A Szent Borbála Otthon Nonprofit Közhasznú Kft. (a továbbiakban: Társaság) az általa alapított Szent Borbála Otthon intézményben (a továbbiakban: Intézmény) szociális és gyermekvédelmi, valamint egyéb tevékenységének feladatellátása keretében nyújtott szolgáltatásai során a jogszabályok alapján jár el, erre tekintettel az adatvédelmi folyamatok során az érintettek jogainak biztosítása érdekében létrehozta Adatvédelmi és adatbiztonsági szabályzatát (a továbbiakban: Szabályzat).

A Szabályzat célja a természetes személyek személyes adatai következetes védelmének és az adatkezelés jogszerűségének biztosítása, melynek keretében az érintetteknek tájékoztatása alapvetően szükséges és elengedhetetlen. Az Intézmény a szabályzat létrehozásával biztosítja az érintettek tájékoztatáshoz való jogának megvalósulását, melyet a vonatkozó európai uniós és hazai jogszabályok számukra biztosítanak.

A Szabályzat biztosítja, hogy az érintettek valós képpel és pontos információkkal rendelkezzenek a személyes adatok kezelésének folyamatáról, az Intézmény pedig folyamatszinten alkalmazza a benne foglalt jogszabályban előírt és a belső egyedi működéssel összefüggésben alkotott szabályokat

A Szabályzat rendelkezik az Intézmény által alkalmazott és használt adatkezelési, adatbiztonsági és adatvédelmi szabályokról, valamint az érintettnek az adatkezelés megkezdése előtt a jogairól, az adatkezelés céljáról, jogalapjáról, a kezelt adatok köréről, az adatokat megismerő személyekről, az adatok őrzésének idejéről, az érintettek jogairól, az igényérvényesítés útjáról. A Szabályzatban rögzítésre kerültek az adatvédelmi incidensekkel összefüggő előírások, a személyes adatok kezelésével kapcsolatos panaszok előterjesztésének szabályai, a panaszkezelés folyamatának leírása, valamint a jogorvoslathoz való jog érvényesítésének lehetőségei. A Szabályzat rendelkezik az adattovábbítással összefüggő belső szabályokról.

A Szabályzat rögzíti a jogszabályokban is előírt adatvédelmi elveket, amelyeket az Intézmény és a szolgáltatásban részt vevő valamennyi dolgozó elfogad és alkalmaz, annak érdekében, hogy az érintettek adatainak védelme a jogi normáknak megfeleljenek. Az adatok szabályszerű kezelése és védelme ezen túl az érintettek számára nyújtott szolgáltatásokba és Intézménybe vetett bizalmának alapja is.

1.2. A vonatkozó jogszabályi háttér

A Szabályzat a tartalmának meghatározásakor az Intézmény alapvetően a következő jogszabályok előírásaira volt figyelemmel:

a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács 2016/679 rendelete (Általános adatvédelmi rendelet, a továbbiakban: GDPR),

az információs önrendelkezési jogról és az információ szabadságról szóló 2011. évi CXII. törvényben (továbbiakban: Infotv.),

a gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény (továbbiakban: Gyvt.),

a szociális igazgatásról és szociális ellátásokról szóló 1993. évi III. törvény (továbbiakban: Szt.),

a személyes gondoskodást nyújtó gyermekjóléti, gyermekvédelmi intézmények, személyek szakmai feladatairól és működésük feltételeiről szóló 15/1998. (IV. 30.) NM (továbbiakban: NMr.),

a gyámhatóságok, a területi gyermekvédelmi szakszolgálatok, a gyermekjóléti szolgálatok és a személyes gondoskodást nyújtó szervek és személyek által kezelt személyes adatokról szóló 235/1997. (XII. 17.) Korm. rendelet,

a személyes gondoskodást nyújtó szociális intézmények szakmai feladatairól és működésük feltételeiről szóló 1/2000. (I. 7.) SzCsM rendelet,

a személyes gondoskodást végző személyek adatainak működési nyilvántartásáról szóló 8/2000. (VIII. 4.) SzCsM rendelet,

a személyes gondoskodást nyújtó szociális ellátások térítési díjáról szóló 29/1993. (II. 17.) Korm. rendelet,

az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak tv.)

a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.),

a munkavédelemről szóló 1993. évi XCIII. törvény,

a polgári törvénykönyvről szóló 2013. évi V. törvény,

a számvitelről szóló C. törvény (a továbbiakban: Sztv.),

A szabályzat elkészítése és az abban foglalt szabályok alkalmazása során az Intézmény figyelembe veszi a vonatkozó szakmai szabályozók és protokollok tartalmát, különösen az ellátottakkal összefüggő ellátási adminisztráció tekintetében.

Az adatkezelési és adatvédelmi tevékenységekkel összefüggő egyes kötelezettséget a hatóságok a vonatkozó jogszabályok alapján vizsgálják. A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése.

1.3. A Társaság és az Intézmény adatai és szolgáltatásai

A Társaság:

neve: Szent Borbála Otthon Nonprofit Közhasznú Kft.

székhelye: 7300 Komló, Vájár iskola u. 10.

adószáma:

cégjegyzék száma:

telefonos elérhetősége: + 36 72 482 296

ügyvezető: Dr. Tánczos Frigyes Attila

Az Intézmény székhelye:

neve: Szent Borbála Otthon

címe: 7300 Komló, Pécsi u. 42.

telefonos elérhetősége: + 36 72 581 367

e-mail elérhetősége:

Az Intézmény 1. sz. telephelye:

címe: 7300 Komló , Liliom u. 9.

telefonos elérhetősége: + 36 72 483 737

Az Intézmény 2. sz. telephelye:

címe: 7300 Komló , Jószerencsét u. 32.

telefonos elérhetősége: + 36 72 481 507

Az adatvédelmi tisztviselő:

neve: Sasváriné Aszódi Kinga

címe: az Intézmény székhelye

telefonos elérhetősége: + 36 72 581 367

e-mail elérhetősége:

A Szent Borbála Otthon Nonprofit Közhasznú Kft. gazdasági társaság, mely Közhasznú tevékenységként:

Idősek, fogyatékosok ellátását, ápolást-gondozást nyújtó tartós bentlakásos szakosított ellátást, idősek otthona keretében biztosítja.

Szociális alapellátást, idős és demens személyek nappali intézményét működteti.

Egyéb bentlakásos ellátás keretében családok átmeneti otthonát működtet.

Az Intézmény egyéb tevékenysége keretében az „Albérlők Házát” működteti.

A szolgáltatások tartalmát és a telephelyek szerinti megoszlását, valamint az ellátottak számát az Intézmény Szervezeti és Működési Szabályzata (a továbbiakban: SZMSZ) tartalmazza.

1.4. A Szabályzat hatálya

1.4.1. Tárgyi hatály

Az Infotv. 25/A. § (1) előírja, hogy az adatkezelő (itt: Intézmény, illetve annak vezetése) az adatkezelés jogszerűségének biztosítása érdekében az adatkezelés összes körülményéhez, így különösen céljához, valamint az érintettek alapvető jogainak érvényesülésének érdekében az adatkezelés által fenyegető kockázatokhoz igazodó műszaki és szervezési intézkedéseket tesz, ideértve indokolt esetben az álnevesítés alkalmazását. Ezeket az intézkedéseket az adatkezelő rendszeresen felülvizsgálja és szükség esetén megfelelően módosítja. A jogszabály egyben előríja (Infotv. 25/A. § (3) bekezdés), hogy ha az Intézmény adatvédelmi tisztviselő kijelölésére köteles, akkor az adatvédelmi intézkedések részeként belső adatvédelmi és adatbiztonsági szabályzatot kell készíteni és alkalmazni.

Az Intézmény adatvédelmi tisztviselő kijelölésére kötelezett.

A Szabályzat az Intézmény belső szabályzata, amely meghatározza az adatvédelmi és adatbiztonsági feladatokat, az Intézmény alapvető működésével és szolgáltatásaival összefüggésben.

A tárgyi hatály kiterjed az Intézmény összes egységében folytatott valamennyi személyes adatokat tartalmazó adatkezelésre, függetlenül attól, hogy az elektronikusan vagy papíralapon történik.

1.4.2. Területi hatály

A Szabályzat előírásait az Intézmény valamennyi szervezeti egységében, székhelyén és telephelyén alkalmazni szükséges.

1.4.3. Személyi hatály

Az adatkezeléssel összefüggő személyi hatály kiterjed:

azon természetes személyekre, akik

o elektronikus úton, az Adatkezelő bármely e-mail címére küldött adataikkal,

o telefonon,

o vagy személyesen kapcsolat kialakítása céljából jelentkeztek,

az Adatkezelő szolgáltatásait igénybe veszik, vagy megigénylik,

az Intézményben foglalkoztatott dolgozókra,

valamint a munkavégzésre irányuló egyéb jogviszony keretében foglalkoztatottakra.

1.4.4. Időbeli hatály

A Szabályzat 2023.02.01-jétől hatályos, egyben a 2021.11.01-jén életbe lépett szabályzat hatályát veszti.

A szabályzat mellékleteit képező tájékoztatók a szabályzat hatályával változtak.

Jelen módosítással a Szabályzat függeléke is változott.

Jelen szabályzat a kibocsátásával egyidőben hatályba lép és visszavonásáig hatályos.

1.5. Fogalom-meghatározások

A Szabályzat a legfontosabb fogalmakat emeli ki az adatkezelés, az adatvédelem és az adatbiztonság témakörében. A további fogalmakat a kapcsolódó és vonatkozó jogszabályok rögzítik, de különösen az Infotv., a Szoctv., a Gyvt., valamint az Eüak tv.

személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ, amely alapján a természetes személy beazonosítható

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. (gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés); nyilvántartási rendszer: a személyes adatok bármely módon tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

adatkezelő: az a természetes vagy jogi személy, vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

adatállomány: az egy nyilvántartásban kezelt adatok összessége;

címzett: az a természetes vagy jogi személy vagy bármely egyéb szerv, akivel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.

harmadik fél: az a természetes vagy jogi személy vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik a személyes adatok kezelésére felhatalmazást kaptak;

az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

partner: az Adatkezelő szolgáltatásait szerződés alapján igénybe vevő és/vagy az Adatkezelő szolgáltatásainak teljesítéseit elősegítő (teljesítési segéd) jogi személyek, jogi személyiséggel nem rendelkező gazdasági társaságok, amelyek felé az Adatkezelő - az érintett hozzájárulását követően - személyes adatot továbbít vagy továbbíthat, vagy amelyek az Adatkezelő számára adattárolási, feldolgozási, kapcsolódó informatikai és egyéb biztonságos adatkezelést elősegítő tevékenységet végeznek vagy végezhetnek;

dolgozó/munkatárs: Az Adatkezelővel megbízási-, munka- vagy egyéb jogviszonyban levő természetes személy, aki az Adatkezelő szolgáltatásainak ellátásnak, teljesítésének feladatával van bízva és adatkezelési vagy adatfeldolgozási feladatai során személyes adatokkal kapcsolatba kerül vagy kerülhet, és akinek tevékenységével kapcsolatban az Adatkezelő teljes felelősséget vállal az érintettek személyi köre és harmadik személyek irányában;

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi a természetes személy egyedi azonosítását (pl. arckép);

egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

weboldal: a portál és az azon található minden aloldala, amelynek üzemeltetője az Adatkezelő

2. Az adatvédelem szervezete

2.1. Ügyvezető

Az Intézmény első számú vezetője a Szervezeti és Működési Szabályzatban (a továbbiakban: SZMSZ) meghatározott vezető, a továbbiakban: ügyvezető.

Az Ügyvezető az adatvédelemmel összefüggő feladat-, hatás- és felelősségi körében:

jóváhagyja a kötelezően létrehozandó belső szabályzat (jelen Szabályzat) tartalmát,

jóváhagyja a személyes és különleges adatokat tartalmazó, adatszolgáltatási, adattovábbítási, valamint az adatvédelemmel és adatkezeléssel kapcsolatos nyilvántartásokat,

engedélyezi a nyilvántartási rendszerekhez a hozzáférési jogosultságot,

felelős az adatvédelmi ismeretek oktatásának lebonyolításáról az Intézmény munkavállalói részére,

a tudomására jutott visszásság esetén utasítja az érintett munkavállalót a jogszerűtlen adatkezelés megszüntetésére, szükség esetén fegyelmi és/vagy etikai eljárást kezdeményez a foglalkoztatottal szemben,

együtt működik az adatvédelmi tisztviselővel, valamint az Intézmény adatkezelési és adatvédelmi együttműködéssel megbízott dolgozójával, az adatvédelmi munkatárssal.

2.2. Adatvédelmi tisztviselő

Az Intézmény az Infotv-ben foglaltak, valamint a GDPR alapján adatvédelmi tisztviselő kinevezésére kötelezett.

Az Intézmény adatvédelmi tisztviselő feladatait külső szolgáltató/magánszemély útján biztosítja. A tevékenység végzésére vonatkozó legfontosabb kérdéseket írásba kell foglalni, amelyben az adatvédelmi tisztviselő feladat-, hatás és felelősségi körét meg kell határozni. A szerződés aláírására az Intézmény részéről az Ügyvezető jogosult.

Az adatvédelmi tisztviselő feladat-, hatás- és felelősségi körében:

ellenőrzi a GDPR-nak, valamint az egyéb uniós és tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését és tudatosság-növelését, valamint hiányosság esetén megoldási javaslatot tesz,

együttműködik a felügyeleti hatósággal,

az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, szükség esetén a tevékenységi körében felmerülő egyéb kérdésben konzultációt folytat vele,

az Ügyvezető adatkezelési és adatvédelmi együttműködéssel megbízott dolgozójának együttműködése mellett:

o elkészíti az adatkezelési és adatvédelmi szabályzatot és az adatvédelmi tájékoztatót, jogszabályváltozás vagy más fontos okból javaslatot tesz az igazgatónak a Szabályzat módosítására, kiegészítésére,

o kialakítja az adatvagyonleltárt,

o igény esetén továbbképzéseket tart,

folyamatosan segíti az Intézményt adatkezelési és adatvédelmi feladatainak ellátásában, konkrét ügyekben felmerülő adatvédelmi kérdésekben segítséget nyújt a vezetők és az adatkezelők részére.

2.3. Az Intézmény dolgozói

Az Intézmény valamennyi dolgozójának/foglalkoztatottjának kötelezettsége:

az adatvédelemmel összefüggő jogszabályok és belső szabályok általános megismerése, és a vonatkozó konkrét szabályok maradéktalan betartása a munkakörükben és a beosztásukban,

tájékoztatni közvetlen felettesét a feladatkörében felmerült bármely adatvédelmi problémáról, észrevételeiről,

számítástechnikai eszközök alkalmazása esetén annak meghibásodásáról, az adatállomány kezelhetőségében bekövetkezett problémáról a közvetlen felettesét értesíteni,

munkája során a tudomására jutott, az adatkezeléssel kapcsolatosan feltárt visszásságot haladéktalanul megszüntetni, arról felettesét értesíteni,

vezetni a munkakörébe tartozó adatszolgáltatási és adattovábbítási nyilvántartást,

gondoskodni arról, hogy az általa vezetett nyilvántartás adataihoz illetéktelen személy ne férhessen hozzá, ügyelni a nyilvántartás biztonságos fizikai és informatikai tárolására,

informatikai rendszerek, programok használata során: elvégezni a kezelésében lévő adatok biztonsági mentését, gondoskodik azok biztonságos tárolásáról,

a jogszabály által felhatalmazott személynek vagy szervezetnek adatot szolgáltatni, adatot továbbítani az adatvédelmi szabályok betartása mellett,

köteles közvetlen felettesét, szükség esetén a szakmai igazgatót vagy az ügyvezetőt tájékoztatni minden olyan eseményről, amikor őt jogszerűtlen adatkezelésre kérték fel, utasították,

haladéktalanul jelezni közvetlen felettesének, ha az adatállományba jogosulatlan hozzáférést vagy bárminemű változást tapasztal,

és fegyelmi és kártérítési felelősséggel tartozik azért, hogy tevékenységét az adatkezelésre és az adatok védelemére vonatkozó jogszabályoknak, valamint a Szabályzatnak, az érintett hozzájárulásának megfelelően végezze.

2.4. Intézmény vezető beosztású dolgozói

Az Intézmény vezető beosztású dolgozóit, és azok feladat-, hatás- és felelősségi körét az SZMSZ határozza meg.

Az adatkezelési, adatvédelmi és adatbiztonsági szempontból ezen túl vezetőnek tekinthető a gazdasági szervezet (a továbbiakban: Gazdasági Hivatal) vezetője is.

Az Intézmény vezető beosztású dolgozói kötelesek a Szabályzatban foglalt tartalmakat megismerni, azt készség szinten alkalmazni, valamint az általuk felügyelt és irányított területen dolgozókkal is megismertetni és értelmezni. Az adatkezelési, adatvédelmi és adatbiztonsági kontrollok lebonyolítását írásba kell foglalni.

2.4.1. A szakmai irányításért felelős intézményvezető

A szakmai irányításért felelős intézményvezető szervezi és irányítja a szakmai területet az Intézmény egységei tekintetében. Az SZMSZ részletesen rögzíti tevékenységének szabályait. E tekintetben: szervezi az egységekben történő teljes körű szociális szolgáltatás összehangolt zavartalan működését, felügyeletet gyakorol a kliens ellátásban részt vevő szakdolgozók tevékenysége felett, folyamatos, az ellátás minden területére kiterjedő ellenőrzést végez.

A szakmai irányításért felelős intézményvezető az adatvédelemmel összefüggő feladat-, hatás- és felelősségi körében:

a jogszabályoknak megfelelően meghatározza, és folyamatosan figyelemmel kíséri a személyes és különleges adatokat tartalmazó adatszolgáltatásokat, nyilvántartásokat,

tevékenysége során ellenőrzi a szociális és gyermekvédelmi szakmai szabályok szerinti nyilvántartások vezetését, különös tekintettel az adatkezelési, adatvédelmi és adatbiztonsági szempontokra, az azokkal összefüggő jogszabályokra és belső szabályokra,

javaslatot tesz az ügyvezető számára a nyilvántartási rendszerekhez a hozzáférési jogosultságokra,

szükség esetén részt vesz az adatvédelmi ismeretek oktatásának lebonyolításában az Intézmény munkavállalói részére,

a tudomására jutott visszásság esetén értesíti az ügyvezetőt, javaslatot tesz a jogszerűtlen adatkezelés megszüntetésére, szükség esetén a dolgozóval szembeni fegyelmi és/vagy etikai eljárás megindítására,

együtt működik az adatvédelmi tisztviselővel, valamint az Intézmény adatkezelési és adatvédelmi együttműködéssel megbízott dolgozójával,

adatszolgáltatási feladatai során az adatvédelmi és adatbiztonsági szabályoknak megfelelően jár el.

2.4.2. Vezető ápoló, intézményvezetők, osztályvezetők

A vezető ápoló, az intézményvezetők és osztályvezetők tevékenységi körét az SZMSZ szabályozza. Ezen túl az adatvédelemmel összefüggő feladat-, hatás- és felelősségi körükben:

a vezetésük alatt álló területek és/vagy szervezeti egységek tekintetében betartják és betartatják az adatkezelési, adatvédelmi és adatbiztonsági szabályokat,

felügyelik az ellátottak tekintetében vezetésük és irányításuk alatt álló területeken vezetett dokumentációt és nyilvántartásokat,

melynek keretében ellenőrzéseket végeznek, különös tekintettel az adatkezelési, adatvédelmi és adatbiztonsági szempontokra, az azokkal összefüggő jogszabályokra és belső szabályokra,

a tudomásukra jutott visszásság esetén értesítik a szakmai igazgatót, és szükség szerint javaslatot tesznek a jogszerűtlen adatkezelés megszüntetésére,

adatszolgáltatási feladataik során az adatvédelmi és adatbiztonsági szabályoknak megfelelően járnak el.

A gazdasági szervezet vezetője

A Gazdasági hivatal élén a gazdasági szervezet vezetője áll, akinek feladatait az SZMSZ rögzíti. E tekintetben: az ügyvezető irányításával felelős vezetője az intézményben folyó gazdasági tevékenység ellátásának. Napi munkakapcsolatot tart fenn az ügyvezetővel, szakmai vezetőkkel és irányítja a gazdasági hivatal dolgozóinak munkáját. Emellett: Tevékenyen részt vesz a bérszámfejtés előkészítésében, ellenőrzésében és elvégzésében és felelős a munkaügyi központ (Kormányhivatal) felé küldött havi jelentések elkészítéséért. A gazdasági szervezet vezetője felelős az Intézmény teljes pénzügyi és gazdasági adminisztrációjáért, a könyvek vezetéséért, valamint az éves mérlegek és beszámolók elkészítéséért. A gazdasági szervezet vezetőjének felelősségi körébe tartozik a létszám- és egyéb nem pénzügyi adatok alapján kapott támogatások és egyéb bevételek elszámolása és figyelemmel kísérése.

A gazdasági szervezet vezetője az adatvédelemmel összefüggő feladat-, hatás- és felelősségi körében:

munkája során betartja és betartatja az adatkezeléssel, adatvédelemmel és adatbiztonsággal összefüggő jogszabályokat és belső szabályokat,

felügyeli és ellenőrzi a Gazdasági hivatal tevékenysége során keletkezett nyilvántartásokat, kimutatásokat, dokumentumokat, különös tekintettel az adatkezelési, adatvédelmi és adatbiztonsági szempontokra, az azokkal összefüggő jogszabályokra és belső szabályokra,

a tudomására jutott visszásság esetén értesíti az ügyvezetőt, és szükség szerint javaslatot tesz a jogszerűtlen adatkezelés megszüntetésére,

adatszolgáltatási feladatai során az adatvédelmi és adatbiztonsági szabályoknak megfelelően jár el.

2.5. Adatvédelmi munkatárs

Az adatvédelmi munkatárs az Intézmény dolgozója, akit e tevékenységre az ügyvezető jelöl ki. Az adatvédelmi feladatok tekintetében beszámolási kötelezettséggel tartozik az ügyvezetőnek és együttműködik az adatvédelmi tisztviselővel.

Feladatait a szakmai munkája mellett látja el, munkaköri leírásában a feladat rögzítésre kerül. Az adatvédelmi munkatárs vezető beosztású dolgozó is lehet.

Az adatvédelmi munkatárs feladatkörében:

együttműködik az adatvédelmi tisztviselővel:

o az Intézmény adatvédelmi és adatbiztonsági szabályzatának megalkotásában, különösen szervezeti és működési kérdésekben,

o az Intézményben használt szakmai dokumentumok, nyilvántartások, adatközlések tartalmának értelmezésében,

o az időszakosan előírt adatkezelési, adatvédelmi és adatbiztonsági kérdésekkel kapcsolatos oktatások megszervezésében,

o javaslatokat tesz az oktatások tartalmára,

együttműködik a szakmai igazgatóval és az Intézmény vezető beosztású dolgozóival:

o az egységes adatkezelési, adatvédelmi és adatbiztonsági kultúra kialakításában és működtetésében,

o a jó gyakorlatok kialakításában,

o a szakterületükön alkalmazott adatkezeléssel, adatvédelemmel és adatbiztonsággal összefüggő kontrollok lebonyolításában,

o az azokból származó információk és konklúziók értékelésében,

o az esetlegesen feltárt hiányosságok megszüntetésében,

o a tudomására jogszerűtlen adatkezelés megszüntetésében,

évente egy alkalommal, a szakmai beszámolókkal egy időben beszámol az ügyvezető részére az egyes szakterületeken és/vagy szervezeti egységekben alkalmazott adatkezeléssel, adatvédelemmel és adatbiztonsággal összefüggő kontrollok tapasztalatairól, javaslatot tesz az adatvédelmi és adatbiztonsági rendszer működtetésének javítására.

3. Alapelvek

3.1. Jogszerűség, tisztességes eljárás és átláthatóság elve

Személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

Az alapelv megköveteli, hogy személyes adatokat csak megfelelő jogalap birtokában kezelhet az Intézmény.

A tisztességesség megköveteli, hogy érintetteket az adatkezelés megkezdése előtt kellő információval lássa el az Intézmény az adatkezelés teljes folyamatáról, a jogalapról, a célról, az őrzési időtartamról, az érintett jogairól, az adattovábbítás lehetőségeiről, a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.

3.2. A célhoz kötöttség elve

Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. Az Intézmény által kezelt személyes adatok esetében az adatkezelés célját táblázatos formában az adatkezelési tevékenységek nyilvántartása tartalmazza.

A személyes adatokat az Intézmény nem kezeli a célokkal össze nem egyeztethető módon.

3.3. Adattakarékosság elve

Az Intézmény csak a cél eléréséhez szükséges mértékben és a cél szempontjából releváns adatokat kezeli. Az Intézmény tartózkodik a készletező adatgyűjtéstől, így nem kerül sor a cél eléréséhez nem szükséges adatok felvételére sem.

3.4. Pontosság elve

Az Intézmény törekszik a személyes adatok pontosságára naprakészségére, melynek betartása érdekében a jelen Szabályzatba foglalt intézkedéseket teszi meg.

3.5. Korlátozott tárolhatóság elve

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

3.6. Integritás és bizalmas jelleg elve

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. Az elv érvényesülése érdekében az Intézmény a jelen szabályzatban foglalt rendelkezéseket alkalmazza.

3.7. Elszámoltathatóság

Az Intézmény felelős az alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

4. Adatkezelési tevékenységek nyilvántartása

Az intézmény a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet, a továbbiakban: adatkezelési tevékenységek nyilvántartása. Az adatkezelési tevékenységek nyilvántartását jelen szabályzat függeléke tartalmazza.

Az adatkezelési tevékenységek nyilvántartásának módosítására a jelen Szabályzat módosítására vonatkozó szabályokat megfelelően alkalmazni kell.

A nyilvántartás a következő információkat – táblázatos formában - tartalmazza:

az adatkezelés céljait;

az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetését;

olyan címzettek kategóriáit, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket;

adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információkat, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint az Általános adatvédelmi rendelet 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírását;

a különböző adatkategóriák törlésére előirányzott határidőket, amennyiben az lehetséges;

Az adatkezelési tevékenységek nyilvántartása vezetésének szükségességét alátámasztó tényeket az adatkezelési tevékenységek nyilvántartása tartalmazza és az alábbi körülményeket kell megvizsgálni:

foglalkoztatottak száma,

az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár-e,

az adatkezelés alkalmi jellegű-e,

az intézmény folytat-e a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése adatkezelést,

a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelését végzi-e.

5. Az adatkezelési tevékenység jogszerűsége

Az intézmény adatkezelést

törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén közérdeken alapuló célbóli elrendelés alapján, vagy

ennek hiányában az adatkezelés az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult, vagy

az előzőekben meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy

az előzőekben meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.

az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

Az adatkezelési tevékenységeket az intézmény elsődlegesen jogszabályi felhatalmazás alapján végez a feladatainak ellátásához szükséges mértékben. Az adatkezelési tevékenységek nyilvántartása adatonként – táblázatos formában – tartalmazza az adott adat kezelésének jogalapját.

Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult. Az igazolás megfelelő, amennyiben a hozzájárulás írásba lett foglalva.

Az adatkezelés megkezdése és a hozzájárulás megadása előtt az érintettet tájékoztatni kell a tájékoztatottak jogaival összefüggő tényekről és körülményekről.

A hozzájárulását az érintett bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás visszavonásának jogáról és menetéről az érintettet tájékoztatni kell. Az érintett bármely kérelmét, melynek tartalmából a hozzájárulás visszavonására lehet következetni hozzájárulás visszavonásának kell tekinteni. Az adatkezelés visszavonásával összefüggésben a 1. számú mellékletben található általános minta alkalmazható.

6. Az érintett jogai és gyakorlásához kapcsolódó eljárási szabályok

Az érintettet az adatkezeléséhez kapcsolódóan az alábbi jogok illetik meg:

1. Tájékoztatáshoz való jog

2. Az érintett hozzáférési joga és iratbetekintéshez való jog

3. A helyesbítéshez való jog

4. A törléshez való jog („az elfeledtetéshez való jog”)

5. Az adatkezelés korlátozásához való jog

6. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

7. Az adathordozhatósághoz való jog

8. A tiltakozáshoz való jog

Az intézmény minden dolgozója köteles az érintettek jogainak érvényesülése érdekében szükséges intézkedéseket elősegíteni.

6.1. Tájékoztatáshoz való jog

Az Intézmény a személyes adatok megszerzésének időpontjában, illetve hozzájáruláson alapuló adatkezelés esetén a hozzájárulás megadása előtt az érintett rendelkezésére bocsátja a következő információk mindegyikét:

az adatkezelőnek a kilétét és elérhetőségeit

az adatvédelmi tisztviselő elérhetőségeit

a személyes adatok tervezett kezelésének célját, valamint az adatkezelés jogalapját

a személyes adatok címzettjeit, illetve a címzettek kategóriáit

annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

tájékoztatás a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól

tájékoztatás az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

tájékoztatást a hozzájárulás visszavonásához való jogról, amennyiben hozzájáruláson alapul az adatkezelés, illetve azon körülményről, hogy a visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

tájékoztatást arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.

Az Intézmény adatkezelési tájékoztatókat készített az általa végzett adatkezelési tevékenységek tekintetében a fenti tartalommal. Az egyes adatkezelési tájékoztatók a jelen Szabályzat mellékleteit képezik.

Az érintett tájékoztatása négy lépésben történik meg.

1. lépés:

Jelen Szabályzat és mellékletei elektronikus formában és papír alapon közzétételre kerül. Elektronikusan kerül közzétételre az intézmény honlapjára (www.szentborbala.hu) történő feltöltéssel, míg papír alapon az Intézmény székhelyén és telephelyein történő kifüggesztéssel vagy rendelkezésre tartással.

Az Intézmény honlapján jól látható helyen „adatvédelem” elnevezéssel létrehozásra került egy fül, melyre feltöltésre kerülnek az Intézmény tevékenységével összefüggő tájékoztatók és nyilatkozat-minták, és külön figyelemfelhívással ellátva az adatvédelmi tisztviselő elérhetőségei.

Jelen Szabályzat az Intézmény székhelyén és telephelyein nyomtatott formában rendelkezésre áll. Jelen Szabályzat mellékleteiként megfogalmazott adatkezelési tájékoztatók jól látható helyen, az adott épület hirdetőtábláján kifüggesztésre is kerülnek. Az Intézmény dolgozói kötelesek – erre irányuló kérelem esetén - az adatkezelési tájékoztatókból az érintettnek másolatot adni.

2. lépés

Az érintett részére az adatkezelés megkezdése előtt a dolgozó rövid, tömör, érthető, hétköznapi nyelven megfogalmazott szóbeli tájékoztatást nyújt a tájékoztatási jogokkal összefüggően és meggyőződik arról, hogy az érintett az elmondottakat megértette. A szóbeli tájékoztatásnak ki kell térni arra is, hogy a szóbeli tájékoztatást írásos formában az érintett hol érheti el.

Az érintett jogairól, köztük a tiltakozáshoz való jogról külön is tájékoztatni kell.

3. lépés

Az érintett részére az adatkezelés megkezdése előtt át kell adni a megkezdeni kívánt adatkezelési tevékenységhez kapcsolódó adatkezelési tájékoztatót, melyet jelen Szabályzat mellékletei tartalmaznak. Az érintettnek lehetőséget kell biztosítani, hogy tanulmányozza az adatkezelési tájékoztatót, melynek keretében kellő időt és az áttanulmányozáshoz szükséges nyugodt körülményeket biztosítunk.

Az adatkezelés megkezdése előtt, de a szóbeli tájékoztatás és az írásos tájékoztató átadása után az érintett részére át kell adni a jelen belső adatvédelmi és adatbiztonsági szabályzat vonatkozó nyilatkozatát, amelyen az érintett aláírásával igazolja a szóbeli tájékoztatás megtörténtét és az írásbeli tájékoztató átvételét. A nyilatkozat tartalmazza, hogy mely tájékoztató került átadásra és mely adatkezeléssel összefüggésben kerül sor a nyilatkozatra.

4. lépés

Az érintettnek lehetőséget kell biztosítani arra, hogy az adatvédelmi tisztviselőhöz forduljon kérdéseivel, vele egyeztetést kezdeményezzen, így az érintettet tájékoztatni kell ezen lehetőségről és kérésére az adatvédelmi tisztviselővel történő személyes konzultációt meg kell szervezni.

6.2. Az érintett hozzáférési joga és iratbetekintéshez való jog

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

az adatkezelés céljai;

az érintett személyes adatok kategóriái;

azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga.

Az Intézmény az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által – ugyanazon adatkörben - kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.

Ugyanarra az adatkörre vonatkozó első adatkérés ingyenes, egy éven belüli második adatkérés esetében 5.000.-Ft összeg kerül felszámolásra, egy éven belüli harmadik adatkérés 10.000.-Ft, minden további egy éven belüli adatkérés esetében a megelőző összeg duplázódik.

Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. Széles körben használt elektronikus formátumnak tekinti az intézmény a pdf vagy word formátumot.

Az érintett által benyújtott, a hozzáférési jogosultság érvényesítésére irányuló kérelmet annak benyújtásától számított 25 napon belül bírálja el az intézmény és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.

A nem az arra jogosulttól érkező, vagy értelmezhetetlen, pontosításra szoruló kérelem esetében a kérelmezőt hiánypótlásra kell felhívni, a hiánypótlásban pontosan meg kell jelölni a hiánypótlás kiadásának jogi indokát, valamint, hogy a kérelem mely hiányok pótlása esetén teljesíthető. A hiányok pótlására 15 napot kell biztosítani, mely egy alkalommal újabb 15 nappal meghosszabbítható. A hiányok nem teljesítése esetén a kérelmet el kell utasítani.

Nem kell hiánypótlási felhívást kiadni, amennyiben a hozzáférési jog gyakorlása iránti kérelem teljesítése a rendelkezésre álló információk alapján megtagadható, vagy korlátozható.

A hozzáférés megtagadása esetén az Intézmény írásban, haladéktalanul, legkésőbb 8 napon belül tájékoztatja az érintettet

a hozzáférés korlátozásának vagy megtagadásának tényéről, továbbá jogi és ténybeli indokairól, ha ezeknek az érintett rendelkezésére bocsátása valamely alábbi érdek érvényesülését nem veszélyezteti (az intézmény által vagy részvételével végzett vizsgálatok vagy eljárások - így különösen a büntetőeljárás - hatékony és eredményes lefolytatásának, a bűncselekmények hatékony és eredményes megelőzésének és felderítésének, a bűncselekmények elkövetőivel szemben alkalmazott büntetések és intézkedések végrehajtásának, a közbiztonság hatékony és eredményes védelmének, az állam külső és belső biztonsága hatékony és eredményes védelmének, így különösen a honvédelem és a nemzetbiztonság vagy harmadik személyek alapvető jogai védelmének biztosításához szükséges), valamint

az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az érintett a hozzáféréshez való jogát a Hatóság közreműködésével is gyakorolhatja.

A hozzáférési jog gyakorlása iránti kérelmekre adandó választ az adatvédelmi tisztviselővel egyeztetni kell. A hozzáférési jog gyakorlásának megtagadását vagy korlátozását tartalmazó döntést kizárólag az adatvédelmi tisztviselő egyetértésével lehet meghozni.

Az Intézmény azokat a személyes adatokat, melyek tekintetében az érintett nem gyakorolhatja a hozzáférési jogát zártan kezeli. A zártan kezelt adatokat az akta többi részétől és a többi személyes adattól elkülönítetten kezeli. A zártan kezelendő személyes adatok lezárt borítékban, széfben vagy zárható szekrényben kerülnek tárolásra, melyhez kizárólag az ügyvezető, illetve az általa feljogosított személynek van hozzáférése.

Az érintett jogosult halála esetére közokiratban, vagy teljes bizonyító erejű magánokiratba foglalt nyilatkozatot tenni az Intézménynél a jogszabályban meghatározott jogok gyakorlására, a jogszabályban meghatározott időtartamra. Nyilatkozat hiányában a közeli hozzátartozó csak korlátozott, a jogszabályban meghatározott jogokat gyakorolhatja. A jogokat érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát, közeli hozzátartozói minőségét közokirattal igazolja.

Az iratbetekintéshez kapcsolódó adatkezelési tájékoztatót a 2. számú melléklet tartalmazza.

Az iratbetekintési jog gyakorlásához az Intézmény a 3. számú melléklet szerinti formanyomtatványt bocsátja az érintett rendelkezésére, azonban az iratbetekintés iránti kérelem bármely formában előterjeszthető.

Az Intézmény az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet, mely tartalmazza az érintett hozzáférési jogának érvényesítését az Infotv. szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait. A nyilvántartást a 4. számú melléklet tartalmazza.

6.3. A helyesbítéshez való jog

A személyes adatokat pontosan kell rögzíteni az alapelvek között szereplő pontosság elve rendelkezéseinek megfelelően.

A személyes adatot felvevő személy köteles a személyes adatot a felvétel után ellenőrizni, és a hibás adatot azonnal javítani oly módon, hogy megállapítható legyen a javítás előtti adat, a javítás időpontja, illetve a javítást végző személy.

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok kiegészítését.

Az érintett által benyújtott, a helyesbítési jogosultság érvényesítésére irányuló kérelmet annak benyújtásától számított 25 napon belül bírálja el az Intézmény és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.

A nem az arra jogosulttól érkező, vagy értelmezhetetlen, pontosításra szoruló kérelem esetében a kérelmezőt hiánypótlásra kell felhívni. A hiánypótlásra alkalmazni kell jelen Szabályzat 6.2 pontjának rendelkezéseit (hiánypótlásra vonatkozó szabályok)

A helyesbítési jog gyakorlása iránti kérelmekre adandó választ az adatvédelmi tisztviselővel egyeztetni kell. A helyesbítési jog gyakorlásának megtagadását vagy korlátozását tartalmazó döntést kizárólag az adatvédelmi tisztviselő egyetértésével lehet meghozni.

6.4. A törléshez való jog („az elfeledtetéshez való jog”)

Az Intézmény személyes adatokat a jogszabályban, valamint az adatkezelési tevékenységek nyilvántartásában megjelölt időtartamban kezeli.

Az időtartam lejártával a személyes adatokat az Intézmény törli.

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,

a személyes adatokat jogellenesen kezelték;

a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

Nem alkalmazandó az érintett törléshez való joga, amennyiben az adatkezelés szükséges:

a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

A személyes adatok törléséről és iratok megsemmisítéséről jegyzőkönyvet kell felvenni.

Az érintett által benyújtott, a törlési jogosultság érvényesítésére irányuló kérelmet annak benyújtásától számított 25 napon belül bírálja el az Intézmény és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.

A nem az arra jogosulttól érkező, vagy értelmezhetetlen, pontosításra szoruló kérelem esetében a kérelmezőt hiánypótlásra kell felhívni. A hiánypótlásra alkalmazni kell jelen Szabályzat 6.2 pontjának rendelkezéseit (hiánypótlásra vonatkozó szabályok)

A törlési jog gyakorlása iránti kérelmekre adandó választ az adatvédelmi tisztviselővel egyeztetni kell. A törlési jog gyakorlásának megtagadását vagy korlátozását tartalmazó döntést kizárólag az adatvédelmi tisztviselő egyetértésével lehet meghozni.

6.5. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Az érintett által benyújtott, a korlátozási jogosultság érvényesítésére irányuló kérelmet annak benyújtásától számított 25 napon belül bírálja el az Intézmény és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.

A nem az arra jogosulttól érkező, vagy értelmezhetetlen, pontosításra szoruló kérelem esetében a kérelmezőt hiánypótlásra kell felhívni. A hiánypótlásra alkalmazni kell jelen Szabályzat 6.2 pontjának rendelkezéseit (hiánypótlásra vonatkozó szabályok)

A korlátozáshoz való jog gyakorlása iránti kérelmekre adandó választ az adatvédelmi tisztviselővel egyeztetni kell. A korlátozáshoz való jog gyakorlásának megtagadását vagy korlátozását tartalmazó döntést kizárólag az adatvédelmi tisztviselő egyetértésével lehet meghozni.

6.6. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.

Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

Azt, hogy mi minősül lehetetlennek, vagy aránytalanul nagy erőfeszítésnek az adatvédelmi tisztviselő állásfoglalása alapján az ügyvezető állapítja meg.

6.7. Az adathordozhatósághoz való jog

Az érintett jogosult az általa az adatkezelő rendelkezésére bocsátott adatait megkapni: tagolt, széles körben használt, géppel olvasható formátumban. Jogosult más adatkezelőhöz továbbítani, így kérheti az adatok közvetlen továbbítását a másik adatkezelőhöz – ha ez technikailag megvalósítható.

A saját adatok feletti rendelkezést erősítő jogintézmény akkor gyakorolható, ha automatizált módon történik az adatkezelés, és az adatkezelő az adatokat az érintett hozzájárulása vagy a szerződéses jogalap alapján kezeli.

Az érintett által benyújtott, az adathordozhatósághoz való jogosultság érvényesítésére irányuló kérelmet annak benyújtásától számított 25 napon belül bírálja el az Intézmény és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.

Az adathordozhatósághoz való jog gyakorlása iránti kérelmekre adandó választ az adatvédelmi tisztviselővel egyeztetni kell. Az adathordozhatósághoz való jog gyakorlásának megtagadását vagy korlátozását tartalmazó döntést kizárólag az adatvédelmi tisztviselő egyetértésével lehet meghozni.

Figyelemmel arra, hogy az intézményi adatkezelés nem automatizált módon történik, így nem áll fenn jogszabályi kötelezettsége az adathordozhatósághoz kapcsolódó jog teljesítéséhez, így az erre irányuló kérelmet az intézmény csak kivételesen indokolt esetben, a költségek megtérítése után, egyedi mérlegeléssel teljesítheti.

Az egyedi mérlegelést az ügyvezető végzi.

Az adathordozhatósághoz kapcsolódó költségekről az Intézmény, a kérelem teljesítése előtt tájékoztatást küld. A költségek minimum összege, 1.000.-Ft/személyes adat, de maximum 100.000.-Ft.

6.8. A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, amennyiben az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához, vagy az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

A tiltakozáshoz való jogról az érintettnek legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Az érintett által benyújtott, a tiltakozáshoz való jogosultság érvényesítésére irányuló kérelmet annak benyújtásától számított 25 napon belül bírálja el az Intézmény és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.

A tiltakozáshoz való jog gyakorlása iránti kérelmekre adandó választ az adatvédelmi tisztviselővel egyeztetni kell. A tiltakozáshoz való jog gyakorlásának megtagadását vagy korlátozását tartalmazó döntést kizárólag az adatvédelmi tisztviselő egyetértésével lehet meghozni.

7. Belső adatvédelmi rendszer

Az Intézmény a személyes adatok védelmének biztosítása során figyelembe veszi a vonatkozó uniós és hazai szabályokat, belső szabályozását azoknak alávetetten hozza létre. Ettől függetlenül és ezen túl belső eljárásainak során biztosítja az érintettek személyi adatainak lehető legmagasabb védelmét.

Az Intézmény az ellátottak/érintettek kezelt személyes adatainak kezelését, adatstruktúráját, a jogszabályokban foglaltak szerint a GDPR hatályba lépése, illetve ezzel összefüggésben az Infotv. erre vonatkozó módosításának életbe lépése előtt kialakította, azóta új szakmai feladat/szolgáltatás, illetve új adatkezelési feladat nem került bevezetésre illetve alkalmazásra.

Amennyiben új szolgáltatás/feladat bevezetésre kerül, és az ezzel összefüggő új adatkezelési tevékenység kialakítására sor kerülne, annak megkezdése előtt, az érintetteket megillető jogok és szabadságok védelme érdekében, az előkészítéstől kezdve az adatkezelés valamennyi szakaszában figyelemmel kell lenni az adatvédelem alapelveire, az érintetti jogok biztosításának garanciális szabályaira, illetve az uniós és hazai szabályok betartására.

Az Intézmény a belső adatvédelmi rendszerét előrelátóan, felelősségteljesen alakítja ki, azt folyamatosan felülvizsgálja, értékeli, visszacsatolások mentén beavatkozik és módosítja, annak érdekében, hogy a jogszabályi követelményeknek megfeleljen.

A Társaság az adatkezelései során olyan megfelelő technikai és szervezési intézkedéseket hoz és hajt végre,

amelyek a tudomány és technikai mindenkori állására, az adatkezelés körülményeire, kockázataira illetve az érintetti jogokra tekintettel vannak,

és egyúttal biztosítják a személyes adatok álnevesítését és titkosítását,

a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegét, integritását, rendelkezésre állását és ellenálló képességét,

továbbá hogy adatvédelmi incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani.

Az Intézmény szervezetén belül kialakítja azokat az eljárásokat és intézkedéseket, amelyek lehetőséget nyújtanak az adatkezelési folyamatok biztonságának értékelésére, pl. folyamatba épített és vezetői ellenőrzésekkel.

Az adatkezelésre és adatvédelemre vonatkozó alapelvekkel összhangban az Intézmény biztosítja, hogy a jogszabályokban foglaltak alapján csak olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség különösen vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.

Az intézkedések különösen biztosítani kell, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

Az Intézmény intézkedéseket ír elő és hoz annak biztosítására, hogy a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag a jogszabályok és a belső szabályoknak megfelelően kezelhessék a személyes adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

Az Intézmény főszabály szerint nem továbbít személyes adatokat harmadik ország számára. Amennyiben mégis adattovábbításra kerül sor, és megfelelőségi határozat nem áll rendelkezésre, az Intézmény gondoskodik a megfelelő garanciák biztosításáról érintett számára, illetve a harmadik ország adatvédelemi hiányosságainak ellensúlyozásáról. A garanciáknak minden körülmények között biztosítaniuk kell az adatvédelmi alapelvek, különösen az érintetti jogok érvényesülését. A garanciák különösen a személyes adatok kezelésére vonatkozó általános elveknek, valamint a beépített és alapértelmezett adatvédelem elveinek való megfelelésre vonatkoznak.

Az Intézmény érdekelt abban, és törekszik rá, hogy szolgáltatásainak nyújtása során egységes adatkezelési, adatvédelmi és adatbiztonsági kultúrát alakítson ki és működtessen. Ennek érdekében a dolgozók oktatása és érzékenyítése kiemelkedő feladat.

7.1. Kockázatelemzés

Az Intézmény kötelezettsége a kockázatelemzés elvégzése, amelynek során azonosítja a személyes adatok kezelésével kapcsolatos kockázatokat, ezekről listát készít, meghatározza az egyes kockázatok fő okait, a kockázati elemek várható negatív hatásait és ezek alapján a preventív és a korrektív kockázatkezelési feladatokat/folyamatokat dolgoz ki.

Az elemzés célja a teljes kockázatértékelési rendszer kialakítása, amely magába foglalja a teljes kockázatpotenciál és kockázat prioritási sorrend megállapítását is. Az elemzés menetét és eredményeit a Társaság írásban rögzíti.

A kockázatelemzés során az Intézmény a bekövetkezés valószínűsége szempontjából kicsi, közepes és nagy bekövetkezésű kockázatokat különít el. Ugyancsak ezt a hármas felosztást alkalmazza a kockázatok horderejének, hatásának vizsgálatakor is. A kockázatelemzés alapozza meg a későbbi kockázatkezelési eljárás módját mind a preventív, mind a korrektív eljárás tekintetében.

7.2. Hatásvizsgálat

Amennyiben egy új adatkezelési folyamat valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Intézmény az adatkezelés megkezdése előtt adatvédelmi hatásvizsgálatot folytat le arra vonatkozóan, hogy az új adatkezelési folyamat a személyes adatok védelmét hogyan és mennyiben érinti, különös tekintettel annak jellegére, hatókörére, körülményeire, céljaira.

Az Intézmény a hatásvizsgálat elvégzését követően legalább 3 évente, de az adatkezelési műveletek által jelentett kockázat változása esetén szükség szerint, gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését ismételten elvégzi.

7.3. Előzetes konzultáció

Amennyiben az elvégzett hatásvizsgálat azt állapítja meg, hogy az adatkezelési folyamat valószínűsíthetően magas kockázattal jár, akkor az Intézmény az adatkezelési folyamat megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

A konzultáció kezdeményezése során az Intézmény csatolja.

az elvégzett hatástanulmányt,

az adatkezelési folyamatban részt vevő adatkezelő(k), adatfeldolgozó(k) feladatköreinek felsorolását,

az adatkezelés célját, módját,

az érintettek jogainak, szabadságainak biztosítása védelmében hozott intézkedéseket, garanciákat, valamint

az adatvédelmi tisztviselő nevét, elérhetőségét.

7.4. Érdekmérlegelési teszt és lefolytatása – hozzájárulás nélküli adatkezelés esetén

Az Infotv. rendelkezései alapján az Intézménynek lehetősége van az érintett hozzájárulása nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy eleget tesz tájékoztatási kötelezettségének. Az adatkezelés jogalapjának vizsgálata során a GDPR 6. cikk (1) bekezdése a)-f) pontjai az irányadók.

A GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalap csak érdekmérlegelési teszt elvégzését követően alkalmazható az adatkezelés jogalapjaként. Az érdekmérlegelési teszt elvégzésével az Adatkezelő arra keresi a választ, hogy a saját vagy egy harmadik fél jogos érdekeinek érvényesítése vagy az érintettek érdekei vagy alapvető jogai és szabadságai élveznek-e elsőbbséget.

Az érdekmérlegelési teszt során az Intézmény azonosítja jogos érdekét az adatkezeléshez, valamint az érintetti érdeket és az érintett alapjogot. Az egymással ellentétes jogok és érdekek súlyozásának feltételét mindig az adott eset sajátos körülményeire való tekintettel vizsgálja az Intézmény. Az Intézmény a mérlegelés során figyelembe veszi különösen a kezelt, illetve kezelendő adat természetét és szenzitív jellegét, nyilvánosságának mértékét, az esetlegesen bekövetkező szabálysértés súlyosságát stb.

Az érdekmérlegelési teszt részeként a szükségesség és arányosság vizsgálatát is elvégzi az Intézmény, amelynek értelmében a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mértéken belül kell maradniuk. Az arányosság vizsgálata a célok és a megválasztott eszközök közötti kapcsolat értékelését foglalja magában. A választott adatkezelési eszközöknek alkalmasnak kell lenniük a meghatározott cél elérésére és azok nem haladhatják meg a szükségesség mértéket. Ugyancsak nem haladhatja meg a jogszerű érdekek érvényesítése céljából szükséges mértéket a kezelhető adatok jellege és mennyisége. A súlyozás elvégzése alapján az Intézmény megállapítja, hogy kezelhető-e a személyes adat.

Az eljárás során alkalmazott egyes lépések:

Az Intézmény a tervezett adatkezelés megkezdése előtt áttekinti, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése vagy esetleg rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél.

Az Intézmény a jogos érdekét a lehető legpontosabban meghatározza.

Az Intézmény meghatározza az adatkezelés célját, a kezelni kívánt személyes adatok körét, illetve az adatkezelés minimális időtartamát, amely a jogos érdekének érvényesítése céljából feltétlenül szükséges.

Az Intézmény meghatározza, hogy az érintettek alapjogait és érdekeit az adott adatkezelés vonatkozásában.

Az Intézmény elvégzi jogos érdekeinek és az érintettek érdekeinek, alapjogainak súlyozását és ez alapján megállapítja, hogy a személyes adat kezelhető-e. Az Intézmény meghatározza, hogy miért korlátozza arányosan a jogos érdeke – és az ennek alapján végzett adatkezelés – az előzőekben meghatározott érdekelti jogokat, érdekeket.

Az Intézmény meghatározza, mely garanciák biztosíthatják az adatkezelés szükségességét-arányosságát.

8. Adatvédelmi incidens

8.1. Adatvédelmi incidens észlelése és jelentése

Az Intézmény valamennyi dolgozója köteles haladéktalanul jelenteni a közvetlen felettesének, a szakmai igazgatónak vagy az ügyvezetőnek, illetve az adatvédelmi tisztviselőnek az Intézményen belül történt adatvédelmi incidenst.

A bejelentés történhet szóban vagy írásban, de a szóban tett bejelentést is a lehetőségekhez képest azonnal, de legfeljebb 2 napon belül írásba kell foglalni (lásd: incidens kezelése), a bejelentő nevének, beosztásának, szervezeti egységének, elérhetőségeinek feltüntetésével. A bejelentésnek tartalmaznia kell az incidens tárgyát, annak rövid leírását, attól függetlenül, hogy azt a bejelentő milyen súlyú eltérésnek/incidensnek értékeli. A bejelentésnek azt is tartalmaznia kell, hogy milyen körülmények alapján jutott a bejelentő az incidens fennálltára. A bejelentés tartalmazza továbbá, hogy az incidens érinti vagy érintheti-e az Intézményben használt informatikai eszközöket, valamint a használt szoftvereket.

Amennyiben az adatvédelmi incidens érinti az Intézmény informatikai eszközeit és/vagy a használt szoftvereket is érinti, akkor a bejelentést az informatikáért felelős dolgozó/megbízott részére is meg kell küldeni.

A bejelentés beérkezését követően az adatvédelmi tisztviselő haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését.

8.2. Adatvédelmi incidens kezelése

Az adatvédelmi tisztviselő az informatikai eszközöket és/vagy szoftvereket is érintő incidens esetén az informatikáért felelős dolgozóval/megbízottal együttműködve, megvizsgálja a bejelentést és amennyiben szükséges, a bejelentőtől további adatokat kér az incidensre vonatkozóan.

Az adatvédelmi tisztviselő felhívására a bejelentő azonnal, de legkésőbb a felhívástól számított 2 napon belül köteles megadni:

az adatvédelmi incidens bekövetkezésének időpontját és helyét,

az adatvédelmi incidens egyéb körülményeit,

érintett adatok körét, mennyiségét, az érintett személyek körét és számát,

az adatvédelmi incidens várható hatásait, valamint

az incidens megelőzésére, következményeinek enyhítésére megtett intézkedések leírását.

Amennyiben az adatvédelmi incidens értékelése vizsgálatot igényel, az adatvédelmi tisztviselő a vizsgálat lefolytatásához szükséges munkatársak bevonásával, különös tekintettel az informatikáért felelős dolgozó/megbízott személyére, lefolytatja a vizsgálatot.

A vizsgálat megállapítja, hogy az adatvédelmi incidens milyen kockázattal jár az érintettek jogaira és kötelezettségeire nézve, a kockázat mértékét, illetve az érintettek tájékoztatásának szükségességét. Amennyiben nem szükséges az érintettek tájékoztatása, a vizsgálatnak tartalmazni kell ennek indokait is.

A vizsgálat eredményeként az az adatvédelmi tisztviselő javaslatot tesz az ügyvezető, a szakmai igazgató, valamint a szervezeti egység vezetője számára az incidens kezeléshez szükséges intézkedések megtételére.

A javaslat alapján a megvalósítandó további intézkedésekről az ügyvezető, a szakmai igazgató, valamint az érintett egység vezetője – az informatikai eszközök és/vagy szoftverek érintettsége esetén az informatikáért felelős személlyel/megbízottal – együtt dönt.

A vizsgálatot a bejelentés adatvédelmi tisztviselőhöz érkezésétől számított 3 munkanapon belül le kell zárni.

Az adatvédelmi incidenssel összefüggő információkat, megállapításokat, jegyzőkönyveket, feljegyzéseket, összességében a dokumentációt minden esetben írásban kell foglalni.

8.3. Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensekről az adatvédelmi tisztviselő pontos nyilvántartást vezet és annak aktualizálásáról gondoskodik.

A nyilvántartás tartalmazza:

az érintett személyes adatok körét,

az érintettek körét és számát,

az adatvédelmi incidens időpontját,

az incidens körülményeit, hatásait,

az elhárítására megtett intézkedéseket és

egyéb jogszabályban előírt adatokat.

8.4. Incidens bejelentése a hatósághoz

Az adatvédelmi tisztviselő az adatvédelmi incidenst a bekövetkezését követően haladéktalanul, de legkésőbb az incidens bekövetkezésétől számított 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, az adatvédelmi tisztviselő köteles ennek okát igazolni a Hatóság részére.

A Hatósági bejelentésnek tartalmaznia kell:

az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,

az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,

az adatvédelmi incidens jellegét, körülményeit,

az adatvédelmi tisztviselő nevét és elérhetőségét,

az adatvédelmi incidens valószínűsíthető következményeit és

az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

8.5. Az érintettek tájékoztatása az adatvédelmi incidensről

Az adatvédelmi tisztviselő haladéktalanul értesíti az érintetteket, ha a vizsgálat megállapította, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságára nézve, és az érintettek tájékoztatása szükséges. Erről az ügyvezetőt, a szakmai igazgatót és az érintett egység vezetőjét is értesíti.

Nem kell az érintetteket tájékoztatni, ha az Intézmény olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az azokhoz történő illetéktelen hozzáférést vagy meggátolják az adatok értelmezhetőségét, valamint, ha az adatvédelmi incidens bekövetkezését követően az Intézmény olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően nem valósul meg.

Ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé, az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni. E tájékoztatás elektronikus úton is megtörténhet.

8.6. Oktatások az adatvédelmi incidenssel összefüggésben

Az Intézmény gondoskodik az adatvédelmi tudatosság növelése céljából adatvédelmi incidensekkel kapcsolatos oktatásról. Az oktatás összegzi a múltban bekövetkezett adatvédelmi incidensek tapasztalatait, bemutatja a lehetséges adatvédelmi incidensek veszélyeit, valamint tájékoztatást ad a kockázatok csökkentésével, megelőzésével kapcsolatosan.

9. Adatbiztonsági szabályok

9.1. Fizikai védelem

Az Intézmény biztosítja, hogy a papíralapon kezelt személyes adatokokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá. Az így kezelt dokumentumokat mindig jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezik el a ténylegesen adatkezelést végző személyek.

Az Intézmény adatkezelést végző dolgozói a nap folyamán csak úgy hagyhatják el az adatkezelés helyszínét, hogy a rá bízott adathordozókat elzárja, vagy a helyiséget bezárja. A Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja.

Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy az Intézmény intézkedik az adathordozó megsemmisítéséről. A megsemmisítésért az adatokat ténylegesen kezelő dolgozó felelős. Az adatok megsemmisítéséről az illetékes dolgozó jegyzőkönyvet vesz fel, vagy annak tényét a nyilvántartásba bevezeti az azonosítható adatok törlésével és/vagy megsemmisítésével.

Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy a fizikai eszköz megsemmisítésére a papíralapú dokumentumokra vonatkozó megsemmisítési szabályok az irányadóak.

9.2. Informatikai védelem

A számítógépen tárolt személyes adatok biztonsága érdekében az Intézmény az alábbi intézkedéseket és garanciális elemeket alkalmazza:

Az Intézmény adatkezeléssel összefüggő tevékenységet kizárólag a saját tulajdonát képző informatikai eszközökön (számítógép, laptop) végez,

az informatikai eszközökre történő belépés csak jelszóval lehetséges, különösen, ha azon több személy is dolgozik,

a megvásárolt (munkaügyi és számlázási) szoftverek használata során és a böngészőből indítható elérhetőségekhez kapcsolódó adatszolgáltatással összefüggésben, az informatikai eszközökön található programokhoz érvényes, személyre szóló, azonosítható jogosultsággal lehet csak hozzáférni.

Az Intézmény biztosítja, hogy amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatok törlésére sor kerül.

Az Intézmény folyamatosan gondoskodik a személyes adatokat kezelő informatikai eszközökön a vírusvédelemről illetve a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza a külső, illetéktelen személyek hozzáférését.

9.3. Jogosultság kezelés

Az Intézmény dokumentálja informatikai rendszerben a jogosultságok változásait, különös tekintettel az új jogosultságok/jelszavak kiosztására, létező jogosultságok módosítására és megszűnésére. Új jogosultság beállítását, illetve jogosultság megváltoztatását az ügyvezető felhatalmazása alapján az informatikáért felelős dolgozó/megbízott végzi.

Az Intézmény biztosítja, hogy a jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságok legyenek kiosztva.

9.4. Az informatikai eszközökön tárolt adatok biztonsága

Az Intézmény jellegénél fogva, illetve a tulajdonos/fenntartó döntése alapján az ellátottak szolgáltatással összefüggő, jogszabályban előírt adatainak kezelése kizárólagosan papír alapon történik, az ágazati szabályoknak megfelelően (szociális és gyermekvédelmi alapnyilvántartás)

Az Intézmény adatkezelési jellegénél fogva szervert nem működtet.

Az Intézmény szoftvereket a jogszabályokban meghatározott feladatainak és/vagy adatszolgáltatásainak teljesítése érdekében használ.

Az adatszolgáltatásokat az Intézmény böngészőből indítható elektronikus felületeken – is – teljesít.

Az Intézmény a bérelszámolási feladatainak teljesítés érdekében külső szerver tárhelyet bérel. Az igénybevétel szerződéssel alátámasztott. Az Intézmény biztosítja a felhasználói oldal adatvédelemmel és adatbiztonsággal összefüggő feltételeit, a tulajdonos pedig az adatok mentését illetve tárolásának biztonságát.

Az Intézmény levelezőrendszerének működtetéséhez külső szolgáltatót vesz igénybe. Az igénybevétel szerződéssel alátámasztott. A külső szolgáltató biztosítja a jogosulatlan hozzáférés elleni védelmet.

9.5. Informatikai eszközök külső elérhetősége

Az Intézményben használt informatikai eszközök külső elérhetősége nem biztosítható.

9.6. Az elektronikusan tárolt információk ellenőrzése

Céges eszközök ellenőrzése

Az Intézmény a dolgozóknak indokolt esetben, munkavégzés céljára biztosít számítógépet, céges telefont, e-mail címet és internet-hozzáférést. A használat szabályairól és az ellenőrzés lehetőségéről a munkavállalókat az Intézmény előzetesen, írásban tájékoztatja.

Az Intézmény által a munkavállalók számára biztosított céges eszközök az Intézmény tulajdonában állnak, így az eszközökön tárolt minden adat az Intézmény tulajdonát képezi.

Mivel az Intézmény tulajdonát képező személyi számítógépeket és laptopokat, céges e-mail címeket, céges telefonokat az Intézmény munkavégzés céljából biztosítja, azon saját személyes adatot tárolni nem szabad.

Amennyiben a dolgozó a tiltás ellenére ezen eszközökön magáncélú személyes adatait (pl.: családi fotók, telefonkönyvek, saját adatbázisok stb.) tárolja, úgy Társaság a számítógép, a telefon ellenőrzése során ezeket az adatokat is megismerheti. Ezen adatkezelés ellen kifogással nem élhet a dolgozó, mert a nem munkavégzés céljából történő, de az Intézményi eszközön való személyes adatok tárolása az adatkezeléshez történő GDPR 6. cikk (1) 1 a) szerinti érintetti hozzájárulásnak minősül. Az elektronikai eszközök ellenőrzésével összefüggő adatkezelési tájékoztatót a 5. számú melléklet tartalmazza. Az erre vonatkozó nyilatkozatot – 6. számú melléklet – a dolgozó aláírásával igazolja

Erről a dolgozókat az eszközök használata előtt írásban tájékoztatja az Intézmény.

Céges e-mail címek ellenőrzése

Az Intézmény dolgozói tudomásul veszik, hogy mindazon e-mail címek, amelyekben az Intézmény neve kiterjesztésként szerepel (…@szentborbalaotthon.hu) az Intézmény tulajdonát képezik és az ezen a címeken folytatott levelezés munkacélú levelezésnek minősül. A fogadott és küldött e-mailek tartalma az Intézmény tulajdonát képezik.

Az ilyen címeken folytatott levelezésbe az Intézmény megfelelő jogalap esetén jogosult betekinteni. Az Intézmény jogosult a fentnevezett címeken folytatott levelezések meghatározott időközönkénti biztonsági mentésére, az elektronikus levelező rendszer folyamatosságának és stabilitásának érdekében.

A céges e-mail címeken nem munkavégzési célú (magán vagy bármilyen egyéb) levelezést tilos folytatni. Amennyiben a dolgozó „(…@szentborbala.hu)” céges e-mail címén található leveleiben magán- vagy bármilyen egyéb célú levelezést folytat, ezzel egy időben a postafiókban magáncélú személyes adatait tárolja, úgy az Intézmény az e-mail cím ellenőrzése során ezeket az adatokat is megismerheti. Ezen adatkezelés ellen kifogással nem élhet a dolgozó, mert a nem munkavégzés céljából történő, de az Intézményi e-mail címen való személyes adatok tárolása az adatkezeléshez történő GDPR 6. cikk (1) 1 a) szerinti érintetti hozzájárulásnak minősül.

Az internet használatának ellenőrzése

A fenti szabályok érvényesek az internethasználatra is: az internet használata csak intézményi célokra engedélyezett. Emiatt az internetezési adatok céges adatoknak minősülnek – amennyiben egy ellenőrzés során az Intézmény ezeket megismeri, ezek elveszítik személyes adat-jellegüket, illetve ezek megismerésére és tárolására GDPR 6. cikk (1) 1 a) szerinti érintetti hozzájárulás ad jogalapot.

Az ellenőrzés menete

Az Intézmény a tulajdonában álló minden eszközt bármikor, korlátozás nélkül ellenőrizheti. Az ellenőrzés tényéről az ellenőrzés céljával összefüggően tájékoztatja az ellenőrzéssel érintett dolgozót. A technikai ellenőrzést a rendszergazda végezheti alkalmi vizsgálatok lefolytatásával, de akár az Intézmény bármely dolgozója által kérelmezhető, amennyiben az Intézmény gazdasági és/vagy (adat)biztonság érdekeit veszélyeztető folyamat valószínűsíthető.

10. Személyes adatok továbbítása

Az Intézmény által kezelt személyes adatok az alábbi esetekben adhatók át:

a nemzetbiztonsági, a honvédelem és a közbiztonság védelme, a közvádas bűncselekmények, valamint a távközlési rendszer jogosulatlan felhasználásának üldözése céljából az arra hatáskörrel rendelkező nemzetbiztonsági szerveknek, nyomozó hatóságoknak, valamint bíróságnak,

jogvitás ügyben bíróságok részére,

az Intézmény megbízása alapján, illetve tevékenységi és adminisztratív működése körében tevékenységet végző vállalkozók (könyvelők, ügyvédek stb.) részére a megbízás ellátásához szükséges körben,

az Intézménnyel szemben tartozással rendelkező érintettek a követelések kezelését végző ügyvéd részére.

A jelen rendelkezés c) és d) alpontja alapján átadott adatokkal kapcsolatban az adatok átvevőit a Társasággal azonos titoktartási kötelezettség terheli.

11. Az egyes adatkezelési tevékenységekkel összefüggő szabályok

Az Intézmény egyes adatkezelési feladatainak szabályait részletesen írja le a Szabályzat.

A Szabályzat leíró részei tartalmazzák az egyes adatkezelési tevékenységekkel összefüggő adattartalmakat, a mellékletei a tájékoztatások és nyilatkozatok mintáit.

11.1. Személyügyi adatkezelés

11.1.1. Munkára jelentkezők személyi adatainak kezelése

Az Intézmény a tevékenységének folyamatos ellátásához esetenként álláshirdetéseket, álláspályázatokat tesz közzé, első sorban honlapján, vagy a szükségesség mértékében egyéb más módon, elektronikus vagy írott sajtóban.

Az Intézmény a beérkezett önéletrajzokat, illetve az abból származó adatokat papír alapon kezeli, illetve nyilvántartásba veszi, a jelentkező által megadott adatok tekintetében.

Az érintett jelentkező adatait az Intézmény a kiválasztáshoz használja fel, és a kiválasztás csupán az ahhoz szükséges releváns adatok alapján történik.

Amennyiben az érintett kiválasztásra és felvételre kerül, az önéletrajza a dolgozóknál ismertetett szabályok alá esik.

Az Intézmény az önéletrajzokat fő szabály szerint későbbi felhasználás céljából tárolja, a később megüresedő vagy betöltendővé váló pozíciók miatt papír alapú adatbázist épít belőlük. Az adatokat egy év elteltével semmisíti meg, általánosságban vélelmezhető, hogy ennyi idő elteltével már nem relevánsak a munkakeresés szempontjából az adatok.

Amennyiben az érintett nem kerül kiválasztásra, arról az Intézmény minden esetben írásban értesíti őt, és egyben felhívja, hogy kérelmezheti, hogy az Intézmény a későbbiekben, azonos vagy hasonló pozíció nyitottsága esetén az adatait kapcsolatfelvétel okán felhasználhassa. Az értesítés tartalmazza, hogy a vonatkozó adatkezelési tájékoztató hol érhető el.

A nyilatkozat mintája az érintettnek megküldésre kerül azzal, hogy amennyiben nem nyilatkozik, adatai törlésre kerülnek akként, hogy a beadott önéletrajza 30 napon belül megsemmisítésre kerül és a nyilvántartásból törlésre kerül. A nyilatkozat visszaküldése esetén az érintett adatait az Intézmény 1 évig kezeli, a megsemmisítésre ezt követően kerül sor.

Az adatkezeléshez ilyen módon adott hozzájárulása megváltoztatható, mely alapján az érintett visszavonhatja hozzájárulását, ezt a jogát – a többi jogosultság mellett – az adatkezelési tájékoztató tartalmazza.

Amennyiben nem meghirdetett álláshelyre érkezett önéletrajz, az Intézmény a meghirdetett álláshelyre ki nem választott érintettnél leírt eljárást követi.

Anonim álláshirdetéseket az Intézmény nem ad fel.

Az álláshirdetésekkel, álláspályázatokkal és a nem meghirdetett álláshelyre jelentkezéssel összefüggő adatkezelési tájékoztatót a 7. számú melléklet, a válaszlevelek tartalmát a 8.számú melléklet, a nyilatkozatot, kérelmet a 9. számú melléklet tartalmazza.

Munkára jelentkezéssel összefüggésben az adatokat az érintettek hozzájárulása alapján kezeli az Intézmény.

11.1.2. Munkavállalók személyi adatainak kezelése

Az Intézmény a vele munkavégzésre irányuló jogviszonnyal összefüggésben adatokat kezel. Az adatokat a jogszabályokban előírt tartalommal és ideig tartja nyilván és tárolja.

Az Intézmény a munkavállalóinak adatait elektronikusan és papíralapon tárolja. A munkavállalóknak azon személyes adatai kerülnek felvételre, amelyek a munkaviszony létesítéséhez szükségesek.

Az Intézmény a dolgozókkal összefüggésben adatot külső szolgáltatónak nem továbbít.

Az Intézmény adatokat továbbít a munkavállalók adatainak tekintetében a jogszabályban előírt tartalommal és célból egyes hatóságok felé, többek között az adó és járulékbevallással és a személyes gondoskodást végző személyek adatainak működési nyilvántartásba vételével összefüggésben, valamint egyéb adatszolgáltatások tekintetében a Kormányhivatal és a Magyar Államkincstár felé.

Az Intézmény az 10. számú mellékletben foglaltaknak megfelelően részletesen tájékoztatja dolgozóit az őket érintő adatkezelésekről.

A foglalkoztatással összefüggő adatkeléshez való hozzájárulást írásba kell foglalni. A hozzájárulás mintáját a 11. számú melléklet tartalmazza.

A dolgozó egyben nyilatkozik arról is, hogy a számára foglalkoztatásával összefüggő adatkezelésről az adatvédelmi tájékoztatást megkapta, melynek mintája a 12. számú mellékletben található.

A munkavállalók adatkezelésének jogalapja a törvényi felhatalmazás (munka törvénykönyvéről szóló 2012. évi I. törvény), illetve az érintett hozzájárulása [Infotv. 5. § (1) a) és 6. § (6)]. GDPR 6. cikk (1) a). További jogalap a dolgozók adatainak kezelésére a szerződés teljesítésére vonatkozó kitelek (GDPR 6. cikk (1) b) (pl. munkaszerződés teljesülése), valamint a jogszabályi felhatalmazás (GDPR 6. cikk (1) c) (adók, járulékok elszámolása és teljesítése).

Amennyiben a munkaviszony létesítéséhez, fenntartásához, megszüntetéséhez, az ezekkel kapcsolatos jogosultságok bizonyításához vagy kötelezettségek elismeréséhez nyilatkozat beszerzése szükséges a dolgozótól, úgy a nyilatkozat beszerzése során az Intézmény minden esetben felhívja a dolgozó figyelmét a nyilatkozaton megadott adatokkal kapcsolatosan az adatkezelés tényére, jogalapjára és céljára.

A megváltozott munkaképességű munkavállalókra adatkezelési szempontból azonos szabályok vonatkoznak, mint az Intézmény többi alkalmazottaira, rájuk vonatkozóan azonban bővebb a kezelt adatok köre.

Az Intézményben alkalmazott közfoglalkoztatottakra adatkezelési szempontból azonos szabályok vonatkoznak, mint az Intézmény saját alkalmazottjaira, rájuk vonatkozóan azonban szűkebb a kezelt adatok köre.

A munkaviszony kapcsán a munkavállaló hozzátartozóinak adatait is kezeli az Intézmény a kedvezmények érvényesítése céljából. Az így beszerzett harmadik személy adatai a szükséges adattartamot meg nem haladóan vehetők fel és kezelhetők. Ilyen kedvezmény pl. a pótszabadság, családi adókedvezmény igénybe vétele.

Az Intézmény a bérelszámolási feladatainak ellátásához a jogszabályokban foglaltaknak megfelelő szoftvert használ, melyet bérelt szerver tárhelyen működtet. A dolgozók adatai a szoftverben felvitelre és tárolásra kerülnek.

Az Intézmény a munkavállalóiról munkaügyi nyilvántartást vezet. A bér- és munkaügyi nyilvántartás a munkaviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés. A bér- és munkaügyi nyilvántartás adatai a munkavállaló munkaviszonyával kapcsolatos tények megállapítására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel. A bér- és munkaügyi nyilvántartás az Intézmény valamennyi munkavállalójának adatait tartalmazza.

A dolgozók papír alapon rendelkezésre álló adatait és/vagy az azokat tartalmazó iratokat minden más iratoktól elkülönítetten tárolja, zárható helyen, az Intézmény Gazdasági hivatalában.

Személyazonosító igazolványok kezelése

Az Intézmény személyi azonosításra alkalmas okmányokat nem másol és másolatokat nem tart.

Az Intézmény a munkavállalással összefüggő jogviszony keletkeztetéséhez a személyi azonosító és egyéb okmányok másolatait a vonatkozó jogszabályi előírások és a hatóságok (NAIH) állásfoglalások és tájékoztatások alapján nem kérheti az érintettektől.

Az adatkezelés jogalapja az érintett hozzájárulása, valamint az érintett és az adatkezelő jogos érdeke, az adatkezelés célja pedig az adatok hibamentes rögzítése, jogviszonyt keletkeztető megállapodás előkészítése, nyilvántartásba vételi kötelezettség teljesítése.

Amennyiben a munkaviszony keletkeztetésével/munkaviszonnyal összefüggésben okmány bemutatása szükséges, (személyi igazolvány, lakcímkártya) úgy az Intézmény az okmányok adatainak informatikai rendszerbe és/vagy szoftverbe való rögzítéséhez (bérszámfejtés, alkalmazotti bejelentés) adatlapot használ, melyet a 13. számú melléklet tartalmaz.

Az adatfelvételi lapon az okmányok releváns, szükséges adatai szerepelnek. Az adatfelvételi lapon szereplő adatokat az Intézmény azon dolgozója, akivel az érintett kapcsolatban kerül a felvétele során, minden esetben ellenőrzi, és az ellenőrzés tényét aláírásával látja el. Az Intézmény azon dolgozója, akivel az érintett kapcsolatban kerül a felvétele során, általános szabály szerint a titkársági feladatokat ellátó személy. Az okmányok tartalmát megtekintéssel egy vezető dolgozó is ellenőrzi – „négy szem elve” alapján (ügyvezető, szakmai igazgató, intézményvezető).

A munkaügyi adminisztráció helye a Gazdasági hivatal, mely fizikailag az Intézmény 1. sz. telephelyén, a székhelytől elkülönült helyen működik. Amennyiben az érintett a székhelyen jelentkezik, abban az esetben is rendelkezésére kell bocsátani a vonatkozó adatkezelési tájékoztatót, és nyilatkoznia szükséges, hogy azt megismerte, valamint nyilatkoznia kell az adatkezeléshez való hozzájárulásról.

A nyilatkozatokat és az adatfelvételi lapot az Intézmény azon dolgozója, akivel az érintett kapcsolatban kerül a felvétele során, minden további ügyintézés nélkül, haladéktalanul, azonnal lezárt borítékba teszi és továbbítja az eltérő helyen lévő Gazdasági hivatalba. A lezárt borítékot a ragasztásnál aláírja, és feltünteti rajta, hogy annak felnyitására a főkönyvelő jogosult.

Amennyiben az okmányokon szereplő adatokkal összefüggésben az érintett vagy az Intézmény körében kétség, bizonytalanság, további információ igény lép fel, az Intézmény kérheti az okmányok (ismételt) bemutatását.

Az Intézmény a munkaviszony létesítését erkölcsi bizonyítvány meglétéhez kötheti, azonban erkölcsi bizonyítványt, sem annak másolatát nem kezeli.

Az Intézmény szakmai igazgatója ellenőrizheti az erkölcsi bizonyítvány érvényességét és tartalmát, azonban csupán az erkölcsi bizonyítvány kiállításának dátumát, a bizonyítvány okmányszámát, illetve kérelem azonosítóját rögzítheti. Ezeket azonnal megsemmisíti, ha nem jött létre a munkaviszony. Amennyiben létrejött, úgy a munkaviszony fenntartásáig kezelheti ezen adatokat.

Egészségügyi alkalmassággal kapcsolatos egészségügyi adatok kezelése

Az egészségügyi alkalmassággal kapcsolatos adatokat az Intézmény nem ismeri meg, és nem kezeli egyetlen érintett adatát a célon túlterjeszkedő mértékben. Az Intézmény az egészségügyi alkalmasság eldöntése céljából egészségügyi szolgáltatótól származó alkalmassági eredmény alapján dönt az adott (leendő) munkavállaló egészségügyi alkalmasságáról. Az Intézmény csak az egészségügyi alkalmasság tényét bizonyító adatot kezeli.

Amennyiben a munkaszerződés megkötésének folyamata során derül ki, hogy az adott érintett alkalmatlan a munkakör betöltésére, ezért a munkaviszony nem jön létre vagy ennek hatására szűnik meg, úgy az adatkezelés határideje és módja is ezzel azonos.

11.2. Személyes gondoskodást nyújtó szociális és gyermekvédelmi ellátással kapcsolatos adatkezelés

11.2.1. A nyújtott szolgáltatások tartalma és az adatkezelés összefoglaló célja

Szociális szolgáltatások

Az adatkezelés célja a személyes gondoskodást nyújtó szociális ellátás biztosítása, az Szt. szerint.

Az Intézmény

szociális alapszolgáltatás körében idősek nappali ellátása keretében Idős és Demens Személyek Nappali Intézményét működteti;

annak érdekében, hogy mentális, fizikai segítséget, továbbá elfogadó közösséget nyújtson mindazoknak a saját otthonukban élő, tizennyolcadik életévüket betöltött, egészségi állapotuk vagy idős koruk miatt szociális és mentális támogatásra szoruló, önmaguk ellátására részben képes személyeknek, akik igénylik a társas kapcsolatokat, helyben étkezés lehetőségét, szabadidős elfoglaltságot,

szakosított ellátás körében pedig idősek, fogyatékosok ellátását, ápolást-gondozást nyújtó tartós bentlakásos intézményben idősek otthona szolgáltatást nyújt,

annak érdekben, hogy az önmaguk ellátására nem, vagy csak folyamatos segítséggel képes személyek napi legalább háromszori étkeztetéséről, szükség szerint ruházattal, illetve textíliával való ellátásáról, mentális gondozásáról, a külön jogszabályban meghatározott egészségügyi ellátásáról, valamint lakhatásáról (a továbbiakban: teljes körű ellátás) az ápolást, gondozást nyújtó intézményben gondoskodjék, feltéve, hogy ellátásuk más módon nem oldható meg.

Az Intézmény a helyi önkormányzat feladatát megállapodás alapján látja el.

Gyermekvédelmi szolgáltatás

Az adatkezelés célja a gyermekvédelmi ellátás biztosítása, a Gyvt. szerint.

A családok átmeneti otthonában nyújtandó ellátásokat A gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény (a továbbiakban: Gyvt.) valamint, a személyes gondoskodást nyújtó gyermekjóléti, gyermekvédelmi intézmények, valamint személyek szakmai feladatairól és működésük feltételeiről szóló 15/1998. (IV.30.) NM rendelet szabályozza.

A családok átmeneti otthonának működtetése minden harmincezer főnél több lakost számláló települési önkormányzat kötelező feladata. Családok átmeneti otthonába az otthontalanná vált szülő kérelmére az egész család, egyes családtagok és gyermekeik, valamint a válsághelyzetbe került várandós anya és születendő gyermeke kerülhet elhelyezésre, a jogszabályban meghatározott szabályok szerint.

Az Intézmény a helyi önkormányzat feladatát megállapodás alapján látja el, és működteti Családok Átmeneti Otthona szervezeti egységét (a továbbiakban: CSAO).

Az adatkezelés összefoglaló célja

Az Intézmény általi adatkezelések fő célja – összefoglaló jelleggel – a fenti feladatok és ellátások végrehajtása és a jogszabály által meghatározott dokumentálási és adminisztrációs kötelezettség teljesítése.

Az adatkezelések jogalapja jellemzően az Intézményre vonatkozó jogi kötelezettség teljesítése (GDPR 6. cikk (1) bekezdés c) pont), illetve a közérdekű feladatának végrehajtása (GDPR 6. cikk (1) bekezdés e) pont). Az egészségügyi adatok tekintetében az érintett kifejezett hozzájárulása (GDPR 9. cikk (2) bekezdés a) pont), vagy egészségügyi vagy szociális ellátás vagy kezelés nyújtása (GDPR 9. cikk (2) bekezdés. h) pont).

Az adatok forrása: az Intézmény által végzett adatkezelések egy része esetén az adatok forrása közvetlenül az érintett. Más esetekben az Intézmény arra feljogosított alkalmazottai a jogszabályban meghatározottak szerint különböző nyilvántartásokból, hatóságoktól szereznek adatot, illetve társszervek jelzései nyomán értesülnek az érintettek személyes adatairól (CSAO).

11.2.2. Adatkezelés a személyes gondoskodást nyújtó szociális ellátásokkal kapcsolatban

Kötelező adatkezelések jellege

Az Intézmény által nyújtott szociális ellátások igénybevétele önkéntes. A szolgáltatások igénybevétele esetén a GDPR 6. cikk (1) bekezdés c) pontja alapján, figyelemmel a GDPR 9. cikk (2) bekezdés b) pontjára is, az Intézmény az érintett külön hozzájárulás hiányában is jogszabály erejénél fogva jogosult és köteles kezelni az ellátottak/gondozottak személyes adatait az alábbiakban részletezettek szerint.

Jelentkezés, előgondozás

A személyes gondoskodást nyújtó szociális ellátásra való jelentkezést követően az igénybevétellel összefüggő feltételeket a jogszabályok szerint vizsgálja az Intézmény.

Az adatkelés célja a személyes gondoskodást nyújtó szociális ellátás igénybevételének elbírálása, előgondozás. Az adatkezelés során az ellátottak, valamint a hozzátartozóik adatait a hivatkozott jogszabályokban foglalt tartalommal kezeli az Intézmény.

Az igénybevétellel összefüggő szabályokat, valamint a kezelt adatok tartalmát az Szt. továbbá a gondozási szükséglet, valamint az egészségi állapoton alapuló szociális rászorultság vizsgálatának és igazolásának részletes szabályairól szóló 36/2007. (XII. 22.) SZMM rendelet határozza meg. Az eljárás során az Intézmény a személyes gondoskodást nyújtó szociális ellátások igénybevételéről szóló 9/1999. (XI. 24.) SzCsM rendeletben foglaltak szerint jár el.

A személyes gondoskodást nyújtó szociális ellátásra jelentkezéssel illetve az előgondozással összefüggő adatkezelési tájékoztatót a 14. számú melléklet tartalmazza.

Szociális szolgáltatás

A Szt. 20. § (1) – (2) és (4) bekezdés b) pontja alapján az Szt.-ben meghatározott ellátotti/gondozotti jogok érvényesülésének elősegítése céljából az Intézmény köteles a szolgáltatási igényről az alábbi adattartalommal nyilvántartást vezetni (szociális alapnyilvántartás).

Az Szt., a személyes gondoskodást nyújtó szociális ellátások igénybevételéről szóló 9/1999. (XI.24.) SzCsM rendelet és a személyes gondoskodást nyújtó szociális intézmények szakmai feladatairól és működésük feltételeiről szóló 1/2000. (I.7.) SzCsM rendelet, illetve a rendeletek mellékletei további, az ellátottakat/gondozottakat érintő adatköröket állapítanak meg, melyek kezelésére az Intézmény köteles.

Az előbbiekben részletezett adatok kizárólag az ellátotti/gondozotti jogosultság megállapítása, valamint a szakszerű és jogszerű ellátás nyújtása céljából kezelhetők.

Az egészségügyről szóló 1997. évi CLIV. törvény 25. § (3) - (4) bekezdésében foglalt felhatalmazása alapján az Intézmény jogosult arra, hogy az ellátott/gondozott egészségügyi ellátását biztosító személytől – az érintett hozzájárulása hiányában is – az ellátott/gondozott egészségügyi állapotáról tájékoztatást kapjon, ha azt mások életének, testi épségének és egészségének védelme szükségessé teszi, valamint ha a vonatkozó egészségügyi adatok ismeretének hiánya az ellátott/gondozott egészségi állapotának károsodásához vezethet.

Az Szt. 19. § (1) bekezdésében foglalt felhatalmazás alapján az Intézmény jogosult arra, hogy – a jogosultsági feltételek vizsgálata céljából – részére

a kormányhivatallal, a szociális ellátásokra való jogosultság megállapítása, az ellátások biztosítása, fenntartása és megszüntetése céljából vezetett nyilvántartásokból, továbbá

a Magyar Államkincstár által, az ellátásokra való jogosultság fennállásának ellenőrzése céljából vezetett országos nyilvántartásból az ellátottra/gondozottra vonatkozó adatot továbbítsanak.

Az adatszolgáltatás a kérelem benyújtása esetén kötelező, jogszabályon alapul. Amennyiben az előgondozott/kérelmet benyújtó vagy az ellátott a szolgáltatás igénybevételéhez szükséges jogszabályban meghatározott adatait nem adja meg, vagy azok kezeléséhez nem járul hozzá, az Intézmény a kérelmet nem tudja benyújtottnak tekinteni, az előgondozást és/vagy az ellátást nem tudja megkezdeni, illetve a az ellátást nem tudja folytatni, a gondozási szerződést nem tudja megkötni és az abban foglaltakat teljesíteni.

A szociális alapellátás: nappali ellátás és a szociális szakosított ellátás bentlakásos ellátás adatkezelési tevékenységével összefüggő adatkezelési tájékoztatóit jelen Szabályzat 15. számú és 16. számú mellékletei tartalmazzák. Az előgondozással, a bentlakásos és a nappali ellátással kapcsolatos adatkezelési hozzájárulás és nyilatkozat mintáját jelen Szabályzat 17. számú melléklete tartalmazza. Az adatkezeléshez való hozzájárulás megadása írásban kötelező, a dokumentum egyben tartalmazza, hogy az ellátott, vagy gondnokolt ellátott képviselője/gondnoka a vonatkozó adatkezelési tájékoztatóban foglaltakat megismerte.

11.2.3. Adatkezelés a gyermekvédelmi ellátásokkal kapcsolatban

Kötelező adatkezelések jellege

Az Intézmény által nyújtott gyermekvédelmi ellátások igénybevétele önkéntes. A szolgáltatások igénybevétele esetén a GDPR 6. cikk (1) bekezdés c) pontja alapján, figyelemmel a GDPR 9. cikk (2) bekezdés b) pontjára is, az Intézmény az érintett külön hozzájárulás hiányában is jogszabály erejénél fogva jogosult és köteles kezelni az ellátottak/gondozottak személyes adatait az alábbiakban részletezettek szerint.

A kötelező adatkezelés tartalma

A Gyvt. 139. § (1) bekezdés alapján a személyes gondoskodásban részesülő személyekről az ellátó személy vagy az intézmény vezetője nyilvántartást vezet. A nyilvántartás tartalmazza

a) a 138. § (1) és (2) bekezdésében meghatározott adatokat,

b) az ellátás igénybevételének és megszűnésének időpontját,

c) a térítési díj fizetési kötelezettség teljesítésére, elmaradására, behajtására, illetve elévülésére vonatkozó adatokat.

Az 1997. évi XXXI. Törvény 139. § (2) bekezdése alapján a kincstár a személyes gondoskodást nyújtó gyermekjóléti alapellátások és gyermekvédelmi szakellátások finanszírozásának ellenőrzése céljából nyilvántartást vezet. A nyilvántartás tartalmazza a személyes gondoskodást nyújtó gyermekjóléti alapellátások és gyermekvédelmi szakellátások finanszírozásának ellenőrzése céljából nyilvántartást vezet.

A nyilvántartás tartalmazza:

a) a személyes gondoskodásban részesülő személy

aa) személyazonosító adatait,

ab) hontalan jogállására, a szabad mozgás és tartózkodás jogára vonatkozó adatot

ac) társadalombiztosítási azonosító jelét,

b) a személyes gondoskodást nyújtó gyermekjóléti alapellátás vagy gyermekvédelmi

szakellátás formáját, igénybevételének és megszűnésének időpontját,

c) az intézmény, szolgáltató, hálózat ágazati azonosító jelét,

d) a finanszírozás, támogatás költségvetési törvény szerinti jogcímét és feladatmutatóját,

Az adatok nyilvántartásával összefüggő egyéb szabályokat a személyes gondoskodást nyújtó gyermekjóléti, gyermekvédelmi intézmények, valamint személyek szakmai feladatairól és működésük feltételeiről szóló 15/1998. (IV. 30.) NM rendelet, valamint a szociális, gyermekjóléti és gyermekvédelmi igénybevevői nyilvántartásról és az országos jelentési rendszerről szóló 415/2015. (XII. 23.) Korm. rendelet tartalmazza.

A gyermekvédelmi ellátás adatkezelési tevékenységével összefüggő adatkezelési tájékoztatóit jelen Szabályzat 18. számú melléklete tartalmazza, az ellátással kapcsolatos adatkezelési hozzájárulás és nyilatkozat mintáját a gyermekre/gyermekekre vonatkozóan jelen Szabályzat 19. számú melléklete tartalmazza. Az adatkezeléshez való hozzájárulás megadása írásban kötelező, a dokumentum egyben tartalmazza, hogy az ellátott gondnoka/képviselője a vonatkozó adatkezelési tájékoztatóban foglaltakat megismerte. A gyermekkel együtt elhelyezett hozzátartozó/szülő szintén nyilatkozik adatainak kezeléséről és az adatkezelési tájékoztatóban foglaltak megismeréséről. A nyilatkozat mintáját a 20. számú melléklet tartalmazza.

11.2.4. Az adatkezeléssel összefüggő egyéb belső szabályok

Az adatkezelés ideje

Az Intézmény az ellátottak/gondozottak jogszabályi felhatalmazás alapján kezelt személyes adatait a jogviszony megszűnésétől számított legfeljebb tíz évig őrzi, kivéve, ha bizonyos adatokra, illetve személyes adatokat tartalmazó dokumentumokra a jogszabály hosszabb megőrzési időt ír elő, vagy tiltja a selejtezést.

A nem selejtezhető dokumentumok kivételével az őrzési idő lejártát követően az Intézmény gondoskodik a személyes adatok törléséről, az adathordozók megfelelő megsemmisítéséről. Az Intézmény oly módon hajtja végre a személyes adatok törlését, hogy azokat a későbbiekben ne lehessen beazonosítani, az érintettel összekötni, illetve visszaállítani.

Az adatok kezelésének módja

Az Intézmény alkalmazottai kizárólag a munkakörükkel összefüggésben kezelhetik az ellátottak/gondozottak személyes adatait.

Az Intézmény alkalmazottait a tudomásukra jutott ellátotti/gondozotti személyes adatok vonatkozásában titoktartási kötelezettség terheli, melynek körében kötelesek gondoskodni arról, hogy illetéktelen személyek ne férjenek hozzá a kezelt adatokhoz.

Adattovábbítás

Az ellátottak/gondozottak személyes adatait az Intézmény kizárólag

a vonatkozó közhiteles nyilvántartásokat vezető hatóságok/szervek részére,

az esetlegesen eljáró illetékes hatóság, rendőrség, bíróság, ügyészség, nemzetbiztonsági szakszolgálat részére

az ellátott/gondozott szükséges egészségügyi kezelése/ellátása érdekében az érintettet ellátó egészségügyi intézménynek, a kezelést végző személynek, betegszállítónak,

az érintett által megjelölt hozzátartozónak, továbbá

a fenntartó részére továbbíthatja.

Az érintettek ellátásával/gondozásával összefüggő adatokat a szociális ellátások tekintetében az Intézmény a Magyar Államkincstár által vezetett elektronikus nyilvántartásba a KENYSZI Rendszeren az alábbiak szerint:

az ellátott természetes személyazonosító adatai és Társadalombiztosítási Azonosító Jele,

a kérelmező lakó- és tartózkodási helye,

a kérelmező állampolgársága, bevándorolt, letelepedett vagy menekült, hontalan jogállása, a szabad mozgás és tartózkodás jogára vonatkozó adat,

a személyes gondoskodást nyújtó szociális alapszolgáltatás vagy szakosított ellátás valamint a gyermekvédelmi ellátás típusa, igénybevételének és megszűnésének időpontja,

a finanszírozás, támogatás költségvetési törvény szerinti jogcímét és feladatmutatóját.

A KENYSZI-ben történő adatrögzítésért, valamint az adatok hiteles szolgáltatásáért az intézményvezetője felel.

2021. július 1-jétől a gyermekjóléti szolgáltatást és a gyermekek átmeneti gondozását igénybe vevőkre vonatkozó igénybevételi jelentés a Gyermekeink védelmében elnevezésű informatikai rendszerben (továbbiakban: GYVR) való rögzítésen keresztül történik. A GYVR a rögzített adatokat elektronikus adatkapcsolat keretében küldi meg az Igénybevevői Nyilvántartás (KENYSZI) részére.

Az adattovábbítás jogszabályi háttérét A szociális, gyermekjóléti és gyermekvédelmi igénybevevői nyilvántartásról és az országos jelentési rendszerről 415/2015. (XII. 23.) Korm. rendelet (továbbiakban: Nyr.) 8/A. § (1) bekezdése adja. A GYVR a gyámhatóságok, a területi gyermekvédelmi szakszolgálatok, a gyermekjóléti szolgálatok és a személyes gondoskodást nyújtó szervek és személyek által kezelt személyes adatokról szóló 235/1997. (XII. 17.) Korm. rendeletben foglaltak szerint elektronikus úton, napi rendszerességgel adatot szolgáltat az igénybevevői nyilvántartás részére. A GYVR-ben történő adatrögzítésért, valamint az adatok hiteles szolgáltatásáért a családok átmeneti otthona intézményvezetője felel.

A nyilvántartásokban rögzített adatokat a szociális ellátásra való jogosultság megszűnésétől számított öt év elteltével a Magyar Államkincstár törli.

Az ellátással összefüggésben megállapított (személyi) térítési díj megfizetése az ellátott, illetve a térítési díj megfizetését vállaló harmadik személy kötelezettsége. A számla kiállítása az Intézmény feladata. Az Intézmény egyes számviteli feladatait külső szolgáltató látja el: a továbbított személyes adatok köre a számlázással összefüggésben: név és cím.

Amennyiben a térítési díj nem kerül megfizetésre, az Intézmény felszólítja az érintettet annak teljesítésére. Az Intézmény háromszori felszólítást követően jogi úton érvényesíti követelését, melyhez külső szolgáltatóként jogi képvelőt vesz igénybe. A továbbított adatok: név, születési hely, idő, valamint a tartozásra vonatkozó adatok.

A vonatkozó adatkezelés ideje: a hátralék/tartozás kiegyenlítése, vagy a hátralékkal/tartozással kapcsolatos polgári jogi igények elévülése (5 év).

Az adatok tárolása, az adatkezelés módja

Az Intézmény az ellátottak/gondozottak személyes adatait – a KENYSZI illetve a GYVR rendszerekben rögzített adatok kivételével – papír alapon, illetéktelen személyektől elzárva, biztonságos keretek között őrzi az Intézmény székhelyén, a telephelyeken, illetve a Gazdasági hivatalban.

Az Intézmény mindent megtesz a szolgáltatásait igénybevevők különleges adatainak biztonsága érdekében. A lakók egészségügyi adatait tartalmazó dokumentumokat zárt helyiségben, zárható szekrényekben tárolja. Egészségügyi adatokat csak a jogszabályokban meghatározott esetben továbbít (pl. járványügyi intézkedések során).

Adattörlés

A törlésre előirányzott határidő: A szociális ellátásra való jogosultság megszűnésétől számított öt év elteltével törlendőek az adatok 1993. évi III. tv. 23.§ (1).

Hozzájáruláson alapuló adatkezelések

Az Intézmény a GDPR 6. cikk (1) bekezdés a) pontja alapján az ellátott/gondozott hozzájárulásával kezeli

az egyes szolgáltatások igénybevételétől kezdődően a közösségi alkalmakon, eseményeken, az Intézményben szervezett programok alkalmával készített kép-, video- és hangfelvételeket.

A kép-, video- és hangfelvételek kizárólag az Intézmény által szervezett közösségi alkalmak, események megörökítését szolgálják. Az ezzel összefüggő tájékoztatót a 21. számú melléklet tartalmazza.

A kép-, video- és hangfelvételeken való megjelenítésről szóló nyilatkozat mintáját a Szabályzat 22. számú melléklete tartalmazza. Egyedi promóciós/népszerűsítő eseményekről olyan nyilatkozatot kell adni, amely a kép-, video- és hangfelvételek konkrét célját, formáját valamint a tervezett elhelyezésének helyét is megjelölik. Az erről szóló nyilatkozat mintáját a 23. számú melléklet tartakmazza.

A közösségi alkalmakon, rendezvényeken, egyéb programokon rögzített kép-, videó és hangfelvételeket az Intézmény elektronikusan – az erre a célra kialakított mappákban – a titkársági számítógépeken őrzi. Amennyiben az érintett hozzájárulását adta a kép-, videó- és hangfelvételek nyilvánosságra hozatalához, ezekről másolat készíthető az Intézmény honlapjára valamint egyéb kiadványaira, pl. Szent Borbála Otthon Újság (havonta megjelenő belső kiadvány).

11.3. Egyéb szolgáltatással kapcsolatos adatkezelés – Albérlők háza

Az Intézmény Komló Város Önkormányzatával kötött megállapodás alapján látja el az Albérlők Háza üzemeltetését. Az Albérlők Házában szociálisan rászoruló, saját otthonnal nem rendelkező helyieknek biztosítanak – átmeneti – lakhatási lehetőséget a piacinál kedvezőbb díjazás fejében.

Az Önkormányzattal való megállapodás alapján évente meghatározott számú szoba bérleti díját az Önkormányzat átvállalja. A mentesség személyes feltételeit az Önkormányzat állapítja meg, a bérlő jelöltek közvetlenül az Önkormányzatnak benyújtott kérelme alapján. Az Önkormányzat a kedvező döntéséről az Intézményt értesíti, mely alapján a bérleti szerződést a kérelmezővel az Intézmény megköti.

Az adatokat a bérlő a hozzájárulásával adja meg, mely alapján a bérleti szerződés megkötésre kerül. Amennyiben a jelölt nem adja meg a hozzájárulását az adatai kezeléséhez, a bérleti szerződés nem kerül megkötésre.

Az Albérlők Háza szolgáltatással összefüggő adatkezelési tájékoztatót a 24. számú melléklet, a kapcsolódó nyilatkozatot a 25. számú melléklet tartalmazza.

Az adatkezelés ideje

Az Intézmény a bérlők adatait, a szerződéseket a jogviszony megszűnésétől számított öt évig, a számlák adatait az Szt. alapján 8 évig őrzik.

Az őrzési idő lejártát követően az Intézmény gondoskodik a személyes adatok törléséről, az adathordozók megfelelő megsemmisítéséről. Az Intézmény oly módon hajtja végre a személyes adatok törlését, hogy azokat a későbbiekben ne lehessen beazonosítani, az érintettel összekötni, illetve visszaállítani.

Az adatok kezelésének módja

Az Intézmény alkalmazottai kizárólag a munkakörükkel összefüggésben kezelhetik az ellátottak/gondozottak személyes adatait.

A bérlővel együtt költöző hozzátartozó adatait az Intézmény csak annyiban tartja nyilván, amennyiben az épületben való tartózkodást kontrollálja (pl. portaszolgálat felé, az épületben való tartózkodás ténye miatt A bérlő írásban nyilatkozik a vele együtt költöző személy nevéről.

Adattovábbítás

A bérlő személyes adatait az Intézmény kizárólag

a térítési díjakkal összefüggésben továbbít,

o a számla adatait (név, cím), a bevételek nyilvántartása érdekében külső (számviteli) szolgáltató felé, (könyvelőhöz),

o átvállalt bérleti díj rendezése érdekében: Komló Város Önkormányzat felé, a számla az Önkormányzat nevére szól, a számla melléklete az átvállalt összeget érintő bérlők neve,

jogszabályban meghatározott esetekben (az esetlegesen eljáró illetékes hatóság, rendőrség, bíróság, ügyészség, nemzetbiztonsági szakszolgálat részére.

Az ellátással összefüggésben megállapított bérleti díj megfizetése a bérlő, illetve a bérleti díjat megállapodás (határozat) alapján vállaló harmadik személy (Önkormányzat) kötelezettsége. A számla kiállítása az Intézmény feladata. Az Intézmény egyes számviteli feladatait külső szolgáltató látja el: a továbbított személyes adatok köre a számlázással összefüggésben: név és cím, számlázási adat.

A vonatkozó adatkezelés ideje: a hátralék/tartozás kiegyenlítése, vagy a hátralékkal/tartozással kapcsolatos polgári jogi igények elévülése (5 év).

Az adatok tárolása, az adatkezelés módja

Az Intézmény az ellátottak/gondozottak személyes adatait papír alapon (kinyomtatott szerződések), illetéktelen személyektől elzárva, biztonságos keretek között őrzi az Intézmény székhelyén, illetve a Gazdasági hivatalban.

Az Intézmény mindent megtesz a szolgáltatásait igénybevevők különleges adatainak biztonsága érdekében. A lakók adatait tartalmazó dokumentumokat az Intézmény zárt helyiségben, zárható szekrényekben tárolja. Egészségügyi adatokat csak a jogszabályokban meghatározott esetben tart nyilván és továbbít (pl. járványügyi intézkedések során).

Az Intézmény szobaszám szerinti nyilvántartást vezet a bérlőkről (szobaszám, bérlő neve, együtt költöző neve), melyet a portaszolgálat felé továbbít.

Adattörlés

A törlésre előirányzott határidő: a szolgáltatás megszűnését követő öt év, a számlákkal összefüggésben irányadó a Sztv.

Hozzájáruláson alapuló adatkezelések

Az Intézmény a GDPR 6. cikk (1) bekezdés a) pontja alapján az ellátott/gondozott hozzájárulásával kezeli

az egyes szolgáltatások igénybevételétől kezdődően a közösségi alkalmakon, eseményeken, az Intézményben szervezett egyéb programok alkalmával készített kép-, video- és hangfelvételeket.

11.4. Számlázással és követelés-nyilvántartással összefüggő adatkezelés

11.4.1. Számlázás

Az Intézmény a számlát maga állítja ki ellátottai/bérlői részére, amelyhez csak a kiállításához szükséges számlázási adatokat veszi fel. Egyéb értékesítés (külső vevők) során is csak a kiállításhoz szükséges adatokat kezeli.

Az ellátottakkal és a bérlőkkel összefüggő adatkezelési szabályok ismertetése az egyes ellátási formáknál került rögzítésre. Az adatkezeléssel összefüggő tájékoztatók az idevonatkozó szabályokat tartalmazzák, a nyilatkozatok megtételekor az ellátottak/bérlők a számlázás során kezelt adataikkal összefüggésben is nyilatkoznak.

Az adatkezelés papír alapon (szerződés, megállapodás) és elektronikus úton (papír alapú számla kiállítása, de nem e-számla) történik.

Az adatkezelés jogalapja a szerződés megkötéséhez szükséges személyi adatok önkéntes megadása. Az adatkezelés célja: a számlázás, ezen keresztül a jogok és kötelezettségek nyilvántartása.

Az adatkezelés idejét az Sztv. 169. § (1)-(2) bekezdései adják. A gazdálkodó az üzleti évről készített beszámolót, az üzleti jelentést, valamint az azokat alátámasztó leltárt, értékelést, főkönyvi kivonatot, továbbá a naplófőkönyvet, vagy más, a törvény követelményeinek megfelelő nyilvántartást olvasható formában legalább 8 évig köteles megőrizni. A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.

11.4.2. Követelés-nyilvántartás

Az ellátottakkal és a bérlőkkel összefüggő követelés-nyilvántartás szabályok ismertetése az egyes ellátási formáknál került rögzítésre. Az adatkezeléssel összefüggő tájékoztatók az idevonatkozó szabályokat tartalmazzák, a nyilatkozatok megtételekor az ellátottak/bérlők a számlázás során kezelt adataikkal összefüggésben is nyilatkoznak.

Az adatkezelés papír alapon (szerződés, megállapodás) és elektronikus úton (számla kiállítása) történik, valamint a külső számviteli szolgáltató és az Intézmény nyilvántartása alapján – a ki nem egyenlített számlák nyilvántartásával – történik.

Egyéb kintlévőséggel összefüggésben az eljárás azonos.

Az adatkezelés jogalapja a szociális és gyermekvédelmi, valamint albérleti szolgáltatásokkal összefüggésben a személyi adatok önkéntes megadása, valamint a szolgáltatás igénybe vétele, egyéb kintlévőség esetén a szolgáltatás/értékesítés alátámasztására szolgáló dokumentum, illetve kiállított, de nem rendezett számla.

Az adatkezelés célja: az igénybevett szolgáltatás kiszámlázott bevételeinek teljesülése, ezen keresztül a jogok és kötelezettségek nyilvántartása.

Az Intézmény a követelések nyilvántartása érdekében külső jogi szolgáltató/képviselő felé közli a számlázási és elérhetőségi adatokat. Magánszemély esetén (ellátott, bérlő egyéb): neve, születési név, anyja neve, születési hely, idő, állandó lakhely, telefonszám, levelezési/elérhetőségi cím, követelés összege, jogcíme, egyéni vállalkozó esetén (esetlegesen kiszámlázott szolgáltatás vagy termékértékesítés): neve, címe, adószáma, számlavezető pénzintézet neve, bankszámlaszáma.

A külső szolgáltatóval az Intézmény szerződést köt a jogi képviselet ellátására. A jogi képviselő: Dr. Monori Tamás, 7621 Pécs, Jókai Mór utca 25.

12. Vagyonvédelemmel és beléptetéssel összefüggő adatvédelmi kérdések

12.1. Portaszolgálat

Az Intézmény a székhelyén portaszolgálatot üzemeltet. Az üzemeltetést szerződés alapján külső szolgáltató látja el (Gábor Adrienn Klára egyéni vállalkozó, 7300 Komló, Székely Bertalan utca 20.).

Az Intézmény telephelyein portaszolgálat nem működik.

A szolgáltatás jellege szerint a vállalkozó: napi 24 órában személyes jelenléttel biztosítja az épületbe való beléptetést, az ellátottak és egyéb be- és kilépő személyek tekintetében, pl. hozzátartozók, szolgáltatók, kérelmezők.

Az ellátottakról (emelet, szobaszám) a Intézmény székhelyén a portán kinyomtatott, frissített listák állnak rendelkezésre az ellátottak név szerinti tartózkodásának azonosításhoz, pl. látogató informálása, vészhelyzet (tűzeset, egyéb rendkívüli helyzet) A listák elkészítése az Intézmény kötelezettsége, a frissített lista átadásakor a korábbi lista megsemmisítése az Intézmény kötelezettsége.

Ha az ellátott (CSÁO esetén: ellátottal együtt itt tartózkodó, illetve bérlővel együtt költöző) elhagyja az épületet illetve visszatér, azt a portaszolgálat az Intézmény instrukciói alapján a napi nyilvántartásában rögzíti (név, távozás, érkezés időpontja).

Hozzátartozó érkezése alkalmával rögzítésre kerül a látogató neve, az ellátott neve, tartózkodási helye (szoba száma), mikor étkezett és mikor távozott.

Egyéb más esetekben is előírt a belépő személy azonosítása (név, szolgáltató, pl. szerelési tevékenység) szándékának rögzítése (miért, milyen céllal érkezett).

A nyilvántartás vezetése tekintetében a külső szolgáltató adatfeldolgozó.

Az Intézmény telephelyein (nincs portaszolgálat) az intézményvezető, az ott tartózkodása hiányában a beosztott dolgozó kérheti a belépő azonosítását a belépés érdekében. Az azonosítás megadása önkéntes, de ennek hiányában a belépés megtagadható. Az ellátott vagy az intézményvezető/személyzet hozzájárulása egyes esetekben azonosításnak tekinthető. Az Intézmény telehelyein nyilvántartást nem vezetnek.

Az Intézmény zárható helyiségeinek kulcsait a portán elhelyezett zárható kulcs-szekrényben őrzi az ügyeletes portás. A portaszolgálatnál kerül vezetésre, hogy ki, mikor, melyik zárható helyiség kulcsát vette fel, illetve adta le, a kezet adatok köre: név, kulcs azonosítója, felvétel ideje és leadása.

A kulcsok használata önkéntes, ezzel összefüggésben a kapcsolódó adatmegadás is. A személyzet munkatevékenységének elvégzése érdekében kíván bejutni az elzárt területekre, továbbá az elzárt területeken őrzött vagyoni értékek megóvása is kötelezettség (pl. konyha, garázs).

Lakószobák pótkulcsai is a portaszolgálaton vannak elhelyezve, amikor szükség esetén azok felvételre kerülnek, akkor az is rögzítésre kerül a nyilvántartásba (név, kulcs azonosítója, felvétel ideje és leadása).

A kulcsok nyilvántartása tekintetében az adatfeldolgozó ugyancsak a külső szolgáltató.

Az Intézménynek a telefonszolgáltatóval kötött megállapodás alapján több vezetékes fő telefon-vonala van. Az Intézmény házi telefonközponttal rendelkezik, a hivatalos helyiségekben elhelyezett telefonok elérhetősége a telefonközponton keresztül biztosított. A telefonközpontot a portaszolgálat működteti. A telefonközpont működtetéséhez a portaszolgálat személyes adatot nem kezel, csupán a hívásokat továbbítja, illetve kérés esetén a meghívandó számokat kapcsolja.

A portaszolgálat adatkezelési tájékoztatóját a 26. és a 26_B. számú melléklet tartalmazza.

12.2. Videokamerás megfigyelés

Az Intézmény – mint adatkezelő – elektronikus megfigyelési rendszert működtet, melynek elsődleges célja az Intézmény, valamint az Intézmény területén tartózkodó személyek tulajdonában és/vagy használatában álló vagyontárgyak, továbbá az Intézmény területén tartózkodó személyek, de különösen az ellátottak életének, testi épségének védelme. Ennek keretében cél a jogsértések észlelése, e jogsértő cselekmények megelőzése, továbbá, hogy ezekkel összefüggésben bizonyítékként kerüljenek hatósági eljárás keretében felhasználásra. Ennek célja, hogy az Intézmény az esetleges jogvita esetén hitelt érdemlően rekonstruálni tudja az eseményeket.

E tekintetben az adatkezelésben érintett: az Intézménnyel foglalkoztatási jogviszonyban állók, az ellátottak, illetve az Intézmény székhelyére, telephelyére, ügyfélforgalom számára nyitva álló helyiségekbe belépő személyek.

A kamerarendszer működtetésének jogalapja: többes.

Az Intézmény, mint adatkezelő jogos érdeke (GDPR 6. cikk (1) f) alapján) első sorban az általános vagyonvédelemmel összefüggő okokra vezetett vissza.

Az érintettek hozzájárulása (GDPR 6. cikk (1) a) alapján) érvényes minden további, a Intézménybe be- és kilépő személy esetében.

Az Intézmény kötelezettsége, valamint az ellátottak alapvető érdeke a szociális törvényben foglaltak alapján a szociális ellátásban részt vevő időskorúak testi épségének és életének védelme, valamint az Intézmény munkavállalóinak testi épségét is biztosítania szükséges az Intézménynek annak érdekében, hogy a deklarált feladatait el tudja látni. Az elektronikus rendszer telepítését külső szolgáltató végezte. A kamerák elhelyezése a székhelyen és a telephelyeken történt.

A rendszer élesítése és működtetése 2021.08.01-jén indult. A rendszer működtetését az Intézmény végzi, az adatkezelő az Intézmény. Az adatkezelést megelőzően érdekmérlegelési teszt és hatásvizsgálat készült.

A kamerák látószögei a célterületre irányulnak, így kizárólag saját tulajdont és használatban lévő területet figyel meg. Az épületekben kamerák elhelyezése a szociális ellátásban érintett közösségi terekben: épületi bejáratokban, folyosókon, lépcsőházakban, átjárókban, étkezőkben történt. A felszerelt kamerák elhelyezéséről a telepítő külső szolgáltató a teljes dokumentációt rendelkezésre bocsátotta. A kamerák fizikai elhelyezkedését belső szabályzat tartalmazza (kamera használati szabályzat).

Az élőképek megtekintése speciális szoftver használatával történik (NVMS-1000).

Az élőképek az Intézmény székhelyén, a titkársági számítógépen és a szakmai igazgató által használt számítógépeken láthatóak, a programba való belépés jelszóval történik. Jelszóval rendelkezik. Azokhoz hozzáférése csak az ügyvezetőnek, valamint a szakmai igazgatónak és az intézményvezetőnek (adatvédelmi munkatársnak) van (a továbbiakban: megbízottaknak). A jogosultságokkal összefüggő felhatalmazás alapja a belső szabályozás (kamera használati szabályzat).

A portaszolgálat működtetésére létrejött szerződésben rögzítésre került a vállalkozó alkalmazottainak feladat- hatás és felelősségi köre, tekintettel arra, hogy a telephelyeken üzemeltetett épületi bejáratoknál elhelyezett kamerák élőképeit a szolgálatot adó őr folyamatosan felügyeli.

Portaszolgálat csak az Intézmény székhelyén működik, erre való tekintettel a személy- és vagyonvédelem biztosítása érdekében a telephelyek főbejáratainál elhelyezett kamerák élőképeit a Portaszolgálatot biztosító vállalkozó alkalmazottja kontrollálja.

A portaszolgálatot teljesítő őr így a székhelyen fizikailag, a telephelyeken a leírt módon a szóban forgó adatkezelési tevékenységben kimerülő élőképek felügyeletével biztosíthatja, hogy – különösen a nap nem mozgásra szolgáló időszakában (este, éjszaka) – a nem tipikus mozgásokat érzékelje, szükség esetén fizikailag intézkedjék, a telephelyekkel pedig a kapcsolatot azonnal felvegye (ápolót/dolgozót/személyzetet riaszt).

A portások számára visszanézés nem lehetséges. A megállapodásban rögzítettek szerint a portások a szükséges intézkedéseket teszik a meghatározott esetekben. A portás által tett intézkedésekről a szerződés kiegészítésében rögzített feljegyzés készül az adatkezelő számára. A feljegyzésben rögzítésre kerül az észlelt eltérés leírása, időpontja, valamint a megtett intézkedés, és a riasztott személy megnevezése. A feljegyzés az adatkezelő számára továbbításra kerül.

A felvételek digitális video rögzítőn kerülnek tárolásra. A rögzítés a napi 24 órában történő élőképes működés alapján történik. A székhelyen 2, a telephelyeken 1-1 rögzítő működik, melyek 1-1 kamerakörön lévő egységeket rögzítenek. A rögzítők fizikailag zárt helyen helyezkednek el. Azokhoz hozzáférése csak az ügyvezetőnek, valamint a megbízottaknak van.

A felvételek a rendszerből 7 napig érhetőek el (visszanézés), a rögzítés folyamatos.

Az elektronikus megfigyelőrendszerrel készített felvételekhez csak meghatározott személyek férhetnek hozzá. A megfigyelő rendszer által rögzített adatokhoz: az ügyvezető és annak megbízottai férhetnek. Bírósági vagy más hatósági eljárásban történő felhasználás érdekében az adatokhoz a bíróság, valamint jogszabály szerint az eljárásra illetékes más hatóság férhet hozzá.

Az Intézmény az elektronikus megfigyelőrendszerrel csak a szükséges mértékben avatkozik bele az érintettek magánszférájába.

Az épületekben a feladatok ellátáshoz szükséges infrastruktúra és az ezekhez kapcsolódó vagyon elemek kerültek elhelyezésre, pl. bútorzat, elektronikai eszközök, élelmezéssel összefüggő berendezések.

Az Intézmény semmilyen indokból és módon nem folytat elektronikus megfigyelést:

abból a célból, hogy egy dolgozó munkaintenzitását megfigyelje,

abból a célból, hogy a dolgozók munkahelyi viselkedését befolyásolja,

szenzitív területeken, így különösen öltözőben, zuhanyzóban, illemhelyiségben,

olyan területen, ahol a dolgozók pihenőidejüket vagy munkaközi szünetüket töltik, különösen pihenőszobában, dohányzásra kijelölt helyen.

Az ellátottak tekintetében az élet védelme és a testi épség védelme az Intézmény alapvető feladata a jogszabályi előírásoknak – is – megfelelően. A szociális igazgatásról és szociális ellátásokról szóló 1993. évi III. törvény (a továbbiakban: Szoctv.) 94/E § (4) kimondja, hogy a személyes gondoskodást nyújtó szociális intézmény az általa biztosított szolgáltatást olyan módon végzi, hogy figyelemmel legyen az ellátást igénybe vevőket megillető alkotmányos jogok maradéktalan és teljes körű tiszteletben tartására, különös figyelemmel a) az élethez, emberi méltósághoz, b) a testi épséghez, c) a testi-lelki egészséghez való jogra.

Az Intézmény nem rendelkezik olyan kamerával, amely kizárólag egy ellátottat vagy a munkavállalót és az általa végzett tevékenységet figyeli meg, vagy aminek célja az ellátott vagy a munkavállaló viselkedésének befolyásolása.

Az Intézmény csupán abból a célból folytathat – élőképes – elektronikus megfigyelést, hogy meggyőződjön róla, hogy az ellátottak egészségének és testi épségének biztosítása érdekében a dolgozók a szakmai protokolloknak megfelelően jelen vannak-e a beosztás szerinti fizikai területen, azokban az esetekben, amikor e nélkül nem biztosítható a már hivatkozott, jogszabályban előírt kötelezettségének betartása és betartatása, és amikor e tény más módon nem kontrollálható, a korábban már hivatkozott korlátozásokat is szem előtt tartva.

A kamerarendszer működtetésének jogalapjait is figyelembe véve az érintettek az Intézmény területére történő belépéssel elismerik és minden további jognyilatkozat nélkül tudomásul veszik a kamerás megfigyelés tényét.

A megfigyelő rendszer létéről és működéséről a kötelezettségének megfelelve az Intézmény figyelemfelhívó jelzést helyez el arról, hogy az adott területen elektronikus megfigyelőrendszert alkalmaz. A figyelemfelhívó jelzést a székhelyre, telephelyekre történő belépés első helyén (gépkocsi bejáró, kerítés-kapu) valamint az épületekbe történő minden belépési helyen ki kell tenni. Az Intézmény székhelyén a portaszolgálatnál is fel kell tüntetni a figyelemfelhívó jelet.

A figyelemfelhívó jelzés mellett a 27. számú melléklet szerinti adatvédelmi tájékoztatót is ki kell helyezni az épületekbe történő minden belépési helyen, valamint a székhelyen a portaszolgálatnál.

A kamerák működtetéséről belső szabályzat rendelkezik.