Adatvédelem

Adatkezelési szabályzat

A H2O Sportegyesület Belső Adatkezelési és Adatbiztonsági Szabályzata

1. Preambulum

A személyes adatok védelméhez való jog Magyarország Alaptörvénye VI. cikk (2) bekezdésében rögzítettek szerint alkotmányos alapjog, amelynek az Alkotmánybíróság gyakorlata alapján leglényegesebb követelménye, hogy “mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatkezelés egész útját, vagyis ”

H2O Sportegyesület
Székhely: 1185 Budapest Versec utca 22.
Adószáma: 18234701-1-43
Weboldal: h2ose.hu
Országos azonosító: 0100/60025/1997
Szervezet nyilvántartási száma: 01-02-0007412
Szervezet képviselője: Hámori Zsuzsanna
E-mail cím: [javascript protected email address]
mint adatkezelő (a továbbiakban: Adatkezelő)
eleget tesz ezen alkotmányos követelménynek és valamennyi jogszabályi kötelezettségének. Biztosítja továbbá az elszámoltathatóság alapelvének való megfelelést, a jelen szabályzatban (a továbbiakban: Szabályzat) és mellékleteiben rögzíti az általa végzett adatkezelési tevékenységeket, az adatkezelések feltételeit, célját, jogalapját, az eljárási rendeket, azaz hogy ki és milyen feladatot lát el az adatkezelés során, hogyan történik az adatkezelések megtervezése, az érintettek hogyan gyakorolhatják jogaikat, adatvédelmi incidens esetén mi az eljárási rend, Adatkezelő hogyan biztosítja az adatok biztonságát.

A Szabályzat célja, hogy az abban rögzítetteknek megfelelő eljárási rend alkalmazásával és az adatkezelés alapelveinek betartásával az Adatkezelő biztosítsa az információs önrendelkezési jog érvényesülését, megakadályozza a személyes adatokhoz való jogosulatlan hozzáférést, az adatok megváltoztatását, nyilvánosságra hozatalát, ennek érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.

2. A SZABÁLYZAT HATÁLYA

SZEMÉLYI HATÁLY

A 2018. május 25. napjától az EU területén kötelezően alkalmazandó, az Európai Parlament és a Tanács 2016. április 27-I (EU) 2016/679 rendelet (a továbbiakban: GDPR) 24. cikk (2) bekezdésében foglaltak szerinti belső adatkezelési és adatbiztonsági szabályzata kiterjed a H2O SYNCHRO Sportegyesület (a továbbiakban: Adatkezelő) szervezetére és valamennyi munkatársára, továbbá az érintettekre, akiknek Adatkezelő személyes adatait kezeli.

TÁRGYI HATÁLY

A Szabályzat hatálya kiterjed az Adatkezelő által üzemeltetett h2ose.hu weboldal üzemeltetésére, a weboldalon keresztül elérhető szolgáltatásokra, továbbá az Adatkezelő valamennyi olyan tevékenységére, amelynek során személyes adatokat kezel.

IDŐBELI HATÁLY

A szabályzat 2018. május 25. napján lép hatályba és visszavonásig hatályos

3. ÉRTELMEZŐ RENDELKEZÉSEK

adatvédelem:: a személyes adatok kezelésének szabályozása az érintett önrendelkezési jogának érvényesítése érdekében;
adathordozó:: bármely formában, bármilyen eszköz felhasználásával, bármilyen eljárással előállított, személyes adatot tartalmazó anyag;
adatkezelő megbízottja:: az a sportegyesület aki az adatkezelővel kötött
megbízási/vállalkozási/közvetítői/együttműködési szerződés alapján adatkezelő telephelyein adatkezelő érdekében üzleti tevékenységet végez, amely tevékenység során személyes adatokat kezel;
adatvédelmi incidens:: a biztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
hardver eszköz:: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, vagy másolatok készítésére szolgál, továbbá ami elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja;
hírközlő eszköz:: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas;
érintettek:: azok a természetes személyek - különösen, de nem kizárólagosan az Adatkezelő ügyfelei és munkavállalói - akiknek személyes adatát az Adatkezelő kezeli;

4. A SZABÁLYZAT SZERKESZTÉSE SORÁN ALKALMAZOTT JOGSZABÁLYOK

Magyarország Alaptörvénye (a továbbiakban: Alaptörvény)
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.)
az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Ekertv.)
a Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója a munkahelyi adatkezelések alapvető követelményeiről (a továbbiakban: NAIH tájékoztató)
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR)
2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól (a továbbiakban: Szvtv.)
a Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről (a továbbiakban: NAIH ajánlás)

5. ADATVÉDELMI ALAPELVEK

Adatkezelő már az adatkezelés módjának meghatározásakor, illetőleg végig az adatkezelés során az adatkezelési célnak és az adatkezelés elveinek megfelelően jár el és megteszi a célnak megfelelő technikai és szervezési intézkedéseket és az adatkezelés során szem előtt tartja az adattakarékosság elvét. (beépített és alapértelmezett adatkezelés)

Adatkezelő az egyes adatkezelési célok megvalósulásához szükséges mértékben és ideig és kizárólag olyan személyes adatot kezel, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.

Adatkezelő munkavállalói és megbízottjai a tevékenységük ellátása során személyes adatot kizárólag a vonatkozó jogszabályok rendelkezéseinek megfelelően kezelnek.

Ha az Adatkezelő, a munkavállalója, vagy megbízottja tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy elavult, Adatkezelő köteles eljárni a helyesbítés érdekében.

Adatkezelő biztosítja, hogy az adatkezelés átlátható legyen, azaz az érintett tömör, ugyanakkor közérthető, könnyen hozzáférhető, világosan megfogalmazott

tájékoztatást kapjon személyes adatai kezeléséről.

A SPORTEGYESÜLET ADATVÉDELMI RENDSZERE

Az Adatkezelő elnöke a sportegyesület működésének sajátosságait figyelembe véve határozta meg az adatvédelem szervezetét, a feladat- és hatásköröket. A szabályzatban előírtak betartatásáért a feladatkörében minden érintett önálló szervezeti egység vezetője felelős. A sportegyesület munkavállalói munkavégzésük során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

A sportegyesület adatvédelmi rendszerének felügyeletét az elnök látja el.

Az elnök az adatvédelemmel kapcsolatosan:

felelős az érintettek GDPR-ban és az Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
felelős a sportegyesület által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért;
felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
felügyeli az adatvédelmi tisztviselő tevékenységét;
ellenőrzi az adatvédelmi tárgyú szabályzatok betartását, ennek érdekében vizsgálatot rendelhet el;
vezeti az adatvédelemmel kapcsolatos nyilvántartásokat;
kiadja a sportegyesület adatvédelemmel kapcsolatos szabályzatait;
figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályi változásokat;

Szabályzatok, tájékoztatók

Adatkezelő – az átláthatóság és elszámoltathatóság elvével összhangban –az alább felsorolt szabályzatokat, tájékoztatókat bocsátotta ki:

Belső adatkezelési és adatbiztonsági szabályzat;
Adatkezelési tájékoztató a h2ose.huweboldalon elhelyezve,
Munkaügyi adatkezelési szabályzat;

Adatkezelő informatikus munkatársa gondoskodott arról, hogy az Adatkezelő által üzemeltetett honlapon a nyitó oldalról egy linkre kattintva, egyszerűen elérhető legyen az adatkezelési tájékoztató, biztosítva ezzel az érintettek előzetes tájékoztatását és az átláthatóságot.

Hatásvizsgálat, adatvédelmi tisztviselő

Adatkezelő a jelen szabályzat 1. számú mellékletében foglalt felmérés alapján megállapította, hogy adatkezelési tevékenysége vonatkozásában a GDPR 35. cikkében részletezett adatvédelmi hatásvizsgálat lefolytatása nem szükséges.

Adatkezelő a GDPR 37. cikke alapján adatvédelmi tisztviselő kijelölésére nem köteles.

Adatfeldolgozók

Adatkezelő az adatkezelési tevékenysége ellátása során az alábbi adatfeldolgozót veszi igénybe:

Németh-Ráncsik Krisztina e. v. – könyvelő
(hozzáférés a könyvelés során kezelt személyes adatokhoz)
székhely: 2600 Vác, Naphegy utca 12.
adószám: 67735572-1-13
e-mail: [javascript protected email address]
Tel: 06202759776
Adatkezelő elnöke felülvizsgálta és a GDPR rendelkezéseinek megfelelően kiegészítette és módosította az adatfeldolgozókkal kötött szerződéseket, amelyek kitérnek arra, hogy amennyiben az adatfeldolgozó adatvédelmi incidensről szerez tudomást, arról haladéktalanul köteles adatkezelőt értesíteni, a GDPR 33. cikkében rögzítetteknek megfelelően.

Adatbiztonsági intézkedések

A GDPR 32. cikkében foglalt előírásoknak megfelelően Adatkezelő garantálja az általa

végzett adatkezelés jellegének, hatókörének, körülményeinek és céljainak

megfelelő adatbiztonságot, azaz:

a bizalmasságot, amelynek értelmében kizárólag az arra jogosultak ismerhetik meg a személyes adatokat;
a sértetlenséget/integritást, vagyis az személyes adatok az adatkezelés teljes időtartama alatt az eredeti állapotnak megfelelnek;
a rendelkezésre állást, vagyis az adatok az adatkezelés teljes folyamata során rendelkezésre állnak, amikor rájuk szükség van.

Adatkezelő az információbiztonsági intézkedésekkel megteremti a kezelt személyes adatok

fizikai;
adminisztratív kontrollját.
logikai és

Fizikai kontroll:

A tagokkal, partnerekkel kötött szerződések és a munkaügyi személyi anyagok kinyomtatva, lefűzve egy-egy zárható szekrényben kerültek elhelyezésre.
A sportegyesület adatkezelést végző munkatársai a nap folyamán kizárólag úgy hagyhatják el azt a helyiséget, ahol az adatkezelés zajlik, hogy a rá bízott adathordozókat elzárják, a számítógépeiket jelszóval zárolják, vagy az irodát bezárják.
Adatkezelő szervere az irodában egy elzárt szobában található, amelynek kulcsával kizárólag az elnök rendelkezik.
A szerződésekhez elnök és az adminisztrációs munkakörben foglalkoztatott munkavállalók, a személyi anyagokhoz az elnök és a hozzáféréssel, azokat más személyek nem ismerhetik meg, nem férhetnek hozzá.
Amennyiben a papír alapon tárolt személyes adat kezelésének célja megvalósult, az Adatkezelő intézkedik a papír megsemmisítéséről.

Informatikai védelem (mint a fizikai kontroll része):

Az adatkezelés során használt számítógépek az Adatkezelő tulajdonát képezik;
A hálózati kiszolgáló gépen tárolt adatokhoz kizárólag Adatkezelő vagy az elnök által erre írásban kijelölt személyek férhetnek hozzá;
A hálózaton tárolt adatok biztonsága érdekében a szerverek esetén magas rendelkezésre állású infrastruktúrán történő mentésekkel és archiválással kerüli el az Adatkezelő az adatvesztést;
A lementett adatokat tároló mágneses adathordozó az erre a célra kialakított páncéldobozban tűzbiztos helyen és módon tárolt;
Adatkezelő a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza az illetéktelen személyek hálózati hozzáférését;
A számítógépeken található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – minimum felhasználónévvel és jelszóval – lehet hozzáférni, a jelszavak időszakonkénti cseréjéről a felhasználó gondoskodik;
Amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájlt visszaállíthatatlanul törölni kel, az adat útja vissza nem nyerhető;
A teljes szerver összes anyaga vonatkozásában napi mentést végez, a mentés mágneses adathordozóra történik;
Adatkezelő a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
Adatkezelő a szerver(eke)t külön erre a célra kialakított, zárható helyiségben helyezi el, amelybe belépési engedéllyel kizárólag az IT munkatárs, valamint az elnök és az általa erre írásban felhatalmazott személy rendelkezik;

Adminisztratív kontroll:

Adatkezelő a jelen szabályzat, a munkaügyi adatkezelési szabályzat és az adatvédelmi tájékoztatók megalkotásával kialakította azokat az eljárási szabályokat, amelyek biztosítják a jogszabályi rendelkezések érvényre juttatását. Felülvizsgálta és kiegészítette továbbá az adatfeldolgozási szerződéseket, és munkavállalói oktatásával is biztosítja az adminisztratív kontrollt.

Logikai kontroll

A természetes személyek személyes adatai egymástól elkülönítetten kezelt, megfelelő IT biztonsági intézkedésekkel védett adatbázisban találhatók, amelyekhez kizárólag az elnök és az IT munkatárs rendelkezik hozzáféréssel.

7. AZ EGYES ADATKEZELÉSI TEVÉKENYSÉGEK ÉS AZOK NYILVÁNTARTÁSA

Adatkezelő az általa kezelt adatvagyon felmérést követően – a GDPR. 30. cikkében foglaltaknak megfelelően – adatkezelési célonként nyilvántartási rendszert vezet, amelyben meghatározza az adatkezelés célját, jogalapját, az adatkezeléssel érintetteket és a kezelt adatok körét, továbbá az adatkezelés időtartamát, és az esetleges címzetteket.