VEZÉRIGAZGATÓI UTASÍTÁS

Átírás

1 197/2011. sz. i Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a érdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Szerencs^.K ö r ű e n ílíöi'"' M ű k ő i'» * -' 197/ sz. VEZÉRIGAZGATÓI UTASÍTÁS a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Készítette: B iztnsági Igazgatóság Titkssági szint: ABB Verzió:2. Kiadás dátuma: i. i h.t.ll.qvx.ál'

2 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Verzió-követési lap Előzmény, Szabályzási dkum entiim száina és neve: 197/2011. sz vezérigazgatói utasítás a Szerencsejáték Zrt Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról 197/2011 sz. vezérigazgatói utasítás 1. verzió M ódsíttt, törölt, hzzáadtt fejezet: A III. fejeztet 2. pntja (új számzás: 4.8. pnt) alatt került beemelésre - Az utasítás számzása módsításra került; - 1. pnt A Szabályzás tárgya, célja rész kiegészítése - 2. pnt Időbeli hatály rész pnt kiegészítése (régi számzás: III/1.4.); -4.8 pnt (régi számzás: III/2.) biztnsági fkzatk és szervezeti egységek biztnsági besrlása rész törlése; - Záró rendelkezések rész (régi számzás: V. fejezet) törlése; - 5. sz. melléklet (előző utasításban 3. sz. függelék) módsítása - 4. sz. függelék törlése M ódsítás/tartalm rövid leírása és indklása: Az adatsztálykba való besrlás érdekében került beemelésre a hivatkztt rész Az ISO/WLA audit és a Társaságn belüli visszajelzések alapján a dkumentum módsítása. 5. sz. melléklet módsítása (előző utasításban: 3. számú függelék) a NAIH /2012/V számú állásfglalása alapján. SZMSZ módsítás átvezetése. Verziószám: H atályba lépés dátum a: *A verziókövetési lap a dkumentum jóváhagyásától kezdve tartalmazza a váltzáskat. Verzió: 2. Titkssági szint: ABB Oldalszám: <2/32> Adatvédelmi Szabályzat V 2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: KUClcr. X 1-

3 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Tartalmjegyzék 1. A SZABÁLYOZÁS TÁRGYA, C É L JA SZEM ÉLYI, TÁRGYI ÉS IDŐBELI H A T Á L Y...4 Személyi hatály... 4 Tárgyi h a tá ly...4 Időbeli hatály A LA PFO G A LM A K...5 Az adatvédelem re vnatkzó rendelkezések...5 Fgalmi m eghatárzásk A SZABÁLYOZÁS LEÍR Á SA Az adatkezelésre vnatkzó általáns szabályk A személyes adat kezelésének célhz kötöttsége, az érintett előzetes tájékztatása Az adatkezelés jgi alapjai Az adatk védelme, az adatbiztnság É rintettek jgai és érvényesítésük Az adatvédelemmel összefüggő feladat- és felelősségi k ö rö k A Társaság Vezérigazgatójának adatvédelemmel kapcslats jgai és kötelezettségei A Társaság igazgatóinak jgai és kötelezettségei A belső adatvédelmi felelős jgai és kötelezettségei Az Infrmációvédelmi Osztály (IVÓ) feladatai, jgai és kötelezettségei A Társaság által kezelt adatk Hatósági nyilvántartásba vétele Adatbiztnsági intézkedések Az Adatvédelmi és Adatbiztnsági Szabályzat ktatása A közérdekű adatk nyilvánsságára vnatkzó előírásk, valam int a közérdekű adatigénylés teljesítésére vnatkzó eljárásrend Elektrnikus közzététel A közérdekű adat megismerésére vnatkzó igény teljesítése Helyettesítési rend KAPCSOLÓDÓ SZABÁLYOZÁSOK MÓDOSÍTANDÓ SZABÁLYOZÁSO K HATÁLYUKAT VESZTŐ SZABÁLYOZÁSOK M E L L É K L E T E K számú m elléklet N yilatkzat számú m elléklet...23 Költségtérítés szám ítás számú m elléklet Törvényi kötelezettségből adódó hatósági adatszlgáltatás számú m elléklet...26 A Társaság adatkezelő egységei által kezelt személyes a d a t k számú m elléklet...30 Biztnságvédelmi képi megfigyelő és képrögzítő rendszer SZIGNÁLÁS! TÁBLA...32 Verzió: 2. Titkssági szint: ABB Oldalszám: <3/32> Adatvédelmi Szabályzat_V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma:

4 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról 1. A SZABÁLYOZÁS TÁRGYA, CÉLJA A Szerencsejáték Zrt. (tvábbiakban SzZrt./Társaság) Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylések teljesítési rendjére vnatkzó Szabályzatának célja (tvábbiakban: Avsz./Szabályzat), hgy a SzZrt-nél kezelt személyes és közérdekű, vagy közérdekből nyilváns adatk tekintetében biztsítsa: Magyarrszág Alaptörvényének Szabadság és felelősség fejezete VI. cikkének (2) és (3) bekezdésében fglalt személyes adatk védelméhez, valamint A közpénzek fejezet 39. cikk (2) bekezdésében a közérdekű adatk megismeréséhez főződő jg érvényre jutását, az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvényben fglalt követelmények érvényesülését, tvábbá meghatárzza az e törvényben fglalt alapvető feladatkat, jgkat és kötelezettségeket, a Plgári Törvénykönyvről szóló évi IV. törvény Másdik rész IV. cím VII. fejezetében fglaltak maradéktalan érvényre jutását, az állami vagynról szóló évi CVI. törvényben, a köztulajdnban álló gazdasági társaságk takaréksabb működéséről szóló évi CXXII. törvényben előírtak megtartását, valamint egységes szabályzásban jelenítse meg és határzza meg az SzZrt. egyes adatkezeléseit, az SzZrt.-nél vezetett nyilvántartásk működésének törvényes megfelelőségét. 2. SZEMÉLYI, TÁRGYI ÉS IDŐBELI HATÁLY Személyi hatály A szabályzat személyi hatálya kiterjed az SzZrt. Szervezeti és Működési Szabályzatában rögzített munkaszervezetének valamennyi munkavállalójára, szervezeti egységére, ahl személyes adat, közérdekű adat, valamint közérdekből nyilváns adat kezelése valósul meg. Az értékesítő és üzleti partnerekre, tvábbá azn harmadik személyekre, akik részéről személyes adat átadása történik, jelen szabályzat személyi hatálya nem terjed ki. Ezekben az esetekben az 1. fejezetben megjelölt jgszabálykban előírtak közvetlen alkalmazása a szabályzatban előírt módn történik. Tárgyi hatály Jelen Szabályzat tárgyi hatálya az SzZrt-nél kezelt, az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvény alapján meghatárztt valamennyi személyes-, közérdekű-, valamint közérdekből nyilváns adat - függetlenül attól milyen k illetve jgviszny keletkeztette azkat - kezelésére kiterjed. Időbeli hatály Az utasítás az aláírás napjától visszavnásig érvényes. Verzió: 2. Titkssági szint: ABB Oldalszám: <4/32> Adatvédelmi Szabályzat V 2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: l(Jc.r.U.2r*r. 7-1

5 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról 3. ALAPFOGALMAK Fgalmi meghatárzásk Az adatvédelemre vnatkzó rendelkezések Adatvédelem: az adatalanyk (játéksk, a társaság munkavállalói, értékesítő és üzleti partnerek, harmadik személyek) személyes adatainak fizikai ügyviteli és számítástechnikai eszközök, módszerek (pl. algritmus) által történő védelme. Az adatvédelem a személyes adatk gyűjtésének, feldlgzásának és felhasználásának krlátzását, az érintett személyek védelmét biztsító alapelvek, szabályk, eljárásk, adatkezelési eszközök és módszerek összességét jelenti. Az adatvédelem jgi személyek esetében fgalmilag nem értelmezhető, mivel azk nem rendelkeznek személyes adatkkal. Adatbiztnság: adatbiztnságnak nevezzük az adatk jgsulatlan megismerése, megszerzése, módsítása és megsemmisítése elleni lgikai és fizikai védelmi megldásk, valamint szervezési intézkedések, eljárásk egységes rendszerét. Személyes adat: az érintettel kapcslatba hzható adat - különösen az érintett neve, aznsító jele, valamint egy vagy több fizikai, fizilógiai, mentális, gazdasági, kulturális vagy szciális aznsságára jellemző ismeret -, valamint az adatból levnható, az érintettre vnatkzó következtetés. A személyes adat az adatkezelés srán mindaddig megőrzi e minőségét, amíg kapcslata az érintettel helyreállítható. Az érintettel akkr helyreállítható a kapcslat, ha a Szerencsejáték Zrt. rendelkezik azkkal a technikai feltételekkel, amelyek a helyreállításhz szükségesek. Érintett: bármely meghatárztt, személyes adat alapján aznsíttt vagy - közvetlenül vagy közvetve - aznsítható természetes személy. Aznsító adat: az érintett egyediesítésére szlgáló természetes vagy mesterséges aznsító adat: Természetes aznsító adat: különösen az érintett neve, anyja neve, születési adatk (hely, idő), lakó- és tartózkdási helyének címe; Mesterséges aznsító adat: matematikai vagy más algritmus alapján generált adat, különösen a személyi aznsító jel, társadalmbiztsítási aznsító jel, adóaznsító jel, személyi igazlvány valamint útlevél száma stb. Különleges adat: a faji eredetre, a nemzeti és etnikai kisebbséghez tartzásra, a plitikai véleményre vagy pártállásra, a valláss vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vnatkzó személyes adat; az egészségi állaptra, a kórs szenvedélyre vnatkzó adat, valamint a bűnügyi személyes adat. Verzió: 2. Titkssági szint: ABB Oldal szám: <5/3 2> Adatvédelmi Szabályzat_V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: 2013

6 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Közérdekű adat: az állami vagy helyi önkrmányzati feladatt, valamint jgszabályban meghatárztt egyéb közfeladatt ellátó szerv vagy személy kezelésében lévő és tevékenységére vnatkzó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fgalma alá nem eső, bármilyen módn vagy frmában rögzített infrmáció vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtklt adatfajtákra és a működést szabályzó jgszabálykra, valamint a gazdálkdásra, a megkötött szerződésekre vnatkzó adat. Közérdekből nyilváns adat: a közérdekű adat fgalma alá nem tartzó minden lyan adat, amelynek nyilvánsságra hzatalát, megismerhetőségét vagy hzzáférhetővé tételét törvény közérdekből elrendeli. Adatfelelős: az a közfeladatt ellátó szerv, amely az elektrnikus útn kötelezően közzéteendő közérdekű adatt előállíttta, illetve amelynek a működése srán ez az adat keletkezett. Adattörlés: az adatk felismerhetetlemié tétele ly módn, hgy a helyreállításuk többé nem lehetséges. Adatmegsemmisítés: az adatkat tartalmazó adathrdzó teljes fizikai megsemmisítése. Adatállmány: az egy nyilvántartásban kezelt adatk összessége. Adatkezelés: az alkalmaztt eljárástól függetlenül az adatkn végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárlása, megváltztatása, felhasználása, lekérdezése, tvábbítása, nyilvánsságra hzatala, összehanglása vagy összekapcslása, zárlása, törlése és megsemmisítése, valamint az adatk tvábbi felhasználásának megakadályzása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy aznsítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnymat, DNS-minta, íriszkép) rögzítése. Adatkezelő: az a természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy máskkal együtt az adatk kezelésének célját meghatárzza, az adatkezelésre (beleértve a felhasznált eszközt) vnatkzó döntéseket meghzza és végrehajtja, vagy az általa megbíztt adatfeldlgzóval végrehajtatja. Adatkezelő egység: a Szerencsejáték Zrt. azn szervezeti egysége, mely feladat- és hatásköre alapján a célhz kötöttség elve szerint, jgsultan adatkezelést flytat. Adatfeldlgzás: az adatkezelési műveletekhez kapcslódó technikai feladatk elvégzése, függetlenül a műveletek végrehajtásáhz alkalmaztt módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hgy a technikai feladatt az adatkn végzik. Verzió: 2. Titkssági szint: ABB Oldalszám: <6/32> Filc: Adatvédelmi_Szabályzat_V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: ,(;kíU& Y..2-l'

7 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Adatfeldlgzó: a Szerencsejáték Zrt-vei szerződéses jgvisznyban álló azn természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő (SzZrt.) megbízásából - beleértve a jgszabály rendelkezése alapján történő megbízást is - személyes adatk feldlgzását végzi. Hzzájárulás: az érintett akaratának önkéntes és határztt kinyilvánítása, amely megfelelő tájékztatásn alapul, és amellyel félreérthetetlen beleegyezését adja a rá vnatkzó személyes adatk - teljes körű vagy egyes műveletekre kiteljedő - kezeléséhez. Tiltakzás: az érintett nyilatkzata, amellyel személyes adatainak kezelését kifgáslja, és az adatkezelés megszüntetését, illetve a kezelt adatk törlését kéri. Adattvábbítás: az adat meghatárztt harmadik személy számára történő hzzáférhetővé tétele. Nyilvánsságra hzatal: az adat bárki számára történő hzzáférhetővé tétele. Adatmegjelölés: az adat aznsító jelzéssel ellátása annak megkülönböztetése céljából. Adatzárlás: az adat aznsító jelzéssel ellátása tvábbi kezelésének végleges vagy meghatárztt időre történő krlátzása céljából. Harmadik személy: lyan természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, amely vagy aki nem azns az érintettel, az adatkezelővel vagy az adatfeldlgzóval. 4. A SZABÁLYOZÁS LEÍRÁSA 4.1. Az adatkezelésre vnatkzó általáns szabályk Az SzZrt-nél személyes adat akkr kezelhető, ha ahhz az érintett hzzájárul, vagy azt törvény elrendeli. Az érintettet az adatkezelés megkezdése előtt - egyértelműen és részletesen - tájékztatni kell az adatai kezelésével kapcslats minden tényről, így különösen az adatkezelés céljáról és jgalapjáról, az adatkezelésre és az adatfeldlgzásra jgsult személyéről, az adatkezelés időtartamáról, illetve arról, hgy kik ismerhetik meg az adatkat. A tájékztatásnak ki kell terjednie az érintett adatkezeléssel kapcslats jgaira és jgrvslati lehetőségeire is A személyes adat kezelésének célhz kötöttsége, az érintett előzetes tájékztatása Személyes adatt kezelni csak meghatárztt célból, jg gyakrlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak, az adatk felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Verzió: 2. Titkssági szint: ABB Oldalszám: <7/32> Adatvédelnii_Szabályzat_V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: J. b rr fá r; jt /.

8 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Csak lyan személyes adat - kizárólag a cél megvalósulásáhz szükséges mértékben és ideig - kezelhető, amely az adatkezelés céljának megvalósulásáhz elengedhetetlenül szükséges és a cél elérésére alkalmas, Az érintettel az adat felvétele előtt közölni kell, hgy az adatszlgáltatás önkéntes hzzájárulásn alapul vagy kötelező, Kötelező adatszlgáltatás esetén meg kell jelölni az adatkezelést elrendelő jgszabályt is. A tájékztatás megtörténhet a szükséges infrmációkat tartalmazó jgszabályi rendelkezésre való utalás nyilvánsságra hzatalával is. Abban az esetben, ha az érintettek személyes tájékztatása lehetetlen, vagy a tájékztatás az SzZrt., mint adatkezelő részére aránytalan költségekkel járna, úgy a tájékztatás megtörténhet az alábbi adatk nyilvánsságra hzatalával is: a) az adatgyűjtés ténye; b) az érintettek köre; c) az adatgyűjtés célja; d) az adatkezelés időtartama; e) az adatk megismerésére jgsult lehetséges adatkezelők személye; f) az érintettek jgai és jgrvslati lehetőségei; g) az adatvédelmi nyilvántartásba vételi kötelezettség esetén az adatkezelés nyilvántartási száma Az adatkezelés jgi alapjai Személyes adat kezelhető a fentieken túl abban az esetben is, ha az érintett hzzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna az SzZrt-re, mint adatkezelőre nézve, és a személyes adat kezelése a SzZrt-re vnatkzó jgi kötelezettség teljesítése céljából szükséges, vagy a SzZrt. vagy harmadik személy jgs érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatk védelméhez fűződő jg krlátzásával arányban áll. Abban az esetben, ha a személyes adatk felvétele az érintett hzzájárulásán alapul, úgy a SzZrt., mint adatkezelő saját jgi kötelezettségének teljesítése, vagy saját, tvábbá harmadik személy jgs érdekének érvényesítése céljából az érintett hzzájárulása nélkül, vagy a krábbi hzzájárulás érintett általi visszavnását követően, külön törvényi felhatalmazás nélkül is jgsult (személyes) az adatk kezelésére. Amennyiben az érintett hzzájárulásán alapuló adatkezelés célja az adatkezelővel - írásban - kötött szerződés végrehajtása, a szerződésnek az érintett részletes és teljes körű tájékztatásának céljából tartalmaznia kell a személyes adatk kezelésére vnatkzó legfntsabb infrmációkat, így különösen a kezelendő adatk meghatárzását, az adatkezelés időtartamát, az adatk felhasználásának célját, az adattvábbítás tényét, címzettjeit, az adatfeldlgzóra vnatkzó adatkat. Verzió: 2. Titkssági szint: ABB Oldalszám: <8/32> l_adatvédelmi_szabályzat_v_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: }(.

9 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról A szerződésnek egyértelműen és félreérthetetlenül kell tartalmaznia, hgy az érintett hzzájárult aláírásával adatainak a szerződésben meghatárzttak szerinti kezeléséhez. A személyes adatk védelméhez fűződő jgt és az érintett személyiségi jgait - ha törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek (ideértve a közérdekű adatk nyilvánsságát is) nem sérthetik Az adatk védelme, az adatbiztnság Az adatk védelme Az adatkat - mind a manuálisan, mind a számítógépen kezeiteket egyaránt - védeni kell különösen a jgsulatlan hzzáférés, megváltztatás, tvábbítás, nyilvánsságra hzatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, tvábbá az alkalmaztt technika megváltzásából fakadó hzzáférhetetlenné válás ellen. A SzZrt. az általa elektrnikusan kezelt személyes ügyfél- és munkavállalói adatkat megfelelő szervezési és műszaki-infrmatikai intézkedésekkel védi az illetéktelen hzzáférés és felhasználás ellen, A SzZrt. szervezeti rendszerén belül a munkavállalók személyes adatai kizárólag adtt feladat elvégzéséhez - a szükséges mértékben és időtartamra - és csak lyan szervezeti egységekhez tvábbíthatóak, melyek a munkavállalói jgvisznnyal kapcslats adminisztratív feladatkat látnak el. Adatbiztnság Az alkalmaztt adatbiztnsági eljárásk keretében az SzZrt. a személyes adatk kezeléséhez a szlgáltatás nyújtása srán felhasznált elektrnikus és egyéb eszközök üzemeltetése vnatkzásában garantálja az arra feljgsítttak számára az adatkhz való hzzáférést (rendelkezésre állást). Tvábbá biztsítja az adatk hitelességét és hitelesítését (adatkezelés hitelessége), az adatk váltzatlanságát (adatintegritás), valamint az adatk védelmét a jgsulatlan hzzáféréssel szemben (adat bizalmassága). Az SzZrt. megfelelő műszaki-, játék-, és egyéb szervezési és szervezeti intézkedésekkel gndskdik az adatkezelés biztnságának - különös figyelemmel a személyes adatk biztnságs tárlási módjára -védelméről, amelynek keretében a felállíttt védelmi szint az adatkezeléssel kapcslatban jelentkező kckázatknak mindenkr megfelelő védelmi szintet képvisel. Az alkalmaztt autmatizált feldlgzás srán biztsítani kell a jgsulatlan adatbevitel megakadályzását; a rendszerek arra fel nem jgsítttak általi, adatátviteli berendezés segítségével történő használatának megakadályzását; az adatátvitelei eszköz segítségével történő adattvábbítás, vagy tvábbíthatóság ellenőrzését, valamint ennek megállapíthatóságát; Verzió: 2. Titkssági szint: ABB Oldalszám: <9/32> Fi le: l Adatvédelmi Szabályzat V 2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: jó'ícr.a.O.cr.A.l*

10 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról az autmatikus adatfeldlgzó rendszerekben történt mindennemű váltzás megállapíthatóságát és ellenőrizhetőségét (adatbevitel időpntja, az adatt bevivő személye stb.), valamint a rendszerben fellépő esetleges hibákról, zavarkról jelentés készítését részletes lóg és/vagy naplófájlk keletkeztetésével; telepített rendszerek üzemzavar esetén történő helyreállíthatóságát; valamint a feldlgzás srán fellépő hibák lglását, jelenthetőségét. Az adatbiztnság keretében az egyes személyes adatkat kezelő infrmatikai rendszerekhez csak a megfelelő szintű hzzáféréssel, jgsultsággal rendelkező személyek férhetnek hzzá vagy üzemeltethetik. Megfelelő szintű hzzáférésnek, jgsultságnak tekinthető az a hzzáférés, mely igazdik a need t knw elvhez, vagyis kizárólag lyan mértékű hzzáférés engedélyezhető, mely a munka elvégzéséhez elengedhetetlenül szükséges Érintettek jgai és érvényesítésük Az érintett tájékztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve - a jgszabályban elrendelt kötelező adatkezelések kivételével - törlését vagy zárlását, Az érintett kérelmére az adatkezelő tájékztatást ad az általa kezelt, illetőleg az általa megbíztt feldlgzó által feldlgztt adatairól, azk frrásáról, az adatkezelés céljáról, jgalapjáról, időtartamáról, az adatfeldlgzó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, tvábbá adattvábbítás esetén az adattvábbítás jgalapjáról és címzettjéről, Az SzZrt. belső adatvédelmi felelőse az adattvábbítás jgszerűségének ellenőrzése, valamint az érintett tájékztatása céljából adattvábbítási nyilvántartást vezet, mely tartalmazza az adatk tvábbításának időpntját, a tvábbítás jgalapját, címzettjét, a személyes adatk körét és egyéb, törvényben előírt adatkat, Az adattvábbításra vnatkzó nyilvántartás - és ennek alapján a tájékztatási kötelezettség - időtartamát az adatkezelést szabályzó jgszabály krlátzhatja. A krlátzás időtartama személyes adatk esetében öt évnél, különleges adatk esetében pedig húsz évnél rövidebb nem lehet, A tájékztatást a kérelemben fglaltakra a belső adatvédelmi felelős készíti elő és adja meg. A tájékztatás igénylő részére történő megküldését megelőzően a belső adatvédelmi felelős a tájékztatásról és az abban fglaltakról Feljegyzésben értesíti a Jgi és Ellenőrzési Igazgatóság Jgi Osztályát, és az előkészített tájékztatásra vnatkzó jgi szakvéleményt kér. A Jgi Osztály álláspntját a kérelem teljesítésére nyitva álló határidő figyelembe vételével a belső adatvédelmi felelős rendelkezésére bcsátja, aki az abban fglaltaknak megfelelően tájékztatja a kérelmezőt. A tájékztatás megadásában a belső adatvédelmi felelős megkeresésére a tájékztatás tárgya szerinti szakterület köteles együttműködni, A tájékztatást a benyújtástól számíttt legrövidebb idő alatt, legfeljebb aznban 30 napn belül írásban, közérthető frmában kell megadni, A tájékztatás csak az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvény 9 (1) bekezdésében és 19. -ban fglaltak esetén tagadható meg. Verzió: 2. Titkssági szint: ABB Oldalszám: <10/32> Adatvédelmi Szabályzat_V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: 2013

11 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Elutasítás esetén a belső adatvédelmi felelős írásban tájékztatja az érintettet a felvilágsítás megtagadásának indkáról, annak jgalapjáról, a jgrvslati, valamint a Nemzeti Adatvédelmi és Infrmációszabadság Hatósághz (tvábbiakban: Hatóság) frdulás lehetőségéről. A belső adatvédelmi felelős a tárgyévet követő év január 31-ig értesíti a Hatóságt az elutasíttt kérelmekről, A személyes adat helyesbítését, illetve törlését a helyesbítés, törlés tárgya szerinti szakterület végzi el személyes észlelés alapján, kérelemre vagy a belső adatvédelmi felelős felhívására, A személyes adatt törölni kell, ha a kezelés jgellenes; az érintett a törlését (amennyiben törvény másként nem rendelkezik vagy megengedi) kéri; az hiánys vagy téves - és ez az állapt jgszerűen nem rvslható, feltéve, hgy a törlést törvény nem zárja ki; az adatkezelés célja megszűnt, vagy az adatk tárlásának határideje lejárt, vagy a célhzkötöttség elve alapján nem alkalmas a cél megvalósítására; bíróság vagy a Hatóság elrendeli. Az érintett tiltakzhat személyes adatának kezelése ellen. Az adatkezelő a tiltakzást a kérelem benyújtásától számíttt legrövidebb időn belül, de legfeljebb 15 napn belül megvizsgálja, döntést hz, melyről írásban értesíti az érintettet, Az érintett tiltakzásáról a belső adatvédelmi felelős az Infrmációvédelmi Osztály (tvábbiakban: IVÓ) bevnásával értesíti a Jgi és Ellenőrzési Igazgatóság Jgi Osztályát és a tárgyra vnatkzó jgi véleményt kér. A Jgi Osztály állásfglalását a teljesítésre nyitva álló határidő figyelembevételével, de legkésőbb 2 munkanapn belül a belső adatvédelmi felelős rendelkezésére bcsátja, aki az abban fglaltakat az eljárás tvábbi szakaszában kötelező erővel veszi figyelembe. Abban az esetben, ha a Társaság belső adatvédelmi felelőse - a fenti eljárás srán - az érintett tiltakzásának helyt ad, az SzZrt. (az érintett szakterület) a tvábbi adatkezelést (tvábbi adatfelvétel, valamint beleértve az adattvábbítást) megszünteti, az adatkat zárlja, a tiltakzásról és annak alapján tett intézkedésekről írásban értesíti az érintettet, tvábbá mindazkat, akik kötelesek intézkedni a tiltakzási jg érvényesítése érdekében, A SzZrt., mint adatkezelő zárlja az érintett személyes adatait abban az esetben, ha az érintett azt kéri, vagy a törlés sértené az érintett jgs érdekeit. A zárlást követően az adatk csak a cél fennállásának idejéig kezelhetőek. Az adatk megjelölésére abban az esetben kerülhet sr, ha az érintett az adatainak helyességét vagy pntsságát vitatja, de a vitattt adatk pntssága, vagy helyessége nem állapítható meg egyértelműen. Az adatk zárlásának, vagy megjelölésének tényéről az adatkezelő írásban értesíti az érintettet. A belső adatvédelmi felelős - a fenti eljárásban - az érintett tájékztatási kérelmét 30 napn belül, a tiltakzást a legrövidebb időn belül, de legfeljebb 15 napn belül vizsgálja ki. Verzió: 2. Titkssági szint: A1313 Oldalszám: < 1 1/32> l_adatvédelmi_szabályzat_v_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: 2013., í/íc.lcu3r<j-(

12 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról A vizsgálat eredményéről értesíti az érintettet és azt a szervezeti egységet, amelynél az érintett a bejelentést, tiltakzást megtette és felhívja a szervezeti egység vezetőjét a vizsgálatban fglaltak végrehajtására Az adatvédelemmel összefüggő feladat- és felelősségi körök A Társaság Vezérigazgatójának adatvédelemmel kapcslats jgai és kötelezettségei Kinevezi, illetve megbízza a belső adatvédelmi felelőst, akit évente beszámltat az általa tett intézkedésekről, Az irányítása alatt lévő személyektől, szervezeti egységektől megköveteli az adatvédelem, adatbiztnság szabályainak betartását és betartatását A Társaság igazgatóinak jgai és kötelezettségei Az igazgatók felelősek az irányításuk alatt álló szervezeti egységek adatkezeléséért, az adatszlgáltatásért, az adatfeldlgzás felé történő adatszlgáltatásért. Az igazgató, mint a szervezeti egység szakmai vezetője tevékenysége srán gndskdik a jgszabálykban, elsősrban az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvényben meghatárztt feladatk, kötelezettségek ellátásáról az általa kezelt adatk vnatkzásában A belső adatvédelmi felelős jgai és kötelezettségei A Társaság Szervezeti és Működési Szabályzata szerint a belső adatvédelmi felelőst határzatlan időtartamra a Társaság vezérigazgatója nevezi ki. Feladatait a vezérigazgató közvetlen irányítása alatt és felügyelete mellett látja el. A vezérigazgató által megbíztt belső adatvédelmi felelős a Biztnsági Igazgatóság igazgatóhelyettese. A belső adatvédelmi felelős: q Közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghzatalában, valamint az érintettek jgainak biztsításában, Kivizsgálja a hzzá érkezett bejelentéseket, és jgsulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldlgzót, Gndskdik a bekövetkezett szervezeti és technikai váltzásknak megfelelően az Avsz. naprakészen tartásáról, elvégezteti annak felülvizsgálatát, Közreműködik a tervezett új számítástechnikai rendszerek kialakításában, és a meglévő rendszerek krszerűsítésében, különös tekintettel az adatvédelmi előíráskra, Véleményezteti az adatkezelést érintő utasításkat és egyéb belső irányító eszközöket. Verzió: 2. Titkssági szint: ABB Oldalszáin: <12/32> l_adatvédelmi_szabályzat_v_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: 20I3..^.6 í! p i

13 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Ellenőrzi az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvényben meghatárzttak és az adatkezelésre vnatkzó más jgszabályk, belső utasításk, valamint az Avsz. rendelkezései és az adatbiztnsági követelmények megtartását, Az adatvédelmi előírásk betartását flyamatsan ellenőrizteti az érintett szervezeti egységeknél, illetve a számítástechnikai és infrmatikai rendszerek működése srán, Az ellenőrzés srán betekintési jgsultsága van minden munkaflyamatba, dkumentumba, mely az adatvédelemmel és adatbiztnsággal kapcslatban áll. Igényelhet minden adatvédelemhez és adatbiztnsághz kapcslódó infrmációt, Az ellenőrzés eredményeiről, illetve a Társaság adatvédelmi helyzetéről, a szükségesnek ítélt intézkedésekről a Társaság vezérigazgatója részére évente jelentést készít. Intézkedési kötelezettsége van minden lyan esetben, amikr felmerül az adatvédelmi előírásk megszegése, illetve a rendszerbe épített védelmi eljárásk működési hibája. Működési hiba esetén intézkedik a rendszer felülvizsgálata érdekében, emberi mulasztás esetén kezdeményezi a helyzet feltárását és értékelését, Vezeti a Társaság belső adatvédelmi, valamint adattvábbítási nyilvántartását, Az elutasíttt (közérdekű adat megismerésére vnatkzó) kérelmekről, valamint az elutasítás indkairól nyilvántartást vezet, az abban fglaltakról minden év január 31-ig tájékztatja a Hatóságt, Szervezi, felügyeli és irányítja az adatvédelmi ismeretek flyamats ktatását, gndskdik az Avsz-ben fglaltaknak a Társaság munkavállalóival való megismertetéséről. Részt vesz a Hatóság elnöke által összehívtt belső adatvédelmi felelősök knferenciáján Az Infrmációvédelmi Osztály (IVÓ) feladatai, jgai és kötelezettségei A Társaság szervezetei és munkavállalói vnatkzásában rszágs hatáskörrel tervezi, szervezi, szakmailag irányítja, krdinálja és ellenőrzi az adatvédelmi és adatbiztnsági tevékenységet és a jgi szakterület közreműködésével annak jgszabálykkal való összhangját, Elkészíti és aktualizálja a Társaság egészére vnatkzó adatvédelmi irányelveket és rendszabálykat. Szakmai segítséget nyújt a belső adatvédelmi felelős munkájáhz. Ennek keretében részt vesz a Társaság adatkezeléssel összefüggő döntéseinek előkészítésében és meghzatalában, valamint az érintettek jgainak biztsításában, A belső adatvédelmi felelős irányítása mellett elkészíti és aktualizálja az Avsz-t. Ellenőrzi az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló évi CXII. törvény és az adatkezelésre vnatkzó más jgszabályk, valamint az Avsz. rendelkezéseinek megtartását, Kivizsgálja a Társasághz érkezett adatvédelemmel összefüggő bejelentéseket, jgsulatlan adatkezelés észlelése esetén annak megszüntetésére javaslatt tesz. Vezeti a Társaság adatvédelmi nyilvántartását és tárlja a betekintéssel kapcslats j egyzőkö ny veket. Verzió: 2. Titkssági szint: ABB Oldalszám: <13/32> Adalvédelmi_Szabályzat_ V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: f.l b ^ u.d -.Y. J I -

14 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Rendszeres, valamint szükség szerinti eseti adatvédelmi ktatást szervez és tart. Véleményezi az adatvédelmi tárgyú utasítás tervezeteket, állásfglaláskat készít a hivatals megkeresésekre, Ellátja a közérdekű adatigénylés teljesítési rendjére vnatkzóan a jelen Szabályzatban meghatárztt feladatkat, Éves ellenőrzési terv alapján belső adatvédelmi auditkat szervez és flytat le. Flyamats és eseti vizsgálatkkal végzi a Társaság ügyviteli flyamatainak adatvédelmi és adatbiztnsági szempntú sérülékenységi ellenőrzését, a feltárt hiánysságk megszűntetése érdekében javaslatkat tesz, ajánláskat fgalmaz meg. Elvégzi a Társaságnál újnnan bevezetendő, ügyviteli tevékenységhez és flyamatkhz kapcslódó rendszerek adatvédelmet és adatbiztnságt is érintő (kckázati, sérülékenységi) vizsgálatát, ezzel kapcslats észrevételeit ajánlás frmájában rögzíti. Aktualizálja, felülvizsgálja és szükség szerint jóváhagyásra előkészíti a Társaság infrmatív hnlapján, valamint a maradjn játék felületen elhelyezett Adatvédelmi és adatbiztnsági nyilatkzatt. A nyilatkzatt a belső adatvédelmi felelős hagyja jóvá A Társaság által kezelt adatk Hatósági nyilvántartásba vétele Az SzZrt. bármely szervezeti egysége a Nemzeti Adatvédelmi és Infrmációszabadság Hatóság (tvábbiakban Hatóság) által vezetett adatkezelési nyilvántartásba történő bejelentés iránti igényét a Társaság belső adatvédelmi felelőséhez köteles eljuttatni. A belső adatvédelmi felelős az IVÓ bevnásával a nyilvántartásba vételt megelőzően a kérelemről feljegyzésben tájékztatja a Jgi és Ellenőrzési Igazgatóság vezetőjét és a nyilvántartásba vételhez jgi véleményt kér. A Jgi és Ellenőrzési Igazgatóság Jgi Osztálya álláspntját írásban haladéktalanul a belső adatvédelmi felelős és a nyilvántartásba vételi kérelmet benyújtó szakterületrészére bcsátja. A belső adatvédelmi felelős az eljárás tvábbi szakaszában a Jgi Osztály által készített feljegyzésben fglaltak szerint jár el. Az adatkezelés tényét minden esetben a Társaság belső adatvédelmi felelőse jelenti be nyilvántartásba vétel céljából a Hatóságnak, amely 8 napn belül nyilvántartásba veszi, ha nem megkezdhető az adatkezelés. A be nem jelentett adatkezelés nem kezdhető meg. A bejelentésnek tartalmaznia kell: az adatkezelés célját; az adatk fajtáját és kezelésük jgalapját; az érintettekre vnatkzó adatk leírását; az érintettek körét; az adatk frrását; az adatk kezelésének időtartamát; a tvábbíttt adatk fajtáját, címzettjét és a tvábbítás jgalapját; az egyes adatfajták törlési határidejét; Verzió: 2. Titkssági szint: ABB Oldalszám: <14/32> Fiié: l_adatvédelmi_szabályzat_v_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: ^.t?/7.C.d?r. )-(

15 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról az adatkezelő, valamint az adatfeldlgzó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldlgzás helyét és az adatfeldlgzónak az adatkezeléssel összefüggő tevékenységét; az alkalmaztt adatfeldlgzási technlógia jellegét; a belső adatvédelmi felelős nevét és elérhetőségi adatait. A bejelentéseket a fentielmek megfelelő tartalmmal a belső adatvédelmi felelős készítteti elő az érintett szakterülettel az IVÓ bevnásával, A SzZrt.-nek, mint adatkezelőnek az első nyilvántartásba vételkr kaptt nyilvántartási számt az adatk minden tvábbításánál, nyilvánsságra hzásánál és az érintettnek való kiadásakr fel kell tüntetnie, A fent felsrlt adatk megváltzását a SzZrt. belső adatvédelmi felelőse az érintett szakterület jelzése alapján, a Jgi és Ellenőrzési Igazgatóság Jgi Osztályának tájékztatása mellett 8 napn belül köteles bejelenteni a Hatóság részére, és intézkedni a belső nyilvántartás megfelelő módsításáról. Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely az adatkezelővel munkavisznyban, tagsági, tanulói, ügyfélkapcslati visznyban álló személyek adatait tartalmazza - azaz a SzZrt. munkavállalóiról vezetett személyügyimunkaügyi nyilvántartáskat, a játékskról vezetett nyilvántartást, pl. nyertesek Adatbiztnsági intézkedések A Szabályzattal érintett adatk / dkumentumk / iratk / adathrdzók típusainak adatsztályba srlását el kell végezni. Az sztályba srlás az Infrmációvédelmi Osztály feladata, melynek végrehajtása érdekében az érintett adatk leírását részére meg kell küldeni. A kézhezvételtől számíttt hárm munkanapn belül az IVÓ a megfelelő adatsztályba srlást elvégzi, és meghatárzza a szükséges védelmi intézkedéseket. A munkaközi adatk / dkumentumk / iratk / adathrdzók típusait nem kell sztályba srlni Az Adatvédelmi és Adatbiztnsági Szabályzat ktatása Az Avsz-al kapcslats ktatási feladatkat a belső adatvédelmi felelős irányításával az Infrmációvédelmi Osztály adatvédelmi munkavállalói szervezik, készítik elő és bnylítják le. Az ktatás - felhasználva a vállalat intranetes felületét, tvábbá figyelembe véve a papírfelhasználás minimalizálására tett intézkedéseket - a vállalati intranet és cím hzzáféréssel rendelkező munkatársak számára úgynevezett interaktív frmában, E-learning ktatás keretében történik. Az Avsz. elektrnikus megismerését biztsító ktatásban részesült munkavállalók a jelen Szabályzat 1. számú mellékleteként kiadtt Nyilatkzat aláírásával igazlják, hgy a vnatkzó szabálykat megismerték és azkat munkájuk srán betartják és alkalmazzák. A nyilatkzatk - amelyek a személyi anyag részét képezik - kezelését és tárlását a Személyzeti Osztály végzi. Verzió: 2. Titkssági szint: ABB Oldalszám: <15/32> l_adatvédelmi_szabályzat_v_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: jlf jr u á r - U I.

16 197/201 l.sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Az ktatást legalább évente, de az adatvédelmet és az adatbiztnságt érintő lényeges (pl. jgszabályi) váltzásk esetén közvetlenül a módsítást követő 2 hónapn belül el kell végezni. Az egyéb, vállalati intranet és levelezőrendszer hzzáféréssel nem rendelkező, valamint nem főállású munkaválallókat, tvábbá a szerződéses jgviszny alapján fglalkztattt dlgzókat a feladatuknak megfelelő mértékben kell adatvédelmi és adatbiztnsági tájékztatásban részesíteni, ennek megtörténtét írásbeli nyilatkzattal kell elismertetni. A tájékztatás megtörténhet a jelen Szabályzat teljes szövegének vagy az 1VO által készített kivnatlt frmájának érintettek részére történő hzzáférés biztsításával. Eljárás új belépő munkaválallók esetében: a beléptetés srán a Személyzeti Osztály biztsítja az Avsz. kivnatlt frmáját a belépő munkavállaló részére. Az újnnan belépő munkavállalót a hzzáférést és megismerést követően, de legkésőbb a munkába állást követő 1 hónapn belül a munkáltatói jgkat gyakrló közvetlen szakmai vezető köteles az Avsz. 1. számú melléklete szerint nyilatkztatni A közérdekű adatk nyilvánsságára vnatkzó előírásk, valamint a közérdekű adatigénylés teljesítésére vnatkzó eljárásrend A SzZrt., mint 100%-ban állami tulajdnú gazdasági társaság a feladatkörébe tartzó ügyekben, valamint a közpénzek felhasználására és az erre kötött szerződésekre vnatkzóan köteles elősegíteni és biztsítani a közvélemény pnts és gyrs tájékztatását Elektrnikus közzététel A SzZrt. rendszeresen - elektrnikusan a Társaság saját internetes hnlapján ( digitális frmában, bárki számára, személyaznsítás nélkül, krlátzástól mentesen, kinymtatható és részleteiben is adatvesztés és adattrzulás nélkül kimáslható módn, a betekintés, a letöltés, a nymtatás, a kimáslás és a hálózati adatátvitel szempntjából is díjmentesen - közzéteszi, Az SzZrt. a közzétételre szlgáló hnlapt úgy alakíttta ki, hgy az adatk közzétételére alkalmas, gndskdik a flyamats üzemeltetésről, az esetleges üzemzavar elhárításáról és az adatk frissítéséről, Az SzZrt. a közzétételre szlgáló hnlapn közérthető frmában tájékztatást ad a közérdekű adatk egyedi igénylésének szabályairól. A tájékztatás tartalmazza az igénybe vehető jgrvslati lehetőségek ismertetését is. Az SzZrt. hzzáférhetővé teszi a tevékenységével kapcslats legfntsabb - így különösen a szervezeti felépítésére, személyzeti adataira, szakmai tevékenységére, annak eredményességére is kiterjedő értékelésére, működésére valamint a gazdálkdására vnatkzó - adatkat. Az elektrnikus közzétételre vnatkzó részletes eljárásrendet a 114/2011. számú vezérigazgatói utasítással kiadtt, a köztulajdnban álló gazdasági társaságk takaréksabb működésével összefüggő, szerződésekre vnatkzó közzétételi kötelezettség szabályairól szóló Szabályzat tartalmazza. Verzió: 2. Titkssági szint: ABB Oldalszám: <16/32> Adatvédelmi Szabályzat_V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: (/kjCLíÁ.r.M -

17 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról A közérdekű adat megismerésére vnatkzó igény teljesítése A Szerencsejáték Zrt-nek lehetővé kell tennie, hgy a kezelésében lévő közérdekű adatt bárki megismerhesse, kivéve, ha az adatt a minősített adat védelméről szóló évi CLV. törvény szerint az arra jgsult minősítette. A közérdekű adatk nyilvánsságáhz való jgt törvény krlátzhatja. Ha törvény másként nem rendelkezik, közérdekből nyilváns adat a SzZrt., mint közfeladatt ellátó szerv feladat- és hatáskörében eljáró személy neve, feladatköre, munkaköre, vezetői megbízása, a közfeladat ellátásával összefüggő egyéb személyes adata valamint azk a személyes adatai, amelyek megismerhetőségét törvény előírja. Ezen adatk megismerésére a közérdekű adatk megismerésére vnatkzó rendelkezéseket kell alkalmazni. A döntés megalapzását szlgáló adat megismerésére irányuló igény a döntés meghzatalát követően akkr utasítható el, ha az adat megismerése a közfeladatt ellátó szerv törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen külső beflyástól mentes ellátását, így különösen az adatt keletkeztető álláspntjának a döntések előkészítése srán történő szabad kifejtését veszélyeztetné. Az üzleti titk megismerésére a Plgári Törvénykönyvben fglaltak az irányadóak, valamint a kapcslódó eljárásrendet és a részletes szabálykat az 56/2011. számú vezérigazgatói utasítás, a SzZrt. Üzleti Titkvédelmi Szabályzata tartalmazza. A közérdekű adat megismerésére irányuló írásbeli vagy szóbeli kérelmet a megkeresett - a kérelmet fgadó vagy megismerő - szakterület vagy szervezeti egység vezetője a kérelem tudmására jutását, beérkezését vagy megismerését követően haladéktalanul, de legkésőbb a következő munkanapn köteles tvábbítani az IVÓ vezetője részére. Az IVÓ a közérdekű adat megismerésére vnatkzóan érkezett igényről feljegyzésben - melyhez mellékelni kell a beérkezett kérelem egy példányát - haladéktalanul, de legkésőbb a következő munkanapn tájékztatja a Jgi és Ellenőrzési Igazgatóság Jgi Osztályát, valamint az igényelt adattal érintett, az adatt kezelő szervezeti egység vezetőjét (a kért adatk rendelkezésre állásának, valamint azk mennyiségének megállapítása céljából). Az IVÓ indklt esetben az adatkiadás lebnylításáhz - az adatkérőnek történő adatk átadásáhz - jgtanácssi jelenlétet igényelhet. Az erre vnatkzó igényt a Jgi és Ellenőrzési Igazgatóság vezetőjének címzett Feljegyzéshez csatlni kell. A feljegyzésnek ezen kívül tartalmaznia kell a kérelemben érintett iratk, adatk (táblázatba) fglalt felsrlását, valamint az IVÓ teljesíthetőségre vnatkzó szakmai álláspntját. Verzió: 2. Titkssági szint: ABB Oldalszám: <17/32> Adatvédelmi Szabályzat V 2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: d l

18 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról Az IVÓ a fent nevezett Feljegyzés elkészítése érdekében feladatkörében eljárva, úgynevezett Teljesíthetőségi vizsgálat keretében vizsgálja a beérkezett kérelmet, mely kiteljed annak tartalmára, jgszerű teljesíthetőségére, valamint a tárgyban érintett adatk közérdekű minősítésének megállapítására. Az IVÓ a vizsgálat leflytatásába szükség szerint kezdeményezheti más szakterületek, különösen a belső adatvédelmi felelős knzultációs célú bevnását, A Jgi Osztály, a részére megküldött Feljegyzés vnatkzásában kialakíttt szakmai álláspntjáról haladéktalanul (legkésőbb 2 munkanapn belül) írásban értesíti az IVÓ vezetőjét. Az IVÓ az eljárás tvábbi szakaszára vnatkzóan a Jgi Osztály véleményét köteles figyelembe venni. Az IVÓ a Teljesíthetőségi vizsgálat - Jgi Osztály által véleményezett és elbírált - eredményét az érintett, az adatt kezelő szervezeti egység/szakterület vezetőjének rendelkezésére bcsátja, Az adatt kezelő szervezeti egység részére megküldött tájékztatásnak a fentieken túl tartalmaznia kell a teljesítéshez kapcslódó tvábbi részletes teendőket. Az IVÓ tvábbá felhívja az érintett szakterület vezetőjét/képviselőjét a tárgyban jelölt iratanyag IVÓ általi előminősítésre való előkészítésére és annak IVÓ részére történő átadására (az adatigénylés tárgyát képező iratk, dkumentumk - függetlenül azk megjelenési és tárlási módjától - IVÓ részére történő megismerhetővé tételének biztsítására). A közérdekű, vagy közérdekből nyilváns adatigénylés srán különösen tekintettel lenni az alábbiakra: A beérkezett kérelemnek a lehető legrövidebb idő alatt, de legfeljebb 15 napn belül kell eleget tenni. Amennyiben az adatigénylés jelentős terjedelmű vagy nagyszámú adatt érint és/vagy a teljesítés érdekében a kért adatk adatkezelő általi feldlgzása szükséges, úgy a 15 naps válaszadási határidő - a tájékztatást kérő 8 napn belüli írásbeli értesítése mellett -, egy alkalmmal tvábbi 15 nappal hsszabbítható meg. Nem egyértelmű, vagy más tartalmi k miatt hiánys (pl. a tájékztatás frmája nem tisztáztt, az adatkat nem a SzZrt. kezeli stb.) adatigény, vagy a fentiek szerinti nagyszámú adatra vnatkzó és a teljesítési határidőt érintő esetben az IVÓ - az általa elvégzett, a Jgi Osztály által megismert és jóváhagytt vizsgálata alapján - felhívja az igénylőt az igény pntsítására. Az adatigénylésnek közérthető frmában és - amennyiben az, az adatkezelő részére aránytalan költséggel nem jár - az igénylő által kívánt technikai eszközzel, illetve módn kell eleget tenni. Abban az esetben, ha a SzZrt. a kért adatk tekintetében elektrnikus útn krábban már eleget tett közzétételi kötelezettségének, úgy az igény teljesíthető az adatt tartalmazó nyilváns frrás (pl. a saját hnlap knkrét hivatkzásával) megjelölésével is. Az adatkat tartalmazó dkumentumról vagy dkumentumrészről, annak tárlási módjától függetlenül a kérelmező máslatt kaphat. Verzió: 2. Titkssági szint: ABB Oldalszám: <18/32> Fi le: l Adatvédelmi Szabályzat V 2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: 2013.j.tb.f.U ú.r. JL(

19 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról A közérdekű adat közléséért a SzZrt. - legfeljebb a közléssel kapcslatban felmerült költség mértékéig (pl. máslással összefüggő költségek) - költségtérítést állapíthat meg, melynek megfizetését az igénylőre háríthatja. A kérelmezővel a költség összegét előre közölni kell, abban az esetben is, ha erre vnatkzóan nem kért előzetes tájékztatást. A SzZrt., mint adatközlő részéről az adatközléssel kapcslatsan felmerült, a kérelmezőre terhelhető költségek számítási alapjául szlgáló adatkat jelen Szabályzat 2. számú melléklete tartalmazza, Jelentős terjedelmű és mennyiségű iratanyag máslása esetén a közérdekű adatra vnatkzó igényt a költségek megfizetését követő 15 napn belül kell teljesíteni, Az igénylő erre, valamint a teljesítés határidejére - különös tekintettel annak 15 napn túli hsszabbítására - vnatkzó tájékztatásának - valamint a várható nagy mennyiségű iratanyagról, tvábbá a felmerülő költségekről - az igény beérkezését/megismerését követő 8 napn belül az IVÓ (lehetőség szerint) írásban tesz eleget. (Amennyiben az igénylő közölte, úgy elektrnikus levélcímén, vagy szóban az általa megadtt telefnszámn. Telefnn történt tájékztatást követően az igénylő részére a választ írásban is szükséges megküldeni), Az adatigénylést nem lehet elutasítani arra való hivatkzással, hgy annak közérthető frmában nem lehet eleget tenni. Az IVÓ a részére átadtt, kiadásra megjelölt iratanyag vnatkzásában vizsgálat frmájában elkészíti annak előzetes adatvédelmi ellenőrzését, az adatk felülvizsgálatát és előminősítését. A vizsgálatnak, ki kell terjednie a közérdekű adatt tartalmazó dkumentum azn részeire is, melyek az igénylő, vagy tvábbi személyek által nem megismerhetőek (pl. személyes adat, minősített adat, vagy az esetleges üzleti titkt képező adatkra (csatlt tervdkumentáció stb.). Az ellenőrzés eredményéről, annak megállapításairól, az esetleges javaslatkról az IVÓ feljegyzés frmájában tájékztatja a belső adatvédelmi felelőst. Az IVÓ javaslatára a belső adatvédelmi felelős legkésőbb a 15 naps határidő lejártát megelőzően 3 munkanappal írásban felhívja az adatt kezelő szervezeti egység/szakterület vezetőjének figyelmét - az adatk knkrét megjelölésével-, hgy a másk számára meg nem ismerhető adatkat az előkészített iratanyagn (a máslatn) felismerhetetlenné kell tenni. Az adatk igénylő részére történő tvábbítására, átadására, igénylő általi betekintésére csak a szükséges, a jelölt adatk felismerhetetlenné tételét követően kerülhet sr. Az adattal érintett szervezeti egység (Igazgatóság) belső adatvédelmi felelős általi tájékztatása mellett az IVÓ írásban értesíti az igény elbírálásáról a Vezérigazgatónak közvetlenül alárendelt egyéb szervezeti egység, valamint a Marketing és Kmmunikációs Igazgatóság vezetőjét, tvábbá a Jgi Osztályt. Az érintett szervezeti egység (teljesíthetőség esetén) haladéktalanul megkezdi a belső adatvédelmi felelős által küldött Feljegyzésben fglaltak szerint az adatknak a kért frmában történő összeállítását. Verzió: 2. Titkssági szint: ABB Oldalszám: <19/32> l_adatvédelmi_szabályzat_v_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: 2013

20 197/2011. sz. a Szerencsejáték Zrt. Adatvédelmi, adatbiztnsági, valamint a közérdekű adatigénylés teljesítési rendjére vnatkzó Szabályzatáról A másk számára nem megismerhető adatk felismerhetetlenné tétele, a válasz elkészítése, valamint a kért adatk igénylő részére való megküldése, átadása, vagy a betekintés megszervezése és lebnylítása a kiadásra megjelölt adatkat kezelő szervezeti egység feladat és hatáskörébe tartzik. A személyes betekintésen vagy átadásn az IVÓ egy munkatársa az adatvédelmi irányelvek érvényre juttatásának érdekében vesz részt. Elektrnikus adatátadás esetén az elkészült válaszról az érintett szervezeti egység vezetője vagy munkatársa tájékztatja az IVÓ vezetőjét vagy kijelölt munkatársát, tvábbá rendelkezésre bcsátja a statisztikai céllal készült nyilvántartáshz szükséges adatkat. Az IVÓ a közérdekű adatigénylésekről statisztikai céllal kimutatást vezet, mely tartalmazza az adatigénylések számát témakör szerint megjelölve, valamint a teljesített adatszlgáltatásk frmáját, a teljesítés időpntját, az igénylők által (esetlegesen) megtérített, adatkéréshez kapcslódó költségeket, tvábbá az esetlegesen elutasíttt kérelmekre vnatkzó adatkat. Az IVÓ a nyilvántartásában kezelt adatkról negyedévente beszámlót készít a belső adatvédelmi felelős részére, Ha törvény eltérően nem rendelkezik, az igénylés alapján történő adatszlgáltatás esetén az adatigénylő személyaznsító adatai csak annyiban kezelhetők, amennyiben az az igény teljesítéséhez - beleértve az esetleges költségek megfizetését is - elengedhetetlenül szükséges, Az igény teljesítésének megtagadásáról, annak indkaival, valamint a jgrvslati lehetőségekről 8 napn belül írásban - amennyiben az igényben elektrnikus levelezési címét közölte elektrnikus útn - értesíteni kell az igénylőt, valamint a Hatóság részére történő (éves) adatszlgáltatás érdekében a belső adatvédelmi felelőst. Az igénylő erre vnatkzó tájékztatását, melyhez csatlni kell a Jgi és Ellenőrzési Igazgatóság Jgi Osztályának a fenti tényekre is kiterjedő szakmai állásfglalását, az IVÓ végzi. A közérdekű adat megismerése iránti igény teljesítése nem tagadható meg azért, mert a nem magyar anyanyelvű igénylő az igényét anyanyelvén vagy az általa értett más nyelven fgalmazza meg. A belső adatvédelmi felelős évente értesíti a Hatóságt az elutasíttt kérelmekről, valamint az elutasításk indkairól, Ha a közérdekű adatra vnatkzó kérés nem kerül teljesítésre (igény elutasítása vagy a határidő eredménytelenül telik el), a kérelmező a bírósághz frdulhat. A megtagadás jgszerűségét és megalapzttságát a SzZrt. köteles biznyítani. A jelen Szabályzatban nem részletezett eljárásrenddel, tvábbá vitás vagy nem egyértelmű esetben a belső adatvédelmi felelős vagy a Jgi és Ellenőrzési Igazgatóság vezetőjének tárgyban készített állásfglalását kell kérni Helyettesítési rend A közérdekű adatigénylések teljesítése srán az IVÓ munkatársainak akadályztatása esetén az adatkiadás flyamatának krdinálását, a beérkezett kérelmek vizsgálatát, a kiadásra előkészített adatk Szabályzat szerinti előminősítését, valamint a teljesítési rendben az IVÓ hatáskörébe utalt feladatk ellátását a belső adatvédelmi felelős jgsult elvégezni. Verzió: 2. Titkssági szint: ABB Oldalszám: <20/32> Adatvédelmi Szabályzat_V_2 Készítette: Biztnsági Igazgatóság A kiadás dátuma: 20)3..jí-clC/.i'A^}X.Ah