Az Ikon Kódex
A Kódex az alábbi jogszabályi hivatkozásokat alkalmazza:
- 2016/679/EU Rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről (továbbiakban Rendelet vagy GDPR)
- 2013. évi V. törvény a Polgári Törvénykönyvről (továbbiakban Ptk.)
- 2011. évi CXII törvény az információs önrendelkezési jogról és az infoszabadságról (továbbiakban Infotv.)
A Kódexben használt fogalmak elsősorban a GDPR alapján kerültek meghatározásra. Az alábbiakban a legfontosabb adatkezelési fogalmakat mutatjuk be egyszerű, közérthető megfogalmazásban, hogy az érintettek könnyebben megérthessék az adatkezelési tájékoztató lényeges elemeit.
Az adatkezelés alapfogalmai
| Ikon | Mit jelent? | További információ |
 |
Adatkezelő Az adatkezelő az a személy, szervezet vagy intézmény, amely eldönti, hogy milyen személyes adatokat, milyen célra és milyen módon kezeljen. Az adatkezelő felelős az adatok kezelésének jogszerűségéért és az adatvédelmi szabályok betartásáért. | az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja |
 |
Adatkezelés célja Az adatkezelés célja az az ok vagy indok, amelyért az adatkezelő kezeli, gyűjti, felhasználja a személyes adatokat. Például ilyen cél lehet egy szolgáltatás nyújtása vagy jogi kötelezettség teljesítése. | |
 |
Adatkezelés jogalapja Az adatkezelés jogalapja az az ok, amely lehetővé teszi az adatkezelő számára, hogy az adatokat jogszerűen kezelje. Ez lehet például a felhasználó hozzájárulása, egy szerződés teljesítése, vagy törvényi előírás. A jogalapokat a GDPR tartalmazza. | |
 |
Adatkörök Az adatkörök azon személyes adatok csoportjai, amelyeket az adatkezelő kezelni kíván. Az adatkörök meghatározzák, hogy pontosan milyen adatokat gyűjt az adatkezelő, például név, email cím, születési dátum. | |
 |
Adatkezelés időtartama Az adatkezelés időtartama az az időtartam, ameddig az adatkezelő kezeli, vagy akár csak megőrzi a személyes adatokat. Ez idő elteltével az adatokat törölni kell, kivéve, ha jogszabály másként rendelkezik. | |
 |
Címzett A címzettek azok a személyek, szervezetek vagy intézmények, amelyekkel az adatkezelő megosztja az adatokat. Ide tartozhatnak például külső szolgáltatók vagy más olyan partnerek, akik szükség esetén hozzáférnek az adatokhoz az adatkezelési cél elérése érdekében. | az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak; |
Az adatkezelés jellemzői
| Ikon | Mit jelent? | További információ |
| az adatkezelés jogalapja; az egyes jogalapok részletes ismertetést a Kódex tartalmazza | a személyes adatok kezelése kizárólag akkor jogszerű, amennyiben a Rendelet 6. cikk (1) bekezdésének valamely feltétele (jogalap) fennáll |
 | az adatok továbbításra kerülnek harmadik országba vagy nemzetközi szervezet részére | |
 | az adatok nem kerülnek továbbításra harmadik országba, vagy nemzetközi szervezet részére | |
 | személyes adatok különleges kategóriái is érintettek az adatkezeléssel | faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok |
 | személyes adatok különleges kategóriái az adatkezeléssel nem érintettek | |
| a személyes adatok kezelésének tervezett időtartama | |
 | az adatkezelés során adatkezelő automatizált döntéshozatalt alkalmaz | |
 | az adatkezelés során adatkezelő automatizált döntéshozatalt nem alkalmaz | |
 | az adatkezeléssel kapcsolatban adatkezelő profilalkotást végez | „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják |
 | az adatkezelés során adatkezelő profilalkotást nem végez | |
 | az adatszolgáltatás jogszabályon alapul | |
 | az adatszolgáltatás szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele | |
 | biztonsági szint, melyhez tartozó adatbiztonsági intézkedéseket adatkezelő betartja; az egyes biztonsági szintekhez tartozó intézkedéseket a Kódex tartalmazza |
BIZTONSÁGI SZINT – MILYEN INTÉZKEDÉSEKET ALKALMAZ ADATKEZELŐ AZ ADATOK VÉDLEME ÉRDEKÉBEN?
Az Ikon Kódex öt különböző biztonsági szintet határoz meg, amelyek az adatkezelési gyakorlatok védelmét biztosítják.
Az adatkezelők, akik a Kódex biztonsági szintjeit jelző ikonokat alkalmazzák, vállalják, hogy az adott szinthez tartozó biztonsági intézkedéseket teljes mértékben betartják és alkalmazzák.
Minden szint konkrét és előírt védelmi intézkedéseket tartalmaz, amelyek célja az adatbiztonság és az érintettek védelme. Az ikonok segítenek az átláthatóságban, és lehetővé teszik az érintettek számára, hogy gyorsan és könnyen megértsék, milyen szintű adatbiztonságot alkalmaz az adott adatkezelő.
Figyelem! A biztonsági szint meghatározása nem helyettesíti az adatkezelő azon kötelezettségét, hogy tájékoztassa érintetteket, hogy milyen biztonsági intézkedéseket alkalmaz az adatkezelés terén.
| Biztonsági intézkedés |  |
 |
 |
 |
 |
| elektronikus adatok jelszavas titkosítása | |||||
| papír alapú dokumentumok tárolása zárt helyen történik | |||||
| elektronikus adatokhoz való hozzáférés kétfaktoros azonosítással történik | |||||
| az adatokhoz kizárólag azon személyek férnek hozzá, akiknek feladatuk ellátásához az adatkezelés szükséges | |||||
| az adatokhoz való hozzáférés dokumentált (elektronikus adatokhoz való hozzáférés logolt) | |||||
| az elektronikus adatokhoz való hozzáférés esetén minden falhasználó azonosítható (külön felhasználónévvel férhetnek hozzá) | |||||
| elektronikusan tárolt adatok eszközei jelszóval védettek | |||||
| adatok küldése esetén a csatolmány jelszóval védett, mely jelszó a csatolmánytól eltérő csatornán kerül közlésre | |||||
| számítógépeken automatikus kijelentkezés van beállítva | |||||
| az adatok védelmére minimum 265 bites titkosítást alkalmaz | |||||
| rendszeresen frissített vírusírtó szoftver alkalmazása az elektronikus adatok védelmére | |||||
| tűzfal alkalmazása a külső hálózati kapcsolatos védelmére | |||||
| alkalmazott szoftverek frissítése folyamatos | |||||
| távoli hozzáférés esetén jelszóval védett belépési csatorna | |||||
| illetéktelen hozzáférést jelző rendszer alkalmazása | |||||
| hordozható eszközön tárolt adatok esetén a távoli törlés lehetősége biztosított | |||||
| automatikus biztonsági mentések készülnek az adatokról | |||||
| a biztonsági mentések jelszóval védettek, azokhoz csak korlátozott felhasználói kör férhet hozzá | |||||
| adatkezelő rendelkezik eljárásrenddel az adatvédelmi incidens kezelésére | |||||
| a leselejtezett eszközökön tárolt adatok törlésére készült eljárásrend | |||||
| az adatok fizikai védelmét riasztó biztosítja | |||||
| az adatok fizikai védelmét kamerarendszer biztosítja | |||||
| adatkezelő munkatársai oktatásban részesültek | |||||
| adatkezelő adatvédelmi tisztviselőt jelölt ki |
JOGALAP – AZ ADATKEZELÉS MELY JOGALAP ALAPJÁN JOGSZERŰ?
Minden adatkezeléshez szükséges egy törvényes indok, amely lehetővé teszi a személyes adatok kezelését – ez az adatkezelés jogalapja. Ez az jogalap biztosítja, hogy az adatkezelés jogszerű legyen, és az érintettek személyes adatai megfelelő védelmet élvezzenek. Az adatkezelőknek egyértelműen meg kell határozniuk, hogy milyen jogalapra hivatkozva kezelik az adatokat, és ezt átlátható módon kell ismertetniük az érintettekkel.
Az Ikon Kódex az alábbi ikonokat alkalmazza az egyes jogalapok azonosítására:
| Ikon | Az adatkezelés jogalapja | Az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdése alapján |
 |
érintett hozzájárulása | az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez |
 |
szerződés teljesítése, illetve előkészítése | az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges |
 |
jogi kötelezettség teljesítése | az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges |
 |
létfontosságú érdek | az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges |
 |
közfeladat ellátása vagy közhatalmi jogosítvány gyakorlása | az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges |
 |
adatkezelő vagy harmadik személy jogos érdeke | az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek |