MFB Invest Befektetési és Vagyonkezelő Zrt.
ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT
Budapest 2015
( L l- úJ
I. Általános rendelkezések Az MFB Invest Zrt. (továbbiakban: Társaság) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv. (továbbiakban: Info tv. ) 24. § (3) bekezdésében megállapított feladatkörében eljárva a szervezeti egységeinél zajló adatkezelés rendjére az alábbi szabályzatot adja ki.
1.1. A szabályzat célja E szabályzat célja, hogy meghatározza a Társaságnál vezetett személyes adatokat tartalmazó nyilvántartások kezelésének törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, s megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát.
1.2. A szabályzat hatálya 1.2.1 Személyi hatálya: Kiterjed a Társaság valamennyi alkalmazottjára és vezető tisztségviselőjére, a Felügyelő Bizottság tagjaira, a társaság alapítójának döntéshozatali eljárásban résztvevő képviselőire, alkalmazottaira, illetve munkavégzésre irányuló bármilyen egyéb (pl.: megbízásos jogviszonyban álló) jogviszonyban foglalkoztatott személyre a beosztásától függetlenül. 1.2.2 Tárgyi hatálya: Kiterjed a Társaság bármely szervezeti egységénél folytatott valamennyi - személyes adatot érintő - számítógépes és manuális adatkezelésre és adatfeldolgozásra. r
1.3. Értelmező rendelkezések személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet; különleges adat: a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat b) az egészségi állapotra, a káros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
közérdekből nyilvános adat: a közfeladatot ellátó szerv feladat- és hatáskörében eljáró személy neve, feladatköre, munkaköre, vezetői megbízása, a közfeladat ellátásával összefüggő egyéb személyes adata, valamint azok a személyes adatai, amelyek megismerhetőségét törvény előírja. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; adatkezelő: Adatkezelőnek minősül a Társaság azzal, hogy a jelen Szabályzatban rögzített feladatok tekintetében az adatkezelő az a személy vagy szervezeti egység, aki vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. adatgazda: Adatgazdának minősül minden szervezeti egység vezetője a területén keletkező adatok tekintetében. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyémyomat, DNS-minta, íriszkép) rögzítése; adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;0000 adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése; adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől; feltéve, hogy a technikai feladatot az adatokon végzik. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi; adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége;
3
7
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; harmadik ország: minden olyan ország, amely nem EGT tagállam; Hatóság: Az Info tv-ben meghatározott Nemzeti Adatvédelmi és Információszabadság Hatóság; rendelkezésre állás: az adat használhatóságának biztosítása az informatikai rendszer hatékonyságát és hatásosságát biztosító - a szervezeti kereteket és a működési folyamatokat is magába foglaló - tervezésének és üzemeltetésének köszönhetően. sértetlenség: Az adatok, adathordozók fizikai, vagy logikai teljességének megléte. statisztikai adat: a személyes adatok feldolgozása olyan módon, hogy az Info tv. adattörlésre vonatkozó rendelkezései érvényesülnek, azaz az érintett személyekkel minden kapcsolatuk megszakadt, és ez a kapcsolat nem is állítható helyre nyilvános adat: a Társaság által nyilvánosságra hozott vagy természetéből adódóan nyilvánosságra hozandó adat, illetve az Info tv. alapján közérdekűnek minősített adat adatvédelmi nyilvántartás: a Hatóság által vezetett, a bejelentésre kötelezett adatkezeléseket tartalmazó nyilvántartás, amelybe bárki betekinthet, abból feljegyzéseket készíthet adatvédelmi felelős: az Info tv. 24. § (1) bekezdése értelmében belső adatvédelmi felelőst kizárólag az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőnél és adatfeldolgozónál, a pénzügyi szervezeteknél, valamint az elektronikus hírközlési és közüzemi szolgáltatóknál kell kinevezni, vagy megbízni ügyfélkapcsolati adatkezelés: A társasággal üzleti, vagy egyéb ügyleti kapcsolatban álló jogi személyek képviselőinek, illetve magánszemélyek adataira vonatkozó adatkezelés információbiztonsági esemény', olyan nem kívánt vagy nem várt egyedi vagy sorozatos esemény, amely nagy valószínűséggel veszélyezteti az üzleti tevékenységet és fenyegeti az információbiztonságot
1.4 Kapcsolódó jogszabályok • • • •
2U13. évi V. törvény a Polgári Törvénykönyvről (a továbbiakban: Plk.), 2012. évi C. törvény a Büntető Törvénykönyvről, 2012. évi I. törvény a munka törvénykönyvéről, 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról • 1997. évi LXXX. törvény a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről, • 2001. évi XX. törvény a Magyar Fejlesztési Bank Részvénytársaságról (a továbbiakban: MFB tv.), • 2007. évi CXXXVI. törvény a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról, 4
(Lu n-.
Adatvédelmi és Adatbiztonsági Szabályzat
MFB Invest Zrt.
1.5 Kapcsolódó belső szabályozók: • • • • • • • • • •
Szervezeti és Működési Szabályzat (a továbbiakban: SZMSZ), Befektetés - Kezelési Szabályzat Tőkebefektetési Szabályzat és Eljárásrend Iratkezelési Szabályzat, Informatikai Biztonsági Szabályzat, Informatikai Fejlesztési Szabályzat Kockázatkezelési Szabályzat Üzletbiztonsági Szabályzat Munkaügyi Szabályzat Pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló Szabályzat
II. Általános adatkezelési szabályok 11.1 A Társaság vezetőinek és alkalmazottainak általános adat-, és információvédelmi kötelezettségei A Társaság valamennyi vezetője, munkavállalója, tisztségviselője, valamint munkavégzésre irányuló bármilyen egyéb jogviszonyban foglalkoztatottja köteles az adatkezeléssel érintettek személyes adatait bizalmasan, a vonatkozó jogszabályoknak és belső normatív szabályoknak megfelelően kezelni. Ezen kötelezettség kiterjed arra is, hogy az említett személyek információbiztonsági esemény észlelésekor kötelesek azt jelezni munkahelyi vezetőjüknek. A titoktartási kötelezettség a Társaság munkavállalóját, tisztségviselőjét, munkavégzésre irányuló egyéb jogviszonyban foglalkoztatottját a munkáltatójával azonos módon terheli és megszegéséért a jogszabályok szerinti felelősséggel tartozik. A titoktartási kötelezettség a munkavállalót a munkaviszonyának, tisztségviselőt tisztségének, egyéb foglalkoztatottját a jogviszonyának megszűnése után is terheli. r
11.2 Általános adatvédelmi szabályok Személyes adat csak akkor kezelhető, ha ahhoz az érintett hozzájárult, vagy azt törvény elrendeli. Az érintettet az adat felvétele előtt megfelelően tájékoztatni kell az adatkezeléssel kapcsolatban, így különösen közölni kell vele az adatkezelés célját, valamint azt, hogy az adatszolgáltatás önkéntes, vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is.
11.3 Az adatkezelés célhoz kötöttsége, arányossága és a tájékoztatási kötelezettség Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.
5
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlenül szükséges és a cél elérésére alkalmas. Adatkezelésre csak e cél megvalósulásához szükséges mértékben és ideig kerülhet sor. Az adatvédelmi előírásoknak az adatkezelés során mindvégig meg kell felelni, az előírásokat egyaránt alkalmazni kell a teljesen, vagy részben automatizált eszközzel, avagy manuális módon végzett adatkezelésre és adatfeldolgozásra. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait a Társaság, mint adatkezelő az Info tv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat.
II.4 Ellenőrzési kötelezettségek Az adatvédelemmel kapcsolatos jogszabályi előírások és belső szabályozási dokumentumok betartását az adatkezelést végző szervezeti egységek vezetői kötelesek ellenőrizni
II.5 Adatkezelőket terhelő általános felelősségek megoszlása II. 5.1 Adatkezelők (adatkezelő csoportok tagjai) tevékenységi körükben felelősek: • • •
a tevékenységük ellátásához szükséges adatokhoz történő hozzáférési jogosultságaiknak megfelelő munkavégzésért, az általuk végzett munkafolyamatokra vonatkozó adatvédelmi szabályok maradéktalan betartásáért, a tudomásukra jutott személyes adatok bizalmassága sérelmét jelentő vagy veszélyeztető információbiztonsági események felettesnek történő jelentéséért.
II. 5.2 Adatkezelési tevékenységet közvetlenül irányító vezetők az irányítási területükön felelősek: •
• • • •
az adott tevékenység ellátásához szükséges adatokhoz történő indokolt hozzáférési jogosultságok engedélyezésére, visszavonására vonatkozó javaslattételért és azok engedélyezett gyakorlásának munkafolyamatok szerinti ellenőrzéséért, (hozzáférési jogosultságot a Vezérigazgató hagyja jóvá) a hozzáférési jogokkal történő visszaélés veszélye vagy gyanúja esetén a hozzáférési jogosultság(ok) bevonása vagy felfüggesztése iránti intézkedés kezdeményezéséért, hozzáférésekben történő bármilyen változtatási igény azonnali, dokumentált formában történő közléséért, a változtatás végrehajtásának ellenőrzéséért. az adatkezelést irányító vezető által - vagy más belső normatív szabályban meghatározott adatvédelmi szabályok munkafolyamatokban történő betartásáért, ill. ellenőrzéséért, az adatkezelést támogató adatkezelő rendszerek igénybevételére és használatára vonatkozó belső normatív szabályok betartásáért és betartatásáért, az irányítási területükön folyó személyes adatkezelésekért, hogy azok a jogszabályoknak és a belső normatív szabályoknak megfeleljenek,
6 (\*"\—.
MFB Invest Zrt. •
• • • • •
Adatvédelmi és Adatbiztonsági Szabályzat
a természetes személy adatai kezelésének törvényességéért, különösen az ilyen adatok adatkezelési célnak történő megfeleléséért az általuk irányított teljes munkafolyamatokban, az Info tv. által az adatkezelőre rótt feladatok (hozzájárulások beszerzése, tájékoztatás, betekintés, helyesbítés, törlés) teljesítéséért, az ilyen adatok alapfenyegetettségeit érintő biztonsági követelmények érvényesítéséért a működtetett rendszerek teljes adatvédelmi eszköztárában, az általuk teljesített vagy igényelt adatfeldolgozói szolgáltatások adatbiztonsági követelményeinek érvényesítéséért, az egyes érintett adatkezelő csoportok hozzáférési jogainak normatív módon történő meghatározásáért, a tudomásukra jutott adatkezelést érintő információbiztonsági események kivizsgálásáért.
II.6. Bejelentési kötelezettség mellőzése, új adatfeldolgozási technológia alkalmazása II.6.1.Bejelentési kötelezettség mellőzése Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely • • •
az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való részvételre irányuló, tanulói jogviszonyban, • kollégiumi tagsági viszonyban vagy • ügyfélkapcsolatban álló személyek adataira vonatkozik;
vagy
tanulószerződéses
Ügyfélkapcsolat címén az adatkezelést nem kell az adatvédelmi nyilvántartásba bejelenteni, ha: • • • • • •
az adatokat közvetlenül az érintettektől veszik fel, az adatkezelés célja az érintett számára ismert, a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre meghatározott, az adatokat csak az előre meghatározott céllal összefüggésben használják fel, az adatok nem kerülnek ki az adatkezelő kezeléséből, az érintetteket adataik kezeléséről tájékoztatták.
A fentiekre tekintettel a Társaság részéről adatvédelmi nyilvántartásba történő bejelentési kötelezettség nem keletkezik.
II.6.2. Új adatfeldolgozási technológia alkalmazása, vagy új adatállomány feldolgozása Új adatfeldolgozási technológia alkalmazására, vagy új adatállomány feldolgozására csak az arra vonatkozó - Hatóság részére történő - bejelentés megtörténte után kerülhet sor, feltéve, hogy azt a Hatóság nem tiltotta meg. Új adatfeldolgozási technológia alatt olyan mértékű újításokat kell érteni, amelyek a korábbi adatfeldolgozási eljárástól lényegesen különböznek, akár az adatfeldolgozás végeredményét 7
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
illetően, akár az adatfeldolgozási folyamat vonatkozásában. (Önmagában nem minősül tehát új adatfeldolgozási technológiának egy új szoftver/hardver alkalmazása. Azt, hogy egy adatállomány, vagy egy adatfeldolgozó technológia újnak minősül-e, az Info tv. alapján, kizárólag egyedileg, az eset összes körülményének ismeretében lehet elbírálni). Az adatkezelőnek az új adatállomány feldolgozására irányuló szándékát be kell jelentenie a Hatóságnak.
III. Adattovábbítás harmadik személy részére III. 1 Adattovábbítás A jelen szabályzat szerinti adatok közül azok, amelyek az adatkezelés céljához szükségesek, az érintett előzetes hozzájárulása nélkül átadhatók: a) jogviták rendezésére jogszabály alapján jogosult szervek részére; b) a nemzetbiztonság, a honvédelem és a közbiztonság védelme, a közvádas bűncselekmények arra hatáskörrel rendelkező nemzetbiztonsági szerveknek, nyomozó hatóságoknak, az ügyésznek, valamint a bíróságnak, törvényi felhatalmazás alapján eljáró végrehajtónak; c) adóhatóságok részére A jelen pont alapján átadott adatokkal kapcsolatban az adatokat átvevőket a Társasággal azonos titoktartási kötelezettség terheli.
III. 2 Adattovábbítás döntéshozatal céljából Adatátadásra kizárólag az érintett előzetes, a Társaság Tőkebefektetési Szabályzat és Eljárásrendjében meghatározott tartalmú adatkezelésre vonatkozó nyilatkozata alapján, a döntéshozatalban érintettek felelősségének rögzítése esetén van lehetőség. Az adatátadás során a Társaságnak biztosítania kell, hogy csak a döntéshozatalhoz nélkülözhetetlen adatállomány átadása történjen meg.
IV. Személyes adatokat tartalmazó papíralapú és elektronikus adathordozókkal kapcsolatos szabályok A Társaság szabályzatai együttes alkalmazásával gondoskodik az általa kezelt papíralapú adathordozókra felvitt, összes személyes adat védelméről, azok szükség szerinti titokvédelmi minősítéséről, jogosulatlan hozzáférés elleni védelméről, az ilyen adatok továbbításáról, irattározásáról és selejtezéséről.
IV. 1 Adathordozók kezelése Az adathordozók kezelése, átadása és átvétele, megsemmisítése szabályozottan, a felelősség személyhez köthetősége mellett, térben és időben egyértelműen behatárolható módon történhet. Általános rendező elve a kezelési szabályoknak, hogy a személyes adatok védelme érdekében az adathordozók, illetőleg az azon tárolt adatok mozgása azok teljes életciklusában követhető legyen, az ügyintézői és kezelői felelősségek behatárolhatók legyenek.
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
Az adathordozók másolására csak az adatkezelés célhoz kötöttségének betartásával kerülhet sor.
IV.2 Biztonsági másolatok, elektronikus archiválás A biztonsági másolatok esetében is gondoskodni kell az érintett személyes adatokra vonatkozó adatkezelési határidők maradéktalan betartásáról. Amennyiben a biztonsági másolat lejárt adatkezelési határidejű, és még jogszerűen kezelhető adatokat is tartalmaz, gondoskodni kell a lejárt adatkezelésű személyes adatok törléséről/anonimizálásáról. Amennyiben az adatok leválogatása, vagy egyes adatok törlése nem, vagy csak az adatvédelem érdekében aránytalan ráfordítással valósítható meg, a biztonsági mentésben tárolt adatokhoz való hozzáférés szigorított szabályozásán keresztül, és szükség szerint egyéb műszaki és szervezési intézkedésekkel kell a lejárt határidejű személyes adatokat védeni. Elektronikus adathordozón tárolt adatok archiválására az adatkezelés szabályainak maradéktalan betartása mellett, a célhoz kötöttség elvének figyelembevételén túlmenően csak olyan módon kerülhet sor, hogy a tárolt adatok kizárólag megfelelő jogosultsággal rendelkező személyek számára legyenek elérhetőek. Az archiválásra került adatokból törölni/anonimizálni kell azon adatokat, melyek kezelésének célhoz kötöttsége időközben megszűnt. Amennyiben az adatok leválogatása, vagy egyes adatok törlése nem, vagy csak az adatvédelem érdekében aránytalan ráfordítással valósítható meg, a biztonsági mentésben tárolt adatokhoz való hozzáférés szigorított szabályozásán keresztül, és szükség szerint egyéb műszaki és szervezési intézkedésekkel kell a lejárt határidejű személyes adatokat védeni.
V. Személyes adatok védelmére szolgáló adatvédelmi szabályok megszegésének jogkövetkezményei V.l Munkajogi felelősség A Társaság által kezelt személyes adatok sérelme esetén felmerül a vétkes munkavállalók munkajogi felelőssége, ami tartalmát illetően a Munka Törvénykönyve szerinti munkajogi hátrányos következmények kiszabását és anyagi kártérítési felelősséget is jelenti.
V.2 Polgári jogi felelősség Az érintett az Info tv. alapján jogainak megsértése esetén bírósághoz fordulhat. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, a Társaság köteles bizonyítani. A Társaság az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben a Társaság felel a munkavállaló által okozott kárért, azonban a vétkes munkavállaló munkajogi felelősségre vonására is sor kerülhet.
9
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
V.3 A Hatóság eljárása A Hatóság a jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólítja fel. Az adatkezelő haladéktalanul köteles megtenni a szükséges intézkedéseket, és erről 30 napon belül írásban tájékoztatni a Hatóságot. Ha az adatkezelő vagy adatfeldolgozó a jogellenes adatkezelést (adatfeldolgozást) nem szünteti meg, a Hatóság ajánlást tehet a felügyeleti szervnek. Ha az ajánlás alapján a jogsérelem orvoslására nem kerül sor, a Hatóság az Info tv-ben meghatározott keretek között dönt a szükséges további intézkedések (adatvédelmi hatósági eljárás, bírósági eljárás, nyilvános jelentés) megtételéről. A Hatóság a feladatai ellátása során az adatkezelőtől minden olyan kérdésben felvilágosítást kérhet, és az összes olyan iratba betekinthet, adatkezelést megismerhet, amely személyes vagy közérdekű adatokkal összefügghet. A Hatóság minden olyan helyiségbe beléphet, ahol adatkezelés folyik.
V.4 Az adat/titokvédelem büntetőjogi védelme A Büntető Törvénykönyvről szóló 2012. évi C. törvény alapján egyes magántitok, levéltitok sérelmére elkövetett cselekmény, valamint egyes a személyes és a közérdekű adattal való visszaélést megvalósító cselekmény bűncselekménynek minősül és azokhoz a törvény büntetőjogi jogkövetkezményeket fűz.
VI. Adatbiztonsági előírások A személyes adatok kezelésénél minden esetben érvényesülni kell az adatkezelés célhoz kötöttségének, amelyhez a Társaság normatív biztonsági intézkedései kellő alapot nyújtanak. Ez biztosítja azt, hogy az érintett személy jogos érdekét a Társaság adatkezeléssel összefüggő tevékenysége nem sérti. A személyes adatok elvárható - és ezen túl jogszabályokban meghatározott - biztonságát • • •
személyi fizikai-, és dokumentum
biztonsági intézkedésekkel teszi teljes körűvé.
VI. 1 Személyi biztonsági intézkedések Ezen körben tartoznak azok az eljárások, amelyek az adatok kezelésével, és feldolgozásával megbízott dolgozók egyes jogosultságait meghatározzák, továbbá egyes kiemelt adatkezelő rendszereken végzendő műveleteket csak megfelelő vizsgálaton átesett dolgozók tehetik meg. A vizsgálat célja annak megállapítása, hogy az adott személy hozzáférhet-e a személyes adatokhoz anélkül, hogy biztonsági kockázatot jelentene.
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
VI.2 Fizikai biztonsági intézkedések Ezek az intézkedések a személyes adatokat kezelő informatikai rendszerek környezetét, az épületek és helyiségek fizikai biztonságát szavatolják. Az őrzés-védelem, a zárak alkalmazására, és kulcsok kezelésére, őrzésére; a belépés és benntartózkodás szabályaira írnak elő rendelkezéseket. Kiemelten kezelendő az épületek, és az informatikai géptermek tűzvédelme, fizikai és elektronikai védelme.
VI.3 Dokumentum biztonsága A személyes adatot hordozó eszköz fizikai megjelenésétől és jellegétől függetlenül minden rögzített adatot magába foglal, beleértve korlátozás nélkül az írott és nyomtatott anyagokat, a beépített vagy kivehető számítástechnikai adattároló eszközzel ellátott hordozható, vagy helyhez kötött adatfeldolgozó berendezéseket. Ide tartozik továbbá a mágneses és optikai adathordozókon, valamint digitális formában hálózaton kezelt személyes adatok védelmére és őrzésére foganatosított intézkedések, továbbá hangot, beszédhangot, mágneses, elektronikus, optikai és videó felvételeket bármilyen formában rögzített személyes adatot tároló eszközök biztonságos kezelését szolgáló szabályok. Az adatbiztonsági rendszabályok és intézkedések célja az adatok, illetve adathordozók védelme a sérülés, a rongálódás, megsemmisülés, valamint az illetéktelen hozzáférés ellen. Az adatbiztonsági előírásoknak az adatkezelés egész folyamata során, mindvégig érvényesülniük kell, függetlenül az adatkezelés egyes műveletétől és az adott adatkezelési művelet technikájától. A szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind pedig a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében. A Társaság megfelelő műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának - ideértve a személyes adatok biztonságos tárolási módját is védelméről, amelynek a keretében felállított védelmi szint az adatkezeléssel kapcsolatban jelentkező kockázatoknak mindenkor megfelelő védelmi szintet képvisel. Az adatbiztonság keretében az egyes személyes adatokat kezelő informatikai rendszereket csak a megfelelő szintű hozzáférés-jogosultsággal rendelkező személyek üzemeltethetik. Megfelelő szintű hozzáférés-jogosultságnak tekinthető az a hozzáférés, aminek a terjedelme igazodik az ún. “need to know” elvhez, melynek lényege, hogy kizárólag olyan terjedelmű hozzáférés engedélyezhető, amely a munka elvégzéséhez elengedhetetlenül szükséges és csak olyan személy részére, akinek az adatok kezelése/feldolgozása a munkaköri feladata. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tenni, ha személyes adatok továbbítására hálózaton keresztül, vagy egyéb informatikai eszköz útján történik. Személyes adatok csak az ügy elintézése céljából, csak az ahhoz szükséges mértékben és csak olyan munkatárs számára továbbíthatóak, akik az ügy elintézésében munkafeladataikat tekintve részt vesznek. Személyes adatot tartalmazó belső adatátadás esetén a címzett munkatárs figyelmét erre külön is fel kell hívni.
11 flu tv } —
lAA'— -
MFB Invest Zrt.
Adatvédelmi és Adatbiztonsági Szabályzat
VII. Munkaügyi dokumentumok adatvédelmi adatbiztonsági szempontból történő kezelése VII.l. Munkaviszony, megbízási jogviszony, illetve tisztség létesítése esetén kezelt, személyes adatokat tartalmazó dokumentumok köre: -
Belépési adatlap Önéletrajz Bér és tiszteletdíj elszámoláshoz szükséges igazolások, nyilatkozatok Egyéb igazolások, nyilatkozatok (pl. adóigazolás, jogviszony igazolás)
VII.2 Munkaviszony, megbízási jogviszony fennállása alatt kezelt, személyes adatokat tartalmazó dokumentumok köre: -
Munkaviszony, megbízási jogviszony fennállásával nyilatkozatok Számfejtéssel kapcsolatos igazolások, nyilatkozatok
kapcsolatos
igazolások,
VII.3. Munkaviszony megbízási jogviszony, illetve tisztség megszűnése megsemmisítésre kerülő, személyes adatokat tartalmazó dokumentumok köre: -
esetén
Önéletrajz (a Társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvényben meghatározott elvek szerint)
VIII. Hatálybalépés A Szabályzat az aláírás napján lép hatályba.
Budapest, 2015. január . & .
Kovács Zsolt vezérigazgató
12
í
