A NetLib Kft. Adatvédelmi és Adatbiztonsági Szabályzata

Átírás

1 A NetLib Kft. Adatvédelmi és Adatbiztnsági Szabályzata 1 Bevezető rendelkezések 1.1 Az Adatvédelmi és Adatbiztnsági Szabályzat célja, hatálya Az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvény 24. (3) bekezdésében meghatárztt törvényi kötelezettségét a NetLib Kft. jelen Szabályzat megalktásával teljesíti. Az Adatvédelmi és Adatbiztnsági Szabályzat célja, hgy meghatárzza a NetLib Kft.-nél mint Adatkezelőnél zajló adatkezelések törvényes kereteit, biztsítsa az adatvédelem alktmánys elveinek és az infrmációs önrendelkezési jgnak az érvényesítését, elősegítse az adatbiztnság követelményeinek való megfelelést, tvábbá megakadályzza a jgsulatlan adatkezelést. Az Adatvédelmi és Adatbiztnsági Szabályzat kialakítja az adatvédelem szempntjából fnts feladatkat, felelősségi visznykat, különös tekintettel a munkavállalók szerepére az adatbiztnságban. Jelen Szabályzat hatálya kiterjed a NetLib Kft. egyes szervezeti egységei közötti, az Adatkezelő által igénybe vett adatfeldlgzók felé irányuló adatáramlásra, valamint az Adatkezelő és más adatkezelőkkel való személyes adatkat érintő kmmunikációra. Jelen Szabályzat hatálya kiterjed a NetLib Kft. székhelyén flyó valamennyi adatkezelésre, adattvábbításra, infrmációátadásra, az ezen adatkezelés, infrmációátadás tárgyát képező adat, jelen Szabályzatban meghatárzttak szerinti, üzleti titkként és személyes adatként kezelésével és védelmével kapcslats tevékenységekre. A Szabályzat személyi hatálya kiterjed a NetLib Kft. valamennyi szervezeti egységére, minden alkalmazttjára, valamint a vele szerződéses vagy egyéb kapcslatban álló, személyes adatkezelést végző személyekre. A Szabályzat tárgyi hatálya kiterjed a NetLib Kft. szervezeti egységei által kezelt valamennyi személyes adatra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldlgzásuk helyétől, valamint megjelenési frmájuktól függetlenül. 1.2 Jgszabályi hivatkzás, kapcslat az adatkezelő belső szabályzataival Jelen Adatvédelmi és Adatbiztnsági Szabályzat jgszabályi alapját a következő törvények jelentik: Magyarrszág Alaptörvénye; évi CXII. törvény az infrmációs önrendelkezési jgról és az infrmációszabadságról (a tvábbiakban Inftv.); évi V. törvény a Plgári Törvénykönyvről (Ptk.); Az Európai Parlament és a Tanács 2016/679. Rendelete ( Általáns Adatvédelmi Rendelet vagy GDPR ) évi I. törvény a munka törvénykönyvéről (Mt.) a Gazdasági reklámtevékenység alapvető feltételeiről és egyes krlátairól szóló évi XLVIII. törvény ( Grtv. ) Jelen Adatvédelmi és Adatbiztnsági Szabályzat az Adatkezelő alábbi belső szabályzataihz kapcslódik, azkkal együttesen értelmezendő: Biztnsági Szabályzat; ldal 1 / 14

2 Szerződés- és dkumentumkezelési Szabályzat; Iratkezelési Szabályzat; a NetLib Kft. mindenkri Üzletszabályzatai. 2 Értelmező rendelkezések Adatkezelés: az alkalmaztt eljárástól függetlenül a Személyes adatkn végzett bármely művelet vagy a műveletek összessége, így különösen a Személyes adatk gyűjtése, rögzítése, rendszerezése, taglása, tárlása, átalakítása, megváltztatása, felhasználása, lekérdezése, betekintése, felhasználása, közlése, tvábbítása, terjesztése vagy egyéb módn hzzáférhetővé tétele, nyilvánsságra hzatala, összehanglása vagy összekapcslása, krlátzása, törlése és megsemmisítése. érintett: bármely meghatárztt, személyes adat alapján aznsíttt vagy közvetlenül vagy közvetve aznsítható természetes személy; hzzájárulás: az érintett kívánságának önkéntes és határztt kinyilvánítása, amely megfelelő tájékztatásn alapul, és amellyel félreérthetetlen beleegyezését adja a rá vnatkzó személyes adat - teljeskörű vagy egyes műveletekre kiterjedő - kezeléséhez; tiltakzás: az érintett nyilatkzata, amellyel személyes adatának kezelését kifgáslja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri; adattörlés: az adat felismerhetetlenné tétele ly módn, hgy a helyreállítása többé nem lehetséges; adatmegjelölés: az adat aznsító jelzéssel ellátása annak megkülönböztetése céljából; adatzárlás: az adat aznsító jelzéssel ellátása tvábbi kezelésének végleges vagy meghatárztt időre történő krlátzása céljából; adatmegsemmisítés: az adatt tartalmazó adathrdzó teljes fizikai megsemmisítése; harmadik személy: lyan természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely nem azns az érintettel, az adatkezelővel vagy az adatfeldlgzóval; harmadik rszág: minden lyan rszág, amely nem tagja az Európai Gazdasági Térségnek; EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapdásban részes más állam, tvábbá az az állam, amelynek államplgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapdásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapdásban részes állam államplgárával azns jgállást élvez; üzleti titk: a gazdasági tevékenységhez kapcslódó minden lyan tény, infrmáció, megldás vagy adat, amelynek nyilvánsságra hzatala, illetéktelenek által történő megszerzése vagy felhasználása a jgsult - ide nem értve a magyar államt - jgszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titkban tartása érdekében a jgsult a szükséges intézkedéseket megtette; adatvédelmi incidens: személyes adat jgellenes kezelése vagy feldlgzása, így különösen a jgsulatlan hzzáférés, megváltztatás, tvábbítás, nyilvánsságra hzatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés (pl. az adatkezelésekről szóló részletes tájékztatás elmaradása, az adatk megfelelő jgalap nélküli gyűjtése, az adatk jgsulatlan tárlása, valamint a tűz- és vízkár, áramkimaradás, villámcsapás kzta megsemmisülés és sérülés, stb.). ldal 2 / 14

3 3 Az adatkezelő adatai Név: NetLib Kft. Ügyvezető: Szilágyi Lránd Székhely: 1148 Budapest, Örs vezér tere 1. IV. em. 26. Cégjegyzékszám: Adószám: Elérhetőségei: Tel.: (06-1) ldal 3 / 14

4 4. Adatvédelem 4.1 Adatkezelőre és adatkezelésre vnatkzó szabályk, alapelvek Az adatvédelmi szabályk betartásáért az Adatkezelő a felelős. Az Adatkezelő szervezet dlgzója az adatvédelmi és adatbiztnsági szabályk betartásáért személyes felelősséggel tartzik. Az Adatkezelő személyes adatkat csak a következő jgalapkn kezel: az érintett hzzájárulásával, vagy ha az adatkezelés lyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél Személyes adat akkr is kezelhető, ha az érintett hzzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vnatkzó jgi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jgs érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatk védelméhez fűződő jg krlátzásával arányban áll. Ha az érintett cselekvőképtelensége flytán vagy más elháríthatatlan kból nem képes hzzájárulását megadni, akkr a saját vagy más személy létfntsságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításáhz vagy megelőzéséhez szükséges mértékben a hzzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek. Ha a személyes adat felvételére az érintett hzzájárulásával került sr, az Adatkezelő a felvett adatkat törvény eltérő rendelkezésének hiányában a rá vnatkzó jgi kötelezettség teljesítése céljából, vagy az Adatkezelő vagy harmadik személy jgs érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatk védelméhez fűződő jg krlátzásával arányban áll tvábbi külön hzzájárulás nélkül, valamint az érintett hzzájárulásának visszavnását követően is kezelheti. Ha a hzzájárulásn alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden lyan infrmációt, amelyet a személyes adatk kezelése szempntjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatk meghatárzását, az adatkezelés időtartamát, a felhasználás célját, az adatk tvábbításának tényét, címzettjeit, adatfeldlgzó igénybevételének tényét. A szerződésnek félreérthetetlen módn tartalmaznia kell, hgy az érintett aláírásával hzzájárul adatainak a szerződésben meghatárzttak szerinti kezeléséhez. Az érintett kérelmére indult eljárásban, az annak leflytatásáhz szükséges adatainak kezeléséhez való hzzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni. Az érintett az adatkezeléshez való hzzájárulását kizárólag részletes és egyértelmű tájékztatás birtkában adhatja meg, melyről az Adatkezelő feladata gndskdni. Az érintettel az adatkezelés megkezdése előtt közölni kell, hgy az adatkezelés hzzájárulásn alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékztatni kell az adatai kezelésével kapcslats minden tényről, így különösen az adatkezelés céljáról és jgalapjáról, az adatkezelésre és az adatfeldlgzásra jgsult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az Inftv. 6. (5) bekezdése alapján kezeli, illetve arról, ldal 4 / 14

5 hgy kik ismerhetik meg az adatkat. A tájékztatásnak ki kell terjednie az érintett adatkezeléssel kapcslats jgaira és jgrvslati lehetőségeire is. Kötelező adatkezelés esetén a tájékztatás megtörténhet az adatkezelésre vnatkzó infrmációkat tartalmazó jgszabályi rendelkezésekre való utalás nyilvánsságra hzatalával is. Ha az érintettek személyes tájékztatása lehetetlen vagy aránytalan költséggel járna, a tájékztatás megtörténhet az alábbi infrmációk nyilvánsságra hzatalával is: az adatgyűjtés ténye, az érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatk megismerésére jgsult lehetséges adatkezelők személye, az érintettek adatkezeléssel kapcslats jgainak és jgrvslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma. Személyes adatt kezelni csak meghatárztt célból, jg gyakrlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e kritériumknak, tvábbá az adatk felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak lyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásáhz elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásáhz szükséges mértékben és ideig. Az Adatkezelő köteles gndskdni a kezelésében lévő adatk minőségéről, így különösen azk pntsságáról, teljességéről és naprakészségéről Szervezeten belüli feladatk és felelősségek Adatvédelmi nyilvántartás A NetLib Kft. adatvédelmi nyilvántartás készít és vezet. A belső adatvédelmi nyilvántartás a NetLib Kft. egyes személyes adatkezeléseinek közpnti nyilvántartása. A nyilvántartásban haladéktalanul rögzíteni kell a meglévő és új adatkezeléseket, és a krábbi adatkezelések váltzásait, míg a megszűnt adatkezeléseket törölni kell a nyilvántartásból. A belső adatvédelmi nyilvántartást a következő tartalmmal kell vezetni: a) adatkezelés megnevezése, b) adatkezelés célja, c) az adatkezelés jgalapja, d) a kezelt adatk köre, e) az adatkezelés időtartama. A belső adatvédelmi nyilvántartás részét képezik az Inftv a alapján elkészített, az egyes adatkezeléseket részletesen ismertető adatkezelési tájékztatók Az adatkezelést végző személy A NetLib Kft. szervezetén belül adatkezelést végző személy a tevékenységi körén belül felelős az adatk feldlgzásáért, megváltztatásáért, törléséért, tvábbításáért és nyilvánsságra hzataláért, valamint az adatk pnts, követhető dkumentálásáért. Az adatkezelést végző személy tevékenysége srán: kezeli és megőrzi a feladata ellátása srán birtkába került adatkat; ügyel a személyes adatkat tartalmazó nyilvántartásk biztnságs kezelésére és tárlására; gndskdik arról, hgy az általa kezelt adatkhz illetéktelen személy ne férhessen hzzá; ldal 5 / 14

6 betartja az adatkezelésre vnatkzó jgszabálykat és belső utasításkat; haladéktalanul jelzi vezetője felé, amennyiben az adatvédelmi ügyben a felettes segítségére szrul; haladéktalanul jelzi vezetője felé, amennyiben adatbiztnsági vagy az adatk kezelésére vnatkzó jgi szabálykat érintő incidens merül fel; részt vesz az adatkezeléssel, adatvédelemmel összefüggő ktatáskn. Aki üzleti titk illetve személyes adat birtkába jut, köteles a titkt időbeli krlátzás nélkül megtartani. Üzleti titkt, személyes adatt nem lehet visszaélésszerűen felhasználni, így különösen tils a NetLib Kft. feladatkörén kívül a munkavállaló saját vagy más személyes illetve üzleti céljainak, közvetlen vagy közvetett előnyök elérésére, valamint a cég vagy ügyfeleinek megkársítására használni Az adatk tárlása A kezelt adatkat úgy kell tárlni, hgy azkhz illetéktelenek ide értve azn munkavállalókat is, akik nem jgsultak ezen adatk megismerésére, kezelésére ne férhessenek hzzá. Papír alapú adathrdzók esetében a fizikai tárlás, irattárzás rendjének kialakításával, elektrnikus frmában kezelt adatk esetén közpnti jgsultságkezelő rendszer alkalmazásával. Az adatk infrmatikai módszerrel történő tárlási módját úgy kell megválasztani, hgy azk törlése az esetleg eltérő törlési határidőre is tekintettel az adattörlési határidő lejártakr, illetve ha az egyéb kból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak és ellenőrizhetőnek kell lennie. A papír alapú adathrdzókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szaksdtt vállalkzó igénybevételével kell a személyes adatktól megfsztani. Elektrnikus adathrdzók (merevlemezek, ptikai adathrdzók, mágneses adathrdzók, nymtatók, multifunkciós gépek háttértárai, flash (NAND) adathrdzók, SIM kártyák, mbileszközök, telefnk, PDA-k, Tablet-ek, laptpk, stb.) esetében az elektrnikus adathrdzók selejtezésére vnatkzó szabályk szerint kell gndskdni a fizikai megsemmisítésről, illetve előzetesen az adatk biztnságs és visszaállíthatatlan törléséről. Az adathrdzók megsemmisítését ellenőrizni, dkumentálni kell, valamint a dkumentációt a mindenkr hatálys Iratkezelési Adatbiztnság Szabályzatnak megfelelően kell kezelni, megőrizni Az adatk felhasználása A NetLib Kft. által kezelt adatk kizárólag a vnatkzó jgszabályk rendelkezéseinek megfelelően, illetve az aktuális Adatkezelési Tájékztatóban meghatárztt célkra használhatók fel. Számítástechnikai, távközlési eszközök és prgramk helyességének ellenőrzésére, felhasználók betanítására, illetve ktatási célra valós személyi adatkat felhasználni nem lehet. Infrmatikai (funkcinális, integrációs) tesztkörnyezetekben gndskdni kell arról, hgy az éles rendszerben kezelt személyes adatk és a tesztkörnyezetben használt és annimizált adatk közötti kapcslat technikai útn ne legyen visszaállítható. A NetLib Kft. által kezelt személyes adatk nyilvánsságra hzatala tils, kivéve, ha azt törvény rendeli el. ldal 6 / 14

7 Az előző pntban fglalt tilalm nem érinti az Adatkezelőről szóló statisztikai adatkat, melyek krlátzás nélkül nyilvánsságra hzhatók Az adatk feldlgzása A személyes adatkn technikai műveletet az Adatkezelő alvállalkzója adatfeldlgzóként az érintett hzzájárulása nélkül is végrehajthat, amennyiben tevékenysége srán önálló érdemi döntést nem hz. A NetLib Kft. harmadik személy kezelésében lévő személyes adatkn amennyiben e tevékenysége srán érdemi döntési jgkörrel nem rendelkezik adatfeldlgzóként az érintett hzzájárulása nélkül is végezhet technikai műveleteket. Az Adatkezelő köteles az érintetteket tájékztatni az igénybe vett adatfeldlgzók személyéről. Az adatfeldlgzó köteles a felmerülő adatvédelmi incidensekről nyilvántartást vezetni és a nyilvántartásba történő bejegyzés esetén az Adatkezelőt erről haladéktalanul értesíteni. A nyilvántartásnak tartalmaznia kell az érintett személyes adatk körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpntját, körülményeit hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jgszabályban meghatárztt egyéb adatkat. Az adatfeldlgzásra vnatkzó megbízást írásba kell fglalni. A szerződésnek a következő elemeket kell tartalmaznia: az adatkezelő és az adatfeldlgzó megnevezését; az adatfeldlgzási tevékenység megnevezését; az átadandó személyes adatk körét; autmatizált adatfeldlgzás esetén az alkalmaztt módszert és lényegét; az adatkezelő szavatlását az adatbázis, az átadtt személyes adatk jgszerű kezeléséért; az adatfeldlgzó nyilatkzatát, hgy kizárólag az adatkezelő utasítása alapján végzi az adatk feldlgzását; az adatfeldlgzónak a saját és a szerződésben fglaltaktól eltérő célú adatfelhasználásának tilalmát; azt az előírást, hgy az adatfeldlgzó tevékenysége ellátása srán a többes adatkezelés esetét kivéve más adatfeldlgzót nem vehet igénybe; az adatfeldlgzó kötelezettségvállalását az adatbiztnsági szabályk megtartására; az adatk srsára vnatkzó rendelkezést a szerződés megszűnésének eseteire; az adatfeldlgzó nyilvántartás-vezetési és értesítési kötelezettségét a nála és ha ilyet vesz igénybe az alvállalkzójánál felmerülő esetleges adatvédelmi incidensekről; mindezekért való anyagi felelősségvállalást. Az adatfeldlgzó részére csak lyan személyes adatk adhatók át, amelyek szerepelnek az adatfeldlgzói szerződésben, és az Adatkezelési Tájékztatóban vagy a knkrét adatkezelésre vnatkzó egyéb tájékztatásban. Az adatfeldlgzói feladat teljesítését követően, illetve a szerződés megszűnésekr az adatfeldlgzó a birtkában lévő személyes adatkat vissza kell, hgy szlgáltassa az Adatkezelőnek. Az átadtt adatk adatfeldlgzó számítástechnikai rendszerében található máslatait pedig visszavnhatatlan módn töröltetni kell, melynek megtörténtéről az adatfeldlgzónak nyilatkznia kell. ldal 7 / 14

8 4.1.5 Adattvábbítás, hatósági adatszlgáltatás Személyes adatt Magyarrszágn belül, illetve EGT-államba tvábbítani csak valamely hivatkztt jgalap (hzzájárulás, szerződéses viszny, jgszabályi kötelezettség) alapján lehet. EGT-államba történő adattvábbítást úgy kell tekinteni, mintha az adattvábbításra Magyarrszág területén került vlna sr. EGT-államn kívüli rszágban lévő adatkezelő vagy adatfeldlgzó részére személyes adatt átadni, hzzáférhetővé tenni csak akkr lehet, ha ahhz az érintett kifejezetten hzzájárult; vagy az adatkezelés jgalapja biztsíttt, és a harmadik rszágban az adatk kezelése és feldlgzása srán garantált a személyes adatk megfelelő szintű védelme. A személyes adatk megfelelő szintű védelme akkr garantált a célrszágban, ha az Európai Unió kötelező jgi aktusa azt megállapítja (különösen, ha a célrszágban lévő adatkezelő vagy adatfeldlgzó szerepel az ún. Safe Harbr listán), vagy a harmadik rszág és Magyarrszág között az adatkezelés, illetve az adatfeldlgzás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban. Nem lehet üzleti titkra hivatkzással visszatartani az infrmációt a közérdekű adatk nyilvánsságára és a közérdekből nyilváns adatra vnatkzó, külön törvényben meghatárztt adatszlgáltatási és tájékztatási kötelezettség esetén Adattvábbítási nyilvántartás Az Adatkezelő a kezelt személyes adat tvábbításáról nyilvántartást vezet, amely tartalmazza: az adattvábbítás célját, jgalapját, időpntját; az adatigénylő és az érintett aznsításáhz szükséges adatkat; a tvábbíttt adatfajták megnevezését. Az adattvábbítási nyilvántartásba betekinthet, abból adatt igényelhet: az adatvédelmi hatóság, a bíróság, nymzó hatóság, a nemzetbiztnsági szerv, törvényben meghatárztt feladatai ellátásáhz; az Adatkezelő szervezet vezetője, vagy az általa meghatalmaztt személy; saját adatai tekintetében az érintett, ha a tájékztatás jgát törvény nem zárja ki. Az adattvábbítási nyilvántartásba való betekintést, az abból történő adattvábbítást dkumentálni kell. Az adattvábbítási nyilvántartás vezetési kötelezettségének a következő módkn is eleget lehet tenni: a) elektrnikus útn történt adattvábbítás naplózásával, b) pstai útn történt feladás dkumentálásával. Megkeresésre ekkr is tájékztatást kell adni az IT Kézikönyv vnatkzó pntjában fglalt infrmációkról. Az adattvábbítási nyilvántartást és a betekintési nyilvántartást 5 évig, különleges adat tvábbítása esetében 20 évig kell visszakereshető módn megőrizni A személyes adatk törlése, helyesbítése, zárlása Az adatkat törölni - manuális nyilvántartás esetén megsemmisíteni - kell, ha az adatkezelésre a tájékztatóban, illetve jgszabályban előírt határidő eltelt; ldal 8 / 14

9 az adatkezelés jgszerűtlensége megállapítást nyert; az érintett hzzájárulását visszavnta, kivéve, ha törvény az adatk tvábbi kezelését lehetővé teszi; az adat hiánys vagy téves, és ez az állapt jgszerűen nem rvslható feltéve hgy törvény a törlést nem zárja ki; az adatkezelés célja megszűnt; az adatvédelmi hatóság, vagy bíróság jgerős határzattal elrendelte. Törlés helyett zárlni kell az adatt, ha az érintett ezt kéri, vagy ha a törlés sértené az érintett jgs érdekeit. Amennyiben az adatkezelés célja megszűnt, a zárlt adat törlendő. A zárlást ly módn kell megvalósítani, hgy az adatkezelést egyébként munkaköri kötelezettségeként végző személy, illetve az ugyanezen célból hzzáféréssel rendelkező személy ne férhessen hzzá a zárlt személyes adatkhz. A zárlt személyes adatkhz kizárólag az adatk technikai tárlását végző személy férhessen hzzá, a zárlás felldása vagy a zárlt adat törlése céljából. Az érintett bejelentése vagy az Adatkezelő által észlelt hibás adat esetén a rendelkezésre álló dkumentumk vagy közhiteles nyilvántartás alapján, illetve az érintettel történt egyeztetést követően az Adatkezelő a hibás adatt helyesbíti. Ha a hibás adat nem helyesbíthető, akkr törölni kell. Amennyiben a törlés vagy a helyesbítés az adatk tárlási módja miatt nem lehetséges, akkr az adatt megfelelő helyesbítő vagy figyelemfelhívó feljegyzés hzzáfűzésével véglegesen zárlni kell. Az Adatkezelő megjelöli az általa kezelt személyes adatt, ha az érintett vitatja annak helyességét vagy pntsságát, de a vitattt személyes adat helytelensége vagy pntatlansága nem állapítható meg egyértelműen. Ha az adat hibás vlta annak tvábbítása után derül ki, akkr ennek tényéről, illetve - amennyiben a hibás adatt az Adatkezelő kijavíttta - a helyes adatról mindazkat tájékztatni kell, akiknek az adatt tvábbíttták. A tájékztatási kötelezettség az adatk zárlása és törlése esetén is fennáll. A tájékztatás mellőzhető, ha ez az adat jellegére, az adatkezelés céljára, az időmúlásra, illetve az adatkezeléssel összefüggő más körülményeire tekintettel az érintett, illetve a krábbi adattvábbítás címzettjének jgs érdekét nem sérti. Az érintett e fejezetben tárgyalt jgainak gyakrlása esetén az Adatkezelő 30 napn belül köteles az ügyet elintézni Az érintett tájékztatáshz való jga Az érintett az adatkezelés ideje alatt az Adatkezelőtől tájékztatást kérhet személyes adatai kezeléséről, valamint azkba betekintést nyerhet. E jgát ly módn kell biztsítani, hgy az érintett más személy adatait ne ismerhesse meg. Az érintett kérelmére az Adatkezelő amennyiben ez más jgszabályba nem ütközik tájékztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jgalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldlgzásra jgsult személyéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, tvábbá arról, hgy kik és milyen célból ismerhetik, ismerték meg az adatkat. Az érintett rá vnatkzó kivnatt kaphat az Adattvábbítási nyilvántartásból. Amennyiben az érintett a rá vnatkzó, vele kapcslats, az ő személyes adatait tartalmazó bármilyen frmátumú adathrdzóról kér máslatt, úgy ezt a tájékztatáshz való jga gyakrlásaként kell értékelni, és az adatairól a máslatt számára ki kell adni. A tájékztatást (a máslat kiadását) a kérelem benyújtásától számíttt legrövidebb idő alatt, de legfeljebb 30 napn belül, közérthető frmában kell teljesíteni. Amennyiben az érintett úgy rendelkezik, a tájékztatást írásban kell megadni. ldal 9 / 14

10 A tájékztatás megadása, a máslat készítése, és ezek tvábbítása ingyenes, ha flyó évben azns adatkörre vnatkzóan az érintett még nem nyújttt be tájékztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek szerződésben is rendelkezhetnek. A tájékztatást az Adatkezelő a következő esetekben tagadhatja meg: az érintett nem a saját adataira vnatkzóan kér tájékztatást; a tájékztatást kérő személy nem tudja hitelt érdemlő módn igazlni, hgy ő lenne az adatkezeléssel érintett személy; amennyiben törvény a tájékztatást kizárja; ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jgi aktusa rendelkezése alapján az Adatkezelő az adatkat egy másik adatkezelőtől akként veszi át, hgy az adatkat átadó adatkezelő jelezte az érintett tájékztatási jgának krlátzását. A felvilágsítás megtagadása esetén tájékztatni kell az érintettet a bírósághz és az adatvédelmi hatósághz frdulás jgáról. Ezen felül a flyó évet követő január 31-éig tájékztatni kell a Nemzeti Adatvédelmi és Infrmációszabadság Hatóságt az elutasíttt kérelmekről Tiltakzás a személyes adatk kezelése ellen Az érintett személy tiltakzhat a személyes adatai kezelése ellen, ha a személyes adatk kezelése vagy tvábbítása kizárólag az adatkezelőre vnatkzó jgi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jgs érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén; ha a személyes adat felhasználása vagy tvábbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudmánys kutatás céljára történik; valamint törvényben meghatárztt egyéb esetben. Tiltakzását szóban, írásban és elektrnikus útn is kifejezheti. A tiltakzási kérelmet haladéktalanul, de legfeljebb 15 napn belül ki kell vizsgálni. Az Adatkezelő döntéséről a kérelmezőt írásban tájékztatja. Ha az Adatkezelő egyetért a tiltakzási kérelemmel, az adatkezelést megszünteti, az adatkat zárlja, és a tiltakzásról illetve intézkedéséről értesíti mindazkat, akik részére krábban az adatkat tvábbíttta, és egyben intézkedésre kötelesek a tiltakzási jg érvényesítése érdekében. 4.2 Adatbiztnság A NetLib Kft. által kezelt adatk biztnsága Az Adatvédelmi és Adatbiztnsági Szabályzat alapvető rendeltetése a személyes adatk megismerhetőségének krlátzására vnatkzó szabályk kialakítása, illetve ezen adatk illetéktelen személyek általi megismerhetőségének megakadályzása. A fenti cél elérése érdekében az adatkezelések srán - az adatkezelés jellegétől függően - az infrmáció-rendszerek következő védelmi módszereit kell alkalmazni: Ügyviteli védelem: az adatkezelő rendszerek felelőseinek és az adatkezeléssel kapcslats tevékenységnek szervezési és adminisztratív módn történő nymn követése, a felelősség körülhatárlása. Kiterjed az infrmatikai és más adatkezelő rendszerekre és azk szlgáltatásaira, valamint az adathrdzók kezelésére, beleértve a hzzáférési jgsultság és a betekintés dkumentálását is. ldal 10 / 14

11 Fizikai védelem: lyan eszközök alkalmazása, amelyekkel azk a helyiségek védhetők, ahl számítástechnikai erőfrráskat használnak, vagy az adatmegőrzés szempntjából fntsak. Az infrmációs rendszer minősítésétől függő védelemben kell részesíteni az adathrdzókat is. Algritmikus védelem: matematikai algritmusk alapján működő védelem, amely az egyedi számítógépen és a hálózatn is lehetővé teszi a használó aznsítását, a jgsultság ellenőrzését. Az Adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hgy az biztsítsa az érintettek magánszférájának védelmét. Mind az Adatkezelő, mind az általa igénybevett adatfeldlgzó köteles gndskdni az adatk biztnságáról, és megtenni azkat a technikai és szervezési intézkedéseket, amelyek az adat- és titkvédelmi szabályk érvényre juttatásáhz szükségesek. Az Adatkezelőnek és adatfeldlgzójának a fenti szabályk érvényesülését kell szem előtt tartaniuk az eljárási szabályk kialakítása srán is. Az adatkat megfelelő intézkedésekkel védeni kell különösen a jgsulatlan hzzáférés, megváltztatás, tvábbítás, nyilvánsságra hzatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, tvábbá az alkalmaztt technika megváltzásából fakadó hzzáférhetetlenné válás ellen. A különböző nyilvántartáskban elektrnikusan kezelt adatállmányk védelme érdekében biztsítani kell, hgy e külön nyilvántartáskban tárlt adatk kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcslhatók és az érintetthez rendelhetők Autmatizált adatfeldlgzás A személyes adatk autmatizált feldlgzása srán biztsítani kell: a jgsulatlan adatbevitel megakadályzását; a rendszerek jgsulatlan személyek általi használatának megakadályzását; annak ellenőrizhetőségét és megállapíthatóságát 1 évre visszamenőleg; hgy a személyes adatkat adatátviteli berendezés alkalmazásával mely szerveknek tvábbíttták vagy tvábbíthatják; hgy mely személyes adatkat, mikr és ki vitte be az autmatikus adatfeldlgzó rendszerekbe; a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát; azt, hgy az autmatizált feldlgzás srán fellépő hibákról jelentés készüljön. Az Adatkezelőnek és az adatfeldlgzónak az adatk biztnságát szlgáló intézkedések meghatárzásakr és alkalmazásakr tekintettel kell lenni a technika mindenkri fejlettségére. Több lehetséges adatkezelési megldás közül azt kell választani, amely a személyes adatk magasabb szintű védelmét biztsítja, amennyiben ez nem jelent aránytalan nehézséget az Adatkezelőnek. A fizikai biztnság megteremtéséhez az alábbi intézkedéseket szükséges megtenni: Az adathrdzó eszközök elhelyezésére szlgáló helyiségeket (épületeket, épületrészeket) úgy kell kialakítani, hgy elegendő biztnságt nyújtsanak illetéktelen vagy erőszaks behatlás, tűz vagy természeti csapás ellen. Azkba a helyiségekbe, ahl adatkezelés flyik, a személyek belépését - a minősítéstől függően - krlátzni és ellenőrizni kell. A belépésre adtt felhatalmazásnak összhangban kell lennie az adtt személy hivatals feladataival, illetőleg az tt kezelt adatkhz történő hzzáférési jgsultságával. A számítástechnikai eszközzel lvasható és a manuális adathrdzók tárlását, hzzáférését és felhasználását ellenőrizni kell. Különös figyelmet kell frdítani arra, hgy a biztnságs területről kivitt eszközök maradványadatkat ne tartalmazzanak. ldal 11 / 14

12 Az adathrdzókról és mzgásukról, azk tartalmáról és felhasználásáról nyilvántartást kell vezetni. A kezelt adatkat a NetLib Kft. szempntjából vett értékükkel és érzékenységükkel kifejezve kell differenciálni, sztálykba srlni. Minden egyes sztályba srlási eljáráshz infrmációkezelési eljárást is meg kell határzni annak érdekében, hgy azk a következő infrmációfeldlgzási tevékenységfajtákat lefedjék: a máslást; a tárlást; a tvábbítást pstai útn, faxn és elektrnikus levelezéssel; a beszélt szavakkal való átvitelt, beleértve a mbil telefnt, a hangüzenet szlgáltatást, valamint az üzenetrögzítést; a megsemmisítést. Annak érdekében, hgy lecsökkenjen a jgsulatlan hzzáférés, az infrmációvesztés és infrmációrngálás kckázata, mind a rendes munkaidőben, mind azn kívül, bevezetésre kerül az üres asztal szabály a papíralapú anyagkra és a hrdzható adattárlókra, valamint a tiszta képernyő szabály az infrmációfeldlgzó eszközökre. E szabályk részletesen: a papíranyagkat és a számítógépek adathrdzóit megfelelő, lehetőleg zárható szekrényben vagy más, hasnlóan biztnságs bútrban kell tárlni, amikr éppen nincsenek használatban, különösen a munkaidőn kívüli időszakkban; személyi számítógépeket, munkaállmáskat, nymtatókat és fénymáslókat nem szabad bejelentkeztetni, amikr felügyelet nélkül maradnak, és használatn kívül kulcsreteszekkel, jelszavakkal vagy más óvintézkedésekkel legyenek védve; a bejövő és kimenő levelező eszközöket, a felügyeletlen faxgépeket és telexgépeket védeni kell; a személyes adat és az üzleti titk kategóriájába srlt infrmációt kinymtatás vagy skszrsítás után aznnal el kell távlítani a nymtatóról és a fénymáslóból. Az üzemeltetési biztnság kialakítására az alábbi intézkedéseket szükséges megtenni: Az adatkezelő eszközöket üzemeltető személyek feladatait egyértelműen meg kell határzni. Egyéb, a feladatktól eltérő tevékenységet csak külön, erre irányuló egyedi vezetői felhatalmazás alapján lehet végezni. Az adatkezelő eszközök előre nem látható üzemzavara esetére lyan tervet kell kidlgzni, amellyel annak hatása ellensúlyzható. Az adatkezelést végző eszközök felhasználói kötelesek az aktív keresési flyamatk lezárására, ha a munka befejeződött, hacsak alkalmas reteszelő mechanizmussal nem tehetők biztnságssá, például jelszóval védett képernyővédővel; az adathrdzó eszközöket a jgsulatlan használattal szemben biztnságssá tenni úgy, hgy kulcsra zárják, vagy ezzel egyenértékű védőintézkedést tesznek, például jelszavas hzzáférést használnak. A technikai biztnság érdekében szükséges intézkedések: Az adatk és prgramk véletlen vagy szándéks megrngálását meg kell akadályzni. Az adatállmányk tartalmát képező adattételek számát flyamatsan ellenőrizni kell. Az adatállmányk kezelését úgy kell megszervezni, hgy részleges vagy teljes megsemmisülésük esetén tartalmuk reknstruálható legyen, ennek érdekében az adatállmánykról rendszeresen biztnsági máslatt kell készíteni, és azt az eredeti adatállmánytól lehetőleg földrajzilag is eltérő helyen, biztnságsan kell tárlni. Az adatbevitel srán a bevitt adatk helyességét ellenőrizni kell. ldal 12 / 14

13 Közvetlen adathzzáférés kezdeményezésének jgsultságát ellenőrizni kell. Pntsan meg kell határzni (munkakörönként, ill. személyenként) az egyes adatkhz való hzzáférést Manuális kezelésű adatk A manuális kezelésű személyes adatk biztnsága érdekében az alábbi intézkedéseket kell fganatsítani: Az irattári kezelésbe vett iratkat jól zárható, száraz, tűzvédelmi és vagynvédelmi berendezéssel elláttt helyiségben kell elhelyezni. A flyamats aktív kezelésben lévő iratkhz csak az illetékes ügyintézők férhetnek hzzá. A manuális kezelésű iratk archiválását az Iratkezelési szabályzatban meghatárztt időközönként el kell végezni, és az Iratkezelési szabályzatnak megfelelően azkat irattárazni kell. Az irattári kezelésbe vett iratkat a tekintetükben az Iratkezelési szabályzat által meghatárztt adatkezelési határidő elteltével haladéktalanul át kell adni megsemmisítésre Munkavállalói adatbiztnsági kötelezettségek Aki a személyes adat, üzleti titkt képező adat megismerésére jgsult: köteles az személyes adatk és üzleti titk védelmére vnatkzó rendelkezéseket, valamint a jelen Szabályzatban meghatárztt előíráskat megismerni, valamint ezen előíráskat alkalmazni; a tudmására juttt személyes adatt és üzleti titkt az érvényességi időn belül illetéktelen személynek át nem adhatja, illetve nem hzhatja illetéktelen tudmására vagy nyilvánsságra (titktartási kötelezettség); köteles a hzzáférési jg megszűnésekr ideértve a munkaviszny megszűnésének eseteit is az üzleti titkká minősített adatt és a személyes adatt tartalmazó minden nála lévő adathrdzót a NetLib Kft.-nek, mint az adattal rendelkező jgsultnak, illetve Adatkezelőnek haladéktalanul átadni. Üzleti titk tisztességtelen módn való megszerzésének minősül az is, ha az üzleti titkt a jgsult hzzájárulása nélkül, a vele - a titk megszerzése idején vagy azt megelőzően bizalmi visznyban (így különösen a munkaviszny és a munkavégzésre irányuló egyéb jgviszny) vagy üzleti kapcslatban álló személy közreműködésével szerezték meg [1996. évi LVII. tv. a tisztességtelen piaci magatartás és a versenykrlátzás tilalmáról]. A NetLib Kft. valamennyi munkavállalója munkavégzése srán köteles saját szakterületén jelen Szabályzat rendelkezéseinek, előírásainak érvényt szerezni Titktartási kötelezettség A NetLib Kft.-vel munkavégzésre irányuló jgvisznyban lévő személyek kötelesek jelen Adatvédelmi és Adatbiztnsági Szabályzat, tvábbá a hatálys jgszabályk szerint a rájuk bíztt, illetve tudmásukra juttt személyes adatkat és üzleti titkkat időbeli krlátzás nélkül megőrizni. A munkavállalók kizárólag a munkaköri leírásban meghatárztt feladatkörükön belül ismerhetik meg az ilyen adatkat. E titktartás nem terjed ki a közérdekű adatk nyilvánsságára és a közérdekből nyilváns adatra vnatkzó, külön törvényben meghatárztt adatszlgáltatási és tájékztatási kötelezettségre. Az adatbiztnság személyi feltételeinek kialakítása tekintetében a szervezeti rendszer minden tagját, aki feladatai ellátása srán személyes adatt vagy üzleti titkt kezel, megfelelő felkészítésben, ktatásban kell részesíteni. ldal 13 / 14

14 Minden személyes adatt tartalmazó rendszerhez való hzzáférésre feljgsíttt munkavállaló köteles teljes biznyító erejű magánkiratba fglalt titktartási kötelezettség vállalást tenni. A kötelezettség vállalásban nyilatkzni kell arról, hgy a munkavállaló jelen Adatvédelmi és Adatbiztnsági Szabályzat rendelkezéseit megismerte, azkat magára nézve kötelezőként elismeri, a szükséges titkvédelmi ismereteket elsajátíttta, valamint a személyes adatk védelméhez fűződő jg és az üzleti titk megsértésének mind büntetőjgi, mind plgári jgi következményeivel tisztában van. ldal 14 / 14