ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT
A Magyar Innováció és Hatékonyság Nonprofit Kft. (továbbiakban "Vállalkozás"), mint adatkezelő az elvégzett hatástanulmány és eltéréselemzés, valamint az azok alapján kialakított és végrehajtott akcióterv alapján
a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló, az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének (általános adatvédelmi rendelet – jelen szabályozásban, a továbbiakban GDPR Rendelet)
történő megfelelés érdekében az alábbi szabályzatot alkotja.
1.) Általános rendelkezések
A Vállalkozás, mint adatkezelő jogosult a szerződésben foglalt szolgáltatás nyújtása, valamint a vállalt kötelezettségek teljesítése érdekében, a természetes személy ügyfél, valamint az ügyfelet képviselő természetes személy személyes adataira vonatkozó szükséges dokumentumokat és nyilatkozatokat bekérni és az azokban foglalt személyes adatokat kezelni a GDPR Rendelet, az egyéb vonatkozó jogszabályok, valamint az ügyféllel kötött szerződések rendelkezései alapján.
A szabályzat célja a Vállalkozás által a személyes adatok kezelésének, feldolgozásának és az érintettek jogai érvényesítési, valamint mindezekkel kapcsolatos felelősségi rendszer meghatározása.
A szabályzat rendelkezéseit alkalmazni kell valamennyi olyan személyre, akik a Vállalkozás részére adatfeldolgozási, vagy közös adatkezelési tevékenységet végeznek.
A személyes adatok kezelésének általános céljai:
az Ügyfél, illetve képviselőjének azonosítása,
a szerződésben foglalt jogok gyakorlása és kötelezettségek teljesítése
(ideértve a tranzakciók lebonyolítását) és ezek teljesítésének igazolása,
a tranzakciókkal, vagy a Vállalkozás tevékenységével kapcsolatos tájékoztatás és marketing,
a Vállalkozás jogos érdekeinek érvényesítése,
a szerződésben szabályozott jogviszony szerinti elszámolás,
kapcsolattartás,
a Vállalkozást az Ügyfél vonatkozásában esetleg terhelő adókötelezettségek teljesítése.
Az egyes adatok kezelésének időtartama eltérő, részletesen az Adatleltárban, illetve táblázatos formában az Adatkezelési tájékoztatóban található.
A Vállalkozás adatkezelési alapelvei összhangban vannak az adatvédelemmel kapcsolatos hatályos jogszabályokkal, így különösen az alábbiakkal:
- 2011. évi CXII. törvény - az információs önrendelkezési jogról és az információ-szabadságról (Infotv.);
- Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR);
- 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);
- 2000. évi C. törvény – a számvitelről (Számv. tv.);
2.) A szabályzat tárgyi hatálya
A szabályzat rendelkezéseit kell alkalmazni a Vállalkozás személyes adat kezelésére, azzal kapcsolatos folyamatok szabályozására érvényesítésére, az érintettek jogainak biztosítására.
3.) A szabályzat időbeli hatálya
A szabályzat rendelkezései az aláírás napján lépnek hatályba, azonban rendelkezéseit 2018. május 25. napjától kell alkalmazni. A szabályzat visszavonásig vagy további rendelkezésig hatályos.
4.) A szabályzat alapja
A szabályzat alapját a GDPR rendelet 35. cikke figyelembe vételével készített helyzetfelmérés és eltérés elemzés eredménye képezi.
5.) Alapfogalmak
Jelen szabályzat alábbi alapfogalmai egyeznek a GDPR rendelet 4. cikkében felsorolt alapfogalmakkal, az alábbi kiegészítésekkel és hozzáfűzött rendelkezésekkel:
Az adatgazdák: a szervezetnél működő informatikai rendszerek, alkalmazások és adatbázisok adatainak „felelősei”. Feladatuk, hogy a hozzájuk tartozó adatbázis biztonsági elvárásait (adatok minősítése, bizalmasságra, sértetlenségre, rendelkezésre állásra, számon kérhetőségre, szerepkörök kötelező szétválasztására stb. vonatkozó igények) meghatározzák, az adatokhoz történő hozzáférést szabályozzák, ellenőrizzék.
Adatleltár: a személyes adatok típusának azonosításával kialakított lista
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztathatóságát, jogosulatlan közlését vagy az azokhoz jogosulatlan hozzáférést eredményezi.
Adatvédelmi hatásvizsgálat: az Adatkezelő által végzett eljárás, amelynek során egy új szolgáltatás bevezetése, vagy módosítása során a folyamat során használt személyes adatok körét, jogosultságát, tárolhatóságát, védelmét részletesen elemzik.
Adatvédelmi szervezet: a Vállalkozás által, a munkavállalók és az adatvédelmi tisztségviselő által működtetett munkafolyamatot alkotó személyek csoportja
Profilalkotás: a statisztikai következtetések sorozatát esetenként magában foglaló eljárás, amelyet általában az egyénekkel kapcsolatos előrejelzések megalkotása céljából használnak. Az egyén értékelése vagy osztályozása már önmagában is profilalkotásnak minősülhet anélkül, hogy bármilyen előrejelzést vagy következtetést vonnának le az eljárás eredményéből.
Rendezett íróasztal: olyan munkafolyamat, amelynek során a munkatársak csak az aktuális munkavégzéshez használt dokumentumokat tartják asztalukon, a munkaidő végeztével minden iratot elzárnak. Számítógépüktől való távozáskor a képernyőt zárolják.
Nyilvántartási rendszer: minden olyan elektronikus és papíralapú nyilvántartás, amelyek a GDPR hatálya alá tartozó személyes adatokat tartalmaznak, kezelnek, vagy feldolgoznak.
Tevékenységi központ: a Vállalkozás székhelye (telephelye), akkor is, ha a Vállalkozás a határon átnyúlóan végzett tevékenysége keretén belül kezel személyes adatokat.
Felügyeleti hatóság (adatvédelemmel kapcsolatban): Nemzeti Adatvédelmi és Információszabadság Hatóság (címe: 1125 Budapest, Szilágyi Erzsébet fasor 22c, levelezési címe: 1530 Budapest, Pf..5; c; elérhetősége: Telefonon: +36 1 391 1400, fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; URL http://naih.hu)
Tudomásszerzés: tudomásszerzésnek az tekinthető, amikor az adatkezelő ésszerű mértékű bizonyossággal rendelkezik arról, hogy olyan biztonsági esemény történt, amely személyes adatokkal kapcsolatos jogellenes műveletekhez vezethet.
6.) A személyes adatok kezelésére vonatkozó elvek
A személyes adatok kezelésére a Vállalkozás a GDPR rendelet 5. cikkében foglaltak szerint jár el. Ezen rendelkezések az alábbiakkal egészülnek ki, illetve az alábbi módokon valósulnak meg.
- Jogszerűség, tisztességes eljárás és átláthatóság
A Vállalkozás adatkezelése és feldolgozása során, a GDPR rendelet, a magyar jogi szabályozás és jelen szabályzat rendelkezéseit maradéktalanul be kell tartani. A Vállalkozás valamennyi vezetőjének és munkatársának feladata olyan folyamatok és eljárásrendek kialakítása, nyomtatványok és adatkezelési hozzájárulások és nyilatkozatok készítése, amelyek ezen alapelvi rendelkezéseknek teljes mértékben megfelelnek.
A Vállalkozás meghatározza, hogy a személyes adatok kezelése a szerződések teljesítéséhez, a Vállalkozás jogi kötelezettsége teljesítéséhez szükséges. Ezek hiányában a személyes adatkezelés kizárólag az érintett, tájékoztatáson alapuló hozzájárulásával lehetséges.
Hozzájárulásos adatkezelés esetén a Vállalkozás az érintett hozzájárulását igazolható módon: írásban, vagy rögzített telefonon szerzi be. A hozzájárulásos adatkezelés esetén az érintett önkéntes hozzájárulása bármikor, indokolás nélkül visszavonható, amelyről az érintettet minden esetben tájékoztatni szükséges.
Gyermekek személyes adatainak hozzájáruláson alapuló kezeléséhez az érintett felett szülői felügyeletet gyakorló törvényes képviselője hozzájárulása szükséges.
Valamennyi adatkezelési módnál az érintettet tájékoztatni kell arról, hogy a Vállalkozás milyen személyes adatokat kezel, milyen személyes adatot milyen célból kinek ad át adatfeldolgozás céljából. A tájékoztatást elsősorban a szerződési feltételekben kell rögzíteni és az érintettek részére a Vállalkozás internetes felületén is elérhetővé kell tenni. Egyben biztosítani kell azt is, hogy az érintett a Vállalkozástól a személyes adatainak kezeléséről, érintetti jogairól a GDPR rendelet szerinti tájékoztatást kérelmére megkaphassa.
A Vállalkozás a személyes adatok különleges kategóriáit akkor kezelheti, ha ehhez az érintett kifejezett hozzájárulását adja, vagy az érintett foglalkoztatását szabályozó jogi előírásokból fakadó követelmény teljesítése miatt szükséges. Üzemorvosi vizsgálat a munkaszerződés megkötéséhez és fenntartásához előírt.
A Vállalkozás büntetőjogi felelősség megállapítására vonatkozó személyes adatkezelést nem végez. Ezen tilalom nem érinti azon hatósági határozatokat, amelyek a Vállalkozás szolgáltatási igényét váltják ki.
- célhoz kötöttség
A Vállalkozás a személyes adatokat csak a működéséhez és szolgáltatásainak teljesítéséhez szükséges célból kezeli. Ennek során nem vesz, és nem értékesít, nem ad át és nem tesz harmadik személy számára hozzáférhetővé személyes adatokat tartalmazó adatbázisokat.
- adattakarékosság
A Vállalkozás kizárólag annyi személyes adatot kezel, amennyi a törvényes működéséhez és szerződéseinek kezeléséhez szükséges.
- pontosság
A Vállalkozás minden ésszerű és szükségszerű intézkedést megtesz a személyes adatok pontossága és aktualizálása érdekében. A személyes adatokat a törvényi rendelkezéseknek (pontosság), továbbá az érintetteknek a bejelentései alapján a változásokat a rendszeren átvezeti.
- korlátozott tárolhatóság
A Vállalkozás haladéktalanul megszünteti a GDPR rendelet hatálya alá tartozó azon személyes adatok kezelését, amelyeknél a célhoz kötöttség már nem állapítható meg és az adat kezelésének megszüntetésére a jogszabály lehetőséget ad.
- integritás és bizalmas jelleg
A Vállalkozás megteszi a méretének és tevékenységének elvárható színvonalú, fejlett technikai és szervezeti védelmi intézkedéseket, amely a személyes adatok kezelésének és feldolgozásának biztonságát az előírt módon biztosítja (rendezett íróasztal). Ennek érdekében követelményrendszert támaszt minden olyan adatfeldolgozóval, illetve közös adatkezelővel, akik a Vállalkozásnak GDPR rendelet hatálya alá tartozó személyes adatait kezelik illetve az adatfeldolgozás bármilyen fázisában részt vesznek.
- elszámoltathatóság
A Vállalkozás a szervezeti rendjét és adatkezelési rendszerét úgy építi ki, hogy a személyes adatok kezelése és feldolgozása nyomon követhető legyen és képes legyen arra, hogy egyes adatkezelési művelet és adatfeldolgozás során ki és milyen adatműveletet hajtott végre.
7.) Az érintettek jogai és azok biztosítása
a.) Átlátható intézkedések
A Vállalkozás megteszi a szervezeti és technikai intézkedéseket annak érdekében, hogy az érintett részére a GDPR Rendeletben meghatározott szempontok alapján a személyes adatainak kezelésére vonatkozó tájékoztatást írásban vagy szóban előírt határidőn belül (30 nap) meg tudja adni.
Az írásbeli tájékoztatást az érintettek részére a szerződéses kapcsolat létrejöttét, a személyes adatok kezelését megelőzően kell adni:
szerződések esetében a szerződés megkötésekor;
más esetekben a személyes adatok megadásakor, vagy megismerésekor.
Az írásbeli tájékoztatás díjmentes. A tájékoztatás írásbelinek minősül az érintett részére kialakított elektronikus felületen történő elektronikus levélben történő megküldés is.
A tájékoztatás csak jogszabályban előírt esetekben tagadható meg.
Az adatgazdák gondoskodnak arról, hogy az érintettekkel való kapcsolatba lépést szabályozó belső rendelkezések, a szerződési feltételek a tájékoztatásra is kiterjedjenek, az ezirányú tájékoztatás az érintettek részére a Vállalkozás honlapján is könnyen hozzáférhető legyen.
Az érintettek jogairól való szóbeli tájékoztatás feltétele az érintett személyazonosságának megállapítása és a tájékoztatásra való jogosultság feltételeinek fennállta. Az érintett kérelmére történő tájékoztatásért az érintett személy adatainak adatgazdája felel.
b.) Rendelkezésre bocsátandó információk, ha a személyes adatok az érintettől kerülnek beszerzésre
Az érintett részére nyújtott adatvédelmi tájékoztatónak az alábbi alapinformációkra szükségszerűen kell kitérni:
a Vállalkozás, mint adatkezelő személye és elérhetősége;
az adatvédelmi tisztségviselő személye és elérhetősége;
a személyes adatok kezelésének célja, valamint a kezelésének jogalapja (hozzájáruláson, szerződés teljesítésén, vagy a Vállalkozás jogszabályi kötelezettségének teljesítésén alapuló adatkezelés);
az érintett személyes adatok kategóriái.
A személyes adatok megszerzésének időpontjában a tisztességes és átlátható adatkezelés biztosítása érdekében az érintettet az alábbi kiegészítő információkról kell tájékoztatni:
a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
amennyiben megállapítható a Vállalkozás, vagy egy harmadik fél jogos érdeke, akkor ennek tényéről;
amennyiben az adatkezelés jogalapja az érintett hozzájárulása, akkor a személyes adatokhoz való hozzáféréshez, helyesbítéshez, törléshez, kezelésének korlátozásához, a személyes adatkezelés elleni tiltakozáshoz és az adathordozáshoz való jogról, valamint az adatkezeléshez való hozzájárulás visszavonásának következményeiről;
felügyeleti hatósághoz való panasz benyújtásának jogáról.
c.) Az érintett hozzáférési joga
A Vállalkozás az érintettnek a személyes adataihoz és az adatkezeléssel történő információhoz való folyamatos hozzáférést az alábbiak szerint biztosítja.
az adatkezeléssel kapcsolatos általános információkat a honlapon;
a szerződés teljesítésével kapcsolatos személyes adatokkal kapcsolatban a szerződési feltételekben, vagy az ahhoz kiadott adatvédelmi tájékoztatóban;
konkrét érintettek vonatkozásában az egyedi személyes adataival kapcsolatos műveletekről írásbeli, vagy szóbeli megkeresés alapján
d.) A helyesbítéshez való jog
Az érintett kérheti az adatainak helyesbítését, hiányos adatainak kiegészítését. Az érintett kérelmének teljesítéséhez a Vállalkozás az érintett személytől okiratot kérhet be, amelynek adatai alapján a helyesbítést vagy kiegészítést haladéktalanul, de legkésőbb 3 munkanapon belül elvégzi.
e.) A törléshez való jog („az elfeledéshez való jog”)
A Vállalkozás az Adatvédelmi rendeletben meghatározott okokból haladéktalanul, de legkésőbb 3 munkanapon belül törli az érintett személyes adatait.
A törléshez való jog az érintettet nem illeti meg, amennyiben a személyes adatainak teljesítése a Vállalkozás szerződési kötelezettségeinek, vagy jogszabályból eredő kötelezettségeinek teljesítéséhez szükséges, vagy a Vállalkozás jogos érdeke azt kívánja.
f.) Az adatkezelés korlátozásához való jog
Az adatkezelés korlátozására az érintett kérelme alapján kerülhet sor. Az érintett ez irányú kérelme tárgyában az adatvédelmi tisztségviselő állásfoglalását kell kikérni (ha van ilyen). Amennyiben ezen állásfoglalás szerint az adatkezelés korlátozásának van helye, az adatgazda valamennyi adathordozón és nyilvántartásában köteles megjelölni az érintett személyes adatait. A megjelölés történhet az érintettet a nyilvántartásban történő azonosító szám megjelölésével, vagy papíralapú dokumentáció esetén feljegyzésnek az iratok első oldalára történő helyezésével.
g.) A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
Az adatgazda az érintettet az adatok helyesbítéséről, törléséről, korlátozásáról írásban köteles tájékoztatni.
h.) Az adathordozhatósághoz való jog
Az érintett jogosult a személyes adatainak széles körben használt, géppel olvasható formátumban történő továbbításának kérésére. Az érintett ezen jogának gyakorlására a GDPR rendelettől eltérően akkor is jogosult, ha adatainak kezelését a Vállalkozás nem az érintett hozzájárulása alapján kezeli, feltéve ha az adatkezelés automatizált módon történik.
i.) A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyben
Az érintett saját helyzetével kapcsolatos okból bármikor tiltakozhat személyes adatainak kezelése ellen, ha az adatkezelés jogalapja kizárólag a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az érintett személyes adatait jelölni kell, amennyiben a Vállalkozás azokat közvetlen üzletszerzés érdekében kívánja felhasználni, vagy ilyen okból a cégcsoport, vagy partner vállalkozás felé továbbítani. Az adatok továbbításához való hozzájárulást szerződéses partnerenként kell az érintettől beszerezni és ezt a rendszerben jelölni. A jelölésért az adatok rögzítését végző személy felel. A személyes adatok közvetlen üzletszerzés érdekében történő kezelése esetén az érintettek figyelmét az első kapcsolatfelvétel során kifejezetten fel kell hívni, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők. Az ilyen módon történő adatkezelése ellen bármikor indokolás nélkül tiltakozhat. A tiltakozás bejelentését a Vállalkozás bizonyítható formában történő bejelentéshez köti. Ennek formája lehet rögzített telefonon vagy személyesen történő bejelentés, email, levél, fax, vagy honlap üzenő-falán történő jelzés.
A Vállalkozás akkor alkalmaz automatizált döntéshozatalt egyedi ügyekben, beleértve a profilalkotást, ha ahhoz az érintett kifejezetten hozzájárult. A hozzájárulást az intézkedés alkalmazása előtt kell az érintettől beszerezni és azt a rendszerben jelölni. Ilyen esetben az az érintettnek joga, hogy a Vállalkozás részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be. Az automatizált döntéshozatal, ideértve a profilalkotást is, a Vállalkozás nem alapozhatja a személyes adatok különleges kategóriáira.
8.) A Vállalkozás adatkezelése és adatfeldolgozása, adatkapcsolati ábra
A Vállalkozás a helyzetelemzés adatai és folyamatos kockázatértékelés és a jelen szabályzatban foglaltak alapján megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
A Vállalkozás megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy a személyes adatok kezelése során a Rendelet szerint beépített és alapértelmezett adatvédelem megfelelő módon valósuljon meg.
A Vállalkozás felmérte a hozzá beérkező adatok módját, a Vállalkozáson belüli útját.
9.) Közös adatkezelés
A Vállalkozás közös adatkezelést valósíthat meg, ha az adatkezelés céljait és eszközeit más adatkezelővel együtt határozza meg. Az ilyen adatkezelést a másik adatkezelővel írásba kell foglalni és abban az érintettek számára kapcsolattartót kell kijelölni.
10.) Adatfeldolgozás
A Vállalkozás az adatfeldolgozásához adatfeldolgozót vehet igénybe az alábbi feltételekkel:
az adatfeldolgozó megfelelő garanciákat nyújt az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét Vállalkozás, megfelelő technikai és szervezési intézkedések végrehajtására;
a Vállalkozás előzetesen írásban tett eseti vagy általános felhatalmazása nélkül az adatfeldolgozó további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja a Vállalkozást minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen;
az adatfeldolgozó írásbeli szerződésben vállalja a Rendelet 28. cikk (3-5) bekezdésében megjelölt feltételek teljesítését,
továbbá az adatvédelmi incidensek haladéktalan jelentését a Vállalkozás felé.
Adatfeldolgozási tevékenység igénybe vételére kizárólag akkor kerülhet sor, ha az adatfeldolgozó a fenti feltételeket vállalja és a Vállalkozás meggyőződik arról, hogy az adatfeldolgozó képes a szerződésben foglalt garanciális szabályokat betartani és az érintettek jogai nem sérülnek.
11.) Az adatkezelési tevékenységek nyilvántartása
A Vállalkozás egyes szervezeti egységei az általuk rögzített és ezáltal kezelt személyes adatokról a Rendelet 30. cikke szerinti nyilvántartást vezetnek.
A nyilvántartás vezetésére az adatgazdák kötelesek. Az adatgazdák feladatait a jelen szabályzat tartalmazza.
Az adatgazda gondoskodik arról, hogy az adatot kezelő szervezeti egység tevékenységét szabályozó belső rendelkezések (munkautasítások) a törlésre határidőket és felelőst irányozzanak elő, továbbá a szervezeti intézkedéseket a személyes adatok védelmére és az érintettek jogainak biztosításának konkrét módjára.
12.) Adatvédelmi incidens
Az adatvédelmi incidenst észlelő személy, ideértve az adatfeldolgozót, is köteles azt haladéktalanul jelenteni az adott személyes adat kezeléséért felelős adatgazdának. Az adatgazda az incidensről jelentést készít. A jelentésnek tartalmaznia kell a Rendelet 33. cikk (3) bekezdésében foglalt részletes adatokat is
Az adatvédelmi felelős az incidensjelentés alapján kockázatértékelést végez. Amennyiben az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatvédelmi felelős legkésőbb az incidenst követő 72 órán belül bejelentést tesz az illetékes hatóságnak, majd annak hatásairól, a kiküszöbölésére tett intézkedésekről nyilvántartást vezet.
Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az ügyvezető valamennyi adatvédelmi incidensről nyilvántartást vezet.
13.) Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről a Rendelt szerinti tartalommal.
Az érintett tájékoztatása nem kötelező, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő – már korábban - megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, mérlegeléssel megállapítható magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
14.) Adatvédelmi tisztségviselő
A Vállalkozás adatvédelmi tisztviselőt nem alkalmaz
15.) Személyes adatok továbbítása
Személyes adatok harmadik országba, vagy nemzetközi szervezet részére történő továbbítására megfelelőségi határozat, vagy megfelelő garanciák és jogorvoslati lehetőségek biztosítása alapján, vagy a Rendeletben különös helyzetekben biztosított eltérésekre előírt esetekben van helye.
16.) Jogorvoslati jogosultság
Minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál, vagy bírósághoz forduljon– különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban – ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.
17.) Telefonon történő kapcsolattartás
A Vállalkozás az Ügyféllel történt telefonbeszélgetést jogosult rögzíteni, amelyről az Ügyfelet előzetesen tájékoztatja. A telefonbeszélgetés kezdeményezésével, illetve tájékoztatást követő folytatásával az Ügyfél hozzájárul a telefonbeszélgetés rögzítéséhez.
II.
A Vállalkozás speciális adatvédelmi rendelkezései
1.) Adatvédelmi hatásvizsgálat
A Vállalkozás köteles minden olyan esetben adatvédelmi hatásvizsgálatot elvégezni, amikor olyan új technológiát alkalmaz, amely jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. A hatásvizsgálatnak a Rendeletben előírtakra kell kiterjednie. Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően a Vállalkozás adatvédelmi felelőse, vagy a hatásvizsgálat elvégzésével megbízott konzultál a felügyeleti hatósággal.
2.) A Vállalkozás adatgazdái
- gondoskodnak arról, hogy meghatározzák azokat az adatköröket és azok kezelésének célját, amelyeket a Vállalkozás kezel. Az adatkörök feltérképezése során meg kell határozni a korábban vagy jelenleg kezelt adatokat, azok kezelésének jogalapját, az adatfelvétel és az adatkezelés teljes tartama során az érintettek részére nyújtott tájékoztatás tartalmát;
- gondoskodnak arról, hogy az adatok felvételére és az érintettek tájékoztatására egységes sztenderdek alapján kerüljön sor. Ennek érdekében minden olyan nyomtatványon, amelyen személyes adatok felvételére kerül sor, a Rendelet követelményei szerinti adatvédelmi tájékoztatót tüntetnek fel, továbbá a gondoskodnak arról is, hogy a tájékoztató szövege a Vállalkozás honlapjára is kikerüljön;
- a külső partnerektől érkező adatok kezelésére és feldolgozására egységes eljárási rendet dolgoznak ki és az abban foglalt rendelkezéseket a partnerekkel kötött szerződésekben érvényesítik;
- meghatározzák azokat az adatköröket, amelyeket a Vállalkozás adatfeldolgozásra kiad. Ennek során feltérképezik az egyes adatfeldolgozási műveleteket, és adatfeldolgozónként feldolgozandó adatok körét,
- gondoskodnak arról, hogy az adatfeldolgozókkal kötött szerződésekben az egységes adatfeldolgozási elvek maradéktalanul érvényesüljenek,
- elkészítik és naprakészen tartják a személyes adatok kezelésével és feldolgozásával kapcsolatos az eljárásrendeket;
- elkészítik az adatok törlésére, a személyes adatokat tartalmazó papíralapú dokumentumok megsemmisítésére vonatkozó eljárásrendeket. Az ilyen eljárásrendet egyeztetik az adatvédelmi tisztségviselővel és az alapján megkezdik azon személyes adatok kezelésének megszüntetésére irányuló eljárást, amelyeknél az adatkezelés jogi feltételei már nem állnak fenn.
3.) Incidens jelentési folyamat
Az ügyvezető kiépíti az incidens jelentési folyamatot. Az adatvédelmi incidens megtörténtét az azt észlelő személy köteles az adatgazdának jelenteni, aki a jelentés alapján vizsgálatot folytat, majd jelentését továbbítja az adatvédelmi tisztségviselőnek.
Az adatvédelmi tisztségviselő a Rendelet 33. cikk szerinti vizsgálat lefolytatását követően dönthet a felügyeleti hatóságnak történő bejelentésről és az érintettek értesítéséről. Amennyiben az érintettek értesítése szükséges ügyfelek és munkavállalók tekintetében az ügyvezető köteles erről gondoskodni.
Az adatvédelmi incidensek bejelentését a NAIH által erre a célra kialakított elektronikus felületen kell teljesíteni.
4.) Érintett tájékoztatási rendszerének kiépítése
Az érintettek tájékoztatási igényét az adatgazdák segítségével az érintett személyes adatainak kezelését elsősorban ellátó szervezeti egység elégíti ki. A személyes adatok kezelésével kapcsolatos panaszokat az ügyvezető vizsgálja ki.
5.) Az egyes szervezeti egységek speciális adatvédelmi rendelkezései
a.) Adminisztráció, szerződéskezelés
Gondoskodni kell a létre nem jött szerződések során a személyes adatok törléséről. Az adatok törlésének ki kell terjednie azokra az elektronikus és egyéb levelekre is, amelyek személyes adatokat tartalmaznak és kezelésének jogalapja megszűnt.
A nyilvántartási rendszerben gondoskodni kell arról, hogy amennyiben a személyes adatok kezelés nem az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges, akkor az eltérő jogalap feltüntetésre kerüljön.
Gondoskodni kell arról, hogy a szerződés teljesítése során kizárólag olyan személyes adatok bekérésére kerüljön sor, amely az érintett azonosításához a jogszabályi rendelkezések előírnak, továbbá a szerződés teljesítéséhez feltétlenül szükségesek. Amennyiben a személyes adatok különleges kategóriáiba tartozó olyan adatok érkeznek a Vállalkozáshoz, amelyek a szerződés teljesítéséhez szükségesek, a kezeléséhez az érintett (vagy a jogosult) tájékoztatásán alapuló hozzájárulását be kell szerezni. Amennyiben a személyes adatok különleges kategóriáiba tartozó olyan adatok érkeznek a Vállalkozáshoz, amelyek a szerződés teljesítéséhez nem szükségesek, az ezt tartalmazó iratot vissza kell küldeni.
Gondoskodni kell arról, hogy a kiskorúak személyes adatainak kezelésére csak a törvényes képviselő hozzájárulása esetén kerülhessen sor.
Ki kell építeni az archiválási és adattörlési folyamatokat, ideértve a papíralapon kezelt személyes adatok megsemmisítésének folyamatát is.
b.) Új szolgáltatás bevezetése
Ki kell alakítani a szerződéses feltételek és nyomtatványok esetében az érintettek tájékoztatásának teljes körű rendszerét.
Amennyiben a személyes adatok különleges kategóriájának kezelése szükséges, ki kell építeni az érintettek hozzájárulásának bizonyítható rendszerét és a hozzájárulás visszavonásának lehetőségét, továbbá az ilyen lehetőséggel való élés következményeinek rendszerét is.
c.) HR adatkezelés
A toborzás, ajánlás és jelentkezések során beérkező személyes adatokat egységes adatbázisban havi bontásban kell nyilvántartani. A jelentkezők, pályázók részére adatvédelmi tájékoztatást kell adni személyes adatainak kezeléséről és annak végső határidejéről. A sikertelen pályázó, vagy jelentkező személyes adatait legkésőbb az adatainak megismerését követő 12. hónapban törölni kell, papíralapon rögzített személyes adatait meg kell semmisíteni.
A munkavállalókat tájékoztatni kell a személyes adatok kezeléséről és arról, hogy az egyes személyes adatokat bérszámfejtési, társadalombiztosítási és nyilvántartási célból kinek továbbítja. Egyben az adatfeldolgozónak a Rendelet szerinti adatairól is tájékoztatását kell adni. Ki kell alakítani a munkavállalók személyes adataihoz való hozzáférés jogosultsági rendszerét is, amelyben meg kell határozni, hogy ki és milyen személyes adatokhoz fér hozzá és kik jogosultak az adatok bővítésére, módosítására, kezelésének, feldolgozásának megszüntetésére.
A munkavállalók egészségügyi adatai közül kizárólag a belépéskori és az időszakos orvosi felülvizsgálat alkalmassági adatai kezelhetőek. A munkavállaló képességével és személyiségével összefüggő, továbbá egyéb – a személyes adatok különleges kategóriájába tartozó adatok – csak az érintett hozzájárulásával kezelhetőek. Az ilyen adatok csak a munkavállaló alkalmasságával összefüggőek lehetnek, egyéb ilyen adatok kezelésére nem kerülhet sor.
Az adatfeldolgozóval közösen ki kell alakítani a személyes adatok kezelésének megszüntetési rendszerét is azon adatok vonatkozásában, akik munkaviszonya megszűnt.
d.) Informatikai biztonság
A Vállalkozás köteles kialakítani a jogosultsági rendszer technikai paramétereit, amely alapján a Vállalkozás munkatársai és partnerei, továbbá az ügyfelek a személyes adatokat kezelik.
Az adathordozhatóság feltételeit úgy kell meghatározni, hogy az érintett kérésére valamennyi – a Vállalkozás által kezelt – személyes adatát elektronikus, lakossági általános felhasználású szoftverrel olvasható legyen.
e.) Marketing
Üzletszerzési célú adatgyűjtésre kizárólag akkor kerülhet sor, ha a személyes adatok kezelésének célját és módját előre meghatározzák. Az érintetteket az adatfelvételt megelőzően tájékoztatni kell az adatkezelésről és jogaikról. Az ilyen célú adatkezelés legfeljebb 6 hónapi időtartamig terjedhet, azt követően az adatokat törölni kell, a papíralapon lévő adatokat pedig meg kell semmisíteni.
A hírlevélre feliratkozó személyek személyes adatait kizárólag addig lehet kezelni, amíg a hírlevélre való feliratozását vissza nem vonja, vagy az adatkezeléséhez való hozzájárulását bármely formában visszavonja.
6.) Oktatás
A Vállalkozás számára fontos célkitűzés, hogy a munkatársak ismerjék, és munkájuk során helyesen alkalmazzák az adatkezeléssel, valamint az adatvédelemmel kapcsolatos lényeges szabályokat. Ehhez az szükséges, hogy az adatkezelési és adatbiztonsági ismeretek a munkatársak képzésének szerves részévé váljanak. Az adatvédelmi és adatbiztonsági ismeretekről a Vállalkozás a munkatársakat belépéskor, majd évente oktatásban részesíti. A jelen szabályzat hatálybalépése előtt is kell oktatást tartani. Az éves megújító oktatás során be kell mutatni az új folyamatokat, szabályzatokat.
7.) Átmeneti rendelkezések
A hatályba lépést követően végre kell hajtani azt az akciótervet, aminek keretében minden olyan személyes adatot, amelyek kezelési feltételei jelen szabályzatnak nem felelnek meg, 2018. december 31. napjáig törölni kell, illetve a papíralapon rögzítetteket meg kell semmisíteni. A törlés, illetve a megsemmisítés eljárás rendjét az adatgazdáknak 2018. május 25. napjáig el kell készíteni.
Székesfehérvár, 2018. május 18.
dr. Molnár Ferenc
ügyvezető
Fogalmak
GDPR - General Data Protection Regulation (https://en.wikipedia.org/wiki/General_Data_Protection_Regulation)
Adatcsoport: Adatok, (azaz tények, koncepciók vagy utasítások formalizált megjelenítése, rögzített jelsorozat, beszéd vagy technikai eszközökkel történő közlés, értelmezés és feldolgozás számára. Jelen Szabályzatban írásban vagy elektronikus úton készített – bármilyen adathordozón tárolt – szöveg, számadatsor, tény, információ, vázlat, grafikon, kép és ábra) és adatkörök összefoglaló elnevezése, általában nyilvántartási funkció alapján.
Adatállomány: Az egy nyilvántartásban kezelt adatok összessége.
Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. Jelen Szabályzat értelmezésében adatfeldolgozás különösen minden olyan, érdemi döntést nem igénylő technikai adatkezelési művelet, amit az adatkezelő megbízása alapján az adatfeldolgozó végez.
Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi.
Adatgazda: Egy adott szervezeti egységnél kezelt személyes adatok tekintetében a szervezeti egységet irányító vezető, aki felelős a szervezeti egysége által kezelt valamennyi személyes adat jelen szabályzatnak megfelelő kezelésért (továbbiakban: adatgazda). Amennyiben IT rendszerben kezelt személyes adattal kapcsolatos döntés meghozatala szükséges, és az érinti az Információ Biztonsági Szabályzat szerinti adatgazda felelősségét, akkor a személyes adatgazda az Információ Biztonsági Szabályzat alapján kijelölt adatgazda egyetértésével hozza meg döntését.
Adathordozó: Az adat fizikai megjelenési formája, tárolási helye, ide értve az iratokat is.
Adatigénylő: Az a természetes, vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatai kezelésével, helyesbítésével, törlésével vagy zárolásával kapcsolatban kérelmet nyújt be a Szervezethez.
Adatkezelés: Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. Jelen Szabályzat értelmezésében adatkezelés különösen az egyes adatkezelési műveletekkel kapcsolatos döntések meghozatala, utasítások kiadása.
Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Adatkör: Az adatfajták nevesített felsorolása. A felhasználás szempontjából funkcionálisan összetartozó üzleti adatok, azaz olyan halmaz, amely logikai szinten egységesen kezelhető, illetve kezelendő és a halmaz elemeinek védelmi igénye közel egy szinten van.
Adatmegsemmisítés: Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
Adattovábbítás: Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.
Adatzárolás: Az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
Anonimizálás: Olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítási lehetőségének végleges kizárását.
Érintett: Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.
Felügyeleti Hatóság: Adatvédelmi jogszerűséget ellenőrző szervezet.
Harmadik személy: Olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
Harmadik ország: minden olyan ország, amely nem (Európai Gazdasági Térség) EGT-állam.
Hozzájárulás: Az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. A hozzájárulás – a különleges adatok kezelésére adott hozzájárulást kivéve – nincs alakszerűséghez kötve, történhet kifejezett nyilatkozattal és ráutaló magatartással is, azonban a hozzájárulásnak minden esetben bizonyíthatónak kell lennie.
Irat: Valamely szerv működésével, illetve személy tevékenységével kapcsolatban írásban vagy elektronikus úton készített szöveg, számadatsor, vázlat, grafikon és ábra.
Kapcsolat-felvételi lista: Kizárólag a közvetlen üzletszerzés céljából küldendő küldemények fogadásához való hozzájárulás beszerzése érdekében az ügyfelekkel való kapcsolatfelvételt szolgáló, legfeljebb az ügyfél nevét, lakcímét, elektronikus levélcímét vagy elektronikus hírközlési azonosítóját, nemét, születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista.
Közvélemény-kutató, piackutató és közvetlen üzletszerző szerv: A Szervezet, illetve a feladatkörrel rendelkező minden olyan szervezeti egysége, amely a közvélemény-kutatást, a piackutatást és a direkt marketing tevékenységet jogosult végezni.
Közérdekű adat: Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől. Így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.
Különleges adat: a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, vallásos vagy más világnézeti meggyőződésre, érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kórós szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.
Nyilvános adat: Minden olyan tény, adat, információ, amelyek bárki számára hozzáférhetők. Személyes adat nyilvánosságáról kizárólag törvény rendelkezhet.
Segédlet: Minden olyan kezelési vagy kitöltési útmutató, kódjegyzék, számítási módszer, amely a Szervezet által kezelt (feldolgozott) személyes adatok kezeléséhez, feldolgozásához szükséges.
Személyes adat: Az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó kö- vetkeztetés.
Személyes adatok köre:
Név
Cím
E-mail cím
Fotó
IP cím
Helyadatok
Online viselkedés (cookie-k)
Profil és analitikai adatok
A személyes adatok különleges kategóriái:
Vallás
Politikai vélemények
Szakszervezeti tagság
Szexuális orientáció
Egészségügyi információ
Biometrikus adatok
Genetikai adatok
Természetes személyazonosító adatok: Az érintett családi- és utóneve, születéskori neve, anyja neve, születési helye és ideje.
Tiltakozás: Az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
Tilalmi lista: Azon érintettek név- és lakcímadatainak a nyilvántartása, akik megtiltották, illetve – a közvetlen üzletszerző szerv erre irányuló előzetes megkeresése ellenére – nem járultak hozzá, hogy személyes adataikat kapcsolatfelvétel vagy üzletszerzési lista céljából felhasználják, vagy megtiltották azok e célból történő további kezelését.
URL cím: Uniform Resource Locator/egységes erőforrás-azonosító az interneten megtalálható bizonyos erőforrások (például szövegek, képek) szabványosított címe. Egységes forrásazonosító, az interneten használt címzési szabványrendszer, megadja az információ elérésének módját, és az információ pontos helyét a távoli számítógépen.
Üzletszerzési lista: A reklámok közlése céljából a kapcsolatfelvételt és kapcsolattartást szolgáló, kizárólag az ügyfél nevét, lakcímét, nemét, születési helyét és idejét, az ügyfél érdeklődési körére vonatkozó információt, valamint családi állapotát tartalmazó lista.
Üzleti titok: A Szervezet gazdasági tevékenységéhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a Szervezet jogos pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a Szervezetet felróhatóság nem terheli.
Adatvédelmi tájékoztató
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló, az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (általános adatvédelmi rendelet, GDPR) alapján
Az adatkezelő neve: Magyar innováció és Hatékonyság Nonprofit Kft.
Székhely: 8000 Székesfehérvár, Bregyó köz 5.
Cégjegyzékszám: 07-09-020026
Adószám: 23184059-2-07
E-mail: info@mi6.hu
Telefonos elérhetősége: +36 30 896 5651
WEB lapja: https://mi6.hu/ (vakok és gyengén látók részére nem akadálymentesített)
Adatvédelmi tisztviselőt a Vállalkozás nem alkalmaz
A Vállalkozás az adatkezelésben érintett személyek köre, az adatkezelés célja és időtartama pontban megjelölt személyes adatok körét kezeli
Profilalkotás: a Vállalkozás nem alkalmaz profilalkotásos adatkezelést
I. Az adatkezelés jogalapja
Az adatkezelés a szerződés teljesítéséhez, illetve jogszabály alapján szükséges.
Az adatszolgáltatás önkéntes, az érintett nem köteles hozzájárulását megadni az adatkezeléshez, ugyanakkor tudomásul veszi, hogy az adatok megadása hiányában a Vállalkozás nem tudja az üzleti kapcsolatot vele a megkezdeni, vagy folytatni.
II. Az adatkezelésben érintett személyek köre, az adatkezelés célja és időtartama
Az adatkezelés kiterjed valamennyi partner / vevő / megbízó adataira (érintettek).
A Vállalkozás kizárólag abból a célból kezel személyes adatokat (adatok célhoz kötöttsége), hogy az érintettek részére a megbízási szerződésben meghatározott szolgáltatásokat, kifizetéseket nyújthassa.
A Vállalkozás a következő adatokat kezeli:
ADATKEZELÉSI TÁJÉKOZTATÓ
V-GO Applikáció és Küldetések, Tanulmányi Versenyek
I. BEVEZETŐ RENDELKEZÉSEK, AZ ADATKEZELÉSI TÁJÉKOZTATÓ CÉLJA
1.1. Az Adatkezelési Tájékoztató célja, hogy a V-GO mobil és webes alkalmazás (továbbiakban: Applikáció) fejlesztője és üzemeltetője, fenntartható közösségek építője, környezettudatossági, környezetvédelmi (víz- és klímavédelmi) és fenntarthatósági programok támogatója és megvalósítója, egyben különböző környezetvédelmi tudásgyarapító és tudásfelmérő küldetések és tanulmányi versenyek (továbbiakban: Küldetés) szervezője és lebonyolítója, a Magyar Innováció és Hatékonyság Nonprofit Kft., mint Adatkezelő (továbbiakban: Adatkezelő) által az Applikációt letöltő, arra a honlapon regisztráló, valamint a Küldetésekre elektronikusan vagy papír alapon jelentkező magánszemélyek (továbbiakban: Játékos), kiskorúak esetén pedig a Játékos törvényes képviselői (továbbiakban együtt: Érintett vagy Érintettek) személyes adatai kezelésére jogszerű módon, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete (továbbiakban: GDPR) szerinti megfelelő tájékoztatás alapján kerüljön sor.
1.2. Jelen Adatkezelési Tájékoztató tartalmazza az Applikáció letöltése, és az abba történő regisztráció és használat során megvalósuló, valamint a Küldetésekhez kapcsolódó adatkezelések célját, jogalapját, a személyes adatok tárolásának időtartamát, és az adatkezelés módját, továbbá az Érintettek személyes adatainak kezelésével kapcsolatos jogait és jogorvoslati lehetőségeit.
1.3. Az Érintett az Applikációba történő regisztráció, valamint a Küldetésekbe való jelentkezés során tett önkéntes hozzájáruló nyilatkozatával kifejezetten elfogadja az Adatkezelő adatkezelési tevékenységét, az Adatkezelési Tájékoztatóban részletezett adatkezelési gyakorlatot, ez a regisztráció illetve jelentkezés feltétele, melyet az adatok megadásával és kifejezett nyilatkozattal az Érintett megerősít. Az Adatkezelési Tájékoztató folyamatosan elérhető a Honlapon és az Applikációban.
1.4. Az Adatkezelő külön felhívja az Érintettek figyelmét arra, hogy amennyiben az Adatkezelési Tájékoztatóban foglalt adatkezeléshez hozzájárulásukat adták, azt jogosultak bármikor visszavonni az Adatkezelő elérhetőségein. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, visszavonás előtti, és a hozzájárulással érintett, de jogos érdeken alapuló adatkezelés jogszerűségét.
II. AZ ADATKEZELŐ ADATAI, TEVÉKENYSÉGE
2.1. Adatkezelő adatai a következők:
Név: Magyar Innováció és Hatékonyság Nonprofit Korlátolt Felelősségű Társaság
Székhely: 8000 Székesfehérvár, Ányos Pál u. 3. 3/12.
Fióktelep és postacím: 2040 Budaörs, Baross utca 165/3. I.em.
Cégjegyzékszám: 07-09-020026
Elérhetőségek: Telefon +36 30 254 5989, E-mail info@mi6.hu
2.2. Adatkezelő működteti a Virtuális Erőmű Programot (VEP), amely az első, gyakorlatban is megvalósított Prevenciós Célú Virtuális Építő (PVÉP) program, amely már több mint 10 éves múltra tekint vissza. Célja, hogy az energiahatékonysági és megújuló energia alapú jó gyakorlatok gyűjtésével elősegítse a hazai vállalati, intézményi, önkormányzati és lakossági szektor energetikai szükséglet racionalizálását, ezen keresztül a fenntarthatatlan, fosszilis bázisú energiatermelő rendszerek kiváltását és megszüntetését egy olyan virtuálisan vizualizált építéssel (ún. energia és CO2 megtakarítás bebankolással), ami a sikeresen megvalósított zöld energetikai projektek energiamegtakarításaiból felépítve épít fel egy olyan fosszilis erőművet, aminek a VEP mellett sosem kell felépülni.
Először a vállalati energiahatékonyság előmozdítása terén ért el komoly sikereket a VEP, melyben a résztvevő vállalati partnerei száma néhány év alatt 8.500-ra nőtt, díjazott partnereinek száma meghaladja a 250-et. 2020-ra kitűzött ambiciózus célját – egy 200MW-os fosszilis erőmű kiváltását igazolt energiamegtakarítások segítségével – már 2018-ban elérte. Sőt, a VEP minden várakozást túlszárnyalva olyan mértékben nőtt 2020-2021-ben, hogy mostanra elérte a 2030-as céljait. Már csak Paks kapacitása nagyobb, mint a legtisztább magyar erőműé, ugyanis jelenleg a Virtuális Erőmű a 2. legnagyobb hazai villamos erőmű lenne, ha valódi lenne, 795MW-os teljesítménnyel.
A VEP egyúttal prevenciós célú, virtuális vizualizációval támogatott, fenntartható közösségépítési diákprogram is. Kulcseleme a fenntarthatósági oktatás, nevelés és szemléletformálás, tágabb értelemben a zöld vagy kék kommunikáció. A Virtuális Erőmű kiválósági versenyében létrejött mintaprojektek esettanulmányokká és tananyagokká fejlesztésével olyan tudás- és ismeretanyag-halmazok jönnek létre, amelyeket aztán átadhatunk az egyes célcsoportoknak.
Ennek jegyében a VEP 2020-ban „3 K” néven saját, innovatív, az IQ mellett az EQ-ra is fókuszáló, hosszú távú oktatási-kutatási programot indított. Az első, óvodai kísérleti blokk várakozáson felüli eredménnyel zárult. Néhány éven belül a teljes lakosságot elérő ún. „digitális fenntarthatósági népfőiskolát” szeretnénk felépíteni. Ennek első szakaszában az Adatkezelő kialakította a digitális környezetet, egy virtuális mintaprojekt-showroomot. A második szakaszban – az új kommunikációs csatornacsomag részeként – létrehozott egy applikációs támogatást, amely a fiatalok elérésében ma már nélkülözhetetlen.
Korunk egyik legsürgetőbb küldetése, hogy megmentsük a Földet a környezetszennyezés pusztításától, támogassuk a klíma- és vízvédelmet. Az Adatkezelő ezt a gondolatot a digitális térbe is átültette, hogy az Applikációval és a Küldetések lebonyolításával egyszerre szervezzen és oktasson fenntartható közösségeket.
2.3. Az Adatkezelő, mint nonprofit vállalkozás tevékenységének egyik célja a természet-, klíma- és vízvédelem kapcsán fenntartható közösségek építése, a környezettudatossági, környezetvédelmi (víz- és klímavédelmi) és fenntarthatósági programok támogatása és megvalósítása, egyben különböző környezetvédelmi tudásgyarapító és tudásfelmérő küldetések és tanulmányi versenyek szervezése és lebonyolítása, a téma iránt érdeklődőknek ismeretanyag, tanulási segédanyagok átadása, tudáspróbákban és tanulmányi versenyekben való részvételük lehetővé tétele.
III. AZ APPLIKÁCIÓ ÉS A KÜLDETÉSEK BEMUTATÁSA,
TANULMÁNYI VERSENYEK, ADATKEZELŐI MINŐSÉG
Az Applikáció és a Küldetések bemutatása
3.1. Az Applikáció a Google Play-ben, az AppStore-ban megtalálható, letölthető alkalmazás, melyet webes felületen a v-go.hu oldalról asztali gépen is lehet futtatni, illetve erről az oldalról is elérhetők az áruházi letöltési lehetőségek linkjei, és amely online felületéül szolgál az Adatkezelő által kitűzött 2.3. pont szerinti célok megvalósításának.
3.2. A Küldetések olyan ismeretanyagokat, tudáspróbákat tartalmaznak, melyek a fenntartható közösségekkel, a klíma- és vízvédelemmel, a környezetvédelemmel kapcsolatosak, és támogatják az Érintettek tudásának gyarapítását. Az intergenerációs Küldetések abban segítenek, hogy a diákok a szüleikkel vagy a nagyszüleikkel is megosszák a rezsicsökkentés és a helyi megoldások fontosságának üzenetét, lefektetve ezzel egy fenntarthatóbban gondolkodó társadalom alapját.
3.3. Az Applikációban történő regisztrációval (a továbbiakban: Regisztráció) az Érintett a V-GO fenntarthatósági közösség tagjává válik, és automatikusan lehetővé válik számára, hogy különböző Küldetésekre jelentkezzen (elérhetővé válik a Küldetések felülete), további információkat, ismeretterjesztő anyagokat érhessen el, és ezekről tájékoztatást kapjon. Ezen túlmenően elérhetővé válnak számára a klíma- és vízvédelemmel, az ezek érdekében létrejövő és működő programokkal, tudásanyaggal kapcsolatos információk, ismeretterjesztő anyagok.
3.4. A Küldetésekre történő jelentkezéssel (a továbbiakban: Jelentkezés) a Játékos részt vesz az adott Küldetésben, tudását gyarapíthatja, és a Küldetésben szereplő feladatok teljesítése esetén, amennyiben azzal kapcsolatosan az Adatkezelő díjazást kötött ki, meghatározott feltételekkel díjazásban részesülhet.
3.5. Az Applikációval és a Küldetésekkel kapcsolatos további információk elérhetők az Applikáció https://v-go.hu/ honlapján (a továbbiakban: Honlap), az Applikáció és az Adatkezelő közösségi média oldalain, valamint a papír alapon kiadott tájékoztató anyagokban.
3.6. Az Érintettek eldönthetik, hogy
a) csak regisztrálnak az Applikációban, mellyel tagjaivá válnak az Adatkezelő által épített fenntartható közösségnek és kifejezik elkötelezettségüket a természet-, klíma- és vízvédelem területén, ezzel továbbá megteremtik a Küldetésekben (játékokban, valamint versenyekben) való részvétel, a Küldetéseken keresztül vagy azokon kívül is további információk megszerzésének lehetőségét, elérhessék a klíma- és vízvédelemmel, az ezek érdekében létrejövő és működő programokat, információkat, ismeretterjesztő anyagokat, és ezekről tájékoztatást kapjanak, vagy
b) Küldetés(ek)ben vesznek részt, mellyel a Küldetésekhez kapcsolódó tudásanyaghoz, információhoz jutnak és játékokon, valamint versenyeken indulnak.
A Tanulmányi Versenyek
3.7. Az Applikációt az Adatkezelő részben abból a célból hozta létre, hogy azon keresztül tanulmányi versenyeket is szervezhessen. Tanulmányi versenyek azok a Küldetések, amelyek esetében a Játékosok egymással versenyeznek, és díjazásban részesülnek (a továbbiakban: Tanulmányi Verseny). A Tanulmányi Versenyek céljából létrehozott Küldetés(ek)re való Jelentkezéssel a Játékos részt vesz ezeken a Tanulmányi Versenyeken is.
3.8. A Tanulmányi Versenyek között vannak olyanok, amelyek harmadik személyek által elnyert pályázati felhívásokkal érintett projektek (a továbbiakban: Projektek) teljesítése érdekében kerülnek a Küldetésekbe. Ez a kör folyamatosan változhat, az Adatkezelési Tájékoztató hatályos szövegezése a Küldetésekből elérhető mindenkori Projekteket tartalmazza. Ezen Projektek a következők:
A „Klímabajnok” Küldetés a KEHOP-1.2.1-18 „Helyi klímastratégiák kidolgozása, valamint a klímatudatosságot erősítő szemléletformálás megvalósítása” című pályázati felhívás keretében megvalósítás alatt lévő KEHOP-1.2.1 projektekben tervezett tanulmányi verseny programok egyike;
A „Vízőrzők” Küldetés a KEHOP-2-1.7-19 „A víziközmű-szolgáltatással kapcsolatos szemléletformálás” című pályázati felhívás keretében megvalósítás alatt lévő KEHOP-2.1.7 projektekben tervezett tanulmányi verseny programok egyike.
3.9. Amennyiben a Játékos a Projektekhez kapcsolódó Tanulmányi Versenyre jelentkezik, a Jelentkezéssel elfogadja, hogy adatai átadásra kerülnek az adott Tanulmányi Versennyel érintett, a Projektekben támogatásban részesült személy (a továbbiakban: További Adatkezelő) számára, és tudomásul veszi a Tanulmányi Verseny lebonyolításához szükséges, jogos érdeken alapuló adatkezelést, illetve hogy a Projekt végrehajtását, az e körben keletkezett dokumentációkat a későbbiekben bemutatásra kerülő Szervezetek ellenőrizhetik.
3.10. A Projekthez kapcsolódó Tanulmányi Versenyre jelentkezés esetén az Érintett adatait a Tanulmányi verseny lebonyolítása és a Projekt teljesítése céljából az Adatkezelő, valamint a További Adatkezelő, mint önálló adatkezelő is jogosult kezelni: a További Adatkezelő számára a Tanulmányi Verseny lebonyolításához szükséges adatok a Projekt teljesítése és a Játékosok díjazása érdekében átadásra kerülnek. Minden egyes További Adatkezelőnek kizárólag azon Játékos adatai kerülnek továbbításra, akik a Regisztráció vagy a Jelentkezés során a Játékos által megadott település (a Játékos lakhelye, tartózkodási helye, vagy azon köznevelési intézmény (iskola) helyszíne, ahol a Játékos tanulói jogviszonnyal rendelkezik) területén illetékességgel rendelkeznek, vagy működnek, az erre vonatkozó információk elérhetők a következő linken: https://www.brizy.cloud/customfile/401af90192dedf0d584d92fa0ba53883.pdf
3.11. A További Adatkezelők, akik az illetékességi vagy működési területükre vonatkozó Tanulmányi Verseny kapcsán az adatok átadását követően önálló adatkezelők lesznek, a következő személyek:
A „Klímabajnok” Küldetés kapcsán a KEHOP-1.2.1. „Helyi klímastratégiák kidolgozása, valamint a klímatudatosságot erősítő szemléletformálás” projektek megvalósításához kötődően: https://bit.ly/3t0oHij
A „Vízőrzők” Küldetés kapcsán KEHOP-2.1.7. „A víziközmű-szolgáltatással kapcsolatos szemléletformálás” projektek megvalósításához kötődően:
3.12. A Széchenyi 2020 program pályázati felhívásaihoz benyújtott támogatási kérelmek és támogatói okiratok szerinti támogatáskezelő szervezetek, a támogatáskezelés folyamatában a 272/2014. (XI.5.) Korm. rendelet szerint részt vevő, a lebonyolítást ellenőrző szervezetek (Irányító Hatóság, Közreműködő szervezet, Alapok alapját végrehajtó szervezet, közbeszerzések szabályosságát ellenőrző szervezet), az Európai Uniós projektek esetén a Projektek ellenőrzését, kezelését végző szervezetek (továbbiakban: Szervezet), akik a Projektekhez kapcsolódó Tanulmányi Versenyeket jogosultak ellenőrizni, a következők:
Innovációs és Technológiai Minisztérium, Miniszterelnökség, Európai Bizottság, Állami Számvevőszék, Európai Támogatásokat Auditáló Főigazgatóság (EUTAF), Európai Csalás Elleni Hivatal (OLAF).
Adatkezelői minőség
3.13. Az Adatkezelő, mint az Applikáció fejlesztője és üzemeltetője, a fenntartható közösségek építője, és a Küldetések létrehozója önállóan hozott döntést az Applikációhoz és a Küldetésekhez, illetve a Tanulmányi Versenyek Küldetéseken keresztüli lebonyolításához kapcsolódó adatkezelésről, határozta meg annak célját és eszközét, és a következő pont kivételével felelősséggel tartozik az adatok kezeléséért.
3.14. Azon Küldetések esetén, amelyek egyúttal Projekthez kapcsolódó Tanulmányi Versenyek, az Adatkezelő a További Adatkezelőkkel megkötött szerződésekkel a Tanulmányi Versenyek lebonyolításához szükséges feltételek megteremtésére, a Küldetések keretében történő megvalósítására vállalt kötelezettséget, továbbá e célból szervezi és értékeli a Tanulmányi Versenyek teljesítését és eredményét. A Projektekhez kapcsolódó Tanulmányi Versenyek esetében az Adatkezelő feladatainak teljesítését, az adatoknak a További Adatkezelők részére történő átadását követően további adatgyűjtést nem végez, onnantól kezdve az adatok kezeléséért a További Adatkezelők is felelősséggel tartoznak saját adatkezelői minőségükben. Ugyancsak önálló adatkezelőként tartoznak saját adatkezelésükért felelősséggel a Szervezetek, akik a Tanulmányi Versenyek ellenőrzése körében saját adatkezelésükkel kapcsolatos döntéseiket szintén önállóan hozzák meg.
3.15. A További Adatkezelők és a Szervezetek adatkezelésére a jogszabályi rendelkezések, saját adatkezeléssel kapcsolatos szabályzatuk és az általuk közzétett Adatkezelési Tájékoztatóban foglaltak irányadók. A További Adatkezelők kötelesek közzétenni (az Érintettek számára elérhetővé tenni) adatkezelői minőségükre, a Tanulmányi Versenyekkel kapcsolatos saját adatkezelésükre vonatkozó információkat és tájékoztatást.
3.16. A Projektekben lehetnek olyan támogatásban részesült személyek, akik a Projektek végrehajtására nem adtak az Adatkezelőnek megbízást, azonban adatfeldolgozóként igénybe vehetik az Adatkezelő szolgáltatását, ilyen esetben az Adatkezelőnek nincs adatkezelői minősége, az adatkezelésért a teljes felelősséget a támogatásban részesült személyek vállalják saját adatkezelői minőségük és az adatkezelésre vonatkozó tájékoztatás szerint. Az ilyen adatkezelésekre a jelen Adatkezelési Tájékoztató nem terjed ki.
IV. AZ APPLIKÁCIÓVAL ÉS A KÜLDETÉSEKKEL KAPCSOLATOS EGYÉB TUDNIVALÓK ÉS
EGYÉB ADATKEZELÉSI TEVÉKENYSÉGEK
A Honlap látogatásával kapcsolatos tudnivalók
4.1. Az Adatkezelő Honlapjának böngészéséhez az Érintettnek nem szükséges személyes azonosító adatokat megadni. Az Adatkezelő korlátozott körben gyűjthet olyan személyazonosításra nem alkalmas adatokat, amelyeket egy honlap meglátogatásakor a böngésző tesz elérhetővé. A Honlap böngészése során ugyanis a böngésző üzemeltetője által technikai információk kerülnek rögzítésre (például log fájlok formájában, melyek tartalmazzák az Érintett IP címét, az időpontot, a meglátogatott oldal URL-jét). Ilyen naplózott adat az IP-cím, a böngésző típusa és nyelve, a lekérdezés dátuma és időpontja, valamint az Érintett böngészője egyedi azonosítására alkalmas információs csomag (un. cookie, magyarul süti, a továbbiakban: Sütik). Ezen adatok naplózását a rendszer folyamatosan végzi, de nem kapcsolja össze az Érintett által megadott egyéb adatokkal. Az így nyert technikai adatokhoz a böngésző üzemeltetőjén kívül csak az Adatkezelő és a vele szerződéses kapcsolatban lévő Adatfeldolgozó(k) fér(nek) hozzá, de azok alapján az Érintett beazonosítására nem kerül sor.
4.2. A fenti információkat az Adatkezelő kizárólag a Honlap technikai üzemeltetése érdekében, valamint statisztikai célokra, az Érintett magatartásának jobb megértéséhez, valamint termékeik, megoldásaik, szolgáltatásaik továbbfejlesztéséhez használják fel. Az Adatkezelő a Sütik segítségével nem gyűjt személyes adatokat (nevet, e-mail-címet), és a kapott adatokat nem értékesíti.
4.3. A Honlap látogatásával Érintett tudomásul veszi és hozzájárulását adja, hogy a Honlapon tett látogatások során a fentiek szerint, személyazonosításra nem alkalmas naplózott adatok kerülnek gyűjtésre, ezen belül Sütik elhelyezésre az Érintett számítógépén (eszközén), amely(ek) révén böngészője egyedileg azonosítható lesz.
Az Applikációban küldött un. push üzenetek kezelése
4.4. Az Érintettnek lehetősége van a mobiltelefonján történő beállítással un. push üzenetek küldését, illetve fogadását engedélyezni, amely az Applikáció igénybevételének Érintett által történő megkönnyítését célozza. A push üzenetek engedélyezése esetén (amely bármikor letiltható az Érintett által) az Érintett értesítést kap az Applikációban kiválasztott Küldetésekkel kapcsolatos hírekről, információkról, kampányokról.
Díjazottak közzététele, kép- és hangfelvétel készítése és felhasználása
4.5. A Tanulmányi Versenyre való Jelentkezéssel a Játékos hozzájárul ahhoz, hogy díjazása esetén nevét, intézményét, iskolai évfolyamát az Adatkezelő és a Tanulmányi Verseny További Adatkezelője nyilvánosságra hozza, és a Tanulmányi Verseny díjátadóján róla hang-, kép- és videófelvétel készüljön.
4.6. A Tanulmányi Versenyre való Jelentkezéssel a Játékos hozzájárul ahhoz is, hogy az előző pont szerinti felvételek megjelenjenek a Tanulmányi Versenyhez kapcsolódó híradásokban, az Adatkezelő és a További Adatkezelő holnapján, FB oldalán, szakmai kiadványokban, egyéb sajtótermékekben, az Applikáció és a Küldetések népszerűsítésével kapcsolatos tájékoztató anyagokban, online és offline felületeken. A Játékos tudomásul veszi, hogy a felvételek így mások számára elérhetővé válnak. A Játékos hozzájárulását a jövőre nézve bármikor jogosult részben vagy egészben visszavonni, ezzel a későbbi megjelenést korlátozni vagy kizárni. A már közzétett felvételekre a hozzájárulás visszavonása nem kérhető.
V. AZ ADATKEZELÉSEK CÉLJA, MÓDJA, A KEZELT ADATOK KÖRE (FAJTÁJA)
Az adatkezelés célja
5.1. Az adatkezelés célja
(a) Regisztráció – az Applikáció elérésének lehetővé tétele, a természet-, klíma- és vízvédelem kapcsán fenntartható közösségek építése, környezettudatossági, környezetvédelmi (víz- és klímavédelmi) és fenntarthatósági programok támogatása és megvalósításuk, a téma iránt érdeklődőknek ismeretanyag, tanulási segédanyagok átadása, tudáspróbákban és tanulmányi versenyekben való részvételük lehetővé tétele (az erre szolgáló felületek elérése), és az előzőekben felsoroltakról való információ átadás,
(b) Küldetésekre való Jelentkezés - a tudásgyarapító és tudásfelmérő Küldetések teljesítése és értékelése, az eredmény megállapítása és a Játékosok díjazása,
(c) Részvétel a Tanulmányi Versenyeken és a Projektek megvalósítása – a Tanulmányi Versenyeken való részvétel, továbbá a Tanulmányi Versenyek lebonyolítása, eredményének és a Projekt teljesítésének dokumentálása, ennek igazolása a Szervezetek felé (pl. díjazottak neve, iskolája, évfolyama, tesztek, képfeltételek, jegyzőkönyvek rögzítése), a Projektek támogatására szolgáló összegekkel való elszámolás, az Adatkezelő és a További Adatkezelők szerződéses kötelezettségeinek teljesítése, és a Szervezetek ellenőrzésének lehetővé tétele, a Projektek megvalósításának ellenőrzése,
(d) Adatkezelő tevékenysége, céljai, valamint az Applikáció és a Küldetések népszerűsítése, megismertetése – a Küldetések eredménye, díjazottak (neve, iskolája, évfolyama) közzététele, a díjátadón kép- és hangfelvétel készítése és megjelenése az Adatkezelő tevékenysége és az Applikáció, valamint a Küldetések kapcsán az Adatkezelő Honlapján, közösségi média oldalain, és a kiadott tájékoztató anyagokban.
Az adatkezelés módja
5.2. Az Applikációban történő Regisztrációra az Adatkezelő által fejlesztett informatikai rendszer, a mobiltelefon vagy számítógép billentyűzetének használatával, az adatok beírásával és elküldésével (regisztrációval) kerül sor. A Regisztrációval az Érintett a V-GO fenntarthatósági közösségek tagjává válik, és automatikusan lehetővé válik számára, hogy különböző Küldetésekre jelentkezzen, a klíma- és vízvédelemmel, az ezek érdekében létrejövő és működő programokkal, tudásanyaggal kapcsolatos további információkat, ismeretterjesztő anyagokat érhessen el, és ezekről tájékoztatást kapjon.
5.3. Küldetésekre az Érintettek az Applikációban, elektronikus úton, a Küldetésbe való belépéssel, és a Tovább gomb megnyomásával, papír alapon pedig jelentkezési lap (a továbbiakban: Jelentkezési Lap) kitöltésével és az Adatkezelő munkatársának vagy az Adatkezelő által ezzel megbízott személynek, mint adatfeldolgozónak való átadásával jelentkezhetnek.
5.4. Kiskorú esetén 16 év alatt a Regisztrációhoz szükséges a törvényes felügyeleti jogot gyakorló személyek hozzájárulást megadó vagy engedélyező nyilatkozata a GDPR 8.§ (1) bekezdésében foglaltak alapján. Tanulmányi Versenyre való Jelentkezés esetén a törvényes felügyeleti jogot gyakorló jognyilatkozatára minden kiskorú (18. év alatti személy) esetében szükség van a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.) 2:12.§ (1) bekezdésében és 2:14.§ (1) bekezdésében foglaltakra figyelemmel, enélkül a kiskorú Jelentkezése nem érvényes és az adatok nem kezelhetők.
5.5. Az Applikációban történő Regisztráció során a rendszer beazonosítja, hogy mely Érintett esetén van szükség törvényes képviselői nyilatkozatra, és az Érintett által megadott elektronikus levelezési címre automatikusan, e-mail útján kiküld egy szülői (törvényes felügyelet gyakorlói) hozzájáruló nyilatkozat nyomtatványt, melyet az Érintett kitöltve és aláírva, elektronikus levél útján küld vissza az Adatkezelőnek a nyomtatványon megadott címre, mely egyúttal a Tanulmányi Versenyre való Jelentkezés jóváhagyását (megtételét) is jelenti (azt megerősíti). Enélkül a kiskorú nevében vagy általa elvégzett Regisztráció és Jelentkezés nem érvényes. Az adatok Regisztráció során történő megadása lehetővé teszi, hogy a későbbiekben már ne legyen szükség külön szülői (törvényes felügyelet gyakorlói) hozzájáruló nyilatkozatra a Tanulmányi Versenyre való Jelentkezéshez is. A Küldetésre történő papír alapú Jelentkezés esetén a jelen szakasz szerinti nyomtatvány előzetesen, vagy Jelentkezési Lap kitöltésével egyidejűleg kerül átadásra (megküldésre), és azt a Játékos a Jelentkezési Lappal együtt papír alapon adja át az Adatkezelőnek. A Jelentkezési Lapon a nyilatkozat megtételéig és átadásáig személyes adatok megadására, így személyes adatok kezelésére nem kerülhet sor.
5.6. A Küldetés végrehajtása érdekében kezelt adat a Játékos által kitöltött teszt, feladatsor, mint pályamű, és a hozzá tartozó személyes azonosító adatok is. A kitöltött teszt, feladatsor értékelését az Applikációban a rendszer végzi el, papír alapú kitöltés esetén az adatokat az Adatkezelő Excel táblában rögzíti, majd az Excel programmal, az Applikációban rögzített adatokkal összevetve állapítja meg annak eredményét.
5.7. Projektekhez kapcsolódó Tanulmányi Versenyek esetén azok lebonyolítása és ellenőrzésének lehetővé tétele érdekében az Applikációban kezelt személyes adatok és a Tanulmányi Versenyen résztvevő Érintettek pályaműveinek értékelése, azok sorrendje, a díjazásra javasoltak köre az Applikációban történő bejelentkezéshez szükséges jelszó kivételével Excel táblában külön is rögzítésre, és elektronikus úton (e-mail mellékleteként) a szülői (törvényes felügyelet gyakorlói) hozzájáruló nyilatkozatokkal együtt megküldésre kerülnek a Tanulmányi Verseny terület szerinti További Adatkezelője részére. Papír alapú adatkezelés esetén a Jelentkezési Lapokat az Adatkezelő gyűjti, és az adott Tanulmányi Versenyen részvevő Játékosok személyes adatait, pályaműveiknek értékelését, azok sorrendjét, a díjazásra javasoltak körét migrálja és összerendezi az Applikációban gyűjtött személyes adatokkal, majd egy Excel dokumentumba rögzítve teljes egészében átadja a Tanulmányi Verseny terület szerinti További Adatkezelője részére. Minden egyes További Adatkezelőnek kizárólag a működési területére kiírt Tanulmányi Verseny Érintettjeinek adatai kerülnek továbbításra.
5.8. Mivel a Projektekhez kapcsolódó Tanulmányi Versenyek támogatási források igénybevételével kerülnek lebonyolításra, az azokhoz kötődő adminisztratív feladatok végrehajtásához fel kell használni a Játékosok Tanulmányi Versenyekhez kapcsolódóan kezelt adatait. Az adminisztratív feladatok magukban foglalják a támogatási kérelemmel, a megvalósítandó fejlesztéssel kapcsolatos nyomtatványok kitöltését, dokumentumok előállítását és azoknak a Szervezetek felé történő benyújtását. A Szervezet felé teljesítendő adatszolgáltatási kötelezettség a Tanulmányi Versenyek lebonyolításával, a támogatások ellenőrzésével kapcsolatos jogszabályi rendelkezések és a támogatási dokumentáció és Támogatási szerződés alapján kerülnek teljesítésre az arra jogosult Szervezetek felé.
5.9. A díjazottakról a Tanulmányi Verseny és a díjátadó során vagy azt követően kép- és hangfelvétel készülhet, és az Adatkezelő valamint a További Adatkezelők jogosultak arra, hogy ezeket valamint a díjazottak nevét, iskoláját és osztályát (évfolyamát) a Projektek teljesítésének igazolása céljából a Szervezeteknek továbbadják, továbbá az Érintett hozzájárulása esetén az Adatkezelő tevékenységének, céljainak, valamint az Applikációnak és a Küldetéseknek a népszerűsítése, megismertetése érdekében felhasználják, e célból közzétegyék.
A kezelt adatok köre (fajtája)
5.10. A Regisztráció során a következő adatok, az itt leírtak érdekében kerülnek kezelésre: az Érintett neve (azonosítás, kapcsolattartás), életkora (jognyilatkozata érvényességének ellenőrzése), e-mail címe (kapcsolattartás) és jelszava (regisztráció és bejelentkezés), a településének (lakhely vagy azon köznevelési intézmény helye, ahol az Érintett tanulmányokat folytat) neve (a Küldetés illetve Tanulmányi Verseny azonosítása), diák, tanár vagy egyéb státusza (célzott információ, oktatási – szakmai anyagok megosztása), iskolájának neve és tagozata/osztálya (azonosítás, a Küldetés, illetve a Tanulmányi Verseny azonosítása, értékelése, eredmény megállapítása) kerül megadásra. Ezen adatok megadása kötelező, melyekkel biztosítható az Applikáció használata, az Érintett beazonosítása és jognyilatkozata érvényességének biztosítása, a vele való kapcsolattartás, a Küldetés(ek)re való Jelentkezés, a Küldetések eredményhirdetése és Tanulmányi Versenyek esetén az Adatkezelő és a További Adatkezelők szerződéses kötelezettségeinek teljesítése, valamint a Szervezetek ellenőrzésének lehetővé tétele. A Regisztrációval és a Küldetésekre való jelentkezésekkel kapcsolatos adatokat a Tanulmányi Versenyekre való Jelentkezés kivételével kizárólag az Adatkezelő kezeli.
5.11. A Küldetésekre történő papír alapú Jelentkezés esetén Adatkezelő a következő adatokat kezeli: Érintett neve (azonosítás, kapcsolattartás), életkora (jognyilatkozata érvényességének ellenőrzése), a településének (lakhely vagy azon köznevelési intézmény helye, ahol az Érintett tanulmányokat folytat) neve (a Küldetés illetve Tanulmányi Verseny azonosítása), iskolájának neve és tagozata/osztálya (azonosítás, a Küldetés, illetve a Tanulmányi Verseny azonosítása, értékelése, eredmény megállapítása), valamint a Játékos aláírása. Ezen adatok megadása kötelező, melyekkel biztosítható az Érintett beazonosítása és jognyilatkozata érvényességének biztosítása, a vele való kapcsolattartás, a Küldetések eredményhirdetése és Tanulmányi Versenyek esetén az Adatkezelő és a További Adatkezelők szerződéses kötelezettségeinek teljesítése, valamint a Szervezetek ellenőrzésének lehetővé tétele. A Küldetésekre való jelentkezésekkel kapcsolatos adatokat a Tanulmányi Versenyekre való Jelentkezés kivételével kizárólag az Adatkezelő kezeli.
5.12. A díjazottak közzététele, a Projektek teljesítésének igazolása, valamint az Adatkezelő tevékenységének, céljainak, valamint az Applikációnak és a Küldetéseknek a népszerűsítése, megismertetése érdekében kép- és hangfelvételek kerülnek készítésre és felhasználásra.
5.13. A kezelt személyes adatok és az adatkezelés célja a jelen fejezetben foglaltak alapján tehát összefoglalva a következő:
VI. AZ ADATOK FORRÁSA, A HOZZÁJÁRULÁS HIÁNYA
6.1. Az adatokat minden esetben az Érintett adja meg a Regisztráció, illetve a Jelentkezési Lap kitöltése, a törvényes felügyeletet gyakorló pedig a szülői (törvényes felügyelet gyakorlói) hozzájáruló nyilatkozat visszaküldése során.
6.2. Adatkezelő a megadott személyes adatokat nem ellenőrzi. A megadott adatok valódiságáért kizárólag az azt megadó személy felel. Az Adatkezelő nem használ olyan adatokat, melyeket nem az Érintettek adtak meg. A Regisztráció és a Jelentkezés során kitöltött személyes adatok megadásakor az Érintett felelősséget vállal azért, hogy saját adatait adja meg, és azok megadásával nem valósít meg jogsértést. E felelősségvállalásra tekintettel a megadott e-mail cím felhasználásával és adatokkal történt belépésekkel összefüggő minden felelősség azt az Érintettet terheli, aki az e-mail címet és egyéb adatokat megadta.
6.3. Az Applikációban való Regisztráció és a Küldetésekben való részvétel, az adatok megadása önkéntes. A Regisztrációval, továbbá Jelentkezés beküldésével illetve a Jelentkezési Lap leadásával az Érintett hozzájárul ahhoz, hogy személyes adatait az Adatkezelő a jelen Adatkezelési Tájékoztatóban foglaltak szerint a hozzájárulás alapján illetve jogos érdekből kezelje és Tanulmányi Versenyek esetén azokat továbbadja a További Adatkezelőknek.
6.4. Amennyiben az Érintett nem járul hozzá az adatkezeléshez, az Applikációt nem töltheti le, arra nem regisztrálhat, illetve a Játékos nem vehet részt a Küldetésekben, és Tanulmányi Versenyekre sem jelentkezhet.
VII. AZ ADATKEZELÉS JOGALAPJA, AZ ADATOK FELHASZNÁLÁSA,
AZ ADATKEZELÉS IDŐTARTAMA
7.1. Az Érintettek az Applikációban önként regisztrálnak, és a Küldetésekre (Tanulmányi Versenyekre) önként jelentkeznek, és a szülői (törvényes felügyelet gyakorlói) hozzájáruló nyilatkozatot aláírók ezen dokumentumot önszántukból (saját elhatározásukból) töltik ki és járulnak hozzá az adatkezelés(ek)hez. Amennyiben a Küldetés egyúttal Tanulmányi Verseny, a Küldetésre (Tanulmányi Versenyre) történő Jelentkezést követően az Adatkezelő köteles az e körben kezelt adatokat feldolgozni, Projekthez kapcsolódó Tanulmányi Verseny esetén átadni a További Adatkezelőknek, akik azokat kötelesek a Szervezetek ellenőrzésének lehetséges időtartamának lejártáig megőrizni (kezelni). A személyes adatok kezelésére tehát a Tanulmányi Versenyre való Jelentkezés esetén szerződéses kötelezettség teljesítése (Tanulmányi Verseny megszervezése, lebonyolítása, értékelése és díjazása), valamint a Szervezetek részéről a támogatások felhasználásának ellenőrzése érdekében kerül sor. Az Adatkezelő tevékenységének, az Applikáció és a Küldetések népszerűsítése az adatok, képmás- és hangfelvétel felhasználásával az Érintettek hozzájárulásával történik.
7.2. Az előző pontban írtakra tekintettel az Adatkezelés jogalapja
(a)-(b) Regisztráció és Küldetésekre való Jelentkezés – az Érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett (határozott) hozzájárulása (GDPR 6. cikk (1) a) pont),
(c) Részvétel a Tanulmányi Versenyeken és a Projektek megvalósítása – a Tanulmányi Versenyre való Jelentkezés az Érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett (határozott) hozzájárulásán alapul (GDPR 6. cikk (1) a) pont), a Jelentkezést követően az adatkezelésre az Adatkezelő és a További Adatkezelők jelen Adatkezelési Tájékoztatóban részletesen leírt jogos érdeke, szerződéses kötelezettségeiknek való megfelelés (GDPR 6. cikk (1) f) pont), valamint a Szervezetek ellenőrzése esetén jogi kötelezettség teljesítése (GDPR 6. cikk (1) c) pont),
(d) Adatkezelő tevékenysége, céljai, valamint az Applikáció és a Küldetések népszerűsítése, megismertetése – az Érintett önkéntes, megfelelő tájékoztatáson alapuló kifejezett (határozott) hozzájárulása (GDPR 6. cikk (1) a) pont).
7.3. Adatkezelő a személyes adatokat az Adatkezelési Tájékoztatóban leírt indoktól és céloktól eltérően nem használhatja, illetve nem kezelheti. Személyes adatoknak az Adatkezelési Tájékoztatóban megjelölteken kívüli személyeknek történő átadása – hacsak jogszabály ettől eltérően nem rendelkezik kötelező erővel – az Érintett előzetes, kifejezett hozzájárulása esetén lehetséges.
7.4. Az Adatkezelés időtartama
(a)-(b) Regisztráció és Küldetésekre való Jelentkezés – hozzájárulás visszavonása, az Applikáció és a Küldetések megszűnése,
(c) Részvétel a Tanulmányi Versenyeken és a Projektek megvalósítása – a Szervezetek ellenőrzésének elvégzése, vagy lehetséges időtartama, az Adatkezelő feladatainak elvégzésével kapcsolatos igényérvényesítési határidő lejárta, amelyik a későbbi,
(d) Adatkezelő tevékenysége, céljai, valamint az Applikáció és a Küldetések népszerűsítése, megismertetése – hozzájárulás visszavonása, az Applikáció és a Küldetések megszűnése.
7.5. Az előző pont (a) és (d) alpontjai szerinti hozzájárulás bármely időpontban visszavonható az Applikáció letörlésével, vagy az Érintett kifejezett nyilatkozatával is, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. A hozzájáruló nyilatkozat visszavonását követően az Érintett az Applikációt, a Regisztrációval együtt járó előnyöket, szolgáltatásokat nem tudja igénybe venni, és a Küldetésekre nem tud jelentkezni, és azokban nem vehet részt.
VIII. ADATFELDOLGOZÓK
8.1. Azon személyek, akik az adatkezeléssel kapcsolatos döntéseket nem hoznak, a személyes adatok kezelésének céljait és eszközeit önállóan nem határozzák meg, az adatfeldolgozók (a továbbiakban: Adatfeldolgozók); e személyek az adatok kezelését az Adatkezelő megbízásából végzik. Az Adatkezelő ilyen Adatfeldolgozókat az adatok rögzítéséhez, tárolásához és továbbításához vesz igénybe.
8.2. Adatkezelő által kezelt adatok az alábbi szolgáltatóknál, mint Adatfeldolgozóknál kerülnek feldolgozásra, tárolásra:
Az Applikáció üzemeltetőjének adatai:
Név: ROIworks Zártkörűen Működő Részvénytársaság
Székhely: 1139 Budapest, Váci út 99-105. Balance Building. ép. 2. emelet
Cégjegyzékszám: 01-10-140334
Elérhetőség: https://roiworks.hu/
Tárhelyszolgáltató adatai:
Név: Google Ireland Limited / Google Firebase
Székhely: Gordon House, 4. Barrow Street, Dublin, Írország
Nyilvántartási szám: 368047
Elérhetősége: https://firebase.google.com
Az Adatkezelő levelező szerver szolgáltatója:
Név: INTEGRITY Informatikai Korlátolt Felelősségű Társaság
Székhely: 8000 Székesfehérvár, Gyetvai u. 6.
Cégjegyzékszám: 07-09-003739
Elérhetőség: www.integrity.hu
Az értesítések küldéséhez igénybe vett szolgáltató:
Név: EXPO
Székhely: 624 University Ave, Palo Alto, CA 94301, Egyesült Államok
Nyilvántartási szám: xxx
Elérhetősége: https://expo.dev
E-mailek generálásához és küldéséhez igénybe vett szolgáltató:
Név: Twilio SendGrid, Inc.
Székhely: 1801 California St, Denver, Colorado 80202, Egyesült Államok
Nyilvántartási szám: xxx
Elérhetősége: https://api.sendgrid.com/privacy.html; https://www.twilio.com/legal/privacy
8.3. Az Adatkezelő fenntartja a jogot, hogy a jövőben további Adatfeldolgozót vonjon be az adatkezelésbe, e személyek nevét és elérhetőségét változás esetén közzéteszi.
IX. AZ ADATOKHOZ VALÓ HOZZÁFÉRÉS
9.1. Az adatokat Adatkezelő, az Adatkezelő nevében eljáró Adatfeldolgozók, illetve ezek jogszabályon vagy szerződésen alapuló megfelelő titoktartási kötelezettség alatt álló azon munkatársai és megbízottjai jogosultak – a feladataik elvégzéséhez szükséges módon és mértékben – megismerni, akiknek az adat megismerése és kezelése a feladata.
9.2. Az adatok megismerhetők továbbá a További Adatkezelők, valamint a Szervezetek erre jogosult munkatársai és megbízottjai, a támogatáskezelő szervezetek adatfeldolgozói (fejlesztéspolitikai rendszereket és portált üzemeltető, fejlesztő és biztonságáért felelős szervezetek) által.
9.3. Az adattovábbítás címzettjeinek az adatvédelmi alapelvek, az adattovábbítás alapjául szolgáló szerződéses kötelezettségek, valamint a jelen Adatvédelmi Tájékoztató és az alkalmazandó jogszabályok rendelkezéseinek betartása mellett kell az adatokat kezelni.
X. AZ ADATKEZELÉS ÉS ADATFELDOLGOZÁS TECHNIKAI INFORMÁCIÓI, BIZTONSÁG
10.1. Az Applikáció a Google Play Áruházban és az Apple Store-ban elfogadott, minősített és letölthető alkalmazás, amely laptopra, valamint asztali számítógépeken a https://app.v-go.hu/ zárt felületről is elindítható. Az Applikáció adatkezelése és működése semmilyen szinten nem érinti az Adatkezelő honlapját.
10.2. Az Applikációba – mint a mobilalkalmazások döntő többségébe – közösségi belépési és regisztrációs lehetőségek (Google, Facebook) kerültek beépítésre, a hivatalos és ellenőrzött keretrendszer segítségével. Az Applikációba történő bejelentkezés kétfaktoros hitelesítésen keresztül történik, a felhasználónév megadását jelszó és kód beírása követi.
10.3. Az Applikáció mobil- és web alkalmazás háttér szolgáltatásainak lefejlesztésére a Firebase (https://firebase.google.com) ökoszisztéma lett használva. Ez az adatmozgást tekintve azt jelenti, hogy mivel a felhasználók bejelentkeztetését a fentebb említett keretrendszer biztosítja ezért a felületen bevitt e-mail cím és jelszó kezelését illetően a Firebase adatkezelési tájékoztatója (https://firebase.google.com/support/privacy) az irányadó. A Firebase adatkezelési és adatvédelmi folyamatairól bővebb információ az alábbi linken található: https://firebase.google.com/terms/data-processing-terms
10.4. Sikeres regisztrációt követően az Adatkezelő egy profilt hoz létre az adott felhasználónak a regisztráció során bekért adatok tárolására, amit a Cloud Firestore-ban tárol, a felhasználóhoz esetlegesen csatolt fájlok (például szülői hozzájáruló nyilatkozat) a Cloud Storage-ban kerülnek elhelyezésre. Ezekre is a Google előzőekben hivatkozott adatkezelési tájékoztatója az irányadó.
10.5. Az alkalmazás és a felhasználó közötti kommunikáció a felületen túl okos telefonos értesítéseken és e-maileken keresztül valósul meg. Az értesítésekhez az Expo keretrendszer által biztosított megoldás kerül felhasználásra, amit a https://expo.dev/privacy szabályoz. E-mailek generálásához és kézbesítéséhez a SendGrid kerül alkalmazásra, amihez pedig a https://api.sendgrid.com/privacy.html, mint adatkezelési tájékoztató tartozik.
10.6. A begyűjtött adatok feldolgozásához a Cloud Functions-t kerül felhasználásra. Az egységnyi üzleti logikai elemekkel ipari sztenderd API hívásokkal történik az interakció a HTTPS protokollon keresztül ami a két végpont (pl. mobilalkalmazás – Firebase) között titkosított kommunikációt tesz lehetővé. Authorizációhoz a szintén ipari sztenderdnek minősülő JWT technológia került alkalmazásra.
10.7. Adatkezelő kötelezi magát, hogy gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai intézkedéseket, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg mindent megtesz annak érdekében, hogy megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek az adatok továbbításra kerülnek, ugyancsak felhívják ez irányú kötelezettségeinek teljesítésére.
10.8. Az Adatkezelő gondoskodik arról, hogy a személyes adatok feldolgozásával foglalkozó minden közreműködőt gondosan válasszon ki, azok titoktartási kötelezettséget vállaljanak (vagy álljanak megfelelő jogszabályi titoktartási kötelezettség alatt) és ismerjék meg a vonatkozó adatvédelmi rendelkezéseket.
10.9. Az Adatkezelő minden adathalmazt és adathordozót, valamint az ezekről készült minden másolatot biztos helyen tárol és gondoskodik arról, hogy azokhoz harmadik fél ne férhessen hozzá.
10.10. Az Adatkezelő a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:
• az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
• hitelessége és hitelesítése biztosított (hitelesség);
• változatlansága igazolható (adatintegritás);
• a jogosulatlan hozzáférés ellen védett (bizalmasság) legyen.
10.11. Az Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés ellen. A védelem eszközei a mindenkori technikai fejlettségnek megfelelő műszaki, szervezési, szervezeti, programozási, jogi intézkedések, amelyek a védelem tárgyának a különböző veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását elősegítik, illetve biztosítják, és az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújtanak.
10.12. Az Adatkezelő az adatkezelés során
• megőrzi (a) a titkosságot: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult; (b) a sértetlenséget: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
• biztosítja a rendelkezésre állást: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.
10.13. Az adatok tárolása, kezelése olyan eszközökön és programok segítségével történik, melyek speciális technikai intézkedésekkel (szükség szerint hozzáférési jelszavakkal) kerülnek megvédésre. Az Adatkezelő számítástechnikai rendszerei és más adatmegőrzési helyei az Adatkezelő székhelyén, illetve működési helyén, és a tulajdonában lévő számítástechnikai eszközökön találhatók meg.
10.14. Az adatokat tároló eszközök, a szerver és a szerver-kliens közötti kommunikációs csatorna is több szinten védve van az illetéktelen behatolás ellen. Továbbá az eszközöket és a szervert erős tűzfal és a kártékony vírusok ellen telepített szoftverek védik.
10.15. Az adatokról az Adatfeldolgozók székhelyén heti rendszerességgel biztonsági mentés készül, melyet az Adatkezelő saját külső adattárolón tárol. Az adatokat tartalmazó adattároló eszközök őrzéséről, biztonságos tárolásáról, szükség esetén elzárásáról az adott eszköz használója köteles gondoskodni, az adattároló eszközökről a dokumentumokat kizárólag szükség esetén, adatátadás céljából lehet kinyomtatni, és azokat fokozott gondossággal kell kezelni, kizárólag az arra jogosult számára lehet átadni.
10.16. Az adatokat tartalmazó dokumentumok papír alapon történő továbbítása esetén gondoskodni kell a küldemények lezárásáról és megfelelő címzéséről, annak érdekében, hogy illetéktelen kezébe ne juthassanak.
10.17. Az Adatfeldolgozók kifejezetten úgy állítják fel és tartják fenn belső szervezetüket, és olyan szükséges műszaki és szervezési intézkedéseket hoznak, hogy megfeleljenek az adatvédelmet érintő követelményeknek, ideértve különösen az alábbiakat: (a) személyes adatok álnevesítése és titkosítása; (b) képesség a feldolgozó rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítására; (c) képesség a személyes adatok elérhetőségének és az azokhoz való hozzáférésnek időben történő visszaállítására fizikai vagy műszaki incidens esetén; (d) eljárás a feldolgozás biztonságának biztosítására szolgáló műszaki és szervezeti intézkedések hatékonyságának és megfelelőségének rendszeres teszteléséhez, felméréséhez és értékeléséhez.
XI. TÁJÉKOZTATÁS AZ ÉRINTETT JOGAIRÓL
11.1. Előzetes tájékozódáshoz való jog - Érintett jogosult arra, hogy az adatkezeléssel összefüggő tényekről és információkról az adatkezelés megkezdését megelőzően tájékoztatást kapjon. (GDPR 13-14. cikk)
11.2. Érintett hozzáférési joga - Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a Rendeletben meghatározott, kapcsolódó információkhoz hozzájusson. (GDPR 15. cikk).
11.3. A helyesbítéshez való jog - Érintett jogosult arra, hogy kérésére a Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az Érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. (GDPR 16. cikk).
11.4. A törléshez való jog - Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha a Rendeletben meghatározott indokok valamelyike fennáll. (GDPR 17. cikk) A törléshez való jog részleges is lehet, és egyes adatkezelések vonatkozásában külön is kérhető, például hírlevél küldés és rendezvényszervezés kapcsán (meghívó küldése rendezvényekre, a rendezvényértékelése) a leiratkozással (a továbbiakban: Leiratkozás). Az ilyen adatkezelések tekintetében megküldött levelek (meghívók) végén elhelyezésre kerül egy link, aminek segítségével a Leiratkozás kezdeményezhető. A Leiratkozás az adatkezelő és adatfeldolgozó rendszerein történő átvezetése néhány munkanapot igénybe vehet, de a Leiratkozással az adott adatkezelés vonatkozásában az adatok törlésére haladéktalanul sor kerül.
11.5. Az adatkezelés korlátozásához való jog - Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést jogszabályban meghatározott feltételek teljesülése esetén. (GDPR 18. cikk)
11.6. Az adathordozhatósághoz való jog - A GDPR-ben írt feltételekkel az Érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik Adatkezelőnek továbbítsa. (GDPR 20. cikk)
11.7. A tiltakozáshoz való jog - Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) pontján (az adatkezelés közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) vagy f) pontján (az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az Adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség. (GDPR 21. cikk)
11.8. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást - Érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. (GDPR 22. cikk)
11.9. Érintett tájékoztatása az adatvédelmi incidensről - Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az Érintettet az adatvédelmi incidensről. (GDPR 34. cikk)
11.10. A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog) - Érintett jogosult arra, hogy panaszt tegyen a jogalkotó által erre a célra kijelölt felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az Érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. (GDPR 77. cikk)
11.11. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog - Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az Érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. (GDPR 78. cikk)
11.12. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog - Az Érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatai nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait. (GDPR 79. cikk)
XII. AZ ÉRINTETT KÉRELMÉNEK ELŐTERJESZTÉSE, INTÉZKEDÉSEK A KÉRELEM ALAPJÁN
12.1. Az Érintett adatkezeléssel kapcsolatos kérelmét, panaszát előterjesztheti írásos formában az Adatkezelő postai címére vagy elektronikus úton az Adatkezelő e-mail címére küldött levélben (adatokat ld. lejjebb). Jogellenes adatkezelés ténye vagy gyanúja esetén az Érintett elsősorban az Adatkezelőhöz fordulhat annak érdekében, hogy rövid időn belül helyreálljon a jogszerű állapot.
12.2. Az Adatkezelő indokolatlan késedelem nélkül, legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az Érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
12.3. Amennyiben az Adatkezelő a kérelem teljesítését elutasítja, az erről szóló tájékoztatás tartalmazza a megtagadás jogalapját és az Érintett jogorvoslati lehetőségeit.
12.4. Az Adatkezelő minden olyan címzettet tájékoztatnak a helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.
12.5. Az Érintett az adatkezelésre vonatkozó panaszával, hatósági jogorvoslat iránti kérelmével a jogalkotó által kinevezett hatósághoz vagy a lakóhelye vagy tartózkodási helye szerinti törvényszékhez fordulhat. A jelen Adatkezelési Tájékoztató közzétételének időpontjában adatvédelmi ügyekkel kapcsolatosan eljáró hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (székhely címe: 1055 Budapest, Falk Miksa u. 9-11., levelezési cím: 1363 Budapest, Pf.: 9., telefon: +36 (1) 391-1400, +3630 683 5969, +3630 549 6838, e-mail: ugyfelszolgalat@naih.hu).
12.6. Jelen Adatkezelési Tájékoztatóra vonatkozó kérdések, észrevételek, az adatkezeléssel kapcsolatos kérelmek és panasz esetén az Érintettek az Adatkezelőhöz a következő elérhetőségeken fordulhatnak:
Magyar Innováció és Hatékonyság Nonprofit Korlátolt Felelősségű Társaság
Postacím: 2040 Budaörs, Baross utca 165/3. I.em.
Telefonos elérhetőség: +36 30 254 5989
E-mail elérhetőség: info@mi6.hu
Budapest, 2022. április 12.
Magyar Innováció és Hatékonyság Nonprofit Kft.
Adatkezelő
Mellékletek:
ADATKEZELÉSI TÁJÉKOZTATÓ KIVONATA ÉS AZ ÉRINTETT HOZZÁJÁRULÓ NYILATKOZATA
SZÜLŐI (TÖRVÉNYES FELÜGYELET GYAKORLÓI) HOZZÁJÁRULÓ NYILATKOZAT
ADATKEZELÉSI TÁJÉKOZTATÓ KIVONATA ÉS AZ ÉRINTETT HOZZÁJÁRULÓ NYILATKOZATA
V-GO Applikáció és Küldetések valamint Tanulmányi Versenyek
kapcsán
1. Az Adatkezelő („ Adatkezelő”) és elérhetőségei:
Név: Magyar Innováció és Hatékonyság Nonprofit Korlátolt Felelősségű Társaság
Székhely: 8000 Székesfehérvár, Ányos Pál u. 3. 3/12.
Fióktelep és postacím: 2040 Budaörs, Baross utca 165/3. I. em.
Cégjegyzékszám: 07-09-020026
Telefonos elérhetőség: +36 30 254 5989
E-mail elérhetőség: info@mi6.hu
2. Az Adatkezelő és az adatkezelés bemutatása
Az Adatkezelő, mint nonprofit vállalkozás tevékenységének egyik célja a természet-, klíma- és vízvédelem kapcsán fenntartható közösségek építése, a környezettudatossági, környezetvédelmi (víz- és klímavédelmi) és fenntarthatósági programok támogatása és megvalósítása, egyben különböző környezetvédelmi tudásgyarapító és tudásfelmérő küldetések és tanulmányi versenyek (a továbbiakban: „Küldetések”) szervezése és lebonyolítása, a téma iránt érdeklődőknek ismeretanyag, tanulási segédanyagok átadása, tudáspróbákban és tanulmányi versenyekben való részvételük lehetővé tétele.
A V-GO mobil és webes alkalmazás („Applikáció”) a Google Play-ben, az AppStore-ban megtalálható, letölthető alkalmazás, melyet webes felületen a v-go.hu oldalról asztali gépen is lehet futtatni, illetve erről az oldalról is elérhetők az áruházi letöltési lehetőségek linkjei, és amely online felületéül szolgál az Adatkezelő által kitűzött, fenti célok megvalósításának.
A Küldetések olyan ismeretanyagokat, tudáspróbákat tartalmaznak, melyek a fenntartható közösségekkel, a klíma- és vízvédelemmel, a környezetvédelemmel kapcsolatosak, és támogatják az Érintettek tudásának gyarapítását. Az intergenerációs Küldetések abban segítenek, hogy a diákok a szüleikkel vagy a nagyszüleikkel is megosszák a rezsicsökkentés és a helyi megoldások fontosságának üzenetét, lefektetve ezzel egy fenntarthatóbban gondolkodó társadalom alapját.
Az Applikációban történő regisztrációval („Regisztráció”) az Érintett a V-GO fenntarthatósági közösség tagja lesz, és automatikusan lehetővé válik számára, hogy az Applikációt elérje, különböző Küldetésekre jelentkezzen (elérhetővé válik a Küldetések felülete), további információkat, ismeretterjesztő anyagokat érjen el, és ezekről tájékoztatást kapjon. Ezen túlmenően elérhetővé válnak számára a klíma- és vízvédelemmel, az ezek érdekében létrejövő és működő programokkal, tudásanyaggal kapcsolatos információk, ismeretterjesztő anyagok.
A Küldetésekre történő jelentkezéssel („Jelentkezés”) a Játékos részt vesz az adott Küldetésben, tudását gyarapíthatja, és a Küldetésben szereplő feladatok teljesítése esetén, amennyiben azzal kapcsolatosan az Adatkezelő díjazást kötött ki, meghatározott feltételekkel díjazásban részesülhet.
A Tanulmányi versenyek azok a Küldetések, amelyek esetében a Játékosok egymással versenyeznek, és díjazásban részesülnek („Tanulmányi Verseny”). A Tanulmányi Versenyek között vannak olyanok, amelyek harmadik személyek által elnyert pályázati felhívásokkal érintett projektek („Projektek”) teljesítése érdekében kerülnek a Küldetésekbe.
Amennyiben a Játékos a Projektekhez kapcsolódó Tanulmányi Versenyre jelentkezik, a Jelentkezéssel elfogadja, hogy adatai (pl. neve, iskolája, évfolyama, a kitöltött tesztek, feltételek, jegyzőkönyvek) a Tanulmányi Versenyek lebonyolítása és ennek igazolása céljából átadásra kerülnek az adott Tanulmányi Versennyel érintett, a Projektekben támogatásban részesült személy (a továbbiakban: További Adatkezelő) számára. Tudomásul veszi továbbá a Tanulmányi Versenyhez kapcsolódó jogos érdeken alapuló adatkezelést, illetve hogy a Szervezetek a Projektek végrehajtását, a Projektek támogatására szolgáló összegekkel való elszámolást, az e körben keletkezett dokumentációkat az Adatkezelő és a További Adatkezelők szerződéses kötelezettségeinek teljesítését ellenőrizhetik.
További Adatkezelők elérhetők a „Klímabajnok” Küldetés kapcsán a https://bit.ly/3t0oHij, a „Vízőrzők” Küldetés kapcsán a https://bit.ly/3rVifI1 weboldalon. Minden egyes További Adatkezelőnek kizárólag azon Játékos adatai kerülnek továbbításra, akik a Regisztráció vagy a Jelentkezés során a Játékos által megadott település (a Játékos lakhelye, tartózkodási helye, vagy azon köznevelési intézmény (iskola) helyszíne, ahol a Játékos tanulói jogviszonnyal rendelkezik) területén illetékességgel rendelkeznek, vagy működnek, az erre vonatkozó információk elérhetők a következő linken: https://www.brizy.cloud/customfile/401af90192dedf0d584d92fa0ba53883.pdf vagy a Tanulmányi Versenynek helyt adó iskolákban.
A Projektek ellenőrzését, kezelését végzők („Szervezetek”) a következők: Innovációs és Technológiai Minisztérium, Miniszterelnökség, Európai Bizottság, Állami Számvevőszék, Európai Támogatásokat Auditáló Főigazgatóság (EUTAF), Európai Csalás Elleni Hivatal (OLAF).
Érintett nem köteles a személyes adatokat megadni, ennek hiányában azonban elesik az Applikáció és a Küldetések adta lehetőségektől. A személyes adat szolgáltatása a Regisztráció és Küldetésre jelentkezés feltétele, a Projektekhez kapcsolódó Tanulmányi Versenyek esetén a Jelentkezést követő adatkezelés szerződéses kötelezettségen, jogos érdeken, a Szervezetek adatkezelése jogszabály rendelkezésén alapul.
3. Az adatkezelés célja, jogalapja, időtartama
4. Tájékoztatás az Érintett jogairól, és a jogérvényesítésről
Az Érintett kérelmezheti az Adatkezelőtől illetve a További Adatkezelőktől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint meghatározott feltételek esetén kérheti az adatai átadását (adathordozhatóság).
A hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban visszavonható az Applikáció letörlésével, vagy az Érintett kifejezett nyilatkozatával is, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét. A hozzájáruló nyilatkozat visszavonását követően az Érintett az Applikációt, a Regisztrációval együtt járó előnyöket, szolgáltatásokat nem tudja igénybe venni, és a Küldetésekre nem tud jelentkezni, és azokban nem vehet részt.
Jogellenes adatkezelés ténye vagy gyanúja esetén az Érintett elsősorban az Adatkezelőhöz fordulhat annak érdekében, hogy rövid időn belül helyreálljon a jogszerű állapot. Az Érintett az adatkezelésre vonatkozó panaszával, hatósági jogorvoslat iránti kérelmével a jogalkotó által kinevezett hatósághoz vagy a lakóhelye vagy tartózkodási helye szerinti törvényszékhez fordulhat. Adatvédelmi ügyekkel kapcsolatosan jelenleg eljáró hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (székhely címe: 1055 Budapest, Falk Miksa u. 9-11., levelezési cím: 1363 Budapest, Pf.: 9., telefon: +36(1)391-1400, +3630 6835969, +3630 5496838, e-mail: ugyfelszolgalat@naih.hu).
Jelen Adatkezelési Tájékoztatóra vonatkozó kérdések, észrevételek, az adatkezeléssel kapcsolatos kérelmek és panasz esetén az Érintettek az Adatkezelőhöz fordulhatnak a fenti elérhetőségek (levelezési cím, e-mail cím, telefonszám) bármelyikén.
Budapest, 2022. április 12.
Magyar Innováció és Hatékonyság Nonprofit Kft.
Adatkezelő
_____________________________________________________________________________________
ÉRINTETT TANULMÁNYI VERSENYRE VALÓ JELENTKEZÉSE ÉS
ADATKEZELÉSI HOZZÁJÁRULÓ NYILATKOZATA[1]
__________________________ (név) az Adatkezelési Tájékoztatót megismertem, a Tanulmányi Versenyre jelentkezem, és az adatkezeléssel kapcsolatosan az alábbi nyilatkozatokat teszem:
o Hozzájárulok, hogy az Adatkezelő a jelen Hozzájáruló Nyilatkozatban, valamint a Jelentkezés során megadott, továbbá a Tanulmányi Verseny lebonyolítása során keletkező további személyes adatokat a Tanulmányi Versenyhez kapcsolódóan kezelje. Tudomásul veszem, hogy az Adatkezelő jogosult a Tanulmányi Verseny lebonyolítását és eredményét, a kiskorú Tanulmányi Versenyre való Jelentkezése esetén részvételét és esetleges díjazását dokumentálni, és ennek érdekében az így rögzített adatokat továbbadni a Tanulmányi Verseny További Adatkezelőjének és a Tanulmányi Verseny végrehajtásának ellenőrzését végző Szervezeteknek. (Kérjük a választ bekarikázni vagy aláhúzni.) IGEN NEM
o Hozzájárulok, hogy díjazásom esetén nevem, iskolám, és évfolyamom közzétételre kerüljön, valamint a díjátadón rólam kép- és hangfelvétel készüljön és megjelenjen az Adatkezelő tevékenysége, céljai, valamint az Applikáció és a Küldetések népszerűsítése, megismertetése érdekében. (Kérjük a választ bekarikázni vagy aláhúzni.) IGEN NEM
Keltezés: __________________
____________________________
(aláírás)
[1] Az Applikációban történő Regisztráció és Jelentkezés esetén nem kell kitölteni és visszaküldeni! Tanulmányi Versenyre történő papír alapú Jelentkezés esetén a kiskorú, mint Érintett jognyilatkozata csak a Szülői (törvényes felügyelet gyakorlói) hozzájáruló nyilatkozattal együtt érvényes.