AZ ELŐADÓMŰVÉSZI JOGVÉDŐ IRODA EGYESÜLET ADATVÉDELMI SZABÁLYZATA
1. Az Előadóművészi Jogvédő Iroda Egyesület (a továbbiakban: „EJI”) Elnöksége az Alapszabály 9.2.9. pontja szerinti jogkörében eljárva az alábbiak szerint határozza meg az EJI adatvédelmi szabályzatát (a továbbiakban: „Szabályzat”).
2. A jelen Szabályzat célja, hogy szabályozza az EJI személyes adatkezelési folyamatait és biztosítsa az érintettek (1.1. b) pont) jogainak érvényesülését.
I. A Szabályzat hatálya, irányadó jogszabályok
1.1. A Szabályzat személyi hatálya
A Szabályzat személyi hatálya kiterjed
a) az EJI által végzett adatkezelési vagy adatfeldolgozási tevékenységeket végző személyekre (munkavállalók vagy az EJI-vel más munkavégzésre irányuló jogviszonyban álló személyek) és
b) azokra a természetes személyekre, akikkel kapcsolatban az EJI személyes adatokat kezel vagy feldolgoz („érintettek”), illetőleg elhunyt érintett esetén azok hozzátartozójára.
1.2. A Szabályzat tárgyi hatálya
A Szabályzat tárgyi hatálya kiterjed az EJI mint adatkezelő vagy adatfeldolgozó által kezelt, illetve feldolgozott személyes adatokra.
1.3. Kapcsolódó jogszabályok
A jelen Szabályzat elsősorban az alábbi jogszabályoknak való megfelelést szolgálja:
a) az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről („Általános Adatvédelmi Rendelet”);
b) a szerzői jogról szóló 1999. évi LXXVI. tv. („Szjt.”);
c) a szerzői jogok és a szerzői joghoz kapcsolódó jogok kezeléséről szóló 2016. évi XCIII. törvény („Kjkt.”);
d) a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk”);
e) az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény („Infotv.”);
f) a munka törvénykönyvről szóló 2012. évi I. törvény („Mt.”).
1.4. Ahol a jelen Szabályzat másként nem rendelkezik, a Szabályzatban alkalmazott fogalmakat a hatályos jogszabályok rendelkezéseinek megfelelően kell értelmezni.
II. Az EJI adatkezelése
2.1. Alapelvek
2.1.1. Az érintettek személyes adataikhoz való jogának érvényesítése érdekében az EJI tiszteletben tartja az adatvédelmi jog alapelveit, így
a) a személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kezeli („jogszerűség, tisztességes eljárás, átláthatóság elve”);
b) személyes adatokat csak meghatározott, egyértelmű és jogszerű célból kezel („célhoz kötöttség elve”);
c) csak az adatkezelés céljai szempontjából megfelelő és releváns személyes adatokat kezel, a szükséges mértékben („adattakarékosság elve”);
d) a személyes adatok pontosságát és szükség esetén naprakészségét biztosítja és minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság elve”);
e) a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság elve”);
f) a személyes adatokat oly módon kezeli, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelem („integritás és bizalmas jelleg elve”);
g) a személyes adatok kezelését az EJI oly módon végzi, hogy képes legyen a fenti alapelveknek történő megfelelés igazolására („elszámolhatóság elve”);
2.2. Az adatkezelés jogalapja
2.2.1. Személyes adatot az EJI kizárólag az alábbi esetekben kezel, ha az
a) érintett hozzájárulását adta személyes adatainak kezeléséhez;
b) adatkezelés olyan az EJI-vel kötendő szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések EJI általi megtételéhez szükséges;
c) adatkezelés az EJI-re vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) adatkezelés az EJI vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
2.2.2. Ha az adatkezelés jogalapja az 2.2.1. e) pont szerint meghatározott jogalap, úgy előzetes érdekmérlegelési teszt lefolytatása szükséges. Ezen teszt keretében
a) meg kell határozni, hogy mi alkotja az EJI, vagy a harmadik fél jogszerű érdekét;
b) meg kell vizsgálni, hogy mi alkotja az érintettek olyan érdekeit, vagy alapvető jogait és szabadságait, amelyek a személyes adatok védelmét teszik szükségessé.
2.2.3. Az előzetes mérlegelés eredményéhez képest, amennyiben az érdekmérlegelés eredménye nem egyértelmű, további garanciákat kell társítani az érintett jogainak védelmében.
2.2.4. Az elszámoltathatóság elve alapján a 2.2.2.-2.2.3. pontok szerinti mérlegelés elvégzését és annak eredményét dokumentálni kell.
2.2.5. A személyes adatok különleges kategóriáiba tartozó adatokat az EJI kizárólag az érintett kifejezett hozzájárulása alapján kezel, és kizárólag a Felosztási Szabályzat VII. Része (Támogatási Politika) szerinti szociális támogatások elbírálása céljából. Az érintett hozzájárulását megfelelően dokumentálni kell. A jelen pont szerinti kifejezett hozzájárulás hiányában az érintett által megküldött, a személyes adatok valamely különleges kategóriájába tartozó adatot is tartalmazó iratot az EJI másolat készítése nélkül törli, illetve megsemmisíti.
2.3. Az érintett tájékoztatáshoz fűződő joga
2.3.1. Az EJI elsősorban az érintettektől jut személyes adatok birtokába, ebben az esetben a jelen Szabályzat melléklete szerinti hozzájáruló nyilatkozat illetőleg adatkezelési tájékoztatás alkalmazandó.
2.3.2. Ha a személyes adatokat az EJI nem az érintettől szerzi be, a következő információkat bocsátja az érintett rendelkezésére:
a) az EJI elérhetőségei;
b) az EJI igazgatójának neve és elérhetőségei;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái;
f) ha van ilyen, a személyes adatok harmadik országokba történő továbbítása esetén az Általános Adatvédelmi Rendeletben meghatározott információk;
g) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
h) ha az adatkezelés jogalapja a 2.2.1. e) pont szerinti jogalap, úgy az EJI jogos érdeke;
i) tájékoztatás arról, hogy az érintett kérelmezheti az EJI-től a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat személyes adatai kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
j) tájékoztatás arról, hogy hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban visszavonható, amely visszavonás azonban nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
k) tájékoztatás a Nemzeti Adatvédelmi és Információszabadság Hatóság, mint felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
l) tájékoztatás a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;
m) tájékoztatás az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
2.3.3. A 2.3.2. pont szerinti információkat – tekintetbe véve a személyes adatok kezelésének konkrét körülményeit – a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül kell közölni az érintettel. Ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával kell közölni az információkat.
2.3.4. Az EJI az Általános Adatvédelmi Rendelet 14. cikk (5) bekezdésében foglalt esetekben az érintett tájékoztatására vonatkozó szabályokat nem alkalmazza.
2.4. Az érintett hozzáférési joga
2.4.1. Az EJI az érintettet igényére tájékoztatja arról, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, hozzáférést biztosít a személyes adatokhoz, tájékoztatja továbbá az érintettet az alábbiakról:
a) az adatkezelés céljáról;
b) az érintett személyes adatok kategóriáiról;
c) azon címzettekről vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) a személyes adatok tárolásának tervezett időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
e) az érintett azon jogáról, hogy kérelmezheti az EJI-től a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról;
g) ha a személyes adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információról;
h) az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról és arra vonatkozó érthető információkról, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
2.4.2. Ha személyes adatoknak harmadik országba történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozó garanciákról.
2.4.3. Az EJI az adatkezelésével érintett személyes adatok másolatát az érintett kérésére az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az EJI az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.
2.5. A helyesbítéshez való jog
2.5.1. Az érintett kérésére az EJI indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozó pontatlan személyes adatokat, valamint – figyelembe véve az adatkezelés célját – az érintett erre irányuló kérése esetén biztosítja a hiányos személyes adatok kiegészítését. A hiányos személyes adat pótlására, illetve pontatlan adat helyesbítésére vonatkozó igény az EJI által – a Felosztási Szabályzat rendelkezéseinek megfelelően – rendszeresített adatlapok benyújtásával kezdeményezhető.
2.5.2 A helyesbítéshez való jog korlátozására csak az Általános Adatvédelmi Rendeletben írt kivételek fennállása esetén kerülhet sor.
2.5.3. Az EJI minden olyan címzettet tájékoztat valamennyi helyesbítésről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az EJI tájékoztatja e címzettekről.
2.6. A törléshez való jog
2.6.1. Az EJI az érintett kérésére indokolatlan késedelem nélkül törli a rá vonatkozó személyes adatokat, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) az érintett személyes adatainak kezelése jogszerűtlen;
e) a személyes adatokat az EJI-re alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére gyermekek számára nyújtott információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
2.6.2. A törléshez való jog korlátozására csak az Általános Adatvédelmi Rendeletben írt kivételek fennállása esetén kerülhet sor.
2.6.3. Az EJI minden olyan címzettet tájékoztat valamennyi törlésről, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az EJI tájékoztatja e címzettekről.
2.7. Az adatkezelés korlátozásához való jog
2.7.1. Az érintett kérelmére az EJI korlátozza az adatkezelést, ha
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az EJI-nek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
d) az érintett jogos érdeken vagy közérdekű célból végzett adatkezelés ellen tiltakozott; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
2.7.2. Az EJI minden olyan címzettet tájékoztat valamennyi adatkezelést illető korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az EJI tájékoztatja e címzettekről.
2.8. Az adathordozhatósághoz való jog
2.8.1. Az érintett jogosult arra, hogy a rá vonatkozó, az EJI rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa, ha
a) az adatkezelés az Általános Adatvédelmi Rendelet szerinti hozzájáruláson vagy szerződésen, mint jogalapon alapszik, vagy
b) az adatkezelés automatizált módon történik.
2.8.2. Az adathordozhatósághoz való jog alkalmazásának kizárására és korlátozására az Általános Adatvédelmi Rendelet szabályait kell alkalmazni.
2.9. A tiltakozáshoz való jog
2.9.1. Az érintett bármikor tiltakozhat a saját helyzetével kapcsolatos okokból a közérdekű célból vagy jogos érdekből végzett adatkezelés ellen, ideértve a profilalkotást is. Ebben az esetben az EJI a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
2.9.2. A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
2.10. Automatizált döntéshozatal, profilalkotás
Az EJI csak akkor alkalmaz kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntést, amely az érintette nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti, ha
a) az EJI és az érintett közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az EJI-re alkalmazandó olyan uniós vagy hazai jogszabály teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít
c) az érintett kifejezett hozzájárulásán alapul.
2.11. Incidensek kezelése
2.11.1. Az EJI az adatkezelésével összefüggésben bekövetkezett adatvédelmi incidenst a tudomására jutását követően indokolatlan késedelem nélkül, ha lehetséges, legkésőbb 72 órával bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak. Ha a bejelentésre több mint 72 órával a tudomásra jutást követően kerül sor, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is. E kötelezettség teljesítése érdekében az EJI-vel munkavégzésre irányuló jogviszonyban állók kötelesek a tudomásukra jutott adatvédelmi incidensről az EJI igazgatóját haladéktalanul tájékoztatni.
2.11.2. A bejelentés nem kell megtenni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A bejelentés elhagyásáról szóló döntést az EJI igazgatója jogosult meghozni, mérlegelve az eset összes körülményeit.
2.11.3. Az EJI nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
2.11.4. Az EJI indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ezt a döntést az igazgató hozza meg az eset összes körülményeire tekintettel, amelyről feljegyzést készít.
2.11.5. Az EJI az érintettet nem értesíti az adatvédelmi incidensről, ha
a) megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazta, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; vagy
b) az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé, amely esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
III. Közös adatkezelés
3.1. Közös adatkezelés esetén az EJI és a további adatkezelők – az érintettekkel szembeni szerepére és a velük való kapcsolattartásra is tekintettel megalkotott – megállapodásban határozzák meg az Általános Adatvédelmi Rendeletben foglalt kötelezettségek teljesítéséért fennálló felelősségük megoszlását, különösen az érintettek jogainak gyakorlásával és tájékoztatásával kapcsolatban. A megállapodásban az EJI és a további adatkezelők az érintettek számára közös kapcsolattartót jelölnek ki.
3.2. A 3.1. pontban hivatkozott megállapodás lényegét az érintett kérésére rendelkezésére kell bocsátani.
3.3. Az érintett jogait abban az esetben is biztosítani kell, ha az a 3.1. pontban hivatkozott megállapodástól eltérően kívánja azokat gyakorolni.
3.4. Az EJI a Magyar Hangfelvétel-kiadók Szövetsége Közös Jogkezelő Egyesülettel közösen kezeli azokat a felhasznált rögzített előadásokra vonatkozó adatokat, amelyeket a rögzített előadások felhasználói, vagy azok képviselői – a velük kötött felhasználási szerződéseknek megfelelően – a Playlist.hu rendszeren keresztül adnak át az EJI és a MAHASZ részére.
IV. Adatfeldolgozó igénybevétele, adatfeldolgozási szerződés
4.1. Az EJI adatkezelőként csak olyan adatfeldolgozókat vesz igénybe, amelyek megfelelnek az Általános Adatvédelmi Rendelet előírásainak. Az adatfeldolgozási szerződést írásban kell megkötni, és annak eleget kell tennie az e pontban szabályozott tartalmi követelményeknek.
4.2. Az adatfeldolgozási szerződésben ki kell kötni, hogy az adatfeldolgozó további adatfeldolgozót csak az EJI előzetes engedélyével vehet igénybe. Ha az EJI további adatfeldolgozó igénybevételéhez általános jelleggel járul hozzá, az adatfeldolgozási szerződésben ki kell kötni, hogy az igénybe vett további adatfeldolgozó személyének változásáról az adatfeldolgozó az EJI-t tájékoztatni köteles, a további adatfeldolgozó személyével szemben pedig az EJI kifogást emelhet, melyet adatfeldolgozó köteles figyelembe venni.
4.3. Ha az adatfeldolgozó – az EJI hozzájárulásával – további adatfeldolgozó szolgáltatásait is igénybe veszi, adatfeldolgozó köteles erre a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepíteni, mint amelyek az EJI és az adatfeldolgozó között létrejött szerződésben szerepelnek.
4.4. Az adatfeldolgozási szerződésben rögzíteni kell, hogy az adatfeldolgozó a személyes adatokat kizárólag az EJI írásbeli utasításai alapján kezelheti, beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is. Ha az adatkezelést az adatfeldolgozóra alkalmazandó jogszabály írja elő, az alkalmazandó jogi előírásról az adatfeldolgozó az EJI-t az adatkezelést megelőzően értesíti, kivéve, ha ezt az adott jogszabály fontos közérdekből tiltja.
4.5. A szerződésben ki kell kötni, hogy a személyes adatokat csak olyan személyek kezelhetik, akik írásban titoktartási kötelezettséget vállaltak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
4.6. A szerződésnek rögzítenie kell, hogy az adatfeldolgozó köteles biztosítani az Általános Adatvédelmi Rendeletben foglalt adatbiztonsági követelményeket.
4.7. A szerződésben ki kell mondani, hogy az adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíteni köteles az EJI-t abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
4.8. A szerződésnek rögzítenie kell azt, hogy az adatfeldolgozó segíti az EJI-t az adatkezelés biztonságát, az adatvédelmi incidensek hatósági bejelentését, az érintettek az adatvédelmi incidensekről történő tájékoztatását, valamint az adatvédelmi hatásvizsgálatot és előzetes konzultációt illető kötelezettségei gyakorlásában. A szerződésnek ki kell mondania, hogy az adatfeldolgozó köteles a tudomására jutott adatvédelmi incidensről az EJI-t haladéktalanul tájékoztatni.
4.9. A szerződésnek rögzítenie kell, hogy az adatfeldolgozás befejezését követően az EJI döntése alapján az adatfeldolgozó minden személyes adatot töröl vagy visszajuttat az EJI-nek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a magyar jog az személyes adatok tárolását írja elő.
4.10. A szerződésnek rögzítenie kell, hogy az adatfeldolgozó az EJI rendelkezésére köteles bocsátani minden olyan információt, amely az Általános Adatvédelmi Rendeletben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az EJI vagy az EJI által megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
4.11. A szerződésnek rögzítenie kell, hogy az adatfeldolgozó haladéktalanul tájékoztatni köteles az EJI-t, ha úgy véli, hogy annak valamely utasítása sérti ezt az Általános Adatvédelmi Rendeletet, vagy valamely egyéb magyar vagy uniós adatvédelmi rendelkezést.
V. Az adatkezelési és adatfeldolgozási tevékenységek nyilvántartása
5.1. Adatkezeléseiről az EJI nyilvántartást vezet az 1. mellékletben meghatározott tartalommal.
5.2. A nyilvántartások vezetéséért az igazgató a felelős. Az EJI munkavállalóinak kötelezettsége a személyes adatkezeléssel vagy adatfeldolgozással kapcsolatos tervezett tevékenységek bejelentése az igazgatónak. A igazgató – szükség szerint jogi állásfoglalás beszerzése után – bevezeti a változást az EJI nyilvántartásába.
VI. Záró rendelkezések
7.1. Az egyesület jelen Szabályzata 2018. május 28. napján lép hatályba határozatlan időtartamra.
7.2. A Szabályzat mellékletei:
- 1. számú melléklet: Az adatkezelések nyilvántartása az Általános Adatvédelmi Rendelet 30.cikkének (1) bekezdése alapján
- 2. számú melléklet: Az adatvédelmi incidensek nyilvántartása
- 3. számú melléklet: Adatfeldolgozók listája
- 4. számú melléklet: Hozzájárulás és tájékoztatás minta
- 5. számú melléklet: Elvégzett érdekmérlegelések