Az IMO HUNGARY Autómosó Kft. (továbbiakban: Szervezet) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.), valamint a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény alapján a Szervezet adatvédelmének, adatbiztonságának és adatkezelésének rendjére az alábbi szabályzatot alkotja. A Szervezetnél történő személyes adatok kezelését további ágazatspecifikus részletező szabályok is meghatározhatják, amelyeket a Szervezet az adatkezelés során szem előtt tart és jelen szabályzat megalkotása során figyelembe vett.
A szabályzat célja és hatálya
- Magyarország Alaptörvényének VI. cikke értelmében mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. Ez a hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH).
- Az IMO HUNGARY Autómosó Kft kiemelten fontosnak tartja a személyes adatok védelmét és azok bizalmas kezelését, valamint a közérdekű, ill. közérdekből nyilvános adatok minél szélesebb körű nyilvánosságra hozatalát. A Szervezet adatvédelmi tájékoztatója (a továbbiakban: Szabályzat) a Szervezetnél vezetett nyilvántartásokra vonatkozó legfontosabb adatvédelmi szabályokat, elveket tartalmazza, különös tekintettel az adatkezeléssel, adatfeldolgozással, adattovábbítással, adatvédelemmel és nyilvánosságra hozatallal kapcsolatos követelményekre. A Szabályzat célja, hogy a vonatkozó jogszabályok előírásai szerint, a társadalom és az érintettek érdekeinek megfelelően meghatározza a Szervezet működésével kapcsolatos adatok kezelése és a feladatellátása körébe tartozó adatok feldolgozásának feltételeit, módját.
- E szabályzat célja, hogy meghatározza a Szervezetnél vezetett nyilvántartások törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát.
- E szabályzat személyi hatálya kiterjed a Szervezettel munkavállalói, megbízási vagy más munkavégzésre irányuló egyéb jogviszonyban álló személyekre.
- E szabályzat személyi hatálya kiterjed továbbá azon személyekre is, akik a Szervezettel nem állnak a fenti bekezdés szerinti jogviszonyban, azonban
- e jogviszony létesítése céljából adataikat a Szervezet kezeli,
- adataikat jogszabályi előírás folytán a Szervezet a jogviszony megszűnését követően kezelni köteles.
- A jelen szabályzat tárgyi hatálya kiterjed a Szervezet által kezelt, jogszabály alapján személyes, közérdekű vagy közérdekből nyilvános
- A jelen szabályzat hatálya nem terjed ki az informatikai eszközökkel összefüggő technikai adatvédelemre, amelyről az információbiztonsági szabályzat
Értelmező rendelkezések
A Szabályzat alkalmazása során az Infotv.-ben meghatározottakon túl:
- érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
- személyes adat: érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
- hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
- tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
- adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az adatalany információs önrendelkezési jogának érvényesítése érdekében;
- információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;
- adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
- adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
- adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
- nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
- adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
- adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
- adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
- adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
- adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik;
- adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;
- adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;
- adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi;
- adatállomány: az egy nyilvántartásban kezelt adatok összessége;
- harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
- adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége; az adatkezelésnek az az állapota, amelyben a kockázati tényezőket - és ezzel a fenyegetettséget - a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik;
- adatgazda: a Hatóság vezetője, illetve aki az adott adatkezelésre vonatkozó döntési jogosultsággal rendelkezik;
- betekintési és megismerési jogosultság: az a jogkör, amelynek birtokában a jogosult számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes és különleges adatok;
- közvetlen megismerési jogosultság: adott adatállomány informatikai alkalmazás igénybevételével kezelt adatainak megismeréséhez adott olyan jogkör, amely a jogosult számára lehetőséget biztosít arra, hogy az ott kezelt adatokhoz az általa megválasztott időpontban közvetlen lekérdezéssel hozzáférjen;
- közvetlen lekérdezés: adott adatállományban kezelt adatokban - az adatkezelő által előzetesen rendelkezésre bocsátott általános lekérdezési jogosultság felhasználásával - előre meghatározatlan időpontban és alkalommal, naplózott formában történő betekintés, illetve az így megismerhetővé vált információ kinyomtatása, vagy más módon történő rögzítése;
- adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, személyes vagy különleges adatot tartalmazó anyag;
- hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, avagy másolatok készítésére szolgál, valamint amely elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja;
- hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas;
- adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Az adatvédelem, adatbiztonság és adatkezelés szervezete
- A szervezeti egységek vezetői kötelesek gondoskodni a jelen szabályzatban foglaltak betartásáról és betartatásáról.
- Az informatikai eszközökkel összefüggő technikai adatvédelemért az informatikai felelős és annak vezetője az információbiztonsági szabályzatban meghatározottak szerint felelős.
Az adatvédelmi felelős
- A Szervezet adatvédelmi felelősét az ügyvezető igazgató bízza meg.
- Az adatvédelmi felelős a következő nyilvántartásokat vezeti:
- a tudomására jutott adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat a jelen szabályzat 1. függelékében meghatározottak szerint;
- az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat a jelen szabályzat 2. függelékében meghatározottak szerint;
- A (2) bekezdésben meghatározottakon túlmenően az adatvédelmi felelős
- közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
- ellenőrzi az Infotv. és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi tájékoztatók rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
- kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
- elkészíti a belső adatvédelmi tájékoztatót;
- gondoskodik az adatvédelmi ismeretek oktatásáról;
- összeállítja a hatósági adatvédelmi nyilvántartásba bejelentendő adatkezelések nyilvántartásba vételét kezdeményező kérelmet, gondoskodik annak benyújtásáról.
Az adatvédelem alapelvei
- Az adatkezelő által, illetve az adatkezelő szervezetben a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
- Az adatkezelő munkavállalói és külső megbízottjai (a továbbiakban: alkalmazottai) a feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
- A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az adatkezelő alkalmazottja személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhet, ha a törvény felhatalmazása alapján az adatkezelő Vezetője azt elrendeli, vagy ahhoz az adatalany kifejezetten - különleges adat esetén írásban - hozzájárult.
- Az adatkezelő adatkezelést végző alkalmazottja fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, az adatkezelő nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.
- Személyes adat kezelésére csak az adatkezelő jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. Az adatkezelő által kezelt – vagy az adatkezelő feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
- Ha az adatkezelő alkalmazottja tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.
- Személyes adat akkor kezelhető, ha
- ahhoz az érintett hozzájárul, vagy
- azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés).
- Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
- az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
- az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
- Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat a törvény eltérő rendelkezésének hiányában
- a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
- az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
- Személyes adat csak megfelelő tájékoztatáson alapuló beleegyezéssel kezelhető.
- Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. A bíróság, az ügyész, a nyomozó hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más állami szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása céljából megkeresheti az adatkezelőt. Az adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – köteles teljesíteni a megkeresést, azonban személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
Az Adatkezelés alapelvei
- A személyes adatok védelme: A személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény elrendeli, valamint akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen, vagy aránytalan költséggel járna és az adatkezelés a Szervezetre vonatkozó jogi kötelezettség, ill. a Szervezet vagy harmadik személy jogos érdekének érvényesítése céljából szükséges. A nem szándékosan közölt személyes adatokat a Szervezet nem őrzi meg, és nem adja tovább.
- Az adatkezelés célhoz kötöttsége és arányossága: Személyes adatot a Szervezet csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezel.
- Az adatok minőségére vonatkozó elv: A Szervezet a személyes adatok felvételét és kezelését csak tisztességesen és törvényes módon végzi. Az adatoknak pontosaknak, teljeseknek és időszerűeknek kell lenniük, valamint oly módon kell azokat tárolni, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani.
- Különleges adatok védelme: A Szervezetnél különleges adat akkor kezelhető, ha
- az adatkezeléshez az érintett írásban hozzájárul, továbbá
- az nemzetközi egyezményen alapul, vagy Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében törvény elrendeli, vagy
- egyéb esetekben azt a törvény elrendeli.
- Az üzleti titkot képező adatok védelme: Az üzleti titok védendő adat. Amit a Szervezet vagy üzleti partnere üzleti titoknak minősít, az kívülálló személynek nem adható meg, kivéve ha:
- ha ahhoz az üzleti partner előzetesen, írásban hozzájárult,
- hatóság, bíróság kéri,
- az adat közérdekű vagy közérdekből nyilvános adatnak minősül
- jogszabály alapján egyéb okból kötelező kiadni
- Adatbiztonság: A Szervezet mindent megtesz az általa kezelt, illetőleg feldolgozás alatt lévő adatok biztonságának érdekében.
- Érintett tájékoztatása: Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is.
A Szervezet dokumentumaiban kezelt, illetőleg feldolgozott adatok köre
- Személyes adatok köre: A Szervezet, mint munkáltató által a munkavállalóinak nyilvántartása során kezelt, az Infotv. által meghatározott személyes adatokat tartalmazó személyi iratok köre.
- Üzleti titok alá eső adatok köre: a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli. Az üzleti titokkal azonos védelemben részesül az azonosításra alkalmas módon rögzített, vagyoni értéket képviselő műszaki, gazdasági vagy szervezési ismeret, tapasztalat vagy ezek összeállítása (know-how). Kiemelten ide tartozók a technológiával, műszaki megoldással, a gyártás folyamatával, a munkaszervezéssel, logisztikai módszerekkel kapcsolatos adatok. Üzleti titok továbbá minden olyan adat, melyet üzleti partner a Szervezettel kapcsolatos jogviszonyában üzleti titoknak minősít.
- Közérdekű adatok köre: A Szervezet működése során, jogszabály alapján közérdekűnek minősülő adatok köre és a pályázatkezelés során kezelt pályázati anyagok, kivéve a személyes adatokat. A közérdekű adatok megismeréséről külön szabályzat rendelkezik.
- Közérdekből nyilvános adatok köre: A Szervezet működése, valamint pályázatkezelési feladatai során a jogszabályok alapján közérdekből nyilvánosnak minősülő adatok köre.
- Különleges adatok köre: A Szervezet működése során felmerülő, a pályázati anyagokban és személyi iratokban felmerülő különleges adatok.
- Pályázati anyag: Minden, részben vagy teljesen a Szervezet által kezelt pályázathoz kapcsolódó – bármilyen anyagon, alakban és bármilyen eszköz felhasználásával keletkezett – adathordozó, amely a pályázattal vagy a pályázókkal összefüggésben bármilyen adatot tartalmaz.
- A Szervezet szervezeti egységein belül jelen Szabályzatban foglaltakra tekintettel külön szabályok előírásai rendelkezhetnek az adott egységen kezelt adatokról. A külön szabályzatokban nem szabályozott adatok vonatkozásában a jelen szabályzat az irányadó. A külön szabályzatok nem térhetnek el az Infotv.-ben előírtaktól.
A személyes adatok védelme érdekében szükséges intézkedések
- Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek magánszférájának védelmét.
- A Szervezettel mindazon, a jelen szabályzat 1. § (4) bekezdése szerint jogviszonyban álló személy (a továbbiakban jelen szabályzatban: Szervezettel jogviszonyban állók), aki személyes adat birtokába jut, ilyet munkaköre vagy tisztsége alapján kezel, köteles védeni és őrizni a személyes adatokat, és minden erőfeszítést megtenni annak érdekében, hogy azok megfelelő védelmét biztosítsák. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
- Amennyiben a Szervezettel jogviszonyban álló személy munkaköre vagy tisztsége alapján személyes, különleges, avagy bűnügyi személyes adatokba nyer betekintést, vagy azok birtokába jut, köteles az Infotv.-ben foglaltaknak megfelelően eljárni, így különösen a személyes adatokat csupán az előre rögzített célra használhatja fel és az adatokat óvni kell az illetéktelen hozzáféréstől.
- A Szervezettel jogviszonyban álló személyek felelősséggel tartoznak minden olyan kárért, amely a jelen szakaszban körülírt adatkezelési, adatvédelmi kötelezettségük megszegéséből származik.
- Amennyiben a Szervezet harmadik személlyel olyan nem adatfeldolgozásra irányuló szerződéses jogviszonyt létesít, amelyben előírt feladat során személyes adatok kezelése valósul meg, a szerződésben kötelezően rögzíteni kell a vonatkozó jogszabályokban, a jelen szabályzatban, valamint az információbiztonsági szabályzatban foglaltak betartásának kötelezettségét.
- Az adatkezelő, valamint tevékenységi körében az általa megbízott adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvényben előírt valamint e Szabályzatban foglalt szabályok érvényre juttatásához szükségesek.
- Az adatkezelőnek és az általa megbízott adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lennie a technika mindenkori fejlettségére, és olyan döntést kell hoznia, amely leginkább garantálja az adatok biztonságát, kivéve, ha ez aránytalan nehézséggel járna az adatkezelő számára.
- A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel köteles biztosítani:
- a jogosulatlan adatbevitel megakadályozását;
- az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
- annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbítottak vagy továbbíthatják;
- annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
- a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
- azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
- Automatizált adatkezelés során felmerülő informatikai problémák naplózása, az erre való lehetőség megteremtése elsődlegesen az informatika rendszert fejlesztő szolgáltató feladata.
Tájékoztatás
- Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő hozzájárulással, kötelezettségeinek teljesítése vagy harmadik személy jogos érdekeinek érvényesítése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat.
- A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Az (1) bekezdés szerinti tájékoztatást
- a Szervezettel munkaviszonyt létesítő személyek részére a jogviszony létrejöttekor, az általános tájékoztatás keretében a jelen szabályzat 3. sz. függelék szerinti tartalommal,
- a Szervezettel megbízási vagy más munkavégzésre irányuló egyéb jogviszonyt létesítők számára a jelen szabályzat 4. sz. függelék szerinti tartalommal,
- a Szervezethez álláspályázatot benyújtók számára az álláspályázati felhívásban a jelen szabályzat 5. sz. függelék szerinti tartalommal,
kell megadni.
- A (2) bekezdés szerinti tájékoztatásokat a Szervezet honlapján el kell helyezni vagy a Szervezet adminisztrációs központjában elérhetővé kell tenni.
- A (2) bekezdés
- a) pont szerinti tájékoztatást papír alapon vagy elektronikusan,
- b) pont szerinti tájékoztatást a szerződés szövegébe építve,
- c) pont szerinti tájékoztatást a közzétett álláspályázati felhívásban a (3) bekezdés szerinti honlap címre utalással, az elérési út pontos feltüntetésével,
kell, legalább, magyar nyelven megtenni.
A Szervezeten belül adattovábbítás, adatkezelések összekapcsolása
- A Szervezet szervezeti rendszerén belül a személyes adatok – a feladat elvégzéséhez szükséges mértékben és ideig – csak olyan szervezeti egységhez, személyhez továbbíthatók, amelynek, illetve akinek jogszabályban vagy Szervezeti szabályzatban meghatározott tevékenysége ellátásához a személyes adatok megismerése és kezelése szükséges.
- A Szervezetben folyó különböző célra irányuló adatkezelések csak törvényes céloknak megfelelően, indokolt esetben kapcsolhatók össze.
Adattovábbítás megkeresés alapján, szervezeten kívüli adattovábbítás
- Olyan megkeresés, amely a Szervezet által kezelt személyes adat továbbítására irányul csak törvényi előírás alapján vagy csak a (2) bekezdésben foglalt feltételek fennállása esetén teljesíthető. Minden más esetben az adattovábbítás teljesítését meg kell
- Olyan esetben, amikor az adattovábbítás nem törvényi kötelezettségen alapul, az csak akkor teljesíthető, ha az érintett erre félreérthetetlen beleegyezését adva hozzájárulásával felhatalmazza a Szervezetet. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és a megkereséssel élő szervek meghatározott körére.
- Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és/vagy a megkereséssel élő szervek meghatározott körére is. Ilyen értelemben Szervezeten kívülinek minősülnek
- az érdekképviseleti szervek (szakszervezetek, üzemi tanács),
- a Szervezet többségi tulajdonosának képviselői,
- könyvvizsgáló, helyettes könyvvizsgáló és
- a felügyelőbizottság tagjai is.
- Az érintett nyilatkozattételétől függetlenül teljesíteni kell a hatóságoktól (rendőrség, bíróság, ügyészség, adóhatóság stb.), valamint a nemzetbiztonsági szolgálatoktól érkező megkereséseket. A nemzetbiztonsági szolgálatoktól érkező megkeresésre vonatkozó adat – a minősített adat védelméről szóló 2009. évi CLV tv. alapján – a megkeresésben foglaltak szerinti fokozatú minősített adat. Az adatszolgáltatás csak az ügyvezető vagy az ügyvezető helyettes jóváhagyásával teljesíthető és erről sem más személy, sem más szerv nem tájékoztatható.
- Azok az adatok, amelyek – a vonatkozó jogszabályok értelmében – nyilvánosak, vagy egyéb okból nyilvánosságra kerültek, megkeresésre közölhetők.
- A jogszabályokon alapuló adatszolgáltatás kötelező, ezek végrehajtása az illetékes szervezeti egységek feladata és felelőssége.
- Önkéntes adatszolgáltatás végrehajtását kizárólag az ügyvezető vagy az ügyvezető helyettes engedélyezhet vagy rendelhet el. (Ilyennek minősülnek a nem bíróságok vagy hatóságok által kért adatok pl.: gazdasági Szervezet régiós, vagy országos információs füzetet kíván készíteni és ehhez kér adatokat.)
- A Szervezet köteles biztosítani, hogy a munkavállaló a róla kezelt adatok továbbításáról tájékoztatást kapjon, a kezelt adatokat tartalmazó iratokról - külön kérésére - másolatot vagy kivonatot kapjon.
A külföldre irányuló adattovábbítás
- Külföldre irányuló adattovábbítás esetén az adattovábbítást végzőnek külön meg kell győződnie arról, hogy a külföldre történő adattovábbítás Infotv.-ben írt feltételei fennállnak-e. Ennek kapcsán vizsgálandó, hogy az adattovábbítás az Infotv.-ben meghatározott valamely jogalapnak megfelelően történik-e, és az adatok megfelelő védelmi szintje az adatokat átvevő adatkezelőnél biztosított-e. Ha az adattovábbítás az Európai Gazdasági Térség valamely államába irányul, úgy a személyes adatok megfelelő szintű védelmét nem kell vizsgálni.
A statisztikai célú adattovábbítás
- A Szervezet vállalja, hogy a személyes adatokat statisztikai célra kizárólag úgy adja át, hogy gondoskodik arról, hogy azt az érintettel ne lehessen kapcsolatba hozni.
A személyes adatok feldolgozása
- Amennyiben az adatfeldolgozás nem végezhető el az adatkezelők útján, adatfeldolgozással külső szervezet is megbízható. Az adatfeldolgozásra irányuló szerződésekre az általános szerződéskötési és közbeszerzési szabályok irányadóak. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
- Az (1) bekezdés szerinti adatfeldolgozó a Szervezet rendelkezése szerint vehet igénybe további adatfeldolgozót.
A működés során keletkező adatok védelme érdekében
szükséges intézkedések
- A Szervezet munkatársai kötelesek bizalmasan kezelni minden olyan adatot, információt vagy dokumentumot stb. – függetlenül attól, hogy ahhoz milyen formában és milyen módon jutottak hozzá –, amely előttük a munkaköri feladataik teljesítése során vagy azzal összefüggésben vált ismertté.
Az adatkezelés időtartama, az adatok törlése
- Az adatkezelés időtartama:
- az adózás rendjéről szóló törvényben meghatározott személyes adatok,
- a társadalombiztosítási ellátásokról és azok fedezetéről szóló törvényben meghatározott személyes adatok és
- a kötelező egészségbiztosítási törvényben meghatározott személyes adatok
esetében a munkaviszony megszűnésének évét követő 6. év utolsó napja, kivéve, ha jogszabály ennél hosszabb megőrzési időt ír elő;
- egyéb esetekben az adatkezelés az adatkezelés céljának megvalósulásáig történik, kivéve, ha jogszabály ettől eltérő megőrzési időt ír elő. Ezen adatok megőrzésére vonatkozó részletes szabályok a Szervezet egyéb adatkezeléseiről rendelkező szabályokban kerülnek kifejtésre.
- Az adatkezelő az adatokat az adat rendelkezésére állásától kezdve az adatok törléséig kezeli. A személyi adatokat törölni kell, ha:
- kezelése jogellenes
- az adat hiányos vagy téves és ez az állapot jogszerűen nem korrigálható, feltéve, hogy a törlést jogszabály nem zárja ki
- az adatkezelés célja megszűnt
- hozzájáruláson alapuló adatszolgáltatás esetén, amennyiben az érintett kéri az adatai törlését
- azt bíróság vagy az adatvédelmi hatóság elrendelte.
- A személyes adat adatkezelésének megszűnése után a személyes adatot tartalmazó iratot irattárba kell helyezni és a hatályos Iratkezelési Szabályzat, illetve a törvényi szabályozás szerinti megőrzési időtartam lejáratával selejtezni kell, ill. meg kell semmisíteni.
Bizalmasság
- A Szervezettel jogviszonyban állók kötelesek védeni és őrizni a munkakörükből, velük kötött szerződésből, tisztségükből adódó feladatok teljesítése során vagy azzal összefüggésben tudomásukra jutott adatokat, információkat, dokumentumokat, és kötelesek minden erőfeszítést megtenni annak érdekében, hogy azok megfelelő védelmét biztosítsák.
- Az (1) bekezdésben foglalt kötelezettségük teljesítése érdekében a Szervezettel jogviszonyban állóknak szellemi termék, kutatási eredmény, tananyag, találmány stb. kezelését, tárolását elsősorban szervezeti eszközzel, szervezeti informatikai szolgáltatás esetében jóváhagyott SLA-val kell biztosítaniuk. Ha ilyen jellegű anyagot Szervezeten kívül kezelnek, meg kell bizonyosodniuk arról, hogy a jelen és egyéb részletező szabályzatban foglaltak érvényesíthetők.
- A Szervezettel jogviszonyban állók felelősséggel tartoznak minden olyan kárért, amely az (1)-(2) bekezdésben körülírt adatkezelési, titoktartási kötelezettségük megszegéséből származik.
Adatkezeléssel kapcsolatos kötelező nyilvántartások
- Az Infotv. értelmében a következő nyilvántartásba vételi, ill. nyilvántartási kötelezettségek terhelik a Szervezetet:
- NAIH Adatvédelmi nyilvántartásba vétel (Infotv. 65. § (1) bek.)
- Belső adatvédelmi nyilvántartás (Infotv. 24. § (1) bek. e.) pont)
- Adattovábbítási nyilvántartás (Infotv. 15. § (2) bek.)
- Nyilvántartás adatvédelmi incidensekről (Infotv. 15. § (1a) bek.)
- Nyilvántartás elutasított közérdekű adatigénylési kérelmekről (Infotv. 30. § (3) bek.)
- Adatvédelmi nyilvántartás (hatósági nyilvántartás)
A NAIH – előzetes kérelem és bejelentés alapján – az adatkezelő személyes adatokra vonatkozó adatkezeléseiről, az érintettek tájékozódásának elősegítése érdekében hatósági nyilvántartást (a továbbiakban: adatvédelmi nyilvántartás) vezet. A nyilvántartás nyilvános, abba bárki betekinthet. Az adatvédelmi nyilvántartás tartalmazza
- az adatkezelés célját,
- az adatkezelés jogalapját,
- az érintettek körét,
- az érintettekre vonatkozó adatok leírását,
- az adatok forrását,
- az adatok kezelésének időtartamát,
- a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
- az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
- az alkalmazott adatfeldolgozási technológia jellegét,
- a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait.
- A bejelentési kötelezettség vonatkozik a jogszabályon alapuló kötelező adatkezelésre és az önkéntes (hozzájáruláson alapuló) adatkezelésre is. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek abban az esetben is, ha a kezelt adatok köre azonos.
- A bejelentést – a Szervezet jogi képviselőjénél - annak a szervezeti egységnek kell kezdeményeznie, akinél a személyes adatokra vonatkozó adatkezelés felmerül. A nyilvántartásba bejelentés központilag történik.
- A sikeres nyilvántartásba vétel után a NAIH által adott nyilvántartási számot a vonatkozó adatok minden továbbításánál, nyilvánosságra hozatalánál és az érintettnek való kiadásakor fel kell tüntetni! (Infotv. 68. § (6) bek.)
- A Szervezet érdekkörébe tartozó adat tekintetében nem kell hatósági adatvédelmi nyilvántartást vezetni arról az adatkezelésről, amely
- munkaviszonyban,
- tagsági jogviszonyban,
- tanuló szerződéses jogviszonyban vagy
- ügyfélkapcsolatban
álló személyek adataira vonatkozik.
- Amely személyes adatkezelés e fenti, valamint az Infotv. 65. §-ában meghatározott további adatkört meghaladja, csak akkor végezhető el, ha a Szervezet előzetesen kérelmezi az adatkezelést a Hatóságnál.
- Belső adatvédelmi nyilvántartás
A hatósági nyilvántartásba vett adatkezelésekről a Szervezet – a jogi képviselő útján – (a NAIH-nak bejelentett adattartalommal) köteles nyilvántartást vezetni.
- Adattovábbítási nyilvántartás
A Szervezetnek – a jogi képviselő útján – az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást kell vezetnie a 2. függelékben meghatározott adattartalommal.
- A központi adattovábbítási nyilvántartást személyes adat tekintetében öt évig, különleges adat esetében 20 évig kell megőrizni.
- Nem kell nyilvántartást vezetni a Szervezeten belüli olyan személyes adatok továbbításáról, amely törvényi előíráson vagy felhatalmazáson alapul és a rendeltetésszerű munkavégzéshez az adott tevékenységi folyamat leírása szerint szükséges.
- Nyilvántartás adatvédelmi incidensekről
A Szervezetnek – a jogi képviselő útján – az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást kell vezetnie az 1. függelékben meghatározott adattartalommal.
- Nyilvántartás elutasított közérdekű adatigénylési kérelmekről
A Szervezet – a jogi képviselő útján - az elutasított kérelmekről, valamint az elutasítások indokairól nyilvántartást köteles vezetni, és az abban foglaltakról minden évben január 31-éig tájékoztatni köteles a NAIH-t.
Az érintett jogai és azok érvényesítése
- Az adatvédelmi felelős az Infotv. és a jelen szabályzat rendelkezéseinek kivonatával tájékoztatást készít arról, hogy az érintettet milyen jogok illetik meg és azok megsértése esetén mi a jogorvoslat rendje a NAIH-hoz és a bírósághoz fordulás jogára és rendjére kiterjedően. A tájékoztatást a Szervezet honlapján el kell helyezni, és a jelen szabályzat § (3) bekezdésében meghatározott tájékoztatásban a pontos elérési utat fel kell tüntetni.
- Az érintett az adatkezelést végző illetékes ügyintézőtől tájékoztatást kérhet a róla szóló adatkezelésről és jogosultsága igazolását követően abba bele is tekinthet. A betekintést úgy kell biztosítani, hogy ez alatt az érintett más személy adatait ne ismerhesse
- Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá arról, hogy kik és milyen célból kapták meg az adatokat. Az adatkezelő köteles a kérelem benyújtásától számított legfeljebb 8 munkanap alatt, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
- Adatváltozás vagy téves adatrögzítés észlelése esetén az érintett kérheti kezelt adatainak helyesbítését, illetve kijavítását, valamint személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását. Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő, de legfeljebb 8 munkanap alatt az adatváltozást átvezetni, a téves adatot kijavítani és annak megtörténtéről a kérelmezőt tájékoztatni.
- Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett az adatvédelmi felelőshöz fordulhat, aki a panaszt megvizsgálja, és ha alapos, a Szervezet vezetőjénél intézkedést kezdeményez, ellenkező esetben a panaszt elutasítja, erről a panaszost a kérelem kézhezvételét követő 30 napon belül írásban tájékoztatja a kérelem elutasításának ténybeli és jogi indokait is közölve. A kérelem elutasítása esetén a panaszost tájékoztatni kell a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.
- A kérelemre teljesített adattovábbításról, valamint az elutasított kérelmekről az érintett adatkezelő jegyzőkönyvet köteles felvenni. A jegyzőkönyv vezetését a 2. függelékben meghatározottak szerint kell elvégezni. A jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát pedig mellékleteivel együtt – másolat küldése esetén az „Eredetivel megegyező hiteles másolat” szövegezéssel és pecséttel ellátva – az adatvédelmi felelőshöz kell továbbítani, aki köteles az elutasított kérelmekről a Hatóságot a tárgyévet követő év január 31-éig értesíteni. A jegyzőkönyvet öt évig kell megőrizni.
Az adatvédelmi incidenssel kapcsolatos rendelkezések
- Az adatkezelő nyilvántartást vezet az adatkezelőnél vagy a megbízott adatfeldolgozójánál felmerülő adatvédelmi incidensekről. A nyilvántartás adattartalmát az 1. függelékben meghatározottak szerint kell vezetni.
- Az incidensekkel kapcsolatos rendelkezésekről és kommunikációról a Szervezet Incidenskezelési és kommunikációs szabályzata rendelkezik.
Általános szabályok
- A Szervezet az adatkezelési műveletek megtervezése és végrehajtása során az Infotv. és az adatkezelésre vonatkozó más jogszabályok rendelkezéseit maradéktalanul betartva gondoskodik az érintettek magánszférájának védelméről.
- A Szervezet gondoskodik a személyes adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
- A Szervezetnek az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az intézménynek.
- Az adatokat védeni kell, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás
- Az adatbiztonsági rendszabályok érvényesítése érdekében a szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.
Számítógépen tárolt adatok
- A számítógépen tárolt adatok védelméről az információbiztonsági szabályzat rendelkezik.
Manuális kezelésű adatok
- A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:
- az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni;
- a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaviszonnyal kapcsolatos iratokat biztonságosan elzárva kell tartani,
- a jelen szabályzatban meghatározott adatkezelések iratainak archiválását évente egyszer el kell végezni, az archivált iratokat a Szervezet iratkezelési és selejtezési szabályzatának, valamint az irattári terveknek megfelelően kell szétválogatni és irattári kezelésbe
- Az (1) bekezdés b) pontja szerinti helyiségek, illetve szekrények kulcsához való hozzáférés rendjét az adatkezelő szervezeti egység vezetője állapítja meg, melyet az adatvédelmi felelős részére megküld.
Záró rendelkezések
- A jelen szabályzat – a (2) bekezdésben meghatározott kivétellel – 2018. május 25. napján lép hatályba.