Dabas és Környéke Vízügyi Kft. H-2370 Dabas, Széchenyi u. 3. Tel: 29/360-321; 29/360-323 Tel./fax: 29/360-323 E-mail: info@dakov.hu INFORMATIKAI kiadás /változat 1.0 jóváhagyta, hatályba léptette: Hatályba lépés dátuma: 2015. 04.01 Ezen szabályozás mindenkor érvényes, ellenőrzött példánya elektronikus formában tárolva az DAKÖV Kft. számítógépes hálózatán található. A korábban kinyomtatott példányok érvényességét használat előtt összehasonlítással ellenőrizze!
Oldalak száma: 2/31 Verzió Készítette /módosította Módosítás Hatályba lépés dátuma File neve 1.0 DAKOV 2015.04.01 iavsz.pdf. Hatályba helyezve: 2015. 04.01. Oldalszám: 2 / 31
Oldalak száma: 3/31 Tartalomjegyzék 1 Cél... 5 2 A szabályzat hatálya... 5 2.1 Időbeli hatály... 5 2.2 Személyi hatály... 5 2.3 Tárgyi hatály... 5 3 A szabályzat minősítése... 6 4 A szabályzat felülvizsgálata... 6 5 Meghatározások... 6 6 Felelősök, felelősségi körök... 9 7 Az adatok besorolása... 9 8 Általános szabályok... 12 8.1 Személyes adat kezelése... 12 8.2 Titoktartási kötelezettség... 14 9 Az adatok kezelése papíralapú adathordozó esetében... 14 10 Az adatok kezelése elektronikus adathordozó esetében... 15 11 Az adatokat tartalmazó adathordozó megsemmisítése... 15 12 Adatnyilvántartás... 16 13 Bejelentés az adatvédelmi nyilvántartásba... 16 14 Adattovábbítás megkeresés alapján... 18 14.1 A védett adatok kiadása... 18 15 Adattovábbítási nyilvántartás vezetése... 18 16 Hatósági megkeresések teljesítése... 19 17 Adatvédelmi oktatás... 19 18 Az Érintett tájékoztatáshoz való joga... 19 19 Tiltakozási, panasztételi jog... 20 20 Ellenőrzés... 21 21 Hatályon kívül helyezés... 21 Hatályba helyezve: 2015. 04.01. Oldalszám: 3 / 31
Oldalak száma: 4/31 22 Mellékletek és formanyomtatványok... 21 23 Mellékletek... 22 1. sz. melléklet - Az adatkezelő és a belső Adatvédelmi Felelős adatai... 22 2. sz. melléklet - ADATLAP a belső adatvédelmi nyilvántartásba történő bejelentéshez... 23 Hatályba helyezve: 2015. 04.01. Oldalszám: 4 / 31
Oldalak száma: 5/31 1 Cél A Dabas és Környéke Vízügyi Kft. (továbbiakban Társaság) működése során a személyes adat, a tevékenység során keletkező üzleti titkot jelentő, illetve egyéb adatok kezelésére, kiadhatóságára, és megsemmisítésére, továbbá a belső információk védelmére vonatkozó szabályok meghatározása. A Társaság által vezetett adatnyilvántartások rendjének, az adatvédelem alkotmányos elvéknek, az információs önrendelkezési jognak, s az adatbiztonság követelményeinek érvényesülését biztosítani. Megakadályozni a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását, valamint biztosítani az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info. tv) rendelkezéseinek való megfelelést. 2 A szabályzat hatálya 2.1 Időbeli hatály A jelen Szabályzat az Ügyvezetők által történő hatályba helyezés napját követő első munkanapon lép hatályba, a dokumentumba foglalt feladatok és szabályok ezen időponttól alkalmazandók. A Szabályzat a hatályon kívül helyezésig alkalmazandó. 2.2 Személyi hatály A Szabályzat személyi hatálya kiterjed: A Társaság valamennyi munkavállalójára. A Társaság informatikai rendszerével, szolgáltatásaival kapcsolatban a Társasággal szerződéses jogviszonyban álló természetes és jogi személyekre, jogi személyiséggel nem rendelkező szervezetekre (a továbbiakban: külső személy), a velük kötött szerződésben, illetve a titoktartási nyilatkozatban rögzített mértékben. A Társaság IT rendszereit használó a rendszerekhez és alkalmazásokhoz bármilyen hozzáféréssel rendelkező természetes vagy jogi személyre. 2.3 Tárgyi hatály A szabályzat hatálya kiterjed a Társaság minden információkezeléssel és információfeldolgozással kapcsolatos folyamatára és tevékenységére vagy támogatásukban részt vevő informatikai eszközökre, illetve azok elhelyezésére szolgáló létesítményekre. Egyaránt vonatkozik a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben előforduló adatokra, információkra, a Társaság tulajdonában lévő informatikai rendszerek teljes életciklusára (tervezés, fejlesztés, beszerzés, bevezetés, üzemeltetés, kivonás). Hatályba helyezve: 2015. 04.01. Oldalszám: 5 / 31
Oldalak száma: 6/31 3 A szabályzat minősítése A jelen szabályozás belső nyilvános dokumentum, amelyet a szabályzat személyi hatálya alá nem tartozó harmadik személy csak és kizárólag az Ügyvezetők előzetes írásos engedélye alapján ismerhet meg. Jelen szabályzat személyi hatálya alá tartozóknak a szabályzat előírásait kötelezően ismerniük (a munkaviszony kezdetének napján, de legkésőbb az első munkában töltött napon) és követniük kell, azonban harmadik személynek a szabályzatból információt nem adhat ki. 4 A szabályzat felülvizsgálata A szabályzatot évi rendszerességgel felül kell vizsgálni. A szabályzat felülvizsgálata az Adatvédelmi Felelős feladata. 5 Meghatározások Személyes adat Adatgazda Adatkezelés Adatkezelő Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintett különösen akkor tekinthető azonosíthatónak, ha őt közvetlenül vagy közvetve név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. Jelenti azt a személyt, aki élve a Társaság által biztosított jogosultságával, adatot minősít, illetve osztályba sorol és felelős az általa minősített adat kezeléséért. Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtés, felvétel, rögzítés, rendszerezés, tárolás, megváltoztatás, felhasználás, továbbítás, nyilvánosságra hozatal, összehangolás vagy összekapcsolás, zárolás, törlés és megsemmisítés, valamint az adatok további felhasználásának megakadályozása. Az adatkezelést végző természetes vagy jogi személy. Az adatkezelő meghatározza az adatkezelés célját, valamint az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. Hatályba helyezve: 2015. 04.01. Oldalszám: 6 / 31
Oldalak száma: 7/31 Adatfeldolgozó Adatfeldolgozás Adatvédelmi Felelős Adattörlés Adatmegsemmisítés Adattovábbítás EGT-állam Érintett Harmadik ország Hozzájárulás Tiltakozás Ügyfél Védett adat Az a természetes személy, jogi személy, jogi személyiséggel nem rendelkező gazdasági társaság vagy egyéni vállalkozó, aki vagy amely az adatkezelő részére adatfeldolgozást végez. Az adatkezeléshez kapcsolódó technikai feladatok elvégzése. Az adatkezelésre vonatkozó jogszabályok és jelen Szabályzat rendelkezéseinek megtartásáért felelős kijelölt személy. Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé ne legyen lehetséges. Az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése. Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. Az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez. Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy. Minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek. Az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő kezeléséhez. Az Érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. Jelen szabályzatban a Társaság üzleti partnerei (vevők, beszállítók) A törvény erejénél fogva minősül védett adatnak, ezért az ezekkel kapcsolatos titokvédelmi szabályokat akkor is Hatályba helyezve: 2015. 04.01. Oldalszám: 7 / 31
Oldalak száma: 8/31 alkalmazni kell, ha az adatvédelmi minősítés nincs az adathordozón megjelölve, vagy a védett adat birtokába kerülő személy figyelmét az adatvédelmi szabályok alkalmazásának kötelezettségére az adat átadásakor külön nem hívták fel. A védett adat kiadhatósága kérdésében az Adatvédelmi Felelős szakvéleménye az irányadó. Védett adat különösen a személyes adat, különleges adat és az üzleti titok (Ptk. 2:47 ) Hatályba helyezve: 2015. 04.01. Oldalszám: 8 / 31
Oldalak száma: 9/31 6 Felelősök, felelősségi körök Adatvédelmi Felelős A Társaság Adatvédelmi felelőse a Társaság Információbiztonsági Felelőse. Az Adatvédelmi Felelős folyamatosan ellenőrzi az adatkezelésre vonatkozó jogszabályok és az Adatvédelmi Szabályzat rendelkezéseinek megtartását. Amennyiben a tevékenysége során jogszabálysértést, vagy jogosulatlan adatkezelést észlel, annak megszüntetésére szólítja fel az adatkezelőt, adatfeldolgozót, vagy az adattal kapcsolatba került egyéb személyt. Amennyiben adatkezeléssel kapcsolatos panasz érkezik, a panaszt haladéktalanul továbbítani kell az Adatvédelmi Felelősnek. Az Adatvédelmi Felelős a panasszal kapcsolatban a jelen Szabályzat Tiltakozási, panasztételi jog c. pontjában foglaltak szerint jár el. Amennyiben nem egyértelmű, hogy egy adat tekintetében a jelen Szabályzat mely rendelkezéseit kell alkalmazni, e kérdésben az Adatvédelmi Felelős állásfoglalása az irányadó. Adatgazda Adatgazdák a Társaság Informatikai Biztonsági Szabályzatban kerülnek meghatározásra. Az Adatgazdák a területükön keletkező, illetve a hozzájuk tartozó alkalmazásokban található, illetve létrejövő adatokat besorolják, nyilvántartják. Az Adatgazdák az adatok besorolásáért, nyilvántartásáért, megőrzéséért, kezelésért és a jelen Szabályzat betartásáért felelősek. Az Adatvédelmi Felelős ellenőrizheti, az adatok megfelelő besorolását, illetve a besorolásnak megfelelő kezelést. Az adatgazdai kinevezések eredeti példányát az Adatgazdánál, egy másolati példányát pedig az Adatvédelmi Felelősnél kell elhelyezni. Az Adatgazdákat a Társaság Ügyvezető igazgatói nevezik ki. Az Adatgazdák 30 napon belül kötelesek bejelenteni e-mailban a Társaság Adatvédelmi Felelősének a jelen Szabályzat 2. sz. mellékletét képező ADATLAPON a jelen szabályzat hatálybalépésének időpontjában meglévő adatkezeléseket (ideértve az adattovábbításokat is), továbbá azok megváltozása esetén 8 napon belül a változásokat. A bejelentett adatkezeléseket követő új adatkezeléseket az adatkezelés tervezett bevezetése előtt legalább 45 nappal (ügyfél adatkezelés esetén), illetve legalább 14 nappal (nem-ügyfél adatkezelés esetén) kell bejelenteni az Adatvédelmi Felelősnek, illetve az engedély megadását követően a már bejelentett adatok megváltozása esetén 3 napon belül a változást. 7 Az adatok besorolása A Társaság információrendszerében feldolgozott, továbbított, tárolt adatok kockázatarányos védelmének biztosítása érdekében az adatokat be kell sorolni információvédelmi osztályokba. Hatályba helyezve: 2015. 04.01. Oldalszám: 9 / 31
Oldalak száma: 10/31 Az információ-osztályozási rendszert kell használni a védettségi szintek meghatározására, valamint arra, hogy közvetítse a különleges kezelési intézkedésekre vonatkozó igényt. Az osztályzási rendszernek figyelembe kell vennie: az információ osztályba sorolt vagyontárgyak sértetlenségének, rendelkezésre állásának és bizalmasságának az üzletmenetre gyakorolt hatását; a sértetlenség, rendelkezésre állás és bizalmasság elvesztéséből eredő vagyoni és nem vagyoni kár nagyságát; tárolás esetén az adathordozó típusát; a teljes körűség elvét, vagyis az osztályozásnak ki kell terjednie a rendszer összes eleme által kezelt információra; a besorolásnál fellépő (esetleges) logikai ütközéseket. Minden besorolási osztálynak tartalmaznia kell a kezelés információ feldolgozás - eljárását is, mely kiterjed a: másolásra, tárolásra, továbbításra, megsemmisítésre. Az információrendszerben elektronikusan tárolt adatok esetén az adatok azon halmazát, amelyekre a tárolás számítástechnikai körülményeiből adódóan jellemzően azonos védettség valósítható meg (közös adatbázis, azonos könyvtár), ugyanabba az információvédelmi osztályba kell sorolni, mégpedig oly módon, hogy a halmaz egészére ki kell terjeszteni a halmaz legérzékenyebb elemének besorolását. Az Adatgazdák az Információ Biztonsági Felelős (IBF) kezdeményezésére és koordinálásával az adatok osztályozását évente legalább egyszer felülvizsgálják, és a besorolást megváltoztatják vagy jóváhagyják: ha az információkezelést és feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében lényeges változás áll be, a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben lényeges változás áll be. Hatályba helyezve: 2015. 04.01. Oldalszám: 10 / 31
Oldalak száma: 11/31 Az adatokat az alábbiak szerint kell besorolni a meghatározott biztonsági osztályokba: Információvédel mi biztonsági osztály Nyilvános Belső Bizalmas Az adott biztonsági osztályra jellemző adattípusok Ide tartoznak a jogszabályok által nem védett adatok. A gazdálkodáshoz kapcsolódó mérlegadatok, amelyek közzétételére kötelezett a Társaság, Interneten közzétett, nyilvánosan szolgáltatott információk, tesztszolgáltatások, minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest jelentéktelen mértékű veszteséggel jár. Ide tartoznak a jogszabályok által védett (pl. személyes) adatok. Belső előterjesztések, jegyzőkönyvek, határozatok, utasítások, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba, Definíció, vagy szabályzat szerinti belső adatok, információk, amelyek csak belső üzleti célokra használhatóak fel, Nyilvános biztonsági osztályba kerülő adatok előkészítése során előálló munkaanyagok, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest jelentéktelen mértékű veszteséggel jár. Ide tartoznak a jogszabályok által védett (pl. személyes) adatok vagy bizalmas ügyfél adatok. A Társaság normál üzleti tevékenységével kapcsolatos szerződés- és ügyféladatok, Definíció, vagy a Társaság Információbiztonsági Szabályzata szerint üzleti titoknak nyilvánuló információ, A Társaság informatikai infrastruktúrájával kapcsolatos végleges, a pillanatnyi működést dokumentáló információk, Olyan adatok, amelyek nyilvánosságra kerülése hátrányosan Hatályba helyezve: 2015. 04.01. Oldalszám: 11 / 31
Oldalak száma: 12/31 Szigorúan bizalmas befolyásolja a Társaság üzleti érdekeit, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül nem kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest közepes mértékű veszteséggel jár. Ide tartoznak a jogszabályok által védett különleges adatok (pl. nagy tömegű személyes) vagy bizalmas, ügyfél adatok, ügyfél titkok. Azonosító és hitelesítő adatok, információk (azon információk köre, amelyek kapcsolattartás során a jogi és anyagi kötelezettség elismeréséhez szükséges formai kelléknek, azonosító és hitelesítő adatnak minősülnek), Olyan adatok, amelyek nyilvánosságra kerülése különösen hátrányosan befolyásolja a Társaság üzleti érdekeit, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül már nem kezelhető vagy jelentős és összemérhető a Társaság költségvetésével továbbá a Társaság szellemi erőforrásaihoz képest is jelentős mértékű veszteséggel és súlyos társadalom-politikai hatással jár. Azon adatok, amelyek egyértelműen máshova nem kerültek besorolásra a Belső kategóriába tartoznak. A fenti besorolást kell alkalmazni az adatok mind elektronikus, mind nyomtatott formában történő megjelenése esetén. 8 Általános szabályok 8.1 Személyes adat kezelése 1 Személyes adat az Társaságban akkor kezelhető, ha ahhoz az Érintett írásban hozzájárult, vagy törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben közérdeken alapuló célból elrendeli. Személyes adat akkor is kezelhető, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából 1, az adatkezelés jogalapja Hatályba helyezve: 2015. 04.01. Oldalszám: 12 / 31
Oldalak száma: 13/31 szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Ha az Érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az Érintett személyes adatai kezelhetőek. Ha a személyes adat felvételére az Érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül, valamint az Érintett hozzájárulásának visszavonását követően is kezelheti. Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az Érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az Érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. Az Infotv. szerint az Érintett kérésére induló eljárásban a szükséges adatoknak a kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az Érintett figyelmét fel kell hívni. Az Érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről (tájékoztatás) az Adatkezelő feladata gondoskodni. 2Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az Érintett személyes adatait az adatkezelő az Infotv. 6. (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. 2 az érintett előzetes tájékoztatásának követelménye Hatályba helyezve: 2015. 04.01. Oldalszám: 13 / 31
Oldalak száma: 14/31 Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is. Ha az Érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az Érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az Érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma. 3Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e kritériumoknak, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről. 8.2 Titoktartási kötelezettség Belső, bizalmas és szigorúan bizalmas adatot időkorlátozás nélkül köteles minden az adathoz hozzáférő személy titokban tartani és biztosítani azt, hogy védett, illetve üzleti adatot törvényben, valamint a jelen Szabályzatban foglalt esetek kivételével harmadik személy ne ismerhesse meg, és az adat ne váljon hozzáférhetővé. Az adatkezelés céljának megszűnését követően az adatot - amennyiben azok megőrzését jogszabály nem írja elő - törölni kell. 9 Az adatok kezelése papíralapú adathordozó esetében Belső, bizalmas és szigorúan bizalmas adatot tartalmazó iratokat olyan módon kell kezelni, amely biztosítja, hogy illetéktelen azokhoz ne férhessen hozzá. Az adatokat tartalmazó iratokat elzárás nélkül őrizetlenül hagyni nem szabad. A bizalmas, szigorúan bizalmas adatot tartalmazó irat házon kívülre történő kézbesítése csak zárt borítékban vagy olyan irattartó használatával történhet, amely alkalmas arra, hogy az iratot teljes terjedelmében takarja, és az irattartó illetéketlen kinyitása felismerhető legyen. A zárt boríték, illetve az irattartó csak a címzettnek, 3 az adatkezelés elvei Hatályba helyezve: 2015. 04.01. Oldalszám: 14 / 31
Oldalak száma: 15/31 vagy írásbeli megbízottjának adható át. Az Adatvédelmi Felelőst értesíteni kell, ha a borítékot, illetve az irattartót az átvételt megelőzően felnyitották. 10 Az adatok kezelése elektronikus adathordozó esetében Belső, bizalmas és szigorúan bizalmas adatok a Társaság szervezeti rendszerén belül a feladat elvégzéséhez szükséges mértékben és ideig továbbíthatók, azon szervezeti egységek részére, amelyek az adatok kezelésében és feldolgozásában részt vesznek. Elektronikus úton, a Társaságon kívüli címzetthez belső, bizalmas és szigorúan bizalmas adatot csak titkosított csatornán, vagy az adatok titkosítását követően szabad továbbítani, de csak abban az esetben, ha a titkosítást, vagy a titkosított csatornát az Informatikai Biztonsági Felelős megfelelőnek minősítette. 11 Az adatokat tartalmazó adathordozó megsemmisítése Belső, bizalmas és szigorúan bizalmas, vagy a Társasághoz bármilyen módon köthető adatokat tartalmazó adathordozót oly módon kell selejtezni, hogy az eljárás eredményeképpen az adathordozó adattartalma semmilyen módon ne legyen helyreállítható (fizikai megsemmisítése, bezúzás, mágneses vagy optikai adathordozó esetén többszörös felülírás stb.).a selejtezett és megsemmisített anyagokról jegyzőkönyvet kell felvenni. A megsemmisítés csak akkor lehetséges, ha az adat tárolására vonatkozó, jogszabályok által meghatározott kötelező megőrzési idő lejárt. Az adathordozók megsemmisítéséről a Társaság Információbiztonsági Szabályzata rendelkezik. Az adatokat tartalmazó irat előkészítése során keletkezett olyan papírhulladékot, amelyből az adatok kinyerhetőek, a használatot követően haladéktalanul iratmegsemmisítővel kell megsemmisíteni. Hatályba helyezve: 2015. 04.01. Oldalszám: 15 / 31
Oldalak száma: 16/31 12 Adatnyilvántartás Az Adatgazdáknak nyilvántartást kell vezetniük az adatkezelés megkezdése előtt a nyilvántartásra kötelezett adatokról. Nyilvántartásra kötelezett adatoknak minősülnek azok az adatok, amelyeket a mindenkori jogszabályok nyilvántartásra kötelezett adatoknak minősítenek. A nyilvántartásnak az alábbi adatokat kell tartalmaznia: az adatkezelés célját; az adatok fajtáját és kezelésük jogalapját; az Érintettek körét; az adatok forrását; a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; az egyes adatfajták törlési határidejét; az adatok kezelőjét (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, elérhetősége) Az adatkezelés megszűnése után a nyilvántartást archiválni kell. Az archivált nyilvántartás öt év elteltével megsemmisíthető. 13 Bejelentés az adatvédelmi nyilvántartásba Az Adatvédelmi Felelős a www.naih.hu honlapról letölthető formanyomtatvány kitöltésével vagy az Infotv. 65. 4-ában meghatározott tartalommal saját maga által kialakított űrlapon jelenti be az adatkezeléseket a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) nyilvántartásába. Nem kell bejelenteni az Infotv. 65. (3) bekezdésében felsorolt adatkezeléseket, de különösen, ha az adatkezelés: a) az adatkezelővel munkaviszonyban, tagsági viszonyban, álló személyek adataira vonatkozik; b) az Érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik; c) a hatósági, az ügyészségi és a bírósági eljárás által Érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira vonatkozik; d) a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy - törvényben meghatározottak szerint - az adatok Érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; e) a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra. 4 az adatvédelmi nyilvántartás Hatályba helyezve: 2015. 04.01. Oldalszám: 16 / 31
Oldalak száma: 17/31 A személyes adatok kezelésének nyilvántartásba vételét az Adatvédelmi Felelős - a kötelező adatkezelés kivételével az adatkezelés megkezdése előtt - kérelmezi a Hatóságnál. A kötelező adatkezelés kivételével az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg. A kötelező adatkezelés nyilvántartásba vételét az adatkezelő az adatkezelést elrendelő jogszabály hatálybalépését követő húsz napon belül kérelmezi a Hatóságnál. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. A Hatóság az adatkezelést a kérelem beérkezésétől számított nyolc napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatványban elkért adatokat. Ha a Hatóság a nyilvántartásba vétel iránti kérelmet határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltak szerint megkezdheti. Ha a kérelem olyan, a szervezet ügyfelére vonatkozó adatkezelés nyilvántartásba vételére irányul, amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, illetve amely az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé, a nyilvántartásba vétel feltétele, hogy az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók legyenek. Az előző bekezdésben tárgyalt adatkezelést a Hatóság a kérelem beérkezésétől számított negyven napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatvány szerinti adatokat és az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók. Az e pont szerinti adatkezelés nem kezdhető meg a nyilvántartásba vételről szóló határozat kézhezvétele előtt. A Hatóság az adatvédelmi nyilvántartásba vételi kérelemnek helyt adó határozata tartalmazza az adatkezelés nyilvántartási számát, amelyet az Adatkezelőnek az adatok minden továbbításánál, nyilvánosságra hozásánál és az Érintettnek való kiadásakor fel kell tüntetni. A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét. A bejelentett adatok megváltozása esetén az Adatkezelő a változás bekövetkezésétől számított nyolc napon belül változásbejegyzési kérelmet nyújt be a Hatóságnak. A kérelemnek csak a megváltozott adatokat kell tartalmaznia. Hatályba helyezve: 2015. 04.01. Oldalszám: 17 / 31
Oldalak száma: 18/31 14 Adattovábbítás megkeresés alapján 14.1 A védett adatok kiadása Személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak a jelen szabályzat Adattovábbítás megkeresés alapján fejezetében meghatározott valamely jogalap alapján lehet. EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor. EGT-államon kívüli országban lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha ahhoz az Érintett kifejezetten hozzájárult; vagy az adatkezelés jogalapja biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme. A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha az Európai Unió kötelező jogi aktusa azt megállapítja (különösen, ha a célországban lévő adatkezelő vagy adatfeldolgozó szerepel az ún. Safe Harbor listán), vagy a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban. Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén. Védett adat kiadására kivéve ha a jogszabály másként rendelkezik - csak az Ügyvezetők, vagy az általuk írásban meghatalmazott személy jogosult. Az adatot kiadó személy az adatkiadásért felelősséggel tartozik. 15 Adattovábbítási nyilvántartás vezetése Az Érintett kérelmére az Adatkezelő tájékoztatást ad az Érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az Érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az Érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza: az általa kezelt személyes adatok továbbításának időpontját, Hatályba helyezve: 2015. 04.01. Oldalszám: 18 / 31
Oldalak száma: 19/31 az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az Társaság az adattovábbításokat az Adattovábbítás című formanyomtatványon az ott meghatározott formában és tartalommal tarja nyilván. Az adattovábbítási nyilvántartás adatai az Infotv. 17. (3) bekezdésének figyelembevételével törölhetőek. 16 Hatósági megkeresések teljesítése Hatósági, bírósági megkeresés alapján védett adatot kivéve, ha a jogszabály másként nem rendelkezik jelen Szabályzatban meghatározott előírásokkal összhangban lehet teljesíteni. Az adatot kiadó az adatkiadásért felelősséggel tartozik. Kivételesen (különösen indokolt esetben) akkor is teljesíthető a hatósági, bírósági megkeresés, ha nem áll rendelkezésre a megkeresés eredeti példánya (például, mert a megkeresés a nyomozati cselekmények sürgőssége miatt telefaxon érkezett). Ilyen esetben a megkeresés eredeti példányát haladéktalanul be kell szerezni. 17 Adatvédelmi oktatás Az Adatvédelmi Felelős gondoskodik a szervezeten belül az adatvédelmi ismeretek évente egy alkalommal történő, kötelező oktatásáról. Az oktatáson az Társaság minden munkatársa köteles részt venni. Az oktatáson való részvételt jelenléti ívvel dokumentálni kell, amelyet az Adatvédelmi Felelős tárol. 18 Az Érintett tájékoztatáshoz való joga Az Érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről. E jogát oly módon kell biztosítani, hogy az Érintett más személy adatait ne ismerhesse meg. Az Érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat. A tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül, közérthető formában kell teljesíteni. Amennyiben az Érintett úgy rendelkezik, a tájékoztatást írásban kell megadni. Hatályba helyezve: 2015. 04.01. Oldalszám: 19 / 31
Oldalak száma: 20/31 A tájékoztatás megadása, és továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan az Érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek szerződésben is rendelkezhetnek. A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg: az Érintett nem a saját adataira vonatkozóan kér tájékoztatást; a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel Érintett személy; amennyiben törvény a tájékoztatást kizárja; ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az Érintett tájékoztatási jogának korlátozását. A felvilágosítás megtagadása esetén tájékoztatni kell az Érintettet a bírósághoz és az adatvédelmi hatósághoz fordulás jogáról. Ezen felül a folyó évet követő január 31-éig tájékoztatni kell a Nemzeti Adatvédelmi és Információszabadság Hatóságot az elutasított kérelmekről. 19 Tiltakozási, panasztételi jog Amennyiben a Társaság ügyfele, egyéb személy vagy szervezet tiltakozik védett adatainak kezelése ellen vagy az adatkezelés módjával kapcsolatban panaszt nyújt be, az Adatvédelmi Felelős a tiltakozást, panaszt köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 30 nap alatt megvizsgálni. Amennyiben az Adatgazda vagy az adatkezelő az adatokat nem a jogszabályoknak vagy jelen szabályzatnak megfelelően kezelte, a panaszügyet az Adatvédelmi Felelős vizsgálja ki vagy utasítja az Adatgazdát a kivizsgálás lefolytatására. Ebben az esetben az Adatgazda a kivizsgálás eredményéről az Adatvédelmi Felelőst tájékoztatja. A vizsgálat eredményéről az Adatvédelmi Felelős a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás vagy a panasz indokolt, az Adatvédelmi Felelős intézkedik az adatkezelés jogszabályok, illetve jelen szabályzat szerinti kezeléséről. Az Adatvédelmi Felelős a tiltakozásról, panaszról továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a Társaság az Érintett védett adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási, panasztételi jog érvényesítése érdekében. Az Adatvédelmi felelős az adatkezeléssel kapcsolatos panaszokról nyilvántartást vezet. A Társaság munkavállalói, illetve egyéb szerződéses jogviszony alapján a Társaságban munkát végző személyek az Adatvédelmi Felelős eljárása során kötelesek annak utasítása szerint eljárni. Hatályba helyezve: 2015. 04.01. Oldalszám: 20 / 31