Beköszöntő
Adatkezelési tájekoztató
1. A Tájékoztató célja és hatálya
Jelen adatkezelési tájékoztató célja, hogy meghatározza a Magyar Mentálhigiénés Szövetség által üzemeltetett „mamesz.hu” weboldalon (a továbbiakban: „Adatkezelő”) vezetett nyilvántartások/adatbázisok felhasználásának törvényes és jogszerű rendjét, valamint biztosítsa az adatvédelem alkotmányos alapelveit, az információs önrendelkezési jog és adatbiztonság követelményeinek érvényesülését.
A Tájékoztató hatálya kiterjed az Adatkezelő valamennyi szervezeti egységénél folytatott személyes és különleges adatok kezelésére, különösen a honlapunk meglátogatása kapcsán keletkezett személyes adatokra.
2. Adatkezelő elérhetőségi adatai
A hatályos szabályozás szerint (GDPR 37. cikk) Adatkezelő nem köteles adatvédelmi tisztviselő kinevezésére.
Adatkezelő alapadatai:
Magyar Mentálhigiénés Szövetség
székhely: 1024 Budapest, Fillér út 11/B
Magyarország
Cégjegyzékszám: 01-01-0001264
Adószám: 18953879-1-41
Kapcsolattartási adatok: email:
Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
telefon: +36 (20) 823 0149
Tárhely szolgáltatói adatok:
BlazeArts Kft.
székhely: 1096 Budapest, Thaly Kálmán utca 39.
Magyarország
Cégjegyzékszám: 01-09-389087
Adószám: 12539833-2-43
Kapcsolattartási adatok: email:
Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
telefon: +36 (1) 610 5506
3. Védendő értékek, alapelvek
Adatkezelő a vállalkozására kötelező érvényűen elfogadja és védi az általános adatvédelmi rendelet 5. cikkelyében foglalt irányelveket, és célkitűzéseket. Adatfeldolgozóként igénybe vett partneri együttműködések kapcsán is kifejezetten elvárja az alábbi irányelvek betartását a feldolgozásra átadott adatok tekintetében. Adatkezelő a kezelt adatokat:
- Jogszerűen, a tisztességes eljárás feltételei szerint és az átláthatóság elvét szem előtt tartva kezeli (jogszerűség, tisztességes eljárás, átláthatóság);
- Adatgyűjtés csak meghatározott, egyértelmű és jogszerű célból történik (célhoz kötöttség);
- Az adatkezelés mindenkor a céllal összefüggésben szükséges és arányos mértékben történik (adattakarékosság);
- Pontos és naprakész, minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (pontosság);
- A személyes adatok tárolása olyan formában történik, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (korlátozott tárolhatóság)
- Megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok integritását és bizalmas jellegét (integritás és bizalmas jelleg);
- Az adatkezelő felelős a fenti alapelvek betartatásért azok megsértése esetén felelősségre vonható (elszámoltathatóság).
Adatkezelő belső nyilvántartást vezet a személyes adatok kezeléséről
4. Milyen adatkezeléseket folytatunk a weboldalon? (Egyes Adatkezelések)
Általánosságban véve így kezelünk Önről személyes adatokat:
GDPR 6. cikk (1) bek. a) pont: Előzetes tájékoztatáson alapuló, önkéntes hozzájárulással
Ez azt jelenti, hogy az Ön által megadott személyes adatokat az Ön legitim beleegyezésével kezeljük. Természetesen ilyenkor is csak a szükséges mértékig, minden esetben célhoz kötötten. Ilyen adatkezelés történik, ha ajánlatot vagy információt kér, esetleg panaszt tesz illetve, ha csak kapcsolatba szeretne lépni velünk.
GDPR 6. cikk (1) bek. b) pont: Szerződéskötéshez, szerződés teljesítéséhez szükséges
Bizonyos esetekben a személyes adatai elengedhetetlenül fontosak ahhoz, hogy a szerződésben vállalt kötelezettségnek eleget tudjunk tenni. Ilyenkor nem az Ön beleegyezése, hanem a szerződéses jogalap határozza meg az adatkezeléseket. Ezek nélkül az adatok nélkül, nem tudunk szerződést kötni.
GDPR 6. cikk (1) bek. c) pont: Jogszabályi kötelezettség teljesítéséhez szükséges
Egyes esetekben adatai kezelése jogszabályi előírásokon alapul és kötelező jellegű, úgy, mint pl. számla kiállítása és megőrzése, így az azokon szereplő személyes adatokat is kénytelenek vagyunk megőrizni.
GDPR 6. cikk (1) bek. d) pont: Az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges
Abban az esetben kerül alkalmazásra, ha olyan élet-halál kérdés merül fel, vagy legalábbis olyan fenyegetés, mely az érintett sérülésének, vagy más típusú egészségkárosodásának kockázatát rejti magában.
GDPR 6. cikk (1) bek. e) pont: Közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges
Az ez alapján végzett adatkezelés során az adatkezelő vagy közérdekű feladatot lát el, vagy közhatalmi jogosítvánnyal van felruházva. Jellemzően állami, vagy önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv, vagy személy.
GDPR 6. cikk (1) bek. f) pont: Az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges
Illetve jogos érdek alapján is kezelünk személyes adatot, ha Társaságunknak, vagy más harmadik személynek fűződik jogos érdeke az adatkezeléshez, például honlap, webáruház, mobil applikáció működtetése, fejlesztése és biztonsága kapcsán.
Egyéb adatkezelések –
5. Kiknek továbbítjuk a személyes adatokat? (Adatfeldolgozók és Címzettek köre)
6. Milyen jogai vannak a személyes adatkezelésekkel kapcsolatban? (Érintettek jogai)
Jogosult, hogy hozzáférjen és megismerhesse az Önre vonatkozóan gyűjtött adatokat, valamint arra, hogy ésszerű időközönként ezt a jogát az adatkezelés jogszerűségének megállapítása érdekében ellenőrizze, így
a fenti táblázat alapján Ön az adatkezelésről
✓ tájékoztatást kérhet
✓ kérheti az általunk kezelt személyes adatai helyesbítését, módosítását, kiegészítését,
✓ tiltakozhat az adatkezelés ellen és kérheti adatai törlését, valamint zárolását (a kötelező adatkezelés kivételével),
✓ bíróság előtt jogorvoslattal élhet
✓ a felügyeleti hatóságnál panaszt tehet, illetve eljárást kezdeményezhet https://naih.hu/panaszuegyintezes-rendje.html
Az érintetti jogok gyakorlásának megkönnyítése érdekében formanyomtatványt használunk. A mellékletben csatolt érintetti kérelem megkönnyíti az adatigénylést, így azt postán a levelezési címünkre, vagy elektronikusan az e-mail címünkre megküldve 30 napon belül válaszolunk.
A kérelemre tájékoztatást adunk a kezelt adatairól azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá az adattovábbítás jogalapjáról és címzettjéről.
Amennyiben a kérelem összetettsége vagy egyéb objektív körülmény indokolja, a fenti határidő egyszer, legfeljebb 60 nappal meghosszabbítható, melyről írásban értesítjük.
Ha a fenti határidőt elmulasztjuk, – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – bírósághoz fordulhat.
7. Ha valamilyen rendellenességet tapasztalsz az adatkezelések során, mit tehetsz? (Panaszkezelés)
Kiskorúakat sértő, gyűlöletkeltő, kirekesztő tartalmakkal, helyreigazítással, elhunyt személy jogaival, jó hírnév megsértésével kapcsolatos jogainak megsértése esetén:
Nemzeti Média- és Hírközlési Hatóság
Cím:1015 Budapest, Ostrom u. 23-25.
Levelezési cím: 1525 Pf.: 75.
Telefon: + 36 (1) 457 7100
Fax: + 36 (1) 356 5520
Email:
Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
A jogai megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Az elszámoltathatóság értelmében azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő bizonyítja.
Továbbá, ha személyes adatai kezelésével kapcsolatban valamilyen jogsértést tapasztal, a NAIH-hoz fordulhat panaszával:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím: 1055 Budapest, Falk Miksa u. 9-11.
Levelezési cím: 1363 Budapest, Pf.: 9.
Email:
Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
Honlap:https://naih.hu/
8. Egyéb Rendelkezések
Fenntartjuk a jogot jelen Adatkezelési tájékoztató módosítására, amelyről az érintetteket a weboldalon közzétett tájékoztatóban értesítjük. Az adatkezeléssel kapcsolatos információk közzététele a weboldalon történik.
9. Hogyan biztosítjuk a személyes adataidat?
Adatbiztonság:
Adatbiztonság alatt azon szervezési, technikai megoldások, valamint eljárási szabályok összességét értjük, melyek a személyes adatok jogosulatlan vagy jogellenes kezelése, véletlen elvesztése, megsemmisítése vagy károsodása esetén minimálisra csökkentik a kockázati tényezőket. Az adatbiztonság az adatvédelem során valósul meg, mely a személyes adatok jogszerű kezelését, az érintett személyek védelmét és információs önrendelkezési jogának teljesülését biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök, módszerek és normatív szabályok összességét jelenti.
Az Általános Adatvédelmi Rendelet (a továbbiakban: GDPR) által támasztott követelmény az adatbiztonság, az adatoktárolásának típusától és formájától függetlenül. E rendeletben megjelenő személyes adatok biztonságára vonatkozó releváns részek:
- A GDPR 5. cikk (1) bekezdés f) pont szerinti„integritás és bizalmas jelleg” alapelve szerint: „A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve”
- A GDPR 32. cikke rendelkezik azadatkezelés biztonságáról. Az (1) bekezdés szerint: „Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja…”
- A GDPR 32. cikk (2) bekezdés szerint: „A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok:
- véletlen vagy jogellenes megsemmisítéséből,
- elvesztéséből,
- megváltoztatásából,
- jogosulatlan nyilvánosságra hozatalából,
- vagy az azokhoz való jogosulatlan hozzáférésből erednek.”
- A GDPR 25. cikke a beépített és alapértelmezett adatvédelemről rendelkezik. Az (1) bekezdés szerint: „Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket - például álnevesítést - hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.”
A fentiek alapján, illetve azzal összefüggésben már az adatkezelési művelet megkezdésekor gondosan figyelünk a személyes adatok biztonságára, mely az adatkezelés további fázisaiban mindvégig megnyilvánul. Gondosan óvjuk az adatok biztonságát, ennek érdekében megtesszük azokat a technikai és szervezési intézkedéseket és kialakítjuk azokat az eljárási szabályokat, amelyekre az irányadó jogszabályok, adat- és titokvédelmi szabályok vonatkoznak.
minden olyan harmadik felet, akiknek az adatokat bármilyen jogalappal továbbítjuk vagy átadjuk, felhívjuk, hogy eleget tegyenek az adatbiztonság követelményének.
Az általunk kezelt adatokat – mind papír, mind elektronikus formában – a székhelyén őrizzük, kivételt képeznek ez alól, az adatfeldolgozóknál tárolt adatok, amelyek őrzési helye az adatfeldolgozók székhelyén található. Az adatfeldolgozó(k) szintén kiemelt figyelmet fordítanak a személyes adatok biztonságára és védelmére, az adatfeldolgozó által adatkezelésbe bevont személyek megfelelő tudással és tájékoztatással rendelkeznek.
Az elektronikusan kezelt adatok védelme érdekében a technika mindenkori állása szerint megfelelő szintű biztonságot nyújtó megoldást alkalmazunk.
Az Adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen,
• Szervezeti intézkedések keretében épületeinkben ellenőrizzük a fizikai hozzáférést, munkavállalóinkat folyamatosan oktatjuk és a papír alapú dokumentumokat megfelelő védelemmel elzárva tartjuk.
• Az informatikai rendszerek biztonsága érdekében az informatikai rendszereket tűzfallal védjük, valamint a külső- és belső adatvesztések megelőzése érdekében víruskereső és vírusirtó programot használunk. Számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság rendszeresen, illetve indokolt esetben gondoskodik
• Az adatokat megfelelő intézkedésekkel védjük a jogosulatlan hozzáférés,megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
• az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül
A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében biztosítja, hogy a nyilvántartásokban tárolt adatok – törvényben meghatározott kivételekkel – közvetlenül ne legyenek összekapcsolhatók és az Érintetthez rendelhetők.
Amikor a biztonság olyan sérülése következik be, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, adatvédelmi incidensről beszélünk. Adatvédelmi incidens esetén gondoskodunk a felügyelő hatóság értesítéséről, illetve az érintettek megfelelő tájékoztatásáról is.
8/2020 EDPB iránymutatás a honlapokra beágyazott közösségi modulokra:
Amennyiben a honlap-üzemeltető a honlap látogatói számára közösségi modult alkalmaz, úgy a modult biztosító közösségi média-szolgáltatóval közös adatkezelőnek tekinthető. Mivel a közösségi modulok potenciálisan számos különféle adatot lehetnek képesek gyűjteni a honlapok látogatóitól, ezért a Hatóság általános jelleggel akként foglal állást, hogy – mivel a közösségi modul alkalmazása teljességgel a honlap-üzemeltető döntésétől függ, ezért annak alkalmazása esetén – célszerű a honlap-üzemeltetőnek megismernie, hogy pontosan milyen adatok rögzítésével és továbbításával fog együtt járni annak alkalmazása. Ez azért sem tekinthető elkerülhetőnek, mivel az adatok kezelése valójában már a közösségi modulnak a honlap látogatója által használt böngészőben történő telepítésével megkezdődik. Ezzel összefüggésben figyelemmel kell lenni a GDPR 12,13. cikkre is.
5. Melyek a főbb irányadó jogszabályok?
- a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete – (GDPR)
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény – (Info tv.)
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.)
- az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény – (Eker tv.)
- az elektronikus hírközlésről szóló 2003. évi C. törvény – (Ehtv)
Hatályos: 2022.04.11.
Melléklet, Tájékoztatóban alkalmazott definíciók
„személyes adat”:bármely információ, amely az érintettel összefüggésbe hozható, akár közvetlen akár közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó adat.
„adatkezelés”:a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
„adatkezelő”: az a természetes vagy jogi személy, vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg.
„adatfeldolgozó”:az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
„adatvédelmi incidens”:a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
„felügyeleti hatóság”:tagállamban működő közhatalmi szerv, mely az adatvédelmi hatósági feladatokat látja el, Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).
„egészségügyi adat”: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról
A személyes adatok különleges kategóriáinak kezelése: (1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
Az (1) bekezdés nem alkalmazandó abban az esetben, ha: az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez
Melléklet 1