Belső piaci információs rendszerrel (IMI) kapcsolatos adatkezelési tájékoztató
Az adatkezelő megnevezése
A Tájékoztató tartalmazza az Adatkezelő megnevezését és elérhetőségi adatait.
Adatkezelő megnevezése: KAV Közlekedési Alkalmassági és Vizsgaközpont Nonprofit Korlátolt Felelősségű Társaság
- Rövidített elnevezés: KAV Nonprofit Kft.
- Székhely: 1033 Budapest, Polgár utca 8-10.
- Cégjegyzékszám: 01-09-333264
- Adószám: 26580708-2-41
- Postacím: 1438 Budapest, Pf. 477.
- Adatvédelmi tisztviselő neve, elérhetősége: dr. Bárány Barbara, adatvedelem@kavk.hu
Az Adatkezelő által a belső piaci információs rendszerrel (IMI) kapcsolatban megvalósított adatkezelések
Jelen adatkezelési tájékoztató (a továbbiakban: Tájékoztató) az Adatkezelő által a belső piaci információs rendszerrel (IMI) kapcsolatban megvalósított adatkezelésekről nyújt tájékoztatást.
Az Adatkezelő fenntartja magának a jogot, hogy a jelen tájékoztatót bármikor, egyoldalúan megváltoztassa. Amennyiben a Tájékoztató módosulna, akkor erről a honlapon, valamint az Intraneten elhelyezett hírben tájékoztatja az érintetteket.
A belső piaci információs rendszerrel (IMI) kapcsolatban megvalósított adatkezelések
Az „IMI” - Belső piaci információs rendszer, 2008 óta támogatja a tagállamok igazgatási együttműködését és segíti ezáltal többek között a szolgáltatók és polgárok szabad mozgását az Európai Gazdasági Térség területén. Az IMI jogalapja a belső piaci információs rendszer keretében történő igazgatási együttműködésről és a 2008/49/EK bizottsági határozat hatályon kívül helyezéséről szóló 1024/2012/EU európai parlamenti és tanácsi rendelet (a továbbiakban: IMI-rendelet), amelynek melléklete felsorolja azokat az uniós jogszabályokat, amelyek a rendszer alkalmazását írják elő a tagállamok közötti együttműködésre és információcserére. Az IMI biztosítja a szükséges informatikai hátteret, többek között a szakmai képesítések elismeréséről szóló 2005/36/EK európai parlamenti és tanácsi irányelv 8., 50., és 56. cikkeinek, valamint a belső piaci szolgáltatásokról szóló 2006/123/EK európai parlamenti és tanácsi irányelv VI. fejezetének gyakorlatban történő alkalmazásához.
A fent említett két irányelv alapján történő információcserék során gyakran előfordul, hogy más tagállamok illetékes hatóságai közlekedési szakemberek vizsgáinak adatait ellenőrzik, illetve képesítésükkel kapcsolatban olyan információkat kérnek, amelyekkel az Adatkezelő rendelkezik. Az Adatkezelő a közúti közlekedésről szóló 1988. évi I. törvény 18. § (8) és (13) bekezdéseiben, illetve a Közlekedési Alkalmassági és Vizsgaközpont kijelöléséről és feladatainak meghatározásáról szóló 284/2018. (XII. 21.) Korm. rendeletben (a továbbiakban: Korm. rendelet) meghatározott közfeladatokat ellátó szerv, amely felelős a hazai járművezetők és közlekedési szakemberek vizsgáinak, alkalmassági vizsgálatainak és utánképzéseinek szervezéséért és lebonyolításáért. Az IMI-rendelet értelmében, az Adatkezelő „illetékes hatóságnak” minősül, mivel olyan információk és adatok kezelését végzi, amelyek más tagállamok számára történő biztosítása elengedhetetlen a tagállamok közötti hatékony információcseréhez és együttműködéshez. A Korm. rendelet 1. § (2) bekezdés h) pontjának értelmében az Adatkezelő feladatköréhez tartozik a hazai és határon túli szervekkel történő együttműködés. A közúti járművezetők és a közúti közlekedési szakemberek képzésének és vizsgáztatásának részletes szabályairól szóló 24/2005. (IV. 21.) GKM rendelet 33/H. § (1) bekezdése pedig információcsere keretében egyértelműen előírja a tájékoztatási kötelezettséget az Adatkezelő által kiadott és visszavont gépjárművezetői képesítési igazolványokról. Az IMI rendelet 7. cikk (3) bekezdése értelmében a jelen tájékoztatóban foglalt adatkezelési műveletek vonatkozásában a KAV Közlekedési Alkalmassági és Vizsgaközpont Nonprofit Kft. adatkezelőnek minősül. Ennek keretében az Adatkezelő az alábbiak szerint kezel személyes adatokat:
- Kezelt személyes adatok köre: közlekedési szakemberek vizsgáinak és képesítéseinek adatai (többek között: név, születési név, születési hely és idő, neme, anyja neve, lakcíme, okmányazonosító, képesítés és vizsga adatai);
- Kezelt szenzitív adatok: fegyelmi, közigazgatási, illetve büntetőjogi szankciókkal kapcsolatos adatok;
- Adatkezelés célja: lehetővé teszi az IMI rendszerhez csatlakozott nemzeti, regionális és helyi hatóságok számára, hogy gyorsan és könnyen információt cseréljenek;
- Adatkezelés jogalapja: az IMI rendszerben a polgárok személyes adatainak feldolgozása az uniós jogszabályok vonatkozó (1. számú melléklet) rendelkezései alapján megy végbe (GDPR 6. cikk (1) bekezdés c) pont);
- Adatkezelés időtartama: az IMI-rendszerben feldolgozott személyes adatot hat hónappal az igazgatási együttműködési eljárásnak a rendszeren belüli hivatalos lezárását követően zárolják. A zárolt adatok az IMI-felhasználók részére a rendes IMI-felületen keresztül nem elérhetők. Három évvel az igazgatási együttműködési eljárás hivatalos lezárását követően minden személyes adat automatikusan törlődik az IMI-rendszerből.
A Bizottság alkalmazottai és az IMI-koordinátorok nem férhetnek hozzá az információ tárgyát képező személyek személyes adataihoz. Csak az információkérésben részt vevő illetékes hatóságok munkatársai jogosultak megtekinteni az adatalany személyes adatait. Ezek a személyek feladatkörüknél fogva egyébként is jogosultak és kötelesek a kérdésekkel érintett adatokat kezelni (például az adott hatóságnál vezetett nyilvántartás adataiba egyébként is betekinthetnek). A kéréscímzettje csak akkor láthatja az adatalany személyes adatait, ha a kérést hivatalosan is elfogadta, azaz elismerte, hogy hatóságának van hatásköre a kérdés megválaszolására. Az IMI az úgynevezett „Privacy by design” (beépített adatvédelem) megközelítést alkalmazza, ami azt jelenti, hogy az adatvédelemnek való megfelelés az információkat tároló rendszereknek eleve szerves összetevője. Az adatvédelmi szempontok a rendszer napi használata során is érvényesülnek technikai védelem, biztonságos internetprotokoll formájában. Az IMI alkalmazása során nem történik személyes adatok kiadása az EGT területén kívülre.
Az IMI működésével kapcsolatos naprakész információkért keresse fel a http://ec.europa.eu/internal_market/imi net/data_protection_hu.html weboldalt.
Adatbiztonság
A beépített adatvédelem elvét követve az IMI az adatvédelmi előírások figyelembevételével lett kialakítva, többek között az alkalmazáson keresztül megosztott személyes adatokhoz való hozzáférésre vonatkozó korlátozásokkal élve. Az IMI ezáltal magasabb szintű adatvédelmet és -biztonságot kínál, mint az információcsere egyéb módszerei, például a postai levél, a telefon, a fax vagy a kódolatlan elektronikus levél.
Az IMI-szereplők mindegyike (azaz a Bizottság, az IMI-koordinátorok és az illetékes hatóságok) felelős az IMI-rendszer és annak munkafolyamatai biztonságáért. A Bizottság gondoskodik arról, hogy az IMI megfeleljen az információs rendszer biztonságáról szóló C(2006) 3602 bizottsági határozatban és annak végrehajtási szabályaiban valamennyi uniós szintű informatikai rendszerre vonatkozóan meghatározott követelményeknek. Ez azt jelenti, hogy kockázatelemzést végeztek és megfelelő technikai és szervezeti biztonsági intézkedéseket határoztak meg és integrálták ezeket az IMI-rendszerbe.
Ezenfelül minden illetékes hatóság adatkezelőnek minősül, így felelős az általa kezelt személyes adatok biztonságáért. A fentiekre figyelemmel az Adatkezelő megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.
Szervezési intézkedések
Az Adatkezelő az informatikai rendszereihez a hozzáférést személyhez köthető jogosultsággal teszi lehetővé. A hozzáférések kiosztásánál érvényesül a „szükséges és elégséges jogok elve”, azaz az Adatkezelő informatikai rendszereit és szolgáltatásait minden felhasználó csak a feladatának ellátásához szükséges mértékben, az ennek megfelelő jogosultságokkal és a szükséges időtartamig használhatja. Az informatikai rendszerekhez és szolgáltatásokhoz hozzáférési jogot csak az a személy kaphat, aki biztonsági vagy egyéb (pl. összeférhetetlenségi) okokból nem esik korlátozás alá, valamint rendelkezik az annak biztonságos használatához szükséges szakmai, üzleti és információbiztonsági ismeretekkel. Az Adatkezelő és az adatfeldolgozók írásos nyilatkozatban szigorú titoktartási szabályokat vállalnak, és a tevékenységük során ezek szerint a titoktartási szabályok szerint kötelesek eljárni.
Technikai intézkedések
Az Adatkezelő az adatokat – az adatfeldolgozói által tárolt adatok kivételével – saját eszközökön, adatközpontban tárolja. Az adatokat tároló informatikai eszközöket az Adatkezelő elhatároltan, külön zárt szerverteremben tárolja, többlépcsős, jogosultság ellenőrzéshez kötött beléptető rendszerrel védetten. Az Adatkezelő többszintű, tűzfalas védelemmel védi a belső hálózatát. Az alkalmazott nyilvános hálózatok belépési pontjain mindenhol minden esetben hardveres tűzfal (határvédelmi eszköz) helyezkedik el. Az adatokat az Adatkezelő redundánsan – azaz több helyen – tárolja, hogy védje azokat az informatikai eszköz meghibásodásából fakadó megsemmisüléstől, elvesztéstől, sérüléstől, a jogellenes megsemmisítéstől. Többszintű, aktív, komplex kártékony kódok elleni védelemmel (pl. vírusvédelem) védjük a belső hálózatainkat a külső támadásoktól. Az Adatkezelő által működtetett informatikai rendszerekhez, adatbázisokhoz az elengedhetetlen külső elérést az Adatkezelő titkosított adatkapcsolaton keresztül valósítja meg (VPN).
Az Adatkezelő mindent megtesz azért, hogy informatikai eszközei, szoftverei folyamatosan megfeleljenek a piaci működésben általánosan elfogadott technológiai megoldásoknak. A fejlesztései során olyan rendszereket alakít ki, amelyekben a naplózás révén kontrollálhatók és nyomon követhetők a végzett műveletek, észlelhetők a bekövetkezett incidensek, például a jogosulatlan hozzáférés. Az Adatkezelő szervere védetten és zártan található.
Az Ön jogai
Az Adatkezelő számára fontos, hogy adatkezelése megfeleljen a tisztességesség, a jogszerűség és az átláthatóság követelményeinek. Ennek érdekében Ön tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve törlését. Annak érdekében, hogy Ön tisztában legyen a jogaival és azok gyakorlásának feltételeivel, az alábbi tájékoztatást nyújtjuk Önnek.
Hozzáférés
Ön jogosult arra, hogy – az Adatkezelő elérhetőségeinek valamelyikén benyújtott – kérelmére hozzáférést kapjon az Adatkezelő által kezelt személyes adataihoz. Ennek keretében Ön az alábbiakról kap tájékoztatást:
- személyes adatainak kezelése folyamatban van-e;
- az adatkezelés céljai;
- az érintett személyes adatok kategóriái;
- azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják;
- a személyes adatok tárolásának tervezett időtartama;
- az Ön jogai;
- az Ön jogorvoslati lehetőségei;
- az adatforrásokra vonatkozó információ.
Ön kérheti továbbá az Adatkezelőtől az adatkezelés tárgyát képező személyes adatai másolatának rendelkezésére bocsátását is. Ebben az esetben az Adatkezelő a személyes adatokat tagolt, széles körben használt, számítógéppel olvasható formátumban (PDF/XML), illetve annak kinyomtatott változatában, papír alapon bocsátja rendelkezésre. A másolat igénylése ingyenes.
Helyesbítés
Ön – az Adatkezelő elérhetőségein keresztül benyújtott kérelem alapján – jogosult kérni az Adatkezelő által kezelt, Önre vonatkozó pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését. Amennyiben a valóságnak nem megfelelő információk pontosításához, kiegészítéséhez szükséges információk nem állnak az Adatkezelő rendelkezésére, az Adatkezelő kérheti ezen kiegészítő adatok benyújtását, az adatok pontosságának igazolását. Ameddig az adatok pontosítása, kiegészítése – a kiegészítő információk hiányában – nem végezhető el az Adatkezelő korlátozza az érintett személyes adatok kezelését, az azokon végzett műveleteket – a tárolás kivételével – ideiglenesen felfüggeszti.
Törlés
Ön – az Adatkezelő elérhetőségein keresztül benyújtott kérelem alapján – jogosult kérni az Adatkezelő által kezelt, Önre vonatkozó személyes adatok törlését, amennyiben a következő feltételek valamelyike fennáll:
- az adatkezelés célja már nem áll fenn és továbbiakban nincs szükség az adott adatok kezelésére;
- adatainak kezelése jogellenes, például, ha az Adatkezelő megfelelő jogalap nélkül kezeli adatait;
- adatait valamely jogszabály előírásának teljesítéséhez törölni szükséges;
Amennyiben a kérelme nyomán az Adatkezelő megállapítja, hogy az általa kezelt személyes adatok törlésének kötelezettsége fennáll, az adatok kezelését megszünteti, a korábban kezelt személyes adatokat pedig megsemmisíti.
Egyéb
Technikai okokból kifolyólag az IMI-rendszerben már lezárt információcserékhez kapcsolódó személyes adatok helyesbítését vagy törlését csak a Bizottság tudja elvégezni. Az olyan illetékes hatóságnak tehát, amely ilyen jellegű kérést hagyott jóvá, a lehető legrövidebb időn belül fel kell vennie a kapcsolatot a Bizottság IMI Ügyfélszolgálatával a szükséges követő intézkedésekről történő egyeztetés végett.
IV.5. Jogainak gyakorlására irányuló kérelmével kapcsolatos eljárás
Az IMI-rendelet értelmében az adatok helyesbítését vagy törlését a lehető legrövidebb időn belül, de legkésőbb a kérésnek a kézhezvételétől számított 30 napon belül végre kell hajtani. Azokban az esetekben, amikor a helyesbítés vagy törlés iránti kérés az IMI-rendszer által (az ügy hivatalos lezárása után 6 hónappal) már zárolt személyes adatokra vonatkozik, az Adatkezelőnek fel kell vennie a kapcsolatot a Bizottság IMI Ügyfélszolgálatával annak ellenőrzése céljából, hogy a kérés megfelel-e az IMI-rendeletben megállapított követelményeknek. Főszabály szerint zárolt adat nem törölhető vagy helyesbíthető, de a helyesbített információtartalommal együtt rögzítésre kerül az is, hogy az adatalany kifogásolta az adat helytállóságát vagy jogszerűségét. Technikai okokból kifolyólag az ilyen jellegű információk rögzítését a Bizottság végzi el.
Amennyiben a kérelme nyomán az Adatkezelő nem tesz intézkedéseket, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja Önt az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Az Adatkezelő az intézkedéssel vagy annak elmaradásával kapcsolatos tájékoztatást az Ön által megjelölt formában nyújtja. Amennyiben Ön elektronikus úton nyújtotta be a kérelmet, a tájékoztatás elektronikus úton kerül megadásra, kivéve, ha Ön azt másként kéri.
Az Adatkezelő a kért információkat és tájékoztatást díjmentesen biztosítja.
A kérelem teljesítése érdekében az Adatkezelő köteles meggyőződni arról, hogy valóban az arra jogosult kívánja jogait gyakorolni. Ehhez – adott esetben – az is szükséges lehet, hogy Ön személyesen megjelenjen az Adatkezelő székhelyén személyazonosítás céljából.
Az Ön jogorvoslati lehetőségei
Amennyiben az Adatkezelő nem megfelelő módon, a jogszabályokkal ellentétesen kezeli az Ön személyes adatait, esetleg, ha a jogai gyakorlására irányuló kérelmének az Adatkezelő nem vagy nem megfelelő módon tett eleget, több jogorvoslati lehetőséget is igénybe vehet.
Panasztétel a Nemzeti Adatvédelmi és Információszabadság Hatóságnál
Amennyiben Ön kifogásolja az Adatkezelő tevékenységét, jogorvoslati lehetőséggel, panasszal fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatósághoz az alábbi elérhetőségek valamelyikén:
- Székhely: 1055 Budapest, Falk Miksa utca 9-11.
- Levelezési cím: 1363 Budapest, Pf.: 9-11.
- Telefon: +36-1-391-1400
- Fax: +36-1-391-1410
- E-mail: ugyfelszolgalat[kukac]naih.hu
- Honlap: http://www.naih.hu
- Online ügyindítás: http://wwwnaih.hu/online-uegyinditas.html
Bírósági jogérvényesítés
A hatósági jogorvoslat mellett Önnek lehetősége van továbbá bírósághoz fordulni az Adatkezelő tevékenysége miatt. A perre a GDPR, az Infotv., illetve a Ptk. és a Pp. szabályai alkalmazandók. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye szerinti törvényszék előtt is megindítható (a törvényszékek felsorolását és elérhetőségét az alábbi linken keresztül tekintheti meg: http://birosag.hu/torvenyszekek). A per megindításával kapcsolatos kérdésekről kérjük, hogy konzultáljon ügyvéddel.
Kiegészítő információk
Az IMI nemzeti koordinátora Magyarországon az Igazságügyi Minisztérium, a hatóságokat közvetlenül felügyelő IMI-koordinátorok a minisztériumok. A nemzeti IMI-koordinátor központi e-mail címe: imi@im.gov.hu, ahol a hatósági ügyintézők a rendszer használatával és technikai kérdésekkel kapcsolatban is segítséget kaphatnak.
1. számú melléklet - A vonatkozó jogszabályok
A Tájékoztató kialakítása során az Adatkezelő figyelembe vette a vonatkozó hatályos jogszabályokat, illetve a fontosabb nemzetközi ajánlásokat, különös tekintettel az alábbiakra:
- a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679/EU európai parlamenti és tanácsi rendelet (GDPR);
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 2011. évi CXII. törvény (Infotv.);
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.);
- a polgári perrendtartásról szóló 2016. évi CXXX. törvény (Pp);
- az Európai Parlament és a Tanács 1024/2012/EU rendelete a belső piaci információs rendszer keretében történő igazgatási együttműködésről és a 2008/49/EK bizottsági határozat hatályon kívül helyezéséről (az IMI-rendelet);
- az Európai Parlament és a Tanács 2006. december 12-i 2006/123/EK irányelve a belső piaci szolgáltatásokról; Az Európai Parlament és a Tanács 2005. szeptember 7-i módosított 2005/36/EK irányelve a szakmai képesítések elismeréséről;
- a Bizottság 2001. december 7-i ajánlása a „SOLVIT” belső piaci problémamegoldó hálózat alkalmazásának alapelveiről.
2. számú melléklet - A személyes adatok kezelésével kapcsolatos fogalmak
- személyes adat: az érintettre vonatkozó bármely információ;
- adatkezelő: az a jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza;
- adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
- adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
- adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
- adatfeldolgozó: az a jogi személy, amely az adatkezelő nevében személyes adatokat kezel;
- érintett: azonosított vagy azonosítható természetes személy.