Tartalom 1. Cél A szabályzat hatálya Időbeli hatálya Személyi hatály... 2

Átírás

1 Tartalom 1. Cél A szabályzat hatálya Időbeli hatálya Személyi hatály Tárgyi hatály Hivatkozások Meghatározások Szabályzat tartalma Felelősök, felelősségi körök Adatvédelmi Felelős Adatgazda Az adatok besorolása Általános szabályok Személyes adat kezelése Titoktartási kötelezettség Az adatok kezelése papíralapú adathordozó esetében Az adatok kezelése elektronikus adathordozó esetében Az adatokat tartalmazó adathordozó megsemmisítése Adatnyilvántartás Bejelentés az adatvédelmi nyilvántartásba Adattovábbítás megkeresés alapján A védett adatok kiadása Adattovábbítási nyilvántartás vezetése Hatósági megkeresések teljesítése Az Info tv. szerinti közérdekű - adatigénylés Adatvédelmi oktatás Az Érintett tájékoztatáshoz való joga Tiltakozási, panasztételi jog Ellenőrzés Kapcsolódó folyamatutasítások Hatályon kívül helyezés...14

2 1. Cél A Magyar Földgázkereskedő Zrt. (továbbiakban: Társaság vagy MFGK) működése során a személyes adatok, a tevékenység során keletkező üzleti titkot jelentő, illetve egyéb adatok kezelésére, kiadhatóságára, és megsemmisítésére, továbbá a belső információk védelmére vonatkozó szabályok meghatározása. A Társaság által vezetett adatnyilvántartások rendjének, az adatvédelem alkotmányos elvének, az információs önrendelkezési jognak, s az adatbiztonság követelményeinek érvényesülését szükséges biztosítani. A szabályzat célja megakadályozni a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását, valamint biztosítani az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény rendelkezéseinek való megfelelést. 2. A szabályzat hatálya 2.1. Időbeli hatálya A szabályzat a hatályba helyezés napjától a hatályon kívül helyezéséig alkalmazandó Személyi hatály A szabályzat személyi hatálya kiterjed: a Társaság valamennyi munkavállalójára, a Társaság informatikai rendszerével, szolgáltatásaival kapcsolatban a Társasággal szerződéses jogviszonyban álló, személyes, bizalmas adat és üzleti titok kezelését végző természetes és jogi személyre, jogi személyiséggel nem rendelkező szervezetekre (továbbiakban együttesen: Partnerek) a velük kötött adatkezelési megállapodásoknak megfelelő módon és mértékben Tárgyi hatály A szabályzat tárgyi hatálya kiterjed az MFGK székhelyén az informatikai erőforrások üzemelési és felhasználási helyeire a Társaság szervezeti egységei által, valamint külső szolgáltató által kezelt valamennyi személyes adatra, bizalmas és/vagy üzleti titkot jelentő adatra, valamint a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül. 3. Hivatkozások Információs önrendelkezési jogról és az Információszabadságról szóló évi CXII. törvény (továbbiakban: Info. tv) MFGK-BSz-054 Az MFGK Zrt. Információbiztonsági szabályzata MFGK-BSz-054-M-01 Információs vagyonleltár MFGK-BSz-127 Az MFGK Zrt. Adatszolgáltatási szabályzata MFGK-BSz-152 Az MFGK Zrt. Titkos ügyirat kezelési szabályzata 4. Meghatározások A szabályzatban alkalmazott rövidítések és megnevezések felsorolását a következő fejezet tartalmazza: Adatfeldolgozó Az a természetes személy, jogi személy, jogi személyiséggel nem rendelkező szervezet vagy egyéni vállalkozó, aki az adatkezelő részére adatfeldolgozást végez.

3 Adatfeldolgozás Adatgazda Az adatkezeléshez kapcsolódó technikai feladatok elvégzése. Az a személy, aki élve a Társaság által biztosított jogosultságával, adatot osztályba sorol jelen szabályzat 5.2 pontja szerint és felelős az általa osztályba sorolt adat kezeléséért. Adatkezelés Adatkezelő Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összességét jeleneti, így például az adat gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Az adatkezelést végző természetes vagy jogi személy. Az adatkezelő meghatározza az adatkezelés célját, valamint az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. Adatvédelmi Felelős Az a személy, aki az adatkezelésre vonatkozó jogszabályok és jelen szabályzat rendelkezéseinek megtartásáért felelős. Adattörlés Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. Adatmegsemmisítés Az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése. Adattovábbítás Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. EGT-állam Az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez. Érintett Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy. Harmadik ország Hozzájárulás Információbiztonsági Felelős Különleges adat Minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek. Az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok teljes körű vagy egyes műveletekre kiterjedő kezeléséhez. Az MFGK-BSZ-054 Az MFGK Zrt. Információbiztonsági szabályzatban meghatározott feladatkört betöltő személy. Olyan adat, amely a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, az

4 Személyes adat Tiltakozás Ügyfél Üzleti titok Védett adat egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozik. Különleges adat a bűnügyi személyes adat is, amely a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az Érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat. Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: Érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintett különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Az Érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. Jelen szabályzatban a Társaság üzleti partnerei (vevők, beszállítók). Üzleti titok a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli. (Ptk. 2:47 ) A törvény erejénél fogva minősül védett adatnak, ezért az ezekkel kapcsolatos titokvédelmi szabályokat akkor is alkalmazni kell, ha az adatvédelmi minősítés nincs az adathordozón megjelölve, vagy a védett adat birtokába kerülő személy figyelmét az adatvédelmi szabályok alkalmazásának kötelezettségére az adat átadásakor külön nem hívták fel. A védett adat kiadhatósága kérdésében az Adatvédelmi Felelős szakvéleménye az irányadó. Védett adat különösen a személyes adat, a különleges adat és az üzleti titok (Ptk. 2:47 ) Adatvédelmi incidens Személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

5 5. Szabályzat tartalma 5.1. Felelősök, felelősségi körök A szabályzatot évente felül kell vizsgálni, a felülvizsgálat az Adatvédelmi Felelős, mint folyamatgazda feladata. A Társaság az adatvédelmi feladatokkal kapcsolatban az alábbi felelősségi köröket különbözteti meg: Adatvédelmi Felelős A Társaság Adatvédelmi Felelős személyét az MFGK-BSz-145-M-01 Az Adatvédelmi Felelős adatai című melléklet rögzíti. Az Adatvédelmi Felelős folyamatosan ellenőrzi az adatkezelésre vonatkozó jogszabályok és jelen szabályzat rendelkezéseinek megtartását. Amennyiben a tevékenysége során jogszabálysértést, vagy jogosulatlan adatkezelést észlel, annak megszüntetésére szólítja fel az adatkezelőt, adatfeldolgozót, vagy az adattal kapcsolatba került egyéb személyt. Amennyiben adatkezeléssel kapcsolatos panasz érkezik, a panaszt haladéktalanul továbbítani kell az Adatvédelmi Felelősnek. Az Adatvédelmi Felelős a panasszal kapcsolatban a jelen szabályzat 5.7. Tiltakozási, panasztételi jog című pontjában foglaltak szerint jár el. Amennyiben nem egyértelmű, hogy egy adat tekintetében a jelen szabályzat mely rendelkezéseit kell alkalmazni, e kérdésben az Adatvédelmi Felelős állásfoglalása az irányadó Adatgazda Adatgazdák a Társaság MFGK-BSz-054 Az MFGK Zrt. Információbiztonsági szabályzat MFGK-BSz-054-M-01 Információs vagyonleltár című mellékletében kerültek meghatározásra. Az Adatgazdák a területükön keletkező, illetve a hozzájuk tartozó alkalmazásokban található, illetve létrejövő adatokat besorolják, nyilvántartják. Az Adatgazdák az adatok besorolásáért, nyilvántartásáért, megőrzéséért, kezelésért és a jelen szabályzat betartásáért felelősek. Az Adatvédelmi Felelős ellenőrizheti, az adatok megfelelő besorolását, illetve a besorolásnak megfelelő kezelést. Az Adatgazdák nyolc napon belül kötelesek bejelenteni ben a Társaság Adatvédelmi Felelősének az MFGK-BSz-145-NY-01 Adatlap című formanyomtatványon, ha a jelen szabályzat első kiadása hatálybalépésének időpontját követően bejelentett adatkezelésekben (ideértve az adattovábbításokat is) változás következik be. Az új adatkezeléseket az adatkezelés tervezett bevezetése előtt legalább negyvenöt nappal (ügyfél adatkezelés esetén), illetve legalább tizennégy nappal (nem-ügyfél adatkezelés esetén) kell bejelenteni az Adatvédelmi Felelősnek, illetve az engedély megadását követően a már bejelentett adatok megváltozása esetén a változást három napon belül ugyancsak be kell jelenteni Az adatok besorolása A Társaság információrendszerében feldolgozott, továbbított, tárolt adatok kockázatarányos védelmének biztosítása érdekében az adatokat be kell sorolni információvédelmi osztályokba. Az információ-osztályozási rendszert kell használni a védettségi szintek meghatározására, valamint arra, hogy közvetítse a különleges kezelési intézkedésekre vonatkozó igényt. Az osztályozási rendszernek figyelembe kell vennie:

6 az információ osztályba sorolt vagyontárgyak sértetlenségének, rendelkezésre állásának és bizalmasságának az üzletmenetre gyakorolt hatását; a sértetlenség, rendelkezésre állás és bizalmasság elvesztéséből eredő vagyoni és nem vagyoni kár nagyságát; tárolás esetén az adathordozó típusát; a teljes körűség elvét, vagyis az osztályozásnak ki kell terjednie a rendszer összes eleme által kezelt információra; a besorolásnál fellépő (esetleges) logikai ütközéseket. Minden besorolási osztálynak tartalmaznia kell a kezelés információfeldolgozás - eljárását is, mely kiterjed a: feldolgozásra, módosításra, másolásra, tárolásra, továbbításra, megsemmisítésre. Az információrendszerben elektronikusan tárolt adatok esetén az adatok azon halmazát, amelyekre a tárolás számítástechnikai körülményeiből adódóan jellemzően azonos védettség valósítható meg (közös adatbázis, azonos könyvtár), ugyanabba az információvédelmi osztályba kell sorolni, mégpedig oly módon, hogy a halmaz egészére ki kell terjeszteni a halmaz legérzékenyebb elemének besorolását. Az Adatgazdák az Információbiztonsági Felelős kezdeményezésére és koordinálásával az adatok osztályozását évente legalább egyszer felülvizsgálják, és a besorolást megváltoztatják vagy jóváhagyják. Változtatásra akkor kerül sor, ha: az adatkezelést és feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében lényeges változás áll be, a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben lényeges változás áll be. Az adatokat az alábbiak szerint kell besorolni a meghatározott biztonsági osztályokba: Információvédelmi biztonsági osztály Nyilvános Belső Az adott biztonsági osztályra jellemző adattípusok o Ide tartoznak a jogszabályok által nem védett adatok, pl.: A gazdálkodáshoz kapcsolódó mérlegadatok, amelyek közzétételére kötelezett a Társaság, Interneten közzétett, nyilvánosan szolgáltatott információk, tesztszolgáltatások, o Ide tartoznak a jogszabályok által védett adatok, pl.: Belső előterjesztések, jegyzőkönyvek, határozatok, utasítások, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba, Definíció, vagy szabályzat szerinti belső adatok, információk, amelyek csak belső üzleti célokra használhatóak fel, Nyilvános biztonsági osztályba kerülő adatok előkészítése során előálló munkaanyagok, amelyek nem kerülnek külön besorolás révén a bizalmas

7 Bizalmas Szigorúan bizalmas biztonsági osztályba, Minden olyan adat, melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest jelentéktelen mértékű veszteséggel jár. o Ide tartoznak a jogszabályok által védett adatok vagy a bizalmas ügyfél adatok, pl.: A Társaság normál üzleti tevékenységével kapcsolatos szerződés- és ügyféladatok, Harmadik feleknek (szerződéses partnereknek, felügyeleti szerveknek, hatóságoknak) szolgáltatott adatszolgáltatás Definíció, vagy szabályzat szerint ide sorolt információ, A Társaság informatikai infrastruktúrájával kapcsolatos végleges, a pillanatnyi működést dokumentáló információk, Olyan adatok, amelyek nyilvánosságra kerülése hátrányosan befolyásolhatja a Társaság üzleti érdekeit, Minden olyan adat, melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül nem kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest közepes mértékű veszteséggel jár. o Ide tartoznak a jogszabályok által védett különleges adatok (pl. nagy tömegű személyes) vagy bizalmas ügyfél adatok, ügyfél titkok, pl.: Azonosító és hitelesítő adatok, információk (azon információk köre, amelyek kapcsolattartás során a jogi és anyagi kötelezettség elismeréséhez szükséges formai kelléknek, azonosító és hitelesítő adatnak minősülnek), Olyan adatok, amelyek nyilvánosságra kerülése különösen hátrányosan befolyásolja a Társaság üzleti érdekeit, Minden olyan adat, melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül már nem kezelhető vagy jelentős és összemérhető a Társaság költségvetésével továbbá a Társaság szellemi erőforrásaihoz képest is jelentős mértékű veszteséggel és súlyos társadalom-politikai hatással jár. Azon adatok, amelyek egyértelműen máshova nem kerültek besorolásra, a Belső kategóriába tartoznak. A fenti besorolást kell alkalmazni az adatok mind elektronikus, mind nyomtatott formában történő megjelenése esetén.

8 5.3. Általános szabályok Személyes adat kezelése Személyes adat a Társaságban akkor kezelhető, ha ahhoz az érintett írásban hozzájárult, vagy törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. Személyes adat akkor is kezelhető, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Ha az Érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az Érintett személyes adatai kezelhetőek. Ha a személyes adat felvételére az Érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az Érintett hozzájárulásának visszavonását követően is kezelheti. Ha a hozzájáruláson alapuló adatkezelés célja az Adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az Érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az Érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. Az Info. tv. szerint az Érintett kérésére induló eljárásban a szükséges adatoknak a kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az Érintett figyelmét fel kell hívni. Az Érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről (tájékoztatás) az Adatkezelő feladata gondoskodni. Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az Érintett személyes adatait az adatkezelő az Info. tv. 6. (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

9 Ha az Érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az Érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az Érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma. Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e kritériumoknak, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, továbbá csak a cél megvalósulásához szükséges mértékben és ideig. Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről Titoktartási kötelezettség Belső, bizalmas és szigorúan bizalmas adatot időkorlátozás nélkül köteles minden az adathoz hozzáférő személy titokban tartani és biztosítani azt, hogy védett, illetve üzleti adatot törvényben, valamint a jelen szabályzatban foglalt esetek kivételével harmadik személy ne ismerhesse meg, és az adat ne váljon hozzáférhetővé. Az adatkezelés céljának megszűnését követően az adatot - amennyiben azok megőrzését jogszabály, hatósági határozat vagy a Társaság valamely belső szabályozó dokumentuma nem írja elő - törölni kell Az adatok kezelése papíralapú adathordozó esetében Belső, bizalmas és szigorúan bizalmas adatot tartalmazó iratokat olyan módon kell kezelni, amely biztosítja, hogy illetéktelen személy azokhoz ne férhessen hozzá. Az adatokat tartalmazó iratokat elzárás nélkül őrizetlenül hagyni nem szabad. Az MFGK-BSz-152 Az MFGK Zrt. Titkos ügyirat kezelési szabályzata szerint titkos ügyirattá minősített iratokat az ott meghatározottak szerint szükséges kezelni. A bizalmas adatot tartalmazó irat házon kívülre történő kézbesítése csak zárt borítékban vagy olyan irattartó használatával történhet, amely alkalmas arra, hogy az iratot teljes terjedelmében takarja, és az irattartó illetéktelen kinyitása felismerhető legyen. A zárt boríték, illetve az irattartó csak a címzettnek, vagy megbízottjának (a megbízó és két tanú által aláírt megbízás bemutatása ellenében) adható át. Az Adatvédelmi Felelőst értesíteni kell, ha a borítékot, illetve az irattartót az átvételt megelőzően felnyitották Az adatok kezelése elektronikus adathordozó esetében Bizalmas és szigorúan bizalmas adatok a Társaság szervezeti rendszerén belül a feladat elvégzéséhez szükséges mértékben és ideig továbbíthatók azon szervezeti egységek részére, amelyek az adatok kezelésében és feldolgozásában részt vesznek. Elektronikus úton, a Társaságon kívüli címzetthez belső, bizalmas adatot csak titkosított csatornán, vagy az adatok titkosítását követően szabad továbbítani. A titkosítás módját a

10 Társaság MFGK-BSz-054 Az MFGK Zrt. Információbiztonsági szabályzata határozza meg, amelytől eltérni kizárólag az Információbiztonsági Felelős előzetes engedélyével lehet Az adatokat tartalmazó adathordozó megsemmisítése Belső, bizalmas, vagy a Társasághoz bármilyen módon köthető adatokat tartalmazó adathordozót oly módon kell selejtezni, hogy az eljárás eredményeképpen az adathordozó adattartalma semmilyen módon ne legyen helyreállítható (fizikai megsemmisítése, bezúzás, mágneses vagy flash alapú adathordozó esetén többszörös felülírás stb.). A selejtezett és megsemmisített anyagokról jegyzőkönyvet kell felvenni. A megsemmisítés csak akkor lehetséges, ha az adat tárolására vonatkozó jogszabályok által meghatározott kötelező megőrzési idő lejárt. Az adatokat tartalmazó irat előkészítése során keletkezett olyan papírhulladékot, amelyből az adatok kinyerhetőek, a használatot követően haladéktalanul iratmegsemmisítővel kell megsemmisíteni Adatnyilvántartás Az Adatgazdáknak nyilvántartást kell vezetniük az adatkezelés megkezdése előtt azon adatokról, amelyek nyilvántartása kötelező. A nyilvántartandó adatokat a mindenkori jogszabályok határozzák meg. A nyilvántartásnak az alábbi adatokat kell tartalmaznia: az adatkezelés célját; az adatok fajtáját és kezelésük jogalapját; az Érintettek körét; az adatok forrását; a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; az egyes adatfajták törlési határidejét; az adatok kezelőjét (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, elérhetősége). Az adatkezelés megszűnése után a nyilvántartást archiválni kell. Az archivált nyilvántartás öt év elteltével megsemmisíthető Bejelentés az adatvédelmi nyilvántartásba Az Adatvédelmi Felelős a honlapról letölthető formanyomtatvány kitöltésével vagy az Info. tv ában meghatározott tartalommal saját maga által kialakított űrlapon jelenti be az adatkezeléseket a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) nyilvántartásába. Nem kell bejelenteni az Info. tv. 65. (3) bekezdésében felsorolt adatkezeléseket, de különösen, ha az adatkezelés: az adatkezelővel munkaviszonyban, tagsági viszonyban, álló személyek adataira vonatkozik; az Érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik; a hatósági, az ügyészségi és a bírósági eljárás által Érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira vonatkozik;

11 a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy - törvényben meghatározottak szerint - az adatok Érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra. A személyes adatok kezelésének nyilvántartásba vételét az Adatvédelmi Felelős a kötelező adatkezelés kivételével az adatkezelés megkezdése előtt kérelmezi a Hatóságnál. A kötelező adatkezelés kivételével az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg. A kötelező adatkezelés nyilvántartásba vételét az adatkezelő az adatkezelést elrendelő jogszabály hatálybalépését követő húsz napon belül kérelmezi a Hatóságnál. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. A Hatóság az adatkezelést a kérelem beérkezésétől számított nyolc napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatványban elkért adatokat. Ha a Hatóság a nyilvántartásba vétel iránti kérelmet határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltak szerint megkezdheti. Ha a kérelem olyan adatkezelés nyilvántartásba vételére irányul, amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, illetve amely az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé, a nyilvántartásba vétel feltétele, hogy az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók legyenek. Az előző bekezdésben tárgyalt adatkezelést a Hatóság a kérelem beérkezésétől számított negyven napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatvány szerinti adatokat és az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók. Ilyen esetben az adatkezelés nem kezdhető meg a nyilvántartásba vételről szóló határozat kézhezvétele előtt. A Hatóság az adatvédelmi nyilvántartásba vételi kérelemnek helyt adó határozata tartalmazza az adatkezelés nyilvántartási számát, amelyet az Adatkezelőnek az adatok minden továbbításánál, nyilvánosságra hozásánál és az Érintettnek való kiadásakor fel kell tüntetnie. A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét. A bejelentett adatok megváltozása esetén az Adatkezelő a változás bekövetkezésétől számított nyolc napon belül változásbejegyzési kérelmet nyújt be a Hatóságnak. A kérelemnek csak a megváltozott adatokat kell tartalmaznia Adattovábbítás megkeresés alapján A védett adatok kiadása Személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak a szabályzat jelen fejezetében meghatározott valamely jogalap alapján lehet. EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor. EGT-államon kívüli országban lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha

12 ahhoz az Érintett kifejezetten hozzájárult; vagy az adatkezelés jogalapja biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme. A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha az Európai Unió kötelező jogi aktusa azt megállapítja (különösen, ha a célországban lévő adatkezelő vagy adatfeldolgozó szerepel az ún. Safe Harbor listán), vagy a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban. Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén. A nyilvánosságra hozatal azonban nem eredményezheti az olyan adatokhoz így különösen a védett ismerethez való hozzáférést, amelyek megismerése az üzleti tevékenység végzése szempontjából aránytalan sérelmet okozna, feltéve hogy ez nem akadályozza meg a közérdekből nyilvános adat megismerésének lehetőségét. Védett adat kiadására vonatkozó döntés meghozatalára kivéve, ha jogszabály vagy belső szabályzat másként nem rendelkezik csak a Társaság vezérigazgatója jogosult. Az adatot kiadó személy az adatkiadásért felelősséggel tartozik Adattovábbítási nyilvántartás vezetése Az Érintett kérelmére az Adatkezelő tájékoztatást ad az Érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az Érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az Érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza: az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. A Társaság az adattovábbításokat MFGK-BSz-145-NY-02 Adattovábbítási nyilvántartás című formanyomtatványon az ott meghatározott formában és tartalommal tarja nyilván. Az adattovábbítási nyilvántartás adatai az Info. tv. 17. (3) bekezdésének figyelembevételével törölhetők Hatósági megkeresések teljesítése Hatósági, bírósági megkeresés alapján védett adatot kivéve, ha a jogszabály másként nem rendelkezik az MFGK-BSz-127 Az MFGK Zrt. Adatszolgáltatási szabályzatában meghatározott előírásokkal összhangban lehet teljesíteni. Az adatot kiadó az adatkiadásért felelősséggel tartozik. Kivételesen (különösen indokolt esetben) akkor is teljesíthető a hatósági, bírósági megkeresés, ha nem áll rendelkezésre a megkeresés eredeti példánya (például, mert a

13 megkeresés a nyomozati cselekmények sürgőssége miatt telefaxon érkezett). Ilyen esetben a megkeresés eredeti példányát haladéktalanul be kell szerezni Közérdekű adatigénylés Amennyiben a Társasághoz az Info tv. szerinti, a közérdekű adat megismerésére irányuló írásbeli adatigénylés érkezik, akkor a megkeresést az Adatvédelmi Felelőshöz kell továbbítani, aki a vonatkozó jogszabályi előírások szerint jár el Adatvédelmi oktatás Az Adatvédelmi Felelős gondoskodik a szervezeten belül az adatvédelmi ismeretek évente egy alkalommal történő, kötelező oktatásáról. Az oktatáson a Társaság minden munkatársa köteles részt venni. Az oktatáson való részvételt jelenléti ívvel dokumentálni kell, amelyet az Adatvédelmi Felelős tárol. Az oktatásról készített MFGK-BSz-145-NY-03 Jelenléti ív című formanyomtatvány kitöltött elektronikus példányát meg kell küldeni a Humán szervezetnek Az Érintett tájékoztatáshoz való joga Az Érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről. E jogát oly módon kell biztosítani, hogy az Érintett más személy adatait ne ismerhesse meg. Az Érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat, valamint az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá az Érintett személyes adatainak továbbítása esetén az adattovábbítás jogalapjáról és címzettjéről. Az Adatvédelmi Felelős nyilvántartást vezet, amely tartalmazza az adatvédelmi incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. A tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 25 napon belül, közérthető formában kell teljesíteni. Amennyiben az Érintett úgy rendelkezik, a tájékoztatást írásban kell megadni. A tájékoztatás megadása, és továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan az Érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek szerződésben is rendelkezhetnek. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg: az Érintett nem a saját adataira vonatkozóan kér tájékoztatást; a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel Érintett személy;

14 amennyiben törvény a tájékoztatást kizárja; ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az Érintett tájékoztatási jogának korlátozását. A felvilágosítás megtagadása esetén tájékoztatni kell az Érintettet a bírósághoz és a Hatósághoz fordulás jogáról. Ezen felül a folyó évet követő január 31-éig tájékoztatni kell a Hatóságot az elutasított kérelmekről Tiltakozási, panasztételi jog Amennyiben a Társaság ügyfele, egyéb személy vagy szervezet tiltakozik védett adatainak kezelése ellen vagy az adatkezelés módjával kapcsolatban panaszt nyújt be, az Adatvédelmi Felelős a tiltakozást, panaszt köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb tizenöt nap alatt megvizsgálni. A panaszügyet az Adatvédelmi Felelős vizsgálja ki vagy utasítja az Adatgazdát a kivizsgálás lefolytatására. Ebben az esetben az Adatgazda a kivizsgálás eredményéről az Adatvédelmi Felelőst tájékoztatja. Amennyiben az Adatvédelmi felelős úgy látja jónak, a kivizsgálásba bevonhatja az Információbiztonsági Felelőst. A vizsgálat eredményéről az Adatvédelmi Felelős a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás vagy a panasz indokolt, az Adatvédelmi Felelős intézkedik az adatkezelés jogszabályok, illetve jelen szabályzat szerinti kezeléséről. Az Adatvédelmi Felelős a tiltakozásról, panaszról továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a Társaság az Érintett védett adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási, panasztételi jog érvényesítése érdekében. Az Adatvédelmi Felelős az adatkezeléssel kapcsolatos panaszokról nyilvántartást vezet. A Társaság munkavállalói, illetve egyéb szerződéses jogviszony alapján a Társaságban munkát végző személyek az Adatvédelmi Felelős eljárása során kötelesek annak utasításait követni Ellenőrzés Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását, az Adatgazdák, valamint az Adatvédelmi Felelős folyamatosan ellenőrzik Kapcsolódó folyamatutasítások Nincsenek kapcsolódó folyamatutasítások. 6. Hatályon kívül helyezés Nincsenek hatályon kívül helyezett dokumentumok