7 / számú szabályzat

Átírás

1 7 / számú szabályzat AZ ALFÖLDVÍZ ZRT. ADATVÉDELMÉRŐL ÉS ADATBIZTONSÁGÁRÓL SZÓLÓ SZABÁLYZAT Kibocsátó: Dr. Csák Gyula vezérigazgató A szabályzat szakmai előkészítője: Dr. Farkas Kristóf jogi főosztályvezető-helyettes A szabályzatot jóváhagyta: Dr. Csák Gyula vezérigazgató A szabályzat jogi tartamát ellenőrizte: Dr. Jancsó Edina jogi főosztályvezető

2 Tartalomjegyzék 1. Az adatvédelmi szabályzat célja Az adatvédelmi és adatbiztonsági szabályzat jogszabályi alapja Jelen szabályzat hatálya IDŐBELI HATÁLY SZEMÉLYI HATÁLY TÁRGYI HATÁLY Értelmező rendelkezések Az adatkezelés általános elvei és célja valamint jogalapja Személyes adat kezelése SZEMÉLYES ADAT KEZELHETŐ, AZ ADATKEZELÉS JOGALAPJA Közérdekű adat (és a közérdekből nyilvános adat) kezelése Az Adatkezelőhöz beérkező valamint onnan kiküldendő adatok köre és az adatok kezelésre vonatkozó rendelkezések Kezelt adatok köre SZOLGÁLTATÁSI TEVÉKENYSÉGGEL KAPCSOLATOS AZ ADATKEZELŐHÖZ ÉRKEZŐ ÉS AZ ADATKEZELŐTŐL KIKÜLDENDŐ ADATOK KEZELÉSE Az Érintett részéről telefonon történő megkereséssel kapcsolatos adatszolgáltatás Az Adatkezelő telefonrendszerével (Call Center) kapcsolatos rendelkezések HANGFELVÉTEL VISSZAHALLGATÁSA MÁS SZERVEZETI EGYSÉG RÉSZÉRŐL Az adatállományok kezelése Adatfeldolgozó Az Adatkezelőn belüli egyes szervezeti egységek közötti adattovábbítás valamint adattovábbítás megkeresésre Érintettek jogai Az Adatkezelő eljárása az Érintett kérelme alapján AZ ÉRINTETT TÁJÉKOZTATÁSA SZEMÉLYES ADATAINAK A KEZELÉSÉRŐL AZ ÉRINTETT SZEMÉLYES ADATAINAK HELYESBÍTÉSE AZ ÉRINTETT SZEMÉLYES ADATAINAK ZÁROLÁSA ELJÁRÁS AZ ÉRINTETTRE VONATKOZÓ ADATVÉDELMI INCIDENSSEL KAPCSOLATOS TÁJÉKOZTATÁS TEKINTETÉBEN Az Érintett jogainak érvényesítése Jogorvoslati lehetőségek A belső adatvédelmi felelősre vonatkozó rendelkezés A BELSŐ ADATVÉDELMI FELELŐS FELADATAI Közérdekű adatok megismerésére irányuló igények intézkedésének rendje... 16

3 19.1. ÁLTALÁNOS SZABÁLYOK A KÖZÉRDEKŰ ADATOK KÖZZÉTÉTELE A KÖZÉRDEKŰ ADAT MEGISMERÉSÉRE IRÁNYULÓ IGÉNYEK INTÉZKEDÉSI RENDJE AZ ADATIGÉNYLÉS TELJESÍTÉSÉVEL KAPCSOLATOS KÖLTSÉGTÉRÍTÉSRE VONATKOZÓ SZABÁLYOK Egyéb rendelkezések MELLÉKLETEK... 19

4 1. Az adatvédelmi szabályzat célja (1.) A szabályzat célja annak biztosítása, hogy az Alföldvíz Zrt. megfeleljen az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (a továbbiakban: Infotörvény) vonatkozó rendelkezéseinek, így különösen a 24. (3) bekezdésének, mely szerint a közüzemi szolgáltató köteles az Infotörvény végrehajtása érdekében Adatvédelmi és adatbiztonsági szabályzattal rendelkezni. (2.) A jelen szabályzat további célja, hogy az Alföldvíz Zrt. egyes szervezeti egységei tekintetében egységes keretek között, átfogóan látható legyen a társaság által kezelt, a be- illetve kiküldendő adatok köre, továbbá, hogy az adatkezelés tekintetében teljes körű és egységes szabályrendszer kerüljön kialakításra. 2. Az adatvédelmi és adatbiztonsági szabályzat jogszabályi alapja (3.) A jelen szabályzat alapját az Infotörvény, továbbá a víziközmű-szolgáltatásról szóló évi CCIX., törvényben (továbbiakban: Vksztv.) valamint a Vksztv. egyes rendelkezéseinek végrehajtásáról szóló 58/2013. (II.27.) Kormányrendeletben (továbbiakban: Kormányrendelet) foglalt adatkezelési rendelkezések képezi Időbeli hatály 3. Jelen szabályzat hatálya (4.) A jelen módosításokkal egységes szerkezetben foglalt szabályzat a közzététel napjától napját követő 5. naptól hatályos és hatálya határozatlan ideig tart Személyi hatály (5.) A szabályzat személyi hatálya az Alföldvíz Zrt. valamennyi munkavállalójára kiterjed Tárgyi hatály (6.) A szabályzat tárgyi hatálya azon természetes és jogi személyek valamint jogi személyiség nélküli gazdasági társaságok adatainak kezelésére terjed ki, akik az Alföldvíz Zrt.-vel ügyfélkapcsolatba állnak, ügyfélkapcsolatban álltak és ezen személyek adatainak a kezelése az Adatkezelő vízközmű- szolgáltatási tevékenységéhez szükséges.

5 4. Értelmező rendelkezések (7.) Érintett: az Alföldvíz Zrt.-nél a személyes adat alapján azonosított természetes személy, jogi személy jogi személyiséggel nem rendelkező gazdasági társaság.(e körbe tartozik a Vksztv. szerinti felhasználó is); (8.) felhasználó: a víziközmű-szolgáltatást a Vksztv. szerinti szerződéses jogviszony keretében vagy a Vksztv. 31/A. (1) bekezdésében meghatározott ideiglenes szolgáltatás időtartama alatt a víziközmű-szolgáltató előzetes hozzájárulásával ténylegesen igénybe vevő természetes vagy jogi személy, jogi személyiséggel nem rendelkező szervezet, aki (amely) a víziközmű-szolgáltatásba bekapcsolt ingatlan használója, és sorban mögötte az ingatlan tulajdonosa; (9.) felhasználási hely: az a víziközmű-szolgáltatásba bekapcsolt ingatlan, amelyen a víziközmű-szolgáltatást a felhasználó igénybe veszi, (10.) személyes adat: az Érintettel kapcsolatba hozható adat - különösen az Érintett neve, azonosító jele, valamint egy vagy több fizikai, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható az Érintettre vonatkozó következtetés; Az Alföldvíz Zrt. tekintetében leggyakrabban a hatályos jogszabályi rendelkezések miatt - kezelendő személyes adatok különösen: Az Érintett (Felhasználó) neve, születésének időpontja, anyja neve, címe, telefonszáma, felhasználási helyének címe, címe, hátralékának összege, nem természetes személy esetén elnevezése, székhelye, adószáma, cégjegyzékszáma. (11.) közérdekű adat: Az Alföldvíz Zrt. kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett adat; (12.) közérdekből nyilvános adat: amelynek megismerhetőségét vagy hozzáférhetővé tételét, nyilvánosságra hozatalát törvény elrendeli; (13.) hozzájárulás: az Érintett önkéntes és határozott kinyilvánítása adatának kezeléséhez (lehet írásbeli vagy szóbeli). A hozzájárulás az Érintett részéről megfelelő tájékoztatáson kell alapuljon, amely szerint egyértelmű beleegyezését adja a rá vonatkozó személyes adat kezeléséhez; (14.) tiltakozás: az Érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; (15.) Adatkezelő: Az Alföldvíz Zrt.; (16.) Adatkezelést végző: Az Alföldvíz Zt. valamennyi munkavállalója, aki adatot kezel; (17.) adatkezelés: az adaton végzett bármely művelet, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése; (18.) adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Pl.: Hatóság megkeresése estén kötelező adatszolgáltatás); (19.) adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges; (20.) adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

6 (21.) adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; (22.) adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik; (23.) adatfeldolgozó: Az Alföldvíz Zrt.-vel szerződés jogviszony alapján az adatok feldolgozását végző természetes személy, jogi személy jogi személyiséggel nem rendelkező gazdasági társaság (Ilyen adatfeldolgozó lehet pl.: más gazdasági társaság, aki felhasználói számlák gyártását végzi; Kintlévőség eladása más társaság részére); (24.) adatfelelős: Az Alföldvíz Zrt. amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; (25.) adatközlő: Az Alföldvíz Zrt. amely adatait a saját honlapján közzéteszi; (26.) adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés; az adatvédelmi incidens nem csak konkrét Érintett tekintetében felmerülő incidenst jelent, hanem már a konkrét jogsérelem bekövetkezése esetén felmerülő incidenst is. (27.) A jelen szabályzatban az Alföldvíz Zrt. megnevezése a továbbiakban: Adatkezelő. 5. Az adatkezelés általános elvei és célja valamint jogalapja (28.) Az adatkezelés kizárólag meghatározott célból történhet. Az adatkezelés célja: víziközmű-szolgáltatás végzésével kapcsolatban, a mindenkor hatályos jogszabályi követelménynek megfelelő - Érintettekre vonatkozó - adatkezelés. (29.) A (28.) pontban rögzített követelmény biztosítása érdekében az Adatkezelő jóhiszeműség követelményeinek megfelelően az Érintettekkel együttműködve jár el célhoz kötötten a törvényesség elveinek betartásával. (30.) Valamennyi adat tekintetében az adatkezelés meghatározott jogalap esetén végezhető, amely lehet az Érintett önkéntes hozzájárulása vagy jogszabály alapján kötelező adatkezelés. (31.) Az Adatkezelő jogait és kötelezettségeit rendeltetésszerűen gyakorolja. Az Adatkezelő az adatkezelés során biztosítja az adatok pontosságát, teljességét, naprakészségét valamint azt, hogy az Érintettet csak az adatkezelés céljához szükséges ideig és mértékig lehessen azonosítani.

7 6. Személyes adat kezelése (32.) Az Adatkezelő személyes adatot a jelen szabályzat (28.) pontban meghatározott célból, joggyakorlás és kötelezettség teljesítés érdekében kezelhet. Az Adatkezelő a személyes adatot csak a cél megvalósulásához szükséges mértékben és ideig kezeli Személyes adat kezelhető, az adatkezelés jogalapja (33.) Önkéntes hozzájáruláson alapuló adatkezelés (33:1.) Az adat kezelhető az Érintett önkéntes hozzájárulása alapján. A hozzájárulásnak határozottnak és tájékozottnak kell lennie atekintetben, hogy az Érintett hozzájárulását konkrétan mihez adja meg. (33:2.) Önkéntesnek kell tekinteni az Érintett hozzájárulását, ha az adatkezelést végző részére szóban elmondja vagy írásbeli megkeresésében megírja személyes adatát. (Pl.: nevét, címét, telefonszámát, anyja nevét, felhasználási helyének címét, címét). (33:3.) Amennyiben a hozzájárulással kapcsolatban bárminemű kétség merül fel azt kell vélelmezni, hogy az adatkezeléshez való hozzájárulást az Érintett nem adat meg. Nem tekinthető önkéntesnek az adatszolgáltatás, ha azt az adott Érintettre (felhasználóra) vonatkozóan, más teszi meg. (34.) Kötelező adatkezelés (34:1.) A személyes adat kezelése alapulhat kötelező adatkezelésen is, amely törvény vagy törvény felhatalmazása alapján helyi önkormányzat rendelete közérdeken alapuló célból kerülhet elrendelésre. (34:2.) Személyes adat kezelhető akkor is, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna és a személyes adat kezelése az Adatkezelő kötelezettségének teljesítéséhez szükséges. (34:3.) Az Érintett az Adatkezelővel kötött szerződésében hozzájárulást ad mindazon adatai kezeléséhez, amely adatok kezelése a szerződés illetve az Adatkezelőt megillető Vksztv. szerinti jogosultságok végrehajtásához szükséges. 7. Közérdekű adat (és a közérdekből nyilvános adat) kezelése (35.) Ezen adatok kezelése jogszabály alapján kötelező. Így különösen az Infotörvény, a Vksztv., a Kormányrendelet, a Közbeszerzésekről szóló évi CVIII. törvény (továbbiakban: Kbtv.) a köztulajdonban álló gazdasági társaságok takarékosabb működéséről szóló évi CXXII. törvény (továbbiakban: takarékos törvény), a víziközművek vagyonértékelésének szabályairól és a víziközmű-szolgáltatók által közérdekből közzéteendő adatokról szóló a 24/2013. (V.29.) NFM rendelet (továbbiakban: NFM rendelet) és a Fogyasztóvédelemről szóló évi CLV. törvény (továbbiakban: Fgyvtv.) a kötelezően közzéteendő, kezelendő adatokat rögzítik. (Pl.: felsővezetők munkabérének honlapon való közzététele a takarékos törvény alapján kötelező vagy az NFM rendelet alapján a Társaság honlapjára kötelező közzétenni az Ellátásért Felelősökkel kötött megállapodásokat). (Közérdekű adatok megismerésére irányuló igények intézkedésének rendjét valamint a közérdekű adatok közzététele vonatkozó rendelkezéseket a jelen szabályzat 19. címe rögzíti.)

8 8. Az Adatkezelőhöz beérkező valamint onnan kiküldendő adatok köre és az adatok kezelésre vonatkozó rendelkezések Kezelt adatok köre (36.) Az Érintett (Felhasználó) személyazonosító adatai kezelésének célja a felhasználó egyértelmű azonosítása és a vele való kapcsolattartás Szolgáltatási tevékenységgel kapcsolatos az Adatkezelőhöz érkező és az Adatkezelőtől kiküldendő adatok kezelése (37.) Az Adatkezelőhöz postai úton, papír alapon beérkező valamennyi iratban, dokumentumban lévő adatokat azon szervezeti egységek (így különösen az informatikai főosztály, területi divíziók, ügyfélszolgálat, behajtási osztály) amelyek az érkeztetést az Opál dokumentumkezelő rendszerbe végzik, így közvetlenül kapcsolatba kerülnek a beérkezett dokumentummal, az adatokat bizalmasan kezelik. A beérkezett iratok a jelen szabályzat 11. címe alapján kizárólag ahhoz a szervezeti egységhez kerülnek továbbításra, amely egység az adott ügyben hatáskörrel rendelkezik és/vagy akinek részére az ügy információt tartalmaz. (38.) A (37.) pont alapján az Adatkezelő jogosult a beérkező valamennyi adat kezelésére. Így kezeli különösen az Érintett nevének, címének, (továbbá egyes szervezeti egységek esetében az anyja neve, születési helye és ideje, esetlegesen felhalmozott hátralékának), gazdasági társaság esetén székhelyének, cégjegyzékszámának, adószámának adatát. (39.) A papír alapon kiküldendő iratok, dokumentumok postázását az informatikai főosztály valamint a területi divíziók is végzik, végezhetik. Az adatkezelés során - a tájékoztatás jellegétől függően - a jelen szabályzat 3. sz. mellékletében foglalt adatokat az egyes egységek elektronikus úton is megküldhetik az Érintettek részére. Valamennyi esetben az egységek a kezelt adatokat bizalmasan kötelesek kezelni. (40.) Az Adatkezelőnél felmerülő, elektronikusan vagy papír alapon beérkező és onnan kimenő okiratok, dokumentumok és ezen dokumentumok alapján felmerülő, valamennyi szervezeti egységet érintő adatkezeléssel kapcsolatos iratok megnevezése a jelen szabályzat 2. számú valamint 3. számú mellékleteként csatolt táblázata rögzíti. (2. sz. melléklet az Adatkezelőhöz beérkező, a 3. számú melléklet az Adatkezelőtől kiküldendő adatokra vonatkozó adatokat tartalmazza.) (41.) Abban az esetben, amennyiben a beérkezett vagy a megküldendő adat kapcsán, az adatkezeléssel (adatszolgáltatással) kapcsolatban döntést igénylő kérdés merül fel, az adatkezelést végző egység ügyintézője (adatkezelést végző) a kérdést véleményezésre megküldi a belső adatvédelmi felelősnek. A belső adatvédelmi felelős szükség esetén a választ egyezteti az érintett egység vezetőjével, vagy a vezérigazgatóval. (42.) Az Adatkezelést végző - különösen az ügyfélszolgálati osztályon és a behajtási osztályon - a (39.) pontban rögzített adatokon túl, Társasházak esetén az Adatkezelő a közösség képviselőjének, így különösen a társasházak közös képviselőjének, meghatalmazottjának adatait is kezeli. (43.) Személyes megkeresés esetén a felhasználó által felhalmozott hátralékkal kapcsolatban tájékoztatást, az alábbi esetekben adható ki:

9 (44.) A Felhasználó által felhalmozott hátralékról tájékoztatás a felhasználási hely tulajdonosa vagy bérlője részére - a jogviszony tisztázása után adható. (45.) Megkeresés esetén tájékoztatni kell a felhasználási hely tulajdonosát a bérlője által felhalmozott hátralékról. (46.) A felhasználási hely tulajdonosán vagy bérlőjén kívül más személy részére hátralékkal kapcsolatos tájékoztatás kizárólag a tulajdonos által megadott felhatalmazás esetén adható. (47.) Felhasználási hely új tulajdonosa részére a tulajdoni viszony igazolása után tájékoztatást kell adni a régi tulajdonos által a felhasználási helyen felhalmozott hátralékról. 9. Az Érintett részéről telefonon történő megkereséssel kapcsolatos adatszolgáltatás (48.) Az illetékes adatkezelést végző személy (ügyintéző) hátralékkal, számlázással, kikötéssel kapcsolatos információt, az Érintett részéről történő telefonon történő megkeresés esetén kizárólag abban az esetben adhat, ha a hívás a közzétett, közismert, (pl.: a Társaság honlapján található vagy a Felhasználóknak küldött számlán) a felhasználók által ismeretes telefon számra érkezik és a felhasználó legalább a felhasználási hely azonosító és felhasználó azonosító megadásával igazolja magát. (49.) A (48.) pontban rögzítettektől eltérő az Adatkezelő valamely szervezeti egységéhez telefonon érkező adatszolgáltatásra vonatkozó megkeresés alkalmával csak a megkeresés céljához és azzal kapcsolatban szükséges mértékű adatszolgáltatás adható ki. 10. Az Adatkezelő telefonrendszerével (Call Center) kapcsolatos rendelkezések (50.) Az Érintettek részére, a szolgáltatással kapcsolatban közzétett telefonszámokon hívható telefonrendszer (Call Center) valamennyi beérkező és kimenő hívást rögzít. A Call Centerrel kapcsolatos adatokat az ügyfélszolgálati osztály kezeli. A kezelésre az értékesítési főosztály vezetője, az ügyfélszolgálati osztályvezető vagy az ügyfélszolgálati osztályvezető-helyettes köteles illetve jogosult. (51.) Minden egyes hívás egyedi azonosító számmal kerül rögzítésre, amely a telefonhívás elején az Érintett részére ismertetésre kerül. (52.) Adott felhasználó a vele folytatott telefonbeszélgetésnek - az egyedi hívás azonosító ismertetését és személyazonosságának igazolását követően - visszahallgatását bármikor kérheti. Ilyen irányú megkeresés esetén a visszahallgatásról a belső adatvédelmi felelőst tájékoztatni kell. Az Érintettel folytatott telefonbeszélgetés visszahallgatására, a telefonbeszélgetés Érintettel való közlésére az értékesítési főosztály vezetője, az ügyfélszolgálati osztályvezető vagy az ügyfélszolgálati osztályvezető-helyettes jogosult.

10 (53.) Adott Érintettel kapcsolatos rögzített beszélgetésre vonatkozó, hatóság részéről az Adatkezelőhöz érkező megkeresés esetén a telefonbeszélgetés a hatósági eljárás lefolytatásához a hatóság részére kiadható. Ilyen irányú igény esetén a belső adatvédelmi felelőst tájékoztatni kell, aki az ügyben intézkedik, hogy az értékesítési főosztály vezetője vagy az ügyfélszolgálati osztály vezetője vagy az ügyfélszolgálati osztályvezető-helyettes megfelelő adathordozón és formátumban részére rendelkezésre bocsássa a hangfelvételt. Az adott hatóság részére a hangfelvételt a belső adatvédelmi felelős továbbítja Hangfelvétel visszahallgatása más szervezeti egység részéről (54.) Adott hangfelvétel visszahallgatását más szervezeti egység kizárólag indokolt esetben kérheti. Ez esetben erre kizárólag az adott szervezeti egység vezetőjétől vagy annak helyettesétől érkező igény alapján van lehetőség. Az igényt a belső adatvédelmi felelősnek kell írásban az opál dokumentumkezelő rendszerben aláírt dokumentum formájában megküldeni. A megkereső levélben rögzíteni kell a visszahallgatás pontos célját és annak okát, mely alapjáén a belső adatvédelmi felelős dönt szükség esetén a vezérigazgató bevonásával arról, hogy a felvétel az adott szervezeti egység által visszahallgatható-e. Amennyiben az igényt a belső adatvédelmi felelős indokoltnak tartja, úgy a hangfelvételt az adott szervezeti egység vezetője vagy annak helyettese illetve az ügyben a szervezeti egységen érdekelt egyéb munkavállaló jogosult visszahallgatni. A belső adatvédelmi felelős ez esetben az igény beérkezésétől számított 3 munkanapon belül köteles eljárni. 11. Az adatállományok kezelése (55.) Az Adatkezelő biztosítja, hogy a nyilvántartás módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen. (56.) Az Adatkezelő mind az elektronikus mind pedig a papír alapú nyilvántartásokat egymástól elkülöníthetően, egyértelműen visszakereshető formában tárolja: partnerkód felhasználó azonosító - vagy iktatószám alapján. (57.) Az Adatkezelő az elektronikus nyilvántartást és ügyintézést Opál dokumentumkezelő rendszerben, Libra rendszerben, MIR rendszerben illetve Opus rendszerben kezeli, tárolja. (58.) A Libra rendszer, a MIR rendszer valamint az Opus rendszer alkalmazásához való jogosultságot az Adatkezelő Érintett egység vezetője adja meg írásban kizárólag az arra jogosult személy részére. A középvezető részére ezen jogosultságot a felettes vezető írásban adja, adhatja meg. A jogosultság engedélyezését követően az informatikai főosztály illetékes munkavállalója intézkedik a jogosultság beállításáról.

11 (59.) A célhoz kötöttség elve alapján az Adatkezelő az Opál dokumentum kezelő rendszer alkalmazásakor figyelemmel van arra, hogy az adatok rendszerbe történő érkeztetésekor kizárólag azon személyek rendelkezzenek az irattal kapcsolatban hozzáféréshez, akihez (akikhez) az adott ügy tartozik, illetve aki (akik) az adott ügyre nézve hatáskörrel rendelkezik. Ennek okán, amennyiben az Opál dokumentum kezelő rendszerben olyan dokumentum kerül megküldésre, amely több egységhez tartozik, de a dokumentum bizonyos része nem valamennyi egységet érint, úgy az adott dokumentum azon részét, amely nem valamennyi egységet érinti titkosítással kell megküldeni az adatkezelést végző személyhez, személyekhez. (60.) Az Adatkezelő az (57.) pontban hivatkozott nyilvántartási rendszerek felépítésénél gondoskodik arról, hogy ezen dokumentumkezelő rendszerekben tárolt, kezelt adatokat csak azon adatkezelést végző munkavállalók és egyéb, az Adatkezelő érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükség van. A jogosultságok nyilvántartása az Informatikai osztály feladata (61.) Az Adatkezelő a nyilvántartás papír alapú valamint elektronikus módon tárolt dokumentumait a jogszabályi valamint az Adatkezelő belső szabályozásának megfelelően tárolja és gondoskodik azok őrzéséről. 12. Adatfeldolgozó (62.) Az Adatkezelő fenntartja magának a jogot, hogy tevékenysége során adatfeldolgozót vegyen igénybe, állandó vagy eseti megbízás alapján. Adatfeldolgozó igénybevétele esetén a mindenkor hatályos vonatkozó jogszabályok, így elsősorban az Infotörvény rendelkezései az irányadóak. Az Adatkezelő Adatfeldolgozót különösen az alábbi esetekben vesz, vehet igénybe: követelés eladás, követelés érvényesítése, felhasználói számlák gyártása esetén, talajterhelési díj megállapításához adatszolgáltatás az önkormányzat részére. 13. Az Adatkezelőn belüli egyes szervezeti egységek közötti adattovábbítás valamint adattovábbítás megkeresésre (63.) Az Adatkezelőn belül az Érintettekkel kapcsolatos adatok a feladat elvégzéséhez szükséges mértékben a szervezeti egységek között továbbíthatóak, viszont csak olyan szervezeti egység részére, amely az Érintettel további adminisztratív feladatot lát el, vagy az adott ügyben tájékoztatás adása a szervezeti egység részére szükséges. (64.) Társaságon kívüli szervtől, hatóságtól vagy az Érintettől független más magánszemélytől érkező adatközlésre irányuló megkeres abban az esetben teljesíthető, ha az Érintett erre írásban felhatalmazást ad az Adatkezelő részére, továbbá ha az adat kiadását jogszabály írja elő. Erre vonatkozóan irányadó a jelen szabályzat 2. számú valamint 3. számú mellékletében foglalt adatszolgáltatásra vonatkozó rendelkezés.

12 (65.) Az Érintett nyilatkozattételétől függetlenül teljesíteni kell az adatszolgáltatást az egyes ügyekben eljáró hatóságoktól, (pl.: rendőrségtől, bíróságtól, ügyészségtől, különböző közigazgatási szervektől) érkező megkereséseket. 14. Érintettek jogai (66.) Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul (azaz önkéntes) vagy kötelező. (67.) A (66.) pont alapján önkéntes adat az Érintett telefonszáma illetve címe (illetve egyéb, az azonosításához szükséges adatai), valamint kötelező adat az Érintett azonosításához a természetes személy esetén neve, lakcíme, anyja neve, születésének helye, születésének időpontja, nem természetes személy esetén elnevezése, székhelye, adószáma, cégjegyzékszáma szükséges. (68.) Az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos tényekről, így különösen az adatkezelés céljáról és jogalapjáról, az Adatkezelést végző személyéről (amennyiben van úgy az adatfeldolgozásra jogosult személyéről), az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogorvoslati lehetőségeire is. (Jogorvoslati lehetőséget lásd a szabályzat 15. pontjában). Telefonon történő Felhasználói megkeresés esetén az adatkezelés önkéntes hozzájárulásának érvényesülése okán - a Felhasználó minden esetben tájékoztatást kap arról, hogy a telefonbeszélgetés rögzítésre kerül. (69.) Kötelező adatkezelés esetén a (68.) pontban foglalt tájékoztatás a jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is megtehető. (70.) Az Érintett kérelmezheti az Adatkezelőnél (a.) tájékoztatását személyes adatai kezeléséről, (b.) személyes adatainak helyesbítését, valamint (c.) személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását. (71.) A (70.) pontban rögzített kérelmet az Érintett írásban köteles benyújtani az Adatkezelő részére, az Adatkezelőnek ezen kérelem alapján az ügyben azon szervezeti egysége jár el, akihez az adott megkeresésben foglalt igény tartozik.

13 15. Az Adatkezelő eljárása az Érintett kérelme alapján Az Érintett tájékoztatása személyes adatainak a kezeléséről (72.) Az Érintett kérelmére az Adatkezelő tájékoztatást ad az Érintett általa kezelt, (illetve amennyiben van az általa megbízott adatfeldolgozó által feldolgozott) adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről továbbá - az Érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az Adatkezelő köteles a személyes adat kezelésével kapcsolatos tájékoztatás kérés benyújtásától számított legfeljebb 30 napon belül, közérthető formában, az Érintett erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatást a belső adatvédelmi felelős bevonásával és tájékoztatása mellett - az a szervezeti egység adja meg, aki a kérelem alapjául szolgáló ügyben eljárni jogosult. (73.) Az Érintett tájékoztatását az Adatkezelő csak abban az esetben tagadhatja meg, ha azt törvény lehetővé teszi. Ebben az esetben viszont az Adatkezelő köteles a megtagadás indokát közölni az Érintettel, továbbá a tájékoztatni a megtagadás miatt a jogorvoslati lehetőségekről. Ez esetben is a válaszadásra a (72.) pontban rögzítettek az irányadóak Az Érintett személyes adatainak helyesbítése (74.) Az Érintett kérheti, hogy az Adatkezelő nyilvántartásában tévesen szereplő adatot helyesbítse. Az Adatkezelőnek ezen kérelem alapján az ügyben azon szervezeti egysége jár el, akihez az adott megkeresésben foglalt igény tartozik. (75.) A személyes adatot az Adatkezelő a nyilvántartásából törölni kell, ha (a.) kezelése jogellenes; (b.) az Érintett személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását kéri; (c.) az hiányos vagy téves - és ez az állapot jogszerűen nem orvosolható -, feltéve, hogy a törlést törvény nem zárja ki; (d.) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; (e.) azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.

14 15.3. Az Érintett személyes adatainak zárolása (76.) Törlés helyett az Adatkezelő zárolja a személyes adatot, ha az Érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az Érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta Eljárás az Érintettre vonatkozó adatvédelmi incidenssel kapcsolatos tájékoztatás tekintetében (77.) Az Érintett kérelmet terjeszthet elő arra vonatkozóan, hogy az Adatkezelőnél rá vonatkozóan merült-e fel adatvédelmi incidens. Az adatvédelmi incidensről a belső adatvédelmi felelős bevonásával és tájékoztatása mellett - az a szervezeti egység köteles az Érintett részére a tájékoztatást megadni, akinek a tevékenysége során az incidens felmerült. A tájékoztatásnak ki kell terjednie a felmerült adatvédelmi incidens körülményeire, hatásaira és az elhárítására megtett intézkedésekre. (78.) Valamennyi adatvédelmi incidensről a belső adatvédelmi felelős nyilvántartást vezet, amely tartalmazza a (87.) pontban rögzített adatokat. 16. Az Érintett jogainak érvényesítése (79.) Ha az Adatkezelő az Érintett személyes adatainak helyesbítés, zárolás, törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban köteles közölni az elutasítás ténybeli és jogi indokait az Érintettel. Elutasítás esetén tájékoztatni kell az Érintettet a jogorvoslati és a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről (80.) A helyesbítés, zárolás, törlés és az adatvédelmi incidenssel kapcsolatos tájékoztatás elutasítása esetén az adott szervezeti egység adatkezelését végző munkatársa továbbítja az ügyet a belső adatvédelmi felelős részére, aki a (79.) pontban rögzítettek szerint indokolja a választ, majd azt megküldés végett az ügyben eljárt szervezeti egység részére visszaküldi. 17. Jogorvoslati lehetőségek (81.) Az Érintett jogsértés esetén a társaság vezérigazgatójához, vagy a társaság adatvédelmi felelőséhez fordulhat ügyének kivizsgálása végett. A vezérigazgató vagy a belső adatvédelmi felelős a megkeresésétől számított 30 napon belül köteles a kérelmet elbírálni és a döntésről írásban tájékoztatni az Érintettet. (82.) Az Érintett jogorvoslatért fordulhat továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1125 Budapest, Erzsébet fasor 22/c), (83.) Az Érintett eljárást kezdeményezhet az Adatkezelővel szemben a Gyulai Járásbíróságon (5700 Gyula Béke sgt. 38.).

15 18. A belső adatvédelmi felelősre vonatkozó rendelkezés (84.) Az Adatkezelőnél a vezérigazgató által megbízott belső adatvédelmi felelős működik. (85.) A közérdekű adatok megismerésére irányuló igények tekintetében illetékes szervezeti egység neve: jogi főosztály. Az Adatkezelő belső adatvédelmi felelős jogkörre kijelölt személy: dr. Farkas Kristóf, jogi főosztályvezető-helyettes. Postacíme: Alföldvíz Zrt Békéscsaba Dobozi út 5., telefon: 66/ , fax: 66/ jogiiroda@alfoldviz.hu (86.) A belső adatvédelmi felelős az adatkezelés (adatszolgáltatás) tekintetében önálló felelősséggel és hatáskörrel rendelkezik, adatkezelés tekintetében önálló véleményezési és állásfoglalás készítési jogosultsággal rendelkezik A belső adatvédelmi felelős feladatai (a.) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az Érintettek jogainak biztosításában; (b.) ellenőrzi az adatkezelésre vonatkozó jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását; (c.) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az Adatkezelőt, az adatkezelést végzőt vagy az adatfeldolgozót; (d.) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot; (e.) vezeti a belső adatvédelmi nyilvántartást melynek célja az Érintettek tájékoztatása és az adattovábbítás jogszerűségének ellenőrzése; (87.) Az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése és az Érintett tájékoztatása céljából vezeti az adatvédelmi incidensek nyilvántartását. A nyilvántartás tartalmazza az érintett személyes adatait, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. (88.) Az adatvédelmi felelős az irat- és adatkezeléssel kapcsolatos szabályokat, jegyzőkönyvek és nyilvántartások áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról. Jogsértés észlelése esetén a jogsértés megszüntetésére szólítja fel az illetékes egység vezetőjét. Különösen súlyos jogsértés esetén az illetékes egység adatkezelés végzőjének felelősségre vonását kezdeményezheti a vezérigazgatónál.

16 (89.) A belső adatvédelmi felelős vezeti a belső adatvédelmi nyilvántartást, melynek célja annak megállapíthatósága, hogy az Érintett mely adatkezelések alanya lehet, és ezen adatkezelésnek melyek a jellemző elemei. A belső adatvédelmi nyilvántartás azonosítja az adatkezeléseket, azonban nem helyettesíti az Érintett részletes tájékoztatását Általános szabályok 19. Közérdekű adatok megismerésére irányuló igények intézkedésének rendje (90.) A jelen szabályzat (11.) pont a közérdekű adat fogalmát, a (12.) pont a közérdekből nyilvános adat fogalmát rögzíti. A törvény által közérdekből elrendelt nyilvános adatok az alábbiak: az Adatkezelő képviseletében eljáró személyek neve, feladatköre, munkaköre, vezetői megbízatása, a közfeladat ellátásával összefüggő egyéb személyes adata, valamint azok személyes adatai, amelyek megismerhetőségét törvény előírja. (91.) Az Adatkezelő nyilvánosságra hozható közérdekű és közérdekből nyilvános adatainak körét és a nyilvánosságra hozatal módját a belső adatvédelmi felelős előzetes véleményezését követően a hatályos jogszabályok alapján - a társaság vezérigazgatója hagyja jóvá, majd ezt követően kerülnek közzétételre. (92.) A közérdekből nyilvános adatok megismerésére a közérdekű adatok megismerésére vonatkozó rendelkezéseket kell alkalmazni. (93.) Az Adatkezelő cégadatai nyilvánosak, amelyek a társaság honlapján ( megtalálhatóak A közérdekű adatok közzététele (94.) A kötelezően közzéteendő adatokat az Adatkezelő internetes honlapján ( digitális, kinyomtatható és kimásolható formában, bárki számára, minden korlátozástól mentesen és díjmentesen bárki számára hozzáférhetővé kell tenni. (95.) A kötelezően közzéteendő, kezelendő adatok körét a jelen szabályzat 7. címében hivatkozott illetve az egyéb jogszabályok határozzák meg. (96.) Az illetékes egységvezető által előkészített, a belső adatvédelmi felelős által véleményezett - és a vezérigazgató által jóváhagyott, mindenkori közzéteendő adatok honlapra való felkerülésének biztosítása az informatikai főosztályvezető hatáskörébe tartozó feladat.

17 (97.) A közzétett adatokat a jelen szabályzat 7. címében hivatkozott jogszabályokban rögzített gyakorisággal (pl.: a változást követően azonnal vagy negyedévente) frissíteni kell és a változásokat a honlapon át kell vezetni. Az adatban bekövetkezett változást az a szervezeti egység (főosztályvezető, osztályvezető, divízióvezető és a velük egy tekintet alá eső munkavállaló) köteles jelezni a belső adatvédelmi felelősnek, akinek a területéhez a megváltozott adat tartozik. (Pl.: Statisztikai adatok közzététele tekintetében a Kontrolling osztály szolgáltatja az új, módosult adatokat). Azon jogszabályok tekintetében, amelyek nem írnak elő a változott adatok tekintetében frissítési határidőt, az adatok felülvizsgálatát a belső adatvédelmi felelős felhívására a közzétett adatot szolgáltató területi egység vezetője (főosztályvezető, osztályvezető, divízióvezető és a velük egy tekintet alá eső munkavállaló) végzi. Amennyiben a közzétett adatokon változtatni szükséges, úgy a vezérigazgató jóváhagyását követően a belső adatvédelmi felelős az Informatikai főosztály vezetője vagy az informatikai főosztályvezető-helyettes felé intézkedik a változtatások közzététele (frissítése) végett A közérdekű adat megismerésére irányuló igények intézkedési rendje (98.) A közérdekű adat vagy közérdekből nyilvános adat megismerésére vonatkozó kérelmet bárki szóban, írásban vagy elektronikus úton előterjesztheti az Adatkezelő elérhetőségein keresztül. A beérkezett kérelmet a belső adatvédelmi felelősnek kell továbbítani. A kérelemnek a lehető legrövidebb idő alatt, de legfeljebb 15 napon belül eleget kell tenni. Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, vagy az adatigénylés teljesítése a közfeladatot ellátó szerv alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, úgy ezen határidő egy alkalommal 15 nappal meghosszabbítható. Erről az igénylőt az igény beérkezését követő 15 napon belül tájékoztatni kell. A közérdekű adat megismerésére irányuló igényre vonatkozó választ minden esetben szükség esetén a vezérigazgatóval történt egyeztetést követően - a belső adatvédelmi felelős küldi meg az adatigénylőnek. (99.) Az adatvédelmi felelős által jóváhagyott közérdekű adatközlést a megkeresett egység teljesíti. (100.) Az adatigénylésnek az Adatkezelő az alábbi esetekben nem köteles eleget tenni: (a.) ha azonos igénylő, egy éven belül ugyanazon adatkörre nyújtja be igényét és az igényelt adatok ezen része megegyeznek a már korábban igényelt adatokkal, feltéve, hogy az azonos adatkörbe tartozó adatokban változás nem állt be, valamint (b.) ha természetes személy adatigényében nevét (nem természetes személy esetén megnevezését) valamint elérhetőségét (postai vagy elektronikus címét) nem adja meg.

18 (101.) Az igény teljesítésének megtagadásáról, annak indokaival, valamint az igénylőt a 17. címe szerinti jogorvoslati lehetőségekről való tájékoztatással együtt, az igény beérkezését követő 15 napon belül írásban vagy - ha az igényben elektronikus levelezési címét közölte - elektronikus levélben értesíteni kell az igénylőt Az adatigénylés teljesítésével kapcsolatos költségtérítésre vonatkozó szabályok (102.) Az adatokat tartalmazó dokumentumokról vagy dokumentumrészről erre irányuló igény esetén az adatigénylő annak tárolási módjától függetlenül másolatot kaphat az adatigénylő által megadott formában illetve módon (elektronikusan pl.: ben, elektronikus adathordozón, vagy postai úton papír alapon). (103.) Az adatigénylés teljesítéséért - az azzal kapcsolatban felmerült költség mértékéig terjedően költségtérítés állapítható meg. A költségtérítés megállapításáról az Adatkezelő valamennyi adatigény esetén egyedileg dönt. A költségtérítés összegéről az igénylőt az igény teljesítését megelőzően, az igény beérkezését követő 15 napon belül tájékoztatni kell. A tájékoztatást a belső adatvédelmi felelős teszi meg. (104.) A költségtérítés mértékének meghatározása során az alábbiak vehetők figyelembe: (a.) az igényelt adatokat tartalmazó adathordozó költsége, (b.) az igényelt adatokat tartalmazó adathordozó az igénylő részére történő kézbesítésének költsége, valamint (c.) ha az adatigénylés teljesítése az Adatkezelő alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, az adatigénylés teljesítésével összefüggő munkaerőráfordítás költsége. (105.) Az igénylő az adatigénylés teljesítéséért a (101.) pont szerint kapott tájékoztatás kézhezvételét követő 30 napon belül nyilatkozik arról, hogy az igénylését fenntartja-e. Amennyiben ezen időn belül az adatigénylő nem nyilatkozik, azt úgy kell tekinteni, hogy az adatigényét nem tartja fent. A tájékoztatás megtételétől az igénylő nyilatkozatának az adatkezelőhöz való beérkezéséig terjedő időtartam az adatigénylés teljesítésére rendelkezésre álló határidőbe nem számít bele. Ha az igénylő az igényét fenntartja, az adatigénylés költségéről az Adatkezelő számlát állít ki az adatigénylő részére. A költségtérítést az Adatkezelő által megállapított, legalább 15 napos határidőben köteles az adatkezelő részére megfizetni. Amennyiben ez idő alatt a számla összege nem kerül kiegyenlítésre, azt úgy kell tekinteni, hogy az adatigénylő az adatigényét nem tartja fent.

19 (106.) Az adatigénylést a költségtérítésnek az igénylő általi megfizetését követő 15 napon belül kell teljesíteni. Arról, hogy az adatigénylés teljesítése az Adatkezelő alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, illetve a másolatként igényelt dokumentum vagy dokumentumrész jelentős terjedelmű az igénylőt az igény beérkezését követő 15 napon belül tájékoztatni kell és ez esetben az adatigény teljesítése ezen 15 nappal meghosszabbodik. A tájékoztatást ez esetben is a belső adatvédelmi felelős teszi meg. (107.) Ha az adat már akár elektronikusan akár más formában nyilvánosságra került, úgy az igény teljesíthető a forrás megjelölésével is (Pl.: a honlap pontos címének megadásával). 20. Egyéb rendelkezések (108.) Az Adatkezelő, mint közfeladatot ellátó gazdasági társaság a levéltári anyag védelmére vonatkozó szabályozás hatálya alá tartozik. A közokiratról, a közlevéltárakról, és a magánlevéltári anyag védelméről szóló évi LXVI. törvény (továbbiakban: levéltári törvény) alapján az Adatkezelőnél keletkezett iratok közokiratok, melyek megőrzésére a hivatkozott törvény és az egyéb vonatkozó belső szabályok az irányadóak. (109.) Amennyiben a törvények hosszabb időtartamról nem rendelkeznek, az adatvédelemhez kapcsolódó iratokat 10 évig kell megőrizni. (110.) A jelen szabályzatban nem szabályozott kérdések vonatkozásában az Infotörvényben, a Vksztv.-ben, a Kormányrendeletben, az NFM rendeletben, a Fgyvtv-ben és a levéltári törvényben valamint az egyéb vonatkozó jogszabályokban foglaltak az irányadóak Mellékletek (a.) 1. sz. melléklet Kulcsszavak (b.) 2. sz. melléklet Beérkező adatok (c.) 3. sz. melléklet Kiküldendő adatok Békéscsaba, december 1. Dr. Csák Gyula vezérigazgató