Lágymányosi 10. sz. Lakásszövetkezet

Hírek

Adatkezelési Szabályzat

LÁGYMÁNYOSI 10. SZ. LAKÁSSZÖVETKEZET ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA

Hatályos: 2023.05.11.

Név: Lágymányosi 10. sz. Lakásszövetkezet

Székhely: 1117 Budapest, XI., Budafoki u. 83.

Adószám: 10093476-1-43

Cégjegyzékszám: 01-02-051893

Preambulum

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info. tv.) 24. § (3) bekezdésében, valamint 2018. május 25. napjától alkalmazandó 2016/679 EU rendeletben („általános adatvédelmi rendelet”, a továbbiakban GDPR) foglaltaknak megfelelően, a személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Alaptörvényben meghatározott alapvető jog érvényesülésének biztosítására – Jogszabályokban és Alapszabályban biztosított jogkörében eljárva az Igazgatóság a SZÖVETKEZET Adatvédelmi és Adatbiztonsági Szabályzatát az alábbiak szerint állapítja meg:

I. Fejezet – Általános rendelkezések

1. A Szabályzat célja

  1. § A Lágymányosi 10. sz. Lakásszövetkezet (a továbbiakban: SZÖVETKEZET) Adatvédelmi és Adatbiztonsági Szabályzatának (a továbbiakban: Szabályzat) célja, a SZÖVETKEZET tevékenysége során a személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Magyarország Alaptörvényében (a továbbiakban: Alaptörvény) meghatározott alapvető jog érvényesülésének biztosítása, illetve a SZÖVETKEZET által kezelt személyes és különleges adatok jogosulatlan felhasználásának megakadályozása érdekében a személyes és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírások meghatározása.

2. A Szabályzat hatálya

  1. §
    1. A Szabályzat hatálya kiterjed a SZÖVETKEZET minden személyes adatot érintő adatkezelésére, valamennyi szervére, testületi, tisztségviselőjére, alkalmazottjára (függetlenül a foglalkoztatási jogviszony jogi jellegétől).
    2. A Szabályzat hatálya kiterjed továbbá a SZÖVETKEZETTEL szerződéses kapcsolatban álló valamennyi természetes és jogi személyre, valamint jogi személyiség nélküli szervezetre (beleértve ezen szervezetek alkalmazottait is). Biztosítani kell, hogy a jelen bekezdés körébe tartozó szervezetek, valamint személyek a Szabályzatot a szükséges mértékben megismerjék, a velük kötött polgári jogi szerződésnek erre vonatkozóan utalást kell tartalmaznia.
  2. §
    1. A közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjére az Info tv. Illetőleg a GDPR rendelkezései irányadók.
    2. Amennyiben a közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló igények teljesítése során személyes adatok kezelése (így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala stb.) válna szükségessé, úgy – a személyes adatok kezelését illetően – a jelen Szabályzat rendelkezései az irányadóak.
  3. § A jelen szabályzat tárgyi hatálya kiterjed a SZÖVETKEZET tevékenysége során keletkező valamennyi iratban található személyes adatok védelmére illetve kezelésére.

3. A Szabályzat elkészítése, módosítása, valamint érvényesítése

  1. §
    1. A Szabályzat elkészítése és szükség szerinti módosítása a SZÖVETKEZET Igazgatóságának a feladat- és hatáskörébe tartozik.
    2. A Szabályzatban előírtak betartatásáért hatás- és jogosultsági körében a SZÖVETKEZET elnöke a felelős.
    3. A SZÖVETKEZET alkalmazottai feladataik ellátása közben személyes adatot csak a vonatkozó jogszabályok és belső szabályzatok előírásainak figyelembevételével, az adatvédelemre vonatkozó alapelvek tiszteletben tartásával kezelhetnek. Ez a kötelezettség megfelelően vonatkozik a SZÖVETKEZET megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre, amit az adatfeldolgozóval kötött írásbeli szerződésben kifejezésre kell juttatni és ennek figyelembevételével kell kialakítani a szerződés feltételeit.

4. Értelmező rendelkezések

A személyes adatokkal kapcsolatos fogalmak és értelmezések

  1. § E Szabályzat alkalmazása során:
    1. információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak azon tartalma, mely szerint mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;
    2. adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az érintett információs önrendelkezési jogának érvényesítése érdekében;
    3. személyes adat: az érintettel kapcsolatba hozható adat (az érintettre vonatkozó bármely információ) – különösen az érintett neve, azonosító jele, valamint gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
    4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
    5. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
    6. hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
    7. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
    8. adatállomány: az egy nyilvántartásban kezelt adatok összessége;
    9. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tulajdonosállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tulajdonosállami jog is meghatározhatja;
    10. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tulajdonosolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép)rögzítése;
    11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
    12. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
    13. adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
    14. adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
    15. adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; 18.adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;
    16. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
    17. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
    18. álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
    19. anonimizálás: olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítási lehetőségének végleges kizárását;
    20. biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
    21. cookie (sütik): a felhasználó böngészőjén keresztül annak winchesterére kerülő információs (általában sima szöveg) file, ami egyértelműen azonosítja a felhasználót a következő látogatás alkalmával;
    22. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.
    23. érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
    24. harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
    25. harmadik ország: minden olyan állam, amely nem EGT-állam.
    26. az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
    27. nyilvánosságra hozatal: az adatot bárki számára történő hozzáférhetővé tétele;
    28. IP cím: valamennyi hálózatban, amelyben a kommunikáció a TCP/IP-protokoll szerint folyik, a szervergépek IP-címmel, azaz azonosítószámmal rendelkeznek, amelyek az adott gépek hálózaton keresztüli azonosítását teszik lehetővé. Tudvalévő, hogy minden hálózatra kapcsolt számítógép rendelkezik IP címmel, amelyen keresztül beazonosítható.
    29. különleges adat:
      1. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tulajdonosságra, a szexuális életre vonatkozó személyes adat,
      2. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
    30. Nemzeti Adatvédelmi és Információszabadság Hatóság: NAIH , akinek a jogállását és feladatait az Info tv. 38.§-a határozza meg (a továbbiakban: Hatóság);
    31. nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
    32. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
    33. személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés;
    34. természetes személyazonosító adatok: az érintett családi- és utóneve, születéskori neve, anyja neve, születési helye és ideje;
    35. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

II. Fejezet

1. Az adatkezelés alapelvei

  1. §
    1. A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében a SZÖVETKEZET alkalmazottjai személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhetnek, ha ahhoz az érintett kifejezetten – írásban, különleges adat esetében az adott adatra vonatkozóan konkrétan – hozzájárult.
    2. A személyes adatok:
      1. kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
      2. gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
      3. az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
      4. pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
      5. az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
      6. az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
    3. Az adatkezelő felelős az (2) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
    4. A SZÖVETKEZET által, illetve annak munkaszervezetében – a cél megvalósulásához szükséges mértékben és ideig – csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
    5. A SZÖVETKEZET alkalmazottai és külső megbízottjai a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó magyar jogszabályok és a GDPR előírásainak betartásával kezelhetnek.
    6. Személyes adat kezelésére csak a SZÖVETKEZET alapszabályában meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés.
    7. A SZÖVETKEZET által kezelt – vagy a SZÖVETKEZET feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
    8. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
    9. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
    10. A SZÖVETKEZET adatkezelést végző alkalmazottja a vonatkozó jogszabályokban rögzített fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért.
    11. A 16. életévét be nem töltött kiskorú érintett személyes adatainak kezelésére vonatkozó hozzájáruló nyilatkozat, illetve minden egyéb jognyilatkozat érvényességéhez az érintett törvényes képviselőjének jóváhagyása szükséges. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.
    12. Egészségügyi adatot a SZÖVETKEZET tevékenységének céljára tekintettel nem kezel.
  2. §
  3. Az adatkezelés jogszerűsége és az adatkezelő feladatai
    (1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
    a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
    b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
    c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
    d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
    e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
    f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

8/A § Az adatkezelő feladatai
(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
(2) Ha az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.
(3) A GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti kötelezettségeit.

8/B § Beépített és alapértelmezett adatvédelem

(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
(3) A GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti az e § (1) és (2) bekezdésében előírt követelményeket.

8/C § Az adatfeldolgozó

(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
(3) Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tulajdonosállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tulajdonosállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) meghozza a GDPR 32. cikkben előírt intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a (2) és (4) bekezdésben említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti az adatkezelőt a GDPR 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tulajdonosállami jog az személyes adatok tárolását írja elő;
h) az adatkezelő rendelkezésére bocsát minden olyan információt, amely a jelen szakaszban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Jelen pont alkalmazási körében az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezt a rendeletet vagy a tulajdonosállami vagy uniós adatvédelmi rendelkezéseket.

8/D § Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tulajdonosállami jog kötelezi.

  1. Az adatkezelés jogalapja
    9.§ (1) Jelen szabályzat hatálya alatt és eltérő jelzés hiányában az ingatlan tulajdonosok személyes adatainak kezelése önkéntes hozzájáruláson, illetve a SZÖVETKEZET Alapszabályában előírt kötelezettségen alapul. Az adatszolgáltatás és az adatkezelés jogi kötelezettsége a lakásszövetkezetekről szóló 2004. évi CXV tv. 43. §.(1) bek.-e felhatalmazása alapján lett előírva. Ugyanakkor a SZÖVETKEZET tagi viszony létesítésének a feltétele bizonyos személyes adatok rendelkezésre bocsátása. A belépési nyilatkozathoz kapcsolt adatvédelmi tájékoztató figyelembe vételével minden tagi felvételt kezdeményező személy konkrétan és egyértelműen hozzájárul a tagsági viszonya létesítésével egyidejűleg meghatározott személyes adatainak a SZÖVETKEZET részéről történő kezeléséhez. A hozzájárulás hatálya a tulajdonosi/tagi viszony időtartamával egyezik meg. A SZÖVETKEZETBEN tulajdonosi/tagi viszonyt megszüntető személy tulajdonosi/tagi viszonyának megszűnésével megszűnik a tulajdonosi/tagsági adatok kezelésére vonatkozó felhatalmazás. A Szövetkezet ez esetben köteles haladéktalanul visszaállításra nem alkalmas módon törölni a kilépő személy nála nyilvántartott személyes adatait, kivéve, ha egyértelmű és jogos érdeke fűződik azok további kezeléséhez.
    (2) A tulajdonos és egyéb személy (ingatlan használó, munkavállaló, megbízott, meghatalmazott, szerződő partner, stb.) a személyes adatai kezeléséhez a hozzájárulását (i) külön adatkezelési hozzájárulásban; (ii) a honlap használatával, vagy (iii) a személyes adatok önkéntes rendelkezésre bocsátásával és az adatkezelőnek való megküldésével adja meg. Amennyiben az adott személy harmadik személyek személyes adatait adja meg az adatkezelő részére, úgy szavatol azért, hogy a harmadik személy hozzájárulását az adatkezeléshez beszerezte vagy egyéb törvényi jogalappal rendelkezik az adatok továbbításához.
    (3) A személyes adatok kezelésének jogalapja az érintett személyek önkéntes és kifejezett hozzájárulása (az Infotv. 5. § (1) bek. a) pontja, továbbá a 2016/679 EU rendelet („általános adatvédelmi rendelet”) 6. cikk (1) bekezdés (a) pontja alapján), amely hozzájárulás bármikor, korlátozás nélkül visszavonható. Amennyiben az érintett a személyes adatait az adatkezelő számára önkéntesen megadja, ám a hozzájárulását később visszavonja, úgy a személyes adatok további kezelése lehet szükséges ( a 95/46/EK irányelv 7. cikk f) pontja, illetőleg az általános adatvédelmi rendelet 6. cikk (1) bekezdés (f) pontja alapján) a SZÖVETKEZETRE vonatkozó jogi kötelezettség teljesítése céljából vagy a SZÖVETKEZET vagy valamely harmadik személy elsőbbséget élvező jogos érdekének érvényesítése céljából, melyről a SZÖVETKEZET az érintett részére külön tájékoztatást nyújt.
    (4) A hozzájárulás visszavonása SZÖVETKEZETBEN tagság esetén maga után vonja a tagi viszony megszüntetését.
    (5) Eltérő jelzés hiányában a belépő, tulajdonos vagy egyéb személy a jelen szabályzatban foglalt feltételek elfogadásáról belépés során, külön nyilatkozat útján nyilatkozik.
  2. A kezelt személyes adatok köre

10.§ (1) A SZÖVETKEZET a tulajdonosok, ingatlant használók (haszonélvező, bérlő) munkavállalók, küldöttek, tisztségviselők, (továbbiakban: egyéb személyek), továbbá a SZÖVETKEZETTEL polgárjogi szerződéses jogviszonyban álló természetes és jogi személyek által megadott alábbi, önkéntesen megadott személyes adatait kezeli:
Kezelt adat Adatkezelési célok
Név: az érintett azonosítását szolgálja valamennyi adatkezelési cél vonatkozásában.
Cím: az érintett azonosítását és a kapcsolattartást szolgálja valamennyi adatkezelési cél vonatkozásában.
Elektronikus elérhetőség (e-mail cím): az érintett azonosítását és a kapcsolattartást szolgálja valamennyi adatkezelési cél vonatkozásában.(jogos érdek)
Telefonszáma: az érintettel való kapcsolattartást szolgálja (jogos érdek)
Természetes személyazonosító adatok:(anyja neve, születési hely és idő) Csak tulajdonosok/használók esetében, az életkor és a születési hely idő, anyja neve szükséges a tulajdonosi nyilvántartáshoz, közös költség , pótbefizetés elmaradásához kapcsolódó behajtáshoz,
Adó, szám- és könyvviteli kötelezettségek teljesítése érdekében rögzítendő adatók pl. adóazonosító jel, a személyazonosító szám, TAJ szám, gyermekszám, stb. Kizárólagosan az adott jogszabály tartalmi felhatalmazásának megfelelően.
Munkavállalók személyes adatai: családi és utóneve, adóazonosító jel,
születési idő, biztosítási jogviszonyának kezdete, kódja, megszűnése, a biztosítás szünetelésének időtartama, a heti munkaidő, a FEOR-szám, a
TAJ szám, a végzettségét, szakképzettségét, szakképesítését, továbbá az ezt igazoló okiratot kibocsátó intézmény neve és az okirat száma. Munkajogi jogszabályok rögzítik a munkáltató számára, hogy a kötelezettségei teljesítése érdekében kezelje a munkavállalók bizonyos személyes adatait. (1997. évi LXXX. törvény 46. § 2. bek.,
adatszolgáltatás az állami adó- és vámhatóság felé a 2017. évi
CL. törvény 1. sz. melléklet 3. pontjában, valamint az egyszerűsített foglalkoztatásról szóló 2010. évi LXXV. törvény 3. és 11.§ -ban meghatározottak szerint)
Hangfelvétel SZÖVETKEZET közgyűlés, Igazgatósági ülés, a szabályszerű jegyzőkönyv, emlékeztető leírásának szolgál alapjául
Képfelvétel és hangfelvétel SZÖVETKEZET közgyűlés, Igazgatósági ülés, egyes SZÖVETKEZET tulajdonban, bérleményben álló helyiség, helyiségcsoport vagyonvédelmi és biztonsági intézkedés céljából
Egészségügyi adat megváltozott munkaképesség igazolása. Adatkezelő jogi kötelezettségének teljesítése (hatóság felé)

(2) A SZÖVETKEZET nem gyűjt és nem is kér különleges adatokat, esetleges tudomására jutott ilyen adatot az adatkezelő haladéktalanul, a visszaállításra nem alkalmas módon köteles törölni.
(3) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tulajdonosságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok gyűjtése, kezelése tilos.

  1. Az adatkezelés időtartama: adattárolás az adatok törlésének határideje

11.§ (1) A SZÖVETKEZET a személyes adatokat a tulajdonosokkal, valamint az érintett személyekkel fennálló jogviszony időtartama alatt kezeli, illetőleg a jogviszony megszűnését követően, ha arra jogszabály engedélyt ad. A jogviszonyból eredő jogok és kötelezettségek alapján kezelt személyes adatok kezelése a jogok és kötelezettségek érvényesíthetőségének elévüléséig tart, amely jogviszony kapcsán az Adatkezelő a személyes adatokat kezeli. Ilyen esetben a hatályos Ptk. 6:22 § alapján az általános elévülési idő 5 év.
(2) A kezelt személyes adatok a jogviszony megszűntét követően legkésőbb 30 napon belül törlésre kerülnek, kivéve, ha (i) a Felhasználó az adatkezeléshez megadott hozzájárulását ennél hamarabbi időponttal vonja vissza, vagy (i) ha az adatkezelést jogszabály írja elő vagy (iii) jogszabály teszi lehetővé az adat megőrzését, például az adatkezelés korán keletkezett számviteli bizonylatok megőrzése érdekében.
(3) Adatkezelő a munkaviszonnyal kapcsolatos adatokat a Munkatárs kilépésének naptári éve végétől számított 5 évig tartja nyilván azzal, hogy a munkaügyi-, bér- és társadalombiztosítási nyilvántartásokat, mint maradandó értékű iratokat leselejtezni tilos.
(4) Minden olyan dokumentum, amely gazdasági esemény megtörténtét dokumentálja, számviteli bizonylatnak minősül, a SZÖVETKEZET a mindenkor hatályos adó- és számviteli szabályokban meghatározott őrzési időig tárolja. A szükséges mértékű, célhoz kötött adatkezelés e tekintetben a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése érelmében alapján 8 évig kerül megőrzésre. Ilyen dokumentumnak minősülnek különösen a szerződések, számlák, bizonylatok, ellenőrzések, vizsgálatok dokumentumai. A személyes adatok a polgári jogi elévülés idejéig kezelésre kerülhetnek, ha a SZÖVETKEZET valamely jogi igénnyel rendelkezik az érintett személlyel szemben vagy ha az érintett személy érvényesít valamilyen jogi igényt a SZÖVETKEZETTEL szemben.

  1. Az adatok megismerésére jogosult lehetséges adatkezelők személye

12.§(1) A SZÖVETKEZET az érintett személyek személyes adatait az illető személy konkrét és egyértelmű hozzájárulása vagy annak hiányában nem továbbítja és nem teszi hozzáférhetővé harmadik személyek részére.

  1. Adatbiztonságra vonatkozó rendelkezések
  2. §(1) A SZÖVETKEZET minden szükséges intézkedést megtesz az általa kezelt személyes adatoknak a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés, sérülés, megsemmisülése elleni védelméért. A SZÖVETKEZET mint adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Info. tv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
    (2) A SZÖVETKEZET mint adatkezelő, és az általa igénybe vett adatfeldolgozó, megbízott további adatkezelő, a fentiekben megjelölt személyes adatokat bizalmasan kezelik. Szükséges intézkedés gyanánt minden olyan biztonsági, technikai és szervezési intézkedést megtesznek, mely az adatok biztonságát garantálja, különösen:
    • ha a SZÖVETKEZET és az Adatfeldolgozó a személyes adatokat elektronikus formában tárolja. A kezelt Személyes Adatokhoz az Adatkezelő és az Adatfeldolgozó munkavállalói közül is kizárólagosan csak a kezelt Személyes Adatokhoz kapcsolódó szolgáltatások teljesítésében résztvevő munkatársak férhetnek hozzá;
    • a Személyes Adatok biztonsága érdekében az Adatkezelő és az Adatfeldolgozó titkosítást, álnevesítéstést más fizikai és logikai védelmi intézkedéseket alkalmaz és mindent megtesz, ami az adott helyzetben elvárható annak érdekében, hogy a kezelt személyes adatokhoz illetéktelenek ne férjenek hozzá.
    A SZÖVETKEZET esetében adatfeldolgozónak a számítás-, és információs technikát kezelő szolgáltatót (szerverszolgáltatót) kell érteni.
    (3)Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A SZÖVETKEZET által kezelt nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
    (4) A személyes adatok automatizált feldolgozása során további intézkedésekkel biztosítani szükséges:
    a) a jogosulatlan adatbevitel megakadályozását;
    b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
    c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
    d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
    e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
    f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
    (5) Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
    (6)A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
    (7) Az adatkezelő, illetve az adatfeldolgozó a GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a a GDPR 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e szakaszban meghatározott követelményeket teljesíti.
    (8) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tulajdonosállami jog kötelezi őket.
  3. Adatkezelés speciális jogszabályi alapjai
    16.§
    1. évi CXV. törvény a lakásszövetkezetekről II. Fejezet 4.§. (2). bek. r) a törvény által előírt vagy a
      közgyűlés által szükségesnek tartott egyéb kérdéseket az Alapszabályban lehet meghatározni.
    1. évi CXV. törvény a lakásszövetkezetekről III. Fejezet 14/A §. (1)-(10) bek (kamerarendszer).
    1. évi CXV. törvény a lakásszövetkezetekről V. Fejezet 43. § (1) és (6). bek. (lakásszövetkezeti
      tagági viszony)
  • Az ingatlan-nyilvántartásról szóló 1997. évi CXLI. törvény 32.§
  • 109/1999. sz. FVM rendelet az ingatlan-nyilvántartásról szóló 1997. évi CXLI. törvény végrehajtásáról 56-58/A.§ 65.§ (3) bek., 74.§
  1. Az érintett jogai

(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a GDPR-ben említett valamennyi információt és a GDPR szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
(2) Az adatkezelő elősegíti az érintett GDPR szerinti jogainak a gyakorlását. Az adatkezelő az érintett GDPR 15-22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15-22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
(5) A GDPR 13. és 14. cikk szerinti információkat és a GDPR 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:
a) ésszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
(6) Ha az adatkezelőnek megalapozott kétségei vannak a GDPR 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
(7) Az érintett részére a GDPR 13. és 14. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.
(8) Az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő informá¬ciókról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.
(9) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (8) bekezdésben említett minden releváns kiegészítő információról.
(10) Az (7), (8) és (9) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az informá¬ciókkal.

  1. Az érintett hozzáférési joga

19.§ (1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; h) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
(2) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
(3) A (2) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

  1. A helyesbítéshez való jog

20.§ Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

  1. A törléshez való jog („az elfeledtetéshez való jog”)

21.§ (1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tulajdonosállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tulajdonosállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
c) a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
d) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

  1. Az adatkezelés korlátozásához való jog

22.§ (1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát; b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
d) az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tulajdonosállam fontos közérdekéből lehet kezelni.
(3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

  1. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
  2. § Az adatkezelő minden olyan címzettet tájékoztat a fentiek szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
  3. Az adathordozhatósághoz való jog
  4. § (1) Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tulajdonosolt, széles körben használt, géppel olvasható formátumban megkapja. Továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:
    a) az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
    b) az adatkezelés automatizált módon történik.
    (2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
    (3) Az e szakasz (1) bekezdésében említett jog gyakorlása nem sértheti a GDPR 17. cikk rendelkezéseit. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
    (4) Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.
  5. A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben

25.§ (1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Az (1) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
(3) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.
(4) Ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

  1. A jogérvényesítés, tájékoztatás, helyesbítés, törlés, tiltakozás eljárásrendje

26.§ (1) A jelen szabályzat alapján érintett személyek bármikor felvilágosítást kérhetnek Személyes Adataik kezeléséről, és bármikor kérhetik személyes adatainak helyesbítését vagy módosítását, illetőleg a 18-25.§-okban meghatározott jogaik érvényesítését az Adatkezelőhöz címzett levelében vagy elektronikus úton az adatkezelő alábbi elérhetőségei útján:

Név: Lágymányosi 10. sz. Lakásszövetkezet
Székhely: 1117 Budapest, XI., Budafoki u. 83.
Telefonszám: …………………….
E-mail: lagym10lakszov@gmail.com

(2) Az érintett bármikor jogában áll személyes adatai szolgáltatását, közlését indoklás nélkül megtagadni, illetve a regisztráció, vagy a belépési nyilatkozattal összefüggésben tett hozzájáruló nyilatkozatait feltétel nélkül, ingyenesen visszavonni. Az érintett az alábbi elérhetőségen tud leiratkozni, valamint hozzájáruló nyilatkozatát visszavonni: E-mail cím: lagym10lakszov@gmail.com . A SZÖVETKEZET kérheti, hogy az érintett személy azonosítsa magát és ennek érdekében személyes adatot adjon meg.
(3) A SZÖVETKEZET a kezelt adatot törli, illetve az Adatfeldolgozóval törölteti, ha

  • kezelése jogellenes;
  • az hiányos vagy téves – és ez az állapot jogszerűen nem korrigálható;
  • az adatkezelés célja megszűnt;
  • azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte; vagy
  • az érintett személy kéri (ide nem értve a törvényben elrendelt – törvényen alapuló – kötelező adatkezeléseket).
    Az adattörlési kérelmet a SZÖVETKEZET Elnöke bírálja el, indokolt esetben a SZÖVETKEZET Igazgatóságának állásfoglalása megadását követően, a tájékoztatásra vonatkozó eljárási rendben.
    (4) Az érintett személy bármikor tájékoztatást kérhet személyes adatai kezelésével kapcsolatosan, továbbá bármikor kérheti személyes adatai helyesbítését, zárolását vagy törlését. Tájékoztatás iránti kérelem esetén a SZÖVETKEZET a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 20 napon belül, írásban ad tájékoztatást. Az érintett (16 év alatti kiskorú esetén törvényes képviselője útján) személyesen vagy írásban tájékoztatást kérhet személyes adatainak kezeléséről, annak céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről. A tájékoztatást a SZÖVETKEZET Elnöke adja meg, az adatvédelemért felelős SZÖVETKEZET Igazgatóságával történt konzultációt követően. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A tájékoztatás megtagadására irányuló döntés meghozatalában a SZÖVETKEZET Igazgatósága minden esetben közreműködik. Az igény elutasításával egy időben közölni kell, hogy a felvilágosítás megtagadására pontosan mely jogszabályi rendelkezés alapján került sor, valamint a rendelkezésre álló jogorvoslati lehetőségeket is. A tájékoztatás csak törvényben meghatározott okból tagadható meg.
    (5) Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az rendelkezésére áll, a személyes adat helyesbítésre kerül. A valóságnak nem megfelelő személyes adat helyesbítéséről a SZÖVETKEZET Igazgatósága dönt. Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a SZÖVETKEZET rendelkezésére áll, a SZÖVETKEZET Igazgatósága helyesbíti. Amennyiben a helyesbítés kérelemre történik, úgy a tájékoztatásra vonatkozó, jelen Szabályzatban foglalt eljárási rend a helyesbítésre is irányadó. Törlés helyett zárolásra kerül a személyes adat, ha az érintett személy ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett személy jogos érdekeit. Az így zárolt személyes adat kizárólag addig kerül kezelésre, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. Megjelölésre kerül a kezelt személyes adat, ha az érintett személy vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen. Ha a helyesbítés, zárolás vagy törlés iránti kérelem nem kerül teljesítésre, úgy a kérelem kézhezvételét követő 25 napon belül a SZÖVETKEZET írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait.
    (6) A kötelező adatkezelések esetét ide nem értve, az érintett személy bármikor tiltakozhat személyes adatai kezelésével szemben, amennyiben az adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, továbbá törvény által meghatározott egyéb esetekben (tudományos-kutatási célú, történeti statisztikai adatkezelés). A Szövetkezet Elnöke a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében – a SZÖVETKEZET Igazgatóságának állásfoglalásának megadását követően – döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja. Ha az érintett tiltakozásának megalapozottsága megállapítható, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – meg kell szüntetni, és az adatokat zárolni kell, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíteni kell mindazokat, akik részére esetlegesen a tiltakozással érintett személyes adatot korábban továbbították, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Zárolt adaton – a zárolás hatálya alatt – adatkezelési művelet nem végezhető. Amennyiben az érintett személy nem ért egyet a tiltakozással kapcsolatban meghozott döntéssel, az Érintett a döntés kézhezvételétől számított 30 napon belül pert indíthat a SZÖVETKEZET, mint adatkezelővel szemben.
    (7) Tiltakozás esetén az érintett személyes adata nem törölhető, ha az adatkezelést jogszabály rendelte el. Az adat azonban nem továbbítható, ha a SZÖVETKEZET egyetértett a tiltakozással, vagy a bíróság a tiltakozás jogosságát megállapította.
    (8) Az Érintett jogainak feltételezett megsértése esetére Infotv. 52. § (1) bekezdése szerinti vizsgálati eljárást kezdeményezhet a Nemzeti Adatvédelmi és Információszabadság Hatóság előtt (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C., telefon: +36-1-391-1400, telefax: +36-1-391-1410, e-mail: ugyfelszolgalat@naih.hu) vagy az Infotv. 22. § szerint a Felhasználó bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az a Felhasználó választása szerint – a lakóhelye szerinti törvényszék előtt is megindítható.
  1. Az adatkezelési tevékenységek nyilvántartása –Együttműködés a felügyeleti hatósággal

27.§ (1) A SZÖVETKEZET illetőleg az általa megbízott képviselő, önálló adatkezelők a SZÖVETKEZET felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet(nek). E nyilvántartás a következő információkat tartalmazza:
a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
b) az adatkezelés céljai;
c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják;
e) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
(2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:
a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
c) ha lehetséges, a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.
(3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.
(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a tulajdonosállami jogszabályban megjelölt felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást.
(5) Az (1) és (2) bekezdésben foglalt kötelezettségek arra tekintettel vonatkoznak a SZÖVETKEZETRE, mert az általa végzett adatkezelés a tulajdonosok/tagok tekintetében nem alkalmi jellegű.
(6) Az adatkezelő és az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője feladatai végrehajtása során a felügyeleti hatósággal (NAIH) – annak megkeresése alapján – együttműködik.

  1. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

28.§ (1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(3) Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
(5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e § követelményeinek való megfelelést.

  1. Az érintett tájékoztatása az adatvédelmi incidensről

29.§ (1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 29.§ (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.
(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

  1. Adatkezelés a foglalkoztatással összefüggően -A SZÖVETKEZET alkalmazottainak és az álláskeresési céllal pályázók személyes adatainak kezelése

30.§ (1) A SZÖVETKEZET a hatályos jogszabályi kereteken belül biztosítja az érintett személyre vonatkozóan a jogok és szabadságok védelmét munkavállalói személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében. Különösen a munkaerő-felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából, a Munka Törvénykönyve (2012. évi I. Tv.)rendelkezéseinek, elsősorban a 10.§-nak és az egyéb kapcsolódó munkaügyi szabályoknak figyelembe vételével..
(2) A SZÖVETKEZET személyügyi nyilvántartásának kezelésére és vezetésére, az alkalmazottak személyes adatainak kezelésére az Info tv. és a GDPR , valamint jelen szabályzat rendelkezései az irányadóak. A SZÖVETKEZET alkalmazottai, a jelen szabályzat mellékleteként szereplő hozzájáruló nyilatkozatban járultak hozzá személyes adataik jogszabályoknak megfelelő és szükséges mértékű kezeléséhez.
(3) A szakszervezeti vagy érdekképviseleti szervezeti tagságra utaló adat csak az érintett munkatárs írásbeli hozzájárulása alapján kezelhető.
(4) A SZÖVETKEZETHEZ bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban található személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes haladéktalanul adatokat törölni kell.

III. Fejezet

  1. Az SZÖVETKEZET adatvédelemi intézményrendszere

31.§ (1) Az adatvédelmi előírások alkalmazása szempontjából a SZÖVETKEZET, mint adatkezelő szerv vezetőjének a SZÖVETKEZET elnökét kell tekinteni.
(2) A SZÖVETKEZET Elnöke
a) felelős a SZÖVETKEZET adatkezelésének jogszerűségéért,
b) gondoskodik az adatkezelés személyi és tárgyi feltételeinek biztosításáról,
c) a SZÖVETKEZET, mint adatkezelő szerv tekintetében meghozza az adatkezelésre vonatkozó döntéseket.
(2) A hivatali és egyes ügyviteli szerveinek vezetői felelősek az irányításuk alá tartozó munkatársak adatkezelésének jogszerűségéért, valamint a Szabályzatban foglaltak betartásáért, illetve betartatásáért.
(3) A SZÖVETKEZET adatvédelemért felelős ügyviteli szerve a SZÖVETKEZET Igazgatósága.
(4) Az adatvédelemért felelős ügyviteli szerv:
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) ellenőrzi az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban: Info. tv.), a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
c) kivizsgálja a SZÖVETKEZET részére érkezett, jogosulatlan adatkezeléssel kapcsolatos bejelentéseket;
d) jogosulatlan adatkezelés észlelése esetén – SZÖVETKEZET elnökének értesítése mellett – felszólítja az adatkezelőt vagy az adatfeldolgozót a jogsértés megszüntetésére;
e) elkészíti és folyamatosan karbantartja a jelen Szabályzatot;
f) közreműködik az adatvédelmi ismeretek oktatásában;
g) jogi segítséget nyújt a SZÖVETKEZETHEZ érkező közérdekű adatigénylések megválaszolásában, kontrollálja az adatigénylések SZÖVETKEZET részéről történő teljesítését;
h) véleményezi a SZÖVETKEZET adatvédelmet, adatbiztonságot érintő belső szabályzatait;
i) figyelemmel kíséri az adatvédelemmel, adatbiztonsággal összefüggő jogszabályokat, tájékoztatást, felvilágosítást ad, illetve adott esetben konzultációt tart a jogszabályok helyes alkalmazása céljából;
j) egyedi ügyekben kidolgozott állásfoglalásával segíti az adatvédelmi tevékenységet;
k) az adatvédelmi előírások megsértésének észlelése esetén intézkedést tesz annak megszüntetésére, tájékoztatja erről a SZÖVETKEZET Felügyelő Bizottságának elnökét, indokolt esetben kezdeményezi a felelősségre vonási eljárás lefolytatását.
(4) Az adatvédelemért felelős Igazgatóság a feladatai ellátása során az adatkezelést végző szervezeti egységtől minden olyan kérdésben felvilágosítást kérhet, az összes olyan iratba, nyilvántartásba betekinthet, illetve iratról másolatot kérhet, adatkezelést megismerhet, amely személyes adatokkal vagy közérdekű (közérdekből nyilvános) adatokkal összefügghet.
(5) A SZÖVETKEZET tisztségviselői, valamint alkalmazottai kötelesek az adatvédelemért felelős SZÖVETKEZET Igazgatóságának megkeresésére az adatvédelemmel kapcsolatban szükséges intézkedéseket megtenni, és a megtett intézkedésekről az adatvédelemért felelős Igazgatóságot tájékoztatni.
(6) A SZÖVETKEZET adatkezelésével kapcsolatos adatvédelmi kérdés, illetőleg panasz esetén az érintettek (beleértve az alkalmazottakat és külső munkavállalókat is) közvetlenül megkereshetik az adatvédelemért felelős Igazgatóságot.

  1. Jogszabályi felhatalmazás nélküli speciális adatkezelés

32.§ (1) A SZÖVETKEZET tulajdonosainál felvett adatokat a SZÖVETKEZET személyhez kötötten, egyedi azonosításra alkalmas módon – erre vonatkozó jogszabályi felhatalmazás hiányában – kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott – írásbeli és konkrét – hozzájárulása alapján jogosult kezelni. A hozzájáruló nyilatkozatban az érintett félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére.
(2) Az érintett hozzájárulásán alapuló adatkezelés esetén a hozzájárulás szövegének legalább az alábbiakat kell tartalmaznia:
a) arra vonatkozó utalást, hogy az érintett a személyes adatai kezelésével kapcsolatos minden tényre – így különösen az adatkezelés céljára, jogalapjára, az adatkezelésre és az adatfeldolgozásra jogosult személyekre, az adatkezelés időtartamára, az adatok megismerésére jogosultak körére, továbbá az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire – kiterjedő tájékoztatást kapott;
b) utalást arra, hogy az érintett az a) pont szerinti tájékoztatást követően önként hozzájárul az általa közölt személyes adatai kezeléséhez.
(3) A 16. életévét be nem töltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez a törvényes képviselő hozzájáruló nyilatkozata is szükséges.

  1. § (1) Az érintett tulajdonos illetve törvényes képviselője által a SZÖVETKEZET rendelkezésére bocsátott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. A hozzájárulást – a későbbi igazolhatósága érdekében – írásban kell rögzíteni. A tagi viszony létesítésének a feltétele az előírt személyes adatok rendelkezésre bocsátása.
    (2) Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
    (3) A SZÖVETKEZET megbízásából adatrögzítési, adatfeldolgozói feladatot ellátó természetes illetve jogi személyek, jogi személyiség nélküli szervezetek az SZÖVETKEZETTEL kötött szerződés mellékleteként külön íven szerkesztett adatvédelmi nyilatkozatot kötelesek tenni.
  2. Adattovábbítás, adatigénylés

34.§ (1) A SZÖVETKEZET által kezelt adatokból személyes adatot továbbítani az érintett beleegyezésének hiányában csak törvényben meghatározott szerv vagy személy részére, törvényben meghatározott körben, összesített (aggregát) adatként, illetőleg egyedi azonosításra alkalmatlan módon lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével.
(2) Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adat birtokában lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett hozzájárulásával rendelkezik az adat kezeléséhez, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
(3) Az adattovábbítás feltételeinek meglétét az adatot továbbító szervezeti egység minden egyes személyes adattal összefüggésben ellenőrizni köteles. Amennyiben az adatkéréssel kapcsolatban adatvédelmi aggályok merülnek fel (pl. az adatigénylés célját, jogalapját, a bekért adatok körét, kiadhatóságát illetően) az adatvédelemért felelős SZÖVETKEZET Igazgatóságának az állásfoglalását kell kérni.
(4) Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza:
a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését);
b) a kért adatok körének pontos meghatározását.
(5) Amennyiben az adatigénylésből pontosan nem állapítható meg a kért adatok köre, úgy az adatigénylőt fel kell hívni az adatkérés pontosítására.
(6) Személyes adatok külföldre történő továbbítása esetén az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

IV. fejezet

  1. A jogellenes adatkezelés következményei

35.§ (1) Az érintett a jogainak megsértése esetén bírósághoz fordulhat, amely az ügyben soron kívül jár el.
(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, a SZÖVETKEZET köteles bizonyítani.
(3) A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, illetve az érintett tiltakozási jogának figyelembevételére kötelezi.
(5) A bíróság elrendelheti ítéletének – az adatkezelő azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett törvényben védett jogai megkövetelik.

  1. § (1) A SZÖVETKEZET az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az SZÖVETKEZET felel az adatfeldolgozó által okozott kárért is. A SZÖVETKEZET mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
    (2) Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

V. Fejezet

Vegyes és záró rendelkezések

  1. § (1) Jelen Szabályzat hatálybalépésétől számított 45 napon belül a SZÖVETKEZET elnöke köteles intézkedni az irányítása alá tartozó egységek adatvédelmi gyakorlatának felülvizsgálatáról és szükség esetén a jelen Szabályzat rendelkezéseinek megfelelő eljárások kialakításáról.
    (2) A jelen Szabályzat nyilvános, abba a SZÖVETKEZET irodájában bárki által hozzáférhető módon el kell helyezni, arról a másolási költségek megfizetése mellett bárki másolatot kérhet.
    (3) Jelen Szabályzatot 2018. ….. -n a SZÖVETKEZET Igazgatósága az …../2018.(…). sz. határozatával elfogadta, a jelen szabályzat az elfogadását kötően 2018 …… napján lép hatályba.