Adatvédelmi szabályzat

Általános rendelkezések

Preambulum

A [Adatkezelő] (a továbbiakban: Adatkezelő) célja, hogy a tevékenységével összefüggésben felmerülő személyes adatok kezelésével járó folyamatai, eljárásai során biztosítsa a személyes adatok védelmének megfelelő szintjét a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete szerint (általános adatvédelmi rendelet, vagy Rendelet).

Jelen szabályzat célja, hogy ismertesse az Adatkezelő munkavállalóival, megbízottjaival és a rendszerek felhasználóival a személyes adatok kezelése során érvényesítendő szabályokat és eljárásokat.

Az adatkezelési műveleteket Adatkezelő úgy tervezi meg és hajtja végre, hogy az érintettek magánszférájának védelme megfelelő módon biztosított legyen.  A technika mindenkori fejlettségére tekintettel – megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az adatbiztonság érvényre juttatásához szükségesek. Az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, az adatok károsodása és véletlen elvesztése, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Az Adatkezelő adatfeldolgozó igénybevétele esetén gondoskodik arról, hogy a kiválasztott adatfeldolgozó a személyes adatok védelme érdekében megtegye a szükséges intézkedéseket, valamint kövesse Adatkezelő szabályzatait és egyedi utasításait. A kiválasztás során az Adatkezelő törekszik arra, hogy csakis olyan adatfeldolgozó kerüljön igénybevételre, amely megfelelő garanciákat nyújt – különösen szakértelem, megbízhatóság és erőforrások tekintetében – arra vonatkozóan, hogy az adatvédelmi követelmények teljesülését biztosító technikai és szervezési intézkedéseket végrehajtja, ideértve az adatkezelés biztonságát is.

Adatkezelő adatvédelmi ügyekben illetékes tagja:

Név: Czettl Andrea

Elérhetőség: +36 20 9941010

A szabályzat hatálya: visszavonásig, illetve tagság megszűnéséig

Jelen szabályzat hatálya kiterjed az Adatkezelő valamennyi munkavállalójára, a munkavégzésre irányuló egyéb jogviszonyban álló magánszemélyekre, valamint a külső szervezetek mindazon alkalmazottaira, akik az Adatkezelő informatikai rendszereit használják, üzemeltetik, működtetik vagy fejlesztik, azaz az Adatkezelő adatvagyonához hozzáférhetnek.

A szabályzat hatálya nem terjed ki:

  1. a) informatikai biztonsági szabályzatban rendezett kérdésekre,
  2. b) az Adatkezelő munkaügyi, egyéb munkavégzésre irányuló jogviszonnyal kapcsolatos adatkezelési tevékenységére,
  3. c) az anonim információkra, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyekre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható;
  4. d) az elhunyt személyekkel kapcsolatos személyes adatok kezelésére.

Az adatkezeléssel kapcsolatos rendelkezések

Adatkezelési tájékoztatás

Az újonnan megkezdett adatkezelés esetében, az érintettre vonatkozó személyes adatokat az Adatkezelő az érintettről gyűjti, a személyes adatok megszerzésének időpontjában, amennyiben az érintett utólag kér tájékoztatást, ezen tájékoztatás megadásakor is az érintett rendelkezésére kell bocsátani az alábbi információkat:

  1. a) az Adatkezelő és amennyiben ilyen kijelölésre kerül, képviselőjének kiléte és elérhetőségei;
  2. b) az adatvédelmi tisztviselő (adatvédelemért felelős személy) elérhetőségei;
  3. c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja (ideértve különösen az Adatkezelő és harmadik fél jogos érdekeinek kifejtését is);
  4. d) a személyes adatok címzettjei, amennyiben van ilyen, a címzettek kategóriái;
  5. e) adott esetben annak a ténye, ha az Adatkezelő harmadik országba, vagy nemzetközi szervezet részére kívánja az adatokat továbbítani, a vonatkozó megfelelőségi határozat léte vagy hiánya, vagy ilyen adattovábbítás esetén s megfelelő és alkalmas garanciák megjelölése, valamint azok másolatának megszerzésére szolgáló módokra vagy azok elérhetőségére való hivatkozás;
  6. f) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
  7. g) az érintett azon jogáról történő tájékoztatása, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, vagy kezelésének korlátozását (zárolás), és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogát;
  8. h) amennyiben az adatkezelés az érintett hozzájárulásán alapul, az arról való tájékoztatást, hogy hozzájárulását bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
  9. i) az érintettnek joga van felügyeleti hatósághoz címzett panasz benyújtására;
  10. j) azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e személyes adatokat megadni továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
  11. k) amennyiben ez releváns, az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó közlés, hogy az ilyen adatkezelés milyen jelentőséggel és az érintette nézve milyen várható következményekkel bír.

Amennyiben az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő további célból adatkezelést kíván végezni és erre lehetősége van, a Rendelet vonatkozó szabályaira tekintettel a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden, a fenti pontokban megfogalmazott információkról.

Az újonnan megkezdett adatkezelés esetében amennyiben erre lehetőség van és ha az érintettre vonatkozó személyes adatokat az Adatkezelő nem az érintettől gyűjti, a személyes adatok megszerzésének időpontjában, illetőleg a tájékoztató elkészítésekor az érintett rendelkezésére bocsátja a fenti információkat, továbbá a személyes adatok forrását és adott esetben azt, hogy az adatok nyilvánosan hozzáférhető forrásból származnak-e.

Érintett joggyakorlásának belső eljárásrendje

Az Érintettet megillető jogok

Az Érintettet az alábbi jogosultságok illetik meg az Adatkezelő adatkezelése esetén:

  1. Az érintett bármikor jogosult tájékoztatást kérni az Adatkezelő által kezelt, rá vonatkozó személyes adatokról. A tájékoztatás az adott adatkezelésről készült tájékoztatóban megjelölt elektronikus e-mail címen kérhető.
  2. Adatkezelő kérelem alapján 25 napon belül adja meg a kért tájékoztatást.
  3. A tájékoztatás keretében az adatvédelemért felelős személy – vagy a szerződésben erre a feladatra kijelölt adatfeldolgozó – köteles az érintettre vonatkozó, Adatkezelő által kezelt adatokról és a fentiekről tájékoztatást adni.
  4. A tájékoztatást az érintett által kért formában kell megadni, erre irányuló kifejezett kérés hiányában elsősorban email-en keresztül, másodsorban postai küldeményként kell megadni, amennyiben az Adatkezelő számára rendelkezésre áll a kommunikációs forma használatához szükséges adat és amennyiben az érintett személyazonossága kétséget kizáróan megállapítható.
  5. Ha az Adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben az érintett hozzáférési jogát, a helyesbítés és törlés kérésének jogát, az adatkezelés korlátozásához való jogát, az ezekhez kapcsolódó értesítési jogot, valamint adathordozhatósához való jogot az Adatkezelő nem biztosítja, kivéve, ha az érintett abból a célból, hogy az említettek szerinti jogát gyakorolja az azonosítását lehetővé tevő kiegészítő információkat nyújt.
  6. A panaszok kezelésével kapcsolatban az adatvédelemért felelős személy számára tájékoztatást kötelesek adni a személyes adatok kezelésében részt vevő munkavállalók, egyéb személyek.

Törlési kérelem kezelése

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a) a személyes adatokra már nincs szükség abból a célból, amelyekből azokat gyűjtötték vagy más módon kezelték;
  2. b) az érintett visszavonja az adatkezelés alapját szolgáló hozzájárulását és az adatkezelésnek más jogalapja nincs;
  3. c) az érintett a közérdekű, valamint az Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés ellen tiltakozik és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a közvetlen üzletszerzés céljából beszerzett adatainak kezelése ellen tiltakozik;
  4. d) a személyes adatokat jogellenesen kezelte az Adatkezelő;
  5. e) a személyes adatokat az Adatkezelő-re alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. f) a személyes adatok gyűjtésére a Rendelet szerinti, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Amennyiben az Adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A törést nem kell teljesíteni, amennyiben az adatkezelés

  1. a) véleménynyilvánítás szabadságához, vagy a tájékoztatáshoz való jog gyakorlása céljából szükséges,
  2. b) jogi igények előterjesztéséhez, érvényesítéséhez és védelméhez szükséges,
  3. c) jogi kötelezettség teljesítése miatt szükséges,
  4. d) közérdekű archiválás, tudományos, vagy történelmi kutatás, statisztikai célból szükséges és az adattörlés lehetetlenné tenné, vagy komolyan veszélyeztetné az adatkezelés céljának teljesítését.

Adatkezelő továbbá törli, vagy anonimizálja az érintettre vonatkozó, az informatikai rendszereiben, valamint papír alapú dokumentációiban szereplő személyes adatokat, ha jogszabály máshogy nem rendelkezik és a személyes adat kezeléséhez fűződő cél megszűnt. Amennyiben a személyes adat törlése nem valósítható meg az azt tartalmazó irat sérelme nélkül:

  1. a) amennyiben az irat megőrzéséhez az Adatkezelő, vagy harmadik személy jogos érdeke fűződik, az iratot az Adatkezelő az iratkezelési szabályok szerinti időtartamig megőrzi, törlési kérelem esetén az iratot zártan kezeli és erről az érintettet értesíti, és az iratot a személyes adattal együtt az iratkezelési szabályban meghatározott időtartam lejártát követően megsemmisíti,
  2. b) amennyiben az irat megőrzéséhez az Adatkezelőnek és harmadik személynek sem fűződik jogos érdeke, az iratot a személyes adattal együtt megsemmisíti.

Az adatok törlése iránt minden esetben az adatvédelemért felelős személy a személyes adat kezelésével kapcsolatban érintett szervezeti egységgel, informatikai rendszer rendszergazdájával együttműködésben intézkedik.

Az Adatkezelő informatikai rendszereiből a személyes adatot, amennyiben lehetséges, visszaállíthatatlanul törli, továbbá gondoskodik arról, hogy az informatikai rendszer archivált változatában is átvezetésre kerüljön a személyes adat törlése. A törlésért az informatikai rendszerért felelős személy felel.

Amennyiben a helyreállíthatatlan törlés informatikai okból nem kivitelezhető, Adatkezelő az adat logikai törlését hajtja végre. A logikai törlés keretében a személyes adatot olyan azonosítóra kell lecserélni, amely megakadályozza, hogy a személyes adathoz tartozó további adatok a későbbiekben kapcsolatba hozhatók legyenek az érintettel.

A papír alapú dokumentációk esetében azok jegyzőkönyvvel rögzített megsemmisítéséről kell gondoskodni.

A jegyzőkönyvben rögzíteni kell: a megsemmisített iratok típusát, a megsemmisített iratok beazonosíthatóságához szükséges információkat, a megsemmisítés időpontját és a megsemmisítést végző személy nevét, beosztását, külső partner esetén a külső partner nevét.

Amennyiben az adatok törlése jogszabályi előírás, de az az érintett jogos érdeke miatt nem lehetséges, a személyes adatot, illetve a személyes adatot tartalmazó elektronikus, vagy papír alapú dokumentációt zárolni kell. Ez esetben az informatikai rendszerben tárolt adathoz, illetve dokumentumhoz csak az informatikai rendszer rendszergazdája vagy az adatvédelemért felelős személy rendelkezhet hozzáféréssel. Papír alapú dokumentációk esetén pedig a dokumentum őrzését zárható szekrényében kell megvalósítani.

A papír alapú dokumentációk belső rendszerbe feltöltött elektronikus példányához az Adatkezelő a felhasználók hozzáférését megszünteti.

Az adatkezelés elleni tiltakozás kezelése

Az érintett részére biztosítani kell, hogy tiltakozhasson személyes adatának kezelése ellen. Az adatvédelemért felelős személy a legrövidebb időn belül azonosítja az érintettet, a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt tájékoztatja.

Helyesbítési kérelem kezelése

Az érintett bármikor jogosult a helytelenül rögzített adatainak helyesbítését kérni.

Amennyiben az érintett jelzi, hogy az Adatkezelő által kezelt bármely adata nem felel meg a valóságnak, az adatvédelemért felelős személy azonosítja az érintettet és gondoskodik az adat helyesbítése iránt, eljárása keretében az adat helyesbítésére vonatkozó igényt az Adatkezelő érintett informatikai rendszerének rendszergazdája felé jelzi, megjelölve a helyes adatot.

Amennyiben a helyes adat nem áll rendelkezésre, az adatvédelemért felelős személy az érintettől kér felvilágosítást a helyes adatról.

Ha a helyes adat nem állapítható meg, az adatvédelemért felelős személy gondoskodik a helytelen adat zárolásáról. A zárolás az adat passzív állapotba helyezését jelenti, valamint értesíti az érintetett, hogy az adat helyesbítésére a helyes adat hiányában nincs mód, de az adat zárolásra került.

Személyes adat korlátozása iránti kérelem kezelése

Az érintett jogosult arra, hogy kérésére Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

–              az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;

–              az adatkezelés jogellenes, és az Adatkezelő ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

–              Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

–              az érintett tiltakozott az adatkezelés ellen, de az Adatkezelő jogos érdeke is megalapozhatja az adatkezelést, ez esetben amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben, az adatkezelést korlátozni kell.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Adatkezelő az érintettet, akinek a kérésére az adatkezelést korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

Adatkezelés során alkalmazandó intézkedések

Az Adatkezelő által működtetett informatikai rendszerek felhasználói, a személyes adatokkal egyéb módon kapcsolatba kerülő személyek a személyes adatok védelme érdekében kötelesek megtartani az alábbi előírásokat.

A munkavégzés/feladatellátás során keletkezett személyes adatot is tartalmazó dokumentumokat csak a munkavégzés céljára szolgáló számítástechnikai eszközökön nyithatják meg.

A munkavégzés/feladatellátás céljára szolgáló eszközök hozzáférési kódjait a munkavállalók bizalmasan kötelesek kezelni.

A munkavégzés/feladatellátás céljára szolgáló mobiltelefonokra érkező, személyes adatot is tartalmazó dokumentumot is tartalmazó levelek esetén a dokumentumot lehetőség szerint csak asztali számítógépen, vagy notebook-on lehet megnyitni. Amennyiben a mobiltelefonon keresztüli megnyitás szükséges, akkor a mobiltelefonról a helyi másolatot minden esetben törölni kell.

A munkavégzés/feladatellátásra használt mobiltelefont, amelyen az Adatkezelő által kezelt, vagy feldolgozott személyes adat is megtalálható, minden esetben a mobiltelefonba épített ábrás, vagy kódos védelemmel kell használni.

A munkavégzés/feladatellátás céljára átadott notebook-ok és egyéb munkaállomások esetében az eszközöket csak a felhasználók használhatják, hozzátartozóik, vagy más személy számára nem engedélyezett a használat.

A papír alapú munkadokumentumokat, ha azok használata már nem szükséges olyan módon kell megsemmisíteni (pl: irat ledarálásával), hogy a megsemmisítést követően ne lehessen azok tartalmát megállapítani.

A munkavállaló munkaviszonya, megbízása, egyéb feladatellátásra szolgáló jogviszonya megszűnése esetén minden személyes adatot is tartalmazó papír alapú és elektronikus iratot, adatot köteles a foglalkoztatásának utolsó napját megelőzően az Adatkezelő részére visszaszolgáltatni, azokról másolatot nem tarthat magánál.

Tilos magánhasználatú eszközön az Adatkezelő kezelésében, vagy feldolgozásában lévő személyes adatot tárolni, kivéve, ha a tárolás a munkavégzéshez elengedhetetlenül szükséges és a tárolást a munkavégzést követően megszüntetik.

Minden munkavállaló köteles az általa használt munkaterületet olyan módon használni, hogy azon az Adatkezelő kezelésében, vagy feldolgozásában lévő, személyes adatot is tartalmazó dokumentumok lehetőség szerint szabadon ne legyenek hozzáférhetők. Ilyen intézkedésnek minősül különösen: számítástechnikai eszközök jelszavas védelme, az irodahelyiség zárása, az iratok elhelyezése védett helyre.

Személyes adatok csak biztonságos kommunikációs csatorna alkalmazásával, vagy megfelelő titkosítási megoldással adhatók át más személynek. Ellenkező jelzésig az Adatkezelő belső levelezési rendszerén belüli adatáramlás biztonságos kézbesítési csatornának tekintendő. Külső adatátadás során gondoskodni kell a személyes adatok titkosításáról SSL kapcsolat, vagy egyedi titkosítás (pl.: MD5 titkosítás) használatával, a jelszó elkülönített csatornán (pl.: SMS) keresztüli küldésével, papír alapon pedig zárt borítékon keresztüli átadással.

Amennyiben az Adatkezelő más Adatkezelőtől, az adathoz kapcsolódó rendelkezéssel fogad személyes adatot, valamennyi, az adattal érintkező felhasználónak kötelessége az adattovábbító rendelkezéseit figyelembe venni.

Személyes adat továbbítása esetén 3 munkanapon belül az adatvédelemért felelős személy számára elektronikus levélben el kell juttatni mindazokat az információkat, amelyek a jelen Szabályzat mellékletében található adattovábbítási nyilvántartás vezetéséhez szükségesek.

Nem adható át külső személynek titoktartási nyilatkozat hiányában személyes adat.

Adatkezelés tervezésével, informatikai rendszer fejlesztésével kapcsolatos rendelkezések

Adatkezelés tervezése

Személyes adatok kezelésével járó új tevékenységek bevezetésekor az alábbi feladatokat kell elvégeznie az adatvédelemért felelős személynek:

  1. a) meg kell határoznia
  2. a kezelendő személyes adatok körét,
  3. az adatok kezelésének célját,
  4. az adatkezelés jogalapját,
  5. az adatkezelés időtartamát,
  6. b) fel kell mérnie, hogy az adatok milyen informatikai rendszerben lesznek kezelve, az adatok milyen informatikai rendszerben jelennek meg,
  7. c) meg kell határoznia, hogy előre láthatóan az adatokhoz kinek szükséges hozzáférnie az Adatkezelő-en belül, illetve kívül,
  8. d) be kell mutatni, hogy az adatokat szükséges-e továbbítani más személy számára,
  9. e) be kell mutatni, hogy az adatkezeléshez igénybe kell-e venni adatfeldolgozót, amennyiben igen, az adatfeldolgozó feladata mi lesz, várhatóan ki lesz az adatfeldolgozó,
  10. f) meg kell határozni az adatkezelés megkezdésének tervezett időpontját, az adatok felvételének módját és pontos helyét (pl.: erre szolgáló internetes felület vagy papír alapú adatfelvétel).

A kialakított adatkezelési terv alapján az adatkezelésről szóló tájékoztatót és a végleges adatfeldolgozási szerződést az adatvédelemért felelős személy készíti el.

Az adatfeldolgozói szerződések kötelező tartalmi elemei

A szabályzat hatálybalépését követően kötött adatfeldolgozói szerződésekben legalább az alábbiakról rendelkezni kell:

  1. a) szerződés tárgya,
  2. b) az Adatkezelő és az adatfeldolgozó adatai
  3. c) a feldolgozott adatok körének megjelölése,
  4. d) az adatfeldolgozás céljai,
  5. e) az adatfeldolgozás időtartama,
  6. f) a feldolgozandó személyes adatok becsült mennyisége,
  7. g) az adatfeldolgozó által elvégzett technikai műveletek megnevezése és alapvető elemei;
  8. h) az érintettek köre,
  9. i) adatfeldolgozó által ellátandó feladatok pontos leírása,
  10. j) az utasításhoz kötöttség ténye,
  11. k) a tájékoztatási kötelezettséget,
  12. l) azt, hogy az adatfeldolgozó a Rendeletben alkalmazott biztonsági eljárásokra (álnevesítés, titkosítás) felkészül, azokat legkésőbb a Rendelet alkalmazásának megkezdésétől bevezeti;
  13. m) Adatkezelő rendszergazdájának, információbiztonsági felelősének és adatvédelemért felelős személyének elérhetősége,
  14. n) adatfeldolgozó titoktartási kötelezettsége,
  15. o) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedések meghatározása, az adatbiztonsági előírások meghatározása;
  16. p) annak meghatározása, hogy az adatfeldolgozónak az Adatkezelő mely szabályzatainak kell megfelelnie,
  17. q) további adatfeldolgozó igénybevételének lehetőségét, amennyiben ez ismert, a további adatfeldolgozó személyének megjelölésével, amennyiben nem ismert a bevonás menetére vonatkozó rendelkezéseket és az Adatkezelő ellenvetési jogát,
  18. r) a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a Rendelet követelményeinek,
  19. s) az adatfeldolgozás befejezését követően eljárásokat (minden személyes adatot törölni kell vagy vissza kell juttatni az Adatkezelő számára és törölni kell a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő,
  20. t) a további adatfeldolgozóval az adatfeldolgozónak az eredeti szerződésének megfelelő tartalmú szerződést kell kötnie,
  21. u) az együttműködés elvét azaz, hogy az adatfeldolgozónak kötelessége az Adatkezelővel együttműködni az alanyi jogok teljesítési során,
  22. v) az Adatkezelő és az adatfeldolgozó közötti utasításadás, illetve kapcsolattartás módja,
  23. w) a felelősség elvét, azaz annak tényét, hogy az Adatkezelő az adatfeldolgozó rendelkezésére bocsát minden olyan információt, amely az Adatkezelő Rendeletben megfogalmazott kötelezettségeinek teljesítéséhez szükséges,
  24. x) az audit jog kikötését azaz, hogy az adatfeldolgozó köteles elősegíteni az Adatkezelő által vagy az általa megbízott más természetes vagy jogi személy által végzett auditokat, beleértve a helyszíni ellenőrzéseket,
  25. y) a felelősség egyes kérdései a felek között,
  26. z) jogérvényesítési lehetőségek a felek között.

Adatvédelmi incidensekkel kapcsolatos kötelezettségek

Az adatvédelmi incidens alatt a Rendelet értelémben a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

A jelen szabályzat hatály alá tartozó személyek, bármely, az Adatkezelő által vagy közreműködésével működtetett informatikai rendszer esetében haladéktalanul, de legkésőbb 12 órán belül kötelesek jelenteni az adatvédelemért felelős személy számára, ha adatvédelmi incidens gyanúja merül fel, vagy, ha biztos tudomása van arról, hogy adatvédelmi incidens történt.

A bejelentést elsősorban munkaidőben, telefonon keresztül kell megtenni, amelyet az adatvédelemért felelős személy kérésére elektronikus levél formájában is meg kell erősíteni.

Adatvédelmi incidens során alkalmazandó eljárásrend

Az adatvédelemért felelős személy és az egyéb érintett személyek a számukra jelzett, vagy saját hatáskörükben megállapított adatvédelmi incidens felderítése és súlyosságának megállapítása érdekében a jelen fejezetben foglaltak szerint kötelesek eljárni.

Adatkezelő minden szükséges intézkedést megtesz az adatvédelmi incidensek elkerülése érdekében. Amennyiben mégis adatvédelmi incidens következik be:

  1. Az adatvédelemért felelős személy felveszi a kapcsolatot az adatvédelmi incidenssel érintett informatikai rendszer rendszergazdájával, az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdájával, és ha azonosítható ilyen, az incidenst előidéző személlyel.
  2. Az adatvédelemért felelős személynek a felderítés során az alábbi kategóriák valamelyikébe kell az adatvédelmi incidenst sorolni:
  • Alacsony szintű adatvédelmi incidens: a személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset.
  • Közepes szintű adatvédelmi incidens: a személyes adatok csekély körének megváltoztatása, jogosulatlan továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset.
  • Magas szintű adatvédelmi incidens:

             a személyes adatok széles körének jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset estén, illetve

             az adatok körétől függetlenül minden olyan eset, amikor valószínűsíthető, hogy az incidensnek az érintettre hátrányos hatása van, vagy biztosra vehető, hogy az incidensnek az érintettre hátrányos hatása van.

  1. Alacsony szintű adatvédelmi incidens esetén az adatvédelemért felelős személy:
  • az érintett rendszer rendszergazdájával és az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdájával meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,
  • rögzíti az adatvédelmi incidenst az incidensek nyilvántartásába.
  1. Közepes szintű adatvédelmi incidens esetén:
  • az adatvédelemért felelős személy haladéktalanul, de legkésőbb a tudomásszerzéstől számított 12 órán belül munkacsoportot hív össze, amelyben részt vesz az adatvédelemért felelős személyen kívül a rendszergazda, az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdája és Adatkezelő vezetője,
  • a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,
  • az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában,
  • az adatvédelemért felelős személy értesíti a felügyeleti hatóságot 72 órán belül az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően kockázattal jár az érintett vagy más érintettek jogaira és szabadságaira nézve.
  1. Magas szintű adatvédelmi incidens esetén
  • az adatvédelemért felelős személy haladéktalanul, de legkésőbb a tudomásszerzéstől számított 12 órán belül munkacsoportot hív össze, amelyben részt vesz az adatvédelemért felelős személyen kívül a rendszergazda, az adatvédelmi incidenssel érintett adatkezelési folyamat adatgazdája és Adatkezelő vezetője,
  • a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére, továbbá amennyiben szükséges, meghatározza az érintettek értesítésének módját, az értesítés tartalmát, és gondoskodik az érintettek haladéktalan értesítéséről.
  • az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában,
  • az adatvédelemért felelős személy értesíti a felügyeleti hatóságot a tudomásszerzéstől számított 72 órán belül az adatvédelmi incidensről.

Az Adatkezelő az adatvédelemért felelős személy útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából az adatvédelmi incidensekről nyilvántartást vezet, amely tartalmazza az adatvédelmi incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Amennyiben az érintett ezt kéri, az adatvédelemért felelős személy tájékoztatást ad az érintett személyes adatára is kiterjedő adatvédelmi incidensekkel kapcsolatban.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül köteles írásban, vagy ha rendelkezésre áll email cím, akkor emailben tájékoztatni az érintettet az adatvédelmi incidensről.

A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az alábbi információkat:

–              adatvédelemért felelős személy vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

–              ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

–              ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Adatkezelő nem köteles tájékoztatni az érintettet az adatvédelmi incidensről, ha

–              Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazta (különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat).

–              Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.

–              A tájékoztatás aránytalan erőfeszítést tenne szükségessé az Adatkezelő részéről. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása.

Ha Adatkezelő nem értesítette az érintettet az adatvédelmi incidensről, az incidens bejelentését követően a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja, hogy az érintett tájékoztatása az előző pontban foglalt valamely ok miatt nem szükséges.

Adatvédelmi incidens nem csak Adatkezelőnél merülhet fel, hanem a vele szerződéses kapcsolatban álló adatfeldolgozónál is. Ha az adatfeldolgozó rendszerében észlel adatvédelmi incidenst, indokolatlan késedelem nélkül köteles bejelenteni azt Adatkezelőnek, illetve amennyiben nem lehetséges az információkat egyidejűleg közölni, azokat köteles további indokolatlan késedelem nélkül akár részletekben is közölni.

Az adatvédelmi incidens bejelentésének elmaradásából fakadó felelősség a bejelentést elmulasztó adatfeldolgozó terheli.

Amennyiben Adatkezelő észlel adatvédelmi incidenst valamely Adatfeldolgozójánál, vagy adatvédelmi incidens gyanúja merül fel, akkor Adatkezelő az Adatfeldolgozó egyidejű értesítésével lefolytatja az adatvédelmi incidens azonosításával és kezelésével kapcsolatos, jelen pont szerinti eljárását.

Adatvagyon nyilvántartás vezetése

Az adatvédelemért felelős személy az adatkezelések átláthatóságának biztosítása érdekében nem nyilvános adatvagyon nyilvántartást vezet, amely tartalmazza legalább:

  1. a) az Adatkezelő kezelésében lévő adatok felsorolását,
  2. b) azt, hogy adott adat milyen informatikai rendszerben kerül kezelésre,
  3. c) az adatok kezelésének és feldolgozásának fizikai helyszínét,
  4. d) annak leírását, hogy az adatok esetleges továbbítása másik Adatkezelőhöz, illetve átadása adatfeldolgozók részére milyen módon történik, milyen biztonsági intézkedések mellett,
  5. e) az adathoz milyen típusú munkavállalók vagy megbízottak férhetnek hozzá, ideértve az adatfeldolgozásra jogosult személyeket is,
  6. f) az adat kezelésének mi a jogalapja,
  7. g) az adatkezelési tájékoztatót, vagy annak egyértelmű beazonosíthatóságához szükséges adatokat, hogy mikor, milyen adatkezelési tájékoztató vonatkozott az adatkezelésre.

Záró rendelkezések

A szabályzat módosítása esetén az Adatkezelő a belső szabályzatokra irányadó módon hirdeti ki az új szabályzatot.

Kelt: Székesfehérvár, 2018. november 30.