(1) Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet (a továbbiakban együtt: adatkezelői nyilvántartás). Az adatkezelői nyilvántartásban az adatkezelő rögzíti az adatkezelő, ideértve minden egyes közös adatkezelőt is, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit, az adatkezelés célját vagy céljait, személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – körét; az érintettek, valamint a kezelt adatok körét; profilalkotás alkalmazása esetén annak tényét; nemzetközi adattovábbítás esetén a továbbított adatok körét; az adatkezelési műveletek – ideértve az adattovábbítást is – jogalapjait; ha az ismert, a kezelt személyes adatok törlésének időpontját; az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását; az általa kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket; az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait. (2) Az adatfeldolgozó az általa az egyes adatkezelők megbízásából vagy rendelkezése szerint végzett adatkezeléseiről nyilvántartást vezet (a továbbiakban: adatfeldolgozói nyilvántartás). Az adatfeldolgozói nyilvántartásban az adatfeldolgozó rögzíti: az adatkezelő, az adatfeldolgozó, a további adatfeldolgozók, valamint az adatfeldolgozó adatvédelmi tisztviselőjének nevét és elérhetőségeit; az adatkezelő megbízásából vagy rendelkezése szerint végzett adatkezelések típusait; az adatkezelő kifejezett utasítására történő nemzetközi adattovábbítás esetén a nemzetközi adattovábbítás tényét, valamint a címzett harmadik ország vagy nemzetközi szervezet megjelölését; az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását. (3) Az adatkezelői és az adatfeldolgozói nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt – kérésére – a Hatóság rendelkezésére kell bocsátani.

Beépített általános munkavállalói, ügyfelekre vonatkozó, önkormányzatokra és intézményekre, egészségügyi és iskolarendszerű oktatási intézményekre specifikus sablonok egyszerű kiválasztásával és igény szerinti módosításával könnyen és gyorsan elkészíthető az adatkezelési nyilvántartás, mely adatkezelőkre és adatfeldolgozókra vonatkozóan is tartalmazza az elvárt adatokat. Adatkezelésenként megadható az adatkezelői/adatfeldolgozói szerepkör, adatkezelő, alkalmas az adatfeldolgozást is végző adatkezelők nyilvántartási kötelezettségének teljesítésére is. Létrehozhatóak új adatkezelési kategóriák egyes tevékenységek, érintetti csoportok adatkezeléseinek elkülönítésére

5. § (3) Az (1) bekezdés a) pontjában, a (2) bekezdés b) pontjában, valamint az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg. 5. § (5) Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

Támogatja a kötelező adatkezelések - akár különböző gyakoriságú - felülvizsgálatát, dokumentálási lehetőséget biztosít, Adatkezelés felülvizsgálati jegyzőkönyv készíthető a felülvizsgált adatkezelésekre. A felülvizsgálat alapértelmezett ideje adatkezelésenként módosítható, a szoftver figyelmeztet a szükséges felülvizsgálat elvégzésére

(1) a) A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”)

Érintettek (pl. munkavállalók, ügyfelek) tájékoztatására adatkezelési kategóriánként generálja a szerkeszthető adatkezelési tájékoztatókat. A regisztrációnak megfelelő személy esetén: lehetővé teszi az egyes adatkezelések személyekhez rendelését, biztosítja azok nyomonkövetését, figyeli az adatok lejárati idejét, figyelmeztet az intézkedések szükségességére, az intézkedések dokumentálhatóak

(1) b) A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon („célhoz kötöttség”)

A személyes adatokat adatkezelésenként célhoz és a 6. cikk szerinti jogalaphoz rendelten kezeli

(1) c) A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”)

Eszközt biztosít a kezelt személyes adatok felmérésére (sablonból támogatott), a felmérés során lehetőség van a felülvizsgálatot igénylő/nem indokoltan kezelt adatokkal kapcsolatos megjegyzés rögzítésére

(1) d) A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”)

Az érintetti kérelmek és intézkedések nyilvántartása alkalmas a helyesbítéshez (16. cikk) és a törléshez (17. cikk) való jog teljesítésének dokumentálására. Nyilvántartásokkal elősegíti a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettséget (19. cikk)

(1) e) A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”)

A személyes adatok kezelésének idejét nyilvántartja (sablonból támogatott). A regisztrációnak megfelelő személy esetén: lehetővé teszi az egyes adatkezelések személyekhez rendelését, biztosítja azok nyomonkövetését, figyeli az adatok lejárati idejét, figyelmeztet az intézkedések szükségességére, az intézkedések dokumentálhatóak

(1) f) A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”)

Az adatkezelésekhez használt rendszerek nyilvántartásában lehetőség van a rendszer biztonságával és törlésével kapcsolatos információk rögzítésére

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”)

Az adatkezelések nyilvántartása és a regisztrációnak megfelelő személy esetén a személyi adatkezelések nyilvántartása támogatja adatkezelő, adatfeldolgozó számára a megfelelés igazolását

A hozzájárulás igazolása (7. cikk)

1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult

A hozzájárulás alapú adatkezelésekhez adatkezelési célonként generálja a szerkeszthető, kinyomtatható hozzájáruló jognyilatkozatokat, mely alkalmas a hozzájárulás igazolására, vagy megtagadására, kapcsolódó dokumentum azonosítójának rögzítésére, tartalmazza az érintett számára szükséges, az adatkezelésre vonatkozó információkat. A regisztrációnak megfelelő személy esetén a jognyilatkozatokat az adatkezelő által megadott azonosító adatokkal generálja. A személyes adatkezeléseknél rögzíthető a korlátozást/visszavonást tartalmazó dokumentum azonosítója.

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

Adatkezelésenként a különleges adatkezelés (2) bekezdés szerinti indoklása legördülő menüből választható (sablonból támogatott), így a különleges adatok kezelése indokolható a nyilvántartásban

((1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. Az információkat írásban vagy más módon kell megadni.

Beépített általános munkavállalói és ügyfelekre vonatkozó, illetve egészségügyi intézményekre, önkormányzatokra és intézményekre, iskolarendszerű oktatási intézményekre specifikus sablonok egyszerű kiválasztásával és igény szerinti módosításával könnyen és gyorsan elkészíthető az adatkezelési nyilvántartás, melyből az érintettek (pl. munkavállalók, ügyfelek) tájékoztatására adatkezelési kategóriánként generálhatóak a 13. és 14. cikk szerinti adattartalmú szerkeszthető adatkezelési tájékoztatók. A 15–22. és a 34. cikk szerinti tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti.

Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét: az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei; az adatvédelmi tisztviselő elérhetőségei, ha van ilyen; a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja; a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei; adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen; adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat..., a megfelelő és alkalmas garanciák megjelölése....; a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga; a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog; a felügyeleti hatósághoz címzett panasz benyújtásának joga; a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul-e vagy szerződés kötésének előfeltétele-e, az érintett köteles-e a személyes adatokat megadni, az adatszolgáltatás elmaradásának lehetséges következményei; automatizált döntéshozatal ténye, ideértve a profilalkotást is, az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír. Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja fenteiken kívül az érintett személyes adatok kategóriáit és a személyes adatok forrását.

Az adatkezelési nyilvántartásból az érintettek (pl. munkavállalók, ügyfelek) tájékoztatására adatkezelési kategóriánként generálja a szerkeszthető adatkezelési tájékoztatókat, melyek tartalmazzák a rendelkezésre bocsátandó információkat.

(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon: az adatkezelés céljai; az érintett személyes adatok kategóriái; azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket; adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai; az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen; valamely felügyeleti hatósághoz címzett panasz benyújtásának joga; ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. 2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor: tájékoztatás a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.

A folyamatban lévő adatkezelésekről való tájékoztatás megkönnyítésére az adatkezelési nyilvántartásból generálható a szerkeszthető adatkezelési tájékoztató, mely tartalmazza a rendelkezésre bocsátandó információkat. Az érintettek hozzáférési jogával kapcsolatos kérelmeket, tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti.

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

Az érintettek helyesbítési jogával kapcsolatos kérelmeket, tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti.

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll: a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték; az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja; az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen; a személyes adatokat jogellenesen kezelték; a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell; a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Az érintettek törlési jogával kapcsolatos kérelmeket, tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti.

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül: az érintett vitatja a személyes adatok pontosságát; az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását; az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. (3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Az érintettek adatkezelés korlátozásához való jogával kapcsolatos kérelmeket, tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti. A regisztrációnak megfelelő személy esetén a személyes adatkezeléseknél rögzíthető a a korlátozás, visszavonás, tiltakozás ténye, a kapcsolódó dokumentum azonosítója.

Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

Az érintettek helyesbítési, törlési, adatkezelés korlátozásához való jogával kapcsolatos kérelmeket, tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti. Adattovábbítás címzettjeinek listája az adatkezelési nyilvántartásból lekérdezhetők

(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Az érintettek adatkezelés korlátozásához való jogával kapcsolatos kérelmeket, tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti. A regisztrációnak megfelelő személy esetén a személyes adatkezeléseknél rögzíthető a korlátozás, visszavonás, tiltakozás ténye, a kapcsolódó dokumentum azonosítója

(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

Az érintettek adatkezelés korlátozásához való jogával kapcsolatos kérelmeket, tájékoztatásokat az érintetti kérelmek és intézkedések nyilvántartása segíti. A regisztrációnak megfelelő személy esetén a személyes adatkezeléseknél rögzíthető a korlátozás, visszavonás, tiltakozás ténye, a kapcsolódó dokumentum azonosítója

(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

Alkalmas az adatkezeléshez használt rendszerekkel, a rendszer biztonságával és törlésével, mentésével kapcsolatos információk, a szükséges technikai, szervezési intézkedések, az adatvédelmi tisztviselő/felelős véleményének rögzítésére, felülvizsgálatára

(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. (2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

Alkalmas az adatkezeléshez használt rendszerekkel, a rendszer biztonságával és törlésével, mentésével kapcsolatos információk, a szükséges technikai, szervezési intézkedések, az érintettek jogainak védelméhez szükséges garanciák, az adatvédelmi tisztviselő/felelős véleményének rögzítésére, felülvizsgálatára

(1) Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. (3) Az adatfeldolgozó az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében; segíti az adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat; az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat;

Adatkezelésenként megadható az adatkezelői/adatfeldolgozói szerepkör, adatfeldolgozói szerep esetén az adatkezelő. Nyilvántartja az adatfeldolgozókat, a szerződés, adatfeldolgozás főbb adatait, azonosítva kapcsolatukat az egyes adatkezelési rendszerekhez. Adatfeldolgozót - adatkezelővel megegyező módon - támogatja a kötelezettségei teljesítésében

(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza: az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; az adatkezelés céljai; az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza: az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei; az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái; adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása; ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is. (4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást. (5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

Beépített általános munkavállalói, ügyfelekre vonatkozó, önkormányzatokra és intézményekre, egészségügyi és iskolarendszerű oktatási intézményekre specifikus sablonok egyszerű kiválasztásával és igény szerinti módosításával könnyen és gyorsan elkészíthető az adatkezelési nyilvántartás, mely adatkezelőkre és adatfeldolgozókra vonatkozóan is tartalmazza az elvárt adatokat. Adatkezelésenként megadható az adatkezelői/adatfeldolgozói szerepkör, adatkezelő, alkalmas az adatfeldolgozást is végző adatkezelők nyilvántartási kötelezettségének teljesítésére is. Létrehozhatóak új adatkezelési kategóriák egyes tevékenységek, érintetti csoportok adatkezeléseinek elkülönítésére. Tartalmazza az adatkezeléseknél használt rendszerek leltárját, adatfeldolgozóhoz rendelhetően

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja

A szoftver alkalmas az adatkezeléshez használt rendszerekkel, a rendszer biztonságával és törlésével, mentésével kapcsolatos információk, a szükséges technikai, szervezési intézkedések, az érintettek jogainak védelméhez szükséges garanciák, az adatvédelmi tisztviselő/felelős véleményének rögzítésére, felülvizsgálatára

(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. (2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. (3) Az (1) bekezdésben említett bejelentésben legalább: ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. (4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők. (5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

Biztosítja az adatvédelmi incidensek nyilvántartását, a NAIH által elvárt adattartalommal rögzíthetők az incidensekkel kapcsolatos adatok, azokból a hatóság számára benyújtható dokumentum generálható. Biztosítja adatfeldolgozó adatkezelő felé történő jelentésének dokumentálását

(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. (2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

Biztosítja az érintettek tájékoztatásának dokumentálását az adatvédelmi incidensekről

(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek. (2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni. (3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni: természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek; a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy nyilvános helyek nagymértékű, módszeres megfigyelése. (7) A hatásvizsgálat kiterjed legalább: a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket; az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára; az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat. (11) Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

A jogszabályi megfelelés biztosítása érdekében az egyes mérlegelési szempontok és kritériumok beépítésre kerültek, segítve az adatvédelmi hatásvizsgálat szükségességének mérlegelését. Az adatkezelésekhez szükséges hatáselemzéshez (kockázatelemzéshez) dokumentált eszközt biztosít. Lehetőség van általános hatásvizsgálat mentességi nyilatkozat kiállítására, az egyes adatkezelések rögzítésekor egyedileg dönteni a hatásvizsgálat szükségességről. A hatásvizsgálat tetszőleges számú kockázatra elvégezhető, a hatás és a bekövetkezési valószínűség figyelembevételével, a szükséges intézkedések végrehajtásáért felelősök, az intézkedések határideje, valamint teljesülés dátumok rögzítésével

(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat; az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban. (2) A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető. (3) Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével. (5) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni. (6) Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. (7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli.

Lehetőség van az adatvédelmi tisztviselő kijelölés szükségességének vizsgálatára, szükségesség vagy önkéntes kijelölés esetén az adatvédelmi tisztviselő(k) és/vagy adatvédelmi felelős adatainak megadására, az adatvédelmi tisztviselő jogállásának és elvárt feladataira való alkalmasságának vizsgálatára. A kijelölt adatvédelmi tisztviselő/felelős megadott adatai a generált adatkezelési tájékoztatókban feltüntetésre kerülnek

(1) A tagállamok, a felügyeleti hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és középvállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását. (2) Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását. (3) Az e rendelet hatálya alá tartozó adatkezelők vagy adatfeldolgozók általi betartása mellett a 3. cikk értelmében e rendelet hatálya alá nem tartozó adatkezelők vagy adatfeldolgozók is betarthatják az e cikk (5) bekezdése szerint jóváhagyott és e cikk (9) bekezdése alapján általános érvénnyel rendelkező magatartási kódexeket annak érdekében, hogy a 46. cikk (2) bekezdésének e) pontjában foglalt feltételekkel összhangban megfelelő garanciákat nyújtsanak a személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása keretében. Az ilyen adatkezelők vagy adatfeldolgozók szerződéses vagy egyéb, jogilag kötelező erejű eszközök révén kötelező erejű és kikényszeríthető kötelezettségvállalást tesznek arra, hogy alkalmazzák a megfelelő garanciákat, ideértve az érintettek jogaira vonatkozókat is.

Lehetőség van a magatartási kódex elérhetőségének, előírásainak rögzítésére az egyes adatkezeléseknél, azok feltüntetésre kerülnek az adatkezelési tájékoztatóban

(44. cikk) Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.

Lehetőség van a harmadik országokba vagy nemzetközi szervezetek részére történő adattovábbítás tényének, garanciáinak rögzítésére az egyes adatkezeléseknél, azok feltüntetésre kerülnek az adatkezelési tájékoztatóban