Szent István Katolikus Általános Iskola
3400 Mezőkövesd
Jezsuiták tere 3.

ADATVÉDELMI, EGÉSZSÉGÜGYI ADATKEZELÉSI ÉS KÖZZÉTÉTELI SZABÁLYZAT

Kelt: 2018. szeptember 3.

Tartalomjegyzék

Bevezetés
Fogalomtár
Szabályzat
1. Személyes adatok kezelése
2. Különleges adatok kezelése
3. Adatfeldolgozói tevékenység
4. Személyes Adatok kezelésének alapelvei
5. Személyes Adatok kezelésének jogszerűsége
6. Érintett jogai
7. Adattovábbítás harmadik országba vagy nemzetközi szervezet felé
8. Adatkezelési tevékenységek nyilvántartása
9. Adatbiztonság
10. Egészségügyi adatok biztonsága
11. Adatvédelmi Incidens
12. Adatvédelmi hatásvizsgálat
13. Adatvédelmi tisztviselő
14. Bírság és kártérítés
15. Közzétételi szabályzat
Mellékletek

Bevezetés

Jelen adatvédelmi szabályzat („Szabályzat”) az alábbi szervezet adatkezeléssel és adatfeldolgozással kapcsolatos tevékenységére irányadó:

Szervezet neve: Szent István Katolikus Általános Iskola
Iskola székhelye: 3400 Mezőkövesd, Jezsuiták tere 3.
Iskola OM azonosítója: 028895
Iskola adószáma: 18409909-2-05
Iskola vezetője: Nyeste István
Iskola adatvédelmi tisztviselője: Gáspárné Ali Júlia
Iskola tevékenysége:
  • iskolai oktatás, nevelés 1-8. évfolyamokon
  • sajátos nevelési igényű tanulók oktatása, nevelése 1-8. évfolyamokon
  • általános iskolai napközi otthoni nevelés
  • sajátos nevelési igényű tanulók napközi otthoni nevelése
  • általános iskolai tanulószobai nevelés
  • sajátos nevelési igényű tanulók általános iskolai tanulószobai nevelése
  • üdülés
  • éttermi vendéglátás
  • iskolai intézményi étkeztetés
  • munkahelyi étkeztetés
  • rendezvényi étkeztetés
  • üdülői, tábori étkeztetés
  • nem lakóingatlan bérbeadása
  • kulturális képzés
  • oktatást kiegészítő tevékenység
  • könyvtári, levéltári tevékenység
  • szabadidősport
  • sportlétesítmények működtetése
  • iskolai, diáksport tevékenység
  • egyéb humán-egészségügyi ellátás

Jelen Szabályzat célja, hogy az Iskola a természetes személyek személyes adatai kezelésének és védelmének alapvető szabályait, valamint a személyes adatok szabad áramlásának szabályait – a tevékenysége során előforduló esetekre tekintettel – rögzítse, valamint az Iskola belső adatvédelmi eljárásait összefoglalja.

Az Iskola vállalja, hogy az Adatkezelés módjának meghatározásakor, illetve az Adatkezelés során olyan technikai és szervezési intézkedéseket tesz, amelyek célja az adatvédelmi alapelvek betartása és az Érintettek jogainak védelme. Továbbá az Iskola kötelezettséget vállal arra, hogy csak olyan Személyes Adatot kezel, amely a konkrét adatkezelési cél elérése szempontjából elengedhetetlen.

Az Iskola vállalja, hogy gondoskodik arról, hogy a képviselői, munkavállalói, illetve bármely olyan személy, aki az Iskola helyett és/vagy nevében eljár, a jelen Szabályzatban foglaltakat megismerjék és a jelen Szabályzat rendelkezései szerint járnak el.

Az Iskola vállalja, hogy – amennyiben szükséges – a jelen Szabályzat tartalmát megismerteti szervezeti egységeivel, partnereivel, illetőleg bármely Személyes Adat átadását megelőzően ellenőrzi, hogy az adott szervezeti egysége, partnere a jelen Szabályzattal azonos szintű, adatkezelési és adatfeldolgozási tevékenységekkel kapcsolatos minimum standardokkal rendelkeznek-e, illetve, hogy az adatbiztonságot az Iskolatal azonos színvonalon biztosítják-e.

Az Iskola vállalja, hogy a Személyes Adatok kezelésével kapcsolatos kötelezettségeit az egyházi és világi jogszabályok alapján teljesíti.

Fogalomtár

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében Személyes Adatokat kezel.

Adatkezelés: a Személyes Adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Adatkezelés korlátozása: a tárolt Személyes Adatok megjelölése jövőbeli kezelésük korlátozása céljából;

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a Személyes Adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.; ha az Adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az Adatkezelőt vagy az Adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

Adatvédelmi Incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Álnevesítés: Személyes Adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a Személyes Adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a Személyes Adatot nem lehet kapcsolni.

Az Érintett Hozzájárulása: az Érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő Személyes Adatok kezeléséhez;

Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a Személyes Adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az Adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

Egyházi jogi személy: a bevett egyház és annak belső egyházi jogi személye.

Érintett: bármely információ alapján azonosított vagy azonosítható természetes személy.

Harmadik Fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Érintettel, az Adatkezelővel, az Adatfeldolgozóval vagy azokkal a személyekkel, akik az Adatkezelő vagy Adatfeldolgozó közvetlen irányítása alatt a Személyes Adatok kezelésére felhatalmazást kaptak;

Info tv.: az információs önrendelkezési jogról és információ szabadságról szóló 2011. évi CXII. törvény;

Jog/jogszabályok/jogi kötelezettségek: az egyházi és/vagy a világi jog előírásai

Különleges Adat: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat, az egészségügyi adat és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes Adatok:

  • genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan Személyes Adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;
  • biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan, sajátos technikai eljárásokkal nyert Személyes Adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
  • egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó Személyes Adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

Profilalkotás: Személyes Adatok automatizált kezelésének bármely olyan formája, amelynek során a Személyes Adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

Rendelet: az Európai Parlament és a Tanács (EU) 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;

Személyes Adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Szabályzat

1. Személyes Adatok kezelése

1.1. Személyes Adatok

Személyes Adatnak minősül azonosított vagy azonosítható természetes személyre vonatkozó bármely információ.

Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Személyes Adatnak minősül – többek között – a természetes személy neve, lakcíme, születési helye és ideje, továbbá a képmása vagy a természetes személy beszédéről készült hangfelvétel is.

1.2. Adatkezelés

Adatkezelésnek minősül a Személyes Adatokon végzett bármely művelet vagy műveletek összessége. Adatkezelés így a Személyes Adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása vagy megváltoztatása, lekérdezése, a Személyes Adatokba történő betekintés, a Személyes Adatok felhasználása, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolása vagy összekapcsolása, korlátozása, törlése, illetve megsemmisítése.

Adatkezelésnek minősül – többek között – a munkavállalói adatok felvétele és tárolása, a szerződéses partnerek kapcsolattartói elérhetőségének felvétele egy adatbázisba, továbbá a hírlevél küldése céljából felépített adatbázisban tárolt nevek és e-mail címek.

1.3. Személyes Adatok kezelésének speciális esete az egyházi személyek, ill. az egyházi szolgálati jogviszonyban álló személyek esetén

Az egyházi személyek és az egyházi szolgálati jogviszonyban álló személyek személyes adatait az egyházi belső szabályok, valamint az alkalmazásuknak megfelelő állami jogszabályok alapján kezeli.

1.4. A Személyes Adatok kezelésére vonatkozó részletes nyilvántartásokat jelen Szabályzat 2. sz. Melléklete tartalmazza.

2. Különleges Adatok kezelése

2.1. Különleges Adatok

Különleges Adatok a Személyes Adatok speciális kategóriáját képezik. Különleges Adatnak minősülnek az alábbi Személyes Adatok:

  • a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló Személyes Adat,
  • a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adat,
  • az egészségügyi adat, és
  • a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó Személyes Adat.

Különleges Adatnak minősül – többek között – a munkavállaló várandósságára vonatkozó információ, az orvosi igazolás a keresőképtelen állományba vételéről (ún. táppénzes papír), továbbá a beléptetőrendszerben tárolt ujjlenyomat.

2.2. A Különleges Adatok kezelésére vonatkozó információkat jelen Szabályzat 2. sz. Melléklete, valamint vallási adatok kezelése esetén az egyház egyéb rendelkezései tartalmazzák.

2.3. Különleges Adatok kezelése

A Különleges Adatok kezelése a Rendelet alapján főszabály szerint tilos!

A Különleges Adatok kezelésére vonatkozó tilalom azonban nem alkalmazandó az alábbi esetekben:

  • ha az Érintett kifejezett hozzájárulását adta az adott Különleges Adat kezeléséhez (kifejezett hozzájárulás esetén sem kezelhető Különleges Adat, ha az uniós vagy tagállami jog ezt nem teszi lehetővé);
  • ha az Adatkezelés az Adatkezelőnek vagy az Érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges;
  • ha az Adatkezelés az Érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, és az Érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
  • ha az Adatkezelés valamely vallási célú alapítvány, egyesület vagy bármely más nonprofit szervezet, egyházi jogi személy megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy (i) az Adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és (ii) a Személyes Adatokat az Érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
  • ha az Adatkezelés olyan Különleges Adatra vonatkozik, amelyet az Érintett kifejezetten nyilvánosságra hozott;
  • ha az Adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
  • ha az Adatkezelés jelentős közérdek miatt szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
  • ha az Adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges (feltéve, hogy ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki szakmai vagy egyéb uniós jogban megállapított titoktartási kötelezettség hatálya alatt áll);
  • ha az Adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra és különösen a szakmai titoktartásra vonatkozóan;
  • ha az Adatkezelés közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a Személyes Adatok védelméhez való jog lényeges tartalmát, és az Érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

Az Iskola kezeli a munkavégzésre irányuló jogviszonyban foglalkoztatott munkatársainak foglalkoztatáshoz kapcsolódó Különleges Adatait, továbbá az Iskola egészségügyi adatokat kezel az iskolaorvosi, a foglalkozás-egészségügyi, az iskolapszichológusi, valamint a gyógypedagógusi feladatok ellátása során.

3. Adatfeldolgozói tevékenység

3.1. Adatfeldolgozónak akkor minősül az Iskola mint jogi személy, ha valamely, rajta kívül álló Adatkezelő nevében Személyes Adatokat kezel.

Adatfeldolgozónak minősül – többek között – az Iskola alkalmazottai részére bérszámfejtési tevékenységet végző külső vállalkozó, az Iskola számítógépes rendszerének rendszergazdája vagy az Iskola honlapjának tárhelyszolgáltatója, továbbá az Iskola nevében hírlevelet küldő harmadik személy.

3.2. Az Adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az Adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó Személyes Adatokat felhasználó üzleti tevékenységben érdekelt.

Az adatfeldolgozási szerződés legalább az alábbi rendelkezéseket tartalmazza:

  1. a Személyes Adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli – beleértve a Személyes Adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az Adatkezelést az Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az Adatfeldolgozó az Adatkezelőt az Adatkezelést megelőzően értesíti, kivéve, ha az Adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
  2. biztosítja azt, hogy a Személyes Adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
  3. meghozza az Adatkezelés biztonsága tekintetében előírt intézkedéseket;
  4. tiszteletben tartja a további Adatfeldolgozó igénybevételére vonatkozó rendelkezésekben említett feltételeket;
  5. az Adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az Érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
  6. segíti az Adatkezelőt az Adatkezelés biztonságára, Adatvédelmi Incidens bejelentésére, az adatvédelmi hatásvizsgálat és előzetes konzultáció lefolytatására vonatkozó kötelezettségek teljesítésében, figyelembe véve az Adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat;
  7. az adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden Személyes Adatot töröl vagy visszajuttat az Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
  8. az Adatkezelő rendelkezésére bocsát minden olyan információt, amely az Adatfeldolgozás tekintetében meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

3.3. Minden Adatfeldolgozó nyilvántartást vezet az Adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás a következő információkat tartalmazza:

  • az Adatfeldolgozó vagy Adatfeldolgozók neve és elérhetőségei, és minden olyan Adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az Adatfeldolgozó eljár, továbbá – ha van ilyen – az Adatkezelő vagy az Adatfeldolgozó képviselőjének, valamint az Adatvédelmi Tisztviselőnek a neve és elérhetőségei;
  • az egyes Adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
  • adott esetben a Személyes Adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;
  • ha lehetséges, az adatbiztonság garantálása érdekében tett technikai és szervezési intézkedések általános leírása.

3.4. Az Iskola a következő Adatfeldolgozók szolgáltatásait veszi igénybe a tevékenysége végzése során:

Az Iskola saját maga látja el a bérszámfejtési feladatokat, azokat az iskola fenntartója, az Egri Főegyházmegye (3300 Eger, Széchenyi út 1.) hagyja jóvá.

Az Iskola intézményfenntartója az Egri Főegyházmegye (3300 Eger, Széchenyi út 1.)

Az Iskola honlapjának tárhelyszolgáltatója a Sulinet, székhely: 1055  Budapest, Szalai út 10-14.

Az Iskola tűzvédelmi tanácsadója: Varga Noémi egyéni vállalkozó, székhely: 3398 Nagytálya Béke út 6.

Az Iskola munka-és balesetvédelmi tanácsadója: Nagy Tibor egyéni vállalkozó, székhely: 3300 Eger, Pacsirta út 10/b.

Az Iskola orvos asszisztense: Marczisné Viszneki Katalin

Az e-kréta rendszert az Emberi Erőforrások Minisztériuma biztosítja.

3.5. Az Iskola a tevékenysége során az alábbi tevékenységek folytatása során jár el Adatfeldolgozóként:

  • csoport-és osztályfotó készítésével kapcsolatos adatkezelés
  • tanulmányi és sportversenyekre jelentkezők nyilvántartásába vételével kapcsolatos adatkezelés
  • tanulmányi és sportversenyek fordulónkénti és végeredményének nyilvánosságára hozatalával kapcsolatos adatkezelés
  • munkavállalók- tűz, baleset– és munkavédelmi oktatásával kapcsolatos adatok
  • a munkavállalók kötelező üzemorvosi vizsgálatával kapcsolatos adatok
  • tabló-és tablókép készítésével kapcsolatos adatok
  • iskolai rendezvényeken készült fényképek és videofelvételek készítésével kapcsolatos adatkezelés
  • osztálykirándulásokon készült fényképek és videofelvételek készítésével kapcsolatos adatkezelés
  • iskolaújságban és egyéb média felületeken szereplő személyes adatok
  • iskolai étkeztetés biztosításával kapcsolatos személyes és különleges adatok
  • mindennapos testnevelés alóli felmentéssel kapcsolatos személyes adatok
  • délutáni foglalkozásokra való jelentkezéssel kapcsolatos személyes adatok
  • hazajutásról való nyilatkozatban szereplő személyes adatok
  • tanulmányi kirándulással, erdei iskolával, nyári tábor, iskolai utazásokkal kapcsolatos személyi adatok
  • hitoktatásra való jelentkezéssel kapcsolatos adatok
  • orvosi vizsgálatokkal kapcsolatos nyilatkozatokban szereplő személyes adatok
  • osztály levelezőlistán és elérhetőségi listán szereplő személyes adatok
  • szülői munkaközösségben tevékenykedő szülő személyes adatai

4. Személyes Adatok kezelésének alapelvei

4.1. Jogszerűség, tisztességes eljárás és átláthatóság

A Személyes Adatokat jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell kezelni.

A Személyes Adatokat az Iskola akkor kezeli jogszerűen, ha az Adatkezelést megfelelő jogalap alapján végzi. Ha az Iskola a szerződés teljesítéséhez szükséges Személyes Adatokat kezel, úgy az Adatkezelés akkor jogszerű, ha a jogalap a szerződés teljesítése. Nem jogszerű az Adatkezelés azonban ebben az esetben, ha az Iskola a Személyes Adatokat hozzájárulás alapján kezeli.

A Személyes Adatokat az Iskola akkor kezeli tisztességesen, ha az Adatkezelés során az erkölcsi értelemben vett tisztességességi szabályokat betartja, valamint az emberi méltóságot tiszteletben tartja. A tisztességesség elve korlátot szab az adatkezelési tevékenységek folytatásának annak figyelembevételével, hogy az Érintett „nem pusztán tárgya, hanem alanya az Adatkezelésnek”. Így az Iskola nem tévesztheti meg az Érintettet az Adatkezelés során, nem bocsáthat ki megtévesztő tartalmú tájékoztató anyagot.

A Személyes Adatokat az Iskola akkor kezeli átláthatóan, ha az Adatkezelés megkezdését megelőzően, valamint az Adatkezelés során meghatározott időközönként teljes körűen tájékoztatja az Érintettet az Adatkezelésről, az Érintett jogairól, valamint az Adatkezeléssel kapcsolatos kockázatokról, szabályokról, garanciákról, továbbá biztosítja, hogy az Érintett az Iskola által kezelt Személyes Adataival a jogszabályi kereteken belül rendelkezhessen.  Az Adatkezelés átláthatósága akkor áll fenn, ha az Adatkezeléssel kapcsolatos bármely változásról – a változást az adott változás Érintettekre való hatása figyelembevételével meghatározott idővel megelőzően – a fentiekben foglaltak szerint tájékoztatja az Iskola az Érintettet.

Az átláthatóság elve továbbá megköveteli, hogy az Iskola valamennyi, Adatkezeléssel kapcsolatos intézkedését megfelelően dokumentálja. Az Iskola az Érintettek részére az Iskola által a konkrét Adatkezelés fényében meghatározott időközönként ismételt tájékoztatást ad annak érdekében, hogy biztosítsa, hogy az Érintett a Személyes Adatai kezelésével kapcsolatos információkkal rendelkezik.

Az átláthatóság elvének az Iskola akkor felel meg, ha az Érintettek részére nyújtandó tájékoztatás, valamint az Érintettekkel folytatandó kommunikáció (ide értve a jogok érvényesítésével, valamint az Adatvédelmi Incidenssel kapcsolatos kommunikációt) során az alábbi szempontokat figyelembe veszi:

  • tömörség, átláthatóság, érthetőség és könnyen hozzáférhetőség;
  • világos és közérthető nyelvezet;
  • írásbeliség vagy más – a konkrét Adatkezelés tekintetében – megfelelő mód, valamint az Érintett kérésére szóbeli tájékoztatás.

A tájékoztatás formáját a Rendelet nem határozza meg, az átláthatóság elvének való megfelelés érdekében a tájékoztatás a konkrét Adatkezelés körülményeinek figyelembevételével – többek között – az alábbi módokon valósulhat meg:

  • többszintű elektronikus tájékoztatás (azaz az egyes személyes adatok bekérése esetén információként felugró ablakban rövid tájékoztatást nyújt az Iskola a Személyes Adat kezelése tekintetében, valamint adatkezelési tájékoztatóban részletes tájékoztatást nyújt);
  • elektronikus úton, felugró ablakban történő tájékoztatás (azaz a Személyes Adatok kezelésére vonatkozó információ felugró ablakban jelenik meg a honlap látogatója részére a figyelemfelhívás érdekében);
  • elektronikus úton, Személyes Adatok kezelését lehetővé tevő felület biztosítása (azaz valamennyi, az adott honlapon keresztül történő vagy az adott Adatkezelő által folytatott adatkezelési tevékenység kezelését egy felületen keresztül engedélyezi a felhasználó részére az Iskola);
  • papír alapú tájékoztatás;
  • telefonon, előre rögzített hangfelvételen keresztül történő tájékoztatás;
  • személyesen történő tájékoztatás;
  • szabványosított ikonokon keresztül történő tájékoztatás.

4.2. Célhoz kötöttség

Az Iskola a Személyes Adatokat meghatározott, egyértelmű és jogszerű célból kezelheti. Ezzel a céllal össze nem egyeztethető módon nem kezelheti az Iskola a Személyes Adatokat. Az Iskola nem kezelhet továbbá Személyes Adatokat meghatározott cél nélkül vagy jövőbeli felhasználás érdekében.

Az Iskola az Adatkezelés célját az Adatkezelés megkezdése előtt esetről esetre világosan, a törvényekkel összhangban meghatározza, oly módon, hogy a célt nem szűken vagy túl tágan fogalmazza meg. Az Iskola az Adatkezelés céljáról tájékoztatja az Érintetteket annak érdekében, hogy az Érintettek megalapozott döntést tudjanak hozni az Adatkezelésről.

Az Iskola a célhoz kötöttségnek történő megfelelés érdekében szükséges lépéseket átgondolja, dokumentálja és megteszi.

Ha az Iskola ugyanazon Személyes Adatokat több, egymáshoz nem kapcsolódó adatkezelési célból[1] kezeli, akkor valamennyi adatkezelési cél tekintetében a fentiek szerint jár el. Egymáshoz nem kapcsolódó adatkezelési célok – többek között – egy nyereményjátékra való regisztráció és azt követően hírlevél küldése az Érintett részére.

4.3. Adattakarékosság

Az Iskola a konkrét adatkezelési cél szempontjából megfelelő, releváns és szükséges Személyes Adatokat kezeli.

Az Iskola valamennyi Adatkezelés esetén megvizsgálja, hogy az adatkezelési cél megvalósítható lenne-e egyéb módon, ami a magánszférát kevésbé sérti. Az Iskola már az Adatkezelés megtervezésénél figyelembe veszi, hogy a Személyes Adatok kezelése a konkrét adatkezelési cél megvalósításához szükséges-e, azzal arányos-e, van-e bármilyen egyéb mód arra, hogy az Iskola az adatkezelési célt elérje.

4.4. Pontosság

Az Adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az Adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az Érintettet csak az Adatkezelés céljához szükséges ideig lehessen azonosítani

Ha az Iskola arról szerez tudomást, hogy az általa kezelt Személyes Adat az Adatkezelés célja szempontjából pontatlan, hibás, hiányos vagy időszerűtlen, minden észszerű intézkedést köteles megtenni annak érdekében, hogy a Személyes Adatokat haladéktalanul töröljék vagy helyesbítsék.

Az Iskola mindent megtesz annak érdekében, hogy azon adatbázisok, amelyek személyazonosító, illetve kapcsolattartási adatokat tartalmaznak, pontos információkat tartalmazzanak, így az adatbázisokat rendszeres időközönként átvizsgálja és az adatokat szükség esetén frissíti.

4.5. Korlátozott tárolhatóság

Személyes Adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A Személyes Adat tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a Személyes Adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

Az Iskola a Személyes Adatok tárolási idejére vonatkozó listát készít, amely alapján az egyes Személyes Adatok törlésének idejét nyomon követi. Az Iskola a listát rendszeres időközönként felülvizsgálja.

Amikor a Személyes Adatok kezelésének célja megvalósul, vagy az Iskola által rögzített tárolási idő lejárt, akkor az Iskola a Személyes Adatokat törli, a Személyes Adatok törlését pedig írásban rögzíti. A lista jelen Szabályzat 8. sz. mellékletét képezi.

4.6. Integritás és bizalmas jelleg

Az Iskola olyan technikai és szervezési intézkedéseket alkalmaz, amelyek biztosítják a Személyes Adatok biztonságát, illetve védelmet biztosítanak az ellen, hogy a Személyes Adatokat jogosulatlanul vagy jogellenesen kezeljék, azok véletlenül elvesszenek, megsemmisüljenek vagy károsodjanak.

Az Iskola biztosítja, hogy a papír alapon vagy elektronikusan kezelt Személyes Adatokhoz az Iskola szervezetén belül csak az arra jogosult személy férjen hozzá, illetve harmadik személy e Személyes Adatokhoz jogosulatlanul ne férjen hozzá.

A Személyes Adatok bizalmasságának biztosítása érdekében az Iskola értékeli az adott Adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket alkalmaz.

Az Iskola az adatvédelmi garanciákat az adatkezelési rendszerekbe a fejlesztés legkorábbi szakaszától kezdve beépíti, figyelembe veszi a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő Személyes Adatok jellegével összefüggő költségeit. Az Iskola biztosítja, hogy egy esetleges adatvédelmi incidens esetén a Személyes Adatok kellő időben visszaállíthatók legyenek.

4.7. Elszámoltathatóság

Az Iskola felelős azért, hogy valamennyi fenti alapelvnek megfeleljen. Az Iskola továbbá felelős azért is, hogy képes legyen igazolni a fenti alapelveknek való megfelelést. Az Iskola anyagi felelősséggel tartozik az adatvédelmi alapelvek végrehajtásáért.

Az Iskola – többek között – a következő intézkedéseket teszi meg az alapelveknek való megfelelés és annak igazolhatósága érdekében:

  • írásbeli adatvédelmi szabályzat készítése;
  • adatkezelési tájékoztatók készítése;
  • adatvédelmi kérdésekkel kapcsolatos dokumentáció elkészítése;
  • számítógépes hálózatok biztonságának átgondolása, ellenőrzése és szükség esetén a biztonsági szint javítása;
  • munkavállalók oktatása, stb.

5. Személyes Adatok kezelésének jogszerűsége

5.1. A Személyes Adatok kezelése akkor és olyan mértékben jogszerű, amikor és amennyiben legalább alábbi pontban foglaltak egyike teljesül:

  1. az Érintett hozzájárulását adta Személyes Adatainak konkrét célból történő kezeléséhez;
  2. az Adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az Érintett az egyik fél, vagy az a szerződés megkötését megelőzően az Érintett kérésére történő lépések megtételéhez szükséges;
  3. az Adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
  4. az Adatkezelés az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
  5. az Adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  6. az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az Érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek Személyes Adatok védelmét teszik szükségessé (különösen, ha az Érintett gyermek).

Az Iskola az Adatkezelés célját a fenti pontok (jogalapok) egyikére való hivatkozással határozza meg. Az Iskola az egyes adatkezelési tevékenységek jogalapját jelen Szabályzat 2. sz. Mellékletét képező adatkezelési nyilvántartási lapokon az adatkezelési cél meghatározásánál tünteti fel.

5.2. Amennyiben az Iskola a Személyes Adatokat egy konkrét célból gyűjti, és a gyűjtött Személyes Adatokat bármely más célból is használni kívánja, akkor – amennyiben az eltérő célú Adatkezelés nem az Érintett hozzájárulásán vagy nem olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban – az Iskola az eltérő célú Adatkezelés jogszerűségének megítélése szempontjából az alábbi szempontokat veszi figyelembe:

  • a Személyes Adatok gyűjtésének céljait és a tervezett további Adatkezelés céljai közötti esetleges kapcsolatokat;
  • a Személyes Adatok gyűjtésének körülményeit (különös tekintettel az Érintettek és az Adatkezelő közötti kapcsolatokra);
  • a Személyes Adatok jellegét (különösen azt, hogy Személyes Adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a kezeléséről van-e szó);
  • azt, hogy az Érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
  • megfelelő garanciák meglétét (például titkosítás vagy álnevesítés).

5.3. Hozzájárulás feltételei

Hozzájáruláson alapuló Adatkezelés esetén az Iskolának mindenkor képesnek kell lennie arra, hogy igazolja, hogy az Érintett a Személyes Adatainak kezeléséhez hozzájárult. Így az Iskola valamennyi, elektronikusan gyűjtött hozzájárulást rögzít, valamint valamennyi, papír alapon gyűjtött hozzájárulást megőriz.

A hozzájárulás csak akkor fogadható el a Rendeletnek megfelelő hozzájárulásnak, ha megfelel az alábbi követelményeknek:

  • Önkéntes

A hozzájárulás akkor önkéntes, ha az Érintettnek tényleges választási lehetősége áll fenn a hozzájárulás megadása vagy meg nem adása közötti döntés meghozatala során.

A hozzájárulás nem tekinthető önkéntesnek – többek között – akkor, ha az Érintett negatív következményekkel kell, hogy számoljon abban az esetben, ha nem adja meg hozzájárulását vagy ha azt visszavonja, illetőleg, ha a hozzájárulást az Érintett a nem tárgyalható általános szerződési felételek elfogadásával együtt automatikusan megadja.

Nem önkéntes a hozzájárulás akkor, ha a hozzájárulást kérő és a hozzájáruló személy között alá-fölérendeltségi viszony áll fenn, és az alárendelet személy nem rendelkezik tényleges választási lehetőséggel az alá-fölérendeltségi viszony miatt, így például munkaviszony fennállása esetén.

  • Konkrét

Akkor konkrét a hozzájárulás, ha az egy meghatározott adatkezeléshez kapcsolódik, az Iskola az Adatkezelés célját pontosan meghatározza, hozzájárulást a konkrétan meghatározott adatkezelési célhoz kér, valamint világosan elválasztja a Személyes Adatok kezeléséhez való hozzájáruláskérést valamennyi más információtól.

Ugyanazon Személyes Adatok eltérő célból történő kezelése esetén az Iskola az egyes eltérő adatkezelési célokhoz külön-külön kér hozzájárulást.

  • Tájékoztatáson alapul

A hozzájárulás csak megfelelő tájékoztatáson alapulhat. Az Iskola az Adatkezelés megkezdését megelőzően az Érintett rendelkezésére bocsátja a jelen Szabályzat 6.1(iii) vagy 6.1(iv) pontjában foglalt információkat.

Az Érintettek részére nyújtott tájékoztatás megfogalmazása során az Iskola figyelembe veszi, hogy a tájékoztatás kinek szól és a tájékoztatás formáját és nyelvezetét e tény figyelembevételével alakítja.

  • Egyértelmű

Az Érintett egyértelműen kifejezi, hogy hozzájárul a Személyes Adatai kezeléséhez erre vonatkozó nyilatkozatban vagy más, egyértelműen hozzájárulásként azonosítható cselekedettel.

Bármely, a fenti feltételeknek meg nem felelő hozzájárulás sérti a Rendelet előírásait és kötelező erővel nem bír.

Ha az Érintett a hozzájárulását olyan nyilatkozatban adja meg, amely más ügyre is vonatkozik, akkor a Személyes Adatok kezelésére vonatkozó hozzájárulás iránti kérelmet a más ügyekre vonatkozó nyilatkozatoktól külön kell kérni, annak érthető és könnyen hozzáférhető formában kell tartalmaznia a hozzájárulás kérését és azt világos és egyszerű nyelvezettel kell megfogalmazni. Amennyiben a hozzájárulást tartalmazó nyilatkozat bármely része nem felel meg a Rendelet előírásainak, akkor az kötelező erővel nem bír.

Az Érintett jogosult hozzájárulását bármikor visszavonni, azonban a hozzájárulás visszavonása nem teszi jogszerűtlenné a hozzájárulás visszavonását megelőző időszakban folytatott adatkezelési tevékenységet, amennyiben az jogszerű hozzájáruláson alapult. A hozzájárulás visszavonására az Iskolának olyan egyszerű formában kell lehetőséget biztosítania az Érintett részére, mint amilyen egyszerű formában lehetőséget biztosított a hozzájárulás megadására.

6. Érintett jogai

Az Érintettek az alábbi (6.1-6.9 pontokban részletezett) jogokkal rendelkeznek:

  • tájékoztatáshoz való jog,
  • hozzáféréshez való jog,
  • helyesbítéshez való jog,
  • törléshez való jog,
  • Adatkezelés korlátozásához való jog,
  • adathordozhatósághoz való jog,
  • tiltakozáshoz való jog,
  • panasztételhez való jog, valamint
  • az Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog.

Az Iskola az Érintett részére tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazott tájékoztatást nyújt a Személyes Adatok kezelése tekintetében.

Az Iskola a tájékoztatást írásban, elektronikusan vagy más módon nyújtja. Az Iskola a tájékoztatást szabványosított ikonokkal is kiegészítheti a jól látható, könnyen érthető és jól olvasható formájú általános tájékoztatás érdekében (elektronikusan megjelenített ikonoknak géppel olvashatónak kell lennie). Amennyiben az Érintett kéri, akkor az Iskola szóban is tájékoztatást nyújt, amennyiben az Érintett a személyazonosságát – megfelelő okmányok bemutatásával – igazolta.

Az Iskola az Érintett jogainak gyakorlását elősegíti. Ha az Érintett elektronikus úton nyújt be kérelmet, akkor az Iskola azt elektronikus úton válaszolja meg, kivéve, ha az Érintett másként nem kéri.

Az Iskola az Érintettet a beérkezett kérelem alapján tett intézkedésekről indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja. Az egy hónapos határidő a kérelem összetettségére és a kérelmek számára tekintettel legfeljebb további két hónappal meghosszabbítható. Az Iskola a kérelem beérkezésétől számított egy hónapos határidőn belül tájékoztatja az Érintettet a határidő esetleges meghosszabbításáról.

Ha az Iskola a kérelem beérkezésétől számított egy hónapon belül nem tesz intézkedést, akkor az Iskola a kérelem beérkezésétől számított egy hónapos határidőn belül tájékoztatja az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamelyik felügyeleti hatóságnál és élhet bírósági jogorvoslat jogával.

Az Iskola az Érintett által benyújtott kérelem teljesítését csak akkor tagadhatja meg, ha bizonyítja, hogy az Érintettet nem áll módjában azonosítani.

Az Iskola az információkat, a tájékoztatást és intézkedést díjmentesen biztosítja. Amennyiben az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, akkor az Iskola igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. Amennyiben erre sor kerül, az Iskolának kell bizonyítania, hogy az Érintett kérelme megalapozatlan vagy túlzó.

Ha az Iskolának megalapozott kétségei vannak a kérelmet benyújtó személy kilétével kapcsolatban, akkor az Érintett személyazonossága megerősítéséhez szükséges további információkat kérhet.

6.1. Tájékoztatáshoz való jog

  1. Az Iskola a jelen pont (iii) alpontja szerinti tájékoztatást a Személyes Adatok megszerzésének időpontjában nyújtja, a jelen pont (iv) alpontja szerinti tájékoztatást az alábbi időpontok egyikében nyújtja
    • a Személyes Adatok kezelésének konkrét körülményeit tekintetbe véve, a Személyes Adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
    • ha a Személyes Adatokat az Érintettel való kapcsolattartás céljára használják, legalább az Érintettel való első kapcsolatfelvétel alkalmával; vagy
    • ha várhatóan más Címzettel is közli az adatokat, legkésőbb a Személyes Adatok első alkalommal való közlésekor.
  2. Ha az Iskola az eredeti adatkezelési céltól eltérő célból további Adatkezelést kíván végezni, akkor valamennyi további Adatkezelést megelőzően tájékoztatja az Érintettet az új adatkezelési célról, valamint valamennyi, (iii) alpont szerinti releváns kiegészítő információról.
  3. Az Iskola a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat az Érintettől gyűjti:
    • az Adatkezelőnek és – ha van ilyen – az Adatkezelő képviselőjének a kiléte és elérhetőségei;
    • az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
    • a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
    • az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;
    • adott esetben a Személyes Adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
    • adott esetben annak ténye, hogy az Adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a Személyes Adatokat, továbbá az Európai Bizottság megfelelőségi határozatának léte vagy annak hiánya vagy megfelelő garanciák alapján, az Iskolára vonatkozó világi és egyházi szabályok alapján történő adattovábbítás esetén, vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás;
    • a Személyes Adatok tárolásának időtartamáról, vagy, ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
    • az Érintett azon jogáról, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való jogáról;
    • hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott Adatkezelés jogszerűségét;
    • felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
    • arról, hogy a Személyes Adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az Érintett köteles-e a Személyes Adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
    • automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.

Nem kell a fentiek szerinti tájékoztatást megadni az Érintett részére, ha és amilyen mértékben az Érintett már rendelkezik az információkkal.

  1. Az Iskola a Személyes Adatok megszerzésének időpontjában az alábbi pontokról ad minden esetben tájékoztatást az Érintettek részére, amennyiben a Személyes Adatokat nem az Érintettől gyűjti:
    • az Adatkezelőnek és az Adatkezelő képviselőjének a kiléte és elérhetőségei (ha van ilyen);
    • az adatvédelmi tisztviselő elérhetőségei (ha van ilyen);
    • a Személyes Adatok tervezett kezelésének célja, valamint az Adatkezelés jogalapja;
    • az érintett Személyes Adatok kategóriái;
    • a Személyes Adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen);
    • adott esetben annak ténye, hogy az Iskola valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá az Európai Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy megfelelő garanciák alapján, az Iskolára vonatkozó világi és egyházi szabályok alapján történő adattovábbítás esetén vagy az Adatkezelő olyan kényszerítő erejű jogos érdekében szükséges adattovábbítás esetén, amihez képest az Érintett érdekei, jogai és szabadságai nem élveznek elsőbbséget, a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás;
    • a Személyes Adatok tárolásának időtartama, vagy, ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
    • az Adatkezelő vagy harmadik fél jogos érdekei, amennyiben az Adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges;
    • az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a Személyes Adatok kezelése ellen, valamint az Érintett adathordozhatósághoz való joga;
    • hozzájáruláson alapuló Adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
    • felügyeleti hatósághoz címzett panasz benyújtásának joga;
    • a Személyes Adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és
    • automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel, és az Érintettre nézve milyen várható következményekkel bír.
  2. Nem kell a fentiek szerinti tájékoztatást megadni az Érintett részére, ha és amilyen mértékben
    • az Érintett már rendelkezik az információkkal;
    • a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a Rendelet vonatkozó rendelkezésében foglalt feltételek és garanciák figyelembevételével végzett Adatkezelés esetében, vagy amennyiben a tájékoztatási kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen Adatkezelés céljainak elérését (az Adatkezelőnek ebben az esetben megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében);
    • az adat megszerzését vagy közlését kifejezetten előírja az Adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az Érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
    • a Személyes Adatoknak szakmai titoktartási kötelezettség alapján – ideértve a jogszabályon alapuló titoktartási kötelezettséget is – bizalmasnak kell maradnia.
  3. Az Iskola az alábbiak szerint jár el a megfelelő tájékoztatás nyújtása érdekében:
    • Az Adatvédelmi Felelős valamennyi adatkezelési tevékenység megkezdését megelőzően felméri, hogy az adott adatkezelési tevékenység esetében fennáll-e az Iskola előzetes tájékoztatási kötelezettsége.
    • Amennyiben az előzetes tájékoztatási kötelezettség fennáll, úgy az Iskola a Személyes Adatok kezelését megelőzően elkészíti / elkészítteti a 6.1(iii), illetőleg a 6.1(iv) pontokban foglaltak szerinti adatkezelési tájékoztatót.
    • Az Iskola az elkészült adatkezelési tájékoztatót a Személyes Adatok kezelésének megkezdése előtt mindazon személyek rendelkezésére bocsátja, akikre az adatkezelési tevékenység kiterjed.
    • Szükség esetén az Iskola vezetője, illetve az Adatvédelmi Felelős külső jogi tanácsadóval konzultál az adatkezelési tájékoztatók elkészítése tekintetében.

6.2. Hozzáféréshez való jog

Az Érintett jogosult tájékoztatást kérni és kapni arról, hogy az Iskola a kérelem beérkezésekor kezeli-e a Személyes Adatait.

Ha az Iskola a kérelmet benyújtó Érintett Személyes Adatait kezeli a kérelem beérkezésekor, akkor az Érintett jogosult a következő információkhoz hozzáférni:

  1. az Adatkezelés céljai;
  2. az érintett Személyes Adatok kategóriái;
  3. azon Címzettek vagy Címzettek kategóriái, akikkel, illetve amelyekkel a Személyes Adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli Címzetteket, illetve a nemzetközi szervezeteket;
  4. adott esetben a Személyes Adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  5. az Érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó Személyes Adatok helyesbítését, törlését vagy kezelésének korlátozását és tiltakozhat az ilyen Személyes Adatok kezelése ellen;
  6. felügyeleti hatósághoz címzett panasz benyújtásának joga;
  7. ha a személyes adatokat nem az Érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
  8. az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen Adatkezelés milyen jelentőséggel bír, és az Érintettre nézve milyen várható következményekkel jár.

Ha az Iskola a Személyes Adatokat harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az Érintett a megfelelő garanciákra vonatkozó tájékoztatásra is jogosult.

Az Iskola ingyenesen az Érintett rendelkezésére bocsátja az Adatkezelés tárgyát képező Személyes Adatokat. A másolat igénylésére vonatkozó jog azonban nem érintheti hátrányosan mások jogait és szabadságait.

További másolatok igénylése esetén az Iskola igényt tarthat az adminisztratív költségek megtérítésére úgy, hogy észszerű összegű díjat számíthat fel.

Az Iskola az alábbiak szerint jár el a hozzáféréshez való jog érvényre juttatása érdekében:

Az Adatvédelmi Felelős biztosítja, hogy a kérelmező a hozzáférési joga érvényre juttatása érdekében benyújtott kérelmével az Iskola foglalkozzon és azt határidőben megválaszolja.

Az Adatvédelmi Felelős a kérelem beérkezését követően megvizsgálja, hogy az Iskola kezeli-e a kérelmező Személyes Adatait.

Amennyien az Iskola nem kezeli a kérelmező Személyes Adatait, úgy az Adatvédelmi Felelős vizsgálatát követően, de legfeljebb a kérelem beérkezésétől számított 30 (harminc) napon belül tájékoztatást nyújt e tényről a kérelmező részére.

Abban az esetben, ha az Iskola kezeli a kérelmező Személyes Adatait, az Adatvédelmi Felelős az ellenőrzést követően, de legfeljebb a kérelem beérkezésétől számított 30 (harminc) napon belül az alábbi lépéseket teszi meg a kérelem megválaszolása érdekében:

  • megvizsgálja, hogy a kérelmező mely Személyes Adatait kezeli az Iskola;
  • megvizsgálja, hogy az adott Személyes Adatokat milyen célból és milyen jogalapon kezeli az Iskola;
  • megvizsgálja, hogy a kérelmező Személyes Adatait mely Címzettek részére továbbította az Iskola;
  • mely Személyes Adatokat milyen időtartamra köteles az Iskola megőrizni.

A fenti lépések megtétele után az Adatvédelmi Felelős előterjesztése alapján az Iskola tájékoztatást nyújt a kérelmező részére, amely az alábbiakat tartalmazza:

  • a kérelmező Személyes Adatai kezelésének célját;
  • a kérelmezőnek az Iskola által kezelt Személyes Adatai kategóriáit;
  • a kezelt Személyes Adatokat mely Címzettek részére továbbították;
  • mely Személyes Adatokat milyen időtartamra őrzi az Iskola;
  • hogyan kérelmezhető a Személyes Adatok helyesbítése, törlése vagy kezelésének korlátozása, valamint, hogy hogyan tiltakozhat a kérelmező a Személyes Adatai kezelése ellen;
  • hogyan és hová nyújthat be panaszt a kérelmező a felügyeleti hatósághoz (ideértve a felügyeleti hatóság elérhetőségéről szóló tájékoztatást is);
  • amennyiben az Iskola a Személyes Adatokhoz nem közvetlenül a kérelmezőtől jutott hozzá, valamennyi információra kiterjedő tájékoztatást arról, hogy honnan jutott hozzá a kérelmező Személyes Adataihoz;
  • amennyiben az Iskola a kérelmező Személyes Adatait automatizált döntéshozatal céljából kezeli, akkor az automatizált döntéshozatalra vonatkozó információkat;
  • amennyiben a Személyes Adatokat az Iskola harmadik országba vagy nemzetközi szervezet részére továbbítja, akkor az adattovábbításra vonatkozó információkat.

Az Iskola a tájékoztatással egyidejűleg másolatot ad át a kérelmezőnek az Iskola rendelkezésére álló Személyes Adatairól.

6.3. Helyesbítéshez való jog

Az Iskola az Érintett kérése esetén – indokolatlan késedelem nélkül – helyesbíti az Érintettre vonatkozó pontatlan vagy hiányos Személyes Adatokat.

Az Iskola minden olyan Címzettet tájékoztat arról, hogy az Érintett a helyesbítéshez való jogát gyakorolta, akivel vagy amellyel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.

Az Iskola az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.

Az Iskola az alábbiak szerint jár el a helyesbítéshez való jog érvényre juttatása érdekében:

Az Adatvédelmi Felelős biztosítja, hogy az Iskola az Érintett helyesbítésre való kérelmének beérkezését követően a lehető legrövidebb időn belül foglalkozzon a kérelemmel.

Az Adatvédelmi Felelős a helyesbítési kérelem beérkezését követően megvizsgálja, hogy a helyesbíteni kért Személyes Adatok az Iskola mely adatkezelési folyamataiban szerepelnek, valamint azt is, hogy a Személyes Adatokat mely program(ok)ban kell javítani annak érdekében, hogy azok valamennyi folyamatban helyesbítésre kerüljenek.

Az Iskola a pontatlan vagy hiányos adatokat a kérelmező kérésének megfelelően a folyamatban lévő ügyekben helyesbíti, valamint biztosítja, hogy a jövőbeli adatkezelési tevékenységek során a helyesbített adatok kerülnek felhasználásra.

Az Iskola a helyesbített adatokról minden olyan Címzettet tájékoztat, akivel vagy amellyel az Iskola az adott, helyesbíteni kért adatok közölte.

Az Iskola a Személyes Adatok helyesbítésének megtörténtéről tájékoztatja a kérelmezőt.

6.4. Törléshez való jog

Az Iskola az Érintett írásbeli kérése esetén – indokolatlan késedelem nélkül – törli az Érintettre vonatkozó Személyes Adatokat.

6.4.1. Az Iskola törli a Személyes Adatokat, amennyiben az alábbi pontokban foglaltak valamelyike fennáll:
  • a Személyes Adatokra abból a célból már nincs szükség, amelyből azokat gyűjtötték vagy más módon kezelték;
  • az Érintett visszavonja az Adatkezelés alapját képező hozzájárulását és az Adatkezelésnek nincs más jogalapja;
  • az Érintett saját helyzetével kapcsolatos okokból tiltakozik az Adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az Adatkezelésre, vagy az Érintett közvetlen üzletszerzési célból kezelt Személyes Adatok kezelése ellen tiltakozik;
  • a Személyes Adatokat jogellenesen kezelték;
  • a Személyes Adatokat az Adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;
  • a Személyes Adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Amennyiben az Iskola nyilvánosságra hozta a Személyes Adatot és azt törölni köteles, akkor – az elérhető technológia és a megvalósítás költségeinek figyelembevételével – megteszi az elvárható lépéseket annak érdekében, hogy tájékoztassa a Személyes Adatokat kezelő Adatkezelőket, hogy az Érintett kérelmezte tőlük az adott Személyes Adatra mutató linkek vagy e Személyes Adatok másolatának, illetve másodpéldányának törlését.

6.4.2. Az Iskola nem törli azonban a Személyes Adatokat és nem tesz lépéseket a Személyes Adatokat kezelő Adatkezelők tájékoztatása érdekében, amennyiben az Adatkezelés szükséges:
  • a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
  • a Személyes Adatok kezelését előíró, az Adatkezelőre alkalmazandó jogi kötelezettség teljesítése, illetve közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
  • a népegészségügy területét érintő közérdek alapján;
  • a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
  • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

Az Iskola minden olyan Címzettet tájékoztat arról, hogy az Érintett a törléshez való jogát gyakorolta, akivel vagy amellyel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.

Az Iskola az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.

Az Iskola az alábbiak szerint jár el a törléshez való jog érvényre juttatása érdekében:

Az Iskolához beérkező, a törléshez való jog érvényre juttatására irányuló kérelmekkel az Adatvédelmi Felelős foglalkozik.

A törlésre irányuló kérelem beérkezését követően az Adatvédelmi Felelős megvizsgálja, hogy

  • a kérelmező Személyes Adatait milyen célból, illetve milyen jogalapon kezeli az Iskola;
  • az adott célból, illetve jogalapon kezelt Személyes Adatokat az Iskola mennyi ideig jogosult kezelni;
  • a jelen pontban felsorolt törlési okok bármelyike fennáll-e a kérelmező Személyes Adatainak kezelése esetében;
  • a jelen pontban foglalt bármely okból szükséges-e a törölni kért Személyes Adatok kezelése.

Amennyiben a fent felsorolt törlési okok bármelyike fennáll, és a Személyes Adatok kezelését egyetlen, az Adatkezelés szükségességét alátámasztó kivétel sem alapozza meg azon Személyes Adatok tekintetében, melyeknek a törlését az Érintett kérte, akkor az Iskola az Érintett kérésének megfelelően törli az adott Személyes Adatokat.

Ha az Iskola a kérelmező törölni kért Személyes Adatait nyilvánosságra hozta, akkor köteles minden olyan Címzettet tájékoztatni a Személyes Adatok törléséről, aki vagy amely részére azokat továbbította.

Amennyiben a kérelmező által törölni kért Személyes Adatok bármelyikének kezelése a jelen pontban felsorolt bármely ok miatt szüksége, úgy az Iskola az adott Személyes Adatot nem törli, hanem a nyilvántartásában megőrzi. Ebben az esetben az Iskola köteles tájékoztatni a kérelmezőt arról, hogy a törölni kért Személyes Adatok kezelése mely ok miatt szükséges.

Az Iskola a kérelmező erre irányuló kérése esetén tájékoztatást nyújt arról, hogy Személyes Adatait mely Címzettek részére továbbította.

6.5. Adatkezelés korlátozásához való jog

Az Iskola korlátozza a Személyes Adatok kezelését, amennyiben az Érintett erre irányuló kérelmet nyújt be az Iskola részére és valamelyik alábbi pontban foglalt feltétel teljesül:

  1. az Érintett vitatja a Személyes Adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a Személyes Adatok pontosságát;
  2. az Adatkezelés jogellenes és az Érintett ellenzi az adatok törlését, ehelyett kéri azok felhasználásának korlátozását;
  3. az Adatkezelőnek már nincs szüksége a Személyes Adatokra Adatkezelés céljából, de az Érintett jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez igényli azokat; vagy
  4. az Érintett saját helyzetével kapcsolatos okokból tiltakozott az Adatkezelés ellen (ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben).

Az Iskola Személyes Adatok kezelésének korlátozása esetén a Személyes Adatokat a tárolás kivételével csak az Érintett hozzájárulásával jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes személy vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekből kezelheti.

Az Iskola az Érintettet előzetesen tájékoztatja a Személyes Adatok kezelése korlátozásának feloldásáról, amennyiben a Személyes Adatok kezelésének korlátozására korábban sor került.

Az Iskola minden olyan Címzettet tájékoztat arról, hogy az Érintett az Adatkezelés korlátozásához való jogát gyakorolta, akivel vagy amellyel a Személyes Adatot közölte, kivéve, ha ez lehetetlen vagy aránytalanul nagy erőfeszítést igényel.

Az Iskola az Érintett kérésére tájékoztatja az Érintettet a Személyes Adatai Címzettjeiről.

Az Iskola az alábbiak szerint jár el a Személyes Adatok korlátozásához való jog érvényre juttatása érdekében:

Az Iskola által kijelölt Adatvédelmi Felelős gondoskodik arról, hogy a kérelmező az Adatkezelés korlátozásához való jogát érvényre juttathassa.

Az Adatvédelmi Felelős a kérelem beérkezését követően köteles megvizsgálni, hogy az Adatkezelés korlátozásának bármely, jelent pontban foglalt feltétele fennáll-e.

Amennyiben az Adatkezelés korlátozására vonatkozó bármely ok fennáll, az Iskola az alábbiak szerint korlátozza a Személyes Adatok kezelését:

  • papír alapon történő Adatkezelés esetén olyan külön mappába, lezárt borítékba helyezi el a korlátozni kívánt Személyes Adatokat tartalmazó dokumentumokat, amelyhez az Iskolán belül az Adatvédelmi Tisztviselőn kívül senki nem fér hozzá;
  • elektronikus alapú Adatkezelés esetén külső adathordozóra (mely lehet pendrive, cd, dvd) másolja a korlátozni kívánt Személyes Adatokat tartalmazó dokumentumokat, és az adathordozót a papír alapú zárolt Személyes Adatokat tartalmazó mappába, lezárt borítékba helyezi el. A zárolt Személyes Adatokat ezt követően törli az eredeti tárolási helyéről, illetőleg az eredeti tárolási helyen anonimizált adatként tárolja tovább.

A lezárt borítékon fel kell tüntetni a Személyes Adatok törlésének várható időpontját.

Az Iskola tájékoztatja a kérelmezőt a Személyes Adatok kezelésének korlátozásáról.

6.6. Adathordozhatósághoz való jog

Az Érintett megkaphatja a rá vonatkozó, általa az Iskola rendelkezésére bocsátott Személyes Adatokat tagolt, széles körben használt, géppel olvasható formátumban, továbbá továbbíthatja ezeket az adatokat egy másik Adatkezelőnek anélkül, hogy ezt akadályozná az Iskola, ha:

  • az Adatkezelés hozzájáruláson vagy szerződésen alapul; és
  • az Adatkezelés automatizált módon (azaz nem papír alapon) történik.

Az Érintett kérheti, hogy az Iskola az általa megadott (például e-mail cím, életkor) vagy tevékenységének megfigyeléséből származó (például tevékenységlogok, honlapelőzmények, keresési előzmények) Személyes Adatait másik Adatkezelő részére közvetlenül továbbítsa.

Az Adatkezelő az adathordozhatósághoz való jog gyakorlása esetén közvetlenül átadhatja az Érintett vagy másik Adatkezelő részére a Személyes Adatokat vagy lehetőséget biztosíthat az Érintett részére a Személyes Adatok exportálására.

Az Adatkezelő a Személyes Adatokat géppel olvasható formátumban adja ki, a Rendelet nem ír elő meghatározott fájlformátumot. Az Adatkezelő gyakran használt, könnyen beszerezhető fizetős vagy ingyenes szoftverek által olvasható formátumban adja át a Személyes Adatokat (így például xml, csv formátum).

Az Adatkezelő a személyes adatokat tartalmazó fájl metaadatait a legteljesebb mértékben megőrzi a Személyes Adatok átadása során. Személyes Adatok átadása esetén olyan formátumot kell választani, amely legteljesebb mértékben megőrzi a dokumentum metaadatait, az adathordozhatósághoz való jog érvényesítése esetén a Személyes Adatok ezért nem adhatók át pdf formátumban.

A formátum tekintetében megkeresheti az Iskola az Érintettet. Az Iskolának az egyes formátumokkal kapcsolatban olyan tájékoztatást kell nyújtani az Érintett részére, amely tájékoztatás alapján az Érintett képessé válik a Személyes Adatok kiadásának formátumára vonatkozó döntés meghozatalára.

A Személyes Adatok hordozhatóságának biztonsága érdekében az Adatkezelő a Személyes Adatokat tartalmazó fájlt jelszóval védheti, érzékeny adatok esetén akár külső eszközzel történő azonosításon alapú hozzáférést is biztosíthat az Érintett vagy a másik Adatkezelő részére.

Az adathordozhatósághoz való jog gyakorlása nem sértheti a Személyes Adatok törléséhez való jogot, illetőleg nem érinti a Személyes Adatok őrzési idejét. Az Adatkezelő nem köteles a Személyes Adatokat hosszabb ideig őrizni annak érdekében, hogy az Érintett az adathordozhatósághoz való jogával élhessen.

Az adathordozhatósághoz való jog gyakorlása nem érintheti hátrányosan mások jogait és szabadságait.

Az Adatkezelő nem köteles az átadásra kerülő személyes adatok minőségét ellenőrizni.

Az adathordozhatósághoz való jog gyakorlásának lehetőségéről tájékoztatni kell az Érintettet minden esetben mielőtt felhasználói fiókját bezárja.

Az Iskola az alábbiak szerint jár el a Személyes Adatok adathordozhatóságának való jog érvényre juttatása érdekében:

Az Iskola által végzett, hozzájáruláson vagy szerződésen alapuló Adatkezelés során a Személyes Adatok kezelésére automatizált módon sor kerülhet.

Az Iskola a kérelem beérkezését követően megvizsgálja, hogy a kérelem tárgyát képező Személyes Adatok kezelésére mely jogalapon kerül sor. Ha a Személyes Adatok kezelésére hozzájárulás vagy szerződés teljesítése jogalapon kerül sor, akkor megvizsgálja, hogy az Adatkezelés automatizált módon (azaz nem papíralapú adatkezelés keretében) történik-e.

Amennyiben a Személyes Adatok kezelése hozzájárulás vagy szerződés alapján történik és az Adatkezelésre automatizált módon kerül sor, akkor az adathordozhatósághoz való jogra vonatkozó kérelem alapján történő intézkedés előkészítésében és teljesítésében az Iskola részére rendszergazda feladatokat ellátó személy és az Adatvédelmi Felelős vesznek részt.

A kérelemben foglaltak szerint összeállítják a Személyes Adatokat elektronikus formában és Adatvédelmi Felelős a kérelmező rendelkezésére bocsátja vagy a kérelmező által meghatározott Adatkezelő részére továbbítja a Személyes Adatokat xml formátumban.

6.7. Tiltakozáshoz való jog

Az Érintett bármikor tiltakozhat saját helyzetével kapcsolatos okokból a Személyes Adatainak kezelése ellen, amennyiben az Adatkezelés közérdekű, vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, vagy az Adatkezelés az Adatkezelő vagy egy Harmadik Fél jogos érdekeinek érvényesítéséhez szükséges. Az Iskola az Érintett tiltakozása esetén nem kezelheti tovább a Személyes Adatokat, kivéve, ha az Iskola bizonyítja, hogy az Adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Közvetlen üzletszerzés érdekében történő Adatkezelés esetén az Érintett bármikor tiltakozhat a Személyes Adatai üzletszerzési célból történő kezelése ellen (üzletszerzés érdekében folytatott profilalkotás esetén is). Az Érintett tiltakozása esetén üzletszerzési célból az Iskola nem kezelheti a Személyes Adatokat a tiltakozást követően.

Az Érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

Ha a Személyes Adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó Személyes Adatok kezelése ellen, kivéve, ha az Adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

Az Iskola az alábbiak szerint jár el a Személyes Adatok kezelése elleni tiltakozáshoz való jog érvényre juttatása érdekében:

Az Adatvédelmi Felelős köteles gondoskodni arról, hogy az Érintett tiltakozáshoz való jogának érvényre juttatásával kapcsolatos kérelmében az Iskola eljárjon.

Ennek első lépéseként az Adatvédelmi Felelős a kérelem beérkezését követően megvizsgálja az Adatkezelés célját.

6.7.1. Jogos érdeken alapuló Adatkezelés

Az Adatkezelési Felelős megvizsgálja, hogy az adott Személyes Adathoz fűződő Adatkezelést indokolja-e bármely olyan, kényszerítő erejű jogos ok, amely elsőbbséget élvez a kérelmező érdekeivel, jogaival és szabadságaival szemben, illetőleg, amely a jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik. Ennek érdekében az Adatvédelmi Felelős áttekinti az Iskola által korábban lefolytatott érdekmérlegelési tesztek eredményét, illetve, amennyiben korábban nem került sor érdekmérlegelésre, elkészíti az érdekmérlegelési tesztet arra tekintettel, hogy az Adatkezelő vagy a Harmadik Fél érdekei elsőbbséget élveznek-e az Érintett érdekeivel, jogával vagy szabadságaival szemben.

Amennyiben az Adatvédelmi Felelős az érdekmérlegelési tesztek áttekintése / elkészítése során arra az eredményre jut, hogy az Adatkezelést indokolják olyan, kényszerítő erejű jogos okok, amelyek elsőbbséget élveznek a kérelmező érdekeivel, jogaival és szabadságaival szemben, illetőleg jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak, úgy az Iskola folytatja a Személyes Adatok kezelését, ellenkező esetben azonban köteles a Személyes Adatokat törölni.

Az Iskola a következő, jogos érdeken alapuló Adatkezeléseket folytatja:

  • munkavállalói adatok kezelése kapcsolattartás céljából;
  • meghallgatási jegyzőkönyvekben szereplő személyes adatok kezelése;
  • szakmai végzettséget alátámasztó bizonyítványok másolatának kezelése nem pedagógus munkakörben foglalkoztatottak esetén;
  • munkavállalók részére biztosított e-mail fiók kezelése a munkaviszony megszűnését követően;
  • szerződéses partnerek kapcsolattartási adatainak kezelése;
  • rendszámalapú beléptetéssel kapcsolatos Személyes Adatok kezelése.
6.7.2. Tudományos és történelmi kutatási célból vagy statisztikai célból végzett Adatkezelés

Amennyiben a kérelmező a saját helyzetével kapcsolatos okokból tiltakozik az Adatkezelés ellen, az Adatvédelmi Felelős megvizsgálja, hogy a Személyes Adatok kezelése tudományos és történelmi kutatás céljából vagy statisztikai célból történik-e, illetve, hogy az Adatkezelésre közérdekű okból végzett feladat végrehajtása miatt van-e szükség.

Amennyiben az Adatkezelés közérdekű okból végzett feladat végrehajtása érdekében szükséges, a kérelmező nem jogosult a Személyes Adatok kezelése elleni tiltakozásra. E tényről az Iskola tájékoztatja a kérelmezőt.

6.8. Panasztételhez való jog

Az Érintett jogosult a felügyeleti hatóságnál panasszal élni, ha megítélése szerint a rá vonatkozó Személyes Adatok kezelése megsérti a Rendeletet.

Az Érintett egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül jogosult panaszt benyújtani a felügyeleti hatósághoz.

6.9. Adatkezelővel vagy Adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog

Az Érintett jogosult bírósági jogorvoslatra, ha megítélése szerint a Személyes Adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait.

7. Adattovábbítás harmadik országba vagy nemzetközi szervezet felé

Olyan Személyes Adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, az alábbi esetekben kerülhet sor:

  • az Európai Bizottság megfelelőségi határozata alapján;
  • az Adatkezelő vagy Adatfeldolgozó által nyújtott megfelelő garanciák alapján;
  • az Iskolára vonatkozó világi és egyházi szabályok alapján; vagy
  • az alábbi feltételek teljesülése esetén
  • az Érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
  • az Adattovábbítás az Érintett és az Adatkezelő közötti szerződés teljesítéséhez, vagy az Érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
  • az Adattovábbítás az Adatkezelő és valamely más természetes vagy jogi személy közötti, az Érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
  • az Adattovábbítás fontos közérdekből szükséges;
  • az Adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
  • az Adattovábbítás az Érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az Érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
  • a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

Az Iskolának garantálnia kell a harmadik országba, illetve nemzetközi szervezet részére történő Adattovábbítás során, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.

8. Adatkezelési tevékenységek nyilvántartása

8.1. Az Iskola a felelősségébe tartozóan végzett (ideértve az Adatkezelés, az Adatfeldolgozás és a közös Adatkezelés esetét is) adatkezelési tevékenységekről nyilvántartást vezet, amely jelen Szabályzat 2. sz. Mellékletét képezi. E nyilvántartás a következő információkat tartalmazza:

  • az Adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös Adatkezelőnek, az Adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  • az Adatkezelés céljai;
  • az Érintettek kategóriáinak, valamint a Személyes Adatok kategóriáinak ismertetése;
  • olyan Címzettek kategóriái, akikkel a Személyes Adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  • adott esetben a Személyes Adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
  • ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  • ha lehetséges, az adatbiztonság garantálása érdekében tett technikai és szervezési intézkedések általános leírása.

8.2. Az adatkezelési tevékenységek nyilvántartását az Adatvédelmi Felelős folyamatosan, de legalább évente frissíteni köteles.

Az adatkezelési tevékenységek nyilvántartásának frissítése során az Adatvédelmi Felelős az alábbiak szerint jogosult eljárni:

Az Adatvédelmi Felelős meghatározott időközönként (évente) felülvizsgálja az Iskola adatkezelési tevékenységeinek körét.

Amennyiben az Iskola adatkezelési tevékenységi köre változott, úgy az Adatvédelmi Felelős kezdeményezi az Iskola Szabályzatának módosítását, az adatvédelmi nyilvántartási lapok kiegészítését, törlését felülvizsgálja / elvégzi az Iskola jogos érdekén alapuló adatkezelési tevékenységekhez kapcsolódó érdekmérlegelési teszteket, ellenőrzi az esetleges Adatvédelmi Incidensek nyilvántartását.

Az Adatvédelmi Felelős szükség esetén külső jogi tanácsadóval konzultál az Iskola Szabályzatának felülvizsgálatával kapcsolatban.

9. Adatbiztonság

9.1. Kockázatok azonosítása és értékelése

Az Iskola felméri, hogy az általa kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből potenciálisan milyen kockázatok erednek.

Az Iskola a fentiek szerint azonosított kockázatokat azok felmerülésének valószínűsége és a Személyes Adatok biztonsága szempontjából meghatározott súlyossága szerint besorolja.

  • Papíralapú Adatkezelés

Az Iskola a papíralapon kezelt Személyes Adatok esetén a véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat azonosította:

Az Iskola a papíralapú Adatkezelés során azonosított kockázatokat súlyosság és bekövetkezés valószínűsége szempontjából az alábbiak szerint értékelte:

Esemény Kockázat azonosítás Kockázat bekövetkezésének valószínűsége Kockázat súlyossága
Véletlen megsemmisítés Időlegesen nem elérhető a személyes adat 2 10
Jogellenes megsemmisítés Időlegesen nem elérhető a személyes adat 1 10
Elvesztés Idegen hozzáférés lehetséges 1 10
Megváltoztatás A személyes adat nem felel meg a valóságnak 2 10
Jogosulatlan nyilvánosságra hozatal Idegen hozzáférés lehetősége fennáll 2 9
Jogosulatlan hozzáférés Célzott adatlopás, idegen hozzáférés a személyes adathoz 3 9

 

(A kockázat valószínűségét és súlyosságát az Iskola 1-10-es skálán értékeli, ahol az 1-es érték a legalacsonyabb valószínűséget, illetve súlyosságot, a 10-es érték pedig a legmagasabb valószínűséget, illetve súlyosságot jelenti.)

Az Iskola a kockázatok súlyosság és bekövetkezés valószínűsége szempontjából a 9.4. pontban foglalt szempontokat vette figyelembe.

  • Elektronikus eszközök igénybevételével megvalósuló Adatkezelés

Az Iskola az elektronikus eszközök igénybevételével kezelt Személyes Adatok esetén a véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat azonosította:

Az Iskola az elektronikus eszközök igénybevételével megvalósuló Adatkezelés során azonosított kockázatokat súlyosság és bekövetkezés valószínűsége szempontjából az alábbiak szerint értékelte:

Esemény Kockázat azonosítás Kockázat bekövetkezésének valószínűsége Kockázat súlyossága
Véletlen megsemmisítés Időlegesen nem elérhető a személyes adat 3 8
Jogellenes megsemmisítés Időlegesen nem elérhető a személyes adat 1 7
Elvesztés Idegen hozzáférés lehetséges 3 8
Megváltoztatás A személyes adat nem felel meg a valóságnak 2 7
Jogosulatlan nyilvánosságra hozatal Idegen hozzáférés lehetősége fennáll 1 9
Jogosulatlan hozzáférés Célzott adatlopás, idegen hozzáférés a személyes adathoz 2 8

 

(A kockázat valószínűségét és súlyosságát az Iskola 1-10-es skálán értékeli, ahol az 1-es érték a legalacsonyabb valószínűséget, illetve súlyosságot, a 10-es érték pedig a legmagasabb valószínűséget, illetve súlyosságot jelenti.)

Az Iskola a kockázatok súlyosság és bekövetkezés valószínűsége szempontjából a 9.4. pontban foglaltszempontokat vette figyelembe.

  • A papíralapú és elektronikus eszközök igénybevételével megvalósuló Adatkezelés kockázatainak értékelése

A fenti táblázatok alapján az Iskolának a papír alapú és elektronikus Adatkezelésével kapcsolatos kockázatai a következők:

  • papíralapú adatkezelés: 105
  • elektronikus: 94
  • minimális kockázat: 12*1*10=120

Az Iskola feltárt kockázata:105+94/120=1,658

Feltárt kockázatminősítési sávok:

  • 0-1,999 –> „alacsony, munkában rejlő, kezelhető”
  • 2-4,999 –> „közepes, fejlesztendő”
  • 5-6,999 –> „közepes, további konkrét lépések szükségesek”
  • 7-10 –> „kockázatos”, azonnali intézkedés szükséges

9.2. Adatbiztonsági követelmények kialakításának szempontjai

Az Iskola a Személyes Adatok biztonságát a fenti pont szerint azonosított kockázatok mérséklése érdekében a következő szempontok figyelembevételével alakítja ki:

  • kiemelt figyelmet fordít a magasabb kockázati besorolásba került eseményekre

9.3. Adatbiztonságot szolgáló intézkedési lehetőségek

Az Iskola a megállapított kockázatok és a fenti pont szerinti szempontok figyelembevételével – többek között – az alábbi intézkedéseket hajtja végre a Személyes Adatok biztonsága érdekében:

  • megfelelő adatkezelési szabályzat alkalmazása
  • a hozzáférési jogok megfelelő kialakítása

Az Adatkezelő továbbá biztosítja, hogy az Adatkezelőnél, illetve az Adatfeldolgozónál a Személyes Adatokhoz hozzáférő személyek a Személyes Adatokat kizárólag az Adatkezelő utasításának megfelelően kezelhessék. E személyek akkor kezelhetik a Személyes Adatokat az Adatkezelő utasításától eltérően, ha őket az Európai Unió vagy az Európai Unió tagállamának joga erre kötelezi.

9.4. Adatbiztonság megvalósulása az Iskolánál

Az Iskola a Személyes Adatok biztonságának biztosítása érdekében a következő intézkedéseket teszi:

  • megfelelő IT biztonsági szabályzat ismertetése tanév elején a szülőkkel és a papíralapú hozzájáruló nyilatkozatok elkészítése

10. Egészségügyi adatok biztonsága

Az Iskolában az iskolaorvos, a foglalkozás-egészségügyi orvos, a védőnő, az orvos asszisztens, az iskolapszichológus, valamint a gyógypedagógusok kezelnek egészségügyi adatokat. A védőnő, valamint az orvos asszisztens megbízási jogviszonyban látja el a feladatait, valamennyi további fenti személy az Iskola alkalmazottja (a továbbiakban együttesen „Egészségügyi Feladatokat Ellátók”).

Az Iskola a fogorvosi ellátás tekintetében külső szolgáltatót bízott meg, aki részére a fogorvosi vizsgálat elvégzéséhez szükséges személyazonosító adatokat átadja. A fogorvosi vizsgálat elvégzésével kapcsolatos további személyes adatokat az Iskola nem kezel.

10.1. Az adatkezelési rendszer általános biztonsági előírásai

Az Egészségügyi Feladatokat Ellátók saját helyiséggel rendelkeznek a feladataik ellátására, az iskolaorvos, a foglalkozás-egészségügyi orvos, a védőnő, az orvos asszisztens közös rendelőt használ, az iskolapszichológus, valamint a gyógypedagógusok saját szobával rendelkeznek.

Az Egészségügyi Feladatokat Ellátók papíralapú nyilvántartásokat vezetnek, a nyilvántartásokban a jogszabályok által előírt személyes adatokat tüntetik fel, kötelező adatszolgáltatás esetén személyes adatokat nem tartalmazó statisztikai adatokat adnak át az illetékes hatóság részére.

Az Egészségügyi Feladatokat Ellátók gondoskodnak arról, hogy a papíralapon kezelt személyes adatokat úgy kezeljék, hogy azokba csak az arra jogosultak tekinthessen be, további személyek részére nem biztosítanak betekintést még akkor sem, ha e személyek a rendelőbe/szobába belépnek.

Az Egészségügyi Feladatokat Ellátók a tanulók védelem érdekében együttműködnek és a feladataik ellátásához szükséges személyes adatokat megosztják egymással, valamint a pedagógiai szakszolgálatokkal. Az iskolaorvos és a védőnő egészségügyi kérdésekben felkérésre szakértőként közreműködik a nevelőtestület munkájában. Az iskolapszichológus a pedagógusokkal a nevelő-oktató munka végzéséhez szükséges személyes adatokat megosztásával segítséget nyújt.

10.2. Az adatkezelési rendszer biztonságának és kezelésének részletes szabályozása

10.2.1. Az adatkezelési rendszer környezetének védelme

Az orvosi rendelőt nem zárják, tekintettel arra, hogy vészhelyzet esetén az újraélesztő készülékhez, illetve az orvosi eszközökhöz szabadon és gyorsan szükséges hozzáférni. Az iskolaorvos és a foglalkozás-egészségügyi orvos az egészségügyi adatokat tartalmazó dokumentumokat zárt szekrényben őrzi, amihez kizárólag az iskolaorvos, a foglalkozás-egészségügyi orvos és a védőnő, valamint az orvos asszisztens rendelkezik hozzáféréssel.

Az iskolapszichológus, valamint a gyógypedagógusok a szobájukat zárják, amikor nem tartózkodnak ott.

Az iskolapszichológus a személyes adatokat tartalmazó dokumentumokat külön szekrényekben tárolja. A szülői beleegyező nyilatkozatok, a szakszolgálati vélemények, kivizsgálások leletei, valamint jelige név megfeleltetés, illetve a szociometriai mérések adatai vannak az egyik kulcsra zárt szekrényben, a tanulók által foglalkozásokon készített alkotások és az iskolapszichológus jegyzetei a másik kulcsra zárt szekrényben. Az iskolapszichológus a tanulók által foglalkozásokon készített alkotásokat és a jegyzeteit jeligével látja el, azokon nem szerepelnek a tanulók személyazonosító adatai.

A gyógypedagógusok a személyes adatokat tartalmazó dokumentumokat zárható szekrényben tárolják a szobájukban. A gyógypedagógusok egymás dokumentumaihoz szabadon hozzáférnek.

10.2.2. Az adatok sérülésének, illetve elvesztésének megelőzése

A személyes adatok sérülésének és elvesztésének megelőzése érdekében az Egészségügyi Feladatokat Ellátók a személyes adatokat tartalmazó dokumentumokat papíralapon tárolják, elsősorban zárt szekrényben, illetve zárt helyiségben.

Az orvosi rendelő, valamint az iskolapszichológus, valamint a gyógypedagógusok szobájának közelében porral oltó készülék került elhelyezésre.

A védőnő a szülőkkel szemben fennálló kapcsolattartási kötelezettségének telefonon vagy e-mailben tesz eleget. A védőnő e feladat ellátása céljából kizárólag az Iskola által biztosított e-mail címet használja, az e-mailben a tanulóra vonatkozó egészségügyi adatot kivételes esetében tüntet fel, az e-mailezés elsődleges célja a szülőkkel való személyes egyeztetés, családlátogatás időpontjának egyeztetése. A védőnő továbbá telefonos egyeztetés során kerüli a tanulóra vonatkozó egészségügyi adat kiadását, tekintettel arra, hogy nem azonosítható egyértelműen a telefonvonal másik végén lévő fél, a telefonos egyeztetés ebből következően elsősorban a szülőkkel való személyes egyeztetés, családlátogatás időpontjának egyeztetése célját szolgálja.

Az iskolapszichológus, amennyiben a törvényes képviselővel szükséges egyeztetnie, akkor a kapcsolatfelvétel céljából a törvényes képviselővel a beleegyező nyilatkozatban szereplő e-mail címen vagy telefonszámon veszi fel a kapcsolatot. Az iskolapszichológus az Iskola által biztosított e-mail fiókot használja. A telefonos egyeztetés és az e-mailezés során kizárólag a szükséges személyes adatokat osztja meg, a törvényes képviselővel az egyeztetést személyesen folytatja le.

A gyógypedagógusok, amennyiben a törvényes képviselővel szükséges egyeztetniük, akkor a kapcsolatfelvétel céljából a törvényes képviselővel a beleegyező nyilatkozatban szereplő e-mail címen vagy telefonszámon veszik fel a kapcsolatot. A gyógypedagógusok az Iskola által biztosított e-mail fiókot használják. A telefonos egyeztetés és az e-mailezés során kizárólag a szükséges személyes adatokat osztják meg, a törvényes képviselővel az egyeztetést személyesen folytatják le.

10.3. Az adatkezelési rendszer sérülése, illetve károsodása esetére tervezett intézkedések

Amennyiben a személyes adatokat tartalmazó dokumentumok megsérülnek, akkor az iskolaorvos, a foglalkozás-egészségügyi orvos, a védőnő, az orvos asszisztens a feladataik ellátáshoz szükséges személyes adatokat a szülőktől, valamint az adatszolgáltatásokból és az ambuláns lapok háziorvosnál fellelhető másolatából visszaállítják.

Az iskolapszichológus a folyamatban lévő foglalkozássokkal kapcsolatos adatokat nem tudja visszaállítani, tekintettel arra, hogy a személyes adatok nem lelhetők fel az iskolapszichológus szobáján kívül. Az iskolapszichológus a foglalkozásokon felveszi ismételten a tanuló személyes adatait, valamint a foglalkozás folytatásához szükséges adatokat.

A gyógypedagógusok a szakértői vélemények másolatát beszerzik a pedagógiai szakszolgálatoktól és a szakvélemények alapján folytatják a tanulókkal való foglalkozást. Amennyiben a foglalkozásokat önkéntesen vette igénybe a tanuló, akkor a foglalkozásokon felveszik ismételten a tanuló személyes adatait, valamint a foglalkozás folytatásához szükséges adatokat.

10.4. Az adatok eltulajdonítása elleni védekezés szabályai

Az Egészségügyi Feladatokat Ellátók a személyes adatokat tartalmazó dokumentumokat papíralapon tárolják, elsősorban zárt szekrényben, illetve zárt helyiségben.

10.5. Az adatkezelőkre vonatkozó szabályok

10.5.1. Az adatkezelők munkavégzésre irányuló jogviszonyával összefüggő adatvédelmi vonatkozású kérdések szabályozása

Az Egészségügyi Feladatokat Ellátóknak a személyes adatok kezelése során titoktartási kötelezettségük áll fenn, amelyet egyrészt a jogszabály rögzít, másrészt pedig az Iskolával fennálló szerződésben szerepel.

Az iskola-egészségügyi ellátásra vonatkozóan a 26/1997. (IX.3.) NM rendelet, valamint az abban foglalt felhatalmazás alapján kidolgozott egészségügyi dokumentáció vezetésének rendje irányadó.

A foglakozás-egészségügyi ellátásra a 27/1995. (VII. 25.) NM rendelet vonatkozik.

Az iskolapszichológusi feladatok ellátására a 2011. évi CXC. törvény 132. § -a, a 15/2013. (II.26.) EMMI rendelet 29. §-a és a pszichológusok etikai kódexe vonatkozik.

A gyógypedagógusok tevékenységére a 2011. évi CXC. törvény és a 15/2013. (II.26.) EMMI rendelet vonatkozik.

10.5.2. Az adatvédelmi képzés szabályozása

Az Egészségügyi Feladatokat Ellátók köteles részt venni az Iskola által az egészségügyi adatok kezelésére is kitérő, személyes adatok kezelésére vonatkozó képzésen. Továbbá, az Egészségügyi Feladatokat Ellátók a tevékenységük végzése során részt vehetnek olyan külső képzéseken, amelyek a tevékenységük végzésével kapcsolatos adatkezelési tevékenységekre kitérnek, segítséget nyújtanak az adatvédelemmel kapcsolatos előírások

10.6. Az egészségügyi dokumentáció tárolási ideje

Az Iskola az egészségügyi dokumentáció megőrzéséről gondoskodik. Az egyes dokumentumok megőrzési idejére a nyilvántartási lapok, valamint az őrzési idő táblázat irányadó.

11. Adatvédelmi Incidens

Adatvédelmi Incidens történik, ha a Személyes Adatok biztonsága olyan sérülést szenved, amely a továbbított, tárolt vagy más módon kezelt Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

11.1. Adatvédelmi Incidens bejelentése

Az Iskola az Adatvédelmi Incidenst indokolatlan késedelem nélkül, lehetőség szerint legkésőbb 72 órával azt követően, hogy az Adatvédelmi Incidensről tudomást szerzett, bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az Adatvédelmi Incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ha az Iskola az Adatvédelmi Incidenst, annak tudomására jutásától számított 72 órán belül nem jelenti be, akkor a későbbi bejelentéssel egyidejűleg igazolja a késedelem indokait.

Az Iskola a bejelentésben legalább az alábbiakat ismerteti:

  • az Adatvédelmi Incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az Adatvédelmi Incidensből eredő, valószínűsíthető következményeket;
  • az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

11.2. Adatvédelmi Incidens nyilvántartása

Az Iskola nyilvántartja azokat az Adatvédelmi Incidenseket, amelyek olyan Személyes Adatokat érintenek, amelyek tekintetében az Iskola Adatkezelőként jár el. Az Iskola az Adatvédelmi Incidensekről készült nyilvántartásban a következőket tűnteti fel:

  • Adatvédelmi Incidenshez kapcsolódó tények;
  • Adatvédelmi Incidens hatásai;
  • Adatvédelmi Incidens orvoslására tett intézkedések.

11.3. Érintettek tájékoztatása az Adatvédelmi Incidensről

Az Iskola indokolatlan késedelem nélkül tájékoztatja az Érintetteket valamennyi olyan Adatvédelmi Incidensről, ami olyan Személyes Adatokat érint, amely tekintetében az Iskola Adatkezelőként jár el, és amely valószínűsíthetően magas kockázattal jár a természetes személye jogaira és szabadságaira nézve.

Az Iskola az Adatvédelmi Incidensre vonatkozó tájékoztatásban világosan és közérthetően nyújt tájékoztatást az alábbiakról:

  • Adatvédelmi Incidens jellege;
  • az Adatvédelmi Tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetőségei;
  • az Adatvédelmi Incidensből eredő, valószínűsíthető következmények;
  • az általa az Adatvédelmi Incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az Adatvédelmi Incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Nem kell azonban az Érintetteket tájékoztatni, ha

  • az Iskola megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az Adatvédelmi Incidens által érintett adatok tekintetében alkalmazták;
  • az Iskola az Adatvédelmi Incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az Érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

Amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, akkor az Iskola nyilvánosan közzétett információk útján tájékoztatja az Érintetteket, vagy olyan hasonló intézkedést hoz, amely biztosítja az Érintettek hasonlóan hatékony tájékoztatását.

Az Adatvédelmi Tisztviselő feladata, hogy az Adatvédelmi Incidens megtörténtét a Szabályzat részét képező nyilvántartásba felvegye, valamint gondoskodjon az illetékes adatvédelmi hatóság felé történő bejelentéséről.

12. Adatvédelmi hatásvizsgálat

Ha az Adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az Iskola az Adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a Személyes Adatok védelmét hogyan érintik.

Nem kell azonban hatásvizsgálatot lefolytatni, ha az Iskola olyan adatkezelési tevékenységet folytat, amely a felügyeleti hatóság által közzétett azon adatkezelési tevékenységek jegyzékében szerepel, amelyekre hatásvizsgálat lefolytatása nem kötelező.

Olyan. egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.

Az Iskola az adatvédelmi hatásvizsgálat elvégzésekor az Adatvédelmi Tisztviselő szakmai tanácsát köteles kikérni, amennyiben az Iskola Adatvédelmi Tisztviselőt jelölt ki.

Az adatvédelmi hatásvizsgálatot – többek között – az alábbi esetekben kell elvégezni:

  • természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált Adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
  • a Személyes Adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó Személyes Adatok nagy számban történő kezelése; vagy
  • nyilvános helyek nagymértékű, módszeres megfigyelése.

Az Iskola a következő esetekben mérlegeli adatvédelmi hatásvizsgálat elvégzését:

  • Értékelés és pontozás esetén (például profilozás, hitelbírálat, pénzmosás elleni adatkezelés, marketing, viselkedéselemzés);
  • Joghatással bíró vagy hasonló jelentős hatással járó automatizált döntéshozatal;
  • Módszeres megfigyelés és ellenőrzés (például munkahelyi hálózat, nyilvános helyen megfigyelése);
  • Különleges adatok vagy fokozottan személyes jellegű adatok kezelése (például egészségügyi adatok, pénzügyi adatok, elektronikus kommunikáció megfigyelése);
  • Nagy számban kezelt adatok (például nagymértékű adatkezelési műveletek – érintett adatalanyok számossága, kezelt adatok mennyisége, változatossága, adatkezelés időtartama, állandó jellege, földrajzi kiterjedtsége);
  • Összekapcsolt adatállományok (például eltérő célból vagy eltérő adatkezelő által kezelt személyes adatok egy helyen történő kezelése);
  • Kiszolgáltatott személyek adatai (például munkavállalók);
  • Új technológia vagy innovatív alkalmazások (például dolgok internete);
  • Az Adatkezelés megnehezíti az Érintettek számára a jogaik gyakorlását (például bankkártya csalás elleni referencia adatbázis).

A hatásvizsgálat kiterjed legalább az alábbi pontokra:

  • a tervezett adatkezelési műveletek módszeres leírására és az Adatkezelés céljainak ismertetésére, beleértve adott esetben az Iskola által érvényesíteni kívánt jogos érdeket;
  • az Adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  • az Érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
  • a kockázatok kezelését célzó intézkedések bemutatására, ideértve a Személyes Adatok védelmét és a Rendelettel való összhang igazolását szolgáló, az Érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

A hatásvizsgálatot nem kell lefolytatni, ha

  • az Iskolára mint Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges vagy közérdekű, vagy az Iskolára mint Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges Adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és
  • e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint
  • e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot,
  • kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.

Az Iskola szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a Személyes Adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

Az Iskola az általa végzett adatkezelési tevékenységek tekintetében hatásvizsgálat lefolytatására nem köteles, mivel az Iskola főtevékenysége nem különleges adatok kezelése és az Iskola nem folytat módszeres megfigyelést.

A hatásvizsgálat lefolytatásához használható hatásvizsgálat mintát jelen Szabályzat 6. sz. Melléklete tartalmazza.

13. Adatvédelmi tisztviselő

13.1. Az adatvédelmi tisztviselő kijelölése

Az Adatkezelő és az Adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor

  • az Adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  • az Adatkezelő vagy az Adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  • az Adatkezelő vagy az Adatfeldolgozó fő tevékenységei a Személyes Adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

A Katolikus Egyház közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető.

Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint az adatvédelmi tisztségviselő Rendelet szerinti feladatainak ellátására való alkalmasság alapján kell kijelölni.

Az adatvédelmi tisztviselő az Adatkezelő vagy az Adatfeldolgozó alkalmazottja lehet, vagy megbízási szerződés keretében láthatja el a feladatait.

Az Iskola közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli.

13.2. Az adatvédelmi tisztviselő jogállása

Az Iskola biztosítja, hogy az adatvédelmi tisztviselő a Személyes Adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Az Iskola támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a Személyes Adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

Az Iskola biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az Iskola az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az Iskola legfelső vezetésének tartozik felelősséggel.

Az Érintettek a Személyes Adataik kezeléséhez és a Rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

Az adatvédelmi tisztviselő más feladatokat is elláthat. Az Iskola biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség az adatvédelmi tisztviselői feladataival.

13.3. Az adatvédelmi tisztviselő feladatai

Az adatvédelmi tisztviselő legalább a következő feladatokat látja el:

  • tájékoztat és szakmai tanácsot ad az Iskola, továbbá az Adatkezelést végző alkalmazottak részére a Rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
  • ellenőrzi a Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az Iskola Személyes Adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
  • együttműködik a felügyeleti hatósággal; és
  • az Adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Az adatvédelmi tisztviselő feladatait – az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével – az Adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

13.4. Az Iskola az adatvédelmi tisztviselő kinevezésével kapcsolatban az alábbi szempontokat mérlegelte és az alábbi szempontok alapján hozta meg az adatvédelmi tisztviselő kinevezésével kapcsolatos döntést:

Az Iskola mint közfeladatot ellátó oktatási intézmény adatvédelmi tisztviselő kinevezésére köteles. Az Iskola vezetője Gáspárné Ali Júliát nevezi ki adatvédelmi tisztviselőnek, mivel Gáspárné Ali Júlia tapasztalattal rendelkezik az adatvédelem területén, illetve ismeri az Iskola működését.

14. Bírság és kártérítés

14.1. Bírság

A felügyeleti hatóság a Rendelet rendelkezéseinek megsértése esetén bírságot szab ki, amely bírságnak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lennie.

A felügyeleti hatóság az alábbi szempontokat veszi figyelembe annak eldöntésekor, hogy szükség van-e bírság kiszabására, illetve a bírság összegének megállapításakor:

  • az Iskola által elkövetett jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó Adatkezelés jellegét, körét vagy célját, továbbá azon Érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
  • az Iskola által elkövetett jogsértés szándékos vagy gondatlan jellegét;
  • az Adatkezelő vagy az Adatfeldolgozó részéről az Érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedést;
  • az Adatkezelő vagy az Adatfeldolgozó felelősségének mértékét, figyelembe véve az Iskola által a beépített és alapértelmezett adatvédelemnek való megfelelés érdekében és az Adatkezelés biztonsága érdekében foganatosított technikai és szervezési intézkedéseket;
  • az Adatkezelő vagy az Adatfeldolgozó által korábban elkövetett releváns jogsértéseket;
  • az Iskolának a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértékét;
  • a jogsértés által érintett Személyes Adatok kategóriáit;
  • azt, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az Adatkezelő vagy az Adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
  • azt, ha az érintett Adatkezelőt vagy Adatfeldolgozót– ugyanabban a tárgyban – felügyeleti hatóság korábban már figyelmeztette, utasította a szóban forgó intézkedéseknek való megfelelésre;
  • azt, hogy az Adatkezelő vagy az Adatfeldolgozó tartotta-e magát az Iskola által elfogadott magatartási kódexekhez vagy a tanúsítási mechanizmusokhoz; valamint
  • az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezőket, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi hasznot vagy elkerült veszteséget.

Ha az Iskola egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – több adatvédelmi kötelezettségét is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

Az alábbi adatvédelmi kötelezettségek megsértése legfeljebb 10.000.000 EUR összegű bírsággal sújtható:

  • az Adatkezelő és az Adatfeldolgozó tekintetében (i) a gyermekek hozzájárulásával összefüggő, (ii) az azonosítást nem igénylő adatkezelésekre vonatkozó, (iii) a beépített és alapértelmezett adatvédelemnek való megfelelésre vonatkozó, (iv) a közös adatkezelőkre, (v) az Unióban tevékenységi hellyel nem rendelkező Adatkezelők vagy Adatfeldolgozók képviselőire, (vi) az Adatfeldolgozóra vonatkozó, (vii) az Adatkezelők és Adatfeldolgozók irányítása alatt végzett Adatkezeléssel összefüggő, (viii) az adatkezelési tevékenyégek nyilvántartására vonatkozó, (ix) a felügyeleti hatósággal való együttműködésre vonatkozó, (x) az Adatkezelés biztonságának való megfelelésre vonatkozó, (xi) az Adatvédelmi Incidensek bejelentésére vonatkozó, (xii) az Érintett Adatvédelmi Incidensről való tájékoztatására vonatkozó, (xiii) adatvédelmi hatásvizsgálat lefolytatására vonatkozó, (xiv) felügyelet hatósággal történő előzetes konzultációra vonatkozó, (xv) a Rendeletnek megfelelő adatvédelmi tisztviselő kinevezésére vonatkozó, (xvi) az Iskola által alkalmazandó tanúsítási mechanizmusokra vonatkozó kötelezettségek;
  • a tanúsító szervezetre vonatkozó, a Rendeletben meghatározott kötelezettségek; valamint
  • az ellenőrző szervezet tekintetében jogsértés észlelése esetén a megfelelő intézkedés megtételére vonatkozó kötelezettségek megsértése esetén.

Az alábbi adatvédelmi kötelezettségek megsértése legfeljebb 20.000.000 EUR összegű bírsággal sújtható:

  • a Személyes Adatok kezelésére vonatkozó elvek, az adatkezelés jogszerűségének biztosítására vonatkozó, a hozzájárulás feltételeire vonatkozó, valamint a Személyes Adatok különleges kategóriájának kezelésére vonatkozó kötelezettségek;
  • az Érintettek jogainak biztosítására vonatkozó kötelezettség;
  • a Személyes Adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítás feltételeire vonatkozó kötelezettség;
  • az Adatkezelés különös eseteire vonatkozó tagállami jog szerinti kötelezettségek;
  • a felügyeleti hatóság utasításának, illetve az Adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy a hozzáférés biztosításának elmulasztására vonatkozó kötelezettség.

A felügyeleti hatóság ismételt ellenőrzése során a felügyeleti hatóság utasításának be nem tartására vonatkozó kötelezettségszegés legfeljebb 20.000.000 EUR összegű bírsággal sújtható.

Az Iskola anyagi felelősséget vállal arra, hogy amennyiben az adatvédelmi kötelezettségek teljesítését ellenőrző felügyeleti hatóság az Iskola részére bírságot szab ki, annak összegét az Iskola a felügyeleti hatóság részére megfizeti.

14.2. Kártérítéshez való jog

Minden olyan személy, aki a Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az Adatkezelőtől vagy az Adatfeldolgozótól kártérítésre jogosult.

Az Adatkezelésben érintett valamennyi Adatkezelő felelősséggel tartozik minden olyan kárért, amelyet a Rendeletet sértő Adatkezelés okozott.

Az Adatfeldolgozó csak abban az esetben tartozik felelősséggel az Adatkezelés által okozott károkért, ha nem tartotta be a Rendeletben meghatározott, kifejezetten az Adatfeldolgozókat terhelő kötelezettségeket, vagy, ha az Adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

Az Adatkezelő, illetve az Adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

Ha több Adatkezelő vagy több Adatfeldolgozó, vagy mind az Adatkezelő, mind az Adatfeldolgozó érintett ugyanabban az Adatkezelésben, és egyaránt felelősséggel tartozik az Adatkezelés által okozott károkért, minden egyes Adatkezelő vagy Adatfeldolgozó az Érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

Ha valamely Adatkezelő vagy Adatfeldolgozó teljes kártérítést fizetett az elszenvedett kárért, jogosult arra, hogy az ugyanazon Adatkezelésben érintett többi Adatkezelőtől vagy Adatfeldolgozótól követelje a kártérítésnek azt a részét, amely tekintetében a kárt a többi Adatkezelő vagy Adatfeldolgozó okozta.

15. Közzétételi szabályzat

Az Iskola (jelen pontban: „Adatfelelős”) a jelen közzétételi szabályzatban („Szabályzat”) foglaltak szerint látja el a feladatkörébe tartozó ügyekben a közvélemény pontos és gyors tájékoztatását az Info tv. és a 229/2012. (VIII.28.) Korm. rendelet alapján.

Az Adatfelelős közoktatási intézmény, amely országos és térségi feladatot nem lát el.

15.1. Fogalmak

közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;

közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli, ide értve különösen a közfeladatot ellátó szerv feladat- és hatáskörében eljáró személy neve, feladatköre, munkaköre, vezetői megbízása, a közfeladat ellátásával összefüggő egyéb személyes adata, valamint azok a személyes adatai, amelyek megismerhetőségét törvény előírja;

adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;

15.2. Közzétételre kerülő adatok

Az Adatfelelős a 229/2012. (VIII.28.) Korm. rendelet 23. §-ban és 26/A. §-ában meghatározott adatokat teszi közzé az Oktatási Hivatal részére történő megküldés útján. Az Adatfelelős a fentiekben foglalt közérdekű adatokon túl, további közérdekű adatokat nem tesz közzé, egyedi közzétételi listákat nem készít.

Az Adatfelelős mint országos és térségi feladatot el nem látó közoktatási intézmény a közzétételi kötelezettségének 229/2012. (VIII.28.) Korm. rendeletben meghatározott információs rendszerhez történő adatszolgáltatás útján tesz eleget.

15.3. Adatfelelős kötelezettsége és felelőssége

Az Adatfelelős vezetője gondoskodik a közzétételi listákon szereplő adatok pontos, naprakész és folyamatos közzétételéről és Oktatási Hivatalnak való megküldéséről.

A fenti kötelezettség teljesítése érdekében az Adatfelelős vezetője az alábbiak szerint jár el: az Adatfelelős vezetője gondoskodik arról, hogy az Adatfelelős közzétételi feladatok ellátásával megbízott munkatársa az ún. OSAP jelentést határidőben benyújtsa, a tanulói előrehaladás iskolai szintű nyomon követését szolgáló informatikai rendszerbe az adatokat feltöltse.

15.4. Közérdekű adatok és közérdekből nyilvános adatok egyedi igénylésének szabályai

15.4.1. Igénylés benyújtása

Bárki jogosult közérdekű adat, illetve közérdekből nyilvános adat megismerése iránti kérelmet szóban, írásban vagy elektronikus úton benyújtani.

  • Az igény írásban a következő címre nyújtandó be: Egri Főegyházmegye 3300 Eger, Széchenyi út 1.
  • Az igény szóban a következő címen nyújtandó be: Egri Főegyházmegye 3300 Eger, Széchenyi út 1.

Az igény elektronikusan a következő e-mail címre nyújtandó be: eger@egyházmegye.hu

15.4.2. Adatigénylés megvizsgálása

Az Adatfelelős az igény beérkezésétől számított legrövidebb időn belül megvizsgálja, hogy az adatigénylés egyértelmű-e vagy további pontosítása szükséges-e. Amennyiben az adatigénylés további pontosítása szükséges, akkor az Adatfelelős felhívja az adatigénylőt az adatigénylés pontosítására az adatigénylő által megadott e-mail címen vagy postai címen keresztül.

Az Adatfelelős az igénylés beérkezésétől számított legrövidebb időn belül megvizsgálja, hogy az adatigénylés teljesítése megtagadásának oka fennáll-e. Amennyiben igen, akkor az Adatfelelős a 6.6. pontban foglaltak szerint intézkedik.

Az Adatfelelős megvizsgálja, hogy az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik-e, vagy az adatigénylés teljesítése az Adatfelelős alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár-e. Amennyiben igen, akkor az Adatfelelős a 6.4. pontban foglaltak szerint intézkedik az adatigénylés teljesítésének határideje meghosszabbítása iránt.

Az Adatfelelős megvizsgálja, hogy az adatigénylő a közérdekű adatokat, közérdekből nyilvános adatokat tartalmazó dokumentumokról, dokumentumrészekről másolatot igényel-e.

15.4.3. Költségtérítés megállapítása

Ha az adatigénylő (i) a közérdekű adatokat, közérdekből nyilvános adatokat tartalmazó dokumentumokról, dokumentumrészekről másolatot igényel vagy (ii) az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik vagy az adatigénylés teljesítése az Adatfelelős alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, akkor az Adatfelelős költségtérítést állapít meg.

A költségtérítés mértékének megállapítása során az alábbi tételeket veszi figyelembe az Adatfelelős:

  • az igényelt adatokat tartalmazó adathordozó költsége,
  • az igényelt adatokat tartalmazó adathordozó az igénylő részére történő kézbesítésének költsége, valamint
  • ha az adatigénylés teljesítése a közfeladatot ellátó szerv alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, az adatigénylés teljesítésével összefüggő munkaerő-ráfordítás költsége.
15.4.4. Adatigénylés teljesítésének határideje, határidő meghosszabbítása

Az Adatfelelős az igény beérkezésétől számított legrövidebb időn belül, de legfeljebb 15 napon belül közli az igényelt adatokat.

Ha az igény pontosítására hívja fel az Adatfelelős az adatigénylőt, akkor az Adatfelelős a pontosítás beérkezésétől számított legrövidebb időn belül, de legfeljebb 15 napon belül közli az igényelt adatokat.

Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, vagy az adatigénylés teljesítése az Adatfelelős alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, akkor az Adatfelelős az adatigénylés teljesítésének határidejét egy alkalommal 15 nappal történő meghosszabbításáról dönt. Az Adatfelelős az adatigénylőt az igény beérkezését követő 15 napon belül tájékoztatja a határidő meghosszabbításáról.

15.4.5. Adatigénylés teljesítése

Az Adatfelelős az adatigénylést közérthető formában és – amennyiben ezt az az Adatfelelős aránytalan nehézség nélkül teljesíteni képes – az igénylő által kívánt formában, illetve módon tesz eleget.

Ha a kért adatot korábban már elektronikus formában nyilvánosságra hozták, az igényt az Adatfelelős az adatot tartalmazó nyilvános forrás megjelölésével teljesíti. Az adatigénylést az Adatfelelős nem utasítja el arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni.

Az Adatfelelős — az adatigénylő erre irányuló kérése esetén — az igényelt adatok másolatát átadja az adatigénylő részére. A másolat átadásával kapcsolatos költségtérítés megállapításával kapcsolatban a 6.3. pontban foglaltak szerint jár el.

15.4.6. Adatigénylés teljesítésének megtagadás

Nem tesz eleget az adatközlési kötelezettségének az Adatfelelős, ha

  • az adatigénylő természetes személy nem ad meg nevet és elérhetőséget;
  • az adatigénylő nem természetes személy nem ad meg megnevezést és elérhetőséget;
  • az adatigénylő egy éven belül igényt nyújtott be, az adatigénylés azonos adatkörre irányul és az azonos adatkörbe tartozó adatokban változás nem állt be.

Ha az Adatfelelős az adatigénylés teljesítését megtagadja, akkor az adatigénylés megtagadásáról, az indokairól, valamint a jogorvoslati lehetőségekről tájékoztatja az adatigénylőt az igény beérkezésétől számított 15 napon belül írásban.

15.4.7. Közérdekű adatigényléssel kapcsolatos személyes adatok rögzítése

Az Adatfelelős az adatigénylő személyes adatait az igény teljesítéséhez, az igény 15.4.2. pont szerinti vizsgálatához, illetve az igény teljesítéséért megállapított költségtérítés megfizetéséhez szükséges mértékben kezeli.

Az Adatfelelős az adatigénylő személyes adatait törli, amennyiben a személyes adatok kezelése a fenti bekezdésben foglaltak szerint nem szükséges. Az Adatfelelős erre tekintettel az igénylő személyes adatait törli az adatigénylés beérkezésétől számított egy év elteltével.

15.4.8. Nyilvántartásvezetés, közérdekű adatigényléssel kapcsolatos adatszolgáltatás a hatóság részére

Az Adatfelelős nyilvántartást vezet azon közérdekű adatigénylésekről, amelyek teljesítését megtagadta, továbbá a megtagadás indokairól.

Az Adatfelelős minden év január 31-éig tájékoztatja a Nemzeti Adatvédelmi és Információszabadság Hatóságot (a hatóság által rendszeresített formanyomtatványon) az elutasított kérelmekről és az elutasítások indokairól.

15.4.9. Adatigénylő jogorvoslati lehetősége

Az adatigénylő a közérdekű adat megismerésére vonatkozó igény elutasítása vagy a teljesítésre nyitva álló vagy a meghosszabbított határidő eredménytelen eltelte esetén, valamint az adatigénylés teljesítéséért megállapított költségtérítés összegének felülvizsgálata érdekében bejelentést tehet a Nemzeti Adatvédelmi és Információszabadság Hatósághoz.

Az adatigénylő a közérdekű adat megismerésére vonatkozó igény elutasítása vagy a teljesítésre nyitva álló vagy a meghosszabbított határidő eredménytelen eltelte esetén, valamint az adatigénylés teljesítéséért megállapított költségtérítés összegének felülvizsgálata érdekében bírósághoz fordulhat.

Az adatigénylő az igény elutasításának közlésétől, a határidő eredménytelen elteltétől, illetve a költségtérítés megfizetésére vonatkozó határidő lejártától számított harminc napon belül indíthatja meg a pert az Adatfelelős ellen az Adatfelelős székhelye szerinti törvényszéken.

Nemzeti Adatvédelmi és Információszabadság Hatósághoz tett bejelentés esetén az adatigénylő a pert a bejelentés érdemi vizsgálatának elutasításáról, a vizsgálat megszüntetéséről, az Info tv. 55. § (1) bekezdés b) pontja szerinti lezárásáról szóló vagy az Info tv. 58. § (3) bekezdése szerinti értesítés kézhezvételét követő harminc napon belül lehet megindítani.

Mellékletek

1. sz. Melléklet: Az Iskola adatvédelemmel kapcsolatos lépései

Helyszín, időpont Eljáró személy Leírás Teendők

 

2. sz. Melléklet: Személyes Adatok kezelésére vonatkozó nyilvántartások

  • KIR személyi nyilvántartó és adatmódosító rendszer (gyermek, tanulói és alkalmazotti nyilvántartás)
  • e-kréta rendszer (e-napló)
  • beírási napló
  • törzslap
  • munka, -tűz és-balesetvédelmi oktatási napló
  • sajátos nevelési igényű és beilleszkedési, tanulási –és magatartási nehézséggel küzdő gyermekek fejlesztési naplója
  • egészségügyi törzslap
  • tájékoztató füzet
  • bizonyítvány

3. sz. Melléklet: Adatfeldolgozóként végzett adatkezelési tevékenységek nyilvántartása

4. sz. Melléklet: Adatvédelmi Incidensek nyilvántartása

Tények Kockázat[2] Hatásai Orvoslásra tett intézkedése

 

5. sz. Melléklet: Érdekmérlegelési tesztek

6. sz. Melléklet: Érdekmérlegelési teszt (minta)

Az Adatkezelő jogos érdekének azonosítása

Mi az adatkezelés célja?
Szükséges-e az adatkezelés az Iskola vagy harmadik személy üzleti céljának eléréséhez?
Megemlíti-e a Rendelet vagy bármely más jogszabály a fenti adatkezelési célt mint jogos érdeket ?

Szükségességi teszt

Miért fontos a fenti Adatkezelés az Adatkezelő részére?
Miért fontos az Adatkezelés olyan harmadik felek részére, akik részére a Személyes Adatokat továbbítja az Adatkezelő?
Elérhető-e az Adatkezelés célja más módon?

Arányossági teszt

Számít-e arra az Érintett, hogy az Adatkezelő a Személyes Adatait a fenti célból kezeli?
Az Érintett szempontjából emeli-e az Adatkezelő szolgáltatásának értékét az a szolgáltatás, illetve van-e hozzáadott értéke annak a szolgáltatásnak, amelyhez az Adatkezelés szükséges?
Esetlegesen negatívan befolyásolja-e az Érintett jogait az Adatkezelés?
Okoz-e bármilyen hátrányt az Adatkezelő részére, ha az Adatkezelésre nem kerül sor?
Okoz-e bármilyen hátrányt harmadik személy részére, ha az Adatkezelésre nem kerül sor?
Az Adatkezelésre azon Érintett érdekében kerül-e sor, akinek a Személyes Adatait az Adatkezelő kezeli?
Milyen kapcsolatban áll az Érintett és az Adatkezelő?
  • Jelenlegi ügyfél
  • Volt ügyfél
  • Munkavállaló vagy megbízott
  • Ügyfél munkavállalója vagy megbízottja
  • Potenciális ügyfél
  • Beszállító
  • Egyéb:
Milyen kapcsolatban áll az Érintett és az Adatkezelő?
  • Folyamatos kapcsolatban
  • Időszakosan fennálló kapcsolatban
  • Nem állnak kapcsolatban
Van-e bármilyen egyenlőtlenség az Adatkezelő és az Érintett kapcsolatában? Bír-e bármelyik fél erőfölénnyel a másik felett?
Korlátozná-e az Adatkezelés az Érintett jogait?
Mely Személyes Adatokat kezeli az Adatkezelő a fenti cél elérése érdekében?
Kezel-e az Adatkezelő különleges adatokat a fenti cél elérése érdekében?
Hogyan jutott hozzá az Adatkezelő az Érintett személyes adataihoz?
  • Közvetlenül az Érintettől
  • Nem az Érintettől
Figyelembe véve az Adatkezelés célját, számíthat-e arra az Érintett, hogy az Adatkezelő a Személyes Adatokat a fenti célból kezeli?
  • Igen
  • Nem
  • Nem biztos
Tekinthető-e az Adatkezelés sértő jellegűnek vagy oda nem illőnek?
Küldött-e előzetes tájékoztatást az Adatkezelő az Érintett részére az Adatkezelés tekintetében?
Rendelkezik-e az Érintett bármilyen mértékű ellenőrzési joggal a Személyes Adatok kezelése felett?
  • Igen, mert
  • Nem, mert
  • Részlegesen, mert
Esetlegesen elérhető-e a fenti adatkezelési cél olyan módon, ha az Adatkezelő a fentiekben megadottnál kevesebb Személyes Adatot kezel?

Személyes Adatok biztonságos kezelése érdekében tett lépések

A fenti cél megvalósításához szükséges legkevesebb Személyes Adatot kezeli-e az Adatkezelő?
Álnevesíti -e az Adatkezelő a Személyes Adatokat?
Milyen technológiai és szervezeti lépéseket tesz az Adatkezelő a Személyes Adatok biztonságos kezelése érdekében?
Tesz-e bármilyen további lépést a Személyes Adatok biztonságos kezelése érdekében az Adatkezelő?

Kiértékelés

A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:

[…]

Érdekmérlegelési teszt készítője:
Érdekmérlegelési teszt készítőjének aláírása:
Érdekmérlegelési teszt kelte:
Érdekmérlegelési teszt felülvizsgálatának előirányzott időpontja:

 

6. sz. Melléklet: Adatvédelmi hatásvizsgálat (minta)

1. Az Adatkezelés részletes leírása

1.1. Az adatkezelés jellege, hatóköre, körülményei, céljai:

[…]

1.2. A kezelendő személyes adatok köre, a személyes adatok címzettjei, adatkezelés időtartama:

[…]

1.3. Az adatkezelési tevékenység leírása:

[…]

1.4. Azon eszközök és személyek azonosítása, amelyeken keresztül az adatkezelésre sor kerül, illetve akik az adatkezelésben részt vesznek (hardver, szoftver, hálózat, adatkezelésben közreműködő személyek):

[…]

1.5. Jóváhagyott magatartási kódexeknek megfelelő adatkezelés:

[…]

2. Szükségesség-arányossági teszt elvégzése az alábbi tényezők figyelembe vételével

2.1. Az adatkezelés szükségességéhez-arányosságához hozzájáruló tényezők

Az adatkezelés célhoz kötöttségének való megfelelés:

[…]

Az adatkezelés jogszerűsége, megfelelő jogalap azonosítása:

[…]

Az adattakarékosság elvének való megfelelés:

[…]

Korlátozott tárolhatóság

[…]

2.2. Az érintettek jogai erősítését szolgáló tényezők:

Tájékoztatás nyújtása az érintettek részére:

[…]

A hozzáféréshez való jog és adathordozhatósághoz való gyakorlása:

[…]

A helyesbítéshez és törléshez való jog gyakorlása:

[…]

A tiltakozáshoz való jog és adatkezelés korlátozásához való jog:

[…]

Az adatfeldolgozókkal fennálló jogviszony azonosítása

[…]

A nemzetközi adattovábbítás biztonságát biztosító tényezők:

[..]

Előzetes konzultáció lefolytatása:

[…]

3. Az Érintettek jogait és szabadságait érintő kockázatok azonosítása

3.1. Valamennyi, a konkrét adatkezelés tekintetében azonosított kockázat esetén az alábbi szempontok figyelembe vétele:

A kockázat forrásának azonosítása:

[…]

Az érintettek jogait és szabadságait érintő kockázatok azonosítása:

[…]

Olyan fenyegetések azonosítása, amelyek jogosulatlan hozzáféréshez, véletlen vagy nem szándékos megváltoztatáshoz vagy adatveszteséghez vezethetnek:

[…]

A kockázatok súlyosságának és bekövetkezése valószínűségének azonosítása:

[…]

3.2. A fenti 3.1 pont szerint azonosított kockázatok kezelésre tett intézkedések

[…]

4. A hatásvizsgálat elvégzésében közreműködő személyek azonosítása

4.1. A hatásvizsgálatot lefolytató személy:

[…]

4.2. A hatásvizsgálat lefolytatásával kapcsolatban tanácsot adó személy:

[…]

4.3. A hatásvizsgálat elvégzésébe bevont érintettek (amennyiben lehetséges):

[…]

Kiértékelés

A fentiekben foglaltak alapján az Adatkezelő a fenti adatkezelési cél tekintetében az alábbi megállapításokat teszi:

[…]

Hatásvizsgálat készítője:
Hatásvizsgálat készítőjének aláírása:
Hatásvizsgálat elvégzésének kelte:
Hatásvizsgálat felülvizsgálatának előirányzott időpontja:

 

8. sz. Melléklet: Személyes adatok tárolási ideje

Adatkezelési tevékenység megnevezése Őrzési idők

 

[1] Az egymáshoz nem kapcsolódó adatkezelési célok megállapításához figyelembe veendő szempontokat jelen Szabályzat 4,2 pontja tartalmazza

[2] Az Adatvédelmi Incidens az Iskola értékelése szerint alacsony, közepes vagy magas kockázatú kategóriába sorolható be. Az Iskola a kockázati besorolást a megállapított tényekből vezeti le.

image_pdfimage_print