Adatvédelmi irányelvek – Jászfényszaru település KEHOP

ADATKEZELÉSI TÁJÉKOZTATÓ
Jászfényszaru Város Önkormányzata

Az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendelete (a továbbiakban: GDPR) európai szinten szabályozza a magánszemélyek személyes adatainak kezelését és védelmét. A GDPR 2018. május 25. napjától teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban. A GDPR fogalommeghatározása értelmében Jászfényszaru Város Önkormányzata (a továbbiakban: Önkormányzat) is adatkezelőnek, bizonyos esetekben adatfeldolgozónak minősül, így szükséges betartania az uniós adatvédelmi reform szabályait. Fentiek alapján az Önkormányzat gondoskodik a természetes személyek személyes adatainak védelméről, mely során minden szükséges intézkedést megtesz annak érdekében, hogy az adatok kezelése a GDPR, valamint a mindenkor hatályos, adatvédelmi tárgyú jogszabályok által megfogalmazott követelményeknek megfelelően történjen az alábbiak szerint:

I. Az adatkezelő megnevezése
Jászfényszaru Város Önkormányzata
– Székhely: 5126 Jászfényszaru, Szabadság tér 1.
– E-mail: onkormanyzat@jaszfenyszaru.hu
– Telefon: +36 (57) 520-101
– Honlap: www.jaszfenyszaru.hu

II. Az adatkezelés alapjául szolgáló jogszabályok
– az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR rendelet)
– az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
– a Polgári Törvénykönyvről szóló 2013. évi V. törvény
– a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény
– az elektronikus hírközlésről szóló 2003. évi C. törvény
– az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény
– a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény
– a Munka Törvénykönyvéről szóló 2012. évi I. törvény
– a köztisztviselőkről szóló 2011. évi CXCIX. törvény
– a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény
– a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet
– egyéb ágazati jogszabályok

III. Fogalommeghatározások – GDPR 4. cikk
– „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
– „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
– „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
– „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
– „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

IV. A személyes adatok kezelésére vonatkozó elvek – GDPR 5. cikk
– jogszerűség, tisztességes eljárás és átláthatóság
– célhoz kötöttség
– adattakarékosság
– pontosság
– korlátozott tárolhatóság
– integritás és bizalmas jelleg
– elszámoltathatóság

V. Az adatkezelés jogszerűsége – GDPR 6. cikk
Az Önkormányzat esetében a személyes adatok kezelésének jogalapja az ellátandó feladatok függvényében változik. Ennek megfelelően az Önkormányzat a személyes adatok kezelését jogszerűen végzi a következő szerint:
– az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
– az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
– az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
– az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
– az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
– az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

VI. Az adatkezelés
1. Az adatkezelés célja, időtartama, a kezelt adatok köre
Az Önkormányzat a természetes személyek személyes adatait, illetve a különleges kategóriába tartozó személyes adatait az V. pontban megjelölt valamely jogalap megléte esetén, kizárólag a meghatározott cél megvalósulásához szükséges mértékben kezeli. A személyes adatok az irattározásra vonatkozó jogszabályok és belső szabályzatok szerinti, ügy tárgyától függő időpontig kerülnek megőrzésre, mely lehet az ügy iratainak selejtezése vagy levéltári őrizetbe adása. A közhitelű hatósági nyilvántartásokban szereplő személyes adatok a nyilvántartás vezetésére vonatkozó jogszabályi előírások szerint kerülnek megőrzésre.

2. Az adatokhoz való hozzáférés és az adatbiztonsági intézkedések
Az adatkezelés időtartama alatt a személyes adatokat az Önkormányzat, mint adatkezelő és az általa esetlegesen megbízott adatfeldolgozó köztisztviselői, ügykezelői és munkatársai feladatuk ellátásához szükséges ideig és mértékben ismerhetik meg. Az Önkormányzat megfelelő intézkedésekkel gondoskodik arról, hogy az általa kezelt személyes adatokat megóvja többek között a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisítés, véletlen megsemmisülés, sérülés valamint a hozzáférhetetlenné válás lehetőségétől.
Az Önkormányzat a beépített és alapértelmezett adatvédelem elvének megfelelően a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan technikai és szervezési intézkedéseket hajt végre, melyek garantálják az adatbiztonság megfelelő szintjét.

VII. Az érintett jogai – GDPR III. fejezet
A GDPR 12. cikk (1) bekezdésében meghatározott tájékoztatási kötelezettség alapján az Önkormányzat az azonosított vagy azonosítható természetes személyek („érintett”) jogaival kapcsolatban az alábbi tájékoztatást nyújtja.

Az érintettet megillető jogok:
1. Az információk rendelkezésre bocsátásához való jog – GDPR 13. és 14. cikk
A személyes adatok megszerzésének időpontjában rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik, illetve ha a személyes adatokat nem az érintettől szerezték meg:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
e) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

Az előbbiekben ismertetett információk mellett az adatkezelő az érintettet a következő kiegészítő információkról is tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
d) az automatizált döntéshozatali tényről, ideértve a profilalkotást is.
Amennyiben a személyes adatokat az érintettől szerezte be az adatkezelő, úgy a fentieken túlmenően arról is szükséges tájékoztatnia az ügyfelet, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.

Amennyiben a személyes adatokat nem az érintettől szerezte meg az adatkezelő, úgy a fentieken túl, az érintett rendelkezésére szükséges bocsátani az érintett személyes adatok kategóriáit is, valamint tájékoztatni szükséges az érintettet a személyes adatok forrásáról és adott esetben arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.

2. Hozzáférési jog – 15. cikk
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.
Az adatkezelő a fentiekkel összefüggésben az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. Mindez azonban nem érintheti hátrányosan mások jogait és szabadságait.

3. A helyesbítéshez való jog – 16. cikk
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

4. A törléshez való jog – 17. cikk
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés jogalapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett tiltakozik az adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.

5. Az adatkezelés korlátozásához való jog – 18. cikk
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha
a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

6. Az adathordozhatósághoz való jog – 20. cikk
Az érintett jogosult arra, hogy a rá vonatkozó, általa az adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, ha az adatkezelés hozzájáruláson vagy szerződésen alapul és az adatkezelés automatizált módon történik.

7. A tiltakozáshoz való jog – 21. cikk
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, ideértve a profilalkotást is. Ebben az esetben a hatóság a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Ezen jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni a figyelmet, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

8. Automatizált adatkezelés – 22. cikk
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely őt jelentős mértékben érintené.

9. Hozzájárulás visszavonása – 7. cikk
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni az érintett számára, mint annak megadását. Az Önkormányzat a fentiek kapcsán fennálló, érintett részére szóló – hozzájárulás megadása előtti – tájékoztatási kötelezettségének a jelen tájékoztatóban foglaltak szerint eleget tesz.

VIII. Eljárási szabályok
Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri. Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. Az adatkezelő a kért információkat, tájékoztatást és intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre észszerű díjat számolhat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. Az adatkezelő minden olyan címzettet tájékoztat az általa végzett valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről. Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információk elektronikus formátumban kerülnek rendelkezésre bocsátásra, kivéve, ha az érintett másként kéri.

IX. Jogorvoslat
Minden érintett jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a rendeletet. Emellett minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

A felügyeleti hatóság elérhetősége:
Nemzeti Adatvédelmi és Információszabadság Hatóság
(1024 Budapest, Szilágyi Erzsébet fasor 22/C.)
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatai rendeletnek nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az adatkezelő székhelye vagy az érintett lakóhelye/tartózkodási helye szerinti törvényszék előtt is megindítható.

X. Felelősség, kártérítés
Minden olyan személy, aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől kártérítésre jogosult. Az adatkezelő, illetve az adatfeldolgozó csak abban az esetben mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség. Ha több adatkezelő vagy több adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

XI. Adatvédelmi tisztviselő
Amennyiben az Önkormányzat adatkezelésével kapcsolatban kérdése, problémája, észrevétele van, kérjük, forduljon bizalommal az adatkezelő kijelölt adatvédelmi tisztviselőjéhez az alábbi elérhetőségek valamelyikén:
– Név: Réz Bertold
– E-mail: rez.bertold@jaszfenyszaru.hu
– Telefon: +36 (57) 520-136