A DIDb-rendszer adatkezelési leírása

Átírás

1 1 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a SECTRAN Backoffice Kft. A DIDb adatkezelője: SECTRAN Backoffice Kft. A DIDb-rendszer adatkezelési leírása DIDb központi ügyintézés: H-1033 Budapest Szentendrei út office@didb.eu web: hatályos január 8-tól visszavonásig

2 2 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a Tartalom 1. A szabályzat célja és hatálya Fogalmak Az adatkezelések szabályai A SECTRAN adatvédelmi rendszere Adatbiztonsági szabályok Az érintettek jogainak érvényesítése A DIDb-rendszer üzemeltetésével kapcsolatos adatkezelés... 8 A SECTRAN Backoffice Kft. (a továbbiakban: SECTRAN) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi és adatbiztonsági szabályzatot alkotja. Adatkezelő megnevezése: SECTRAN Backoffice Kft. Adatkezelő cégjegyzékszáma: Adatkezelő székhelye: 1033 Budapest, Szentendrei út Adatkezelő e-elérhetősége: info@sectran.eu Adatkezelő képviselői: Garai Tímea és Muray Melinda ügyvezetők 1. A szabályzat célja és hatálya A SECTRAN jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja az információs önrendelkezési jogról és az információszabadságról szóló évi CXII törvény (a továbbiakban: Infotv.) előírásainak való megfelelést. Jelen szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak a SECTRAN által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Jelen szabályzattal a SECTRAN biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

3 3 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a A szabályzat tárgyi hatálya kiterjed a SECTRAN minden szervezeti egységénél és összes adatfeldolgozójánál folytatott valamennyi olyan folyamatra, amely során az Infotv és 3. pontjában meghatározott személyes és különleges adat kezelése megvalósul. A szabályzat időbeli hatálya január 8-től visszavonásig tart. 2. Fogalmak - Személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet; - Különleges adat: o a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, o az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat; - Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; - Hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; - Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; - Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja; - Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is; - Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik; - Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik; - Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; - Adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele;

4 4 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a - Adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése; - Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől; - Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi; - Személyesadat-nyilvántartó rendszer (nyilvántartó rendszer): személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető; - Adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége; - Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; - EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Közösség és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; - Harmadik ország: minden olyan állam, amely nem EGT-állam. 3. Az adatkezelések szabályai Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a SECTRAN eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést, így különösen: Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. A SECTRAN által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének. A SECTRAN személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A SECTRAN személyes adatot csak az érintett előzetes különleges személyes adat esetén írásbeli hozzájárulása vagy törvény, illetve törvényi felhatalmazás alapján kezel. A SECTRAN az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját. A SECTRAN szervezeti egységeinél adatkezelést végző alkalmazottak és a SECTRAN megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek Titoktartási nyilatkozatot tenni.

5 5 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a Ha a szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a SECTRAN által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni. A SECTRAN számára adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségek az adatfeldolgozóval kötött szerződésben érvényesítendőek, olyan módon, hogy az mindenben megfeleljen a jelen adatkezelési leírás előírásainak és megfelelő garanciákat nyújtson az érintettek személyes adatainak védelmében. 4. A SECTRAN adatvédelmi rendszere A SECTRAN vezető tisztségviselői a társaság sajátosságainak figyelembe vételével meghatározzák az adatvédelem szervezetét, az adatvédelemre valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket, és kijelölik az adatkezelés felügyeletét ellátó személyt. A szabályzatban előírtak betartatásáért minden érintett önálló szervezeti egység vezetője a feladatkörében felelős. A SECTRAN munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető. A SECTRAN adatvédelmi rendszerének felügyeletét az ügyvezetők látják el egy általuk kinevezett vagy megbízott adatvédelmi felelős útján. Az adatvédelemért felelős személy neve és elérhetősége az 1. sz. mellékletben található. A vezető tisztségviselő adatvédelemmel kapcsolatosan: a) felelős az érintettek Infotv-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért; b) felelős a SECTRAN által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért; c) felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért; d) felügyeli az adatvédelemért felelős tevékenységét; e) vizsgálatot rendelhet el; f) kiadja a SECTRAN adatvédelemmel kapcsolatos belső szabályait. Az adatvédelemért felelős adatvédelemmel kapcsolatos kötelezettségei: a) segítséget nyújt az érintett jogainak biztosításában; b) kezdeményezi a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) felé az Infotv-ben meghatározott nyilvántartásba vételi eljárás lefolytatását; c) minden év január 15-ig jelentést készít az ügyvezetők részére a SECTRAN adatvédelmi feladatainak végrehajtásáról; d) jogosult jelen szabályzat betartását az egyes szervezeti egységeknél ellenőrizni; e) vezeti az adattovábbítási nyilvántartást; f) részt vesz a NAIH által szervezett belső adatvédelmi felelősök konferenciáján; g) figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen szabályzat módosítását;

6 6 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a h) közreműködik a NAIH-tól a SECTRAN-hoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során; i) általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg. 5. Adatbiztonsági szabályok A papíralapon kezelt személyes adatok biztonsága érdekében az alábbi intézkedéseket alkalmazza a SECTRAN: - az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak; - a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el; - a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá; - a SECTRAN adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja; - a SECTRAN adatkezelést végző munkatársa a munkavégzés befejeztével az az általa használt papíralapú adathordozót elzárja; - amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a SECTRAN. - a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval lehet csak hozzáférni, a jelszavak cseréjéről SECTRAN rendszeresen gondoskodik; - az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül; - a hálózati kiszolgáló gépeken (a továbbiakban: szerverek) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá; - amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető; - az általa üzemeltetett, azonos funkcionalitású szervereket kiváló infrastuktúrájú, légkondicionált, folyamatos hálózati ügyelettel, IP konzollal, tűzoltó berendezéssel ellátott géptermekben, egymástól földrajzilag elkülönítve helyezi el, biztosítva ezáltal a magas fokú rendelkezésre állást. Ennek az ún. HA környezetnek köszönhetően elkerülhetővé válik mindennemű adatvesztés és üzemkimaradás. - a személyes adatokat tartalmazó adatbázisok aktív adataiból rendszeres időközönként mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik és mágneses adathordozóra történik; - a lementett adatokat tároló mágneses adathordozó az erre a célra kialakított páncéldobozban tűzbiztos helyen és módon tárolt; - a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik; - a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az alábbi intézkedéseket és garanciális elemeket alkalmazza a SECTRAN: - az adatkezelés során használt számítógépek a társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír a társaság;

7 7 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a 6. Az érintettek jogainak érvényesítése Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve a jogszabályban elrendelt adatkezelések kivételével törlését a SECTRAN feltüntetett elérhetőségein. A SECTRAN a beérkezett kérelmet, illetve tiltakozást köteles a beérkezéstől számított három napon belül átadni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez. A feladat- és hatáskörrel rendelkező szervezeti egység vezetője az érintett személyes adatának kezelésével összefüggő kérelmére az érkezésétől számított legkésőbb 15 tiltakozási jog gyakorlása esetén 5 napon belül írásban, közérthető formában választ ad. A tájékoztatás kiterjed az Infotv. 15. (1) bekezdésében meghatározott információkra, amennyiben az érintett tájékoztatása törvény alapján nem tagadható meg. A tájékoztatás főszabály szerint ingyenes, költségtérítést SECTRAN csak az Infotv. 15. (5) bekezdésében meghatározott esetben számít fel. A SECTRAN kérelmet csak az Infotv. 9. (1)-ében vagy a 19. -ában meghatározott okokból utasít el, erre csak indoklással, az Infotv. 16. (2)-ében meghatározott tájékoztatással, írásban kerül sor. Az érintett személyes adata kezelése elleni tiltakozásának elbírálásának időtartamára de legfeljebb 5 napra az adatkezelést az adatkezelést végző szervezeti egység vezetője felfüggeszti, a tiltakozás megalapozottságát megvizsgálja és döntést hoz, amelyről a kérelmezőt az Infotv. 21. (2) bekezdésében foglaltak szerint tájékoztatja. Amennyiben a tiltakozás indokolt, az adatot kezelő szervezeti egység vezetője az Infotv. 21. (3) bekezdésében meghatározottak szerint jár el. Amennyiben az érintett jogainak gyakorlása során az ügy megítélése nem egyértelmű, az adatot kezelő szervezeti egység vezetője az ügy iratainak és az ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet az adatvédelemért felelőstől, aki azt három napon belül teljesíti. A SECTRAN az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt megtéríti, de mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. Az érintett a SECTRAN adatkezelési eljárásával kapcsolatos panasszal a NAIH-hoz fordulhat: név: Nemzeti Adatvédelmi és Információszabadság Hatóság székhely: 1024 Budapest, Szilágyi Erzsébet fasor 22/C. honlap: A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak helyesbíti, az Infotv. 17. (2) bekezdésében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.

8 8 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a 7. A DIDb-rendszer üzemeltetésével kapcsolatos adatkezelés o megkönnyítik a döntést arról, hogy az adott gépjárművezető érdemes-e a tagságra); a könnyebb kapcsolattartást segítik elő. Az adatkezelés helye: 1033 Budapest, Szentendrei út A SECTRAN kizárólagos fejlesztője és működtetője a Driver Identification Database (Gépjárművezetők Azonosító Adatbázisa, továbbiakban: DIDb) adatbázis szolgáltatásnak, amelynek fő célja a fuvarozással és szállítmányozással kapcsolatos bűncselekmények számának csökkentése és az abból származó készletveszteségek minimalizálása. A DIDb által vezetett fehérlistára kizárólag azok, az előzetes regisztráción sikeresen átesett gépjárművezetők kerülhetnek fel, akik önkéntes döntésük alapján szeretnének tagjai lenni egy olyan adatbázisnak, mely pozitív megközelítéssel felügyeli a tagok megbízhatóságát, illetve az általuk elvégzett munka minőségét. A regisztráció minden esetben személyesen a SECTRAN valamely ügyfélszolgálati irodájában vagy kihelyezett ügyfélszolgálatán történhet az elbírálása során a jelöltek az általuk megadott adatok alapján kötelezően átesnek egy megfelelőségi eljáráson. Amennyiben a regisztráció sikeres, a gépjárművezető bekerül a rendszerbe és a számára kiállított DIDb kártyával igazolhatja tagságát a DIDb rendszert felhasználó vállalatoknál. A regisztráció során a SECTRAN az alábbi adatcsoportok megadását kéri, illetve teszi lehetővé: - kötelezően megadandó adatok: az ezen adatcsoportba tartozó adatok a tagsági kérelem elbírálásának és a tagság megszerzésének feltételei - opcionálisan megadható adatok: az ebbe a csoportba tartozó adatok két alrészre bonthatóak: o a tagsági kérelem elbírálása során előnyt jelenthetnek (a DIDb rendszer céljával összefüggő olyan információk, amelyek Kiemelendő azonban, hogy azon regisztrálók, akik minden kötelező adatot megadnak és ezek alapján érdemesek a tagságra, taggá válnak, így az opcionálisan megadható adatok meg nem adása miatt nem kerülnek hátrányba a regisztrációs folyamat során. adatkezelés nyilvántartási száma: NAIH-71462/2013. adatkezelés célja: a DIDb rendszer üzemeltetése kezelt adatok köre: név, születési név, születési hely, születési idő, állampolgárság, anyja neve vagy apja neve, lakcím, levelezési cím, kártyaküldési cím, számlázási cím, személyi igazolvány lejáratának dátuma, jogosítvány egészségügyi alkalmasságának lejárati dátuma, útlevél lejáratának dátuma, erkölcsi bizonyítvány és az azon szereplő adatok, erkölcsi bizonyítvány kiállításának dátuma, erkölcsi bizonyítvány okmányszáma, erkölcsi bizonyítvány kérelem azonosítója, munkahely neve és címe, telefonszám, cím, egyéb árufuvarozói okmány típusa, egyéb árufuvarozói okmány lejárati dátuma, telefonos ügyintézéshez használt űrlapon szereplő válaszok adatkezelés jogalapja: az Infotv. 5. (1) a) szerinti érintetti hozzájárulás adattárolás határideje: az alábbiakban részletezettek szerint (30 nap, 2+2 év) Az alábbiakban részletezve a DIDb-rendszer adatkezelése REGISZTRÁCIÓ kötelezően megadandó adatok Milyen adatokat kell megadni a regisztrációs űrlapon?

9 9 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a Annak érdekében, hogy megkezdődhessen a gépjárművezető tagsági kérelmének érdemi elbírálása, a regisztráció során a SECTRAN által készített űrlapon - a gépjárművezetőnek a következő kötelező adatokat kell magáról megadnia: kezelt adat adatkezelés célja - név azonosítás - születési név azonosítás - születési hely azonosítás - születési idő azonosítás - állampolgárság anyja/apja nevének mint megadandó adatkategória eldöntése o ettől függően o anyja neve VAGY azonosítás o apja neve (BG, PO, RO, PT, TR) azonosítás - lakcím hivatalos kapcsolattartás - levelezési cím kapcsolattartás - kártyaküldési cím kártya kiküldése - számlázási név és cím számla kiállítása - személyi igazolvány lejáratának dátuma fuvarra való hatósági alkalmasság - jogosítvány eü. alk. lejárati dátuma fuvarra való hatósági alkalmasság - útlevél lejáratának dátuma útlevélköteles desztinációkba történő fuvarra való hatósági alkalmasság - személyi igazolvány maszkolt képe adattorzulás elkerülése - jogosítvány maszkolt képe adattorzulás elkerülése - útlevél maszkolt képe adattorzulás elkerülése - lakcímkártya maszkolt képe adattorzulás elkerülése Miért van szükség mindhárom igazolvány lejárati dátumának rögzítésére? Minden igazolvány más és más jogosultsági kérdésekről dönt: - lejárt személyi igazolvánnyal a gépjárművezető közúti ellenőrzés során félreállítható, ha nem tudja magát más igazolvánnyal igazolni; útlevél nélkül nem utazhat a schengeni övezeten kívüli országokba - lejárt jogosítvánnyal a gépjárművezető közúti ellenőrzés során félreállításra kerülhet, nem alkalmas hatóságilag közúti közlekedésre - lejárt útlevéllel a gépjárművezető nem tud olyan desztinációkba (vagy olyan tranzitországokba) belépni, amelyek nem részei a schengeni övezetnek Ezek az információk pedig létfontosak a különböző utak meghatározásakor. Miért van szükség az igazolványok maszkoltan történő szkennelésére? Ahhoz, hogy a regisztráció során kézzel megadott adatok torzulását elkerülje a SECTRAN mind az érintett, mind a cég érdeke miatt -, a társaság garanciális elemet emel a regisztrációba. A cég minden igazolvány képét beszkenneli, hogy az Regisztrációs Osztály adatrögzítési eljárása során kétség esetén a helyes, az igazolványon szereplő adat kerüljön a rendszerbe. A szkennelés során a személyes adatok biztonsága érdekében az alábbi intézkedéseket és garanciális elemeket alkalmazza a SECTRAN: - minden igazolványtípusra a SECTRAN elkészíti azt a fizikai maszkot, amelybe belecsúsztatva az adott igazolványt csak azt az adatot hagyja láthatóan, amelyet a regisztráció során egyébként is megad az érintett. Minden egyéb adat (az igazolványon szereplő fénykép, aláírás, igazolványszám stb.) láthatatlanná, illetve elő- és visszaállíthatatlanná válik; az alábbi dokumentumok fizikailag maszkolt képét szkenneli a társaság: személyi igazolvány jogosítvány útlevél lakcímkártya - az így elkészült fájlt csak a regisztrációs folyamat során, csak és kizárólag adategyeztetés céljából használja a SECTRAN;

10 10 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a - az így elkészült fájlt csak a regisztrációs folyamat lezárásáig (maximum 30 napig) tárolja a SECTRAN, az adatok központi rendszerben történő rögzítését követően a fájl tárolása a regisztrációs folyamat lezárultával (pozitív döntés esetén a DIDb-kártya kiküldésekor) azonnal megszűnik, az véglegesen törlésre kerül; - a regisztráció során a szkenneléshez használt számítógép a SECTRAN tulajdona; - a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval lehet csak hozzáférni, a jelszavak cseréjéről rendszeresen gondoskodik a SECTRAN; - az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül; - a szkennelést megvalósító számítógép amint hálózatra csatlakozáshoz megfelelő környezetbe kerül csak a Regisztrációs Osztály által elérhető hálózati szerverre továbbítja a maszkolt igazolványok képét, a továbbítás pillanatában a szkennelést megvalósító számítógépről visszaállíthatatlanul törlésre kerül a képfájl; - a hálózati kiszolgáló gép (a továbbiakban: szerver) azon meghajtójához, amelyen a regisztráció során felvett számítógépes adatok tárolódnak, csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá. A meg nem jelölt országok esetében a gépjárművezetők apja nevét nem kéri és kezeli a SECTRAN, az azonosításhoz az anyja nevére van csak szükség. Miért készül a gépjárművezetőről nagy felbontású fénykép a regisztrációkor? A regisztráció során a gépjárművezetőről ahhoz, hogy megkezdődhessen a tagsági kérelmének érdemi elbírálása, a SECTRAN a későbbi fuvaroztatói azonosítás céljából jó minőségű, nagy felbontású fényképet készít. kezelt adat adatkezelés célja - nagy felbontású, helyszínen készített fénykép azonosítás A fénykép a jövőben csak a SECTRAN szerződött partnerei számára elérhető, csak az érintett személyes jelenléte mellett, hiszen egy adott gépjárművezető adatainak megismeréséhez minden esetben szükség van a saját DIDb-kártyájára és a PIN-kódjának megadására. (Erről részletesebben lásd DIDb Felhasználói Kézikönyv gépjárművezetőknek című kiadványt!) Miért van szükség az erkölcsi bizonyítványra? Annak érdekében, hogy megkezdődhessen a gépjárművezető tagsági kérelmének érdemi elbírálása, a gépjárművezetőnek érvényes erkölcsi bizonyítványt kell SECTRAN részére kötelezően benyújtania. Mi dönti el, hogy a gépjárművezető apja vagy az anyja nevét kéri a SECTRAN? Bizonyos európai országokban az azonosításhoz - eltérően a magyar rendszertől nem az anyjuk nevét kell megadniuk az érintetteknek, hanem az apjuk nevét; valamint vannak olyan országok, ahol egyiket sem. Éppen ezért van szükség az állampolgársági adat kezelésére, hogy a regisztrációs űrlap kitöltése közben meghatározott országok polgárai (így többek között a bolgárok, románok, törökök) ne az anyjuk, hanem az apjuk nevét adják meg, vagy egyiket sem, (például a szlovákok, hollandok, stb.). Tekintettel arra, hogy a DIDb a megbízható gépjárművezetők rendszere, a SECTRAN fenntartja a jogot arra, hogy a gépjárművezető rendszerbe történő felvételét összhangba állítsa a rendszer céljaival. A DIDb tagság feltétele a büntetlen előélet, így annak eldöntését, hogy egy gépjárművezető tagja lehet-e a DIDb rendszerének, a SECTRAN hatósági erkölcsi bizonyítvány benyújtásához köti.

11 11 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a A SECTRAN és a gépjárművezetők között létrejövő jogviszony jellegénél fogva a DIDb rendszer célja miatt olyan bizalmi viszony, amelynek megalapozásához szükséges a gépjárművezető büntetlen előélete. a törvényi mentesítési idő beálltához közel van, egyéb méltányolható indoknál fogva nem veszélyezteti a DIDb céljait és elveit. A regisztráció során a jelölt érvényes, 90 napnál nem régebbi hatósági erkölcsi bizonyítványt nyújt be. Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény rendelkezései szerint az ezen szereplő adatok különleges adatnak, bűnügyi személyes adatnak minősülnek, amelyek kezelése során a SECTRAN az adatvédelmi és adatbiztonsági jogszabályi előírások megtartását az alábbi garanciális szabályokkal biztosítja. Mire használja az erkölcsi bizonyítványt a SECTRAN? Mivel a SECTRAN és szerződéses ügyfelei (gyártók, szállítmányozók és fuvarozók) között fennálló jogviszony alapján a SECTRAN csak olyan gépjárművezetőket enged a DIDb rendszer tagjává válni, akik erkölcsileg megfelelnek a DIDb rendszer céljainak, ezért a regisztrációs osztály vezetője ellenőrzi az erkölcsi bizonyítványok: érvényességét (bárki számára elérhető módon), illetve a regisztrációs szempontok alapján azok tartalmát. Milyen módon kezeli az erkölcsi bizonyítványon szereplő adatokat a SECTRAN? A SECTRAN bűnügyi személyes adatot csak az érintett írásbeli hozzájárulásával kezel. A SECTRAN előzetesen tájékoztatja az érintettet, hogy a bűnügyi személyes adat kezelésének célja a DIDb tagságra való érdemesség eldöntése, így ezen adatot csak a cél megvalósulásáig, a döntésig kezeli a társaság. A SECTRAN a tagság feltételeként köti ki a büntetlen előéletet. Egyes méltányolható esetekben azonban a SECTRAN ügyvezetőinek bármelyike, önálló jogkörként, egyedi elbírálás során, dönthet a tagság megítélése mellett akkor is, ha olyan bejegyzés található az erkölcsi bizonyítványban, amely az elkövetett cselekmény fajtájától és súlyától függően a DIDb elveivel nem összeegyeztethetetlen, a bírósági mentesíthetési időszakában tart, Ki fér hozzá az erkölcsi bizonyítványon szereplő személyes adatokhoz? A regisztráció minden esetben a SECTRAN által üzemeltett ügyfélszolgálaton vagy kihelyezett regisztrációs pontján történik. A SECTRAN ügyfélszolgálatos munkatársa veszi fel az adatokat és juttatja el az alábbiak alapján a döntési jogkörrel rendelkező személyekhez. A tagsági igények elbírálása ugyanis minden esetben a Regisztrációs Osztály vezetőjének jogköre. A regisztráció során megadott adatokat így csak a regisztrációs ponton a regisztrációban segédkező ügyfélszolgálatos, a Regisztrációs Osztály munkatársai és a SECTRAN ügyvezetői ismerhetik meg. Az adatokhoz az itt megjelölteken kívül senki sem férhet hozzá, így a SECTRAN más munkavállalója vagy egyéb, a társasággal más jogviszonyban álló személy azokat semmilyen módon és formában nem ismerheti meg. Mivel a SECTRAN a teljes regisztrációs folyamat során kiemelt figyelmet fordít arra vonatkozóan, hogy az érintettek személyes adatait csak a legszűkebb kör ismerhesse meg, ezért az ügyfélszolgálatos munkatárs a benyújtott erkölcsi bizonyítványt csak lezárt borítékban veszi át, tartalmát nem ismeri meg, azt lezárva a Regisztrációs Osztály vezetőjéhez juttatja el a regisztrációs dokumentumokkal egyidejűleg. A lezárt borítékot kizárólag a Regisztrációs Osztály vezetője bonthatja fel, ő ismerheti meg az irat tartalmát. Amennyiben a Regisztrációs Osztály vezetője önálló jogkörében eljárva hoz döntést a regisztrációról, más személy az erkölcsi bizonyítvány tartalmát nem ismeri meg. A Regisztrációs Osztály vezetője az ügyvezetők bármelyike előtt csak abban az esetben tárja fel az erkölcsi bizonyítvány tartalmát, ha olyan bejegyzés található az iraton, mely ügyvezetői döntést igényel. Tárol az erkölcsi bizonyítvánnyal kapcsolatos bármilyen adatot a SECTRAN? A SECTRAN és a DIDb rendszert használó partnerek közötti jogviszony alapján a SECTRAN garanciát vállal arra, hogy csak a DIDb-ben meghatározottaknak megfelelő személyt enged a rendszer tagjává válni.

12 12 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a Annak érdekében, hogy a SECTRAN bizonyítani tudja, hogy a regisztráció során megvizsgálta az erkölcsi bizonyítvány érvényességét a regisztráció során milyen elérhető adatok alapján ítélte meg a gépjárművezető tagságát az alábbi adatokat a DIDb-tagság fenntartásához szükséges adatokkal együtt, azonos tárolási módon és tárolási határidővel rögzíti a SECTRAN: erkölcsi bizonyítvány kiállításának dátuma erkölcsi bizonyítvány okmányszáma erkölcsi bizonyítvány kérelem azonosítója Ezen adatok a törvény szerint azonban nem számítanak különleges személyes adatnak, mert nem bűnügyi személyes adatok. Mi történik az erkölcsi bizonyítvánnyal és a rajta szereplő adatokkal? Az érintett a regisztráció során a kitöltött regisztrációs űrlapok mellett benyújtja érvényes erkölcsi bizonyítványát is. Mivel a tagságról a regisztráció során benyújtott adatok alapján a Regisztrációs Osztály vezetője dönt, ezért hozzá az összes adatnak el kell jutnia. Az ügyfélszolgálatos munkatárs ezért minden jelentkezőről saját aktát nyit, amelyben papíralapon megtalálható minden űrlap és benyújtott irat, amely a regisztráció elbírálásához szükséges. Ezen akta része a benyújtott erkölcsi bizonyítvány. Mivel a SECTRAN azonban az adatkezelés során biztosítja, hogy az érintettek személyes adatait csak a legszűkebb kör ismerhesse meg, ezért az erkölcsi bizonyítvány tartalmát csak és kizárólag a Regisztrációs Osztály vezetője ismerheti meg (különleges esetben az ügyvezetők), ezért az ügyfélszolgálatos munkatárs a benyújtott erkölcsi bizonyítványt csak lezárt borítékban veszi át, tartalmát nem ismeri meg, azt lezárva a Regisztrációs Osztály vezetőjéhez juttatja el. A lezárt borítékot a Regisztrációs Osztály vezetője bonthatja csak fel. A kezelt személyes adatok biztonsága érdekében az alábbi intézkedéseket alkalmazza a SECTRAN: - a jelentkezők dossziéjában szereplő adatokat csak az arra jogosultak ismerhetik meg, ahhoz más nem férhet hozzá, más számára fel nem tárja; - a regisztrációhoz szükséges dokumentumok digitalizálásra kerülnek, a digitális dokumentumok biztonsága érdekében a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a SECTRAN, ugyanakkor az érintett erkölcsi bizonyítványa semmilyen módon nem kerül digitalizálásra, és annak tartalmát SECTRAN semmilyen módon nem rögzíti; - a regisztrációhoz szükséges dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el; - a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek (Regisztrációs Osztály, ügyvezetők) férhetnek hozzá; A Regisztrációs Osztály a 30 napon belüli döntést követően pozitív döntés esetén a DIDb-kártyával együtt postai úton, utólag is nyomon követhető módon visszajuttatja az érintettnek az erkölcsi bizonyítványt, hogy az más eljárásokban is felhasználható legyen annak 90 napos érvényességén belül. A regisztrációról szóló döntést követően a SECTRAN semmilyen különleges személyes adatot nem kezel. Amennyiben a helyszínen a gépjárművezető nem tud benyújtani erkölcsi bizonyítványt, úgy azt postán is megküldheti hiánypótlásként a SECTRAN-nak. Ebben az esetben a regisztrációs folyamat 30 napos határidején belül a Regisztrációs Osztály vezetője dönt a tagságról, a dokumentum szkennelésre nem kerül, a dokumentum a döntési eljárás zárultával pozitív döntés esetén a DIDb-kártyával együtt postai úton, utólag is nyomon követhető módon visszaküldésre kerül az érintettnek. A regisztrációról szóló döntést követően a SECTRAN semmilyen különleges személyes adatot nem kezel. REGISZTRÁCIÓ opcionálisan megadható adatok A későbbi kapcsolattartás megkönnyítése érdekében a regisztráció során a gépjárművezető az alábbi adatokat adhatja meg a SECTRAN által készített űrlapon: kezelt adat adatkezelés célja

13 13 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a - munkahely neve és címe kapcsolattartás - telefonszám kapcsolattartás - cím kapcsolattartás - cím hírlevél küldés - egyéb árufuvarozói okmány o típusa előny a tagság megítélése során o lejárati dátuma előny a tagság megítélése során A regisztráció során a gépjárművezető ahhoz, hogy pozitív tagsági elbírálása esetén a továbbiakban telefonon is intézhesse ügyeit, egy, a SECTRAN által készített kérdőíven megadott biztonsági kérdésekre válaszokat adhat meg: kezelt adatok köre: telefonos ügyintézéshez használt űrlapon szereplő válaszok adatkezelés célja: amennyiben a DIDb-tag nem csak személyesen, hanem telefonon is szeretne ügyet intézni, úgy a telefonos azonosításhoz emlékeztető kérdések-válaszok megadása kötelező (a személyes ügyintézés mindenki számára elérhető a regisztrációs pontokon), a telefonos pedig könnyebbség, de nem kötelezővé téve), a SECTRAN által előre meghatározott 10 kérdésből 3-ra kell a regisztráció során válaszolnia az érintettnek, ezek a válaszok pedig a későbbi telefonos ügyintézés során szolgálnak az érintett azonosítására (biztonsági korlát) TAGSÁGÉRVÉNYESÍTÉS A kétévente esedékes tagságmegújítás során - a gépjárművezetőről nyilvántartott adatok frissítésre kerülnek. Az adatfelvétel a regisztrációs folyamat leírása szerint történik. Az érvénytelen és helytelen adatok végérvényesen törlésre kerülnek. - a gépjárművezető benyújt egy új (90 napnál nem régebbi) erkölcsi bizonyítványt. Az erkölcsi bizonyítványok kezelése a regisztrációs folyamat leírása szerint történik, kivéve a dokumentum visszajuttatását, mely nem a DIDb kártyával együtt történik, mivel a gépjárművezetők nem kapnak új kártyát. - új fénykép készül a gépjárművezetőről, mely feltöltésre kerül a DIDb rendszerbe, ugyanakkor a régi fénykép végérvényesen törlésre kerül Amennyiben a gépjárművezető legkésőbb két évvel a tagság lejárata utánig nem tesz eleget tagságmegújítási kötelezettségének, adatai törlésre kerülnek a DIDb rendszerből. A RENDSZER HASZNÁLATA SORÁN AZ ADATOK KEZELÉSE - a SECTRAN a rendszerben lévő összes adathoz minden esetben hozzáfér és azokat kezeli - a DIDb rendszer kezelői egy dedikált rendszeren keresztül az alábbi eljárások során az alábbi adatokhoz férnek hozzá: o DIDb-kártya állapota (érvényes/törölt) o tagság érvényessége (érvényes/érvényes de van lejárt igazolvány/érvénytelen) o érvényes tagság esetén: DIDb rendszerben jegyzett státusz o (jóváhagyott/felfüggesztett) a gépjárművezető azonosításánál: neve, születési helye és ideje, apja/anyja neve tagsághoz kapcsolódó (kártya érvényesség, tagság érvényesség, státusz) adatok nagy felbontású fénykép DIDb-kártyaszám az elmúlt 72 órában felvett fuvarok gépjárművezetők minősítése - a kezelő ezen adatok alapján azonosíthatja a fuvar felvételre érkező személyt, illetve összehasonlíthatja a helyszínen átnyújtott iratok alapján a rendszerbe rögzített személlyel A NAIH-71462/2013. nyilvántartási számú adatkezeléshez esetlegesen kapcsolódó adatfeldolgozókat és az adattovábbítások címzettjeit az 1. számú melléklet tartalmazza.

14 14 o l d a l A D I D b r e n d s z e r a d a t k e z e l é s i l e í r á s a 1. sz. melléklet A SZABÁLYZAT DINAMIKUSAN VÁLTOZÓ ADATKEZELÉSI RENDSZERELEMEIRŐL A DIDb-rendszer üzemeltetésével kapcsolatos adatkezelés adatfeldolgozó: - Samsung Electronics Magyar Zrt. (5126 Jászfényszaru, Samsung tér 1.) a DIDb-tagság ellenőrzése; gépjárművezetők minősítése, fuvar rögzítése - Samsung Electronics Europe Logistics, B.V. (Olof Palmestraat 10, 2616 LR Delft, The Netherlands) a DIDb-tagság ellenőrzése; gépjárművezetők minősítése, fuvar rögzítése - Maltacourt Hungary Kft. (2220 Vecsés, Almáskert u. 4.) a DIDb-tagság ellenőrzése; gépjárművezetők minősítése, fuvar rögzítése - Nokia Komárom Kft. (2900 Komárom, Nokia u. 1.) a DIDb-tagság ellenőrzése; gépjárművezetők minősítése, fuvar rögzítése - Flogistika Kft. (HU-7570 Barcs, Belterület 521/4) a DIDb-tagság ellenőrzése; gépjárművezetők minősítése, fuvar rögzítése - DIDb Benelux BV. (Savannahweg 60, 3542 AW Utrecht, The Netherlands) DIDb ügyfélszolgálati irodák és regisztrációs pontok működtetése, tagfelvétel Belső adatvédelemért felelős személy Garai Tímea Operációs Igazgató, Tel: , info@sectran.eu - DHL Supply Chain Magyarország Kft. (2225 Üllő, Zöldmező u. 1.) a DIDb-tagság ellenőrzése; gépjárművezetők minősítése, fuvar rögzítése - Sony Europe Ltd. (The Heights, Brooklands, Weybridge, Surrey, KT13 0XW, UK) a DIDb-tagság ellenőrzése; gépjárművezetők minősítése, fuvar rögzítése