Adatvédelem

UVSE VIZILABDA SPORTEGYESÜLET ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA

 

Preambulum

 

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info. tv.) 24. § (3) bekezdésében, valamint 2018. május 25. napjától alkalmazandó 2016/679 EU rendeletben ("általános adatvédelmi rendelet", a továbbiakban GDPR) foglaltaknak megfelelően, a személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Alaptörvényben meghatározott alapvető jog érvényesülésének biztosítására –  Jogszabályokban és Alapszabályban biztosított jogkörében eljárva az Elnökség a UVSE Vízilabda Sportegyesület Adatvédelmi és Adatbiztonsági Szabályzatát az alábbiak szerint állapítja meg:

 

I. Fejezet Általános rendelkezések

 

1. A Szabályzat célja

 

1. § Az UVSE Vízilabda Sportegyesület (a továbbiakban: UVSE ) Adatvédelmi és Adatbiztonsági Szabályzatának (a továbbiakban: Szabályzat) célja, az UVSE tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Magyarország Alaptörvényében (a továbbiakban: Alaptörvény) meghatározott alapvető jog érvényesülésének biztosítása, illetve az UVSE által kezelt személyes és különleges adatok jogosulatlan felhasználásának megakadályozása érdekében a személyes és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírások meghatározása.

 

2. A Szabályzat hatálya

 

2. § (1) A Szabályzat hatálya kiterjed az UVSE minden személyes adatot érintő adatkezelésére, valamennyi szakosztályára, szervére, tagjára, alkalmazottjára (függetlenül a foglalkoztatási jogviszony jogi jellegétől). A Szabályzat hatálya a fentieken túl kiterjed az UVSE Vizilabda Kft-re (szh.: 1126 Budapest, Istenhegyi út 4/f., Cg.: 01-09-171801),  egyrészt az UVSE Vízilabda Sportegyesület és az UVSE Vízilabda Kft. között 2013. augusztus 1. napján megkötött megkötött utánpótlás fiókcsapat megállapodás teljesítésével összefüggésben, másrészt arra tekintettel, hogy a Kft. egyszemélyi tulajdonosa az UVSE Vízilabda Sportegyesület. Minderre tekintettel a jelen szabályzat az az UVSE Vízilabda Kft. tekintetében úgy alkalmazandó értelemszerűen, hogy ahol a Szabályzat UVSE Vízilabda Sportegyesületet említ, ott a Kft-t is érteni kell, kivéve, ha jelen szabályzat ettől eltérő konkrét rendelkezést tartalmaz. A Kft. vonatkozásában a tárgyi szabályzatot az ügyvezető külön nyilatkozattal lépteti hatályba.

(2) A Szabályzat hatálya kiterjed továbbá az UVSE-vel szerződéses kapcsolatban álló valamennyi természetes és jogi személyre, valamint jogi személyiség nélküli szervezetre (beleértve ezen szervezetek alkalmazottjait is). Biztosítani kell, hogy a jelen bekezdés körébe tartozó szervezetek, valamint személyek a Szabályzatot a szükséges mértékben megismerjék, a velük kötött polgári jogi szerződésnek erre vonatkozóan utalást kell tartalmaznia, vagy az adott személyek, szervezetek képviselői erről önálló nyilatkozatot is tehetnek.

 

3. § (1) A közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjére az Info tv. (2011. évi CXII. Tv.),  illetőleg a GDPR rendelkezései irányadók.

(2) Amennyiben a közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítése során személyes adatok kezelése (így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala stb.) válna szükségessé, úgy – a személyes adatok kezelését illetően – a jelen Szabályzat rendelkezései az irányadóak.

 

4. § A jelen szabályzat tárgyi hatálya kiterjed az UVSE tevékenysége során keletkező valamennyi iratban és adathordozón, egyéb eszközön található személyes adatok védelmére, illetve kezelésére.

 

3. A Szabályzat elkészítése, módosítása, valamint érvényesítése

 

5. § (1) A Szabályzat elkészítése és szükség szerinti módosítása az UVSE Elnökségének feladat- és hatáskörébe tartozik.

(2) A Szabályzatban előírtak betartatásáért hatás- és jogosultsági körében minden érintett önálló szakosztály, illetőleg szerv vezetője felelős.

(3) Az UVSE alkalmazottai feladataik ellátása közben személyes adatot csak a vonatkozó jogszabályok és belső szabályzatok előírásainak figyelembevételével, az adatvédelemre vonatkozó alapelvek tiszteletben tartásával kezelhetnek. Ez a kötelezettség megfelelően vonatkozik az UVSE megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre, amit az adatfeldolgozóval kötött írásbeli szerződésben kifejezésre kell juttatni és ennek figyelembevételével kell kialakítani a szerződés feltételeit.

 

4. Értelmező rendelkezések

A személyes adatokkal kapcsolatos fogalmak és értelmezések

 

6. § E Szabályzat alkalmazása során:

A Szabályzat alkalmazása során:

1. információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak azon tartalma, mely szerint mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;

2. adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az érintett információs önrendelkezési jogának érvényesítése érdekében;

3. személyes adat:  az érintettre vonatkozó bármely információ;

4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;

5. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;

6. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;

7. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

8. adatállomány: az egy nyilvántartásban kezelt adatok összessége;

9. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;

10. közös adatkezelő: az az adatkezelő, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;

11.adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

12. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

13. közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;

15. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

16. adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

17. adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

18. adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; 18 19.adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;

20. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;

21. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

22. anonimizálás: olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítási lehetőségének végleges kizárását;

23. biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;

24. cookie (sütik): a felhasználó böngészőjén keresztül annak winchesterére kerülő információs (általában sima szöveg) file, ami egyértelműen azonosítja a felhasználót a következő látogatás alkalmával;

25. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;

26. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;

27. azonosítható természetes személy:az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

28. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;

29. harmadik ország: minden olyan állam, amely nem EGT-állam.

30. IP cím: valamennyi hálózatban, amelyben a kommunikáció a TCP/IP-protokoll szerint folyik, a szervergépek IP-címmel, azaz azonosítószámmal rendelkeznek, amelyek az adott gépek hálózaton keresztüli azonosítását teszik lehetővé. Tudvalévő, hogy minden hálózatra kapcsolt számítógép rendelkezik IP címmel, amelyen keresztül beazonosítható.

31. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,

34. Nemzeti Adatvédelmi és Információszabadság Hatóság: NAIH , akinek a jogállását és feladatait az Info tv. 38.§-a határozza meg (a továbbiakban: Hatóság);

35. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

36. profilalkotás: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;

37. természetes személyazonosító adatok: az érintett családi- és utóneve, születéskori neve, anyja neve, születési helye és ideje;

38. álnevesítés: személyes adat olyan módon történő kezelése, amely – a személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;

39. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

 

II. Fejezet

 

Az adatkezelés alapelvei

 

7. § (1) A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az  UVSE alkalmazottjai személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhetnek, ha ahhoz az érintett kifejezetten –  írásban, különleges adat esetében az adott adatra vonatkozóan konkrétan – hozzájárult.

 

(2) A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

e) az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

f) az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

 

(3) Az adatkezelő felelős az (2) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

 

(4) Az UVSE által, illetve annak munkaszervezetében - a cél megvalósulásához szükséges mértékben és ideig - csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.

 

(5) Az UVSE alkalmazottai és külső megbízottjai a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó magyar jogszabályok és a GDPR előírásainak betartásával kezelhetnek.

 

(6) Személyes adat kezelésére csak az UVSE alapszabályában meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés.

 

A személyes adatok kezelését, gyűjtését:

• jogszerűen, célhoz kötötten és tisztességesen, az érintett számára átlátható módon kell végezni, 
• az adatokat nem lehet ezekkel a célokkal össze nem egyeztethető módon sem gyűjteni, sem kezelni
• az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre, adattakarékosságra kell korlátozódniuk, pontosnak és szükség esetén naprakésznek kell lenniük.

 

 

(7) Az UVSE által kezelt – vagy az UVSE feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

(8) Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

(9) A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

(10) Az UVSE adatkezelést végző alkalmazottja, megbízottja a vonatkozó jogszabályokban rögzített fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért.

(11) A 16. életévét be nem töltött kiskorú érintett személyes adatainak kezelésére vonatkozó hozzájáruló nyilatkozat, illetve minden egyéb jognyilatkozat érvényességéhez az érintett törvényes képviselőjének jóváhagyása szükséges. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.

(12) Egészségügyi adatot az UVSE az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényben meghatározott célból, az ott meghatározott esetekben, illetve a jogosult – megfelelő tájékoztatáson alapuló – írásbeli hozzájárulása esetén kezelhet. A hozzájáruló nyilatkozatban a tájékoztatás lényeges tartalmára kifejezetten ki kell térni.

 

8. §

Az adatkezelés jogszerűsége és az adatkezelő feladatai

(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

 

9. § Az adatkezelő feladatai

(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

(3) A GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti kötelezettségeit.

 

10. § Beépített és alapértelmezett adatvédelem

(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e szabályzatban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

(3) A GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti az e § (1) és (2) bekezdésében előírt követelményeket.

 

11. §Az adatfeldolgozó

(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:

a)  a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;

b)  biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;

c)  meghozza a GDPR 32. cikkben előírt intézkedéseket;

d)  tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan az előzőekben említett feltételeket;

e)  az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;

f)  segíti az adatkezelőt a GDPR 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;

g)  az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;

h)  az adatkezelő rendelkezésére bocsát minden olyan információt, amely a jelen szakaszban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.  Jelen pont alkalmazási körében az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tagállami vagy uniós adatvédelmi rendelkezéseket.

 

12. § Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

 

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

13. § Az adatok tárolásának alapvető szabályai:

• olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (papír és/vagy elektronikus),
• a személyes adatok ennél hosszabb ideig történő – papír alapú és elektronikus - tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a GDPR rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel,
• a sportegyesületi, kft-s gazdasági események feldolgozásának, kezelésének és tárolásának számítógépes adatfeldolgozás útján történő megvalósulása esetén, valamint internetes e-mail levelező program és egyéb internetes kapcsolattartás adatvédelmi és információ biztonsági szabályai jelen szabályzat (tájékoztató) 1. sz. mellékletében található
• az adatok kezelését, tárolását fenti szigorú előírások mellett és azokra figyelemmel oly módon kell végezni, hogy az előírt, megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelme.

 

14.§

Az adatkezelés jogalapja

(1) Jelen szabályzat hatálya alatt és eltérő jelzés hiányában az adatkezelés önkéntes hozzájáruláson alapul. A sportegyesületben a tagsági viszony létesítésének a feltétele bizonyos személyes adatok rendelkezésre bocsátása. A belépési nyilatkozathoz kapcsolt adatvédelmi tájékoztató figyelembe vételével minden a sportegyesületben tagsági felvételt kezdeményező személy konkrétan és egyértelműen hozzájárul a tagsági viszonya létesítésével egyidejűleg meghatározott személyes adatainak az UVSE részéről történő kezeléséhez. A hozzájárulás hatálya a tagsági viszony időtartamával egyezik meg. A sportegyesületi tagsági viszonyt megszüntető személy tagsági viszonyának megszűnésével megszűnik az adatok kezelésére vonatkozó felhatalmazás. A sportegyesület ez esetben köteles haladéktalanul visszaállításra nem alkalmas módon törölni a kilépő személy nála nyilvántartott személyes adatait, kivéve, ha egyértelmű és jogos érdeke fűződik azok tovább kezeléséhez.

(2) Az UVSE általános adatvédelmi tájékoztatójának hirdetménye a jelen szabályzat 2. sz. mellékletét képezi, és a UVSE általános adatvédelmi tájékoztatója jelen szabályzat 4. sz. mellékletében, a UVSE által használt adatkezelési hozzájárulási nyilatkozat minta jelen szabályzat 3. és 3/A. sz. mellékletében találhatók. A hozzájáruló nyilatkozatot az adatkezelés fennmaradásának időpontjáig meg kell őrizni. A hozzájárulás kérése során biztosítani kell, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta az adatkezeléshez, és hogy azt milyen formában tette meg. A hozzájárulásnak önkéntesnek kell lenni, ha az adatkezelés egyszerre több célt is szolgál, a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ez egyben az adat törlését is megköveteli.

 

(3) A tag és egyéb személy a személyes adatai kezeléséhez a hozzájárulását

a) külön adatkezelési hozzájárulásban;

b) a honlap használatával, vagy

 c) a személyes adatok önkéntes rendelkezésre bocsátásával és az adatkezelőnek való megküldésével adja meg.

Amennyiben az adott személy harmadik személyek személyes adatait adja meg az adatkezelő részére, úgy szavatol azért, hogy a harmadik személy hozzájárulását az adatkezeléshez beszerezte vagy egyéb törvényi jogalappal rendelkezik az adatok továbbításához.

(4) A személyes adatok kezelésének jogalapja az az érintett személyek önkéntes és kifejezett hozzájárulása (az Infotv. 5. § (1) bek. b) pontja, továbbá 2018. május 25. napjától alkalmazandó 2016/679 EU rendelet ("általános adatvédelmi rendelet") 6. cikk (1) bekezdés (a) pontja alapján), amely hozzájárulás bármikor, korlátozás nélkül visszavonható.  Amennyiben az érintett a személyes adatait az adatkezelő számára önkéntesen megadja, ám a hozzájárulását később visszavonja, úgy a személyes adatok további kezelése lehet szükséges 2018. május 25. napjától az általános adatvédelmi rendelet (GDPR 6. cikk (1) bekezdés (f) pontja alapján) az  UVSE-re vonatkozó jogi kötelezettség teljesítése céljából vagy az UVSE vagy valamely harmadik személy elsőbbséget élvező jogos érdekének érvényesítése céljából, melyről az UVSE az érintett részére külön tájékoztatást nyújt.

(5) A hozzájárulás visszavonása sportegyesületi tag esetén maga után vonja a tagsági viszony megszüntetését.

(6) Eltérő jelzés hiányában a belépő, tag vagy egyéb személy a jelen szabályzatban foglalt feltételek elfogadásáról belépés, vagy regisztráció során, külön nyilatkozat útján nyilatkozik. Amennyiben regisztráció nem lehetséges vagy a egyéb személy nem regisztrál, úgy az érintett Felhasználó kérelmére indult ügyben, vagy kapcsolatfelvételkor az adatkezelő vélelmezi a Felhasználó rendelkezésre bocsátott személyes adatai kezeléséhez megadott hozzájárulását, amennyiben személyes adatait önkéntesen adatkezelő rendelkezésére bocsátotta.

(7) A fentieken túl a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a.)    Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

b.)     Az adatkezelés jogszabály által előírt kötelezettségnek teljesítéséhez szükséges.

c.)     Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

 

 

15.§ A kezelt személyes adatok köre

(1) Az UVSE a tagok, egyéb személyek , a Kft. a versenyzők, egyéb személyek, a továbbiakban érintettek alábbi, elsődlegesen önkéntesen megadott, esetlegesen törvényi rendelkezés lapján jogszerűen hozzáférhető adatbázisból származó  személyes adatait kezeli:

 

 (2) Az UVSE a fentiekben jelzett egészségügyi adatokon kívül nem gyűjt különleges adatokat, esetleges tudomásár jutott ilyen adatot az adatkezelő haladéktalanul, a visszaállításra nem alkalmas módon köteles törölni, ezért kérjük, hogy ne küldjenek különleges adatot az UVSE részére.

(3) Az UVSE Honlapjának és Facebook oldalának látogatása és/vagy regisztráció során az adatkezelő technikai kiszolgálója rögzíti a felhasználók, érintettek IP címét, melyből bizonyos esetekben következtetni lehet az érintett személyre, ezen felül rögzíti az operációs rendszer, a böngésző típusát. Az adatmentésnek elsősorban technikai jellegű célja van, a rendszer folyamatos működéséhez elengedhetetlen.

(4) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. Az egészségügyi adatok annyiban kezelhetők, amennyiben ezek kezeléséhez az érintett kifejezetten hozzájárult tekintettel egészségügyi állapotának biztonságára védelme érdekében, illetőleg sportteljesítményének javítása céljából.

16.§

Az adatkezelés időtartama: adattárolás az adatok törlésének határideje

(1) Az UVSE a személyes adatokat a tagokkal érintett személyekkel fennálló jogviszony időtartama alatt kezeli, illetőleg a jogviszony megszűnését követően, ha arra jogszabály engedélyt ad.

(2) A kezelt személyes adatok legkésőbb 30 napon belül törlésre kerülnek, kivéve, ha:

 a) Felhasználó az adatkezeléshez megadott hozzájárulását ennél hamarabbi időponttal vonja vissza, vagy

 b) ha az adatkezelést jogszabály írja elő vagy,

 c) jogszabály teszi lehetővé az adat megőrzését, például az adatkezelés korábban keletkezett számviteli bizonylatok megőrzése érdekében.

(3) Minden olyan dokumentum, amely gazdasági esemény megtörténtét dokumentálja, az számviteli bizonylatnak minősül, az UVSE a mindenkor hatályos adó- és számviteli szabályokban meghatározott őrzési időig tárolja. A szükséges mértékű, célhoz kötött adatkezelés e tekintetben a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése érelmében alapján 8 évig kerül megőrzésre. Ilyen dokumentumnak minősülnek különösen a szerződések, számlák, bizonylatok, ellenőrzések, vizsgálatok dokumentumai. A személyes adatok a polgári jogi elévülés idejéig kezelésre kerülhetnek, ha az UVSE valamely jogi igénnyel rendelkezik az érintett személlyel szemben vagy ha az érintett személy érvényesít valamilyen jogi igényt az UVSE-vel szemben.

17.§

 Az adatok megismerésére jogosult lehetséges adatkezelők személye

(1) Az UVSE az érintett személyek személyes adatait az illető személy konkrét és egyértelmű hozzájárulása vagy hiányában nem továbbítja és nem teszi hozzáférhetővé harmadik személyek részére.

(2) A facebook.com útján végzett adatkezelési tevékenységekre a Facebook (adatkezelő: Facebook Ireland Ltd. 4 Grand Canal Square Grand Canal Harbour Dublin 2 Ireland) saját adatkezelési tájékoztatója irányadó.

(3) Bármely más közösségi szolgáltató útján történő adatkezelési tevékenységre az adott közösségi szolgáltató (mint adatkezelő) saját honlapján közzétett adatkezelési tájékoztatója az irányadó.

(4) A Honlap látogatása és/vagy regisztráció során az UVSE (illetve technikai kiszolgálója) rögzíti a felhasználók IP címét, melyből bizonyos esetekben következtetni lehet az érintett személyre, ezen felül rögzíti az operációs rendszer, a böngésző típusát. Az adatmentésnek elsősorban technikai jellegű célja van, a rendszer folyamatos működéséhez elengedhetetlen.

18. § Sütik

(1) Az UVSE a honlapja a hatékonyabb működése, testre szabott kiszolgálás és felhasználói élmény növelése érdekében kis adatcsomagot, ún. sütiket használ.

(2) Az UVSE honlapjának üzemeltetése során a rendszer a Cookie Tájékoztatóban tételesen felsorolt sütiket használja, amely sütik az ott megjelölt módon és időtartamig őrzi az információkat.

 

19. § Adatbiztonságra vonatkozó rendelkezések

(1) Az UVSE minden szükséges intézkedést megtesz az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülése elleni védelméért. Az UVSE mint adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Info. tv., (2011. évi CXII. Tv.) valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(2) Az UVSE, mint adatkezelő, és az általa igénybe vett adatfeldolgozó, megbízott további adatkezelő, a fentiekben megjelölt személyes adatokat bizalmasan kezelik. Szükséges intézkedés gyanánt minden olyan biztonsági, technikai és szervezési intézkedést megtesznek, mely az adatok biztonságát garantálja, különösen:

• az UVSE és az Adatfeldolgozó az személyes adatokat elektronikus formában tárolja. A kezelt Személyes Adatokhoz az Adatkezelő és az Adatfeldolgozó munkavállalói közül is kizárólagosan csak a kezelt Személyes Adatokhoz kapcsolódó szolgáltatások teljesítésében résztvevő munkatársak, megbízottak férhetnek hozzá;
• a Személyes Adatok biztonsága érdekében az Adatkezelő és az Adatfeldolgozó titkosítást, álnevesítéstés más fizikai és logikai védelmi intézkedéseket alkalmaz és mindent megtesz, ami az adott helyzetben elvárható annak érdekében, hogy a kezelt személyes adatokhoz illetéktelenek ne férjenek hozzá.

(3)  Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.  Az UVSE által kezelt nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok - kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

(4) A személyes adatok automatizált feldolgozása során további intézkedésekkel biztosítani szükséges:

a) a jogosulatlan adatbevitel megakadályozását;

b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;

c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;

d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;

e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

 (5) Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.

(6) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

(7) Az adatkezelő, illetve az adatfeldolgozó a GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a a GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e szakaszban meghatározott követelményeket teljesíti.

 

(8) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

 

20.§  Adattárolás és a tárolt adatok védelme:

• Az UVSE a természetes személyek személyes adatait papír alapon, és elektronikus adatrögzítő eszközökön egyaránt tárolja.
• A természetes személyek papír alapú személyes adatainak kezelését és tárolását az UVSE adatkezeléssel megbízott munkavállalója egyéb alkalmazottja, tisztségviselője köteles az UVSE székhelyén e célra külön és kizárólagosan kijelölt, hivatalos helyiségében ellátni.

• Az adatfeldolgozást és tárolást végző kijelölt helyiségbe csak az adatkezeléssel megbízott személy és jelen szabályzatban erre felhatalmazott személyek, kizárólag az UVSE irodai fogadó órájának (nyitva tartásának) időtartama alatt léphetnek be. A helyiségbe belépésre feljogosított személyekről nyilvántartást kell vezetni, a nyilvántartásban szereplő személyek névjegyzékét az adattárolásra kijelölt sportegyesületi hivatalos helyiségben jól látható módon ki kell függeszteni.
• Az adatok kezelését, tárolását biztosító helyiség bejárati ajtajára „Illetéktelen személy részére a belépés tilos!” táblát kell elhelyezni, és belső szervezési intézkedésekkel kell biztosítani, hogy az adatfeldolgozást végző, és munkaszerződésben erre vonatkozó felhatalmazással nem rendelkező munkatársakon kívül más személy a természetes személyek személyes adatainak tárolásához ne férhessen hozzá.
• Az adattárolásra kijelölt helyiségben a természetes személyek személyes adatainak papír alapú tárolását és a személyes hozzáférést is védő kettős biztonsági zárral ellátott irattárolást elsődleges tűzbiztonságot eredményező szekrényben kell biztosítani.
• Az irattároló szekrény kulcsainak másolatát az adatfeldolgozást végző munkavállaló az adatkezelő szerv vezetőjénél zárható, és a felnyitást ellenőrizhető záró szalaggal ellátott fém kazettában letétbe helyezi.
• Az UVSE tulajdonában álló informatikai eszközön tárolt bármely természetes személy személyes adatát úgy kell védeni, hogy az informatikai eszköz (asztali számítógép, laptop, notebook, külső adattároló, okos telefon, stb.) legalább nyolc karakterből álló hozzáférési kóddal legyen elérhető. A hozzáférési kód tetszőleges számú, de kis és nagy betűkből, és számokból kell, hogy összetevődjön. A hozzáférési kódot az adatkezelő szerv vezetője által megállapított rendszeres időközönként, de évente legkevesebb két alkalommal meg kell változtatni. Az aktuális informatikai eszközök hozzáférési kódjait az adatkezelő szerv vezetője zárható, és a felnyitást ellenőrizhető záró szalaggal ellátott fém kazettában tárolja és a tárolásra szolgáló tárgy biztonságos őrzéséről gondoskodni köteles.
• Az UVSE tulajdonában álló helyhez kötött informatikai eszközöket az adattárolásra kijelölt helyiségben kell tárolni.
• A helyhez kötött asztali számítógépekhez történő munkaidő utáni hozzáférését, energiaellátását áramellátás védelmi eszközzel kell biztosítani. 
• A hordozható informatikai eszközöket a hivatali időn túl erre a célra kialakított, vagy rendszeresített biztonsági kóddal védett fém, vagy fa irattárolóba kell elzárni (laptop széf).
• A természetes személyek adatainak tárolását ellátó helyhez kötött, vagy mobil berendezések elmozdítását az UVSE illetékességi irodájából csak az adatkezelő szerv vezetője ( elnök) előzetes engedélyével lehet végrehajtani.
• A sportegyesületnél (kft-nél) tárolt személyes adatok az UVSE székhelyén tárolására kijelölt hivatali helyiségeit – illetéktelen személyek belépésének megakadályozása érdekében - biztonsági riasztórendszerrel, és eseti helyi lehetőségek figyelembe vételével tűz esetén tűzvédelmi berendezéssel (tűzjelző berendezés, poroltó készülék, stb.) is védeni kell. Ez az előírás egyaránt vonatkozik a papír alapú, illetve informatikai eszközön tárolt adatok biztonságos védelmére is.
• Az adatkezelő szerv vezetője az UVSE tagi ellenőrzést ellátó felügyelő bizottsággal illetőleg a Kft. érintettsége esetén a Kft. felügyelő bizottságával közösen éves program szerint köteles az adatkezelés és az adattárolás kijelölt hivatali helyiségei biztonságos körülményeinek fennállását ellenőrizni.
• A természetes személyek személyes adatainak adatfeldolgozásával érintett munkavállalók munkaszerződésébe a következő munkakörre vonatkozó előírást kell beiktatni: „ A munkavállaló köteles a munkáltató adatvédelmi és adatbiztonsági szabályzatában foglalt előírásokat maradéktalanul betartani, különös tekintettel a sportegyesület tevékenységével összefüggő adatgyűjtési, adatkezelési, és adattárolási feladatok területén. Az adatkezelési tevékenysége során köteles az UVSE (munkáltató) adatvédelmi intézményrendszerének eljárási folyamatában közreműködni, az adatkezeléssel összefüggésben tudomására jutott információkat korlátlan ideig megőrizni, a Munka Törvénykönyvében meghatározott titokvédelmi szabályoknak (8.§ (4) bek.) megfelelően. Az UVSE munkavállalóhoz kapcsolódó megállapodás (nyilatkozat) minta és a foglalkoztatott személyek részére szóló adatvédelmi tájékoztató a jelen szabályzat 5. és 5/A. sz. mellékletét képezi.

 

Az  adatkezeléssel  érintetett személyek jogai és érvényesítésük

21. §

(1) A jelen szabályzat alapján érintett személyek bármikor felvilágosítást kérhet Személyes Adataik kezeléséről, és bármikor kérhetik személyes adatainak helyesbítését vagy módosítását az Adatkezelőhöz címzett levelében vagy elektronikus úton az adatkezelő alábbi elérhetőségei útján:

UVSE

xxxxxxxxxxxxx, Elnök

Email: xxxxxxxxxxxxxxx

Telefonszám: xxxxxxxxxxxxxxxxx

Fax: xxxxxxxxxxxxxxxxxxxxxxxx

Kft. vonatkozásában:

xxxxxxxxxxxxxxxx Ügyvezető

Email: xxxxxxxxxxxxxxx

Telefonszám: xxxxxxxxxxxxxxxxx

Fax: xxxxxxxxxxxxxxxxxxxxxxxx

 

(2) Az érintett bármikor jogában áll személyes adatai szolgáltatását, közlését indoklás nélkül megtagadni, illetve a regisztráció, vagy a belépési nyilatkozattal összefüggésben tett hozzájáruló nyilatkozatait feltétel nélkül, ingyenesen visszavonni. A Felhasználó az alábbi elérhetőségen tud leiratkozni, valamint hozzájáruló nyilatkozatát visszavonni: xxxx@xxxxx.hu. Az  UVSE kérheti, hogy az érintett személy azonosítsa magát és ennek érdekében személyes adatot adjon meg.

 22.§

(1)   Az adatkezeléssel érintett személyek jogai

a.)     Tájékoztatáshoz való jog

b.)     Hozzáféréshez való jog

c.)     Adatok helyesbítésének kérése

d.)    Törléshez való jog

e.)     Az adatkezelés korlátozásához való jog

f.)      Adathordozhatósághoz való jog

g.)     Tiltakozáshoz való jog

 

(2)   Adatkezelési és adattovábbítási tájékoztatás

Az érintettre vonatkozó személyes adatok bekérésekor, más módon történő beszerzés esetén - az érintett kérelmére – az érintett rendelkezésére kell bocsátani az alábbi információkat:

a.)     az adatkezelő, illetve képviselőjének megnevezése és elérhetősége

b.)     a személyes adatok kezelésének célja és jogalapja

c.)     a személyes adatok címzettjei

d.)    a személyes adat tárolásának időtartama, illetve ezen időtartam meghatározásának szempontjai

e.)     az érintett tájékoztatása a személyes adat hozzáférhetőségi, helyesbítési, törlési, stb. jogáról

f.)      az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás visszavonásának jogáról

g.)     a felügyeleti hatósághoz való fordulás jogáról

h.)     az adatszolgáltatási elmulasztásának következményeiről

 

 

23.§ Az érintett adatkezelési joggyakorlásának belső eljárásrendje

     

      (1) Az érintett (16 év alatti kiskorú esetén törvényes képviselője útján) személyesen vagy írásban tájékoztatást kérhet személyes adatainak kezeléséről, annak céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről.

      (2) A tájékoztatást az UVSE elnöke, vagy az általa írásban megbízott személy adja meg, az adatvédelemért felelős elnökségi bizottsággal történt konzultációt követően. A tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt (legfeljebb azonban 20 napon belül) írásban kell megadni. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

      (3) A tájékoztatás megtagadására irányuló döntés meghozatalában az adatvédelemért felelős elnökségi bizottság minden esetben közreműködik. Az igény elutasításával egy időben közölni kell, hogy a felvilágosítás megtagadására pontosan mely jogszabályi rendelkezés alapján került sor, valamint a rendelkezésre álló jogorvoslati lehetőségeket is. A tájékoztatás csak törvényben meghatározott okból tagadható meg.

 

(4) Az érintett személy bármikor kérheti személyes adatai helyesbítését, zárolását vagy törlését.

(5) Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az rendelkezésére áll, a személyes adat helyesbítésre kerül. Törlés helyett zárolásra kerül a személyes adat, ha az érintett személy ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett személy jogos érdekeit. Az így zárolt személyes adat kizárólag addig kerül kezelésre, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. Megjelölésre kerül a kezelt személyes adat, ha az érintett személy vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. Ha a helyesbítés, zárolás vagy törlés iránti kérelem nem kerül teljesítésre, úgy a kérelem kézhezvételét követő 25 napon belül az UVSE írásban közöli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait.

(3)               A kötelező adatkezelések esetét ide nem értve, az érintett személy bármikor tiltakozhat személyes adatai kezelésével szemben, amennyiben az adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, továbbá törvény által meghatározott egyéb esetekben. Az UVSE az érintett személy tiltakozását annak előterjesztésétől számított legkésőbb 15 napon belül kivizsgálja. Amennyiben az érintett személy nem ért egyet a tiltakozással kapcsolatban meghozott döntéssel, a Felhasználó a döntés kézhezvételétől számított 30 napon belül pert indíthat az UVSE-vel, mint adatkezelővel szemben.

(4)                 A Felhasználó jogainak feltételezett megsértése esetére Infotv. 52. § (1) bekezdése szerinti vizsgálati eljárást kezdeményezhet a Nemzeti Adatvédelmi és Információszabadság Hatóság előtt (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C., telefon: +36-1-391-1400, telefax: +36-1-391-1410, e-mail: ugyfelszolgalat@naih.hu) vagy az Infotv. 22. § szerint a Felhasználó bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az a Felhasználó választása szerint – a lakóhelye szerinti törvényszék előtt is megindítható.

 

(5) Az UVSE az érintett jogai érvényesülésének elősegítése érdekében megfelelő műszaki és szervezési intézkedéseket tesz, így különösen

(5) Az UVSE a kezelt adatot a fentiekben meghatározott eseteken túl akkor is törli, illetve az Adatfeldolgozóval törölteti, ha az az hiányos vagy téves – és ez az állapot jogszerűen nem korrigálható, az adat törlését a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte; vagy az érintett személy kéri (ide nem értve a törvényben elrendelt -törvényen alapuló - kötelező adatkezeléseket).

27.§

(1) A valóságnak nem megfelelő személyes adat helyesbítéséről az UVSE elnöke, Kft. ügyvezetője az elnökségi bizottsággal történt egyeztetést követően dönt. Amennyiben a helyesbítés kérelemre történik, úgy a tájékoztatásra vonatkozó, jelen Szabályzatban foglalt eljárási rend a helyesbítésre is irányadó.

(2) Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az UVSE rendelkezésére áll, a személyes adatot a feladatkör szerint illetékes személy, szervezeti adatkezelő helyesbíti.

28.§ Törlési kérelem kezelése

 

(1) Az érintett jogosult, az adatkezelő pedig köteles a személyes adat törlésére az alábbi esetekben:

-     a személyes adatokra már nincs szükség abból a célból, amelyekből azokat gyűjtötték vagy más módon kezelték,

-     az érintett visszavonja az adatkezelés alapját szolgáló hozzájárulását, és az adatkezelésnek más jogalapja nincs,

-     az érintett az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés célja ellen tiltakozik és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,

-     a személyes adatokat jogellenesen kezelte az adatkezelő.

 

(2) Amennyiben az UVSE, mint az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, akkor a UVSE köteles tájékoztatni az adatot kezelő más adatkezelőket a törlés iránti kérelemről.

 

(3) A törlést nem kell teljesíteni, ha az adatkezelés:

a.)    véleménynyilvánítás szabadságához, vagy a tájékoztatáshoz való jog gyakorlása céljából szükséges

b.)    jogi igények előterjesztéséhez, érvényesítéséhez és védelméhez szükséges,

c.)    jogi kötelezettség teljesítése miatt szükséges.

 

(4) A törlés teljesítésének elutasításáról az érintettet értesíteni kell a fenti a.) – c.) pontokra hivatkozva, és fel kell hívni az érintett figyelmét jelen szabályzatban megjelölt jogorvoslati lehetőségekre.

 

(5) Törlés esetén az UVSE a személyes adatot az informatikai rendszereiből visszaállíthatatlanul törli. A papír alapú dokumentációk esetében azok jegyzőkönyvi megsemmisítéséről kell gondoskodni. A jegyzőkönyvben rögzíteni kell a megsemmisített irat beazonosíthatóságához szükséges információkat, a megsemmisítés időpontját és a megsemmisítést végző személy nevét, beosztását, külső partner esetén annak nevét. Elektronikus adat visszaállíthatatlan törlésére az UVSE szakszolgáltatást vesz igénybe, arról és annak minden eljárási lépéséről jegyzőkönyvet vesz fel.

 

 

 30.§ Személyes adat korlátozása iránti kérelem kezelése

(1) Az érintett az alábbi esetekben jogosult arra, hogy az adatkezelő korlátozza az adatkezelést:

-     az érintett vitatja a személyes adatok pontosságát. Ilyen esetben a korlátozás arra az időtartamra vonatkozik, amely idő alatt az adatkezelő ellenőrizheti az adat pontosságát.

-          az adatkezelés jogellenes és az adatkezelő ellenzi az adatok törlését

-     az adatkezelőnek már nincs szüksége az adatokra, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez

-    az érintett tiltakozott az adatkezelés ellen, de az adatkezelő jogos érdeke is megalapozhatja az adatkezelést. Ebben az esetben az adatkezelést korlátozni kell addig, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek az érintett jogos indokaival szemben.

 

(3) Ha az adatkezelés korlátozás alá esik, az ilyen adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez, vagy védelméhez, illetve más természetes vagy jogi személy jogainak védelme érdekében lehet kezelni.

 

 

 

35.§ Az UVSE, illetőleg a Kft. tevékenységének területei, amelyek végzése során a személyes adatok kezelése megvalósul:

 

a.)    A sportegyesület, illetőleg a Kft. tisztségviselőinek és vezető tisztségviselőinek a bírósági (cég-) nyilvántartásba történő bejegyeztetése és törlése,

b.)    A sportegyesület illetőleg a Kft. követeléseinek érvényesítésére indított, illetőleg egyéb alapon létrejött fizetési meghagyásos eljárások, esetleges peres és nemperes, valamint bírósági eljárások, egyéb hatósági és végrehajtási eljárások,

c.)    A sportegyesület, illetőleg a Kft. szerződéseinek megkötése,

d.)   Tagfelvételi kérelmek benyújtása és elbírálása, valamint a tagnyilvántartás vezetése

e.)    A sportegyesületben, illetőleg a Kft-nél bekövetkezett szervezeti változások nyilvántartása

f.)     A vállalkozásnak nem minősülő, munkavégzésre, egyéb megbízási viszonyokra kötött megállapodások kezelése

g.)    Vagyonvédelmi megfigyelőrendszer (kamerarendszer) működtetése

h.)    Esetleges felújítási, karbantartási munkák végzése során megkötendő szerződéskötések (kivitelezők, vállalkozók)

i.)      Közgyűlések, elnökségi, Felügyelő Bizottsági ülések, egyéb szervezeti ülések dokumentációja,

j.)      A foglalkoztatással összefüggő iratok (ideértve a az álláskeresési célú pályázó személyes adatait is),

k.)    Sportegyesület tagjainak, Kft. sportolóinak sporttevékenységé végzésével kapcsolatos  bármely adatai, versenyjegyzőkönyvek és eredmények, statisztikák.

l.)      A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését a Rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni.

 

36. § A személyes adatok kezelése során az adatkezelő, az adatfeldolgozást ellátó, e tevékenységgel megbízott munkavállalójának az érintettel szembeni eljárási szabályai:

 

• A tagi képviselet ellátása során történő adatkezelésnél köteles az UVSE az érintettel megismertetni az adatkezelési és adatvédelmi szabályzatban foglalt általános adatkezelési tájékoztatót, és adattovábbítás esetén az adattovábbítási tájékoztatót, illetve beszerezni az ahhoz kapcsolódó nyilatkozatot.
• Köteles minden szükséges intézkedést megtenni az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülés elleni védelméért.
• Az érintettektől azokat az adatokat kérheti (gyűjtheti), amelyek az adott tevékenység végzéséhez szükségesek és indokoltak. A begyűjtött, kapott adatokat csak az igényelt célra lehet felhasználni.
• Amennyiben a kezelt adatra már nincs és a jogviszony jellegéből adódóan nem is lehet szükség, úgy az adatot törölni kell az UVSE nyilvántartásából, erről az érintettet köteles értesíteni.

 

 

37.§  Az adatkezelői és az adatfeldolgozói nyilvántartás 

 

 

 

39. §

Együttműködés a felügyeleti hatósággal

 

Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a (tagállami jogszabály által meghatározott) felügyeleti hatósággal – annak megkeresése alapján – együttműködik.

 

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.

Telefon: +36 (1) 391-1400

Fax: +36 (1) 391-1410

Elektronikus elérhetőség: ugyfelszolgalat@naih.hu

Weboldal: http://naih.hu

 

 

40.§

Adatvédelmi incidens, Felelősség az adatkezelés jogszerűségéért

 

(1) Az UVSE-nek, mint adatfeldolgozónak kötelessége, hogy a munkája, tevékenysége körében bekövetkezett adatvédelmi incidensről haladéktalanul értesítse az adatkezelőt (elnök, igazgatóság). Az adatvédelmi incidensekkel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást kell vezetni. A nyilvántartásnak tartalmaznia kell az adatvédelmi incidenseket, feltüntetve az incidensekhez kapcsolódó tényeket, azok hatásait, valamint a megoldásukra tett intézkedéseket. Az adatvédelmi ellenőrzések, incidensek, adatvédelmi nyilvántartásnak mintája jelen szabályzat 7. sz. mellékletében található.

 

(2) Az adatvédelmi incidens során alkalmazandó eljárás rendje:

 

a) Alacsony szintű adatvédelmi incidens:

A személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ilyen esetben az adatvédelemért felelős személy az érintett rendszer rendszergazdájával és az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdájával meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére. Rögzíti továbbá az adatvédelmi incidenst az incidensek nyilvántartásába.

 

b) Közepes szintű adatvédelmi incidens:

A személyes adatok csekély körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ilyen esetben az adatvédelemért felelős személy haladéktalanul, de legkésőbb a tudomásszerzéstől számított 12 órán belül munkacsoportot hív össze, amelyen részt vesz a rendszergazda, az adatgazda és az adatkezelő vezetője.

 

c) Magas szintű adatvédelmi incidens:

A személyes adatok széles körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékos vagy véletlen törlése és megsemmisítése, illetőleg más jogellenes adatkezelési eset. Ide tartozik még az adatok körétől függetlenül minden olyan eset, amikor valószínűsíthető, hogy az incidensnek az érintettre hátrányos hatása van, vagy biztosra vehető, hogy az incidensnek az érintettre hátrányos hatása van. Ilyen esetben az adatvédelmi szervezet vezetője (a közepes szintű incidensnél írtakon túlmenően) értesíti a felügyeleti hatóságot az adatvédelmi incidensről a tudomásszerzéstől számított 72 órán belül. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

 

(4) Az adatvédelmi incidens szintjét az adatkezelő szerv vezetője, az UVSE elnöke köteles megállapítani az adatvédelmi elnökségi bizottság véleményének kikérését követően.

 

41.§ Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

(1) Az adatvédelmi incidenst az adatkezelő az előző paragrafusban meghatározott határidőben indokolatlan késedelem nélkül bejelenti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(3) Az (1) bekezdésben említett bejelentésben legalább:

a)  ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c)  ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e § követelményeinek való megfelelést.

 

 

42.§ Az érintett tájékoztatása az adatvédelmi incidensről

(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.  

(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 41.§ (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

a)  az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

 b)  az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c)  a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

 

43.§ Adatkezelés a foglalkoztatással összefüggően

Az UVSE alkalmazottainak és az álláskeresési céllal pályázók személyes adatainak kezelése

 

(1) Az UVSE személyügyi nyilvántartásának kezelésére és vezetésére, az alkalmazottak személyes adatainak kezelésére az Info tv. és a GDPR rendelkezései az irányadóak.

(2) A szakszervezeti vagy érdekképviseleti szervezeti tagságra utaló adat az érintett munkatárs írásbeli hozzájárulása alapján kezelhető.

 (3) Az UVSE-hez bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban található személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes haladéktalanul adatokat törölni kell.

(4) A munkavállalók adatainak kezelésére vonatkozó további rendelkezéseket a jelen szabályzat 5/A. sz. mellékletét képező munkavállalói megállapodás és hozzájárulás, illetőleg az 5. sz. mellékletét képező és adatkezelési tájékoztató tartalmazza.

 

44.§ A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések

 

(1) A személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott kezelését e rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni. E garanciáknak biztosítaniuk kell, hogy olyan technikai és szervezési intézkedések legyenek érvényben, melyek biztosítják különösen az adattakarékosság elvének betartását. Ezen intézkedések közé tartozhat az álnevesítés, amennyiben az említett célok ily módon megvalósíthatók. Amennyiben e célok megvalósíthatók az adatok oly módon történő további kezelése révén, amely nem vagy már nem teszi lehetővé az érintettek azonosítását, a célokat ilyen módon kell megvalósítani. Az UVSE a saját közérdekből archivált sportegyesületi eredmény és történeti nyilvántartását a fenti szempontok figyelembe vételével álnevesített formában kezeli és tartja nyilván.

 

 

III. Fejezet

45.§ Az UVSE, illetőleg a Kft. adatvédelemi intézményrendszere

 

(1) Az adatvédelmi előírások alkalmazása szempontjából a UVSE mint adatkezelő szerv vezetőjének a UVSE Elnökét, a Kft. tekintetében annak Ügyvezetőjét kell tekinteni.

(2) Az UVSE Elnöke, illetőleg a Kft. Ügyvezetője

 a) felelős az UVSE adatkezelésének jogszerűségéért,

b) gondoskodik az adatkezelés személyi és tárgyi feltételeinek biztosításáról,

c) az UVSE, illetőleg a Kft., mint adatkezelő szerv tekintetében meghozza az adatkezelésre vonatkozó döntéseket.

(2) Az UVSE, illetőleg egyes ügyviteli szerveinek vezetői felelősek az irányításuk alá tartozó munkatársak adatkezelésének jogszerűségéért, valamint a Szabályzatban foglaltak betartásáért, illetve betartatásáért.

(3) Az UVSE, adatvédelemért felelős ügyviteli szerve az Adatvédelmi Elnökségi Bizottság, mely ezeket a feladatokat a Kft. tekintetében is ellátja..

(4) Az adatvédelemért felelős ügyviteli szerv:

• közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
• ellenőrzi az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban: Info. tv.), a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
• kivizsgálja a sportegyesület részére érkezett, jogosulatlan adatkezeléssel kapcsolatos bejelentéseket;
• jogosulatlan adatkezelés észlelése esetén – UVSE elnökének, Kft. érintettsége esetén a Kft. Ügyvezetőjének értesítése mellett – felszólítja az adatfeldolgozót a jogsértés megszüntetésére;
• elkészíti és folyamatosan karbantartja jelen Szabályzatot;
• közreműködik az adatvédelmi ismeretek oktatásában;
• jogi segítséget nyújt a sportegyesülethez/ Kft-hez érkező közérdekű adatigénylések megválaszolásában, kontrollálja az adatigénylések sportegyesület/Kft. részéről történő teljesítését;
• figyelemmel kíséri az adatvédelemmel, adatbiztonsággal összefüggő jogszabályokat, tájékoztatást, felvilágosítást ad, illetve adott esetben konzultációt tart a jogszabályok helyes alkalmazása céljából;
• egyedi ügyekben kidolgozott állásfoglalásával segíti az adatvédelmi tevékenységet;
• az adatvédelmi előírások megsértésének észlelése esetén intézkedést tesz annak megszüntetésére, tájékoztatja erről az UVSE, illetőleg a Kft. felügyelő bizottságát, az UVSE elnökségét, Kft. Ügyvezetőjét indokolt esetben kezdeményezi a felelősségre vonási eljárás lefolytatását.

.

(5) Az adatvédelemért felelős elnökségi bizottság a feladatai ellátása során az adatkezelést végző szervezeti egységtől minden olyan kérdésben felvilágosítást kérhet, az összes olyan iratba, nyilvántartásba betekinthet, illetve iratról másolatot kérhet, adatkezelést megismerhet, amely személyes adatokkal vagy közérdekű (közérdekből nyilvános) adatokkal összefügghet.

(6) Az UVSE szervei, valamint alkalmazottai kötelesek az adatvédelemért felelős elnökségi bizottság megkeresésére az adatvédelemmel kapcsolatban szükséges intézkedéseket megtenni, és a megtett intézkedésekről az adatvédelemért felelős Elnökségi Bizottságot tájékoztatni.

(7) Az UVSE adatkezelésével kapcsolatos adatvédelmi kérdés, illetőleg panasz esetén az érintettek (beleértve az alkalmazottakat és külső munkavállalókat is) közvetlenül megkereshetik az adatvédelemért felelős Elnökségi Bizottságot.

(8) Az adatvédelemért felelős Elnökségi Bizottság az UVSE elnökének közvetlen alárendeltségében látja el feladatait, adatvédelmi feladatkörében eljárva kizárólag az UVSE elnöke utasíthatja, kizárólag felé tartozik beszámolási kötelezettséggel. A Kft. érintettsége esetén a Kft. Ügyvezetője az adatvédelemért felelős elnökségi bizottság tagjait nem utasíthatja, de javaslatait a Bizottság köteles megfontolni, és amennyiben azt elutasítja köteles azt írásban megindokolni. Ez esetben az aditt kérdésben a végleges döntést az UVSE elnöke hozza meg.

(9) Az Elnökségi bizottság három tagú tagjait az elnökség jelöli ki a saját tagjai közül. a Kft-t érintő kérdésben a Bizottság kiegészül a Kft. Felügyelő Bizottsága egy tagjával, melyet a Felügyelő Bizottság delegál.

(10) Az UVSE jogszabályi kötelezettség, illetőleg szerződéses partneri kapcsolat fennállása esetén a szerződéses partner adatkezelési tájékoztatóját és nyilatkozatát köteles beszerezni, illetőleg annak meglétéről gondoskodni. A szerződéses partner adatkezelési tájékoztatója és nyilatkozata jelen szabályzat 8. sz. mellékletében található.

 

(11) Amennyiben a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az UVSE az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az UVSE dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság kérésére annak rendelkezésére bocsátja.

 

46. §

Jogszabályi felhatalmazás nélküli speciális adatkezelés

 

(1) Az UVSE-nél végzett mérések, illetőleg a sportegészségügyi vizsgálatok felmérhet az érintettre vonatkozóan keletkezett sporttudományos és egészségügyi adatokat a UVSE személyhez kötötten, egyedi azonosításra alkalmas módon – erre vonatkozó jogszabályi felhatalmazás hiányában - kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott –  írásbeli és konkrét – hozzájárulása alapján jogosult kezelni. A hozzájáruló nyilatkozatban az érintett félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére.

(2) Az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás szövegének legalább az alábbiakat kell tartalmaznia:

a) arra vonatkozó utalást, hogy az érintett a személyes adatai kezelésével kapcsolatos minden tényre - így különösen az adatkezelés céljára, jogalapjára, az adatkezelésre és az adatfeldolgozásra jogosult személyekre, az adatkezelés időtartamára, az adatok megismerésére jogosultak körére, továbbá az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire - kiterjedő tájékoztatást kapott;

b) utalást arra, hogy az érintett az a) pont szerinti tájékoztatást követően önként hozzájárul az általa közölt személyes adatai kezeléséhez.

(3) A 16. életévét be nem töltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez a törvényes képviselő hozzájáruló nyilatkozata is szükséges.

 

47. §

(1) Az érintett, illetve törvényes képviselője által az UVSE rendelkezésére bocsátott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. A hozzájárulást – a későbbi igazolhatósága érdekében –  írásban kell rögzíteni.

(2) Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

 

48. §.

Adattovábbítás, adatigénylés

 

(1) Az UVSE által kezelt adatokból személyes adatot továbbítani az érintett beleegyezésének hiányában csak törvényben meghatározott szerv vagy személy részére, törvényben meghatározott körben, összesített (aggregát) adatként, illetőleg egyedi azonosításra alkalmatlan módon lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével.

(2) Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adat birtokában lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett hozzájárulásával rendelkezik az adat kezeléséhez, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.

(3) Az adattovábbítás feltételeinek meglétét az adatot továbbító szervezeti egység minden egyes személyes adattal összefüggésben ellenőrizni köteles. Amennyiben az adatkéréssel kapcsolatban adatvédelmi aggályok merülnek fel (pl. az adatigénylés célját, jogalapját, a bekért adatok körét, kiadhatóságát illetően) az adatvédelemért felelős elnökségi bizottság állásfoglalását kell kérni.

(4) Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza:

a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését);

b) a kért adatok körének pontos meghatározását.

(5) Amennyiben az adatigénylésből pontosan nem állapítható meg a kért adatok köre, úgy az adatigénylőt fel kell hívni az adatkérés pontosítására.

(6) Személyes adatok külföldre történő továbbítása esetén az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor egyéb esetekben az Info. tv. 8. §-ában meghatározottak szerint kell eljárni.

 

A természetes személyek személyes adatainak – szükség szerinti - adattovábbítási tájékoztató és nyilatkozata jelen szabályzat 6. sz. mellékletében található.

 

 

IV, fejezet

 A jogellenes adatkezelés következményei

49.§

(1) Az érintett a jogainak megsértése esetén bírósághoz fordulhat, amely az ügyben soron kívül jár el.

(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az UVSE köteles bizonyítani.

(3) A per elbírálása a törvényszék hatáskörébe tartozik. A per - az érintett választása szerint - az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, illetve az érintett tiltakozási jogának figyelembevételére kötelezi.

(5) A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett törvényben védett jogai megkövetelik.

 

 50. § §

(1) Ha az UVSE mint adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel másnak kárt okoz, köteles azt megtéríteni. Ha az UVSE mint adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel más személyiségi jogát megsérti, az, akinek személyiségi joga sérelmet szenvedett, az adatkezelőtől, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozótól sérelemdíjat követelhet.

 Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem a személyiségi jogi jogsérelmet szenvedő személy szándékos vagy súlyosan gondatlan magatartásából származott.

 

 

V. Fejezet

Vegyes és záró rendelkezések

 

51. §

(1) Jelen Szabályzat hatálybalépésétől számított 45 napon belül az UVSE szervezeti egységeinek, szerveinek vezetői kötelesek intézkedni az irányításuk alá tartozó egységek adatvédelmi gyakorlatának felülvizsgálatáról és szükség esetén a jelen Szabályzat rendelkezéseinek megfelelő eljárások kialakításáról.

(2) A sportegyesületnél csak a tagok, munkavállalók, szerződéses partnerek adatainak kezelése történik, így a kezelt adatok sajátosságaira, az érintett személyek és munkavállalók számára tekintettel adatvédelmi biztost alkalmaznia nem kell, az UVSE NAIH nyilvántartásra nem kötelezett.

(3)  Az UVSE adatvédelmi módozattal kiegészített biztosítást nem köt, erre nem kötelezett.

(4) Az UVSE sajátos működési, gazdálkodási és tevékenységi jellegére adatvédelmi hatásvizsgálatot és adatmérlegelési tesztet nem végez.

(5) Az adatkezelő jelen szabályzat tartalmi megismertetését, karbantartását, és a szabályzatban foglaltakkal kapcsolatos továbbképzést eseti külön elnökségi határozat szerint hajtja végre.

(6) A jelen Szabályzat nyilvános, azt a UVSE honlapján bárki által hozzáférhető módon el kell helyezni.

(7) Jelen Szabályzatot 2018. xxxxxxxxxxxx Napján az UVSE  elnöksége az xxxxxxxxxx. sz. határozatával elfogadta, a jelen szabályzat az elfogadását kötően xxxxxxxxxxxxxxx. napján lép hatályba, illetőleg a jelen szabályzat a Kft. vonatkozásában annak Ügyvezetője jelen szabályzat mellékletét képező nyilatkozata alapján lép hatályba.