A Súlyosan Beteg Gyermekek Ellátásáért Alapítvány (székhelye: 1031 Budapest, Madarász Viktor utca 22-24., a továbbiakban: Alapítvány) kuratóriuma az alábbiak szerint határozza meg az Alapítvány adatvédelmi szabályzatát (a továbbiakban: Szabályzat).
Jelen Szabályzat célja, hogy szabályozza az Alapítvány személyes adatkezelési folyamatait és biztosítsa az érintettek (1.1. b) pont) jogainak érvényesülését.
1. A Szabályzat hatálya, irányadó jogszabályok
1.1. A Szabályzat személyi hatálya
A Szabályzat személyi hatálya kiterjed
a) az Alapítvány által végzett adatkezelési vagy adatfeldolgozási tevékenységeket végző személyekre (munkavállalók vagy az Alapítvánnyal más munkavégzésre irányuló jogviszonyban álló személyek) és
b) azokra a természetes személyekre, akikkel kapcsolatban az Alapítvány személyes adatokat kezel vagy feldolgoz (érintettek), illetőleg elhunyt érintett esetén azok hozzátartozójára.
1.2. A Szabályzat tárgyi hatálya
A Szabályzat tárgyi hatálya kiterjed az Alapítvány, mint adatkezelő vagy adatfeldolgozó által kezelt, illetve feldolgozott személyes adatokra.
1.3. Kapcsolódó jogszabályok
A jelen Szabályzat elsősorban az alábbi jogszabályoknak való megfelelést szolgálja:
a) az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről („Általános Adatvédelmi Rendelet”);
b) a szerzői jogról szóló 1999. évi LXXVI. tv. („Szjt.”);
c) a szerzői jogok és a szerzői joghoz kapcsolódó jogok kezeléséről szóló 2016. évi XCIII. törvény („Kjkt.”);
d) a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk”);
e) az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény („Infotv.”);
f) a munka törvénykönyvről szóló 2012. évi I. törvény („Mt.”).
Ahol a jelen Szabályzat másként nem rendelkezik, a Szabályzatban alkalmazott fogalmakat a hatályos jogszabályok rendelkezéseinek megfelelően kell értelmezni.
2. Az Alapítvány adatkezelése
2.1. Alapelvek
2.1.1. Az érintettek személyes adataikhoz való jogának érvényesítése érdekében az Alapítvány tiszteletben tartja az adatvédelmi jog alapelveit, így
a) a személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kezeli („jogszerűség, tisztességes eljárás, átláthatóság elve”);
b) személyes adatokat csak meghatározott, egyértelmű és jogszerű célból kezel („célhoz kötöttség elve”);
c) csak az adatkezelés céljai szempontjából megfelelő és releváns személyes adatokat kezel, a szükséges mértékben („adattakarékosság elve”);
d) a személyes adatok pontosságát és szükség esetén naprakészségét biztosítja és minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság elve”);
e) a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság elve”);
f) a személyes adatokat oly módon kezeli, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelem („integritás és bizalmas jelleg elve”);
g) a személyes adatok kezelését az Alapítvány oly módon végzi, hogy képes legyen a fenti alapelveknek történő megfelelés igazolására („elszámolhatóság elve”);
2.2. Az adatkezelés jogalapja
2.2.1. Személyes adatot az Alapítvány kizárólag az alábbi esetekben kezel, ha az
a) érintett hozzájárulását adta személyes adatainak kezeléséhez;
b) adatkezelés olyan az Alapítvánnyal kötendő szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések Alapítvány általi megtételéhez szükséges;
c) adatkezelés az Alapítványra vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) adatkezelés az Alapítvány vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
2.2.2. Ha az adatkezelés jogalapja az 2.2.1. e) pont szerint meghatározott jogalap, úgy előzetes érdekmérlegelési teszt lefolytatása szükséges. Ezen teszt keretében
a) meg kell határozni, hogy mi alkotja az Alapítvány, vagy a harmadik fél jogszerű érdekét;
b) meg kell vizsgálni, hogy mi alkotja az érintettek olyan érdekeit, vagy alapvető jogait és szabadságait, amelyek a személyes adatok védelmét teszik szükségessé.
2.2.3. Az előzetes mérlegelés eredményéhez képest, amennyiben az érdekmérlegelés eredménye nem egyértelmű, további garanciákat kell társítani az érintett jogainak védelmében.
2.2.4. Az elszámoltathatóság elve alapján a 2.2.2.-2.2.3. pontok szerinti mérlegelés elvégzését és annak eredményét dokumentálni kell.
2.3. Az érintett tájékoztatáshoz fűződő joga
2.3.1. Az Alapítvány elsősorban az érintettektől jut személyes adatok birtokába, ebben az esetben a jelen Szabályzat melléklete szerinti hozzájáruló nyilatkozat illetőleg adatkezelési tájékoztatás alkalmazandó.
2.3.2. Ha a személyes adatokat az Alapítvány nem az érintettől szerzi be, a következő információkat bocsátja az érintett rendelkezésére:
a) az Alapítvány elérhetőségei;
b) az Alapítvány elnökének neve és elérhetőségei;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái;
f) ha van ilyen, a személyes adatok harmadik országokba történő továbbítása esetén az Általános Adatvédelmi Rendeletben meghatározott információk;
g) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
h) ha az adatkezelés jogalapja a 2.2.1. e) pont szerinti jogalap, úgy az Alapítvány jogos érdeke;
i) tájékoztatás arról, hogy az érintett kérelmezheti az Alapítványtól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat személyes adatai kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
j) tájékoztatás arról, hogy hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban visszavonható, amely visszavonás azonban nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
k) tájékoztatás a Nemzeti Adatvédelmi és Információszabadság Hatóság, mint felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
l) tájékoztatás a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
m) tájékoztatás az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
2.3.3. A 2.3.2. pont szerinti információkat – tekintetbe véve a személyes adatok kezelésének konkrét körülményeit – a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül kell közölni az érintettel. Ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával kell közölni az információkat.
2.3.4. Az Alapítvány az Általános Adatvédelmi Rendelet 14. cikk (5) bekezdésében foglalt esetekben az érintett tájékoztatására vonatkozó szabályokat nem alkalmazza.
2.4. Az érintett hozzáférési joga
2.4.1. Az Alapítvány az érintettet igényére tájékoztatja arról, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, hozzáférést biztosít a személyes adatokhoz, tájékoztatja továbbá az érintettet az alábbiakról:
a) az adatkezelés céljáról;
b) az érintett személyes adatok kategóriáiról;
c) azon címzettekről vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) a személyes adatok tárolásának tervezett időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
e) az érintett azon jogáról, hogy kérelmezheti az Alapítványtól a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról;
g) ha a személyes adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról;
h) az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról és arra vonatkozó érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
2.4.2. Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozó garanciákról.
2.4.3. Az Alapítvány az adatkezelésével érintett személyes adatok másolatát az érintett kérésére az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Alapítvány az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
2.5. A helyesbítéshez való jog
2.5.1. Az érintett kérésére az Alapítvány indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozó pontatlan személyes adatokat, valamint – figyelembe véve az adatkezelés célját – az érintett erre irányuló kérése esetén biztosítja a hiányos személyes adatok kiegészítését.
2.5.2. A helyesbítéshez való jog korlátozására csak az Általános Adatvédelmi Rendeletben írt kivételek fennállása esetén kerülhet sor.
2.5.3. Az Alapítvány minden olyan címzettet tájékoztat valamennyi helyesbítésről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Alapítvány tájékoztatja e címzettekről.
2.6. A törléshez való jog
2.6.1. Az Alapítvány az érintett kérésére indokolatlan késedelem nélkül törli a rá vonatkozó személyes adatokat, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) az érintett személyes adatainak kezelése jogszerűtlen;
e) a személyes adatokat az Alapítványra alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére gyermekek számára nyújtott információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
2.6.2. A törléshez való jog korlátozására csak az Általános Adatvédelmi Rendeletben írt kivételek fennállása esetén kerülhet sor.
2.6.3. Az Alapítvány minden olyan címzettet tájékoztat valamennyi törlésről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Alapítvány tájékoztatja e címzettekről.
2.7. Az adatkezelés korlátozásához való jog
2.7.1. Az érintett kérelmére az Alapítvány korlátozza az adatkezelést, ha
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az Alapítványnak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
d) az érintett jogos érdeken vagy közérdekű célból végzett adatkezelés ellen tiltakozott; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
2.7.2. Az Alapítvány minden olyan címzettet tájékoztat valamennyi adatkezelést illető korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az Alapítvány tájékoztatja e címzettekről.
2.8. Az adathordozhatósághoz való jog
2.8.1. Az érintett jogosult arra, hogy a rá vonatkozó, az Alapítvány rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, ha
a) az adatkezelés az Általános Adatvédelmi Rendelet szerinti hozzájáruláson vagy szerződésen, mint jogalapon alapszik, vagy
b) az adatkezelés automatizált módon történik.
2.8.2. Az adathordozhatósághoz való jog alkalmazásának kizárására és korlátozására az Általános Adatvédelmi Rendelet szabályait kell alkalmazni.
2.9. A tiltakozáshoz való jog
2.9.1. Az érintett bármikor tiltakozhat a saját helyzetével kapcsolatos okokból a közérdekű célból vagy jogos érdekből végzett adatkezelés ellen, ideértve a profilalkotást is. Ebben az esetben az Alapítvány a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
2.9.2. A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
2.10. Automatizált döntéshozatal, profilalkotás
Az Alapítvány csak akkor alkalmaz kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntést, amely az érintette nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti, ha
a) az Alapítvány és az érintett közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az Alapítványra alkalmazandó olyan uniós vagy hazai jogszabály teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít
c) az érintett kifejezett hozzájárulásán alapul.
2.11. Incidensek kezelése
2.11.2. Az Alapítvány az adatkezelésével összefüggésben bekövetkezett adatvédelmi incidenst a tudomására jutását követően indokolatlan késedelem nélkül, ha lehetséges, legkésőbb 72 órával bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak. Ha a bejelentésre több mint 72 órával a tudomásra jutást követően kerül sor, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is. E kötelezettség teljesítése érdekében az Alapítvánnyal munkavégzésre irányuló jogviszonyban állók kötelesek a tudomásukra jutott adatvédelmi incidensről az Alapítvány elnökét haladéktalanul tájékoztatni.
2.11.2. A bejelentést nem kell megtenni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A bejelentés elhagyásáról szóló döntést az Alapítvány elnöke jogosult meghozni, mérlegelve az eset összes körülményeit.
2.11.3. Az Alapítvány nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
2.11.4. Az Alapítvány indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ezt a döntést az elnök hozza meg az eset összes körülményeire tekintettel, amelyről feljegyzést készít.
2.11.5. Az Alapítvány az érintettet nem értesíti az adatvédelmi incidensről, ha
a) megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazta, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; vagy
b) az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé, amely esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
3. A kezelt adatok köre
3.1. Hírlevél
Az Alapítvány eseményeiről, híreiről hírlevélben tájékoztatja Alapítvány a feliratkozó Ügyfelet, aki korábban neve és e-mail címe megadásakor elfogadta az Adatvédelmi Szabályzatban foglaltakat. Az Adatvédelmi Szabályzat elfogadása előre ki nem töltött, kötelező jelölőnégyzet elfogadásával történik. A feliratkozást követően az Ügyfél egy email üzenetben tájékoztatást kap a feliratkozásról, melyet meg is kell erősítenie, a feliratkozása ezt követően lép hatályba. Az adatkezelés alapja önkéntes hozzájárulás. Minden ezzel kapcsolatos folyamat során az Ügyfélnek bármikor lehetősége van a leiratkozásra. A leiratkozás lehetőségét minden levél egy link formájában tartalmazza, ami egy klikkeléssel könnyen elérhető. A feliratkozóval kapcsolatos minden, a hírlevélküldő rendszerben tárolt információ kikérhető, a leiratkozáson túl írásbeli kérésre a feliratkozó minden adata és hozzá kapcsolódó tevékenység logja törölhető.
3.2. Facebook
Az Alapítvány Facebook oldalán a posztokhoz való hozzászólás, a tartalmakra való ikonokkal történő reagálás engedélyezett. Az Alapítvány ilyen módon is hozzájut adatokhoz (Facebook profil név, Messenger elérhetőségek), melyekkel nem él vissza. Lehetséges privát üzenet küldése. Alapítvány az ilyen módon tudomására jutott adatokat kizárólag az adott témára vonatkozóan kezeli, egyéb célra nem használja fel.
4. Közös adatkezelés
4.1. Közös adatkezelés esetén az Alapítvány és a további adatkezelők – az érintettekkel szembeni szerepére és a velük való kapcsolattartásra is tekintettel megalkotott – megállapodásban határozzák meg az Általános Adatvédelmi Rendeletben foglalt kötelezettségek teljesítéséért fennálló felelősségük megoszlását, különösen az érintettek jogainak gyakorlásával és tájékoztatásával kapcsolatban. A megállapodásban az Alapítvány és a további adatkezelők az érintettek számára közös kapcsolattartót jelölnek ki.
4.2. A 3.1. pontban hivatkozott megállapodás lényegét az érintett kérésére rendelkezésére kell bocsátani.
4.3. Az érintett jogait abban az esetben is biztosítani kell, ha az a 3.1. pontban hivatkozott megállapodástól eltérően kívánja azokat gyakorolni.
5. Adatfeldolgozó igénybevétele, adatfeldolgozási szerződés
5.1. Az Alapítvány adatkezelőként csak olyan adatfeldolgozókat vesz igénybe, amelyek megfelelnek az Általános Adatvédelmi Rendelet előírásainak. Az adatfeldolgozási szerződést írásban kell megkötni, és annak eleget kell tennie az e pontban szabályozott tartalmi követelményeknek.
5.2. Az adatfeldolgozási szerződésben ki kell kötni, hogy az adatfeldolgozó további adatfeldolgozót csak az Alapítvány előzetes engedélyével vehet igénybe. Ha az Alapítvány további adatfeldolgozó igénybevételéhez általános jelleggel járul hozzá, az adatfeldolgozási szerződésben ki kell kötni, hogy az igénybe vett további adatfeldolgozó személyének változásáról az adatfeldolgozó az Alapítványt tájékoztatni köteles, a további adatfeldolgozó személyével szemben pedig az Alapítvány kifogást emelhet, melyet adatfeldolgozó köteles figyelembe venni.
5.3. Ha az adatfeldolgozó – az Alapítvány hozzájárulásával – további adatfeldolgozó szolgáltatásait is igénybe veszi, adatfeldolgozó köteles erre a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepíteni, mint amelyek az Alapítvány és az adatfeldolgozó között létrejött szerződésben szerepelnek.
5.4. Az adatfeldolgozási szerződésben rögzíteni kell, hogy az adatfeldolgozó a személyes adatokat kizárólag az Alapítvány írásbeli utasításai alapján kezelheti, beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is. Ha az adatkezelést az adatfeldolgozóra alkalmazandó jogszabály írja elő, az alkalmazandó jogi előírásról az adatfeldolgozó az Alapítványt az adatkezelést megelőzően értesíti, kivéve, ha ezt az adott jogszabály fontos közérdekből tiltja.
5.5. A szerződésben ki kell kötni, hogy a személyes adatokat csak olyan személyek kezelhetik, akik írásban titoktartási kötelezettséget vállaltak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
5.6. A szerződésnek rögzítenie kell, hogy az adatfeldolgozó köteles biztosítani az Általános Adatvédelmi Rendeletben foglalt adatbiztonsági követelményeket.
5.7. A szerződésben ki kell mondani, hogy az adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíteni köteles az Alapítványt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
5.8. A szerződésnek rögzítenie kell azt, hogy az adatfeldolgozó segíti az Alapítványt az adatkezelés biztonságát, az adatvédelmi incidensek hatósági bejelentését, az érintettek az adatvédelmi incidensekről történő tájékoztatását, valamint az adatvédelmi hatásvizsgálatot és előzetes konzultációt illető kötelezettségei gyakorlásában. A szerződésnek ki kell mondania, hogy az adatfeldolgozó köteles a tudomására jutott adatvédelmi incidensről az Alapítványt haladéktalanul tájékoztatni.
5.9. A szerződésnek rögzítenie kell, hogy az adatfeldolgozás befejezését követően az Alapítványt döntése alapján az adatfeldolgozó minden személyes adatot töröl vagy visszajuttat az Alapítványnak, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a magyar jog az személyes adatok tárolását írja elő.
5.10. A szerződésnek rögzítenie kell, hogy az adatfeldolgozó az Alapítvány rendelkezésére köteles bocsátani minden olyan információt, amely az Általános Adatvédelmi Rendeletben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Alapítvány vagy az Alapítvány által megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
5.11. A szerződésnek rögzítenie kell, hogy az adatfeldolgozó haladéktalanul tájékoztatni köteles az Alapítványt, ha úgy véli, hogy annak valamely utasítása sérti ezt az Általános Adatvédelmi Rendeletet, vagy valamely egyéb magyar vagy uniós adatvédelmi rendelkezést.
6. Az adatkezelési és adatfeldolgozási tevékenységek nyilvántartása
6.1. Adatkezeléseiről az Alapítvány nyilvántartást vezet meghatározott tartalommal.
6.2. A nyilvántartások vezetéséért az elnök a felelős. Az Alapítvány munkavállalóinak kötelezettsége a személyes adatkezeléssel vagy adatfeldolgozással kapcsolatos tervezett tevékenységek bejelentése az elnöknek. Az elnök – szükség szerint jogi állásfoglalás beszerzése után – bevezeti a változást az Alapítvány nyilvántartásába.
7. Záró rendelkezések
7.1. Az Alapítvány jelen Szabályzata 2024. március 25. napján lép hatályba határozatlan időtartamra.