NEVES EGYESÜLET A BETEGBIZTONSÁGÉRT

(NEVES Egyesület)

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

Preambulum

A jelen szabályzat a következő hatályos jogszabályok alapján került kialakításra:

• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló törvény, valamint
• a 2016/679/EU rendelet (2016.04.27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (GDPR)

1. A szabályzat célja, hatálya

A szabályzat célja: az adatkezelővel kapcsolatba kerülő természetes személyek személyes adatainak kezelésére vonatkozó, jogszabályban megfogalmazott elvek, rendelkezések meghatározása, azok betartása, ill. annak megfelelő eljárásrend kialakítása, a természetes személyek személyes adatai védelmének biztosítása érdekében.

A szabályzat hatálya: A jelen szabályzat az elfogadás napjától a visszavonásig van hatályban. Amennyiben a mindenkori jogszabályoknak való megfeleltetés érdekében módosítása, karbantartása szükséges, az Adatkezelő azt folyamatosan elvégzi.

A jelen szabályzat az adatkezelőre, adatfeldolgozóra, valamint azokra a természetes személyekre terjed ki, akik adatait az adatkezelő és adatfeldolgozó elektronikus vagy papír alapú dokumentumai tartalmazzák.

2. Alapelvek

Az adatkezelő a GDPR rendeletben foglaltak szerint az alábbi elvek figyelembevételével végzi az adatkezeléseket:

• A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. Az átláthatóság elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, valamint, hogy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint, hogy azt világos és közérthető nyelven fogalmazzák meg az érintett számára.
• A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet.
• Az adattakarékosság elvének megfelelően a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükséges mértékre kell korlátozódniuk.
• A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, valamint az adatkezelés szempontjából pontatlan személyes adatok törlésére vagy helyesbítésére haladéktalanul intézkedéseket kell tenni.
• A korlátozott tárolhatóság elvének megfelelően a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Kivételek: közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból.
• A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is beleértve.
• Az adatkezelő felelős a fenti elveknek megfelelő adatkezelési szabályok maradéktalan betartásáért, és képesnek kell lennie e megfelelés igazolására.

3. Adatkezelő és adatfeldolgozó elérhetőségei

3.1 Az Adatkezelő a NEVES Egyesület a Betegbiztonságért (NEVES Egyesület), székhelye: 1021 Budapest, (további részletek kérés esetén) e-mail: info@nevesegyesulet.hu, honlap: www.nevesegyesulet.hu
az adatkezeléssel megbízott személy: a NEVES Egyesület mindenkori titkára
elérhetősége: info@nevesegyesulet.hu,

3.2 Adatfeldolgozóként minősül a NEVES Egyesület gazdasági ügyintézője, aki – megbízási szerződésben rögzített feltételek mellett – vállalkozóként (Trimova Könyvelő Kft. 1191 Budapest, Üllői út 206.) látja el a számviteli, valamint a bér-, munkaügyi és társadalombiztosítási feladatokat és végzi az ehhez kapcsolódó személyes adatok feldolgozását (ld: 4. pont).

3.3 Jelen szabályzat tekintetében a webtárhely szolgáltatója is adatkezelő.
neve: Forpsi Magyarország – BlazeArts Kft.
feladata: A NEVES Egyesület honlapja részére webtárhely biztosítása.

4. Adatok hozzáférhetősége, adatvédelem jellemzői

A NEVES Egyesület, mint adatkezelő gyakorlatában a fent rögzített alapelvek érvényesülése a következőképpen valósul meg:

4.1 A számítógépes munkaállomások jelszóval védettek. A jelszavak változtatása rendszeres időközönként történik. A munkaállomások zárható irodahelyiségben vannak elhelyezve. A számítógépeken dolgozó munkatársak a munkaállomás elhagyásakor a gépek lezárásával védekeznek az illetéktelen hozzáférés, nyilvánosságra hozatal, törlés ellen.

4.2 Adatok hozzáférhetősége
Csak az a személy férhet az adatokhoz, akinek feladatköréből következően arra jogosultsága van, valamint – egyes feladatokhoz kapcsolódóan – szükség szerint bármely adathoz az egyesület elnöke. Az adatkezeléssel megbízott munkatársak a GDPR-nak megfelelő titoktartási nyilatkozatot írnak alá.

4.3 Tárolás, archiválás
A személyes adatokat tartalmazó papíralapú dokumentumok tárolása elkülönítetten, zárható iratszekrényben, az archív anyagok a NEVES Egyesület zárt helyiségben lévő irattárában történik.

5. Értelmező rendelkezések

5.1 „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

5.2 „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

5.3 „az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

5.4 „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják;

5.5 „álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

5.6 „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

5.7 „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

5.8 „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

5.9 „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

5.10 „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

5.11 „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

5.12 „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

5.13 „genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;

5.14 „biometrikus adat”: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

5.15 „egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

6. Az adatkezelés jogszerűsége

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbi 6 pontban felsorolt feltételek egyike teljesül: Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. A hozzájárulásnak önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű nyilatkozatnak kell lennie, amelyet írásban, elektronikus úton lehet megtenni. Hozzájárulásnak minősül a honlap megtekintése során bejelölt erre vonatkozó négyzet vagy erre vonatkozó technikai beállítások végrehajtása. (A hallgatás, az előre bejelölt négyzet vagy a nemcselekvés nem minősül hozzájárulásnak.) Ha az adatkezelés több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Az érintett a hozzájárulását bármikor visszavonhatja. A visszavonás nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt erről az érintettet tájékoztatni kell.

Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Ebben az esetben az adatkezelés jogszabályon alapul, az érintett hozzájárulása nem szükséges.

Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető.

Az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. A jogszerűség jogszabályon alapul. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveletnek kell tekinteni.

Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett ésszerű elvárásait. (A jogos érdek fennállásának megállapításához körültekintően meg kell vizsgálni, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha az személyes adatokat olyan körülmények között kezelik, amelynek közepette az érintettek nem számítanak további adatkezelésre.)

7. Az adatkezelés célja:

1. weboldal esetében: a regisztrált felhasználók azonosítása, egymástól való megkülönböztetése, számukra hírlevél, rendezvényekről szóló tájékoztató küldés, a felhasználók aktuális munkamenetének azonosítása, az annak során megadott adatok tárolása, továbbképzésre jelentkezések esetén a titkársági munkaállomás részére továbbítása, az adatvesztés megakadályozása, webanalitikai mérések, felhasználói statisztikák készítése (csak mennyiségi adatok)
2. munkaügyi adatok: munkaügyi szabályok szerint – bér-, járulékadatok, adólevonások adatai
3. szerződéses partnerek adatai: szerződés megkötése érdekében, ill. a szerződésben közölt személyes adatok
4. egyesületi tisztségviselők: kapcsolattartás, bírósági nyilvántartás adatszolgáltatás (jogszabályon alapuló kötelezettség)
5. tagegyesületek vezetői: név, e-mail-cím, telefonszám, egyesület neve, célja, , tájékoztató anyagok, meghívók
6. továbbképzések kapcsán keletkezett személyi adatok továbbítása a kreditpontokat nyilvántartó szervezetek részére, a rendezvényen történt részvétel igazolása
7. konferenciák, kiállítások, szakmai rendezvények regisztrációja kapcsán keletkezett személyi adatok továbbítása az adott esemény szervezője részére
8. álláshirdetéssel összefüggésben keletkezett adatok: megfelelő munkavállaló kiválasztása
9. egyéb, megbízás alapján végzett tevékenység során felmerülő adatgyűjtési tevékenység, a keletkezett adatok feldolgozása, továbbítása a megbízó részére
EU-n kívüli adattovábbítás nem fordul elő. Az egyesület gyermekek adatait nem kezeli.

8. Az érintettek jogai:

8.1 A hozzáférés joga
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon és információt kapjon az adatkezelés céljairól, az érintett személyes adatok kategóriáiról, a címzettekről, ahová a személyes adatokat közölték, az adatok tárolásának tervezett időtartamáról és a további pontokban felsorolt jogairól. Az adatkezelőnek tájékoztatnia kell az érintettet arról, hogy kérelemre elektronikus formában kap tájékoztatást, másolatot az adatkezelő által kezelt adatairól.

8.2 A helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

8.3 A törléshez való jog (“elfeledtetéshez való jog)
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az jogszabályon alapuló kötelező adatkezelés miatt nem kizárt. Az adatkezelő haladéktalanul köteles törölni az adatokat, ha az érintett tiltakozik az adatkezelés ellen és nincs elsődlegességet élvező jogszerű ok az adatkezelésre.
A törléshez (“elfeledtetéshez”) való jog érvényesítését korlátozza:
• a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása
• népegészségügy területén megvalósuló közérdek
• a közérdekű archiválás céljából tudományos, történelmi kutatási, statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné az adatkezelést,
• jogi igények előterjesztése, érvényesítése vagy védelme

8.4 Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:
• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
• az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben

8.5 Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta. Adatkezelő üzleti célból nem kezel adatokat.

8.6 A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához vagy az adatkezelő, ill. harmadik fél jogos érdekei érvényesítéséhez volt szükséges, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű, jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez érvényesítéséhez vagy védelméhez kapcsolódnak. A tiltakozáshoz való joggal kapcsolatos tájékoztatást az érintettel való első kapcsolatfelvétel során meg kell tenni és a tájékoztatást egyértelműen, minden más információtól elkülönítve kell tárolni.

9. Az adatalany (érintett) tájékoztatása

Az átláthatóság elvének megfelelően az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz. A személyes adatokkal összefüggő tájékoztatást az adatgyűjtés időpontjában kell megtenni. Így különösen: az érintett részére a tájékoztatót a továbbképző rendezvényekre történő jelentkezések esetében elektronikus formátumban, a jelentkezési lap mellékleteként kell szerepeltetni. Tisztségviselők, valamint a tagegyesületek vezetői esetében elektronikus formátumban a személyes adatok bekérésével egyidejűleg kell a tájékoztatást elektronikus úton megadni. Honlapra történő regisztráció esetében a regisztrációs folyamatba kell beépíteni a tájékoztatást.

Az érintettnek lehetősége van díjmentesen kérelmezni, ill. megkapni a személyes adatához való hozzáférést, azok helyesbítését és törlését, valamint gyakorolni a tiltakozáshoz való jogát. Az adatkezelő ennek megfelelően biztosítja, hogy az érintett elektronikus úton nyújtsa be kérelmét, ill. éljen a jogszabály és jelen szabályzat által biztosított jogaival. A tájékoztatóban külön is fel kell hívni az érintett figyelmét arra, hogy az adatkezelő e-mailcímére küldött kérelmével (vagy telefonos elérhetőségen keresztül, ill. személyesen) élhet jogaival.

A kérelem benyújtásának címe: info@nevesegyesulet.hu

Az érintett kérelmére indokolatlan késedelem nélkül, legkésőbb azonban egy hónapon belül válaszolni kell. Amennyiben az érintett kérelmére nem történik érdemi intézkedés, az adatkezelő köteles azt indokolni.

10. Adatvédelmi incidens esetén követendő eljárás:

Az adatvédelmi incidenst indokolatlan késedelem nélkül, lehetőség szerint a tudomásra jutástól számított legkésőbb 72 órán belül be kell jelenteni az adatvédelmi felügyeleti hatóságnak, a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság //1125 Budapest, Szilágyi E . fasor 22/C. tel. 391-1400, www.naih.hu, ugyfelszolgalat@naih.hu//) részére. Ha a bejelentés nem történik meg 72 órán belül, a késedelmet indokolni kell. A tájékoztatás több részletben is megtehető, amennyiben az első bejelentés időpontjában nem áll rendelkezésre minden információ az adatvédelmi incidens körülményeiről.
Ha az adatkezelő bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságára nézve, akkor a bejelentés mellőzhető. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár, az érintettet tájékoztatni kell. A tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett a természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat. Az érintettek tájékoztatásáról az ésszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa adott útmutatást.

Az érintettet nem kell az adatvédelmi incidensről tájékoztatni, ha
• az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták,
• az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságára jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

Az adatvédelmi incidensekről és a hozott intézkedésekről az adatkezelő nyilvántartást vezet. Az adatvédelmi incidensekről szóló nyilvántartás vezetése az adatkezelésért felelős megbízott, a NEVES Egyesület e feladattal megbízott mindenkori titkárának feladata.

Az adatkezelő szervezet adatkezelésért felelős megbízottja végzi az adatvédelmi incidens bejelentését, ezt megelőzően értékeli, hogy az adatvédelmi incidens magas kockázatú vagy sem, és haladéktalanul gondoskodik a szükséges intézkedések megtételéről:
• Amennyiben az incidens informatikai természetű (pl. informatikai támadás stb.), késedelem nélkül jelzi a rendszergazdának, és kéri a megfelelő informatikai intézkedések soron kívüli megtételét (pl. technikai intézkedések, hozzáférési jogosultság megvonása vagy korlátozása stb.).
• Amennyiben fizikai természetű, gondoskodik az incidens megismétlődésének minimalizálásáról (pl. tároló helyek biztonságának fokozása).
• Ha fennállnak azon körülmények, amikor az érintettet értesíteni kell, azt haladéktalanul megteszi.
• Minden esetben azonnal értesíti az egyesület elnökét.
• Kialakítja az incidensek belső nyilvántartását, amelyből visszamenőleg is igazolható a GDPR-nek való megfelelés.
• Az érintettek számára naprakész, pontos tájékoztatást tud adni az érintettek adatkezelő által kezelt adatairól.

11. Az adatfeldolgozó és feladatai

11.1 Az adatfeldolgozást a NEVES Egyesület mindenkori titkára végzi
• feladata: gondozza a NEVES Egyesület weboldalát, amelybe beletartozik a honlapra, illetve a honlapon meghirdetett rendezvényekre történő regisztráció kezelése
• kezelt adat ok: név, titulus, szervezet, e-mail cím, telefonszám, számlázási név és cím
• adatkezelés célja:
– regisztrált felhasználók részére hírlevél küldése, amely nem üzleti célokat szolgál, kizárólag az egyesület rendezvényeiről szóló tájékoztatókat tartalmazza
– a honlapon keresztül továbbképzésre, rendezvényre jelentkezettek adatainak nyilvántartása, továbbítása az adatkezelő NEVES Egyesület részére
• törlés ideje:
– regisztrált felhasználó törlés iránti kérelmére azonnal

11.2 A könyvelési, számviteli feladatok ellátása tekintetében: Trimova Könyvelő Kft. (ld. 3.2 pont)
• feladata: a NEVES Egyesület könyvelési, számviteli, bérszámfejtési és ehhez kapcsolódó feladatok ellátása (adók, járulékok megállapítása, levonása stb.)
• adatkezelés célja: a munkaviszonyból következő munkáltatói kötelezettségek teljesítése, valamint a szerződéses kapcsolatokból következő szállítói ill. vevői kötelezettségek számviteli vonatkozásainak rendezése
• kezelt adatok: név, lakcím, telefonszám, e-mailcím, személyi igazolvány száma, adóazonosító, TAJ-szám, munkabér összege, járulékok, adók összege, bankszámlaszám, esetleges letiltások, levonások címei, ill. bankszámla számai, gyermekek, eltartottak és azok TAJ száma, képzettséget igazoló dokumentumok, erkölcsi bizonyítvány
• adatkezelés ideje: jogszabályi kötelezettség alapján.
• A személyes adatok kezelése számviteli kötelezettség alapján: Amennyiben az egyesület mint adatkezelő természetes személyekkel köt szerződést, a szerződés és a szerződés teljesítéséhez kapcsolódó számla tartalmaz személyes adatokat: név, cím, adószám, bankszámlaszám, esetleg telefonszám. Megőrzési kötelezettség a számviteli törvény alapján a szerződés megszűnésének évét követő 8 éven keresztül.
• A szerződés alapján történő személyes adatok kezeléséről az érintettet tájékoztatni kell. A szerződés megkötése önmagában megalapozza a személyes adatok kezelésének jogszerűségét. Az adatkezelés jogalapja a szerződés megkötése, célja a szerződéses kötelezettségek teljesítése, a teljesítés során szükséges kapcsolattartás biztosítása.

11.3 Webtárhely szolgáltatás tekintetében adatfeldolgozó: Forpsi Magyarország – BlazeArts Kft.
Egyebek
Adatkezelési nyilvántartásra az egyesület, mint adatkezelő nem kötelezett a GDPR 30. cikk (5) bekezdése szerint.
Az egyesület különleges adatokat nem kezel, weboldalán profilalkotást nem végez.
Az egyesület adatvédelmi tisztviselő alkalmazására nem kötelezett.
Az egyesület telefonbeszélgetéseket nem rögzít, kamerás megfigyelő rendszert nem működtet.
A www.nevesegyesulet.hu weblap meglátogatásakor a webszerver felhasználói adatokat nem rögzít, cookie-kat nem alkalmaz.

12. Felelősségi kérdések

• Minden érintett jogosult arra, hogy panaszt tegyen az adatvédelmi hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a rendeletet. Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), e-mailcím: info@naih.hu
• Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
• Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait.

Felelősség és kártérítés
• Minden olyan személy, aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
• Ha több adatkezelő vagy több adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

A NEVES Egyesület a Betegbiztonságért jelen adatvédelmi szabályzatot a tagsággal megismertette, a szabályzatot szükség szerint módosítja, amennyiben a vonatkozó jogszabályokban változás következik be, valamint ha a jövőben olyan, személyes adatokat is tartalmazó dokumentumokkal kapcsolatos adatkezelés történik, amelyre a jelen szabályzat nem ad útmutatást.

Budapest, 2020. augusztus 3.
NEVES Egyesület a Betegbiztonságért