+36 30 082 6710 alapitvany@bethesda.hu

A BETHESDA KÓRHÁZ ALAPÍTVÁNY ADATKEZELÉSI TÁJÉKOZTATÓJA

 

A Bethesda Kórház Alapítvány (a továbbiakban: „Adatkezelő”) mint a bka.hu domain néven elérhető  weboldal (a továbbiakban: „Weboldal”) üzemeltetője ezúton teszi közzé a Weboldal és a Weboldalhoz  kapcsolódó szolgáltatások keretében végzett, a Weboldalra látogatók és a Weboldalon elérhető  szolgáltatásokat igénybe vevők (a továbbiakban együttesen Érintett) adatainak kezelésre vonatkozó  szabályokat, adatvédelmi, adatkezelési elveket, valamint az adatkezelésre vonatkozó tájékoztatást. 

Az adatok kezelésével összefüggésben Adatkezelő ezúton tájékoztatja az Érintetteket a Weboldalon  általa kezelt személyes adatokról, a személyes adatok kezelése körében követett elveiről és  gyakorlatáról, valamint az érintettek jogai gyakorlásának módjáról és lehetőségéről. 

Az Érintett a Weboldal használatával elfogadja az Adatkezelési Tájékoztatóban foglaltakat, és  hozzájárul az alábbiakban meghatározott adatkezeléshez.

I. Fogalmak

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó  bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon,  különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a  természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális  azonosságára vonatkozó egy vagy több tényező alapján azonosítható; 

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált  módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés,  tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés  továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy  összekapcsolás, korlátozás, törlés, illetve megsemmisítés; 

„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további  információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét  természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és  technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható  természetes személyekhez ezt a személyes adatot nem lehet kapcsolni; 

„anonimizálás”: olyan személyes adatok, amelyeket olyan módon tettek azonosításra alkalmatlanná,  amelynek következtében az érintett nem vagy többé nem azonosítható. 

„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy  funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek  alapján hozzáférhető; 

„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb  szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt  meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az  adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami  jog is meghatározhatja;

„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely  egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; 

„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv,  akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi  szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban  férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi  szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó  adatvédelmi szabályoknak; 

„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb  szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a  személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok  kezelésére felhatalmazást kaptak; 

„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson  alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést  félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes  adatok kezeléséhez; 

„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt  személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását,  jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; 

„felügyeleti hatóság”: A GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv, mely  Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság. 

„törvényes képviselő”: szülői felügyeletet gyakorló mindkét szülő, szülő felügyeletet egyedül gyakorló  egyik szülő, gyám, gondnok, közokiratban, vagy teljes bizonyító erejű magánokiratban meghatalmazott  személy. A szülői felügyeleti jog fennállását ellenkező bizonyításig az adatkezelő vélelmezi.

II. Adatkezelő adatai

Bethesda Kórház Alapítvány 

Székhelye: 1146 Budapest, Bethesda utca 3. 

Képviseli: Bencze János  

Email címe: alapitvany@bethesda.hu

III. Adatkezelés jogalapja, célja és ideje

Az Érintettek a Weboldalon kétféleképpen adhatnak meg magukról információkat, adatokat: 

  • A Weboldal szolgáltatásainak igénybevétele során önkéntesen megadott, illetve rendelkezésre  bocsátott személyes adatok 
  • A Weboldal használatával összefüggésben az Adatkezelő részére, a Weboldalra látogatással,  annak használatával kapcsolatban rendelkezésre bocsátott információk.

IV. Az adatkezelés céljai

          1. A weboldalak látogatóinak kérdéseire történő válaszadás céljából kezelt személyes adatok

Kezelt adatok köre ebben az esetben: 

  • Név 
  • E-mail cím 
  • Telefon 
  • Üzenet / kérdés 

Adatkezelés időtartama: 
Mindaddig kezeli az Adatkezelő ezen adatokat, ameddig az Érintett nem kéri adatainak a törlését.

Adatkezelés célja: 
A weboldalak látogatóinak kérdéseire történő válaszadás céljából szükséges a kapcsolattartói adatok  megadása. 

Adatkezelés jogalapja: 
Az érintett önkéntes hozzájárulása

        2. Potenciális támogatók és inaktív adományozók személyes adatainak tárolása

Az Alapítvány a GDPR 6. cikk (1) bek. f) pontja alapján a potenciális támogatói (a magánszemélyek és a  cégek kapcsolattartói) nevét és elérhetőségét (telefonszám, e-mailcím) elektronikusan tárolja.  

Ezen a jogalapon tárolja az Alapítvány a korábbi, aktuálisan inaktív támogatói nevét és elérhetőségeit,  illetve a támogatás összegét is.  

Az adatkezelés időtartama 

  • Bankkártyás fizetés: Ezzel összefüggésben az Alapítvány személyes adatait 8 évig őrzi meg. 
  • Potenciális támogatók és inaktív adományozók személyes adatainak tárolása: Ezzel  összefüggésben az Alapítvány személyes adatait 8 évig őrzi meg. 

Adatkezelő a megadott személyes adatokat a fent meghatározott céloktól eltérő célokra nem  használja, illetve használhatja fel. Személyes adatok harmadik személynek vagy hatóságok számára  történő kiadása – hacsak törvény ettől eltérően nem rendelkezik kötelező erővel – az Érintett, előzetes,  kifejezett hozzájárulása esetén lehetséges. 

Minden olyan esetben, ha a szolgáltatott adatokat az Adatkezelő az eredeti adatfelvétel céljától eltérő  célra kívánja felhasználni, erről az Érintettet tájékoztatja, és ehhez előzetes, önkéntes hozzájárulását  beszerzi, illetőleg lehetőséget biztosít számára, hogy a hozzájárulását bármikor visszavonja. Az  Adatkezelő a személyes adatokat a személyes adatok kezelése céljainak eléréséhez szükséges ideig  kezeli. A személyes adatok kezeléséhez adott hozzájárulás bármikor visszavonható, azonban a  hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés  jogszerűségét.

Az adatkezelés alapja lehet:  

a. Hozzájárulás 

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például  írásbeli -ideértve az elektronikus úton tett -, vagy szóbeli nyilatkozattal önkéntes, konkrét,  tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes  adatok kezeléséhez.  

A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre  kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési  célra vonatkozóan meg kell adni. 

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem  érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás  megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű  módon kell lehetővé tenni, mint annak megadását. 

Un. szenzitív személyes adatok (a továbbiakban: különleges adatok) esetén, melynek kezelése  hozzájáruláson alapul, csak és kizárólag az érintett írásbeli, egyértelműen kifejezett akaratot  tartalmazó nyilatkozatát fogadja el hozzájárulásként az Adatkezelő. 

A mindennapi élet un. kisebb jelentőségű ügyleteiben, illetve az ügyintézés megkönnyítése és  meggyorsítása céljából az Adatkezelő az érintett kifejezett hozzájárulásának értékeli a személyes  adatok önként történő megadását. Ilyen pl: telefonszám, e-mail cím megadása kapcsolattartási  adatként; vagy a magánhasználatú e-mail címről történő kapcsolatfelvétel. 

A gyermek hozzájárulására vonatkozó feltételek: 

A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások  vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét  betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése  csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti törvényes képviseleti  jogkört gyakorló személy adta meg, illetve engedélyezte.

b. Szerződés teljesítéséhez szükséges adatkezelés 

Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a  szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

c. Jogi kötelezettség teljesítéséhez szükséges adatkezelés 

Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. 

Ha az adatkezelésre az Adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy  ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az  adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. A  hatályos rendelkezések alapján elegendő azonban, ha egyetlen jogszabály szolgál jogalapul több olyan  adatkezelési művelethez is, amely az Adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve  amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van  szükség. 

Különleges adatok esetében az adatkezelés feltétele továbbá az is, hogy az Adatkezelőnek vagy az  érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése, konkrét jogai gyakorlása érdekében legyen szükséges,  úgy, hogy ezt az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós  vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi.

d. Létfontosságú érdekből történő adatkezelés 

A személyes adatok továbbítása jogszerűnek tekintendő, ha olyan érdek védelméhez szükséges, amely  az érintett vagy valamely más személy létfontosságú érdekeinek – köztük testi épségének vagy életének  – védelme szempontjából bír alapvető fontossággal, és az érintettnek nem áll módjában hozzájárulását  megadni. 

Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre csak akkor  kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés  néhány típusa szolgálhat egyszerre fontos közérdeket (Lsd. 3. e. pont) és az érintett létfontosságú  érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a  járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen  természeti vagy ember által okozott katasztrófák esetében van szükség.

e. Közérdekű adatkezelés 

A népegészség területén közérdekből szükséges lehet a személyes adatok különleges kategóriáinak az  érintett hozzájárulása nélkül történő kezelése. A népegészség fogalmát az alábbiak szerit kell  értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot -beleértve  a morbiditást és a fogyatékosságot -, az egészségi állapotot meghatározó tényezők, az egészségügyi  ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás  nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos  kiadások és finanszírozás, továbbá a halálokok. 

Uniós vagy tagállami jogban megállapított fontos közérdek védelmében a személyes adatok  továbbítása szükséges. Ilyen fontos közérdek például: adó- és vámhatóságok, pénzügyi felügyeleti  hatóságok vagy a társadalombiztosítási ügyekért vagy a népegészségügyért felelős hivatalok közötti  nemzetközi adatcsere, a fertőző betegségek felmerülésének esetekor a fertőzöttekkel való  érintkezések nyomon követése érdekében szükséges adattovábbítások. 

Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai  célból is lehet szükséges uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal,  tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető  jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

f. Un. jogos érdek alapján végzett adatkezelés 

Az Adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely  harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei,  alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való  kapcsolata alapján az érintett észszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor,  amikor releváns és megfelelő kapcsolat áll fenn az érintett és az Adatkezelő között, például olyan  esetekben, amikor az érintett az Adatkezelő alkalmazásában áll. Az Adatkezelő jogos érdekének  tekintendő továbbá az is, ha jelzi a lehetséges bűncselekményeket vagy a közbiztonságot fenyegető  veszélyeket, és az ugyanazon bűncselekményhez vagy közbiztonságot fenyegető veszélyhez  kapcsolódó releváns személyes adatokat egyedi esetekben vagy több különálló esetben továbbítja az  illetékes hatóságnak.

Un. jogos érdek alapján végzett adatkezelés valamint, ha az adatkezelés jogi igények előterjesztéséhez,  érvényesítéséhez, illetve védelméhez legyen szükséges, vagy amikor a bíróságok igazságszolgáltatási  feladatkörükben járnak el. 

Az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, vagyonvédelem  céljából; jogi személyt megillető személyiségi jogok védelmében is adatkezelés valósulhat meg,  amennyiben az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez ez szükséges.  

Az Adatkezelő szolgáltató tevékenysége során a működéséhez kapcsolódó be-, lejelentések  el(ő)készítése érdekében készített összesítések, táblázatok, kivonatok is tartalmazhatnak személyes  adatokat, melyek kezelésének jogalapját a jogos érdek adja.

V. Adatfeldolgozás

 

  • Webtárhellyel kapcsolatos adatfeldolgozás 

Tárhely.Eu Kft. 

Székhely: 1144 Budapest, Ormánság utca 4. X. em. 241. 

Cégjegyzékszám: 01-09-909968  

web: https://tarhely.eu/kapcsolat Tevékenység: tárhely szolgáltató 

Adatkezelő fenntartja a jogot, hogy a jövőben további adatfeldolgozókat vonjon be az adatkezelésbe,  amelyről a jelen Tájékoztató módosításával tájékoztatja az Érintetteket.

  • Hírlevéllel kapcsolatos adatfeldolgozás 

Hírlevélküldéssel összefüggő adatfeldolgozói tevékenység 

Hírlevélküldő rendszert üzemeltető cég neve: The Rocket Science Group LLC. Hírlevélküldő rendszert  üzemeltető cég székhelye: 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA 

Hírlevélküldő rendszert üzemeltető cég e-mail címe: privacy@mailchimp.com Hírlevélküldő rendszert  üzemeltető cég weboldala: mailchimp.com 

Az Adatfeldolgozó az Adatkezelővel kötött szerződés alapján közreműködik a hírlevelek kiküldésében.  Ennek során az Adatfeldolgozó az érintett nevét és e- mail címét a hírlevélküdéshez szükséges  mértékben kezeli.

  • Stripe fizetéssel kapcsolatos adatfeldolgozás 

Bankkártyás adományozással összefüggő adatfeldolgozói tevékenység. 

A fizetési rendszert üzemeltető cég neve: Stripe Payments Europe Ltd. 

A fizetési rendszert üzemeltető cég székhelye: The One Building, 1 Grand Canal Street Lower Dublin 2, Ireland;( továbbiakban:Stripe).

Bankkártyás adományozás esetén kezelt adatok: 

Név: 

Email cím: 

Lakcím: (opcionális): 

Telefonszám (opcionális): 

Bankkártyás fizetési tranzakciónál az adatok megadását és az Adatkezelési tájékoztató elfogadását  követően a bankkártya adatait a Stripe által biztosított integrált felületen szükséges megadni (név,  bankkártya száma, lejárata, CVC kód). 

A Stripe fizetési rendszerben megadott bankkártya adatok az Alapítvány részére nem kerülnek  továbbításra, azokat kizárólag a Stripe kezeli. Az Alapítvány a Stripe által működtetett fizetési  rendszeren megadott adatok kezeléséért nem vállal felelősséget. 

Bankkártyás adományozás során megadott személyes adatokat az Alapítvány a hatályos adatvédelmi tájékoztatóban megadottak szerint kezeli, melyet a bankkártyás fizetéskor az Adományozó kötelezően  megismer és hozzájárul az adatai kezeléséhez. 

A Stripe fizetési rendszerén keresztül az Adományozó számára a fizetés díjmentes. 

Az Alapítvány kizárólag a tranzakció lebonyolításához szükséges személyes adatokról, így az  Adományozó megadott nevéről, címéről, e-mail címéről s telefonszámáról szerez tudomást. Ezek közül  az e-mail címet, nevet és telefonszámot kezeli. Az adatkezelés célja: admányozással összefüggő kapcsolattartás,  köszönetnyilvánítás, tájékoztatás adományozási lehetőségekről. 

Adattovábbítás 

Adatkezelő kifejezett jogszabályi rendelkezés hiányában csak az adott Érintett hozzájárulásával adja át harmadik személyeknek az Érintett azonosítására alkalmas adatokat.

VI. Az érintett jogai

a. Az érintett hozzáférési joga  

Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes  adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a  személyes adatokhoz és kapcsolódó információkhoz hozzáférést kapjon.  

Az Adatkezelőnek az adatkezelés tárgyát képező személyes adatok másolatát az érintett  rendelkezésére kell bocsátania. Az érintett által kért további másolatokért az Adatkezelő az  adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel.

b. A helyesbítéshez való jog  

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá  vonatkozó pontatlan személyes adatokat.  

– Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok  – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését is.

c. A törléshez való jog („az elfeledtetéshez való jog”) 

[A GDPR 17. cikke (3) bekezdése alapján nem alkalmazható abban az esetben, ha az adatkezelés  jogalapját személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog  szerinti kötelezettség teljesítése írja elő, illetve jogi igények előterjesztéséhez, érvényesítéséhez, illetve  védelméhez esetén.] 

  • Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a  rá vonatkozó személyes adatokat,  
  • az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat  indokolatlan késedelem nélkül törölje, ha  
  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más  módon kezelték;  
  • az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs  más jogalapja;  
  • az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az  adatkezelésre,  
  • a személyes adatokat jogellenesen kezelték;  
  • a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi  kötelezettség teljesítéséhez törölni kell;  
  • a személyes adatok gyűjtésére közvetlenül gyermeknek kínált, információs társadalommal  összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

d. Az adatkezelés korlátozásához való jog  

Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak  valamelyike teljesül:  

  • az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra  vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;  
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok  felhasználásának korlátozását;  
  • az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett  igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy  

az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik,  amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett  jogos indokaival szemben.

e. Az adathordozhatósághoz való jog  

[A GDPR 20. cikke (1) bekezdése alapján csak hozzájárulásos és szerződéses jogalap alapján  alkalmazható.] 

– Az érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott  személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja,  továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére  bocsátotta.

– Az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok  adatkezelők közötti közvetlen továbbítását. 

– Ezen jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az  adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat  végrehajtásához szükséges

f. A tiltakozáshoz való jog  

Az érintett saját helyzetével kapcsolatos okokból bármikor tiltakozhat személyes adatainak  közérdekű célból, vagy a jogos érdek érvényesítésén alapuló kezelése ellen.

g. Az érintett tájékoztatása az adatvédelmi incidensről  

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira  és szabadságaira nézve, az Adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az  érintettet az adatvédelmi incidensről. E tájékoztatásban világosan és közérthetően ismertetni kell az  adatvédelmi incidens jellegét, és közölni kell a GDPR 34. cikk (1)-(2) bekezdésében foglaltakat.  

Az érintettet nem kell az tájékoztatni, ha GDPR 34. cikk (3) bekezdésében foglalt feltételek bármelyike  teljesül.

h. Visszavonási jog 

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem  érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

i. Felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog) 

Az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál. Az a felügyeleti hatóság,  amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási  szabályokról.  

 Nemzeti Adatvédelmi és Információszabadság Hatóság 

 székhely (ügyfélszolgálat): 1125 Budapest, Szilágyi Erzsébet fasor 22/C;   postacím: 1530 Budapest Pf. 5;  

 honlap: http://www.naih.hu;  

 telefon: (+36 1) 391 1400;  

 e-mail: ugyfelszolgalat@naih.hu

h. Bírósághoz fordulás joga  

Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben  soron kívül jár el.

VII. A jogérvényesítés módja, határidők

Az Adatkezelő köteles: 

  • Az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíteni,  továbbá
  • Az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet  annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálni és  döntéséről az érintettet írásban, vagy ha az érintett a kérelmet elektronikus úton nyújtotta be,  elektronikus úton értesíti. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek  számát, ez a határidő további két hónappal meghosszabbítható. 
  • Költségeinek megtérítését követelheti az érintettől, ha az érintett Infotv. 15. § (3) bek. a) és b)  pontban foglaltak szerinti ismételt és megalapozatlan kérelmének érvényesítésével összefüggésben  közvetlenül felmerült.

VIII. Adatfeeldolgozók igénybevétele

Az adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb  szerv, amely az adatkezelő nevében személyes adatokat kezel. 

Az Adatkezelő olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy a  jogszabályokban meghatározott követelmények teljesülését biztosító technikai és szervezési  intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.  

Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy  egyéb jogi aktus szabályozza, amely köti adatfeldolgozót az Adatkezelővel szemben, meghatározza az  adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az  érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló  konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot  is.  

Az adatkezelésnek az Adatkezelő nevében való elvégzését követően az adatfeldolgozó az Adatkezelő  választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra  alkalmazandó uniós vagy tagállami jog előírja azok tárolását.

IX. Közös adatkezelések

Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös  adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött  megállapodásban határozzák meg a kötelezettségeik teljesítéséért fennálló, különösen az érintett  jogainak gyakorlásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az  esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk  alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásnak megfelelően tükröznie kell  a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás  lényegét az érintett rendelkezésére kell bocsátani.

X. Az adatkezelés időtartama

A személyes adatok tárolása 

  • uniós, vagy tagállami jogban meghatározott időtartamig, vagy 
  • személyes adatok kezelése céljainak eléréséhez szükséges ideig, vagy

  • a személyes adatok kezeléséhez adott hozzájárulás visszavonásáig, vagy 

  • a személyes adatok megsemmisüléséig, felismerhetetlenné válásáig, vagy

  • irányadó jogszabályokban meghatározott feltétel esetén bekövetkező törlési időpontjáig tart.

XI. Adatvédelmi incidens

a. Az adatvédelmi incidens fogalma 

Az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon  kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását,  jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

b. Az adatvédelmi incidensek fajtái

I. „titoksértés”: személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való  jogosulatlan vagy véletlen hozzáférés; 

II. „sértetlenségi adatsértés”: személyes adatok jogosulatlan vagy véletlen módosítása;  

III. „hozzáférhetőségi adatsértés”: a személyes adatokhoz való hozzáférés véletlen vagy  jogosulatlan elvesztése, vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése. Ezen kör  alá nem tartoznak azon esetek, amikor a személyes adatok tervezett rendszerkarbantartás miatt nem  hozzáférhetőek.

c. Az adatvédelmi incidensek lehetséges következményei 

Hátrányos hatásai lehetnek az egyénekre, ezek a hatások pedig fizikai, vagyoni vagy nem vagyoni  károkhoz vezethetnek. Ilyen kár lehet többek között a személyes adataik feletti rendelkezés elvesztése  vagy a jogaik korlátozása, a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a  személyazonossággal való visszaélés, a pénzügyi veszteség, az álnevesítés engedély nélküli feloldása, a  jó hírnév sérelme, valamint a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas  jellegének sérülése. E körbe tartozik még az egyéneket sújtó egyéb jelentős gazdasági vagy szociális  hátrány is.

d. Az Adatkezelő felelőssége 

– nyilvántartás vezetési kötelezettség 

– indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi  incidens a tudomására jutott, bejelenti azt az illetékes felügyeleti hatóságnak, kivéve, ha az  adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és  szabadságaira nézve 

– tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően  magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, kivéve a GDPR 34, cikk  (3) bekezdése szerinti esetekben 

– megfelelő technológiai védelmi és szervezési intézkedéseket tesz meg.

XII. Biztonsági rendelkezések

Az Adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak biztosítása  és bizonyítása céljából, hogy a személyes adatok kezelése a vonatkozó jogszabályokkal összhangban  történjen. A megfelelő intézkedések körét a tudomány és a technológia állása, a megvalósítás  költségei, az adatkezelés jellege, hatóköre és körülményei, valamint a kapcsolódó kockázatok köre, és  az adott szervezet sajátosságai határozzák meg. Az személyes adatok biztonságának biztosítására vonatkozó részletes szabályokat az Adatkezelő adatbiztonságra vonatkozó szabályzata, illetve  eljárásrendjei határozzák meg.

XIII. Felelősségi szabályok

Az Adatkezelő feladatai, kötelezettségei: 

  • a személyes adatokat tartalmazó információk bizalmasságának, sértetlenségének és  rendelkezésre állásának megőrzése; 
  • megfelelő technikai és szervezési intézkedések végrehajtása, amelyek célja egyrészt az  adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az irányadó  szabályozásokban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez  szükséges garanciák beépítése az adatkezelés folyamatába; 
  • az elszámoltathatóság elvének történő megfelelés, 
  • adatkezelési tevékenységekről nyilvántartás vezetése 
  • adatkezelési incidensek bejelentése, nyilvántartásának vezetése 
  • nyilvántartás vezetése az érintett hozzáférési jogával kapcsolatos intézkedésekről • adatvédelmi hatásvizsgálat a GDPR 35. cikke alapján 
  • biztosítani az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési  oktatását;  
  • adatvédelmi tisztviselőt kijelölni, továbbá biztosítani köteles számára azokat az forrásokat,  amelyek az adatvédelmi tisztviselő feladatai végrehajtásához, a személyes adatokhoz és az  adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű  ismereteinek fenntartásához szükségesek.

XIV. Adatvédelmi tisztviselő

Az adatvédelmi tisztviselő elősegíti az Adatkezelő – a személyes adatok kezelésére vonatkozó jogi  előírásokban meghatározott – kötelezettségeinek teljesítését, így különösen 

– a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és  azok érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok  által foglalkoztatott, az adatkezelési műveleteket végző személyek részére; 

– folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi  előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok  érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű  feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi  ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó  vizsgálatok megvalósulását; 

– elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek  panaszait és kezdeményezi az adatkezelőnél, illetve az adatfeldolgozónál a panasz orvoslásához  szükséges intézkedések megtételét,

– szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat  lefolytatását,

– együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult  szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció és a  Hatóság által lefolytatott eljárások elősegítése érdekében, 

– közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában. 

Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként  megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot,  minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak  minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó  Adatkezelő nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni. 

Az adatvédelmi tisztviselő feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el. Az  Adatkezelő az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és  szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az Adatkezelő legfelső vezetésének  tartozik felelősséggel. 

Az Adatkezelő adatvédelmi tisztviselője elérhető: 1146 Budapest, Bethesda utca 3. szám alatt, illetve  az alapitvany@bethesda.hu e-mail címen.