Heves Megyei Vízmő Zrt. Adatvédelmi és adatbiztonsági szabályzata 1. kiadás. Tartalomjegyzék

Átírás

1

2 Tartalomjegyzék 1. A szabályzat célja A szabályzat hatálya, érvényessége Kapcsolódó dokumentumok Fogalom meghatározás Személyes adatok védelme Az adat kezelés elvei Az adatkezelés célja Az adatkezelés jogalapja Az adatbiztonság követelménye Adattovábbítás külföldre Adatfeldolgozás A társaságon belüli adattovábbítás Adattovábbítás megkeresésre Az adatkezelésben érintett jogai és érvényesítésük Adattovábbítási nyilvántartás (belsı adatvédelmi nyilvántartás) Belsı adatvédelmi felelıs, informatikai adatvédelmi megbízott A belsı adatvédelmi felelıs feladata: Az informatikai adatvédelmi megbízott feladata: Közérdekő adatok közzététele és megismerésének rendje Általános szabályok A közérdekő adatok közzététele A közérdekő adatok megismerésének rendje A nemzeti adatvédelmi és információszabadság hatóság Adatvédelmi hatóság Adatvédelmi nyilvántartás Nyilvántartások kezelésének szabályai Ügyfélnyilvántartás A nyilvántartások alapjául szolgáló iratok megırzési ideje sz. melléklet sz. melléklet sz. melléklet sz. melléklet 19 Jóváhagyva és hatályba helyezve: március 1. 2/19

3 A Heves Megyei Vízmő Zrt. (továbbiakban: HMV Zrt./társaság) - adatkezelési nyilvántartási száma: NAIH-50027/ Igazgatósága az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvényben (továbbiakban: Infotv.) megállapított feladatkörében eljárva a HMV Zrt. szervezeti egységei által végzett adatkezelés rendjét az alábbiak szerint szabályozza. 1. A szabályzat célja Jelen szabályzat célja a HMV Zrt., mint adatkezelı által vezetett nyilvántartások törvényes rendjének meghatározása. Az adatvédelem alkotmányos elveinek, az adatbiztonság követelményei érvényesülésének biztosítása, valamint a jogosulatlan hozzáférés, az adatok megváltoztatásának és jogosulatlan nyilvánosságra hozatalának megakadályozása. Tiszteletben tartva az érintettek magánszféráját, szabályozva a közérdekő és a közérdekbıl nyilvános adatok megismerhetıségét és terjeszthetıségét. 2. A szabályzat hatálya, érvényessége A szabályzat hatálya kiterjed a HMV Zrt. minden szervezeti egységében végzett valamennyi személyes adatot tartalmazó adatkezelésre, továbbá a jogszabályok szerinti közérdekő és a közérdekbıl nyilvános adatok kezelésére. Jelen szabályzat március 1. napjától hatályos és visszavonásig érvényes. 3. Kapcsolódó dokumentumok évi CXII. tv. az információs önrendelkezési jogról, és az információ szabadságról évi CCIX. tv. a víziközmő-szolgáltatásról évi LVII. tv. a vízgazdálkodásról - A Kormány 58/2013. (II. 27.) korm. rendelete a víziközmő-szolgáltatásról szóló évi CCIX. törvény egyes rendelkezéseinek végrehajtásáról évi XXII. tv. a köztulajdonban álló gazdasági társaságok takarékosabb mőködésérıl évi I. tv. a munka törvénykönyvérıl - Számítástechnikai szabályzat - Dokumentumok és feljegyzések kezelése szabályzat - Iratkezelési szabályzat - Selejtezési szabályzat - Kommunikációs szabályzat Jóváhagyva és hatályba helyezve: március 1. 3/19

4 - Tőzvédelmi szabályzat 4. Fogalom meghatározás Adatvédelem: Az adatalanyok (érintett) magánszférájának védelme. A személyes adatok győjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. Adatbiztonság: Az adatok védelme. Az adatok jogosulatlan megszerzése, módosulása és megsemmisülése elleni technikai/mőszaki és szervezési megoldások rendszere. Adatkezelı: Jelen szabályzat szempontjából a Heves Megyei Vízmő Zártkörően Mőködı Részvénytársaság, annak adatkezelést végzı szervezeti egységei és munkavállalói. Adatfeldolgozó: A HMV Zrt-vel kötött szerzıdés alapján - beleértve a jogszabályi rendelkezés alapján történı szerzıdéskötést is - személyes adatok feldolgozását végzı természetes- vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet. Adatállomány: A társaságon belül kezelt, szerzett és képzett adatok összessége. Személyes adat: az érintettel (természetes személy) kapcsolatba hozható adat különösen a neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemzı ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megırzi e minıségét, amíg kapcsolata az érintettel helyreállítható. Különleges adat: a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyızıdésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bőnügyi személyes adat; Közérdekő adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévı és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem esı, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy győjteményes jellegétıl, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedı értékelésére, a birtokolt adatfajtákra és a mőködést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerzıdésekre vonatkozó adat; Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelı tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körő vagy egyes mőveletekre kiterjedı kezeléséhez; Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely mővelet vagy a mőveletek összessége, így különösen győjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és Jóváhagyva és hatályba helyezve: március 1. 4/19

5 megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzık (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; Adattovábbítás: az adat meghatározott harmadik személy számára történı hozzáférhetıvé tétele; Nyilvánosságra hozatal: az adat bárki számára történı hozzáférhetıvé tétele; Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott idıre történı korlátozása céljából; Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; Adatfeldolgozás: az adatkezelési mőveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a mőveletek végrehajtásához alkalmazott módszertıl és eszköztıl, valamint az alkalmazás helyétıl, feltéve, hogy a technikai feladatot az adatokon végzik. 5. Személyes adatok védelme 5.1 Az adat kezelés elvei Az adatkezelés legyen: - célhoz kötött, - tisztességes és törvényes, - elengedhetetlen, alkalmas a cél elérésére, - pontos, teljes, naprakész. 5.2 Az adatkezelés célja Személyes adat kizárólag csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhetı, a cél eléréséhez szükséges minimális mértékben és szükséges ideig. Ha az adatkezelés célja megszőnt, vagy az adatok kezelése egyébként jogellenes, az adatokat törölni kell. 5.3 Az adatkezelés jogalapja Személyes adat akkor kezelhetı, ha a) ahhoz az érintett hozzájárult (ez önkéntes, határozott és tájékozott), vagy az érintett ráutaló magatartást tanúsított (hallgatás nem beleegyezés), vagy b) azt törvény vagy törvény felhatalmazása alapján, az abban meghatározott körben helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (továbbiakban: kötelezı adatkezelés). Jóváhagyva és hatályba helyezve: március 1. 5/19

6 5.3.2 Személyes adat kezelhetı akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése a HMV Zrt. kötelezettsége teljesítéséhez vagy jogos érdeke, illetve harmadik személy jogos érdeke érvényesítéséhez szükséges, továbbá az érvényesített érdek a jogkorlátozással arányos Amennyiben hozzájáruláson alapuló adatkezelés célja a HMV Zrt-vel írásban kötött szerzıdés végrehajtása, a szerzıdésnek tartalmaznia kell az érintett szerzıdés szerinti adatkezeléshez való hozzájárulását Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell Az adatkezeléshez adott hozzájárulás kapcsán felmerült kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg A HMV Zrt. által kezelt személyes adatok nyilvánosságra hozatala kivéve, ha törvény rendeli el tilos. A HMV Zrt-rıl szóló személyes adatokon is alapuló statisztikai adatok közölhetık Különleges adat akkor kezelhetı, ha a) az adatkezeléshez az érintett írásban hozzájárul, vagy b) egyéb esetekben azt törvény közérdekbıl elrendeli. A HMV Zrt. által kivéve a betegellátással és az érdek-képviseleti szervezeti tagsággal kapcsolatos adatokat különleges adat nem kezelhetı A HMV Zrt. szervezeti egységeinél adatkezelést végzı alkalmazottak kötelesek az általuk megismert személyes adatokat szolgálati/üzleti tikokként megırizni. Ilyen munkakörben csak az foglalkoztatható, aki a szabályzat 1. sz. mellékletének megfelelı tartalmú titoktartási nyilatkozatot megtette. A titoktartási nyilatkozatokat a Humánpolitikai Osztály a munkaszerzıdésekkel együtt köteles tárolni A társaságon belül az egyes szervezeti egységek által kezelhetı adatok körét minden adatkezelés esetében külön kell meghatározni. A meghatározást az adott szervezeti egységek vezetıi kezdeményezik és végzik, a belsı adatvédelmi felelıs bevonásával. 5.4 Az adatbiztonság követelménye Az adatkezelı köteles az adatkezelési mőveleteket úgy megtervezni és végrehajtani, hogy az, az Infotv. és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozás, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen A különbözı nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelı technikai megoldással biztosítani kell, hogy a nyilvántartásokban Jóváhagyva és hatályba helyezve: március 1. 6/19

7 tárolt adatok kivéve, ha azt törvény lehetıvé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetık A személyes adatok automatizált feldolgozása során a társaság intézkedésekkel biztosítja a) a jogosulatlan adatbevitel megakadályozását; b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történı használatának megakadályozását; c) annak ellenırizhetıségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították, vagy továbbíthatják; d) annak ellenırizhetıségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe; e) a telepített rendszerek üzemzavar esetén történı helyreállíthatóságát és f) azt, hogy az automatizált feldolgozás során fellépı hibákról jelentés készüljön A részletes informatikai adatbiztonsági szabályokat, intézkedéseket a HMV Zrt. "Számítástechnikai szabályzat" elnevezéső eljárása tartalmazza A manuális kezeléső személyes adatok biztonsága érdekében a társaság az alábbi intézkedéseket foganatosítja: Tőz-, víz- és vagyonvédelem: Az irattári kezelésbe vett iratokat jól zárható, száraz, behatolás ellen ráccsal védett, tőzvédelmi szabályzat elıírásainak megfelelı helyiségben kell elhelyezni. Hozzáférés-védelem: A folyamatos aktív kezelésben lévı iratokhoz csak az illetékes ügyintézık férhetnek hozzá. A humánpolitikai (személyzeti valamint a bér- és munkaügyi) iratokat, valamint az ügyfél jogviszonnyal kapcsolatos iratokat zárható helyiségben, zárható iratszekrényekben kell ırizni. Az adatkezelések iratainak archiválását évente el kell végezni A jogosulatlan hozzáférés megakadályozása érdekében az adatkezelınek a társaságnál kezelt ügyfél-adatokat telefonon közölnie csak biztonsági azonosítást követıen engedélyezett. 5.5 Adattovábbítás külföldre A HMV Zrt. külföldre személyes adatot (beleértve a különleges adatot is) nem továbbít A HMV Zrt. - tevékenységi körébıl kifolyólag - adatkezelési korlátozással érintett személyes adatot nem vesz át, és nem továbbít. 5.6 Adatfeldolgozás A HMV Zrt. a szolgáltatásokhoz kapcsolódó számlák (ideértve az e-számlákat), tájékoztatók, kamatközlı levelek és fizetési felszólítók nyomtatására, borítékolására és ügyfelekhez való eljuttatására, mérıállások sms-ben történı bejelentésére Jóváhagyva és hatályba helyezve: március 1. 7/19

8 adatfeldolgozót vesz/vehet igénybe. Nem lehet adatfeldolgozó olyan szervezet, amely a személyes adatokat felhasználó üzleti tevékenységben érdekelt Az adatfeldolgozó jogait és kötelezettségeit az Infotv., valamint az adatkezelıvel kötött külön írásbeli szerzıdés határozza meg. Az adatfeldolgozó az adatkezelést érintı érdemi döntést nem hozhat, az adatkezelı utasításait/rendelkezéseit hajtja végre Az adatfeldolgozó e tevékenysége ellátása során más adatfeldolgozót nem vehet igénybe Az adatfeldolgozók részére történı adattovábbításról (rendszeres továbbítás esetén annak megkezdése napján, illetve a továbbított adatfajták változása napján minden esetben) jegyzıkönyvet kell kiállítani (2. sz. melléklet). A jelen szabályzat hatálybalépésekor folyamatban lévı adattovábbításokról legkésıbb május 31. napjáig jegyzıkönyvet kell felvenni. Az illetékes adatkezelı szervezeti egység vezetıje a jegyzıkönyvek eredeti példányát a kiállítását követı 15 napon belül átadja a HMV Zrt. adatvédelmi felelısének, aki az átadott dokumentumokról sorszámmal ellátott nyilvántartást vezet. 5.7 A társaságon belüli adattovábbítás A társaságon belül az ügyfelek személyes adatai a feladat elvégzéséhez szükséges mértékben és ideig csak olyan szervezeti egységhez továbbíthatók, amely az ügyféllel fennálló jogviszony alapján további adminisztratív, szervezési, kivitelezési feladatokat lát el A társaságon belül az egyes szervezeti egységekhez továbbítható adatok körét elvégzendı feladatonként külön kell meghatározni. A meghatározást az adott szervezeti egységek vezetıi kezdeményezik és végzik, a belsı adatvédelmi felelıs bevonásával. 5.8 Adattovábbítás megkeresésre A társaságon kívüli szervtıl vagy magánszemélytıl érkezı, adatközlésre irányuló megkeresés csak akkor teljesíthetı, ha az érintett erre írásban felhatalmazást ad, továbbá, ha az adat kiadását törvény vagy törvényen alapuló önkormányzati rendelet írja elı a HMV Zrt. részére. Az érintett elızetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat határozott vagy határozatlan idıtartamra és a megkereséssel élı szervek mindegyikére vagy meghatározott körére Az érintett nyilatkozattételétıl függetlenül teljesíteni kell a büntetı ügyekben eljáró hatóságoktól rendırség, bíróság, ügyészség, NAV valamint a nemzetbiztonsági szolgálatoktól érkezı megkereséseket A nemzetbiztonsági szolgálatoktól érkezı megkeresésre vonatkozó minden adat a nemzetbiztonsági szolgálatokról szóló évi CXXV. törvény 42. -a szerint államtitok, amirıl sem más szerv, sem más személy nem tájékoztatható. Jóváhagyva és hatályba helyezve: március 1. 8/19

9 5.8.4 E szervek megkereséseirıl és a megkeresés alapján teljesített/elutasított adatszolgáltatásról (válaszlevél) jegyzıkönyvet kell kiállítani (2. sz. melléklet). Az illetékes adatkezelı szervezeti egység vezetıje minden hónap végén a már elintézett ügyek esetében a jegyzıkönyvek eredeti, valamint a megkeresések és a válaszlevelek egy-egy pdf. formátumú másolati példányát megküldi a HMV Zrt. adatvédelmi felelısének, aki az átadott dokumentumokról sorszámmal ellátott nyilvántartást vezet. 5.9 Az adatkezelésben érintett jogai és érvényesítésük Infotv. 20. (1) Az érintettel az adatkezelés megkezdése elıtt közölni kell, hogy az adatszolgáltatás önkéntes (hozzájáruláson alapul) vagy kötelezı. Kötelezı adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelı jogszabályt is. (2) Az érintettet az adatkezelés megkezdése elıtt - egyértelmően és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényrıl, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyérıl, az adatkezelés idıtartamáról, arról, ha az érintett személyes adatait az adatkezelı a 6. (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetıségeire is. (3) Kötelezı adatkezelés esetén a tájékoztatás megtörténhet a (2) bekezdés szerinti információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is Az érintett kérelmezheti az adatkezelınél - tájékoztatását személyes adatai kezelésérıl, - személyes adatainak helyesbítését, valamint - személyes adatainak a kötelezı adatkezelés kivételével törlését vagy zárolását. A kérelmet levélben vagy az ügyfélszolgálaton rendelkezésre álló, a jelen szabályzat 3. sz. mellékletét képezı nyomtatványon kell benyújtani (ha a nyomtatványt az ügyintézı tölti ki, az érintettel alá kell íratni) Az érintett kérelmére a HMV Zrt. tájékoztatást ad - az érintett általa, illetve adatfeldolgozója által kezelt/feldolgozott adatairól, - az adatok forrásáról, - az adatkezelés céljáról, - adatkezelés jogalapjáról, - az adatkezelés idıtartamáról, - az adatfeldolgozó nevérıl, címérıl és az adatkezeléssel összefüggı tevékenységérıl, - adattovábbítás esetén az adattovábbítás jogalapjáról és címzettjérıl A tájékoztatást, a kérelem beérkezését követı lehetı legrövidebb idın, de legfeljebb 30 napon belül írásban meg kell adni. A tájékoztatást az a szervezeti egység adja meg, amely a kérelem alapjául szolgáló ügyben eljárni illetékes. Amennyiben ilyen nincs - ún. általános kérelem esetén -, úgy az értékesítési és pénzügyi osztály ügyfélszolgálata jár el. Jóváhagyva és hatályba helyezve: március 1. 9/19

10 5.9.5 Adott évben az elsı írásbeli kérelemre adott tájékoztatás ingyenes. Minden további írásbeli tájékoztatás, amennyiben az elsıvel azonos adatkörre vonatkozik, költségtérítés ellenében adható. Utólag megállapított jogellenes adatkezelés esetén a költségtérítés az érintettnek visszajár Az elutasított kérelmekrıl az adatkezelı a hatóságot évente a tárgyévet követı év január 31. napjáig értesíti A valóságnak meg nem felelı személyes adatot, ha a valóságnak megfelelı a társaság rendelkezésére áll, az adatkezelı helyesbíti A személyes adatot törölni kell, ha: - kezelése jogellenes, - az érintett kéri (kötelezı adatkezelés kivételével), - az hiányos vagy téves és ez nem korrigálható, - az adatkezelés célja megszőnt, vagy az adattárolás törvényi határideje lejárt, - azt a bíróság vagy a hatóság elrendelte Infotv. 17. (4) Törlés helyett az adatkezelı zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhetı, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhetı, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta Meg kell jelölni azt a kezelt személyes adatot, amely esetében az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelmően A helyesbítésrıl, a zárolásról és a törlésrıl az érintettet, illetve mindazokat értesíteni kell, akinek az adat adatkezelés céljára továbbításra került. Az értesítést ugyanaz a szervezeti egység végzi, amelyik a kérelem elintézésében illetékes volt. Az értesítés lehet közvetlen (pl.: tájékoztató levél, szóban) vagy közvetett (pl.: számla jó adatokkal). Az értesítés mellızhetı, ha ez az érintett jogos érdekét nem sérti Amennyiben a helyesbítési, a zárolási vagy törlési kérelem elutasításra kerül, a kérelem kézhezvételét követı 30 napon belül közölni kell az érintettel e tényt, valamint az elutasítás indokait, a jogorvoslati lehetıségek feltüntetése mellett Infotv. 21. (1) Az érintett tiltakozhat személyes adatának kezelése ellen, a) ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelıre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelı, adatátvevı, vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelezı adatkezelés esetén; b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint c) törvényben meghatározott egyéb esetben. A tiltakozást írásban levélben, vagy az "Adatvédelem-02" nyomtatványon (3. sz. melléklet) kell benyújtani a társasághoz. A tiltakozás elbírálásáról annak benyújtását követı 15 napon belül értesíteni kell az érintettet. Jóváhagyva és hatályba helyezve: március 1. 10/19

11 Ha a tiltakozás megalapozott, az adatkezelést meg kell szüntetni, és az adatokat zárolni kell A személyes adatra vonatkozó elutasított kérelem (tájékoztatás, helyesbítés, törlés vag y z árolás me gta gad ás a, tiltakoz ás) esetén az illetékes adatkezelı szervezeti egység vezetıje minden hónap végén a már elintézett ügyekkel kapcsolatos megkeresések és a válaszlevelek egy-egy pdf. formátumú másolati példányát megküldi a HMV Zrt. adatvédelmi felelısének, aki az átadott dokumentumokról sorszámmal ellátott nyilvántartást vezet (3. számú melléklet) Az adathelyesbítésekrıl, zárolásokról, törlésekrıl a jelen szabályzat 4. számú melléklete szerinti jegyzıkönyvet kell felvenni. A jegyzıkönyvek másolati példányát az illetékes adatkezelı szervezeti egység vezetıje minden hónap végén átadja a HMV Zrt. adatvédelmi felelısének Adattovábbítási nyilvántartás (belsı adatvédelmi nyilvántartás) A társaság külsı szervek/adatfeldolgozó felé történı adattovábbításairól nyilvántartást kell vezetni. A nyilvántartás a számítógépen tárolt adatok továbbítása esetében az adatok számítógépes legyőjtéssel kialakított adatlapja lekérdezésével, a csak manuálisan nyilvántartott adatok esetében a 2. számú melléklet tárolásával valósul meg. A nyilvántartás az adattovábbítással kapcsolatos alábbi tényeket/körülményeket tartalmazza: - az adattovábbítás idıpontja, - hová történt az adattovábbítás (szervezet pontos neve, címe), - milyen célból történt, - az adattovábbítás jogalapja (törvény, törvényi felhatalmazással megkeresés, érintett hozzájárulása), - továbbított személyes adatok köre, - ki továbbította (az adatfeldolgozást végzı felelıs személy neve, szervezeti egysége), - milyen módon került az adat továbbításra. 6. Belsı adatvédelmi felelıs, informatikai adatvédelmi megbízott A HMV Zrt-n belül a vezérigazgató által megbízott, közvetlenül a vezérigazgató irányítása alá tartozó belsı adatvédelmi felelıs mőködik. A belsı adatvédelmi felelıs a hatóság által összehívott belsı adatvédelmi felelısök konferenciájának tagja. 6.1 A belsı adatvédelmi felelıs feladata: - közremőködik, illetıleg segítséget nyújt az adatkezeléssel összefüggı döntések meghozatalában, valamint az érintettek jogainak biztosításában; Jóváhagyva és hatályba helyezve: március 1. 11/19

12 - ellenırzi az adatkezelésre vonatkozó jogszabályok, valamint a belsı adatvédelmi és adatbiztonsági szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását; - kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelıt vagy az adatfeldolgozót; - elkészíti és aktualizálja a belsı "adatvédelmi és adatbiztonsági szabályzatot"; - vezeti a belsı adatvédelmi nyilvántartást ; - eleget tesz a hatóság felé fennálló tájékoztatási kötelezettségeknek. 6.2 Az informatikai adatvédelmi megbízott feladata: - közremőködik, segítséget nyújt, illetve javaslatot tesz a belsı adatvédelmi felelısnek az informatikai adatkezeléssel összefüggı döntések elıkészítésében; - ellenırzi az informatikai adatkezelésre vonatkozó jogszabályok, illetve az adatvédelmi és adatbiztonsági szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását; - részt vesz a belsı adatvédelmi és adatbiztonsági szabályzat informatikát érintı kérdéseinek tisztázásában és kidolgozásában; - biztosítja a belsı adatvédelmi nyilvántartás vezetésének informatikai hátterét; - eleget tesz az adatvédelmi felelıs felé fennálló kötelezettségeknek; - javaslatot tesz az adatvédelmi felelıs felé az adatvédelmet érintı intézkedések meghozatalára. Az adatvédelemmel kapcsolatos elıírások, így különösen jelen szabályzat rendelkezéseink betartását, az adatkezelést végzı szervezeti egységek vezetıi folyamatosan, az adatvédelmi felelıs idıszakosan ellenırzik. A HMV Zrt. adatvédelmi felelıse az irat- és adatkezeléssel kapcsolatos szabályzatok, jegyzıkönyvek és a nyilvántartás áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról. Törvénysértés esetén az adatvédelmi felelıs ennek megszüntetésére szólítja fel az illetékes szervezeti egység vezetıjét. 7. Közérdekő adatok közzététele és megismerésének rendje 7.1 Általános szabályok A víziközmő-szolgáltatással összefüggı, a HMV Zrt. kezelésében lévı és tevékenységére vonatkozó vagy ezen közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem esı, információ vagy ismeret közérdekő adatnak minısül A közérdekbıl nyilvános adat a HMV Zrt. képviseletében eljáró személyek neve, feladatköre, munkaköre, vezetıi megbízatása, a közfeladat ellátásával összefüggı egyéb személyes adata, valamint azok a személyes adatai, amelyek megismerhetıségét törvény elıírja. Jóváhagyva és hatályba helyezve: március 1. 12/19

13 7.1.3 A HMV Zrt. nyilvánosságra hozható közérdekő és közérdekbıl nyilvános adatainak körét és a nyilvánosságra hozatal módját a társaság vezérigazgatója hagyja jóvá. A közérdekbıl nyilvános adatok megismerésére a közérdekő adatok megismerésére vonatkozó rendelkezéseket kell alkalmazni A társaság cégadatai nyilvánosak. 7.2 A közérdekő adatok közzététele A kötelezıen közzéteendı adatokat a társaság internetes honlapján, digitális, kinyomtatható és kimásolható formában, bárki számára, minden korlátozástól mentesen és díjmentesen kell hozzáférhetıvé tenni A kötelezıen közzéteendı adatok körét az Infotv., a víziközmő-szolgáltatásról szóló évi CCIX. törvény, a köztulajdonban álló gazdasági társaságok takarékosabb mőködésérıl szóló évi XXII. törvény, illetve egyéb jogszabályok határozzák meg A vezérigazgató által jóváhagyott, mindenkori közzéteendı adatok honlapra való felkerülésének biztosítása a vezérigazgató által ezzel megbízott személy és az alkalmazási rendszergazda feladata A közzétett adatokat a változást követıen az Infotv. 1. számú melléklete szerinti gyakorisággal felül kell vizsgálni és a változásokat a honlapon át kell vezettetni. A felülvizsgálatot a közzétett adatot szolgáltató területi egység vezetıje (osztályvezetı, üzemvezetı, velük egy tekintet alá esı munkavállaló) végzi. 7.3 A közérdekő adatok megismerésének rendje A közérdekő adat vagy közérdekbıl nyilvános adat megismerésére vonatkozó kérelmet bárki akár szóban, akár írásban, akár elektronikus úton elıterjesztheti. A kérelemnek legfeljebb 15 napon belül eleget kell tenni. A határidı egy alkalommal, maximum 15 nappal meghosszabbítható, ha az anyag jelentıs terjedelmő, illetve nagy számú adatra vonatkozik. A meghosszabbításról a kérelmezıt az igény kézhezvételét követı 8 napon belül tájékoztatni kell Ha az adatigénylés nem egyértelmő, az igénylıt fel kell hívni az igény pontosítására A társaságra, illetve a társaság kezelésében lévı közérdekő adatok és közérdekbıl n yilvános adatok köz lésé re vonatkoz ó kérelmeket a vezérigazgató, vagy a helyettesei bírálják el Ha az adat már elektronikus formában nyilvánosságra került, úgy az igény teljesíthetı a forrás megjelölésével is A közérdekő adatokat tartalmazó iratról kérelemre készített másolat költségtérítés ellenében adható. Ennek összegérıl az igénylıt tájékoztatni kell. Jelentıs terjedelmő Jóváhagyva és hatályba helyezve: március 1. 13/19

14 másolati igény esetén a költségtérítés megfizetését követı 15 napon belül kell teljesíteni a másolatkiadási kérelmet Az elutasított közérdekő adatkérés válaszlevelében meg kell határozni az elutasítás indokait, és tájékoztatni kell a kérelmezıt a jogorvoslati lehetıségekrıl Az elutasított kérelmekrıl, valamint az elutasítás indokairól az adatvédelmi felelısnek nyilvántartást kell vezetni, és az abban foglaltakról a hatóságot évente, január 31. napjáig kell tájékoztatni. 8. A nemzeti adatvédelmi és információszabadság hatóság 8.1 Adatvédelmi hatóság A hatóság feladata a személyes adatok védelméhez, valamint a közérdekő és a közérdekbıl nyilvános adatok megismeréséhez való jog érvényesülésének ellenırzése és elısegítése A hatóság ajánlásaiban/intézkedéseiben foglaltak foganatosításáról, a hatóság felé fennálló tájékoztatási kötelezettség teljesítésérıl a vezérigazgató felhatalmazása alapján a HMV Zrt. adatvédelmi felelıse gondoskodik. 8.2 Adatvédelmi nyilvántartás Az adatkezelınek - ha a törvényben (Infotv.) meghatározott kivételi körbe nem tartozó adatot kezel - be kell jelentkezni az adatvédelmi nyilvántartásba. Az adatvédelmi nyilvántartás nyilvános. Az adatkezelı a nyilvántartásba vételkor nyilvántartási számot kap, amelyet az adatok minden továbbításánál, nyilvánosságra hozásánál és az érintettnek való kiadásakor fel kell tüntetni A HMV Zrt-vel munkaviszonyban álló személyek adatainak kezelését nem kell bejelenteni az adatvédelmi nyilvántartásba Az adatvédelmi nyilvántartásba való bejelentkezés dokumentumait a belsı adatvédelmi felelıs tárolja, amelybe bárki betekinthet. 9. Nyilvántartások kezelésének szabályai 9.1 Ügyfélnyilvántartás A HMV Zrt. ügyfél-nyilvántartása a közüzemi jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját a vízgazdálkodásról szóló évi LVII. törvény, a víziközmő-szolgáltatásról szóló évi CCIX. törvény, a Polgári Törvénykönyv általános és a közüzemi Jóváhagyva és hatályba helyezve: március 1. 14/19

15 szerzıdésekre vonatkozó rendelkezései, továbbá az 58/2013. (II. 27.) Kormányrendelet képezik Az ügyfél-nyilvántartás adatai a közüzemi jogviszonnyal kapcsolatban keletkezı jogok érvényesítésével és kötelezettségek teljesítésével kapcsolatos adminisztratív, szervezési és kivitelezési feladatok ellátására használhatók fel Az ügyfél-nyilvántartás a HMV Zrt. valamennyi ügyfelének adatait tartalmazza. Az ügyfelekrıl nyilvántartásba felvehetı és tárolható adatok körét a pontban felsorolt jogszabályok határozzák meg Az ügyfél-nyilvántartás adatait az ügyfél által kitöltött és aláírt közüzemi szerzıdések, a kitöltött bejelentı és változásközlı lapok, az írásbeli és a személyesen tett bejelentések/megkeresések, a HMV Zrt. adatmegkeresései (lakcímnyilvántartó, földhivatal), valamint az eseti helyszíni adatközlések szolgáltatják A HMV Zrt. szervezetén belül az ügyfél-nyilvántartásból csak azon szervezeti egység részére teljesíthetı adatszolgáltatás, amely az ügyféllel a szolgáltatási tevékenységgel összefüggésben keletkezı jogok érvényesítésével és kötelezettségek teljesítésével kapcsolatos feladatok ellátásában, vagy annak ellenırzésében illetékes (pl.: engedélyek kiadása, mérıcsere, kárelhárítás, kártérítés, per). Az ügyintézık a szükséges és elégséges mértékben férhetnek csak az adatokhoz Minden beosztottal rendelkezı munkavállaló a beosztottja/beosztottjai által kezelt bármely adathoz jogosult hozzáférni. Teljes körő ügyfél-adat hozzáférésre jogosultak az adatkezelı jogait gyakorlón kívül a vezérigazgató és helyettesei, az üzemvezetık, továbbá az adatvédelmi felelıs. 9.2 A nyilvántartások alapjául szolgáló iratok megırzési ideje Ha törvények hosszabb idıtartamról nem rendelkeznek, az adatvédelemhez kapcsolódó, jelen szabályzatban nevesített iratokat 10 évig kell megırizni. Jóváhagyva és hatályba helyezve: március 1. 15/19

16 1. sz. melléklet TITOKTARTÁSI NYILATKOZAT Alulírott. név, mint a Heves Megyei Vízmő Zrt. személyes adatot kezelı munkavállalója kijelentem, hogy a természetes személyek (ügyfél, beleértve az egyéni vállalkozót is) bármilyen formában tudomásomra jutott, az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvényben meghatározott személyes adatait semmilyen formában nyilvánosságra nem hozom. Eger,... nyilatkozó munkavállaló aláírása Jóváhagyva és hatályba helyezve: március 1. 16/19

17 2. sz. melléklet Ssz.: 01- Heves Megyei Vízmő Zrt Eger, Hadnagy utca 2. ADATVÉDELEM A megkeresı/adatfeldolgozó adatai Neve: Címe: Megkeresés célja: irányítószám város, község neve közterület neve, jellege, házszám, emelet, ajtó Megkeresés jogalapja: Továbbítani kért adatok: kitöltı olvasható aláírása Adattovábbítás/elutasítás Neve: Beérkezés dátuma: szervezeti egysége: Továbbított/elutasított adatok köre, elutasítás indoka, egyéb megjegyzés: Adattovábbítás rendszeressége: módja: dátuma: szervezeti egység vezetıje aláírása Adatvédelmi felelıs Átvétel dátuma: Megtett intézkedés, megjegyzés: Dátum: adatvédelmi felelıs aláírása Jóváhagyva és hatályba helyezve: március 1. 17/19

18 3. sz. melléklet Ssz.: 02- Heves Megyei Vízmő Zrt Eger, Hadnagy utca 2. ADATVÉDELEM * tájékoztatás kérése helyesbítés/törlés/zárolás kérése tiltakozás egyéb Az ügyfél adatai Partnerkód: Ügyfél neve: Lakcím: Fogyasztási hely: Kérelem/tiltakozás/egyéb: irányítószám város, község neve közterület neve, jellege, házszám, emelet, ajtó irányítószám város, község neve közterület neve, jellege, házszám, emelet, ajtó ügyfél aláírása * Költségtérítés: nincs/van Ft Adatkezelı Ügyintézı neve: beosztása: Beérkezés dátuma: szervezeti egysége: Ügyfél értesítésének módja: Megtett intézkedés, megjegyzés: Intézkedés dátuma: Adatvédelmi felelıs Megtett intézkedés, megjegyzés: Átvétel dátuma: szervezeti egység vezetıje aláírása Dátum: adatvédelmi felelıs aláírása Jóváhagyva és hatályba helyezve: március 1. 18/19

19 Adattörlési/zárolási/helyesbítési jegyzıkönyv 4. sz. melléklet 1. Az érintett neve: 2. A vonatkozó/helyesbíteni kért adat megnevezése: helyesbítés esetén a helyes adat: 3. az adat törlésének/zárolásának/helyesbítésének ideje: 4. Adattörlés/zárolás jogszabályi alapja / indoka: 5. A vonatkozó irat száma: 6. Adattörlést/zárolást/helyesbítést végzı szervezeti egység megnevezése: 7. Értesítendı / tájékoztatandó: 8. Egyéb megjegyzés: 9. Adattörlés/zárolás/megtagadás esetén ennek indoka: Dátum:.... szervezeti egység vezetıje Jóváhagyva és hatályba helyezve: március 1. 19/19