Adatvédelmi és Adatbiztonsági Szabályzat
A Magyar Diáksport Szövetség
ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII.
törvényben és az Európai Unió Általános Adatvédelmi Rendeletében (Az Európai Parlament és
a Tanács (EU) 2016/679 rendelete, a továbbiakban: GDPR) foglaltaknak megfelelően, a
személyes adatok védelméhez fűződő információs önrendelkezési jog, mint Alaptörvényben
meghatározott alapvető jog érvényesülésének biztosítására – Alapszabályban biztosított
jogkörében eljárva – az Elnökség a Magyar Diáksport Szövetség Adatvédelmi és
Adatbiztonsági Szabályzatát az alábbiak szerint állapítja meg.
I. Fejezet
Általános rendelkezések
1. A Szabályzat célja
1. § A Magyar Diáksport Szövetség (a továbbiakban: MDSZ) Adatvédelmi és Adatbiztonsági
Szabályzatának (a továbbiakban: Szabályzat) célja, az MDSZ tevékenysége során a személyes
adatok védelméhez fűződő információs önrendelkezési jog, mint Magyarország
Alaptörvényében (a továbbiakban: Alaptörvény) meghatározott alapvető jog
érvényesülésének biztosítása, illetve az MDSZ által kezelt személyes és különleges adatok
jogosulatlan felhasználásának megakadályozása érdekében a személyes és különleges adatok
kezelése során irányadó adatvédelmi és adatbiztonsági előírások meghatározása.
2. A Szabályzat hatálya
2. § (1) A Szabályzat hatálya kiterjed az MDSZ minden személyes adatot érintő
adatkezelésére, valamennyi szervezeti egységére, a regionális irodákra, valamint az MDSZ
valamennyi munkatársára (függetlenül a foglalkoztatási jogviszony jogi jellegétől).
(2) A Szabályzat hatálya kiterjed továbbá az MDSZ-szel szerződéses kapcsolatban álló
valamennyi természetes és jogi személyre, valamint jogi személyiség nélküli szervezetre
(beleértve ezen szervezetek alkalmazottait is). Biztosítani kell, hogy a jelen bekezdés körébe
tartozó szervezetek, valamint személyek a Szabályzatot a szükséges mértékben megismerjék,
a velük kötött polgári jogi szerződésnek erre vonatkozóan utalást kell tartalmaznia.
3. § (1) A közérdekű, valamint a közérdekből nyilvános adatok megismerésére irányuló
igények teljesítésének rendjére az Info tv. és a GDPR rendelkezései irányadók.
(2) Amennyiben a közérdekű, valamint a közérdekből nyilvános adatok megismerésére
irányuló igények teljesítése során személyes adatok kezelése (így különösen gyűjtése,
felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése,
továbbítása, nyilvánosságra hozatala stb.) válna szükségessé, úgy – a személyes adatok
kezelését illetően – a jelen Szabályzat rendelkezései az irányadóak.
4. § A jelen szabályzat tárgyi hatálya kiterjed az MDSZ tevékenysége során keletkező
valamennyi iratban található személyes adatok védelmére illetve kezelésére.
3. A Szabályzat elkészítése, módosítása, valamint érvényesítése
5. § (1) A Szabályzat elkészítése és szükség szerinti módosítása a Jogi Osztály vezetőjének
feladatkörébe tartozik.
(2) A Szabályzatban előírtak betartatásáért hatás- és jogosultsági körében minden érintett
önálló szervezeti egység vezetője felelős.
(3) Az MDSZ dolgozói feladataik ellátása közben személyes adatot csak a vonatkozó
jogszabályok és belső szabályzatok előírásainak figyelembevételével, az adatvédelemre
vonatkozó alapelvek tiszteletben tartásával kezelhetnek. Ez a kötelezettség megfelelően
vonatkozik az MDSZ megbízásából adatfeldolgozói tevékenységet végző természetes vagy
jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre, amit az
adatfeldolgozóval kötött írásbeli szerződésben kifejezésre kell juttatni és ennek
figyelembevételével kell kialakítani a szerződés feltételeit.
4. Értelmező rendelkezések
6. § E Szabályzat alkalmazása során:
1. információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok
védelméhez való jognak azon tartalma, mely szerint mindenki maga rendelkezik személyes
adatainak feltárásáról és felhasználásáról;
2. adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az
érintett információs önrendelkezési jogának érvényesítése érdekében;
3. érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül
vagy közvetve – azonosítható természetes személy;
4. személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve,
azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy
szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre
vonatkozó következtetés;
5. különleges adat:
a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a
vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a
szexuális életre vonatkozó személyes adat,
b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi
személyes adat;
6. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban
meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és
tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a
személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ
vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így
különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak
eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó
jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
7. egészségügyi adat: az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére,
valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, általa
vagy róla más személy által közölt, illetve az egészségügyi ellátóhálózat által észlelt, vizsgált,
mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat
befolyásoló mindennemű adat (pl. magatartás, környezet, foglalkozás)
8. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat,
amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény
közérdekből elrendeli;
9. hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő
tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó
személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez;
10. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és
az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
11. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem
rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének
célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket
meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;
12. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet
vagy a műveletek összessége, így különösen az adatok gyűjtése, felvétele, rögzítése,
rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása,
nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és
megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-,
hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők
(pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
13. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé
tétele;
14. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
15. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése,
függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az
alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;
16. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem
rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a
jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi;
17. adatállomány: az egy nyilvántartásban kezelt adatok összessége;
18. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem
rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az
adatfeldolgozóval;
19. minősített adat:
a) nemzeti minősített adat: a minősítéssel védhető közérdekek körébe tartozó, a minősítési
jelölést a minősített adatok védelméről szóló 2009. évi CLV. törvényben, valamint ezen
törvény felhatalmazása alapján kiadott jogszabályokban meghatározott formai
követelményeknek megfelelően tartalmazó olyan adat, amelyről – a megjelenési formájától
függetlenül – a minősítő a minősítési eljárás során megállapította, hogy az érvényességi időn
belüli nyilvánosságra hozatala, jogosulatlan megszerzése, módosítása vagy felhasználása,
illetéktelen személy részére hozzáférhetővé, valamint az arra jogosult részére
hozzáférhetetlenné tétele a minősítéssel védhető közérdekek közül bármelyiket közvetlenül
sérti vagy veszélyezteti (a továbbiakban együtt: károsítja), és tartalmára tekintettel annak
nyilvánosságát és megismerhetőségét a minősítés keretében korlátozza;
b) külföldi minősített adat: az Európai Unió valamennyi intézménye és szerve, továbbá az
Európai Unió képviseletében eljáró tagállam, a külföldi részes fél vagy nemzetközi szervezet
által készített és törvényben kihirdetett nemzetközi szerződés vagy megállapodás alapján
átadott olyan adat, amelyhez történő hozzáférést az Európai Unió intézményei és szervei, az
Európai Unió képviseletében eljáró tagállam, más állam vagy külföldi részes fél, illetve
nemzetközi szervezet minősítés keretében korlátozza.
20. NETFIT®: Nemzeti Egységes Tanulói Fittségi Teszt; a nevelési-oktatási intézmények
működéséről és a köznevelési intézmények névhasználatáról szóló 20/2012. EMMI rendelet
(a továbbiakban: Rendelet) 81. §-ában foglalt jogszabályi felhatalmazás alapján az MDSZ
által működtetett, a tanulók fizikai fittségi mérésének adatait rögzítő, informatikai alapú
diagnosztikus értékelő rendszer.
II. Fejezet
Az adatkezelés alapelvei
7. § (1) A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben
biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát.
Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag
törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben
tartása érdekében az MDSZ alkalmazottjai személyes adatot csak a törvényben írt esetekben,
illetve akkor kezelhetnek, ha ahhoz az érintett kifejezetten – különleges adat esetén írásban –
hozzájárult.
(2) Az MDSZ által, illetve annak munkaszervezetében – a cél megvalósulásához szükséges
mértékben és ideig – csak olyan személyes és különleges adat kezelhető, amely az adatkezelés
céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
(3) Az MDSZ alkalmazottai és külső megbízottjai a feladataik ellátása körében személyes és
különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
(4) Személyes adat kezelésére csak az MDSZ jogszabályban meghatározott feladat- és
hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése
érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást
adó törvényben meghatározott célból valósulhat meg adatkezelés. Az MDSZ által kezelt –
vagy az MDSZ feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott –
személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell
felelnie a célhoz kötöttség alapelvének.
(5) Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az
adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak
az adatkezelés céljához szükséges ideig lehessen azonosítani.
(6) A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata
az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő
rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
(7) Az MDSZ adatkezelést végző alkalmazottja a vonatkozó jogszabályokban rögzített
fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és
hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért.
(8) Kiskorú érintett személyes adatainak kezelésére vonatkozó hozzájáruló nyilatkozat, illetve
minden egyéb jognyilatkozat érvényességéhez az érintett törvényes képviselőjének
jóváhagyása szükséges.
(9) Egészségügyi adatot az MDSZ az egészségügyi és a hozzájuk kapcsolódó személyes
adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényben meghatározott célból, az
ott meghatározott esetekben, illetve a jogosult – megfelelő tájékoztatáson alapuló – írásbeli
hozzájárulása esetén kezelhet. A hozzájáruló nyilatkozatban a tájékoztatás lényeges tartalmára
kifejezetten ki kell térni.
III. Fejezet
Az MDSZ adatvédelmi intézményrendszere
5. Az MDSZ Ügyvezető Igazgatója
8. § (1) Az adatvédelmi előírások alkalmazása szempontjából az MDSZ mint adatkezelő szerv
vezetőjének az MDSZ Ügyvezető Igazgatóját kell tekinteni.
(2) Az MDSZ Ügyvezető Igazgatója
a) felelős az MDSZ adatkezelésének jogszerűségéért,
b) gondoskodik az adatkezelés személyi és tárgyi feltételeinek biztosításáról,
c) az MDSZ, mint adatkezelő szerv tekintetében meghozza az adatkezelésre vonatkozó
döntéseket.
6. Szervezeti egységek vezetői
9. § (1) A szervezeti egységek vezetői (beleértve a regionális irodavezetőket) felelősek az
irányításuk alá tartozó munkatársak adatkezelésének jogszerűségéért, valamint a
Szabályzatban foglaltak betartásáért, illetve betartatásáért.
7. Adatvédelemért felelős szervezeti egység
10. § (1) Az MDSZ adatvédelemért felelős szervezeti egysége a Jogi Osztály.
(2) Az adatvédelemért felelős szervezeti egység:
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések
meghozatalában, valamint az érintettek jogainak biztosításában;
b) ellenőrzi az Info. tv., a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a
jelen Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
c) kivizsgálja az MDSZ részére érkezett, jogosulatlan adatkezeléssel kapcsolatos
bejelentéseket;
d) jogosulatlan adatkezelés észlelése esetén – az MDSZ ügyvezető igazgatójának értesítése
mellett – felszólítja az adatkezelőt vagy az adatfeldolgozót a jogsértés megszüntetésére;
e) elkészíti és folyamatosan karbantartja a jelen Szabályzatot;
f) közreműködik az adatvédelmi ismeretek oktatásában;
g) jogi segítséget nyújt az MDSZ-hez érkező közérdekű adatigénylések megválaszolásában,
kontrollálja az adatigénylések MDSZ részéről történő teljesítését;
h) véleményezi az MDSZ adatvédelmet, adatbiztonságot érintő belső szabályzatait;
i) figyelemmel kíséri az adatvédelemmel, adatbiztonsággal összefüggő jogszabályokat,
tájékoztatást, felvilágosítást ad, illetve adott esetben konzultációt tart a jogszabályok helyes
alkalmazása céljából;
j) egyedi ügyekben kidolgozott állásfoglalásával segíti az adatvédelmi tevékenységet;
k) az adatvédelmi előírások megsértésének észlelése esetén intézkedést tesz annak
megszüntetésére, tájékoztatja erről az MDSZ ügyvezető igazgatóját, indokolt esetben
kezdeményezi a felelősségre vonási eljárás lefolytatását.
(3) Az adatvédelemért felelős szervezeti egység a feladatai ellátása során az adatkezelést
végző szervezeti egységtől minden olyan kérdésben felvilágosítást kérhet, az összes olyan
iratba, nyilvántartásba betekinthet, illetve iratról másolatot kérhet, adatkezelést megismerhet,
amely személyes adatokkal vagy közérdekű (közérdekből nyilvános) adatokkal összefügghet.
(4) Az MDSZ szervezeti egységei kötelesek az adatvédelemért felelős szervezeti egység
megkeresésére az adatvédelemmel kapcsolatban szükséges intézkedéseket megtenni, és a
megtett intézkedésekről az adatvédelemért felelős szervezeti egységet tájékoztatni.
(5) Az MDSZ adatkezelésével kapcsolatos adatvédelmi kérdés, illetőleg panasz esetén az
érintettek (beleértve az alkalmazottakat és külső munkavállalókat is) közvetlenül
megkereshetik az adatvédelemért felelős szervezeti egységet.
(6) Az adatvédelemért felelős szervezeti egység az MDSZ ügyvezető igazgatójának közvetlen
alárendeltségében látja el feladatait, adatvédelmi feladatkörében eljárva kizárólag az MDSZ
ügyvezető igazgatója utasíthatja, kizárólag felé tartozik beszámolási kötelezettséggel.
IV. Fejezet
Az MDSZ adatkezelési tevékenysége
8. Jogszabályi felhatalmazáson alapuló adatkezelés,
NETFIT® mérési adatok kezelése
11. § (1) A nevelési-oktatási intézmények működéséről és a köznevelési intézmények
névhasználatáról szóló 20/2012. EMMI rendelet (a továbbiakban: Rendelet) 81. §-ában
foglalt rendelkezéseknek megfelelően az MDSZ az általa működtetett NETFIT® rendszerben
rögzíti és kezeli a tanulók – fent hivatkozott jogszabály alapján kötelezően elvégzendő –
fizikai fittségi mérésének adatait. Ezen adatkezelési tevékenység, amely a fent hivatkozott
jogszabályi rendelkezés értelmében kötelező, alapesetben egyedi azonosításra alkalmatlan
módon történik, ennek megfelelően nem esik az Info. tv. személyes adatok kezelésére
vonatkozó szabályozásának, illetve a GDPR hatálya alá.
(2) Az MDSZ az (1) bekezdésben hivatkozott jogszabályban rögzített, hatáskörébe tartozó
feladatok végrehajtása keretében, a NETFIT® rendszerben végrehajtott mérések során az
érintettre vonatkozóan keletkezett, alábbiakban meghatározott adatokat (a továbbiakban
együtt: mérési adat) kezeli:
a) testtömeg;
b) testmagasság;
c) BMI index;
d) testzsírszázalék;
d) aerob kapacitásra és vázizomzat fittségére vonatkozó mérések és tesztek eredményei.
(3) A (2) bekezdésben megjelölt adatok anonim módon történő rögzítésére és kezelésére való
tekintettel azok mindaddig nem minősülnek személyes (különleges) adatnak, amíg kezelésük
módja biztosítja azt, hogy az adatok az érintettel nem összekapcsolhatók, egyedi azonosítására
nem alkalmasak.
(4) Amennyiben jogszabály lehetővé teszi az MDSZ és más szerv között az adat átadását,
illetve a nyilvántartásokból az adat átvételét, az adatszolgáltatást elektronikus úton is lehet
teljesíteni.
(5) Az MDSZ a mérési adatot külön erre vonatkozó jogszabályi felhatalmazás nélkül
harmadik személy részére nem adhatja át és nem hozhatja nyilvánosságra.
9. Jogszabályi felhatalmazás nélküli adatkezelés
12. § (1) Amennyiben a NETFIT® rendszerben végrehajtott mérések során az érintettre
vonatkozóan keletkezett adatok az MDSZ személyhez kötötten, egyedi azonosításra alkalmas
módon kezeli, úgy – erre vonatkozó jogszabályi felhatalmazás hiányában – a következők
szerint jogosult. Az MDSZ a NETFIT® rendszerben szereplő adatokat vonatkozó jogi
kötelezettsége teljesítése érdekében kezeli, tekintettel arra, hogy az MDSZ az Emberi
Erőforrások Minisztériuma (a továbbiakban: EMMI) felé fennálló kötelezettségét teljesíti a
NETFIT® rendszer működtetésével. Tekintettel a fentiekre, az MDSZ-nek az adatkezeléshez
jogos érdeke fűződik. Ezen okból az adatok kezelése során az MDSZ az EMMI
adatfeldolgozójának minősül.
Fentieken túl az adatkezeléshez az MDSZ az érintettek megfelelő tájékoztatásán alapuló,
önkéntes és határozott – különleges adat esetén írásbeli – hozzájárulását is beszerzi. A
hozzájáruló nyilatkozatban az érintett félreérthetetlen beleegyezését adja a megfelelő
személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás
megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére.
(2) A hozzájárulás szövegének legalább az alábbiakat kell tartalmaznia:
a) arra vonatkozó utalást, hogy az érintett a személyes adatai kezelésével kapcsolatos
minden tényre – így különösen az adatkezelés céljára, jogalapjára, az adatkezelésre és
az adatfeldolgozásra jogosult személyekre, az adatkezelés időtartamára, az adatok
megismerésére jogosultak körére, továbbá az érintett adatkezeléssel kapcsolatos
jogaira és jogorvoslati lehetőségeire – kiterjedő tájékoztatást kapott;
b) utalást arra, hogy az érintett az a) pont szerinti tájékoztatást követően önként
hozzájárul az általa közölt személyes adatai kezeléséhez.
(3) A kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez a
törvényes képviselő hozzájáruló nyilatkozata is szükséges.
(4) A jelen §-ban hivatkozott hozzájáruló nyilatkozat a Szabályzat 1. számú mellékletét
képezi.
13. § (1) Az érintett illetve törvényes képviselője által az MDSZ rendelkezésére bocsátott
személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. A hozzájárulást – a
későbbi igazolhatósága érdekében – különleges adatnak nem minősülő személyes adatok
esetén is – amennyiben arra lehetőség van – célszerű írásban rögzíteni.
(2) Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
(3) Az MDSZ megbízásából adatrögzítési, adatfeldolgozói feladatot ellátó természetes, illetve
jogi személyek, jogi személyiség nélküli szervezetek az MDSZ-szel kötött szerződés
mellékleteként külön íven szerkesztett adatvédelmi nyilatkozatot kötelesek tenni, amely a
jelen Szabályzat 2. számú mellékletét képezi.
10. Pedagógus-továbbképzésekhez kapcsolódó adatkezelés
14. § (1) Az MDSZ a TÁMOP-3.1.13-12-2013-0001 és az EFOP-3.2.10-16-2016-0001
azonosítószámú projektjei – amelyek az Európai Szociális Alap és a magyar állam
társfinanszírozásával valósulnak meg – keretében pedagógus-továbbképzési rendszert
működtet, amely gyakorlati-módszertani támogatást nyújt a pedagógusok számára, nyomtatott
és audiovizuális kiadványok, illetve akkreditált továbbképzések formájában.
(2) A pedagógus-továbbképzési rendszer működtetése során az MDSZ a résztvevő
pedagógusok által megadott személyes adatokat a képzés lefolytatása, illetve a képzés
elvégzésének igazolása, dokumentálása érdekében kezeli.
15. § (1) A továbbképzési rendszerben az MDSZ az érintettek következő adatait kezeli: OM
azonosító; családnév; utónév; születési név; nem; születési ország; születési hely; születési
idő; email; anyja neve; végzettség; telefonszám; intézmény, ahol tanít; vizsgajelentkezés;
vizsgaeredmények; vizsga kérdéssorra adott válaszok.
(2) Az adatkezelés jogalapja: az érintettek hozzájárulása, az MDSZ és a képzésben résztvevők
között elektronikus úton létrejövő képzési szerződésben foglaltak szerint.
(3) Az adatok forrása közvetlenül az érintett pedagógus.
(4) Az adatkezelés célja az akkreditált pedagógusképzés lebonyolítása és a képzés
eredményének igazolása, dokumentálása, valamint a sportág köznevelési intézményekben
történő meghonosítása, utánpótlásnevelésének fejlesztése.
(5) A megadott adatok alapján kerül sor az érintett pedagógus azonosítására, a képzésre, majd a
vizsga a lefolytatására. Az adatok továbbá felhasználásra kerülnek a képzés teljesítését igazoló
tanúsítvány kiállításánál.
(6) Az adatok tárolásának helye: 1108 Budapest, Kozma u. 2. (Invitech Datacenter) és 1101
Budapest, Expo tér 5-7. (DoclerWeb).
(7) Az adatok azonosítható formában nem kerülnek továbbításra – eltekintve az
„Adattovábbítás, adatigénylés” fejezetben leírtaktól, valamint a sportág köznevelési
intézményekben történő meghonosítása, utánpótlásnevelésének fejlesztése érdekében az
érintett sportági szakszövetség részére történő adattovábbítástól.
(8) Az adatok megőrzésének határideje: 2027. december 31.
11. Az MDSZ Iskolai Sportfesztiválokhoz kapcsolódó adatkezelés
16. § (1) Az MDSZ az EFOP-3.2.10-16-2016-0001 azonosítószámú projektje – amely az
Európai Szociális Alap és a magyar állam társfinanszírozásával valósul meg – keretében
Iskolai Sportfesztiválokat szervez a köznevelési intézményekben tanuló diákok részére.
(2) A Sportfesztiválok szervezése során a résztvevő tanulók személyes adatait az MDSZ az
általa működtetett Iskolai sport online monitoring és nevezési rendszerben a Sportfesztiválok
megszervezése, illetve ennek igazolása, dokumentálása érdekében kezeli.
17. § (1) A Sportfesztiválok tekintetében az MDSZ az érintettek következő adatait kezeli:
családnév; utónév; születési név; nem; születési hely; születési idő; anyja neve; OM
azonosító.
(2) Az adatkezelés jogalapja: az érintettek hozzájárulása (kiskorú esetén a törvényes képviselő
jóváhagyásával).
(3) Az adatok forrása közvetlenül az érintett tanuló.
(4) Az adatkezelés célja a Sportfesztiválok megszervezése, illetve ennek igazolása,
dokumentálása.
(5) A megadott adatok alapján kerül sor az érintett tanuló Iskolai Sportfesztiválra történő
regisztrálására.
(6) Az adatok tárolásának helye: 1108 Budapest, Kozma u. 2. (Invitech Datacenter) és 1101
Budapest, Expo tér 5-7. (DoclerWeb).
(7) Az adatok azonosítható formában nem kerülnek továbbításra – eltekintve az
„Adattovábbítás, adatigénylés” fejezetben leírtaktól.
(8) Az adatok megőrzésének határideje: 2027. december 31.
12. Adattovábbítás, adatigénylés
18. § (1) Az MDSZ által a NETFIT® rendszerben kezelt, és a személyes adatokból adatot
továbbítani az érintett beleegyezésének hiányában csak jogszabályban meghatározott szerv
vagy személy részére, jogszabályban meghatározott körben lehet, a célhoz kötöttség elvének
maradéktalan érvényesítésével. Ezen túlmenően adatok továbbítására kizárólag összesített
(aggregált) adatként, illetőleg egyedi azonosításra alkalmatlan módon kerül sor.
(2) Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes
adat birtokában lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás
címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett hozzájárulásával
rendelkezik az adat kezeléséhez, és az adatkérés célja mindezzel összhangban van. Az
adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes
követelménye.
(3) Az adattovábbítás feltételeinek meglétét az adatot továbbító szervezeti egység minden
egyes személyes adattal összefüggésben ellenőrizni köteles. Amennyiben az adatkéréssel
kapcsolatban adatvédelmi aggályok merülnek fel (pl. az adatigénylés célját, jogalapját, a
bekért adatok körét, kiadhatóságát illetően) az adatvédelemért felelős szervezeti egység
állásfoglalását kell kérni.
(4) Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza:
a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos
megjelölését);
b) a kért adatok körének pontos meghatározását.
(5) Amennyiben az adatigénylésből pontosan nem állapítható meg a kért adatok köre, úgy az
adatigénylőt fel kell hívni az adatkérés pontosítására.
(6) Személyes adatok külföldre történő továbbítása esetén az Info. tv. 8. §-ában
meghatározottak szerint kell eljárni. Az EGT-államba irányuló adattovábbítást úgy kell
tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
13. Adatfeldolgozás
19. (1) Az MDSZ megbízásából adatfeldolgozói szerződés alapján adatfeldolgozást végző
szervezetek:
• Combit Zrt. (székhelye: 1146 Budapest, Hungária krt. 166.) – informatikai
rendszerintegrátori, rendszerirányítási és minőségbiztosítási szolgáltatás;
• Vision-Software Kft. (székhelye: 1149 Budapest, Pósa Lajos utca 51.), VS Fejlesztési
Stúdió Kft. (székhelye: 1149 Budapest, Pósa Lajos utca 51.), Visionsoft Üzleti
Megoldások Kft. (székhelye: 1149 Budapest, Pósa Lajos utca 51.) – integrált
vállalatirányítási rendszer (Octopus 8 ERP) működtetése;
• NEXON Vállalkozási és Kereskedelmi Kft. (székhelye: Budapest, Váci út 185.) – bér[1]és humánügyviteli rendszer (NEXONbér és NEXONtime) működtetése.
14. Az érintettek jogai és érvényesítésük,
tájékoztatás, helyesbítés, törlés, tiltakozás
20. § (1) Az érintett (kiskorú esetén törvényes képviselője útján) személyesen vagy írásban
tájékoztatást kérhet személyes adatainak kezeléséről, annak céljáról, jogalapjáról,
időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő
tevékenységéről.
(2) A tájékoztatást a NETFIT® mérési adatok tekintetében a Projektmenedzsment és
Nemzetközi Osztály vezetője, egyéb adatok tekintetében az MDSZ ahhoz kapcsolódó
feladatkört ellátó szervezeti egységének vezetője adja meg, az adatvédelemért felelős
szervezeti egységgel történt konzultációt követően. A tájékoztatást a kérelem benyújtásától
számított legrövidebb idő alatt (legfeljebb azonban 15 napon belül) írásban kell megadni. A
tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan
tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés
állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat
jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
(3) A tájékoztatás megtagadására irányuló döntés meghozatalában az adatvédelemért felelős
szervezeti egység minden esetben közreműködik. Az igény elutasításával egy időben közölni
kell, hogy a felvilágosítás megtagadására pontosan mely jogszabályi rendelkezés alapján
került sor, valamint a rendelkezésre álló jogorvoslati lehetőségeket is. A tájékoztatás csak
törvényben meghatározott okból tagadható meg.
21. § (1) A valóságnak nem megfelelő személyes adat helyesbítéséről az MDSZ illetékes
szervezeti egységének vezetője dönt. Amennyiben a helyesbítés kérelemre történik, úgy a
tájékoztatásra vonatkozó, jelen Szabályzatban foglalt eljárási rend a helyesbítésre isirányadó.
(2) Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes
adat az MDSZ rendelkezésére áll, a személyes adatot a feladatkör szerint illetékes szervezeti
egység helyesbíti.
22. § (1) A személyes adatot törölni kell, ha
a) kezelése jogellenes;
b) az érintett – törvényen alapuló adatkezelés kivételével – kéri;
c) az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést
törvény nem zárja ki;
d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott
határideje lejárt;
e) azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.
(2) Adattörlési kérelmet a feladatkör szerint illetékes szervezeti egység vezetője bírálja el, az
adatvédelmi felelős állásfoglalása megadását követően, a tájékoztatásra vonatkozó eljárási
rendben.
23. § (1) Az érintett tiltakozhat személyes adatának kezelése ellen,
a) ha a személyes adatok kezelése vagy továbbítása kizárólag az MDSZ-re, mint adatkezelőre
vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik
személy jogos érdekének érvényesítéséhez szükséges, kivéve a jogszabályi előíráson alapuló
adatkezelés, valamint a tudományos kutatási célú adatkezelés esetét;
b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, vagy
közvélemény-kutatás céljára történik; valamint
c) törvényben meghatározott egyéb esetben.
(2) A feladatkör szerint illetékes szervezeti egység vezetője a tiltakozást a kérelem
benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja,
annak megalapozottsága kérdésében – az adatvédelemért felelős szervezeti egység
állásfoglalásának megadását követően – döntést hoz, és döntéséről a kérelmezőt írásban
tájékoztatja.
(3) Ha az érintett tiltakozásának megalapozottsága megállapítható, az adatkezelést – beleértve
a további adatfelvételt és adattovábbítást is – meg kell szüntetni, és az adatokat zárolni kell,
valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíteni kell
mindazokat, akik részére esetlegesen a tiltakozással érintett személyes adatot korábban
továbbították, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Zárolt
adaton – a zárolás hatálya alatt – adatkezelési művelet nem végezhető.
(4) Ha az érintett nem ért egyet a tiltakozásának elbírálása eredményeként hozott döntéssel, a
döntés ellen a közléstől számított harminc napon belül – az Info. tv. 23. §-ában foglalt módon
– bírósághoz fordulhat.
(5) Tiltakozás esetén az érintett személyes adata nem törölhető, ha az adatkezelést jogszabály
rendelte el. Az adat azonban nem továbbítható, ha az MDSZ egyetértett a tiltakozással, vagy a
bíróság a tiltakozás jogosságát megállapította.
V. Fejezet
Adatbiztonság
24. § (1) Az MDSZ, mint adatkezelő, illetve tevékenységi körében az adatfeldolgozó
gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési
intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az Info. tv., a GDPR,
valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
Az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés,
megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a
véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó
hozzáférhetetlenné válás ellen. Az MDSZ által kezelt nyilvántartásokban, így különösen a
NETFIT® rendszerben elektronikusan kezelt adatállományok védelme érdekében megfelelő
technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt
törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez
rendelhetők.
(2) A személyes adatok automatizált feldolgozása során további intézkedésekkel biztosítja:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli
berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli
berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és
ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
(3) Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor
tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési
megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét
biztosítja, kivéve, ha az aránytalan nehézséget jelentene.
VI. Fejezet
A jogellenes adatkezelés következményei
25. § (1) Az érintett a jogainak megsértése esetén bírósághoz fordulhat, amely az ügyben
soron kívül jár el.
(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az MDSZ köteles
bizonyítani.
(3) A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint –
az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat
helyesbítésére, zárolására, törlésére, illetve az érintett tiltakozási jogának figyelembevételére
kötelezi.
(5) A bíróság elrendelheti ítéletének – az adatkezelő azonosító adatainak közzétételével
történő – nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett
törvényben védett jogai megkövetelik.
26. § (1) AZ MDSZ az érintett adatainak jogellenes kezelésével vagy az adatbiztonság
követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel
szemben az MDSZ felel az adatfeldolgozó által okozott kárért is. Az MDSZ mentesül a
felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok
idézte elő.
(2) Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan
gondatlan magatartásából származott.
27. § Jogorvoslati lehetőséggel, panasszal az adatvédelmi hatóságnál is lehet élni:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Levelezési cím: 1530 Budapest, Pf.: 5.
Telefon: +36 1 391 1400
Telefax: +36 1 391 1410
E-mail: ugyfelszolgalat@naih.hu
Honlap: http://www.naih.hu
VII. Fejezet
Vegyes rendelkezések
12. Az MDSZ alkalmazottainak és az álláskeresési céllal pályázók
személyes adatainak kezelése
28. § (1) Az MDSZ személyügyi nyilvántartásának kezelésére és vezetésére, az alkalmazottak
személyes adatainak kezelésére az Info tv. rendelkezései az irányadóak.
(2) A szakszervezeti vagy érdekképviseleti szervezeti tagságra utaló adat az érintett munkatárs
írásbeli hozzájárulása alapján kezelhető.
(3) Az MDSZ-hez bármilyen formában álláskeresési céllal (hirdetésre, spontán módon)
eljuttatott önéletrajzokban található személyes adatok kezeléséhez az érintett hozzájárulását
vélelmezni kell. Alkalmazás hiányában a személyes adatokat törölni kell.
VIII. Fejezet
Záró rendelkezések
29. § (1) Ezen Szabályzat hatálybalépésétől számított 60 napon belül az MDSZ szervezeti
egységeinek vezetői kötelesek intézkedni az irányításuk alá tartozó szervezeti egységek
adatvédelmi gyakorlatának felülvizsgálatáról és szükség esetén a jelen Szabályzat
rendelkezéseinek megfelelő eljárások kialakításáról.
(2) A jelen Szabályzat nyilvános, az MDSZ honlapján bárki által hozzáférhetővé módon el
kell helyezni.
(3) Jelen Szabályzat a jóváhagyásáról szóló elnökségi határozat keltét követő napon lép
hatályba.
* * *