A MAGYAR FÖLDGÁZKERESKEDŐ ZRT. ADATVÉDELMI SZABÁLYZATA

Átírás

1 A MAGYAR FÖLDGÁZKERESKEDŐ ZRT. ADATVÉDELMI SZABÁLYZATA Tartalom 1. Cél A szabályzat hatálya Időbeli hatálya Személyi hatály Tárgyi hatály Meghatározások Szabályzat tartalma Felelősök, felelősségi körök Adatvédelmi Felelős Adatgazda Az adatok besorolása Általános szabályok Személyes adat kezelése Titoktartási kötelezettség Az adatok kezelése papíralapú adathordozó esetében Az adatok kezelése elektronikus adathordozó esetében Az adatokat tartalmazó adathordozó megsemmisítése Adatnyilvántartás Bejelentés az adatvédelmi nyilvántartásba Adattovábbítás megkeresés alapján A védett adatok kiadása Adattovábbítási nyilvántartás vezetése Hatósági megkeresések teljesítése Adatvédelmi oktatás Az Érintett tájékoztatáshoz való joga Tiltakozási, panasztételi jog Ellenőrzés Kapcsolódó folyamatutasítások Hatályon kívül helyezés... 14

2 1. Cél A Magyar Földgázkereskedő Zrt. (továbbiakban: Társaság vagy MFGK) működése során a személyes adat, a tevékenység során keletkező üzleti titkot jelentő, illetve egyéb adatok kezelésére, kiadhatóságára, és megsemmisítésére, továbbá a belső információk védelmére vonatkozó szabályok meghatározása. A Társaság által vezetett adatnyilvántartások rendjének, az adatvédelem alkotmányos elvének, az információs önrendelkezési jognak, s az adatbiztonság követelményeinek érvényesülését szükséges biztosítani. Megakadályozni a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását, valamint biztosítani az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény rendelkezéseinek való megfelelést. 2. A szabályzat hatálya 2.1. Időbeli hatálya A szabályzat a hatályba helyezés napjától a hatályon kívül helyezéséig, illetve módosításáig alkalmazandó Személyi hatály A Szabályzat személyi hatálya kiterjed: a Társaság valamennyi munkavállalójára, a Társaság informatikai rendszerével, szolgáltatásaival kapcsolatban a Társasággal szerződéses jogviszonyban álló, személyes-, bizalmas adat és üzleti titok-kezelést végző természetes és jogi személyre, jogi személyiséggel nem rendelkező szervezetekre (továbbiakban együttesen: Partnerek) a velük kötött adatkezelési megállapodásoknak megfelelő módon és mértékben Tárgyi hatály A szabályzat tárgyi hatálya kiterjed az MFGK székhelyén az informatikai erőforrások üzemelési és felhasználási helyeire a Társaság szervezeti egységei által, valamint külső szolgáltató által kezelt valamennyi személyes adatra, bizalmas és/vagy üzleti titkot jelentő adatra valamint a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül. 3. Meghatározások A szabályzatban alkalmazott rövidítések és megnevezések felsorolását a következő fejezet tartalmazza: Adatfeldolgozó Adatfeldolgozás Adatgazda Az a természetes személy, jogi személy, jogi személyiséggel nem rendelkező gazdasági társaság vagy egyéni vállalkozó, aki az adatkezelő részére adatfeldolgozást végez. Az adatkezeléshez kapcsolódó technikai feladatok elvégzése. Az a személy, aki élve a Társaság által biztosított jogosultságával, adatot minősít, illetve osztályba sorol és felelős az általa minősített adat kezeléséért.

3 Adatkezelés Adatkezelő Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összességét jeleneti, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Az adatkezelést végző természetes vagy jogi személy. Az adatkezelő meghatározza az adatkezelés célját, valamint az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. Adatvédelmi Felelős Az a személy, aki az adatkezelésre vonatkozó jogszabályok és jelen szabályzat rendelkezéseinek megtartásáért felelős. Adattörlés Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. Adatmegsemmisítés Az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése. Adattovábbítás Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. EGT-állam Az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez. Érintett Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy. Harmadik ország Hozzájárulás Információbiztonsági Felelős Különleges adat Minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek. Az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő kezeléséhez. Az MFGK Zrt. Információbiztonsági szabályzatban meghatározott feladatkört betöltő személy. Olyan adat, amely a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozik.

4 Személyes adat Tiltakozás Ügyfél Üzleti titok Különleges adat a bűnügyi személyes adat is, amely a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az Érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat. Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintett különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Az Érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. Jelen szabályzatban a Társaság üzleti partnerei (vevők, beszállítók). Üzleti titok a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli. (Ptk. 2:47 ) Védett adat A törvény erejénél fogva minősül védett adatnak, ezért az ezekkel kapcsolatos titokvédelmi szabályokat akkor is alkalmazni kell, ha az adatvédelmi minősítés nincs az adathordozón megjelölve, vagy a védett adat birtokába kerülő személy figyelmét az adatvédelmi szabályok alkalmazásának kötelezettségére az adat átadásakor külön nem hívták fel. A védett adat kiadhatósága kérdésében az Adatvédelmi Felelős szakvéleménye az irányadó. Védett adat különösen a személyes adat, különleges adat és az üzleti titok (Ptk. 2:47 ) 4. Szabályzat tartalma 4.1. Felelősök, felelősségi körök A szabályzatot évente felül kell vizsgálni, a felülvizsgálat az Adatvédelmi Felelős, mint folyamatgazda feladata.

5 A Társaság az adatvédelmi feladatokkal kapcsolatban az alábbi felelősségi köröket különbözteti meg: Adatvédelmi Felelős Az Adatvédelmi Felelős folyamatosan ellenőrzi az adatkezelésre vonatkozó jogszabályok és jelen szabályzat rendelkezéseinek megtartását. Amennyiben a tevékenysége során jogszabálysértést, vagy jogosulatlan adatkezelést észlel, annak megszüntetésére szólítja fel az adatkezelőt, adatfeldolgozót, vagy az adattal kapcsolatba került egyéb személyt. Amennyiben adatkezeléssel kapcsolatos panasz érkezik, a panaszt haladéktalanul továbbítani kell az Adatvédelmi Felelősnek. Az Adatvédelmi Felelős a panasszal kapcsolatban a jelen szabályzat 5.7. Tiltakozási, panasztételi jog című pontjában foglaltak szerint jár el. Amennyiben nem egyértelmű, hogy egy adat tekintetében a jelen szabályzat mely rendelkezéseit kell alkalmazni, e kérdésben az Adatvédelmi Felelős állásfoglalása az irányadó Adatgazda Az Adatgazdák a területükön keletkező, illetve a hozzájuk tartozó alkalmazásokban található, illetve létrejövő adatokat besorolják, nyilvántartják. Az Adatgazdák az adatok besorolásáért, nyilvántartásáért, megőrzéséért, kezelésért és a jelen szabályzat betartásáért felelősek. Az Adatvédelmi Felelős ellenőrizheti, az adatok megfelelő besorolását, illetve a besorolásnak megfelelő kezelést. Az Adatgazdák harminc napon belül kötelesek bejelenteni ban a Társaság Adatvédelmi Felelősének a jelen szabályzat hatálybalépésének időpontjában meglévő adatkezeléseket (ideértve az adattovábbításokat is), továbbá azok megváltozása esetén nyolc napon belül a változásokat. A bejelentett adatkezeléseket követő új adatkezeléseket az adatkezelés tervezett bevezetése előtt legalább negyvenöt nappal (ügyfél adatkezelés esetén), illetve legalább tizennégy nappal (nem-ügyfél adatkezelés esetén) kell bejelenteni az Adatvédelmi Felelősnek, illetve az engedély megadását követően a már bejelentett adatok megváltozása esetén három napon belül a változást Az adatok besorolása A Társaság információrendszerében feldolgozott, továbbított, tárolt adatok kockázatarányos védelmének biztosítása érdekében az adatokat be kell sorolni információvédelmi osztályokba. Az információ-osztályozási rendszert kell használni a védettségi szintek meghatározására, valamint arra, hogy közvetítse a különleges kezelési intézkedésekre vonatkozó igényt. Az osztályozási rendszernek figyelembe kell vennie: az információ osztályba sorolt vagyontárgyak sértetlenségének, rendelkezésre állásának és bizalmasságának az üzletmenetre gyakorolt hatását; a sértetlenség, rendelkezésre állás és bizalmasság elvesztéséből eredő vagyoni és nem vagyoni kár nagyságát; tárolás esetén az adathordozó típusát; a teljes körűség elvét, vagyis az osztályozásnak ki kell terjednie a rendszer összes eleme által kezelt információra; a besorolásnál fellépő (esetleges) logikai ütközéseket.

6 Minden besorolási osztálynak tartalmaznia kell a kezelés információ feldolgozás - eljárását is, mely kiterjed a: feldolgozásra módosításra másolásra, tárolásra, továbbításra, megsemmisítésre. Az információrendszerben elektronikusan tárolt adatok esetén az adatok azon halmazát, amelyekre a tárolás számítástechnikai körülményeiből adódóan jellemzően azonos védettség valósítható meg (közös adatbázis, azonos könyvtár), ugyanabba az információvédelmi osztályba kell sorolni, mégpedig oly módon, hogy a halmaz egészére ki kell terjeszteni a halmaz legérzékenyebb elemének besorolását. Az Adatgazdák az Információbiztonsági Felelős kezdeményezésére és koordinálásával az adatok osztályozását évente legalább egyszer felülvizsgálják, és a besorolást megváltoztatják vagy jóváhagyják. Változtatásra akkor kerül sor, ha: az információkezelést és feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében lényeges változás áll be, a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben lényeges változás áll be. Az adatokat az alábbiak szerint kell besorolni a meghatározott biztonsági osztályokba: Információvédelmi biztonsági osztály Nyilvános Belső Az adott biztonsági osztályra jellemző adattípusok o Ide tartoznak a jogszabályok által nem védett adatok. A gazdálkodáshoz kapcsolódó mérlegadatok, amelyek közzétételére kötelezett a Társaság, Interneten közzétett, nyilvánosan szolgáltatott információk, tesztszolgáltatások, minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest jelentéktelen mértékű veszteséggel jár. o Ide tartoznak a jogszabályok által védett (pl. személyes) adatok. Belső előterjesztések, jegyzőkönyvek, határozatok, utasítások, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba, Definíció, vagy szabályzat szerinti belső adatok, információk, amelyek csak belső üzleti célokra használhatóak fel, Nyilvános biztonsági osztályba kerülő adatok előkészítése során előálló munkaanyagok, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba,

7 Bizalmas Szigorúan bizalmas Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest jelentéktelen mértékű veszteséggel jár. o Ide tartoznak a jogszabályok által védett (pl. személyes) adatok vagy bizalmas ügyfél adatok. A Társaság normál üzleti tevékenységével kapcsolatos szerződés- és ügyféladatok, Harmadik feleknek (szerződéses partnereknek, felügyeleti szerveknek, hatóságoknak) szolgáltatott adatszolgáltatás Definíció, vagy szabályzat szerint ide sorolt információ, A Társaság informatikai infrastruktúrájával kapcsolatos végleges, a pillanatnyi működést dokumentáló információk, Olyan adatok, amelyek nyilvánosságra kerülése hátrányosan befolyásolhatja a Társaság üzleti érdekeit, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül nem kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest közepes mértékű veszteséggel jár. o Ide tartoznak a jogszabályok által védett különleges adatok (pl. nagy tömegű személyes) vagy bizalmas, ügyfél adatok, ügyfél titkok. Azonosító és hitelesítő adatok, információk (azon információk köre, amelyek kapcsolattartás során a jogi és anyagi kötelezettség elismeréséhez szükséges formai kelléknek, azonosító és hitelesítő adatnak minősülnek), Olyan adatok, amelyek nyilvánosságra kerülése különösen hátrányosan befolyásolja a Társaság üzleti érdekeit, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül már nem kezelhető vagy jelentős és összemérhető a Társaság költségvetésével továbbá a Társaság szellemi erőforrásaihoz képest is jelentős mértékű veszteséggel és súlyos társadalom-politikai hatással jár. Minden Szigorúan bizalmas kategóriába sorolt papír alapú adatot titkosítani kell. Azon adatok, amelyek egyértelműen máshova nem kerültek besorolásra a Belső kategóriába tartoznak. A fenti besorolást kell alkalmazni az adatok mind elektronikus, mind nyomtatott formában történő megjelenése esetén.

8 4.3. Általános szabályok Személyes adat kezelése Személyes adat az Társaságban akkor kezelhető, ha ahhoz az érintett írásban hozzájárult, vagy törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben közérdeken alapuló célból elrendeli. Személyes adat akkor is kezelhető, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Ha az Érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az Érintett személyes adatai kezelhetőek. Ha a személyes adat felvételére az Érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül, valamint az Érintett hozzájárulásának visszavonását követően is kezelheti. Ha a hozzájáruláson alapuló adatkezelés célja az Adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az Érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az Érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. Az Infotv. szerint az Érintett kérésére induló eljárásban a szükséges adatoknak a kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az Érintett figyelmét fel kell hívni. Az Érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről (tájékoztatás) az Adatkezelő feladata gondoskodni. Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az Érintett személyes adatait az adatkezelő az Infotv. 6. (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

9 Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is. Ha az Érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az Érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az Érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma. Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e kritériumoknak, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről Titoktartási kötelezettség Belső, bizalmas és szigorúan bizalmas adatot időkorlátozás nélkül köteles minden az adathoz hozzáférő személy titokban tartani és biztosítani azt, hogy védett, illetve üzleti adatot törvényben, valamint a jelen Szabályzatban foglalt esetek kivételével harmadik személy ne ismerhesse meg, és az adat ne váljon hozzáférhetővé. Az adatkezelés céljának megszűnését követően az adatot - amennyiben azok megőrzését jogszabály, vagy a Társaság valamely belső szabályozó dokumentuma nem írja elő - törölni kell Az adatok kezelése papíralapú adathordozó esetében Belső, bizalmas adatot tartalmazó iratokat olyan módon kell kezelni, amely biztosítja, hogy illetéktelen azokhoz ne férhessen hozzá. Az adatokat tartalmazó iratokat elzárás nélkül őrizetlenül hagyni nem szabad. A bizalmas adatot tartalmazó irat házon kívülre történő kézbesítése csak zárt borítékban vagy olyan irattartó használatával történhet, amely alkalmas arra, hogy az iratot teljes terjedelmében takarja, és az irattartó illetéktelen kinyitása felismerhető legyen. A zárt boríték, illetve az irattartó csak a címzettnek, vagy megbízottjának (a megbízó és két tanú által aláírt megbízás bemutatása ellenében) adható át. Az Adatvédelmi Felelőst értesíteni kell, ha a borítékot, illetve az irattartót az átvételt megelőzően felnyitották.

10 Az adatok kezelése elektronikus adathordozó esetében Belső, bizalmas adatok a Társaság szervezeti rendszerén belül a feladat elvégzéséhez szükséges mértékben és ideig továbbíthatók, azon szervezeti egységek részére, amelyek az adatok kezelésében és feldolgozásában részt vesznek. Elektronikus úton, a Társaságon kívüli címzetthez belső, bizalmas adatot csak titkosított csatornán, vagy az adatok titkosítását követően szabad továbbítani, de csak abban az esetben, ha a titkosítást, vagy a titkosított csatornát az Informatikai Biztonsági Felelős megfelelőnek minősítette bit kulcshosszú, SHA256 algoritmuson alapuló rejtjelező eljárás a Társaság által elvárt minimum védelem a csak titkosítással küldhető adatok esetén. Az elvárt titkosítási eljárás felülvizsgálatát évente el kell végezni, amely a Társaság Információbiztonsági Felelősének a feladata Az adatokat tartalmazó adathordozó megsemmisítése Belső, bizalmas, vagy a Társasághoz bármilyen módon köthető adatokat tartalmazó adathordozót oly módon kell selejtezni, hogy az eljárás eredményeképpen az adathordozó adattartalma semmilyen módon ne legyen helyreállítható (fizikai megsemmisítése, bezúzás, mágneses vagy flash alapú adathordozó esetén többszörös felülírás stb.). A selejtezett és megsemmisített anyagokról jegyzőkönyvet kell felvenni. A megsemmisítés csak akkor lehetséges, ha az adat tárolására vonatkozó jogszabályok által meghatározott kötelező megőrzési idő lejárt. Az adatokat tartalmazó irat előkészítése során keletkezett olyan papírhulladékot, amelyből az adatok kinyerhetőek, a használatot követően haladéktalanul iratmegsemmisítővel kell megsemmisíteni Adatnyilvántartás Az Adatgazdáknak nyilvántartást kell vezetniük az adatkezelés megkezdése előtt a nyilvántartásra kötelezett adatokról. Nyilvántartásra kötelezett adatoknak minősülnek azok az adatok, amelyeket a mindenkori jogszabályok nyilvántartásra kötelezett adatoknak minősítenek. A nyilvántartásnak az alábbi adatokat kell tartalmaznia: az adatkezelés célját; az adatok fajtáját és kezelésük jogalapját; az Érintettek körét; az adatok forrását; a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; az egyes adatfajták törlési határidejét; az adatok kezelőjét (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, elérhetősége) Az adatkezelés megszűnése után a nyilvántartást archiválni kell. Az archivált nyilvántartás öt év elteltével megsemmisíthető.

11 Bejelentés az adatvédelmi nyilvántartásba Az Adatvédelmi Felelős a honlapról letölthető formanyomtatvány kitöltésével vagy az Infotv ában meghatározott tartalommal saját maga által kialakított űrlapon jelenti be az adatkezeléseket a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) nyilvántartásába. Nem kell bejelenteni az Infotv. 65. (3) bekezdésében felsorolt adatkezeléseket, de különösen, ha az adatkezelés: az adatkezelővel munkaviszonyban, tagsági viszonyban, álló személyek adataira vonatkozik; az Érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik; a hatósági, az ügyészségi és a bírósági eljárás által Érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira vonatkozik; a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy - törvényben meghatározottak szerint - az adatok Érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra. A személyes adatok kezelésének nyilvántartásba vételét az Adatvédelmi Felelős - a kötelező adatkezelés kivételével az adatkezelés megkezdése előtt - kérelmezi a Hatóságnál. A kötelező adatkezelés kivételével az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg. A kötelező adatkezelés nyilvántartásba vételét az adatkezelő az adatkezelést elrendelő jogszabály hatálybalépését követő húsz napon belül kérelmezi a Hatóságnál. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. A Hatóság az adatkezelést a kérelem beérkezésétől számított nyolc napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatványban elkért adatokat. Ha a Hatóság a nyilvántartásba vétel iránti kérelmet határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltak szerint megkezdheti. Ha a kérelem olyan, a szervezet ügyfelére vonatkozó adatkezelés nyilvántartásba vételére irányul, amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, illetve amely az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé, a nyilvántartásba vétel feltétele, hogy az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók legyenek. Az előző bekezdésben tárgyalt adatkezelést a Hatóság a kérelem beérkezésétől számított negyven napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatvány szerinti adatokat és az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók. Az e pont szerinti adatkezelés nem kezdhető meg a nyilvántartásba vételről szóló határozat kézhezvétele előtt.

12 A Hatóság az adatvédelmi nyilvántartásba vételi kérelemnek helyt adó határozata tartalmazza az adatkezelés nyilvántartási számát, amelyet az Adatkezelőnek az adatok minden továbbításánál, nyilvánosságra hozásánál és az Érintettnek való kiadásakor fel kell tüntetni. A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét. A bejelentett adatok megváltozása esetén az Adatkezelő a változás bekövetkezésétől számított nyolc napon belül változásbejegyzési kérelmet nyújt be a Hatóságnak. A kérelemnek csak a megváltozott adatokat kell tartalmaznia Adattovábbítás megkeresés alapján A védett adatok kiadása Személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak a szabályzat jelen fejezetében meghatározott valamely jogalap alapján lehet. EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor. EGT-államon kívüli országban lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha ahhoz az Érintett kifejezetten hozzájárult; vagy az adatkezelés jogalapja biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme. A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha az Európai Unió kötelező jogi aktusa azt megállapítja (különösen, ha a célországban lévő adatkezelő vagy adatfeldolgozó szerepel az ún. Safe Harbor listán), vagy a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban. Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén. Védett adat kiadására kivéve, ha a jogszabály másként rendelkezik - csak a Vezérigazgató jogosult. Az adatot kiadó személy az adatkiadásért felelősséggel tartozik Adattovábbítási nyilvántartás vezetése Az Érintett kérelmére az Adatkezelő tájékoztatást ad az Érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az Érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az Érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza:

13 az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. A Társaság az adattovábbításokat nyilvántartja. Az adattovábbítási nyilvántartás adatai az Infotv. 17. (3) bekezdésének figyelembevételével törölhetők Hatósági megkeresések teljesítése Hatósági, bírósági megkeresés alapján védett adatot kiadó az adatkiadásért felelősséggel tartozik. Kivételesen (különösen indokolt esetben) akkor is teljesíthető a hatósági, bírósági megkeresés, ha nem áll rendelkezésre a megkeresés eredeti példánya (például, mert a megkeresés a nyomozati cselekmények sürgőssége miatt telefaxon érkezett). Ilyen esetben a megkeresés eredeti példányát haladéktalanul be kell szerezni Adatvédelmi oktatás Az Adatvédelmi Felelős gondoskodik a szervezeten belül az adatvédelmi ismeretek évente egy alkalommal történő, kötelező oktatásáról. Az oktatáson a Társaság minden munkatársa köteles részt venni. Az oktatáson való részvételt jelenléti ívvel dokumentálni kell, amelyet az Adatvédelmi Felelős tárol. Az oktatásról készített formanyomtatvány kitöltött elektronikus példányát meg kell küldeni a Humán szervezetnek Az Érintett tájékoztatáshoz való joga Az Érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről. E jogát oly módon kell biztosítani, hogy az Érintett más személy adatait ne ismerhesse meg. Az Érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat. A tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb harminc napon belül, közérthető formában kell teljesíteni. Amennyiben az Érintett úgy rendelkezik, a tájékoztatást írásban kell megadni. A tájékoztatás megadása, és továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan az Érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek szerződésben is rendelkezhetnek. A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg: az Érintett nem a saját adataira vonatkozóan kér tájékoztatást; a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel Érintett személy; amennyiben törvény a tájékoztatást kizárja; ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi

14 át, hogy az adatokat átadó adatkezelő jelezte az Érintett tájékoztatási jogának korlátozását. A felvilágosítás megtagadása esetén tájékoztatni kell az Érintettet a bírósághoz és az adatvédelmi hatósághoz fordulás jogáról. Ezen felül a folyó évet követő január 31-éig tájékoztatni kell a Hatóságot az elutasított kérelmekről Tiltakozási, panasztételi jog Amennyiben a Társaság ügyfele, egyéb személy vagy szervezet tiltakozik védett adatainak kezelése ellen vagy az adatkezelés módjával kapcsolatban panaszt nyújt be, az Adatvédelmi Felelős a tiltakozást, panaszt köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb harminc nap alatt megvizsgálni. Amennyiben az Adatgazda vagy az adatkezelő az adatokat nem a jogszabályoknak vagy jelen szabályzatnak megfelelően kezelte, a panaszügyet az Adatvédelmi Felelős vizsgálja ki vagy utasítja az Adatgazdát a kivizsgálás lefolytatására. Ebben az esetben az Adatgazda a kivizsgálás eredményéről az Adatvédelmi Felelőst tájékoztatja. Amennyiben az Adatvédelmi felelős úgy látja jónak, a kivizsgálásba bevonhatja az Információbiztonsági Felelőst. A vizsgálat eredményéről az Adatvédelmi Felelős a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás vagy a panasz indokolt, az Adatvédelmi Felelős intézkedik az adatkezelés jogszabályok, illetve jelen szabályzat szerinti kezeléséről. Az Adatvédelmi Felelős a tiltakozásról, panaszról továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a Társaság az Érintett védett adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási, panasztételi jog érvényesítése érdekében. Az Adatvédelmi felelős az adatkezeléssel kapcsolatos panaszokról nyilvántartást vezet. A Társaság munkavállalói, illetve egyéb szerződéses jogviszony alapján a Társaságban munkát végző személyek az Adatvédelmi Felelős eljárása során kötelesek annak utasítása szerint eljárni Ellenőrzés Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseinek betartását, az Adatgazdák, valamint az Adatvédelmi Felelős folyamatosan ellenőrzik Kapcsolódó folyamatutasítások Nincsenek kapcsolódó folyamatutasítások. 5. Hatályon kívül helyezés Nincsenek hatályon kívül helyezett dokumentumok