BKV Rt. Adatvédelmi és Adatbiztonsági Szabályzat 2006. 1. Melléklet Budapesti Közlekedési Részvénytársaság Társasági Adatvédelmi és Adatbiztonsági SZABÁLYZAT 2006.
TARTALOMJEGYZÉK Tartalomjegyzék... 2 Bevezetés... 4 I. Fejezet. Általános rendelkezések... 5 1. A Szabályzat célja és hatálya... 5 a) Személyi hatály... 5 b) Tárgyi hatály... 5 2. A Szabályzat aktualizálása... 6 II. Fejezet. Az adatvédelemre vonatkozó rendelkezések... 7 1. A Társaságnál kezelt adatok osztályozása... 7 a) Személyes adat... 7 b) Különleges adat... 7 c) Minősített adat... 7 d) Külföldi minősítésű adat... 8 e) Banktitoknak minősülő adat... 8 f) Magántitok, levéltitok... 9 g) Üzleti titok... 9 2. Az adatokhoz tartozó adatvédelmi kategóriák... 9 a) Alap biztonsági szint... 9 b) Megemelt biztonsági szint... 9 c) Fokozott biztonsági szint... 9 d) Kiemelt biztonsági szint... 9 3. Az egyes adatkezelő szervezeti egységek biztonsági besorolása... 10 4. Az egyes adatkezelő szervezeti egységek feladatai... 10 5. A Társaság adatvagyonát érintő események... 10 III. Fejezet. A személyes adatok kezelésére vonatkozó szabályok... 11 1. A személyes adat kezelésének célhoz kötöttsége... 11 2. A személyes adat kezelésének társasági szabályai... 11 a) Személyazonosító adatok nyilvántartása... 11 b) Munkabér... 13 c) Videómegfigyelő-rendszerek működtetése... 13 d) A forgalmi üzemeltetés során végzett hangrögzítés... 13 e) Az adatkezelések törzskönyve... 14 3. Adatok minőségi követelményei... 15 4. Adatközlések... 15 a) Személyes adat nyilvánosságra hozatala... 15 b) Adattovábbítás, adatkezelések összekapcsolása... 15 c) Belföldre irányuló adattovábbítások... 16 d) Külföldre irányuló adattovábbítások... 17 5. Érintettek jogai és érvényesítésük... 17 a) Tájékoztatásra, illetve betekintésre irányuló kérelem... 17 b) Tájékoztatásra, illetve betekintésre irányuló kérelem megtagadása... 18 c) Személyes adat helyesbítése, illetve törlése... 18 d) Tiltakozás a személyes adat kezelése ellen... 19 6. Adatfeldolgozó igénybevételének szabályai... 19 a) Az adatkezelő felelőssége... 19 b) Az adatfeldolgozó felelőssége... 20 IV. Fejezet. A közérdekű adatok nyilvánosságára vonatkozó előírások... 21 2
V. Fejezet. Az adatvédelem és adatbiztonság technikai hátterének egyes kérdései... 23 1. Az infrastruktúrához kapcsolódó védelmi intézkedések... 23 a) Szervertermek üzemeltetési rendje, biztonsági előírásai... 23 b) Informatikai rendszerek osztályozási irányelvei... 23 c) Az információs vagyonelemek osztályozása... 26 d) Az információfeldolgozó rendszerek és eszközök címkézése... 26 2. Eseti biztonsági intézkedések... 26 3. A hardverekhez kapcsolódó védelmi intézkedések... 27 4. A szoftverekhez kapcsolódó védelmi intézkedések... 27 5. Katasztrófahelyzetek kezelése... 28 6. Az adathordozókhoz kapcsolódó védelmi intézkedések... 28 7. Az információ kezelésével kapcsolatos intézkedések... 28 8. Kriptográfiai eszközök alkalmazásához kapcsolódó intézkedések... 29 VI. Fejezet. Az adatvédelmi felelős feladatai, jogai, kötelezettségei és felelőssége... 30 1. Az adatvédelmi felelős Avtv-ben meghatározott feladatai... 30 2. Az adatvédelmi felelős további, társasági szempontból lényeges feladatai... 30 3. Az adatvédelmi felelős jogai... 31 4. Az adatvédelmi felelős kötelességei... 32 5. Az adatvédelmi felelős felelőssége... 33 VII. Fejezet. Az adatvédelmi ellenőrzésben érintettek jogai, kötelezettségei és felelőssége... 34 1. Az adatvédelmi ellenőrzésben érintett szervezet vezetőinek és munkavállalóinak kötelessége... 34 2. Az adatvédelmi ellenőrzésben érintett szervezet vezetőinek és munkavállalóinak jogai... 34 3. Az adatvédelmi ellenőrzést elrendelő vezető kötelessége... 35 VIII. Fejezet. Az adatvédelmi nyilvántartás... 36 1. Bejelentkezés a nyilvántartásba... 36 2. Új adatállomány feldolgozása... 37 IX. Fejezet. Rendelkező rész... 38 1. Melléklet. Titoktartási nyilatkozat 2. Melléklet. Törzskönyv személyes adat kezeléséről 3. Melléklet. Jegyzőkönyv adatkezelések összekapcsolásáról 4. Melléklet. Jegyzőkönyv megkeresés alapján teljesített adatszolgáltatásról 5. Melléklet. Jegyzőkönyv külföldre irányuló adatszolgáltatásról 1. Függelék. Kapcsolódó jogszabályok gyűjteménye 2. Függelék. Fogalmak 3
BEVEZETÉS A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) 2003. évi XLVIII., illetve a 2005. évi XIX. törvénnyel történt módosítása jelentős változásokat hozott a személyes adatok kezelésével és azok védelmével kapcsolatos szabályozásban. Az Avtv. előírja, hogy az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőknek és adatfeldolgozóknak adatvédelmi és adatbiztonsági szabályzatot (a továbbiakban: Szabályzat) kell készíteniük. Fenti törvény kötelezettséget ró a Budapesti Közlekedési Részvénytársaságra (a továbbiakban: a Társaságra), mint adatkezelőre, hogy az adatkezelő szerv vezetőjének felügyelete alá tartozó jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező belső adatvédelmi felelőst kell kinevezni, akinek feladata a belső adatvédelmi és adatbiztonsági szabályzat elkészítése mellett az Avtv. 31/A. (2) bekezdésében, illetve a jelen Szabályzat VI. fejezetet 2. pontjában meghatározott feladatok ellátása. A XX. század utolsó évtizedeinek az egyes országok társadalmi berendezkedésétől függetlenül egyik általános érvényű jelensége, hogy az állam és a gazdaság működéséhez, a társadalmi tevékenységek tervezéséhez és szervezéséhez egyre több információra van szükség. A nagytömegű információt viszont mind kevésbé lehet a hagyományos módszerekkel kezelni, ezért növekszik az informatika jelentősége, ami azonban veszélyeket is hordoz magában. E veszélyek abból adódnak, hogy egyedi adatokat és információkat vagy széttagolt információrendszereket egymással kapcsolatba hozva olyan elemzések elvégzésére, majd azok alapján olyan következtetések levonására vagyis új információk létrehozására adódik alkalom, amelyek sértik, vagy sérthetik azoknak az érdekeit, akikre az egyedi adatok és információk vonatkoznak. Ez a helyzet oda vezet, hogy különböző, külön-külön vizsgálva indokoltnak tűnő érdekek alakulnak ki, és kerülnek egymással összeütközésbe. Ezen érdekütközések elkerülése végett, továbbá az Avtv. rendelkezéseinek végrehajtása érdekében, valamint az Európai Unióhoz történt csatlakozás kapcsán a Társaságot érintő adatkezelésekre, adatvédelmi és adatbiztonsági feladatokra történő felkészülés érdekében, a következők szerint rendelkezem. 4
I. FEJEZET ÁLTALÁNOS RENDELKEZÉSEK 1. A Szabályzat célja és hatálya Jelen Szabályzat célja, hogy meghatározza a Társaság adatkezelésének és az adatok nyilvántartásának törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését. Fentiek teljesülése érdekében jelen Szabályzat a Társaság információvédelmi szabályozási struktúrájának (hierarchiájának) tetején foglal helyet; a szabályozási struktúra további elemei: IT (információtechnológia)-biztonsági Szabályzat, 1 Iratkezelési Szabályzat, társasági Biztonsági és Vagyonvédelmi Szabályzat. A Szabályzat rendelkezéseit figyelembe kell venni a Társaságnál kiadásra kerülő szabályozásoknál, illetve meglévő (hatályos) szabályozások módosításakor. a) Személyi hatály A Szabályzat személyi hatálya a Társaság vezetőire és munkavállalóira terjed ki. A Szabályzat rendelkezéseit alkalmazni kell a Társasággal szerződéses kapcsolatban álló magánszemélyekre, jogi személyekre és jogi személyiséggel nem rendelkező egyéb szervezetekre is úgy, hogy a polgári jogi szerződésnek erre vonatkozóan utalást kell tartalmaznia, illetve a megbízási vagy vállalkozási szerződés megkötésekor az adatvédelem, adatbiztonság rendelkezéseit szerepeltetni kell. b) Tárgyi hatály A Szabályzat tárgyi hatálya kiterjed a Társaság területén felvételezett, feldolgozás alatt lévő, a tárolt és a feldolgozás (azaz adatkezelés és -feldolgozás) során létrejött adatokra, illetve adathordozókra, valamint a számítástechnika-alkalmazás, szoftverfejlesztés és iratkezelés teljes folyamatára. Kiterjed továbbá valamennyi, a Társaságnál kezelt természetes személy adatára, közérdekű, illetve közérdekből nyilvános adatra függetlenül annak előállítási vagy feldolgozási módjától és megjelenési formájától és magára az adatkezelésre is. 1 Az IT-biztonsági Szabályzat kidolgozása jelen Szabályzat kidolgozásával párhuzamosan történik. 5
2. A Szabályzat aktualizálása A Szabályzat aktualizálása az adatvédelmi felelős javaslatára kerül végrehajtására, melyet a következő esetekben kell kezdeményeznie: ha a Társaság adatvédelmét, illetve a társasági Adatvédelmi és Adatbiztonsági Szabályzat tartalmát érintő jelentős változás következik be; ha a működtetést meghatározó jogszabályi környezetben átvezetendő változás következik be; a fenti eseteken túl évenként egyszer felül kell vizsgálni. 6
II. FEJEZET AZ ADATVÉDELEMRE VONATKOZÓ RENDELKEZÉSEK 1. A Társaságnál kezelt adatok osztályozása a) Személyes adat Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható 2. A személy különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. b) Különleges adat ba) bb) A faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat. c) Minősített adat ca) A közokiratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvényben (a továbbiakban: Lvtv.) meghatározott közokiratban szereplő, államtitkot vagy szolgálati titkot tartalmazó adat, cb) a szóban közölt államtitkot vagy szolgálati titkot képező információ, cc) államtitkot vagy szolgálati titkot képező információt hordozó objektum, technikai eszköz, cd) nem tárgyiasult formában megjelenő államtitkot vagy szolgálati titkot képező információ, eljárási mód vagy más ismeretanyag. Államtitoknak minősülő adat Az az adat, amely az államtitokról és szolgálati titokról szóló 1995. évi LXV. törvény (a továbbiakban: Ttv.) 1. sz. mellékletében (államtitokkör) meghatározott adatfajta körébe tartozik, és a minősítési eljárás alapján a minősítő megállapította, hogy az érvényességi idő lejárta előtti nyilvánosságra hozatala, jogosulatlan megszerzése vagy felhasználása, 2 Az Avtv. szerint nem lényeges, hogy az adatalany és az adat helyreállítását az adatkezelő vagy más személy képes elvégezni: ha a kapcsolat helyreállítható, akkor személyes adatnak minősül. 7
illetéktelen személy tudomására hozása, továbbá az arra jogosult részére hozzáférhetetlenné tétele közvetlenül sérti vagy veszélyezteti a Magyar Köztársaság törvényben meghatározott honvédelmi, nemzetbiztonsági, bűnüldözési vagy bűnmegelőzési, központi pénzügyi, külügyi vagy nemzetközi kapcsolataival összefüggő, valamint igazságszolgáltatási érdekeit. Szolgálati titoknak minősülő adat A Ttv. szerint minősítésre felhatalmazott által meghatározott adatfajták körébe (szolgálati titokkör) tartozó adat, amelynek az érvényességi idő lejárta előtt nyilvánosságra hozatala, jogosulatlan megszerzése és felhasználása, illetéktelen személy részére hozzáférhetővé tétele, továbbá az arra jogosult részére hozzáférhetetlenné tétele sérti vagy veszélyezteti az állami vagy közfeladatot ellátó szerv működési rendjét, akadályozza a feladat- és hatáskörének illetéktelen befolyástól mentes gyakorlását, és ezáltal közvetve a Magyar Köztársaság törvényben meghatározott érdekeit hátrányosan érinti. d) Külföldi minősítésű adat Nemzetközi kötelezettségvállalás alapján átvett vagy nemzetközi kötelezettségvállalás alapján készült minősített (külföldi minősítésű) adat más állam vagy nemzetközi szerződés alapján a külföldi részes fél által meghatározott minősítésű és jelölésű, a Lvtv. 3. - ának b) pontja szerinti közfeladatot ellátó szerv vagy személy részére átadott, rendeltetésszerűen annak irattárába tartozó adat. A külföldi minősítés és jelölés a Magyar Köztársaság Kormánya által az információbiztonság tárgyában kötött nemzetközi szerződésekben meghatározott minősítés és jelölés, melyekről a Ttv. rendelkezik, valamint a Magyar Köztársaság által kötött nemzetközi szerződésben meghatározott minősítést és jelölést, illetve annak magyar megfelelőjét a szerződés kihirdetéséről szóló törvény tartalmazza. A külföldi minősítés és jelölés alkalmazására a kibocsátó és a felhasználó jogosult. A hazai felhasználónak az általa készített adathordozón, ha az a kibocsátó minősített adatait is tartalmazza, a külföldi adathordozó minősítésnél és jelölésnél alacsonyabb minősítést és jelölést nem alkalmazhat. A külföldi minősítésű és jelölésű adatot a nemzetközi szerződés alapján meghatározott előírások és a Ttv. szerint kell kezelni. A külföldi minősítésű adatok államtitoknak, valamint szolgálati titoknak minősülő fajtáit a Ttv. sorolja fel. A külföldi minősítésű adatok nem nyilvánosak, azokra az Avtv. 20. (1) bekezdése szerinti megismerési kérelem megtagadása esetén a felhasználó döntésével szemben jogorvoslatnak helye nincs. e) Banktitoknak minősülő adat Banktitok minden olyan, az egyes ügyfelekről a Társaság rendelkezésére álló tény, információ, megoldás vagy adat, amely az ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a Társaság által vezetett számlájának egyenlegére, forgalmára, továbbá a Társasággal kötött szerződéseire vonatkozik. 8
f) Magántitok, levéltitok A Társasághoz tevékenysége során jogszerűen kerülhetnek olyan adatok, melyek a Polgári Törvénykönyvről szóló 1959. évi IV. törvény (a továbbiakban: Ptk.) alapján levéltitoknak, magántitoknak minősülnek. Személyhez fűződő jogokat sért, aki a levéltitkot megsérti, továbbá aki a magántitok birtokába jut, és azt jogosulatlanul nyilvánosságra hozza, vagy azzal egyéb módon viszszaél. g) Üzleti titok A Társaság tevékenységéhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a Társaság jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a Társaság a szükséges intézkedéseket megtette. 2. Az adatokhoz tartozó adatvédelmi kategóriák Az adatok kezelését a következő fokozatokban lehet megvalósítani a nyilvántartások, adatbázisok esetében. a) Alap biztonsági szint A biztonság szempontjából minden olyan adat, amely nem igényel magasabb besorolást, és a többi adatvédelmi kategóriába nem sorolható be, alap biztonsági fokozatú. b) Megemelt biztonsági szint A biztonság szempontjából a személyes adatok, üzleti titkot képező (bizalmas) adatok, valamint minden más, a Társaság tevékenysége során tudomására jutott titok így például magántitok, üzleti titok besorolása megemelt biztonsági fokozatú. c) Fokozott biztonsági szint Ebbe a szintbe kell besorolni az olyan, egyedileg nem minősített, különleges adatokat, amelyek egyesített megjelenései fokozott védelmet igényelnek. d) Kiemelt biztonsági szint Amennyiben szolgálati titoknak, illetve államtitoknak minősített adatokat is tartalmaz a szervezet adatkezelése kiemelt biztonsági besorolás mellett a Ttv. szolgálati titokra, illetve államtitokra vonatkozó rendelkezései az irányadók. 9
3. Az egyes adatkezelő szervezeti egységek biztonsági besorolása A Társaság által kezelt adatok biztonsági fokozata szerint az egyes adatkezelő szervezeti egységek adatvédelmi és adatbiztonsági szempontú biztonsági besorolását az adatvédelmi felelős az adatkezelést végző szervezeti egység vezetőjével egyetértésben állapítja meg, a következők szerint. Az alap biztonsági fokozatba tartozik valamennyi szervezeti egység. A megemelt biztonsági fokozatba tartozik az a szervezeti egység, amely személyes adatok, üzleti titkot képező (bizalmas) adatok, valamint minden más, a Társaság tevékenysége során tudomására jutott titkokat így például magántitok, üzleti titok kezel. Fokozott biztonsági fokozatba tartozik az a szervezeti egység, amely olyan, egyedileg nem minősített, különleges adatokat kezel, amelyek egyesített megjelenései fokozott védelmet igényelnek. A Ttv. szerinti szolgálati titkokat, illetve államtitkokat kezelő szervezeti egységek a kiemelt biztonsági fokozatba tartoznak. A minősítésnek az adatvédelem és adatbiztonság érdekében alkalmazott intézkedések szempontjából van jelentősége. 4. Az egyes adatkezelő szervezeti egységek feladatai Az adatkezelést végző szervezeti egység vezetője az irányítása alatt lévő személyektől, szervezeti egységektől megköveteli az adatvédelem, adatbiztonság szabályainak fokozott betartását és betartatását. Felelősséget vállal az adott területen lévő adatok gyűjtéséért, az adatszolgáltatásért, az adatfeldolgozás felé történő adatszolgáltatásért. Tevékenysége során az általa kezelt adatok vonatkozásában gondoskodik a jogszabályokban, elsősorban az Avtv-ben meghatározott feladatok, kötelezettségek ellátásáról. 5. A Társaság adatvagyonát érintő események A Társaság adatvagyonát érintő rendkívüli adatvédelmi esemény kapcsán az adatvédelmi felelőst az eseményről a lehető legrövidebb időn belül tájékoztatni kell, továbbá az esemény kapcsán esetlegesen kezdeményezett vizsgálatba (ellenőrzésbe) a felelőst be kell vonni. 10
III. FEJEZET A SZEMÉLYES ADATOK KEZELÉSÉRE VONATKOZÓ SZABÁLYOK A Társaságnál személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul vagy azt jogszabály, illetve jogszabály felhatalmazása alapján társasági szabályozás elrendeli. Kötelező, vagyis jogszabály által elrendelt adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény határozza meg. 1. A személyes adat kezelésének célhoz kötöttsége Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Ha az adatkezelés célja megszűnt vagy az adatok kezelése egyébként jogellenes, az adatokat bizonylatoltan törölni kell. A személyes adatot akár az érintett hozzájárulásával, akár jogszabály alapján különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges. Kötelező adatszolgáltatáson alapuló adatkezelést közérdekből lehet elrendelni. Az érintettel az adat felvétele előtt közölni kell az adatkezelés célját és azt, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt, és társasági szabályozást is. Az érintettet egyértelműen, részletesen és dokumentáltan tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy a jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről. 2. A személyes adat kezelésének társasági szabályai a) Személyazonosító adatok nyilvántartása A Munka Törvénykönyvéről szóló 1992. évi XXII. törvény (a továbbiakban: Mt.) 77., 98., 99. -a, és a foglalkoztatás elősegítéséről, a munkanélküliek ellátásáról szóló 1991. évi 11
IV. törvény 57/A-E. -a, valamint az adózás rendjéről szóló 1990. évi XCI. törvény rendelkezik a Társaság által nyilvántartható adatok köréről. Meghatározza, hogy a Társaság a munkavállalóktól csak olyan adatlap kitöltését kérheti, illetve vele szemben csak olyan alkalmassági vizsgálat alkalmazható, amely személyiségi jogait nem sérti, és a munkaviszony létesítése szempontjából lényeges tájékoztatást nyújthat, továbbá felhatalmazást ad a munkaidővel és szabadságolással kapcsolatos adatok kezelésére is. A munkaszerződésben fel kell tüntetni azokat a természetes személyazonosító adatokat (név, anyja neve, születési hely és idő, lakcím), amelyek a munkavállaló egyértelmű azonosításához szükségesek, valamint az iskolai és szakképzettséget igazoló bizonyítványok adatait. Más törvények a Társaság részére kötelezően előírják bizonyos személyes adatok kezelését (pl. a munkavállaló adóazonosító jelét, társadalombiztosítási azonosító számát), mivel bevallási, illetve különböző fizetési kötelezettségeinek a Társaság csak így tud eleget tenni. Az adózással kapcsolatos nyilvántartás azonosító kódja magánszemélyek esetében az adóazonosító jel. Az adóazonosító jelről az APEH által kiadott hatósági igazolvány (adóigazolvány) a munkavállaló az adóhatóság (állami adóhatóság, önkormányzati adóhatóság, vámhatóság és illetékhivatal), valamint az adózással kapcsolatban adatszolgáltatásra kötelezett szerv számára köteles bemutatni. A munkavállaló köteles adóazonosító jelét közölni a kifizetővel (a Társasággal), a megyei munkaügyi központtal, a hitelintézettel, a társadalombiztosítási szervvel, ha olyan kifizetést teljesít, amelynek alapján a magánszemélynek adófizetési kötelezettsége keletkezik, és azzal összefüggésben a törvény adatszolgáltatási kötelezettséget ír elő. Amennyiben a munkavállaló adóazonosító jelét nem közli, a Társaság a kifizetést és az arról szóló igazolás kiadását az adóazonosító jel közléséig megtagadja. A Társaság a munkaviszony megszüntetésekor (megszűnésekor) a munkavállaló részére az alábbiakban meghatározott tartalmú igazolást állít ki. Az igazolás tartalmazza: a munkavállaló személyi adatait (név, leánykori név, anyja neve, születési hely, év, hónap, nap), a munkáltatónál munkaviszonyban töltött idő tartamát, a munkavállaló munkabéréből jogerős határozat vagy jogszabály alapján levonandó tartozást, illetve ennek jogosultját, a munkavállaló által a munkaviszony megszűnésének évében igénybe vett betegszabadság időtartamát, a munkavállaló végkielégítésben való részesülését, a munkáltató köteles igazolni azt is, ha a munkavállaló munkabérét a tartozás nem terheli, az igazolásnak tartalmaznia kell a munkavállaló pénztártag által választott magánnyugdíj-pénztár megnevezését, címét, bankszámlaszámát; ha a tagságra kötelezett pályakezdő munkavállaló nem választott pénztárat, ezt a tényt jelezni kell, és meg kell jelölni az illetékes területi pénztár megnevezését, címét. MÁV, Volán 50%-os viteldíj-kedvezmény igénybevételének tényét. 12
a Start-kártyával 3 kapcsolatos adatokat (amennyiben a Start-program szerinti kedvezményt vesz igénybe a Társaság). A munkavállaló munkaviszonyának megszüntetésekor (megszűnésekor), illetve az ezt követő egy éven belül a Mt. 99. -a előírásai szerint működési bizonyítvány kiadását kérheti a Társaságtól, aki köteles azt kiadni. A munkavállaló kifejezett kérésére a működési bizonyítványnak tartalmaznia kell: a Társaságnál a munkavállaló által betöltött munkakört, a munkavállaló munkájának értékelését. A törvényi előírásokban nem szereplő személyes adatok kizárólag az érintett hozzájáruló nyilatkozata alapján kezelhetők. b) Munkabér Minden meghatározott személy munkabérére és egyéb járandóságára vonatkozó adat, információ védendő személyes adat, ezért annak nyilvánosságra hozatala, illetéktelen személy tudomására hozatala tilos. A munkabérről adott tájékoztató kimutatást (bérnapló) úgy kell az érintetthez eljuttatni, hogy az abban foglalt adatok illetéktelenek számára ne legyenek hozzáférhetőek. c) Videómegfigyelő-rendszerek működtetése A Társaság által működtetett videómegfigyelő-rendszerek üzemeltetése során az alábbiakat kell figyelembe venni. A kamerákat jól látható helyekre kell felszerelni, és a rögzített felvételeket az adatvédelmi felelős által meghatározott idő elteltével törölni kell. A megfigyelt területen jól látható helyen, az alábbi szöveggel ellátott, figyelmeztető táblákat kell elhelyezni: Figyelem! Videómegfigyelő-rendszerrel ellátott terület. A megfigyelés célja bűncselekmények megelőzése, illetve utólagos kivizsgálása. A felvételek csak bűncselekmény esetén tekinthetők meg, amennyiben ilyen nem történik, a rögzített felvételek [ ] 4 elteltével megtekintés nélkül, automatikusan törlődnek. Továbbhaladásával Ön beleegyezését adja a felvételek elkészítéséhez. Budapesti Közlekedési Részvénytársaság d) A forgalmi üzemeltetés során végzett hangrögzítés A forgalomirányításban használt híradástechnikai eszközökön (AVM, DIR, URH, és egyes diszpécser központok telefonjai) lebonyolított beszélgetések rögzítésre kerülnek. Ennek tényét a munkavállalókkal dokumentáltan ismertetni kell. 3 Ld. a pályakezdő fiatalok, az ötven év feletti munkanélküliek, valamint a gyermekek gondozását, illetve a családtag ápolását követően munkát keresők foglalkoztatásának elősegítéséről, továbbá az ösztöndíjas foglalkoztatásról szóló 2004. évi CXXIII. törvény előírásait 4 Az adatvédelmi felelős által meghatározott időtartam. 13
A hangrögzítő berendezéseken rögzített adatokat, beszélgetéseket szükség esetén a rögzítést végző szervezet vezetője, illetve annak megbízott képviselője jogosult adathordozóra kimenteni. A beszélgetésekről készített hangfelvételt a forgalmi igazgató, illetve a beszélgetésben érintett munkavállalók munkáltatói jogkört gyakorlói jogosultak visszahallgatni. A keletkezett adatokat a fenti személyek írásban rögzíthetik, illetve további vizsgálat céljából azokat lemásolhatják, és maguknál tarthatják, valamint a vizsgálat során bizonyítékként felhasználhatják. A központi adatrögzítőkből kimentett, illetve visszahallgatott beszélgetésekről a rögzítés helyén naplót kell vezetni, mely tartalmazza a visszahallgatás vagy kimentés időpontját, illetve a kérelmező nevét. Jogszabályi előírásokon alapuló adatkezelés, -továbbítás esetén nem kell az érintett hozzájárulását kérni. Ilyenek a kötelező adatszolgáltatásokon alapuló adattovábbítások úgy, mint például: betegbiztosítással kapcsolatos adatszolgáltatás az Országos Egészségbiztosítási Pénztár felé, a munkavállalók munkaviszonyával kapcsolatos hivatalos hatósági megkeresések (pl. APEH, bíróság). A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak kötelesek az általuk megismert személyes adatokat üzleti titokként megőrizni. Az ilyen munkakörben foglalkoztatottak számára Titoktartási nyilatkozat (ld. 1. Melléklet) megtétele kötelező. e) Az adatkezelések törzskönyve A Társaságnál létesített személyes adatkezelésekről törzskönyvet kell vezetni, melyek tartalmát nyilvánossá kell tenni. A törzskönyv első példányát az annak vezetéséért felelős adatkezelést, illetve adatfeldolgozást végző szervezeti egység vezetője, második példányát az adatvédelmi felelős őrzi. A törzskönyv (ld. 2. Melléklet) dokumentálja az adatkezeléssel kapcsolatos legfontosabb tényeket és körülményeket. Ezek különösen: az adatkezelés megnevezése, célja, rendeltetése, jogszabályi alapja (törvény, társasági szabályozás), kezelője (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, irodája és telefonszáma), érintettek köre és száma, nyilvántartott adatok köre, adatok forrása (maga az érintett vagy más adatkezelés), adatfeldolgozás módszere (manuális, számítógépes, vegyes), az adatokon végzett gyakori adatkezelési műveletek (tárolás, módosítás, aktualizálás, válogatás, rendszerezés, stb.), 14
adattovábbítás (Mely szerv részére? Milyen rendszerességgel?), adatbiztonsági intézkedések, adatok megőrzésének, illetve törlésének ideje. A törzskönyv adatainak valódiságát az adatvédelmi felelős és az illetékes adatkezelő évente felülvizsgálja, az időközben történt változásokat átvezeti. Az adatkezelés megszűnése után a törzskönyvet irattári kezelésbe kell venni. 3. Adatok minőségi követelményei A kezelt személyes adatoknak meg kell felelniük az alábbi minőségi követelményeknek: felvételük és kezelésük tisztességes és törvényes, pontosak, teljesek, és ha szükséges időszerűek, tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos. 5 A tárolás módjára vonatkozó technikai megoldásokat és feltételeket az IT-biztonsági Szabályzat tartalmazza. 4. Adatközlések Személyes adat harmadik személlyel adattovábbítás vagy nyilvánosságra hozatal formájában közölhető. a) Személyes adat nyilvánosságra hozatala Törvényes közérdekből az adatok körének kifejezett megjelölésével elrendelhető a személyes adat nyilvánosságra hozatala. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során az általa közölt vagy nyilvánosságra hozatal céljából általa átadott adatok tekintetében. b) Adattovábbítás, adatkezelések összekapcsolása A Társaság szervezeti rendszerén belül a Társaság vezetőinek és munkavállalóinak személyes adatai a feladat elvégzéshez szükséges mértékben és ideig csak olyan szervezeti egységhez továbbíthatók, amely a munkaviszonnyal kapcsolatos adminisztratív és szervezési feladatokat lát el. 5 Nem sorolható ide a Társaságnál alkalmazott, a munkavállalók egyedi azonosítására szolgáló törzsszám. 15
A Társaságnál folyó, különböző célra irányuló adatkezelések csak törvényes cél érdekében, indokolt esetben, ideiglenesen kapcsolhatók össze. Az adatkezelések összekapcsolásával kapcsolatos alábbi tényeket jegyzőkönyvbe (ld. 3. Melléklet) kell foglalni: az összekapcsolt adatkezelések megnevezése, az összekapcsolás célja, rendeltetése, az összekapcsolás időpontja és tartama, jogszabályi alapja (törvény, társasági szabályozás), az összekapcsolást végző személy neve, beosztása, szervezeti egysége, irodája és telefonszáma, az összekapcsolással érintettek köre és száma, az összekapcsolt adatok köre, az összekapcsolás módszere (manuális, számítógépes, vegyes), adatbiztonsági intézkedések. A jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát az adatvédelmi felelőshöz kell továbbítani. A jegyzőkönyvet 10 évig kell megőrizni. c) Belföldre irányuló adattovábbítások A Társaságon kívüli szervtől vagy magánszemélytől érkező, adatközlésre irányuló megkeresés csak akkor teljesíthető, ha az érintett erre írásban felhatalmazza a Társaságot. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat időtartamra és a megkereséssel élő szervek meghatározott körére. Az érintett nyilatkozattételétől függetlenül teljesíteni kell a polgári és büntető ügyekben eljáró hatóságoktól rendőrség, bíróság, ügyészség, vám- és pénzügyőrség, APEH érkező megkereséseket. Az adatszolgáltatás a vezérigazgató döntési jogkörének delegálása mellett csak az adatkezelést végző szervezeti egység munkáltatói jogkört gyakorló vezetőjének jóváhagyásával teljesíthető. A nemzetbiztonsági szolgálatoktól érkező megkeresésekre vonatkozó minden adat a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény 42. -a szerint államtitok, amiről sem más szerv, sem más személy nem tájékoztatható. A megkeresés alapján teljesített adatszolgáltatással kapcsolatos tényeket, körülményeket jegyzőkönyv (ld. 4. Melléklet) felvételével dokumentálni kell (kivételt képeznek a hatósági, a Társaság munkavállalóinak munkaviszonyával kapcsolatos megkeresések, pl. APEH-tól, bíróságtól, nemzetbiztonsági szolgálatoktól érkező megkeresések). A jegyzőkönyv az alábbi adatokat tartalmazza: a megkeresést végző szerv vagy személy megnevezése, postacíme, telefonszáma, az adatkérés célja, rendeltetése, az adatkérés jogszabályi alapja, illetve az érintett hozzájáruló nyilatkozata, az adatkérés időpontja, az adatszolgáltatás alapjául szolgáló adatkezelés megnevezése, az adatszolgáltatást teljesítő szervezeti egység megnevezése, 16
az érintettek köre, a továbbított adatok köre, az adattovábbítás módja. A megkeresésről szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát az adatvédelmi felelőshöz kell továbbítani. A jegyzőkönyvet 10 évig kell megőrizni. d) Külföldre irányuló adattovábbítások Olyan adatkezelés esetén, amelynél számolni kell harmadik országba irányuló az adathordozótól vagy az átvitel módjától függetlenül adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele előtt fel kell hívni. A személyes adat csak akkor továbbítható, ha ahhoz az érintett írásban hozzájárul, ha azt törvény lehetővé teszi, vagy arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga az Európai Unió által meghatározott megfelelő védelmet biztosít az átadott adatok kezelése során. A külföldre irányuló adatszolgáltatással kapcsolatos tényeket, körülményeket jegyzőkönyv (ld. 5. Melléklet) felvételével dokumentálni kell. A jegyzőkönyv az alábbi adatokat tartalmazza: az adattovábbítás címzettje (megnevezés, postacím, telefonszáma), az adattovábbítás célja, rendeltetése, az adattovábbítás jogszabályi alapja, illetve az érintett hozzájáruló nyilatkozata, az adattovábbítás időpontja, az adatszolgáltatást teljesítő szervezeti egység megnevezése, az érintettek köre, a továbbított adatok köre, az adattovábbítás módja. A külföldre irányuló adattovábbításról szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát az adatvédelmi felelőshöz kell továbbítani. A jegyzőkönyvet 10 évig kell megőrizni. 5. Érintettek jogai és érvényesítésük a) Tájékoztatásra, illetve betekintésre irányuló kérelem Az érintett tájékoztatást, illetve betekintést kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve a jogszabályban elrendelt adatkezelések kivételével törlését. A betekintést úgy kell biztosítani, hogy ez alatt az érintett más személy adatait ne ismerhesse meg. Az érintett kérelmére az adatkezelő tájékoztatást ad az érintettre vonatkozó, általa kezelt, illetőleg az általa megbízott adatfeldolgozó által feldolgozott adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és 17
milyen célból kapják vagy kapták meg az adatokat. Az adattovábbításra vonatkozó nyilvántartás és ennek alapján a tájékoztatási kötelezettség időtartamát, az adatkezelést szabályozó jogszabály korlátozhatja. A korlátozás időtartama személyes adatok esetében 5 évnél, különleges adatok esetében pedig 20 évnél rövidebb nem lehet. Az érintett tájékoztatást, illetve betekintést kérhet a Társaságnál vezetett adatkezelési törzskönyv tartalmába is. A tájékoztatást a kérelemben foglaltakra az illetékes adatkezelő (az adatkezelést végző szervezeti egység vezetője) adja meg. Az adatkezelő tájékoztatást ad az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá arról, hogy kik és milyen célból kapták meg az adatokat. A tájékoztatás megadásával egyidejűleg az adatkezelő írásban értesíti az adatvédelmi felelőst a megkeresés és teljesítésének részleteiről. A tájékoztatást a benyújtástól számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában kell megadni. b) Tájékoztatásra, illetve betekintésre irányuló kérelem megtagadása A tájékoztatás, illetve betekintés az Avtv. 16. -ban foglaltak alapján kizárólag akkor tagadható meg, ha azt törvény korlátozza az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából beleértve minden esetben az ellenőrzést és a felügyeletet is, továbbá az érintett vagy mások jogainak védelme érdekében. Elutasítás esetén az adatkezelő tájékoztatja az érintettet a felvilágosítás megtagadásának indokáról; ezzel egyidejűleg a megtagadásról írásban tájékoztatja az adatvédelmi felelőst. Az adatvédelmi felelős minden év január 20-ig értesíti az adatvédelmi biztost az elutasított kérelmekről. c) Személyes adat helyesbítése, illetve törlése A személyes adat helyesbítését, illetve törlését a helyesbítés, törlés tárgya szerinti szakterület végzi el személyes észlelés alapján, kérelemre vagy az adatvédelmi felelős felhívására. A helyesbítésről és törlésről az érintetett, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljáró való tekintettel az érintett jogos érdekeit nem sérti. A helyesbítést, illetve törlést 3 munkanapon belül el kell végezni. A törlési kötelezettség a jogellenes adatkezelés kivételével nem vonatkozik azon személyes adatokra, amelyeknek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni. 18
d) Tiltakozás a személyes adat kezelése ellen Az Avtv. 16/A. -ban felsorolt feltételek alapján, az érintett tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el; a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi. Az adatkezelő az adatkezelés egyidejű felfüggesztésével a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést beleértve a további adatfelvételt és adattovábbítást is megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Az adatvédelemmel összefüggő bejelentéseket, tiltakozásokat az adatvédelmi felelős vizsgálja ki, iratanyag bekérésével vagy a helyszínen. A bejelentést, tiltakozást beérkezésétől számított 3 munkanapon belül továbbítani kell az adatvédelmi felelőshöz kivéve azt az esetet, amikor azt eredetileg az adatvédelmi felelőshöz nyújtották be. Az adatvédelmi felelős a hozzá beérkezett bejelentést 30 napon belül, a tiltakozást a legrövidebb időn belül, de legfeljebb az eredeti benyújtástól számított 15 napon belül vizsgálja ki. A vizsgálat eredményéről értesíti az érintettet és a bejelentés, tiltakozás helye szerinti szervezeti egységet valamint ha ettől különbözik, az adatkezelőt is. Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett az illetékes adatkezelő szervezeti egység vezetőjéhez, az adatvédelmi felelőshöz vagy az országgyűlés adatvédelmi biztosához fordulhat; ezen bejelentések miatt senkit sem érhet hátrány. Az adatkezelést végző szervezeti egység vezetője és az érintett közötti vitában a vezérigazgató vagy megbízottja dönt. Az Avtv. 17. -ának értelmében a döntés ellen az érintett bírósághoz fordulhat, ahol az ügyben soron kívül járnak el. 6. Adatfeldolgozó igénybevételének szabályai Az adatkezelő az adatok feldolgozásával kapcsolatos műveletek elvégzésére adatfeldolgozót vehet igénybe. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az Avtv., valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. a) Az adatkezelő felelőssége Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel. 19
A Társaság külső adatfeldolgozót is igénybe vehet. Adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységében érdekelt. A Társaság által igénybe vett adatfeldolgozó esetében szerződésben meghatározott szigorú szabályok szerint kell eljárni, melyek betartásáról rendszeres ellenőrzéssel kell meggyőződni (az ellenőrzést a Társaság részéről a szerződést aláíró vezető és az adatvédelmi felelős közösen végzi). b) Az adatfeldolgozó felelőssége Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. 20
IV. FEJEZET A KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGÁRA VONATKOZÓ ELŐÍRÁSOK Az Avtv. rendelkezései alapján a Társaság, mint közüzemi szolgáltató 6 a feladatkörébe tartozó ügyekben így különösen a közösségi közlekedésre vonatkozó közérdekű információkkal köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását. A Társaság rendszeresen közzé- vagy más módon hozzáférhetővé teszi a tevékenységével kapcsolatos legfontosabb adatokat. A Társaság képviseletében eljáró személyek neve, beosztása és munkaköre ha törvény másként nem rendelkezik bárki számára hozzáférhető, nyilvános adat. A tájékoztatás módját, a vonatkozó adatok körét jogszabály is megállapíthatja. A közérdekű adatok nyilvánosságára hozatala során elsősorban a közpénzek felhasználásával, a köztulajdon használatának nyilvánosságával, átláthatóbbá tételével és ellenőrzésének bővítésével összefüggő egyes törvények módosításáról szóló 2003. évi XXIV. törvény ( Üvegzseb-törvény ) előírásait kell figyelembe venni. A Társaságnak lehetővé kell tennie, hogy a kezelésében lévő közérdekű adatot bárki megismerhesse, kivéve, ha az adatot törvény alapján az arra jogosult szerv állam- vagy szolgálati titokká nyilvánította, illetve ha az nemzetközi szerződésből eredő kötelezettség alapján minősített adat, továbbá, ha a közérdekű adatok nyilvánosságához való jogot az adatfajták meghatározásával honvédelmi, nemzetbiztonsági, bűnüldözési vagy bűnmegelőzési, központi pénzügyi vagy devizapolitikai érdekből, külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, bírósági eljárásra tekintettel törvény korlátozza. A Társaság hatáskörében eljáró személynek a feladatkörével összefüggő személyes adata a közérdekű adat megismerését nem korlátozza. Ha törvény másként nem rendelkezik, a belső használatra készült, valamint a döntéselőkészítéssel összefüggő adat a kezelését követő 10 éven belül nem nyilvános. Kérelemre az adatok megismerését a vezérigazgató e határidőn belül is engedélyezheti. A közérdekű adatok megismerésével és nyilvánosságával összefüggésben az üzleti titok megismerésére a Ptk-ban foglaltak az irányadók. A közérdekű adatok nyilvánosságát a vezérigazgató korlátozhatja jogszabály alapján, továbbá az Európai Unió jogszabályai, illetve az Európai Unió jelentős pénzügyi- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdekeket is ez esetben azonban pontosan meg kell jelölni a korlátozás alapját képező jogszabályi hivatkozást. 6 Ld. az állami vállalatokról szóló 1977. évi VI. törvény előírásait. 21
A Társaság birtokában lévő, a városi közlekedésre, forgalmi igényekre és az utazási áramlásokra, a szolgáltatások költségére vonatkozó adatok jelentős értéket képviselnek, ezért ezen információk védelmét, jogosulatlan nyilvánosságra hozatalát meg kell akadályozni. A közérdekű adat megismerése A közérdekű adatok megismerésére irányuló szóban, írásban vagy elektronikus úton érkező kérelemnek a szakigazgatóság vezetője a kérelem tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül, közérthető formában tesz eleget. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről annak tárolási módjától függetlenül költségtérítés ellenében a kérelmező másolatot kérhet. A közérdekű adatok kérelmező felé történő közlése kizárólag a kabinet igazgató jóváhagyását követően történhet meg. A közérdekű adat közléséért a Társaság legfeljebb a közléssel kapcsolatban felmerült költség mértékéig költségtérítést állapíthat meg. A költségtérítés mértékét a szakigazgatóság vezetője a gazdasági vezérigazgató-helyettessel egyetértésben állapítja meg. A kérelmező kérésére a költség összegét előre közölni kell. A közérdekű adat megismerésére vonatkozó kérelem megtagadása A kérelem megtagadásáról annak indokaival együtt 8 napon belül írásban értesíteni kell a kérelmezőt, valamint az adatvédelmi felelőst. Az adatvédelmi felelős évente értesíti az adatvédelmi biztost az elutasított kérelmekről, valamint az elutasítások indokairól. Ha a közérdekű adatokra vonatkozó kérését nem teljesítik, a kérelmező a bírósághoz fordulhat. A megtagadás jogszerűségét és megalapozottságát a Társaság köteles bizonyítani. A kérelem megtagadása esetén a bírósági eljárást megelőzendő a szakigazgatóság vezetőjének az adatvédelmi felelős tájékoztatásával egyidejűleg a Kabinet igazgatóság Jogi koordinációs csoportja jogi állásfoglalását kell kérnie (ettől függetlenül a kérelmező és vele egyidejűleg az adatvédelmi felelős írásos értesítése 8 napon belül kell, hogy megtörténjen). Ha a bíróság a kérelemnek helyt ad, határozatában a Társaságot a kért közérdekű adat közlésére kötelezi. 22
V. FEJEZET AZ ADATVÉDELEM ÉS ADATBIZTONSÁG TECHNIKAI HÁTTERÉNEK EGYES KÉRDÉSEI Az Avtv. rendelkezései szerint az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Jelen fejezetben felsorolt intézkedések a törvényi szabályozások leképezései, a szakmai és technikai szabályokat, eljárásokat az IT-biztonsági Szabályzat tartalmazza részletesen. 1. Az infrastruktúrához kapcsolódó védelmi intézkedések Irattáraknál, zárt helyiségbe (pl. gépterem) történő informatikai eszközök telepítésénél, biztosítani kell a tűzvédelmet, a ki- és belépés ellenőrzött rendjét, az illetéktelen bejutást gátló eszközök üzembiztos működését, valamint az informatikai eszközök karbantartása esetén garantálni kell a gyártó cégek előírásainak betartását. A biztonságtechnikai eszközök működését rendszeresen ellenőrizni kell, és gondoskodni kell a biztonságtechnikai berendezések rendszeres karbantartásáról. a) Szervertermek üzemeltetési rendje, biztonsági előírásai A részletes rendelkezéseket az IT-biztonsági Szabályzat tartalmazza. b) Informatikai rendszerek osztályozási irányelvei Az informatikai rendszereket két szempont alapján kell osztályozni: a rendszerben kezelt információ bizalmassága, illetve a rendszerrel megvalósított információfeldolgozás, adatszolgáltatás rendelkezésre állása szempontjából. 23
A rendszerrel kezelt információ bizalmassága szerinti osztályozás A bizalmasság alapján történő osztályozás során meg kell vizsgálni, hogy a bizalmasság megsértése milyen következményekkel járhat. A következő fajtákat célszerű megkülönböztetni: dologi kár, gazdasági károk, károk a munkahelyi és a fogyasztói bizalom területén, károk a személyi biztonság területén. Meg kell vizsgálni továbbá a törvényi előírásokból adódó kötelezettségek megtartásának feltételeit. Ezek alapján az informatikai rendszereket bizalmasságuk szerint három biztonsági szintre (osztályba) sorolhatjuk be. A rendszer besorolása Szigorúan bizalmas rendszerek Kritériumok Azon informatikai rendszerek, melyek hozzáférés korlátozási sérülése: jelentős, közvetlen anyagi kárt okoz, hosszútávra rontja a versenypozíciót, közvetlen súlyosan elmarasztaló jogi következményekkel jár, a menedzsment bizalomvesztését vagy leváltását okozhatja, emberéletet veszélyeztető szabotázs vagy terrorcselekmények megtervezéséhez, kivitelezéséhez közvetlenül felhasználható kulcselem. A jelen Szabályzat 2. pontja alapján minősített megemelt, fokozott vagy kiemelt biztonsági szintű adatokat kezelő informatikai rendszerek. Példa jelszavak, belépési kódok, biometrikus adatok, elektronikus aláírások, titkosító kulcsok az információbiztonsági dokumentáció részei pénzügyi jelentések, könyvelési vagy banki adatok, hitelkártya adatok stratégiai fejlesztési vagy beruházási tervek, a kapcsolódó döntés előkészítő anyagok, és az ezeket megalapozó kimutatások adatai különleges szakmai ismeretek és a kapcsolódó kimutatások, statisztikák szabadalmak közbeszerzési eljárások dokumentumai, személyi döntések dokumentumai igazgatótanácsi ülések primer jegyzőkönyvei személyi biztonsági, élet- és balesetvédelmi rendszerek dokumentációi, üzemvitelei szabályzatai 24