksorsolás szervezésével kapcsolatos adatkezelés

11. Nyilvános rendezvényeken készített fénykép, illetve videófelvételekkel kapcsolatos adatkezelés

12. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából

13. A Levéltári törvény szerinti kötelező adatkezelés

Egyéb adatkezelések

XI. Az érintettek jogai és azok érvényesítése

XII. Adatkezelési tevékenységek nyilvántartása

XIII. Adatbiztonsági rendelkezések

XIV. Adatvédelmi incidensek kezelése

5. A vállalkozás által szervezett tanfolyamokra, foglalkozásokra, táborokba jelentkezők
adatainak kezelése