DIALÓG BEFEKTETÉSI ALAPKEZELŐ ZRT. (1037 Budapest, Montevideo u. 3/B., cjsz: ) ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT

Átírás

1 ADATVÉDELMI SZABÁLYZAT DIALÓG BEFEKTETÉSI ALAPKEZELŐ ZRT. DIALÓG BEFEKTETÉSI ALAPKEZELŐ ZRT. (1037 Budapest, Mntevide u. 3/B., cjsz: ) ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT Kelt, Budapest május verzió

2 TARTALOMJEGYZÉK 1 Általáns rendelkezések A szabályzat célja és hatálya Értelmező rendelkezések Az adatvédelem alapfgalmai és elvei Adattkkal kapcslats titktartás A személyes adatk védelme Az adatkezelések általáns szabályai A személyes adatk minősége Belső adatvédelmi nyilvántartás Az érintett jgai és érvényesítésük Adattvábbítás, az adatkezelések összekapcslása Adattvábbítás külföldre Belső adattvábbítás, adatkezelések összekapcslása Az értékpapírtitk védelme Értékpapírtitk kiadása megkeresés alapján Felmentés az értékpapírtitk alól Az adattvábbításk nyilvántartása Belföldi adattvábbítás Külföldre irányuló adattvábbítás Adatbiztnsági rendszabályk Számítógépen tárlt adatk Manuális kezelésű adatk Ellenőrzés Általáns ellenőrzés A belső adatvédelmi felelős Egyes adatkezelések Ügyfélnyilvántartás Személyzeti nyilvántartás Bér- és munkaügyi nyilvántartás Vegyes és záró rendelkezések Alkalmaztt jgszabályk Hatályba lépés Függelék Mellékletek 2

3 1 Általáns rendelkezések 1.1 A szabályzat célja és hatálya Az adatvédelmi és adatbiztnsági szabályzat (a tvábbiakban: szabályzat) célja, hgy biztsítsa az adatvédelem alktmánys elveinek, az infrmációs önrendelkezési jgnak és az adatbiztnság követelményeinek érvényesülését. A szabályzat célja, hgy biztsítsa a DIALÓG Befektetési Alapkezelő Zártkörűen Működő Részvénytársaság (székhely: 1037 Budapest, Mntevideó u 3. B. ép.; cégjegyzékszám: , nyilvántartja a Fővársi Törvényszék Cégbírósága, a tvábbiakban: Társaság), mint befektetési szlgáltatást nyújtó befektetési alapkezelő ügyfelei minden lyan adatának védelmét, amely értékpapírtitknak vagy személyes adatnak minősül. A szabályzat hatálya kiterjed minden, a Társaság által végzett természetes személyek és más személyek értékpapírtitknak és / vagy személyes adatnak minősülő adatainak kezelésre, feldlgzásra, illetve a vezetett nyilvántartásk működésének rendjére. Jelen szabályzat a évi CXII. törvény (Inftv.) és az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatk kezelése tekintetében történő védelméről és az ilyen adatk szabad áramlásáról, valamint a 95/46/EK rendelet hatályn kívül helyezéséről (általáns adatvédelmi rendelet; GDPR) alapján készült. 1.2 Értelmező rendelkezések A befektetési vállalkzáskról és az árutőzsdei szlgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló évi CXXXVIII. törvény (Bszt.) 4. (2) bekezdés 27. pntja szerint: Értékpapírtitk: minden lyan, az ügyfélről a befektetési vállalkzás rendelkezésére álló adat, amely az ügyfél személyére, adataira, vagyni helyzetére, üzleti befektetési tevékenységére, gazdálkdására, tulajdnsi, üzleti kapcslataira, illetve a befektetési vállalkzással kötött szerződéseire, számlájának egyenlegére és frgalmára vnatkzik. A Bszt (1) és (2) bekezdései alapján: A befektetési vállalkzás, illetőleg a befektetési vállalkzás vezető állású személye és alkalmazttja, valamint bármely más személy, aki valamilyen módn birtkába juttt, az értékpapírtitkt köteles időbeli krlátzás nélkül megőrizni. A befektetési vállalkzás az értékpapírtitkt harmadik személynek - az ügyfél egyidejű tájékztatása mellett - csak akkr adja ki, ha a) az ügyfél vagy annak törvényes képviselője a rá vnatkzó kiszlgáltatható értékpapírtitk körébe tartzó adatkat pntsan megjelölve közkiratba vagy teljes biznyító erejű magánkiratba fglaltan kéri vagy erre felhatalmazást ad, 3

4 b) a Bszt. egyéb rendelkezései az értékpapírtitk megtartásának kötelezettsége alól felmentést adnak, vagy c) a befektetési vállalkzásnak az ügyféllel szemben fennálló követelése értékesítése vagy lejárt követelése érvényesítése ezt szükségessé teszi. Az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvény (Inftv.) pntja alapján: Személyes adat: az érintettel kapcslatba hzható adat - különösen az érintett neve, aznsító jele, valamint egy vagy több fizikai, fizilógiai, mentális, gazdasági, kulturális vagy szciális aznsságára jellemző ismeret -, valamint az adatból levnható, az érintettre vnatkzó következtetés. Az adatvédelmi és adatbiztnsági szabályzat alkalmazása srán az Inftv. 3. -ával megegyezően az egyes fgalmak jelentését a Függelék tartalmazza. 1.3 Az adatvédelem alapfgalmai és elvei A Társaság működése srán az adatkezelést célhz kötötten és aránysan kell alkalmazni. Személyes adat csak meghatárztt törvényes célból, jg gyakrlása és kötelezettség teljesítése érdekében kezelhető, a cél eléréséhez szükséges mértékben és ideig. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatk felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak lyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásáhz elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásáhz szükséges mértékben és ideig kezelhető. A személyes adat az adatkezelés srán mindaddig megőrzi e minőségét, amíg kapcslata az érintettel helyreállítható. Az érintettel akkr helyreállítható a kapcslat, ha az adatkezelő rendelkezik azkkal a technikai feltételekkel, amelyek a helyreállításhz szükségesek. Az adatkezelés srán biztsítani kell az adatk pntsságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hgy az érintettet csak az adatkezelés céljáhz szükséges ideig lehessen aznsítani. Ha az adatkezelés célja megszűnt, vagy az adatk kezelése egyébként jgellenes, az adatkat törölni kell. A törlés az adatk felismerhetetlenné tétele ly módn, hgy helyreállításuk már nem lehetséges. Az adatkezelés törlésével, megszüntetésével kapcslats tényeket jegyzőkönyvben kell rögzíteni. Az adatk törlésének részletes szabályait a papír és egyéb irattárzható adathrdózón tárlt adatk esetében az Iratkezelési szabályzat, az infrmatikai rendszerekben tárlt adatk törlésének részletes szabályait az Infrmatikai Biztnsági szabályzat állapítja meg. 1.4 Adattkkal kapcslats titktartás Aki személyes adat birtkába jut, azt harmadik személlyel csak az érintett engedélye vagy törvény vagy - törvény felhatalmazása alapján, az abban meghatárztt körben - helyi önkrmányzat rendelete közérdeken alapuló célból elrendeli alapján jgsult harmadik személlyel megsztani. Aki értékpapírtitk birtkába jut, köteles azt időbeli krlátzás nélkül megtartani. Aki értékpapírtitk birtkába jut, nem használhatja fel arra, hgy annak révén saját maga vagy más személy részére közvetlen vagy közvetett módn előnyt szerezzen, tvábbá, hgy a Társasának vagy ügyfeleinek hátrányt kzzn. 4

5 A Társaság jgutód nélküli megszűnése esetén a Társaság által kezelt értékpapírtitkt tartalmazó irat a keletkezésétől számíttt hatvan év múlva a levéltári kutatásk céljára felhasználható. 2 A személyes adatk védelme 2.1 Az adatkezelések általáns szabályai Személyes adatt a Társaság akkr kezel, ha ahhz az érintett személy hzzájárult, vagy az adatkezelés számára kötelező. Az érintett személy a hzzájárulását az Társasággal írásban kötött szerződés keretében vagy külön írásbeli nyilatkzatban adja meg a szerződésben fglaltak teljesítése céljából. A Társaság szerződéseinek tartalmaznia kell minden lyan infrmációt, amelyet a személyes adatk kezelése szempntjából az Inftv. alapján az érintett személynek ismernie kell, így különösen a következőket: az adatkezelés hzzájárulásn alapul vagy kötelező, a kezelendő adatkat, az adatkezelés és felhasználás célja és jgalapja, az adatkezelésre és az adatfeldlgzásra jgsult személye, az adatkezelés időtartama, kik ismerhetik meg az adatkat (adtt esetben az adatk tvábbításának tényét, címzettjeit, adatfeldlgzó igénybevételét), az érintett adatkezeléssel kapcslats jgai és jgrvslati lehetőségei. A szerződéseknek félreérthetetlen módn tartalmaznia kell, hgy az érintett aláírásával hzzájárul adatainak a szerződésben meghatárzttak szerinti kezeléséhez. Személyes adat kezelhető akkr is, ha az érintett hzzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése: az adatkezelőre vnatkzó jgi kötelezettség teljesítése céljából szükséges, vagy az adatkezelő vagy harmadik személy jgs érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatk védelméhez fűződő jg krlátzásával arányban áll. Ha az érintett cselekvőképtelensége flytán vagy más elháríthatatlan kból nem képes hzzájárulását megadni, akkr a saját vagy más személy létfntsságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításáhz vagy megelőzéséhez szükséges mértékben a hzzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek. A 16. életévét betöltött kiskrú érintett hzzájárulását tartalmazó jgnyilatkzatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólags jóváhagyása nem szükséges. A Társaság számára kötelező az adatkezelés, ha azt törvény vagy - törvény felhatalmazása alapján, az abban meghatárztt körben - helyi önkrmányzat rendelete közérdeken alapuló célból elrendeli. Kötelező az adatkezelés a Társaság befektetési szlgáltatási tevékenysége tekintetében a pénzmsás elleni törvény és a társaság pénzmsás elleni védelmi szabályzata előírásai szerint. Kötelező adatszlgáltatás esetén meg kell jelölni az adatkezelést elrendelő jgszabályt, illetve a Társaság vnatkzó szabályzatát is. 5

6 A Társaság szervezeti egységeinél adatkezelést végző alkalmazttak kötelesek az általuk megismert személyes adatkat megőrizni. Ilyen munkakörben csak lyan személy fglalkztatható, aki titktartási nyilatkzatt tett. A titktartási nyilatkzat a munkaszerződés, illetve a megbízási szerződések része, a munkavállalók, illetve a Társaság megbízttai annak aláírásával tesznek nyilatkzatt. 2.2 A személyes adatk minősége A társaság által kezelt személyes adatknak meg kell felelniük az alábbi követelményeknek: - felvételük és kezelésük tisztességes és törvényes; - pntsak, teljesek, és ha szükséges időszerűek; - tárlásuk módja alkalmas arra, hgy az érintettet csak a tárlás céljáhz szükséges ideig lehessen aznsítani. 2.3 Belső adatvédelmi nyilvántartás A Társaság által létesített minden személyes adatra vnatkzó adatkezelésről belső adatvédelmi nyilvántartást kell vezetni. A belső adatvédelmi nyilvántartást a Társaság belső adatvédelmi felelőse vezeti és őrzi. A belső adatvédelmi nyilvántartást a Társaság határzatlan ideig megőrzi. A belső adatvédelmi nyilvántartásban, a jelen szabályzat 1. sz. melléklete szerinti frmanymtatványban kell dkumentálni az adatkezeléssel kapcslats legfntsabb tényeket és körülményeket. Ezek különösen: az adatkezelés megnevezése, célja, rendeltetése, jgszabályi alapja, kezelője (szervezeti egység, annak vezetője, illetve az adatfeldlgzást végző felelős személy neve, besztása, irdája és telefnszáma), érintettek köre és száma, nyilvántarttt adatk köre, adatk frrása (maga az érintett, vagy más adatkezelés), adatfeldlgzás módszere (kézi, számítógépi, vegyes), az adatkn végzett gyakri adatkezelési műveletek (tárlás, módsítás, aktualizálás, válgatás, rendszerezés, stb.), belföldi és külföldi adattvábbítás, adatbiztnsági intézkedések, adatk megőrzésének, illetve törlésének ideje adatk összekapcslása. A belső adatvédelmi nyilvántartás adatainak helytállóságát a Társaság belső adatvédelmi felelőse és az illetékes adatkezelő évente felülvizsgálja, az időközben történt váltzáskat átvezeti. Az adatkezelés megszűnése után a belső adatvédelmi nyilvántartást irattárazni kell. A belső adatvédelmi nyilvántartás mintáját a melléklet tartalmazza. 2.4 Az érintett jgai és érvényesítésük 6

7 Az érintett hzzáférési jga (1) Az érintett jgsult arra, hgy az adatkezelőtől visszajelzést kapjn arra vnatkzóan, hgy személyes adatainak kezelése flyamatban van-e, és ha ilyen adatkezelés flyamatban van, jgsult arra, hgy a személyes adatkhz és a következő infrmációkhz hzzáférést kapjn: a) az adatkezelés céljai; b) az érintett személyes adatk kategóriái; c) azn címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatkat közölték vagy közölni fgják, ideértve különösen a harmadik rszágbeli címzetteket, illetve a nemzetközi szervezeteket; d) adtt esetben a személyes adatk tárlásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatárzásának szempntjai; e) az érintett azn jga, hgy kérelmezheti az adatkezelőtől a rá vnatkzó személyes adatk helyesbítését, törlését vagy kezelésének krlátzását, és tiltakzhat az ilyen személyes adatk kezelése ellen; f) a valamely felügyeleti hatósághz címzett panasz benyújtásának jga; g) ha az adatkat nem az érintettől gyűjtötték, a frrásukra vnatkzó minden elérhető infrmáció; h) az esetleges autmatizált döntéshzatal ténye, ideértve a prfilalktást is, valamint legalább ezekben az esetekben az alkalmaztt lgikára és arra vnatkzó érthető infrmációk, hgy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. (2) Ha személyes adatknak harmadik rszágba vagy nemzetközi szervezet részére történő tvábbítására kerül sr, az érintett jgsult arra, hgy tájékztatást kapjn a tvábbításra vnatkzóan a 46. cikk szerinti megfelelő garanciákról. (3) Az adatkezelő az adatkezelés tárgyát képező személyes adatk máslatát az érintett rendelkezésére bcsátja. Az érintett által kért tvábbi máslatkért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektrnikus útn nyújttta be a kérelmet, az infrmációkat széles körben használt elektrnikus frmátumban kell rendelkezésre bcsátani, kivéve, ha az érintett másként kéri. (4) A máslat igénylésére vnatkzó jg nem érintheti hátránysan másk jgait és szabadságait. A helyesbítéshez való jg Az érintett jgsult arra, hgy kérésére az adatkezelő indklatlan késedelem nélkül helyesbítse a rá vnatkzó pntatlan személyes adatkat. Figyelembe véve az adatkezelés célját, az érintett jgsult arra, hgy kérje a hiánys személyes adatk egyebek mellett kiegészítő nyilatkzat útján történő kiegészítését. A törléshez való jg ( az elfeledtetéshez való jg ) (1) Az érintett jgsult arra, hgy kérésére az adatkezelő indklatlan késedelem nélkül törölje a rá vnatkzó személyes adatkat, az adatkezelő pedig köteles arra, hgy az érintettre vnatkzó személyes adatkat indklatlan késedelem nélkül törölje, ha az alábbi indkk valamelyike fennáll: a) a személyes adatkra már nincs szükség abból a célból, amelyből azkat gyűjtötték vagy más módn kezelték; b) az érintett visszavnja az adatkezelés alapját képező hzzájárulását, és az adatkezelésnek nincs más jgalapja; c) az érintett tiltakzik az adatkezelése ellen, és nincs elsőbbséget élvező jgszerű k az adatkezelésre; d) a személyes adatkat jgellenesen kezelték; e) a személyes adatkat az adatkezelőre alkalmazandó uniós vagy tagállami jgban előírt jgi kötelezettség teljesítéséhez törölni kell; f) a személyes adatk gyűjtésére az infrmációs társadalmmal összefüggő szlgáltatásk kínálásával kapcslatsan került sr. (2) Ha az adatkezelő nyilvánsságra hzta a személyes adatt, és azt törölni köteles, az elérhető technlógia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket ideértve technikai intézkedéseket annak érdekében, hgy tájékztassa az adatkat kezelő 7

8 adatkezelőket, hgy az érintett kérelmezte tőlük a szóban frgó személyes adatkra mutató linkek vagy e személyes adatk máslatának, illetve másdpéldányának törlését. (3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges: a) a véleménynyilvánítás szabadságáhz és a tájékzódáshz való jg gyakrlása céljából; b) a személyes adatk kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jg szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruháztt közhatalmi jgsítvány gyakrlása keretében végzett feladat végrehajtása céljából; c) a népegészségügy területét érintő közérdek alapján; d) közérdekű archiválás céljából, tudmánys és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jg valószínűsíthetően lehetetlenné tenné vagy kmlyan veszélyeztetné ezt az adatkezelést; vagy e) jgi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. Az adatkezelés krlátzásáhz való jg (1) Az érintett jgsult arra, hgy kérésére az adatkezelő krlátzza az adatkezelést, ha az alábbiak valamelyike teljesül: a) az érintett vitatja a személyes adatk pntsságát, ez esetben a krlátzás arra az időtartamra vnatkzik, amely lehetővé teszi, hgy az adatkezelő ellenőrizze a személyes adatk pntsságát; b) az adatkezelés jgellenes, és az érintett ellenzi az adatk törlését, és ehelyett kéri azk felhasználásának krlátzását; c) az adatkezelőnek már nincs szüksége a személyes adatkra adatkezelés céljából, de az érintett igényli azkat jgi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy d) az érintett tiltakztt az adatkezelés ellen; ez esetben a krlátzás arra az időtartamra vnatkzik, amíg megállapításra nem kerül, hgy az adatkezelő jgs indkai elsőbbséget élveznek-e az érintett jgs indkaival szemben. (2) Ha az adatkezelés az (1) bekezdés alapján krlátzás alá esik, az ilyen személyes adatkat a tárlás kivételével csak az érintett hzzájárulásával, vagy jgi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jgi személy jgainak védelme érdekében, vagy az Unió, illetve valamely tagállam fnts közérdekéből lehet kezelni. (3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján krlátzták az adatkezelést, az adatkezelés krlátzásának felldásáról előzetesen tájékztatja. Az adathrdzhatósághz való jg (1) Az érintett jgsult arra, hgy a rá vnatkzó, általa egy adatkezelő rendelkezésére bcsáttt személyes adatkat taglt, széles körben használt, géppel lvasható frmátumban megkapja, tvábbá jgsult arra, hgy ezeket az adatkat egy másik adatkezelőnek tvábbítsa anélkül, hgy ezt akadályzná az az adatkezelő, amelynek a személyes adatkat a rendelkezésére bcsáttta, ha: a) az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pntja vagy a 9. cikk (2) bekezdésének a) pntja szerinti hzzájárulásn, vagy a 6. cikk (1) bekezdésének b) pntja szerinti szerződésen alapul; és b) az adatkezelés autmatizált módn történik. (2) Az adatk hrdzhatóságáhz való jg (1) bekezdés szerinti gyakrlása srán az érintett jgsult arra, hgy ha ez technikailag megvalósítható kérje a személyes adatk adatkezelők közötti közvetlen tvábbítását. (3) Az e cikk (1) bekezdésében említett jg gyakrlása nem sértheti a törléshez való jgt (fent). Az említett jg nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruháztt közhatalmi jgsítványai gyakrlásának keretében végzett feladat végrehajtásáhz szükséges. (4) Az (1) bekezdésben említett jg nem érintheti hátránysan másk jgait és szabadságait. A tiltakzáshz való jg (1) Az érintett jgsult arra, hgy a saját helyzetével kapcslats kkból bármikr tiltakzzn személyes adatainak kezelése ellen, ideértve a prfilalktást is. Ebben az esetben az adatkezelő a személyes adatkat nem kezelheti tvább, kivéve, ha az adatkezelő biznyítja, hgy az adatkezelést lyan kényszerítő erejű 8

9 jgs kk indklják, amelyek elsőbbséget élveznek az érintett érdekeivel, jgaival és szabadságaival szemben, vagy amelyek jgi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcslódnak. (2) Ha a személyes adatk kezelése közvetlen üzletszerzés érdekében történik, az érintett jgsult arra, hgy bármikr tiltakzzn a rá vnatkzó személyes adatk e célból történő kezelése ellen, ideértve a prfilalktást is, amennyiben az közvetlen üzletszerzéshez kapcslódik. (3) Ha az érintett tiltakzik a személyes adatk közvetlen üzletszerzés érdekében történő kezelése ellen, akkr a személyes adatk a tvábbiakban e célból nem kezelhetők. (4) Az (1) és (2) bekezdésben említett jgra legkésőbb az érintettel való első kapcslatfelvétel srán kifejezetten fel kell hívni annak figyelmét, és az erre vnatkzó tájékztatást egyértelműen és minden más infrmációtól elkülönítve kell megjeleníteni. (5) Az infrmációs társadalmmal összefüggő szlgáltatásk igénybevételéhez kapcslódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakzáshz való jgt műszaki előíráskn alapuló autmatizált eszközökkel is gyakrlhatja. (6) Ha a személyes adatk kezelésére tudmánys és történelmi kutatási célból vagy statisztikai célból kerül sr, az érintett jgsult arra, hgy a saját helyzetével kapcslats kkból tiltakzhassn a rá vnatkzó személyes adatk kezelése ellen, kivéve, ha az adatkezelésre közérdekű kból végzett feladat végrehajtása érdekében van szükség. Autmatizált döntéshzatal egyedi ügyekben, beleértve a prfilalktást (1) Az érintett jgsult arra, hgy ne terjedjen ki rá az lyan, kizárólag autmatizált adatkezelésen ideértve a prfilalktást is alapuló döntés hatálya, amely rá nézve jghatással járna vagy őt hasnlóképpen jelentős mértékben érintené. (2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés: a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges; b) meghzatalát az adatkezelőre alkalmazandó lyan uniós vagy tagállami jg teszi lehetővé, amely az érintett jgainak és szabadságainak, valamint jgs érdekeinek védelmét szlgáló megfelelő intézkedéseket is megállapít; vagy c) az érintett kifejezett hzzájárulásán alapul. (3) A (2) bekezdés a) és c) pntjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jgainak, szabadságainak és jgs érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jgát, hgy az adatkezelő részéről emberi beavatkzást kérjen, álláspntját kifejezze, és a döntéssel szemben kifgást nyújtsn be. (4) A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatknak a GDPR 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pntja alkalmazandó, és az érintett jgainak, szabadságainak és jgs érdekeinek védelme érdekében megfelelő intézkedések megtételére került sr. Rendelkezésre bcsátandó infrmációk, ha a személyes adatkat az érintettől gyűjtik Ha a Társaság az érintettre vnatkzó személyes adatkat az érintettől gyűjti, a személyes adatk megszerzésének időpntjában az érintett rendelkezésére bcsátja a következő infrmációk mindegyikét: a)az adatkezelőnek (a Társaság vagy harmadik fél) és ha van ilyen az adatkezelő képviselőjének a kiléte és elérhetőségei; b)az adatvédelmi tisztviselő elérhetőségei, ha van ilyen; c)a személyes adatk tervezett kezelésének célja, valamint az adatkezelés jgalapja; d) az adatkezelő vagy harmadik fél jgs érdekei; e)adtt esetben a személyes adatk címzettjei, illetve a címzettek kategóriái, ha van ilyen; f)adtt esetben annak ténye, hgy az adatkezelő harmadik rszágba vagy nemzetközi szervezet részére kívánja tvábbítani a személyes adatkat, tvábbá a Bizttság megfelelőségi határzatának léte vagy annak hiánya, a megfelelő és alkalmas garanciák megjelölése, valamint az azk máslatának megszerzésére szlgáló módkra vagy az azk elérhetőségére való hivatkzás. Fent említett infrmációk mellett az adatkezelő a személyes adatk megszerzésének időpntjában, annak érdekében, hgy a tisztességes és átlátható adatkezelést biztsítsa, az érintettet a következő kiegészítő infrmációkról tájékztatja: 9

10 a) a személyes adatk tárlásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatárzásának szempntjairól; b) az érintett azn jgáról, hgy kérelmezheti az adatkezelőtől a rá vnatkzó személyes adatkhz való hzzáférést, azk helyesbítését, törlését vagy kezelésének krlátzását, és tiltakzhat az ilyen személyes adatk kezelése ellen, valamint az érintett adathrdzhatósághz való jgáról; c) a hzzájárulás bármely időpntban történő visszavnásáhz való jg, amely nem érinti a visszavnás előtt a hzzájárulás alapján végrehajttt adatkezelés jgszerűségét; d) a felügyeleti hatósághz címzett panasz benyújtásának jgáról; e) arról, hgy a személyes adat szlgáltatása jgszabályn vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hgy az érintett köteles-e a személyes adatkat megadni, tvábbá hgy milyen lehetséges következményeikkel járhat az adatszlgáltatás elmaradása; f) az esetleges autmatizált döntéshzatal ténye, ideértve a prfilalktást is, valamint legalább ezekben az esetekben az alkalmaztt lgikára és arra vnatkzóan érthető infrmációk, hgy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír. A Társaság amennyiben tvábbítja a személyes adatkat az adattvábbítás jgszerűségének ellenőrzése, valamint az érintett tájékztatása céljából adattvábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatk tvábbításának időpntját, az adattvábbítás jgalapját és címzettjét, a tvábbíttt személyes adatk körének meghatárzását, valamint az adatkezelést előíró jgszabályban meghatárztt egyéb adatkat. A Társaság az érintett kérelmének benyújtásától számíttt legrövidebb idő alatt, legfeljebb aznban 30 napn belül, közérthető frmában, az érintett erre irányuló kérelmére írásban megadja a tájékztatást. A tájékztatás ingyenes, ha a tájékztatást kérő a flyó évben azns adatkörre vnatkzóan tájékztatási kérelmet a Társasághz még nem nyújttt be. Egyéb esetekben az érintett költségtérítést köteles fizetni, amelynek összegét a Társaság eseti jelleggel állapítja meg. A már megfizetett költségtérítést a Társaság visszatéríti, ha az adatkat jgellenesen kezelték, vagy a tájékztatás kérése helyesbítéshez vezetett. Az érintett tájékztatását a Társaság csak az Inftv.-ben meghatárztt esetekben tagadhatja meg. A tájékztatás megtagadása esetén a Társaság írásban közli az érintettel, hgy a felvilágsítás megtagadására az Inftv. mely rendelkezése alapján került sr. A felvilágsítás megtagadása esetén a Társaság tájékztatja az érintettet a bírósági jgrvslat, tvábbá a Nemzeti Adatvédelmi és Infrmációszabadság Hatósághz (a tvábbiakban: Hatóság) frdulás lehetőségéről. Az elutasíttt kérelmekről a Társaság a Hatóságt évente a tárgyévet követő év január 31-éig értesíti. Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat a Társaság rendelkezésére áll, a személyes adatt a Társaság két munkanapn belül helyesbíti. A személyes adatt törölni kell, ha a kezelése jgellenes; az érintett kérelmezi és kötelező adatkezelésnek nincs helye; az hiánys vagy téves és ez az állapt jgszerűen nem rvslható, feltéve, hgy a törlést törvény nem zárja ki; az adatkezelés célja megszűnt, vagy az adatk tárlásának törvényben meghatárztt határideje lejárt; azt a bíróság vagy a Hatóság elrendelte. A törlést két munkanapn belül el kell végezni. Törlés helyett a Társaság zárlja a személyes adatt, ha az érintett ezt kéri, vagy ha a rendelkezésére álló infrmációk alapján feltételezhető, hgy a törlés sértené az érintett jgs érdekeit. Az így zárlt személyes 10

11 adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta. A Társaság megjelöli az általa kezelt személyes adatt, ha az érintett vitatja annak helyességét vagy pntsságát, de a vitattt személyes adat helytelensége vagy pntatlansága nem állapítható meg egyértelműen. A helyesbítésről, a zárlásról, a megjelölésről és a törlésről az érintettet, tvábbá mindazkat értesíteni kell, akiknek krábban az adatt adatkezelés céljára tvábbíttták. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jgs érdekét nem sérti. Ha a Társaság az érintett helyesbítés, zárlás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napn belül írásban közli a helyesbítés, zárlás vagy törlés iránti kérelem elutasításának ténybeli és jgi indkait. A helyesbítés, törlés vagy zárlás iránti kérelem elutasítása esetén a Társaság tájékztatja az érintettet a bírósági jgrvslat, tvábbá a Hatósághz frdulás lehetőségéről. Ha a Társaság az érintett helyesbítés, zárlás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napn belül írásban közli a helyesbítés, zárlás vagy törlés iránti kérelem elutasításának ténybeli és jgi indkait. A helyesbítés, törlés vagy zárlás iránti kérelem elutasítása esetén a Társaság tájékztatja az érintettet a bírósági jgrvslat, tvábbá a Hatósághz frdulás lehetőségéről. 2.5 Adattvábbítás, az adatkezelések összekapcslása A személyes adatk akkr tvábbíthatók, valamint a különböző adatkezelések akkr kapcslhatók össze, ha az érintett ahhz hzzájárult, vagy törvény vagy - törvény felhatalmazása alapján, az abban meghatárztt körben - helyi önkrmányzat rendelete közérdeken alapuló célból elrendeli, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. A Társság az adattvábbítással kapcslats nyilvántartáskat, jegyzőkönyveket határzatlan ideig megőrzi. 2.6 Adattvábbítás külföldre Személyes adatt a Társaság harmadik rszágban adatkezelést flytató adatkezelő részére akkr tvábbíthat, vagy harmadik rszágban adatfeldlgzást végző adatfeldlgzó részére akkr adhat át, ha ahhz az érintett kifejezetten hzzájárult, vagy az adatkezelésnek az Inftv.-ben előírt feltételei teljesülnek, és a harmadik rszágban az átadtt adatk kezelése, valamint feldlgzása srán biztsíttt a személyes adatk megfelelő szintű védelme. A személyes adatk megfelelő szintű védelme akkr biztsíttt, ha az Európai Unió kötelező jgi aktusa azt megállapítja, vagy a harmadik rszág és Magyarrszág között az érintetteknek az Inftv.-ben fglalt jgai érvényesítésére, a jgrvslati jg biztsítására, valamint az adatkezelés, illetve az adatfeldlgzás független ellenőrzésére vnatkzó garanciális szabálykat tartalmazó nemzetközi szerződés van hatályban. Személyes adatk a nemzetközi jgsegélyről, az adóügyi infrmációcseréről, valamint a kettős adóztatás elkerüléséről szóló nemzetközi szerződés végrehajtása érdekében, a nemzetközi szerződésben meghatárztt célból, feltételekkel és adatkörben - a fenti feltételek hiányában is - tvábbíthatók harmadik rszágba. 11

12 Az EGT-államba irányuló adattvábbítást úgy kell tekinteni, mintha Magyarrszág területén belüli adattvábbításra kerülne sr. 2.7 Belső adattvábbítás, adatkezelések összekapcslása A Társaság szervezeti rendszerén belül az ügyfelek és az alkalmazttak személyes adatai - a feladat elvégzéséhez szükséges mértékben és ideig - csak lyan szervezeti egységhez tvábbíthatók, amely a pénzügyi szlgáltatási tevékenységgel és a munkavisznnyal kapcslats adminisztratív és szervezési feladatkat lát el. A Társaságn belüli adattvábbítással kapcslats knkrét kérdéseket minden adatkezelés esetében külön kell megállapítani és a belső adatvédelmi nyilvántartásban rögzíteni. A Társaságn belül flyó, különböző célra irányuló adatkezelések csak törvényes cél érdekében, törvényben meghatárztt indklt esetben, ideiglenesen kapcslhatók össze. Az adatkezelések összekapcslására vnatkzó alábbi tényeket jegyzőkönyvbe kell venni: az összekapcslt adatkezelések megnevezése, az összekapcslás célja, rendeltetése, az összekapcslás időpntja és tartama, jgszabályi alapja, az összekapcslást végző személy neve, besztása, szervezeti egysége, irdája és telefnszáma, az összekapcslással érintettek köre és száma, az összekapcslt adatk köre, az összekapcslás módszere (manuális, számítógépes, vegyes), adatbiztnsági intézkedések. A jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, másdik példányát a Társaság belső adatvédelmi felelőséhez, harmadik példányát pedig a Társaság vezérigazgatójáhz kell tvábbítani. 3 Az értékpapírtitk védelme Értékpapírtitk harmadik személynek a Bszt.-ben, illetve jelen szabályzatban megszabtt esetek kivételével nem adható ki. 3.1 Értékpapírtitk kiadása megkeresés alapján A Társaság szervezetén kívüli szervtől vagy magánszemélytől érkező, értékpapírtitk adatközlésre irányuló megkeresés csak akkr teljesíthető, ha a) az a Társaság ügyfele, annak törvényes képviselője a rá vnatkzó kiszlgáltatható értékpapírtitk kört pntsan megjelölve közkiratba vagy teljes biznyító erejű magánkiratba fglaltan kéri, vagy erre felhatalmazást ad (Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és a megkereséssel élő szervek meghatárztt körére.), b) a Bszt. az értékpapírtitk megtartásának kötelezettsége alól felmentést ad, c) a Társaság érdeke ezt az ügyféllel szemben fennálló követelése értékesítéséhez vagy lejárt követelése érvényesítéséhez szükségessé teszi. 12

13 3.2 Felmentés az értékpapírtitk alól A értékpapírtitk megtartásának kötelezettsége nem áll fenn a Bszt. XXI. fejezetében meghatárztt esetekben. A Bszt.-ben meghatárztt szervek megkereséseiről az illetékes adatkezelő közvetlenül köteles tájékztatni a Társaság vezérigazgatóját, aki az adatszlgáltatást teljesíti. A Társaság ezekben az esetekben az adatk kiszlgáltatását - titktartási kötelezettségére hivatkzva - nem tagadja meg. 4 Az adattvábbításk nyilvántartása 4.1 Belföldi adattvábbítás A megkeresés alapján teljesített adatszlgáltatással kapcslats tényeket, körülményeket jegyzőkönyv felvételével dkumentálni kell. A jegyzőkönyv az alábbi adatkat tartalmazza: a megkeresést kezdeményező szerv, vagy személy megnevezése, pstacíme, telefnszáma, az adatkérés célja, rendeltetése, az adatkérés jgszabályi alapja, illetve az érintett hzzájáruló nyilatkzata, az adatkérés időpntja, az adatszlgáltatás alapjául szlgáló adatkezelés megnevezése, az adatszlgáltatást teljesítő szervezeti egység megnevezése, az érintettek köre, a kért adatk köre, az adattvábbítás módja. A megkeresésről szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, másdik példányát a Társaság belső adatvédelmi felelőse őrzi. 4.2 Külföldre irányuló adattvábbítás Olyan adatkezelés esetén, amelynél számlni kell külföldre irányuló adattvábbítással, az érintettek figyelmét erre a körülményre már az adatk felvétele előtt fel kell hívni. A külföldre irányuló adatszlgáltatással kapcslats tényeket, körülményeket jegyzőkönyv felvételével dkumentálni kell. A jegyzőkönyv az alábbi adatkat tartalmazza: az adattvábbítás címzettje (megnevezés, pstacím, telefnszám), az adattvábbítás célja, rendeltetése, az adattvábbítás jgszabályi alapja, illetve az érintett nyilatkzata, az adattvábbítás időpntja, az adatszlgáltatást teljesítő szervezeti egység megnevezése, az érintettek köre, a tvábbíttt adatk köre, az adattvábbítás módja. 13

14 A külföldre irányuló adattvábbításról szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, másdik példányát a Társaság belső adatvédelmi felelőse őrzi. 5 Adatbiztnsági rendszabályk Az adatbiztnsági rendszabályk és intézkedések célja az adatk, illetve adathrdzók védelme a sérülés, rngálódás, megsemmisülés, valamint az illetéktelen hzzáférés ellen. Ennek megfelelően az adatkat alkalmas intézkedésekkel védeni kell különösen a jgsulatlan hzzáférés, megváltztatás, tvábbítás, nyilvánsságra hzatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, tvábbá az alkalmaztt technika megváltzásából fakadó hzzáférhetetlenné válás ellen. A szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárlt és feldlgztt személyes adatk biztnsága érdekében. 5.1 Számítógépen tárlt adatk A számítógépen, illetve hálózatn tárlt személyes adatk biztnsága érdekében az alábbi intézkedéseket kell a kckázatkkal aránysan, szabályzattal előírt és dkumentált módn - fganatsítani. Biztnsági mentés a személyes adatkat tartalmazó adatbázisk aktív adataiból rendszeresen - az ügyfélnyilvántartás esetén, a bér- és munkaügyi nyilvántartás, a személyzeti nyilvántartás anyagából legalább havnta - kell külön adathrdzóra biztnsági mentést készíteni. A biztnsági mentést tartalmazó adathrdzót páncélszekrényben kell őrizni. A nem aktív adatkat archiválni kell, amely szerint a személyes adatkat tartalmazó adatbázisk passzív hányadát - a tvábbi kezelést már nem igénylő, váltzatlanul maradó adatkat - el kell választani az aktív résztől, majd az archivált adatkat külön adathrdzón kell rögzíteni. A különböző nyilvántartáskban elektrnikusan kezelt adatállmányk védelme érdekében megfelelő technikai megldással biztsítani kell, hgy a nyilvántartáskban tárlt adatk közvetlenül ne legyenek összekapcslhatók és az érintetthez rendelhetők. A számítógépen, illetve hálózatn tárlt adatkhz történő hzzáférés szabályzását jgsultsági szintek, jelszavak, stb. - az Infrmatikai biztnsági szabályzat tartalmazza. 5.2 Manuális kezelésű adatk A manuális kezelésű személyes adatk biztnsága érdekében legalább az alábbi intézkedéseket kell fganatsítani. Az irattári kezelésbe vett iratkat jól zárható, száraz, tűzvédelmi és vagynvédelmi riasztó berendezéssel elláttt helyiségben kell elhelyezni. A flyamats aktív kezelésben lévő iratkhz csak az illetékes ügyintézők férhetnek hzzá. A személyzeti, valamint a bér- és munkaügyi iratkat lemezszekrényben, az ügyfélnyilvántartáskkal kapcslats iratkat pedig különálló, zárható helyiségben, zárható iratszekrényekben kell őrizni. Az e szabályzat különös részében említett adatkezelések iratainak archiválását évente egyszer el kell végezni. Az archivált iratkat a Társaság iratkezelési szabályzatának megfelelően kell szétválgatni, és irattári kezelésbe venni. 14

15 5.3 Ellenőrzés Általáns ellenőrzés Az adatvédelem és adatbiztnsággal kapcslats előírásk, így különösen jelen szabályzat rendelkezéseinek betartását - az adatkezelést és adatfeldlgzást végzők munkáját a Társaság belső adatvédelmi felelőse flyamatsan ellenőrzi. A Társaság belső adatvédelmi felelőse törvénysértés észlelése esetén haladéktalanul intézkedik annak megszüntetéséről, kezdeményezi a felelősség megállapítását A belső adatvédelmi felelős A Társaság szervezetén belül, közvetlenül a vezérigazgató felügyelete alatt belső adatvédelmi felelőst alkalmaz, illetve bíz meg. A belső adatvédelmi felelősnek az alábbi végzettségek egyikével kell rendelkeznie: jgi egyetemi végzettség, közigazgatási főisklai vagy egyetemi végzettség, infrmatikai főisklai vagy egyetemi végzettség, a fentieknek megfelelő, felsőfkú végzettség. A Társaság belső adatvédelmi felelősét vezérigazgató bízza meg. A belső adatvédelmi felelős feladatai a következők: a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghzatalában, valamint az érintettek jgainak biztsításában; b) ellenőrzi az Inftv. és az adatkezelésre vnatkzó más jgszabályk, valamint jelen szabályzat rendelkezéseinek és az adatbiztnsági követelményeknek a megtartását; c) kivizsgálja a hzzá érkezett bejelentéseket, jgsulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldlgzót; d) jelen szabályzat módsításait előkészíti; e) vezeti és őrzi a belső adatvédelmi nyilvántartást; f) gndskdik az adatvédelmi ismeretek Társaságn belüli ktatásáról; g) tanácsaival, állásfglalásaival segíti az adatkezelést és feldlgzást végző ügyintézők munkáját, Az egyes adatkezelések ellenőrzését szükség szerint, de legalább évente egyszer elvégzi. Az ellenőrzés tapasztalatairól beszámlója keretében írásban tájékztatja a Társaság vezérigazgatóját. 6.1 Ügyfélnyilvántartás 6 Egyes adatkezelések Az ügyfélnyilvántartás a jgvisznyra vnatkzó tények dkumentálására szlgáló adatkezelés, amelynek jgszabályi alapját a Bszt., valamint a Társaság egyéb szabályzatai képezik. Az ügyfél nyilvántartás adatai kizárólag a knkrét ügylettel kapcslatban, illetve a knkrét ügylet flyamats figyelemmel kisérésével kapcslats szervezési és adminisztratív feladatk ellátására használhatók fel. 15

16 Az ügyfélnyilvántartás ügyletenkénti bntásban, a Társaság valamennyi ügyfelének adatait tartalmazza. Az ügyfél adatainak kezelője, az adtt ügy knkrét előadója - illetve azn szervezeti egységek, ahl az ügyfél által kért befektetési szlgáltatási tevékenységet végrehajtják. A nyilvántartás kezelése számítógépen, illetve manuálisan történik. A Társaság összesített ügyfél adatbázisát az illetékes ügyintézők a Társaság által működtetett számítógépes hálózatn érhetik el. Az infrmatikai rendszergazda a hzzáférési jgk kisztásával gndskdik arról, hgy a munkatársak csak az illetékességi körükbe tartzó ügyfelek adatait kezelhessék, illetve ismerhessék meg. A Társaság szervezetén belül, az infrmatikai rendszergazda a Társaság belső adatvédelmi felelősével együtt alakítja ki az ügyfélnyilvántartásból a lekérdezési és hzzáférési eljárás menetét. 6.2 Személyzeti nyilvántartás A személyzeti nyilvántartás a munkavisznyra vnatkzó tények dkumentálására szlgáló adatkezelés, amelynek jgszabályi alapját a Munka Törvénykönyvéről szóló évi XXII. törvény, illetve a évi I. törvény (a tvábbiakban: Mt.), illetve a Társaság szervezeti és működési szabályzata képezik. A személyzeti nyilvántartás adatai a dlgzók munkavisznyával kapcslats tények megállapítására, a besrlási követelmények igazlására és statisztikai adatszlgáltatásra használhatók fel. A személyzeti nyilvántartás a Társaság valamennyi fő- és mellékállású munkavállalójának, valamint megbízáss jgvisznnyal rendelkező munkatársának adatait tartalmazza. Az érintettekről a nyilvántartásba felvehető adatk a következők: a) név, születési hely és idő, anyja neve, államplgárság; b) állandó és ideiglenes lakcím, telefnszám; c) munkavisznyra vnatkzó adatk, így különösen: isklai végzettség, szakképesítés, alkalmazási feltételek, képesítési feltételek alóli mentesítés, tvábbképzés, szakirányú tvábbképzés, tvábbképzésben szerzett szakképesítés, tudmánys fkzatk, címek, idegen nyelv tudása, kinevezési kmány, munkakör, munkaköri leírás, vezetői megbízásk, gyakrnki idő, vizsga, próbaidő, fegyelmi eljárás, büntetés, felmentés, büntetett előélet, fizetési fkzat, tudmánys kutatás (publikáció), művészeti alktói tevékenység, tudmánys kapcslatk, munkában töltött idő, munkavisznyba beszámítható idő, besrlással kapcslats adatk, dlgzó által kaptt kitüntetések, díjak és más elismerések, címek, munkakör, munkakörbe nem tartzó feladatra történő megbízás, munkavégzésre irányuló tvábbi jgviszny, fegyelmi büntetés, kártérítésre kötelezés, munkavégzés ideje, túlmunka ideje, alapilletmény, pótlékk (jgcím szerint), illetménykiegészítés, megbízási díj, tvábbá az azkat terhelő tartzás és annak jgsultja, (bírósági ítélet számával) szabadság, kiadtt szabadság, dlgzó részére történő kifizetések és azk jgcímei, a dlgzó részére adtt juttatásk és azk jgcímei, a dlgzó munkáltatóval szemben fennálló tartzásai, azk jgcímei, 16

17 a többi adat az érintett hzzájárulásával. A személyzeti nyilvántartás adatait az érintett szlgáltatja. A munkaviszny keletkezésekr történik meg az elsődleges adatfelvétel. A személyzeti nyilvántartás kezelője a személyzeti feladatkkal megbíztt munkatárs. A nyilvántartás kezelése vegyes rendszerben, számítógépen és manuális módszerrel történik. Az adatk biztnságáról az adatkezelő gndskdik. A számítógépes adatk biztnságának megteremtésében az Infrmatikai Rendszergazda nyújt segítséget a személyzeti feladatkkal megbíztt munkatársnak. A Társaság szervezetén belül a személyzeti nyilvántartásból csak a Társaság vezérigazgatója és a személyzeti ügyekben illetékes munkatárs részére teljesíthető adatszlgáltatás. 6.3 Bér- és munkaügyi nyilvántartás A bér- és munkaügyi nyilvántartás a munkavisznyra vnatkzó tények dkumentálására szlgáló adatkezelés, melynek jgszabályi alapját az Mt. és a Szervezeti és működési szabályzat képezik. A bér- és munkaügyi nyilvántartás adatai a dlgzó munkavisznyával kapcslats tények megállapítására, a besrlási követelmények igazlására, bérszámfejtésre, társadalmbiztsítási ügyintézésre és statisztikai adatszlgáltatásra használhatók fel. A bér- és munkaügyi nyilvántartás a Társaság valamennyi munkavállalói és megbízási jgvisznyban fglalkztattt dlgzójának adatait tartalmazza. Az érintettekről a nyilvántartásba felvehető adatk a következők: a) név, születési hely és idő, anyja neve, államplgárság; b) állandó és ideiglenes lakcím, telefnszám; c) adóaznsító jel, TAJ-szám, bankszámlaszám; d) munkavisznyra vnatkzó adatk, így különösen isklai végzettség, szakképesítés, alkalmazási feltételek, képesítési feltételek alóli mentesítés, tvábbképzés, szakirányú tvábbképzés, tvábbképzésben szerzett szakképesítés, tudmánys fkzatk, címek, idegen nyelv tudása, kinevezési kmány, munkakör, munkaköri leírás, vezetői megbízásk, gyakrnki idő, vizsga, próbaidő, fegyelmi eljárás, büntetés, felmentés, fizetési fkzat, tudmánys kutatás (publikáció), művészeti alktói tevékenység, tudmánys kapcslatk, munkában töltött idő, közalkalmaztti jgvisznyba beszámítható idő, besrlással kapcslats adatk, dlgzó által kaptt kitüntetések, díjak és más elismerések, címek, munkakör, munkakörbe nem tartzó feladatra történő megbízás, munkavégzésre irányuló tvábbi jgviszny, fegyelmi büntetés, kártérítésre kötelezés, munkavégzés ideje, túlmunka ideje, alapilletmény, pótlékk (jgcím szerint), illetménykiegészítés, megbízási díj, tvábbá az azkat terhelő tartzás és annak jgsultja, szabadság, kiadtt szabadság, dlgzó részére történő kifizetések és azk jgcímei, a dlgzó részére adtt juttatásk és azk jgcímei, a dlgzó munkáltatóval szemben fennálló tartzásai, azk jgcímei, 17

18 a többi adat az érintett hzzájárulásával. A bér- és munkaügyi nyilvántartás adatait az érintett szlgáltatja. Az elsődleges adatfelvétel munkaviszny keletkezésekr történik meg. A bér- és munkaügyi nyilvántartás kezelője az, aki a bérszámfejtést végzi. A nyilvántartás kezelése vegyes rendszerben, számítógépen és manuális módszerrel történik. Az adatk biztnságáról az adatkezelő gndskdik. A számítógépes adatk biztnságának megteremtésében az infrmatikai rendszereket üzemeltető személy nyújt segítséget annak, aki a bérszámfejtést végzi. A Társaság szervezetén belül a bér- és munkaügyi nyilvántartásból csak a vezérigazgató részére teljesíthető adatszlgáltatás. 7.1 Alkalmaztt jgszabályk 7 Vegyes és záró rendelkezések Az adatvédelmi és adatbiztnsági szabályzat az Inftv. 24. (3) bekezdése szerinti kötelező adatvédelmi és adatbiztnsági szabályzásra tekintettel készült. A jelen szabályzatban kifejezetten nem szabályztt kérdések tekintetében az Inftv. és az alábbi egyéb ágazati törvények adatkezelésre vnatkzó rendelkezései alkalmazandók: évi XCII. törvény az adózás rendjéről, évi XXII. törvény, illetve a évi I. törvény a munka törvénykönyvéről, évi LXVI. törvény a plgárk személyi adatainak és lakcímének nyilvántartásáról, évi LXVI. tv. a köziratkról, a közlevéltárakról és a magánlevéltári anyag védelméről, évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szlgáló név- és lakcímadatk kezeléséről, évi CXXV. törvény a nemzetbiztnsági szlgálatkról, évi CXXXVIII. törvény a befektetési vállalkzáskról és az árutőzsdei szlgáltatáskról, valamint az általuk végezhető tevékenységek szabályairól évi CXX. törvény a tőkepiacról évi XLVII. törvény az egészségügyi és a hzzájuk kapcslódó személyes adatk kezeléséről és védelméről, évi XIX. törvény a büntetőeljárásról, évi CXXXVI. törvény a pénzmsás és a terrrizmus finanszírzása megelőzéséről és megakadályzásáról. 7.2 Hatályba lépés Az adatvédelmi és adatbiztnsági szabályzatt a Társaság vezérigazgatója hagyta jóvá. 18

19 Jelen szabályzat január 1. napján lépett hatályba, váltzáskkal egységes szerkezetbe fglalt hatálys váltzata január 1 napján, előírásait a Társaság minden adatkezelése srán alkalmazni kell. Függelék: Értelmező rendelkezések Melléklet: 1. sz. Belső adatvédelmi nyilvántartás mintája DIALÓG Befektetési Alapkezelő Zártkörűen Működő Részvénytársaság 19

20 FÜGGELÉK Értelmező rendelkezések 1. érintett: bármely meghatárztt, személyes adat alapján aznsíttt vagy - közvetlenül vagy közvetve - aznsítható természetes személy; 2. személyes adat: az érintettel kapcslatba hzható adat - különösen az érintett neve, aznsító jele, valamint egy vagy több fizikai, fizilógiai, mentális, gazdasági, kulturális vagy szciális aznsságára jellemző ismeret -, valamint az adatból levnható, az érintettre vnatkzó következtetés; 3. különleges adat: a) a faji eredetre, a nemzetiséghez tartzásra, a plitikai véleményre vagy pártállásra, a valláss vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vnatkzó személyes adat, b) az egészségi állaptra, a kórs szenvedélyre vnatkzó személyes adat, valamint a bűnügyi személyes adat; 4. bűnügyi személyes adat: a büntetőeljárás srán vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás leflytatására, illetve a bűncselekmények felderítésére jgsult szerveknél, tvábbá a büntetésvégrehajtás szervezeténél keletkezett, az érintettel kapcslatba hzható, valamint a büntetett előéletre vnatkzó személyes adat; 5. közérdekű adat: az állami vagy helyi önkrmányzati feladatt, valamint jgszabályban meghatárztt egyéb közfeladatt ellátó szerv vagy személy kezelésében lévő és tevékenységére vnatkzó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fgalma alá nem eső, bármilyen módn vagy frmában rögzített infrmáció vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtklt adatfajtákra és a működést szabályzó jgszabálykra, valamint a gazdálkdásra, a megkötött szerződésekre vnatkzó adat; 6. hzzájárulás: az érintett akaratának önkéntes és határztt kinyilvánítása, amely megfelelő tájékztatásn alapul, és amellyel félreérthetetlen beleegyezését adja a rá vnatkzó személyes adatk - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; 7. tiltakzás: az érintett nyilatkzata, amellyel személyes adatainak kezelését kifgáslja, és az adatkezelés megszüntetését, illetve a kezelt adatk törlését kéri; 8. adatkezelő: az a természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy máskkal együtt az adatk kezelésének célját meghatárzza, az adatkezelésre (beleértve a felhasznált eszközt) vnatkzó döntéseket meghzza és végrehajtja, vagy az általa megbíztt adatfeldlgzóval végrehajtatja; 9. adatkezelés: az alkalmaztt eljárástól függetlenül az adatkn végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárlása, megváltztatása, felhasználása, lekérdezése, tvábbítása, nyilvánsságra hzatala, összehanglása vagy összekapcslása, zárlása, törlése és megsemmisítése, valamint az adatk tvábbi felhasználásának megakadályzása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy aznsítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnymat, DNS-minta, íriszkép) rögzítése; 10. adattvábbítás: az adat meghatárztt harmadik személy számára történő hzzáférhetővé tétele; 11. nyilvánsságra hzatal: az adat bárki számára történő hzzáférhetővé tétele; 12. adattörlés: az adatk felismerhetetlenné tétele ly módn, hgy a helyreállításuk többé nem lehetséges; 13. adatmegjelölés: az adat aznsító jelzéssel ellátása annak megkülönböztetése céljából; 20