​​​

T h i n k   w i s e . S h a r e   s m a r t .​​​​

​​​A ​​SHARITY MOBILE APPLICATION​​

​​​ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG​​​​

​​​Adatkezelési Szabályzata​​

Jóváhagyás

Módosítási jegyzék

Dokumentum felülvizsgálata

Tartalomjegyzék

1.    A Szabályzat célja

2.    A szabályzat hatálya

2.1.     Tárgyi hatály

2.2.     Időbeli hatály

2.3.     Személyi hatály

3.    A Szabályzat elérhetősége

4.    Fogalmak, rövidítések

5.    Általános szabályok

5.1.     Az adatkezelés alapelvei

5.1.1.   Jogszerűség, tisztesség, átláthatóság

5.1.2.   Célhoz kötöttség

5.1.3.   Adattakarékosság

5.1.4.   Pontosság

5.1.5.   Korlátozott tárolhatóság

5.1.6.   Integritás és bizalmas jelleg

5.2.     Az adatkezelés jogalapjai

5.2.1.   Hozzájárulás

5.2.2.   Szerződés

5.2.3.   Jogi kötelezettség

5.2.4.   Létfontosságú érdek

5.2.5.   Közérdek

5.2.6.   Jogos érdek

5.3.     Különleges adatok

5.4.     Az érintettek jogai

5.4.1.   Általános előírások

5.4.2.   Tájékoztatás

5.4.3.   Hozzáféréshez való jog

5.4.4.   Helyesbítéshez való jog

5.4.5.   Törléshez való jog

5.4.6.   Az adatkezelés korlátozásához való jog

5.4.7.   Tiltakozáshoz való jog

5.5.     Automatizált döntéshozatal és profilalkotás

5.6.     Adatkezelések nyilvántartása

5.7.     Adatvédelmi incidensek

5.8.     Hatásvizsgálat és előzetes konzultáció

5.9.     Adattovábbítás

5.9.1. Az Európai Gazdasági Térségen belül

5.9.2. Az Európai Gazdasági Térségen kívül

6.    A Társaságra vonatkozó részletes szabályok

6.1.     Felelősségi körök, szerepek

6.1.1. Igazgatóság tagjai

6.1.2. Munkavállalók, egyéb foglalkoztatottak

6.1.3. Adatvédelmi tisztviselő

6.2.     A Társaság adatkezelései

6.2.1.   Általános szabályok, adattárolás, adatbiztonság

6.2.2.   Foglalkoztatotti jogviszony

6.2.3.   Adományozással kapcsolatos adatkezelések

6.2.4.   Ügyfelekkel kapcsolatos adatkezelések

6.2.5.   Online kommunikációval kapcsolatos adatkezelések:

6.3.     Oktatás

1.       A Szabályzat célja

A Szabályzat célja, hogy meghatározza a Sharity Mobile Application Zrt.-nek​​ (a továbbiakban: Adatkezelő, Társaság, Sharity) a munkavállalói és egyéb, általa foglalkoztatott személyek, partnerei, ügyfelei, szolgáltatásának felhasználói és egyéb érintettek (a továbbiakban együtt: érintettek) személyes adatainak kezelése során milyen adatvédelmi intézkedéseket kell betartania annak érdekében, hogy a személyes adatok kezelése a vonatkozó jogszabályi rendelkezéseknek – így különösen a GDPR[1] és az Infotv.[2] rendelkezéseinek –, valamint a hatósági és bírósági gyakorlatnak megfeleljen.

2.       A szabályzat hatálya

2.1.          Tárgyi hatály

A Szabályzat minden, a Sharity által végzett olyan műveletre vagy műveletsorra vonatkozik, amelyet a természetes személyekre vonatkozó személyes adatokon vagy adatállományokon elvégeznek, akár automatizált módszerrel, akár nem, így különösen a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

A Szabályzat hatálya a jogi személyek, illetve a jogi személyeknek nem minősülő egyéb szervezetek adatainak kezelésére nem terjed ki. 

2.2.          Időbeli hatály

Jelen Szabályzat kiadástól számítva visszavonásáig érvényes.

2.3.          Személyi hatály

A Szabályzat rendelkezéseit be kell tartania a Társaságnál dolgozó minden munkatársnak (foglalkoztatási jogviszony fajtájától függetlenül), és ennek megfelelően kell eljárni a Társasággal létrejött valamennyi szerződéses kapcsolat vonatkozásában.

3.       A Szabályzat elérhetősége

A jelen Szabályzatot a Sharity Igazgatósága hagyja jóvá és tárolja. A Szabályzat valamennyi foglalkoztatott számára elérhető a munka céljából velük megosztott közös Google Drive felületen.

4.       Fogalmak, rövidítések

5.       Általános szabályok

5.1.          Az adatkezelés alapelvei

Az adatkezelés alapelvei a GDPR 5. cikkében meghatározott olyan alapvető követelmények, melyeket valamennyi adatkezelés megkezdése előtt alaposan mérlegelni kell, és valamennyi adatkezelés során maradéktalanul be kell tartani.

5.1.1.               Jogszerűség, tisztesség, átláthatóság

5.1.1.1. A személyes adatok kezelését jogszerűen, tisztességesen és az érintett számára átlátható módon kell végezni.

5.1.2.               Célhoz kötöttség

5.1.2.1. A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és az adatokat nem szabad ezekkel a célokkal össze nem egyeztethető célból használni.

5.1.2.2. Az eredeti céllal összeegyeztethetőnek minősül, ha a további adatkezelés célja közérdekű archiválás, tudományos és történelmi kutatás vagy statisztikai célok.

5.1.3.               Adattakarékosság

5.1.3.1. Az adatkezelésnek az adatkezelés céljai szempontjából megfelelőnek és relevánsak kell lennie, és a feldolgozás céljához szükségesre kell korlátozódnia.

5.1.4.               Pontosság

5.1.4.1. A személyes adatoknak pontosnak és naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy a pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

5.1.5.               Korlátozott tárolhatóság

5.1.5.1. A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

5.1.5.2. A személyes adatok ennél hosszabb ideig történő tárolására csak közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerülhet sor.

5.1.6.               Integritás és bizalmas jelleg

5.1.6.1. A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

5.2.          Az adatkezelés jogalapjai

5.2.1. A Sharity által végzett valamennyi adatkezelés kizárólag akkor jogszerű, ha a GDPR 6. cikke által felsorolt jogalapok legalább valamelyike érvényesül. Az adatkezelés érvényes jogalap hiányában nem kezdhető meg, és csak addig folytatható, amíg legalább egy érvényes jogalap fennáll.

5.2.1.               Hozzájárulás

5.2.1.1. Személyes adat jogszerűen kezelhető, ha az érintett – érvényesen – hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.

5.2.1.2. Az érvényes hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. A hallgatás, az előre bejelölt négyzet, vagy a nem cselekvés ezért nem minősül hozzájárulásnak. 

5.2.1.3. Az érintett jogosult arra, hogy hozzájárulását – ugyanolyan egyszerű módon, mint ahogyan azt megadta – bármikor visszavonja. A hozzájárulás megadása előtt az érintettet a visszavonás jogáról tájékoztatni kell.

5.2.1.4. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét, azonban hozzájárulás visszavonása esetén – egyéb más érvényes jogalap hiányában – a személyes adatok nem kezelhetőek tovább.

5.2.1.5. Ha az adatkezelés hozzájáruláson alapul, a Társaságnak képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Ennek érdekében minden hozzájárulást elsősorban írásban, és ha ez nem lehetséges, más, dokumentált módon kell beszerezni az érintettektől.

5.2.2.               Szerződés

5.2.2.1. Személyes adat jogszerűen kezelhető, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A szerződés jogalap csak a Társasággal szerződő fél, a Társasággal szerződő fél által képviselt személy, vagy a szerződés kedvezményezettje adatainak kezelése esetén hivatkozható.

5.2.3.               Jogi kötelezettség

5.2.3.1. Személyes adat jogszerűen kezelhető, ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. E jogalap csak akkor hivatkozható, ha a jogszabály kötelezettséget ír elő, pusztán lehetőség megteremtése esetén egyéb jogalapot kell alkalmazni.

5.2.3.2. Ha az adatkezelés jogalapja jogi kötelezettség, pontosan meg kell jelölni a kötelezést előíró jogszabályi rendelkezést.

5.2.3.3. Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelés megkezdésétől legalább háromévente felül kell vizsgálni, hogy a személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e.

5.2.4.               Létfontosságú érdek

5.2.4.1. Személyes adat jogszerűen kezelhető, ha az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

5.2.5.               Közérdek

5.2.5.1. Személyes adat jogszerűen kezelhető, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

5.2.6.               Jogos érdek

5.2.6.1. Személyes adat jogszerűen kezelhető, ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

5.2.6.2. Jogos érdek jogalapra hivatkozás esetén az adatkezelés megkezdése előtt érdekmérlegelési tesztet kell készíteni. Az érdekmérlegelési teszt készítését az Adatvédelmi tisztviselő koordinálja, a tevékenységben érintett foglalkoztatottak együttműködnek, az Igazgatóság tagja jóváhagyja.

5.2.6.3. Az érdekmérlegelési teszt egy több lépcsős folyamat, melynek során azonosítani szükséges az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező érintettek érdekeit, alapjogait, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat. Adatkezelő az alábbi szempontokat vizsgálja és dokumentálja az érdekmérlegelés során:

5.2.6.3.1.  Adatkezelési tevékenység bemutatása:

1. a) Az adatkezelés céljának bemutatása
2. b) Az érdek jogszerűségének igazolása, a jogos érdek bemutatása
3. c) Az adatkezelés szükségessége

5.2.6.3.2. Az adatkezelés hatásainak és körülményeinek bemutatása:

1. a) Az adatkezelés során az alapelvek érvényre jutásának vizsgálata
2. b) Érintettre gyakorolt hatások
3. c) Érintett helyzetének vizsgálata
4. d) Érintetti jogok vizsgálata

5.2.6.3.3. Adatbiztonság bemutatása:

1. a) Biztonsági intézkedések az adatkezelésre vonatkozóan

5.2.6.3.4. Az érdekmérlegelés eredménye:

1. a) A jogos érdek igazolhatósága
2. b) Az érdekmérlegelési teszt elkészítésének ideje

5.3.          Különleges adatok

5.3.1. A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (a továbbiakban együtt: különleges adatok) kezelése tilos, kivéve az 5.3.2. pontban felsorolt esetekben.

5.3.2. A különleges adatok kizárólag az alábbi – GDPR 9. cikke szerinti – esetekben kezelhetőek jogszerűen:

5.3.3. Különleges adatok kezelése esetén a GDPR 6. cikk szerinti (e Szabályzat 5.2. pontja szerinti) jogalapok mellett szükséges megjelölni egy, a GDPR 9. cikke szerinti (e Szabályzat 5.3. pontja szerinti) jogalapot is.

5.3.4. Különleges adatok kezelését megelőzően konzultálni kell az Adatvédelmi tisztviselővel annak érdekében, hogy a többletgaranciák érvényesülését meg tudja vizsgálni.

5.4.          Az érintettek jogai

5.4.1.               Általános előírások

5.4.1.1. Az érintettek jogaival kapcsolatos minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, különösen a gyermekeknek címzett bármely információ esetében.

5.4.1.2. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

5.4.1.3. Ha az érintett nem azonosítható, fel kell hívni személyének azonosítására. Az érintetti kérelmek teljesítését nem lehet megtagadni, kivéve, ha a Társaság bizonyítja, hogy az érintettet – erre irányuló felhívás ellenére – nem áll módjában azonosítani. Az érintetti kérelmek teljesítésének megtagadása előtt az Adatvédelmi tisztviselő véleményét ki kell kérni.

5.4.1.4.   Az érintetti kérelmeket a kérelem beérkezésétől számított egy hónapon belül kell megválaszolni, illetve meghozni a kért intézkedést. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A kérelem meghosszabbításáról – az Adatvédelmi tisztviselő véleményének kikérésével – az Igazgatóság tagja hozhat döntést. A határidő meghosszabbításáról a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatni kell az érintettet.

5.4.1.5.   Ha a Társaság nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatnia kell az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

5.4.1.6.   Az érintetti jogok gyakorlását díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre észszerű összegű díj számítható fel, vagy megtagadható az intézkedés. A feltámított díj összegéről az Adatvédelmi tisztviselő véleményének kikérését követően az Igazgatóság dönt.

5.4.1.7. A Társaság bármely foglalkoztatottjához vagy az Igazgatóság tagjához érkezett érintetti kérelmeket haladéktalanul továbbítani kell az Adatvédelmi tisztviselőnek.

5.4.1.8. Az érintetti kérelmeket a kérelmet megfogalmazó szándéka, és nem a kérelem pontos tartalma alapján kell megítélni. Kétség esetén az érintettet fel kell hívni kérelme pontosítására.

5.4.1.9. Az érintettek kérelme nyomán hozott intézkedést és a válaszlevelet az Adatvédelmi tisztviselő készíti elő, és – megállapodás szerint – az Adatvédelmi tisztviselő vagy az Igazgatóság tagja továbbítja az érintett felé. Az érintetti kérelmek kezelésében minden, a kérdéses tevékenységet végző munkatárs együttműködik.

5.4.2.               Tájékoztatás

5.4.2.1. Az érintetteket írásos formában elkészített adatkezelési tájékoztató rendelkezésre bocsátásával kell tájékoztatni az alábbi információkról:

5.4.3.1. Az adatkezelési tájékoztatót az Adatvédelmi tisztviselő készíti el, amiben az adott tevékenységet végző foglalkoztatottak közreműködnek. Az Adatvédelmi tisztviselő javaslatot tesz a tájékoztató rendelkezésre bocsátásának módjára, az adott helyzetben megfelelő tájékoztatási gyakorlatra.

5.4.3.               Hozzáféréshez való jog

5.4.3.1. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az adatkezelésre vonatkozó legfontosabb, GDPR által megjelölt információkhoz hozzáférést kapjon.

5.4.3.2. Hozzáférési kérelemnek kell minősíteni tartalma alapján minden olyan kérelmet, amelyben az érintett rá vonatkozó adatokat szeretne megismerni, függetlenül attól, hogy a személyes adat, hozzáférési kérelem vagy GDPR szó ténylegesen szerepel-e a kérelmében. Az ilyen kérelmeket haladéktalanul továbbítani kell az Adatvédelmi tisztviselőnek.

5.4.3.3. Erre irányuló kérelem esetén az érintett rendelkezésére kell bocsátani az adatkezelés tárgyát képező személyes adatok másolatát. A másolat kiadásához való jog nem érintheti hátrányosan mások jogait és szabadságait, így a további érintettekre vonatkozó adatokat a másolatból lehetőség szerint ki kell takarni.

5.4.3.3. Az adatokról készült másolatot első alkalommal ingyenesen kell rendelkezésre bocsátani, míg az érintett által kért további másolatokért az adminisztratív költségeken alapuló, észszerű mértékű díj számítható fel. A díj összegéről – az Adatvédelmi tisztviselő véleményének kikérése mellett – az Igazgatóság tagja hoz döntést.

5.4.4.               Helyesbítéshez való jog

5.4.4.1. Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Az adatok pontosságának biztosítása emellett a Társaságnak az érintett kérelmétől függetlenül is fennálló kötelezettsége.

5.4.4.2. Ha a Társasághoz helyesbítési kérelem érkezik, a kérelem kezelése mellett meg kell vizsgálni, hogy történt-e adatvédelmi incidens, ami az adatok megváltoztatását okozta.

5.4.5.               Törléshez való jog

5.4.5.1. Az érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, és az adatkezelőnek – az 5.4.5.2. pontban felsoroltakon kívüli esetekben – kötelessége a személyes adatokat indokolatlan késedelem nélkül törölni.

5.4.5.2. A Társaság nem köteles eleget tenni a törlési kérelemnek, ha az adatkezelés szükséges:

1. a) véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából,
2. b) személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése céljából (pl. adózás),
3. c) népegészségügy területét érintő közérdekű célból,
4. d) közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, vagy
5. e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

5.4.6.               Az adatkezelés korlátozásához való jog

5.4.6.1. Az érintett – amennyiben az adatkezelés hozzájáruláson alapul és automatizált módon történik – jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt a Társaság akadályozná. E jog nem érintheti hátrányosan mások jogait és szabadságait.

5.4.7.               Tiltakozáshoz való jog

5.4.7.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a feldolgozása ellen, beleértve a profilalkotást is. Az érintett e kérelmét nem köteles indokolni. Ebben az esetben a Társaság nem folytatja a személyes adatok kezelését, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Az érdekek elsőbbségének mérgelése, megállapítása során az Adatvédelmi tisztviselő véleményét figyelembe kell venni.

5.4.7.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.  Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők, nincs helye mérlegelésnek.

5.4.7.2. A tiltakozás jogára az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen, és minden más információtól elkülönítve kell megjeleníteni. A tiltakozás jogáról való tájékoztatás emellett az adatkezelési tájékoztató elengedhetetlen eleme.

5.5.          Automatizált döntéshozatal és profilalkotás

5.5.1. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

5.5.2. E tilalom nem alkalmazandó az alábbi esetekben:

1. a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
2. b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
3. c) az érintett kifejezett hozzájárulásán alapul.

5.6.          Adatkezelések nyilvántartása

5.6.1. A Társaság az általa végzett adatkezelésekről nyilvántartást vezet, amely nyilvántartás tartalmazza az alábbiakat:

1. a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
2. b) az adatkezelés céljai;
3. c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
4. d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
5. e) a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, a megfelelő garanciák leírását;
6. f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
7. g) ha lehetséges, a technikai és szervezési intézkedések általános leírása.

5.6.2. Az Adatvédelmi tisztviselő koordinálja az adatkezelések nyilvántartásának naprakész vezetését, amiben az adatkezelési tevékenységet végző munkatársak, foglalkoztatottak közreműködnek.

5.6.3. A Társaság foglalkoztatottja a feladatába tartozó személyes adatkezeléssel járó tevékenység megkezdése előtt köteles megkeresni az Adatvédelmi tisztviselőt, hogy a tevékenységet az Adatvédelmi tisztviselő az adatkezelések nyilvántartásába rögzíteni tudja.

5.6.4. Az Adatvédelmi tisztviselő az adatkezelések nyilvántartását évente felülvizsgálja. A felülvizsgálatban az érintett foglalkoztatottak kötelesek közreműködni.

5.7.          Adatvédelmi incidensek

5.7.1. Ha egy alkalmazott a Társaság kezelésében lévő személyes adatokkal kapcsolatos adatvédelmi incidenst észlel, azt haladéktalanul jelentenie kell – közvetlenül vagy munkahelyi vezetőjén keresztül – az Adatvédelmi tisztviselőnek, megadva az észlelés módját, az észlelő nevét és munkahelyi elérhetőségét, valamint az incidens leírását: ide értve lehetőség szerint az érintettek kategóriáit, az érintettek számát, a személyes adatok számát és jellegét, a hiba okát. A bejelentő az incidens kivizsgálásához tartozó minden olyan információt köteles közölni az Adatvédelmi tisztviselővel, ami annak kivizsgálását elősegíti.

5.7.2. Minden adatvédelmi incidenst – függetlenül annak kockázati besorolásától – nyilvántartásba kell venni. Az incidensnyilvántartást az Adatvédelmi tisztviselő vezeti. Az incidensnyilvántartásban rögzíteni kell az adatvédelmi incidenshez kapcsolódó tényeket (adatvédelmi incidens időpontja és oka, észlelés módja és időpontja, érintettek személye/kategóriái és száma, érintett személyes adatok és azok hozzávetőleges száma, érintett IT rendszerek), annak hatásait és az orvoslására tett intézkedéseket.

5.7.2. Az Adatvédelmi tisztviselő összegzést készít az adatvédelmi incidens várható hatásairól és cselekvési tervet készít a következményeinek enyhítése érdekében. Az adatvédelmi incidensek kivizsgálását az Adatvédelmi tisztviselő koordinálja, akivel a Társaság minden foglalkoztatottja, valamint Igazgatósági tagja köteles együttműködni.  A vizsgálatot legkésőbb az adatvédelmi tisztviselőhöz érkezéstől számított három munkanapon belül be kell fejezni, és a vizsgálat eredményéről az Adatvédelmi tisztviselő tájékoztatja a Társaság Igazgatóságát.

5.7.3. Az adatvédelmi incidenst a Társaság indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az adatvédelmi incidens bejelentését az Adatvédelmi tisztviselő intézi.

5.7.4. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket és az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Az érintettek tájékoztatásáról, annak módjáról az Adatvédelmi tisztviselő és az Igazgatóság közösen hoz döntést.

5.7.5. Az érintettet magas kockázattal járó adatvédelmi incidens esetén sem kell tájékoztatni az adatvédelmi incidensről, ha a következő feltételek bármelyike teljesül:

1. a) a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása-, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
2. b) a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
3. c) tájékoztatás aránytalan erőfeszítést tenne szükségessé.

5.8.          Hatásvizsgálat és előzetes konzultáció

5.8.1. Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a Társaság az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

5.8.2. Hatásvizsgálatot kell végezni különösen – de nem kizárólagosan – az alábbi esetekben:

1. a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
2. b) személyes adatok különleges kategóriái, vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése;
3. c) nyilvános helyek nagymértékű, módszeres megfigyelése.

5.8.3. A hatásvizsgálatban legalább az alábbiakat kell rögzíteni:

1. a) a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetése, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
2. b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
3. c) az érintett jogait és szabadságait érintő kockázatok vizsgálata;
4. d) a kockázatok kezelését célzó intézkedések bemutatása, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

5.8.3. A hatásvizsgálat elkészítését az Adatvédelmi tisztviselő koordinálja és az Igazgatóság hagyja jóvá. Az elkészítés során a Társaság valamennyi – az adott tevékenységben érintett – alkalmazottja, foglalkoztatottja köteles együttműködni.

5.8.4. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés a Társaság által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal. Az előzetes konzultációt az Adatvédelmi tisztviselő koordinálja.

5.9.          Adattovábbítás

5.9.1. Az Európai Gazdasági Térségen belül

5.9.1.1. Amennyiben a Társaság tőle külön álló személynek, szervezetnek személyes adatokat továbbít, meg kell vizsgálni a felek adatkezelésben betöltött szerepét.

5.9.1.2. Ha a Társaság nevében valamely adatkezelési műveletet harmadik személy végez, a felek között adatkezelő – adatfeldolgozó viszony áll fenn, ezért minden esetben adatfeldolgozói megállapodást kell kötni írásban. Az adatfeldolgozói megállapodásban rögzíteni kell különösen a felek szerepét, az adatfeldolgozó által végzett műveleteket, az érintett adatkört, az adatfeldolgozás célját és időtartamát, a felek jogait és kötelezettségeit, valamint az adatfeldolgozó által vállalt adatbiztonsági garanciákat.

5.9.1.3. Ha a Társaság egy harmadik személlyel együttesen vagy összehangolva határozza meg az adatkezelés célját és módját, köztük közös adatkezelői viszony létesül, amelynek legfontosabb körülményeit (így különsen a felek által végzett adatkezelési műveleteket, a felek jogait és kötelezettségeit, felelősségük megoszlását a tájékoztatás nyújtása, az érintetti jogok biztosítsa és az incidenskezelés során) közös adatkezelői megállapodásban kell rögzíteni.

5.9.1.4. Ha a Társaság egy harmadik személynek olyan módon továbbít személyes adatokat, hogy e harmadik személy a Társaságtól teljesen független célokra használja fel a személyes adatokat, amelyek céljáról és módjáról önállóan dönt, a felek önálló adatkezelőnek minősülnek. Ilyen esetben az Adatvédelmi tisztviselő mérlegelésétől függ, hogy szükséges-e önálló adatkezelők közötti adatátadási megállapodást kötni.

5.9.2. Az Európai Gazdasági Térségen kívül

5.9.2.1. A Társaság személyes adatokat az Európai Gazdasági Térségen kívülre (a továbbiakban: harmadik országba) csak akkor továbbíthat, ha az 5.9.1. ponton felül valamely, a GDPR V. fejezetében foglalt garancia is fennáll (pl. kötelező erejű vállalati szabályok, általános adatvédelmi kikötések, Európai Bizottság megfelelőségi határozata).

5.9.2.2. Harmadik országba való adattovábbítás esetén az adattovábbításra irányuló szerződéskötés előtt be kell vonni az Adatvédelmi tisztviselőt, hogy meggyőződhessen arról, hogy a GDPR V. fejezetben foglalt valamely feltétel érvényesül.

6.       A Társaságra vonatkozó részletes szabályok

6.1.          Felelősségi körök, szerepek

6.1.1. Igazgatóság tagjai

• – az Adatvédelmi tisztviselő véleményének kikérését követően – döntést hoznak a személyes adatok kezelését érintő kérdésekben;
• biztosítja(ák), hogy az Adatvédelmi tisztviselő bevonásra kerüljön valamennyi személyes adatok kezelését érintő ügybe;
• felelős(ek) az érintetteknek a GDPR-ban, illetve az Info tv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
• felelős(ek) a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
• felelős(ek) az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
• felügyeli(k) az Adatvédelmi tisztviselő tevekénységét;
• vizsgálatot rendelhet(nek) el;
• kiadja(ák) a Társaság adatvédelemmel, adatbiztonsággal kapcsolatos belső szabályait és utasításait, és egyéb dokumentumait;
• különösen súlyos törvénysértés esetén a munkajogi szabályok alapján fegyelmi eljárást indít(anak) a személyes adatot jogszabálysértő módon kezelő személy ellen.

6.1.2. Munkavállalók, egyéb foglalkoztatottak

• kötelesek a jelen Szabályzat előírásai szerint kezelni a személyes adatokat;
• együttműködnek az Adatvédelmi tisztviselővel a személyes adatokat érintő kérdésekben, az adatvédelmi tisztviselő kérésre információt szolgáltatnak az általuk végzett tevékenységekről;
• új, adatkezeléssel is járó tevékenység bevezetése esetén előzetesen egyeztetnek a felettesükkel és az Adatvédelmi tisztviselővel a személyes adatok kezelését érintő ügyekben;
• a tudomásukra jutott adatkezeléssel kapcsolatos jogsértésekről – ide értve az adatvédelmi incidenseket – haladéktalanul tájékoztatják a felettesüket és az Adatvédelmi tisztviselőt;
• részt vesznek az adatvédelmi oktatáson.

6.1.3. Adatvédelmi tisztviselő

• szakmai állásfoglalásával, véleményével támogatja a Társaságot valamennyi személyes adatok kezelését érintő kérdésben;
• elkészíti a Társaság Adatvédelmi Szabályzatát, és folyamatosan ellenőrzi, illetve figyelemmel kíséri az abban foglaltak betartását;
• véleményezi a Társaság által kiadandó szabályzatok azon részeit, amelyek adatvédelmi kérdést érintenek;
• közreműködi a Társaság szerződéskötései során, előkészíti az adatkezelési megállapodásokat;
• figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, és ezek alapján indokolt esetben kezdeményezi a jelen Szabályzat és a Társaság tevékenységének módosítását;
• közreműködik az adatkezeléssel összefüggő döntések meghozatalában;
• segítséget nyújt az adatvédelmi nyilvántartás vezetéséhez;
• kivizsgálja és kezeli a hozzá beérkezett adatvédelmi panaszokat, bejelentéseket, érintetti kérelmeket, felügyeli a külső szervezetektől érkező személyes adatokat érintő megkeresések teljesítését;
• jogosulatlan adatkezelés vagy annak veszélyének észlelése esetén annak megszüntetésére hívja fel a Társaságot vagy az Adatfeldolgozót, javaslatot tesz a jogszerű intézkedésekre;
• nyilvántartja és kezeli az adatvédelmi incidenseket (ideértve a hatósághoz való bejelentést, valamint az érintettek tájékoztatását);
• szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan; valamint nyomon követi a hatásvizsgálat GDPR 35. cikk szerinti elvégzését;
• gondoskodik az adatvédelmi ismeretek oktatásáról, szükség esetén felvilágosítást nyújt a Társaság foglalkoztatottjai számára adatvédelmi kérdésekben;
• együttműködik a felügyeleti hatósággal, az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele;
• beszámol a Társaság Igazgatóságának az adatvédelemmel összefüggő témákban; minden év január 15. napjáig jelentést készít az Igazgatóság részére adatvédelmi feladatainak végrehajtásáról.

A Társaság az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja.

6.2.          A Társaság adatkezelései

6.2.1.               Általános szabályok, adattárolás, adatbiztonság

6.2.1.1. A Társaság aktuális adatkezeléseit részletesen a pontos és naprakész Adatkezelések nyilvántartása tartalmazza.

6.2.1.2. A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek ne férhessenek hozzá. Az iratokat, dokumentumokat jól zárható, a biztonsági előírásoknak megfelelő helyiségben helyezik el, a zárható szekrényekben tárolt iratokhoz való hozzájutás korlátozott, így a folyamatos és aktív kezelésben lévő iratokhoz csak az arra – feladat- vagy munkavégzése, illetve munkaköre alapján – illetékesek férhetnek hozzá. Az Igazgatóságá tagjai  személyes adatok teljes köréhez korlátlan hozzáférési jogosultsággal rendelkeznek.

6.2.1.3. A Sharity valamennyi foglalkoztatottja köteles a rájuk bízott, illetve tudomásukra jutott személyes adatokat időbeli korlátozás nélkül – tehát a foglalkoztatotti jogviszony megszűnését követően is – megőrizni.

6.2.1.4. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani.

6.2.1.5. Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve, ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie. Elektronikus adathordozók (merevlemezek, optikai adathordozók, mágneses adathordozók, nyomtatók, multifunkciós gépek háttértárai, flash (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, PDA-k, Tablet-ek, laptopok stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni, illetve selejtezni.

6.2.1.6. A Társaság, mint adatkezelő gondoskodik a személyes adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az GDPR, az Infotv., valamint az egyéb adatvédelmi szabályok érvényre juttatásához szükségesek.

6.2.2.               Foglalkoztatotti jogviszony

6.2.2.1. A Társaság a foglalkoztatotti jogviszonyban (munkajogviszony, megbízási, vállalkozási jogviszony) álló személyek kapcsán az alábbi körökben végez adatkezelést:

1. a) álláspályázatok útján begyűjtött és kezelt adatok,
2. b) munkajogviszony létesítése, fennállása és megszűnése során, a munkaviszonnyal összefüggésben kezelt adatok,
3. c) megbízási, vállalkozási jogviszonyban foglalkoztatottak adatainak kezelése.

6.2.2.2. A benyújtott álláspályázatokat a kiírt pozíció betöltését követő 6 hónapon belül törli a Társaság, kivéve, ha a pályázat megőrzéséhez a pályázó hozzájárult.

6.2.2.3. A munkaviszonnyal kapcsolatos, nyugdíj kiszámításához szükséges személyes adatokat a Társaság a nyugdíjkorhatár betöltését követő öt évig köteles megőrizni.

6.2.2.4. A munkaviszonnyal kapcsolatos, nyugdíj kiszámításához nem szükséges személyes adatokat a Társaság a munkajogi elévülési szabályoknak megfelelően három évig őrzi meg, kivéve, ha a személyes adatok megőrzését más jogalap eltérő időre teszi lehetővé.

6.2.2.5. A foglalkoztatotti jogviszonyhoz kapcsolódó iratokat a Társaság papíralapon tárolja a székhelyén.

6.2.3.               Adományozással kapcsolatos adatkezelések

6.2.3.1. A Társaság az adományozással kapcsolatban az alábbi körökben végez adatkezelést:

1. a) kedvezményezettek (és törvényes képviselőik) adatainak kezelése – ideértve a kedvezményezettek különlegesnek minősülő személyes adatait is,
2. b) kedvezményezetteket támogató civil szervezetek képviselőinek, kapcsolattartóinak a kampányok lefolytatásához szükséges adatainak kezelése,
3. c) támogatók adatainak kezelése.

6.2.3.2. A Társaság az adományozással kapcsolatos dokumentumokat, adatokat elektronikus formában tárolja.

6.2.3.3. A Társaság a szerződéses kapcsolatban kibocsátott számla esetében a számlán szereplő információkat tárolni és kezelni lehet annyi köteles, ameddig azt a vonatkozó könyvelési és adózási törvények és szabályok előírják.

6.2.4.               Ügyfelekkel kapcsolatos adatkezelések

6.2.4.1. A Társaság az ügyfélkapcsolatok, partnerkapcsolatok kialakítása, ápolása során a szerződéses kapcsolattartással és kommunikációs feladatok ellátásával összefüggő személyes adatokat kezel.

6.2.5.               Online kommunikációval kapcsolatos adatkezelések:

6.2.5.1. A Társaság az online kommunikációval kapcsolatban az alábbi adatkezeléseket végzi:

1. a) weboldal használatával kapcsolatos adatkezelés,
2. b) Sharity hűségkártya,
3. c) közösségi média felületekkel kapcsolatos adatkezelések,
4. d) applikáció,
5. e) Sharity nagykövetek adatainak kezelése online kommunikáció során,
6. f) célzott hirdetések.

6.3.          Oktatás

6.3.1. A személyes adatok kezelésének jogszerűségéről, az ehhez kapcsolódó jogokról és kötelezettségekről – igény szerint írásban vagy szóban – oktatást kell szervezni a foglalkoztatottak részére szervezni szükség szerint, de évente legalább egy alkalommal.

6.3.2. Minden újonnan belépő foglalkoztatott részére az oktatást soron kívül meg kell szervezni. A foglalkoztatott az oktatás megtörténtét aláírásával igazolja. A foglalkoztatotti nyilatkozat a személyi nyilvántartás része.

6.3.3. Soron kívüli adatvédelmi oktatást kell tartani olyan adatvédelmi incidensek vagy egyéb események megtörténtekor, amik kirívó munkatársi hibára vagy rendszeresen előforduló adminisztrációs hibára vezethetőek vissza.

6.3.4. Az oktatás anyagát az Adatvédelmi tisztviselő állítja össze. Az oktatás megszervezésében az Igazgatóság tagjai segítséget nyújtanak az Adatvédelmi tisztviselőnek. Az oktatás megtartását követően a tudásszint felmérésére ellenőrző teszt alkalmazható.

[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (a továbbiakban: GDPR)

[2] Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény a továbbiakban: Infotv.)