Dabas és Környéke Vízügyi Kft.
H-2370 Dabas, Széchenyi u. 3. Tel: 29/360-321; 29/360-323 Tel./fax: 29/360-323 E-mail:
[email protected]
INFORMATIKAI ADATVÉDELMI SZABÁLYZAT kiadás /változat 1.0
jóváhagyta, hatályba léptette:
Hatályba lépés dátuma: 2015. 04.01
Ezen szabályozás mindenkor érvényes, ellenőrzött példánya elektronikus formában tárolva az DAKÖV Kft. számítógépes hálózatán található. A korábban kinyomtatott példányok érvényességét használat előtt összehasonlítással ellenőrizze!
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 2/31
Verzió
Készítette /módosította
Módosítás
Hatályba lépés
File neve
dátuma 1.0
DAKOV KFT.
2015.04.01
iavsz.pdf
.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 2 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 3/31
Tartalomjegyzék 1
Cél ........................................................................................................................... 5
2
A szabályzat hatálya ............................................................................................... 5 2.1 Időbeli hatály ........................................................................................................ 5 2.2 Személyi hatály .................................................................................................... 5 2.3 Tárgyi hatály ........................................................................................................ 5
3
A szabályzat minősítése.......................................................................................... 6
4
A szabályzat felülvizsgálata ................................................................................... 6
5
Meghatározások ...................................................................................................... 6
6
Felelősök, felelősségi körök ................................................................................... 9
7
Az adatok besorolása .............................................................................................. 9
8
Általános szabályok .............................................................................................. 12 8.1 Személyes adat kezelése..................................................................................... 12 8.2 Titoktartási kötelezettség.................................................................................... 14 Az adatok kezelése papíralapú adathordozó esetében .......................................... 14
9 10
Az adatok kezelése elektronikus adathordozó esetében ................................... 15
11
Az adatokat tartalmazó adathordozó megsemmisítése ..................................... 15
12
Adatnyilvántartás .............................................................................................. 16
13
Bejelentés az adatvédelmi nyilvántartásba ....................................................... 16
14
Adattovábbítás megkeresés alapján .................................................................. 18
14.1 A védett adatok kiadása.................................................................................... 18 15
Adattovábbítási nyilvántartás vezetése ............................................................. 18
16
Hatósági megkeresések teljesítése .................................................................... 19
17
Adatvédelmi oktatás.......................................................................................... 19
18
Az Érintett tájékoztatáshoz való joga ............................................................... 19
19
Tiltakozási, panasztételi jog .............................................................................. 20
20
Ellenőrzés .......................................................................................................... 21
21
Hatályon kívül helyezés .................................................................................... 21
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 3 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 4/31
22
Mellékletek és formanyomtatványok ................................................................ 21
23
Mellékletek ....................................................................................................... 22
1. sz. melléklet - Az adatkezelő és a belső Adatvédelmi Felelős adatai .................. 22 2. sz. melléklet - ADATLAP a belső adatvédelmi nyilvántartásba történő bejelentéshez ............................................................................................................ 23
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 4 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 5/31
1 Cél A Dabas és Környéke Vízügyi Kft. (továbbiakban Társaság) működése során a személyes adat, a tevékenység során keletkező üzleti titkot jelentő, illetve egyéb adatok kezelésére, kiadhatóságára, és megsemmisítésére, továbbá a belső információk védelmére vonatkozó szabályok meghatározása. A Társaság által vezetett adatnyilvántartások rendjének, az adatvédelem alkotmányos elvéknek, az információs önrendelkezési jognak, s az adatbiztonság követelményeinek érvényesülését biztosítani. Megakadályozni a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását, valamint biztosítani az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info. tv) rendelkezéseinek való megfelelést.
A szabályzat hatálya
2
2.1 Időbeli hatály A jelen Szabályzat az Ügyvezetők által történő hatályba helyezés napját követő első munkanapon lép hatályba, a dokumentumba foglalt feladatok és szabályok ezen időponttól alkalmazandók. A Szabályzat a hatályon kívül helyezésig alkalmazandó. 2.2 Személyi hatály A Szabályzat személyi hatálya kiterjed:
A Társaság valamennyi munkavállalójára. A Társaság informatikai rendszerével, szolgáltatásaival kapcsolatban a Társasággal szerződéses jogviszonyban álló természetes és jogi személyekre, jogi személyiséggel nem rendelkező szervezetekre (a továbbiakban: külső személy), a velük kötött szerződésben, illetve a titoktartási nyilatkozatban rögzített mértékben. A Társaság IT rendszereit használó a rendszerekhez és alkalmazásokhoz bármilyen hozzáféréssel rendelkező természetes vagy jogi személyre. 2.3 Tárgyi hatály
A szabályzat hatálya kiterjed a Társaság minden információkezeléssel és információfeldolgozással kapcsolatos folyamatára és tevékenységére vagy támogatásukban részt vevő informatikai eszközökre, illetve azok elhelyezésére szolgáló létesítményekre. Egyaránt vonatkozik a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben előforduló adatokra, információkra, a Társaság tulajdonában lévő informatikai rendszerek teljes életciklusára (tervezés, fejlesztés, beszerzés, bevezetés, üzemeltetés, kivonás). Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 5 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 6/31
3 A szabályzat minősítése A jelen szabályozás belső nyilvános dokumentum, amelyet a szabályzat személyi hatálya alá nem tartozó harmadik személy csak és kizárólag az Ügyvezetők előzetes írásos engedélye alapján ismerhet meg. Jelen szabályzat személyi hatálya alá tartozóknak a szabályzat előírásait kötelezően ismerniük (a munkaviszony kezdetének napján, de legkésőbb az első munkában töltött napon) és követniük kell, azonban harmadik személynek a szabályzatból információt nem adhat ki. 4 A szabályzat felülvizsgálata A szabályzatot évi rendszerességgel felül kell vizsgálni. A szabályzat felülvizsgálata az Adatvédelmi Felelős feladata. 5
Meghatározások
Személyes adat
Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintett különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.
Adatgazda
Jelenti azt a személyt, aki élve a Társaság által biztosított jogosultságával, adatot minősít, illetve osztályba sorol és felelős az általa minősített adat kezeléséért.
Adatkezelés
Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtés, felvétel, rögzítés, rendszerezés, tárolás, megváltoztatás, felhasználás, továbbítás, nyilvánosságra hozatal, összehangolás vagy összekapcsolás, zárolás, törlés és megsemmisítés, valamint az adatok további felhasználásának megakadályozása.
Adatkezelő
Az adatkezelést végző természetes vagy jogi személy. Az adatkezelő meghatározza az adatkezelés célját, valamint az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 6 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 7/31
Adatfeldolgozó
Az a természetes személy, jogi személy, jogi személyiséggel nem rendelkező gazdasági társaság vagy egyéni vállalkozó, aki vagy amely az adatkezelő részére adatfeldolgozást végez.
Adatfeldolgozás
Az adatkezeléshez kapcsolódó technikai feladatok elvégzése.
Adatvédelmi Felelős
Az adatkezelésre vonatkozó jogszabályok és jelen Szabályzat rendelkezéseinek megtartásáért felelős kijelölt személy.
Adattörlés
Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé ne legyen lehetséges.
Adatmegsemmisítés
Az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése.
Adattovábbítás
Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
EGT-állam
Az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.
Érintett
Bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.
Harmadik ország
Minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek.
Hozzájárulás
Az Érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Tiltakozás
Az Érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
Ügyfél
Jelen szabályzatban a Társaság üzleti partnerei (vevők, beszállítók)
Védett adat
A törvény erejénél fogva minősül védett adatnak, ezért az ezekkel kapcsolatos titokvédelmi szabályokat akkor is
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 7 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 8/31
alkalmazni kell, ha az adatvédelmi minősítés nincs az adathordozón megjelölve, vagy a védett adat birtokába kerülő személy figyelmét az adatvédelmi szabályok alkalmazásának kötelezettségére az adat átadásakor külön nem hívták fel. A védett adat kiadhatósága kérdésében az Adatvédelmi Felelős szakvéleménye az irányadó. Védett adat különösen a személyes adat, különleges adat és az üzleti titok (Ptk. 2:47 §)
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 8 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 9/31
6
Felelősök, felelősségi körök
Adatvédelmi Felelős A Társaság Adatvédelmi felelőse a Társaság Információbiztonsági Felelőse. Az Adatvédelmi Felelős folyamatosan ellenőrzi az adatkezelésre vonatkozó jogszabályok és az Adatvédelmi Szabályzat rendelkezéseinek megtartását. Amennyiben a tevékenysége során jogszabálysértést, vagy jogosulatlan adatkezelést észlel, annak megszüntetésére szólítja fel az adatkezelőt, adatfeldolgozót, vagy az adattal kapcsolatba került egyéb személyt. Amennyiben adatkezeléssel kapcsolatos panasz érkezik, a panaszt haladéktalanul továbbítani kell az Adatvédelmi Felelősnek. Az Adatvédelmi Felelős a panasszal kapcsolatban a jelen Szabályzat Tiltakozási, panasztételi jog c. pontjában foglaltak szerint jár el. Amennyiben nem egyértelmű, hogy egy adat tekintetében a jelen Szabályzat mely rendelkezéseit kell alkalmazni, e kérdésben az Adatvédelmi Felelős állásfoglalása az irányadó. Adatgazda Adatgazdák a Társaság Informatikai Biztonsági Szabályzatban kerülnek meghatározásra. Az Adatgazdák a területükön keletkező, illetve a hozzájuk tartozó alkalmazásokban található, illetve létrejövő adatokat besorolják, nyilvántartják. Az Adatgazdák az adatok besorolásáért, nyilvántartásáért, megőrzéséért, kezelésért és a jelen Szabályzat betartásáért felelősek. Az Adatvédelmi Felelős ellenőrizheti, az adatok megfelelő besorolását, illetve a besorolásnak megfelelő kezelést. Az adatgazdai kinevezések eredeti példányát az Adatgazdánál, egy másolati példányát pedig az Adatvédelmi Felelősnél kell elhelyezni. Az Adatgazdákat a Társaság Ügyvezető igazgatói nevezik ki. Az Adatgazdák 30 napon belül kötelesek bejelenteni e-mailban a Társaság Adatvédelmi Felelősének a jelen Szabályzat 2. sz. mellékletét képező ADATLAPON a jelen szabályzat hatálybalépésének időpontjában meglévő adatkezeléseket (ideértve az adattovábbításokat is), továbbá azok megváltozása esetén 8 napon belül a változásokat. A bejelentett adatkezeléseket követő új adatkezeléseket az adatkezelés tervezett bevezetése előtt legalább 45 nappal (ügyfél adatkezelés esetén), illetve legalább 14 nappal (nem-ügyfél adatkezelés esetén) kell bejelenteni az Adatvédelmi Felelősnek, illetve az engedély megadását követően a már bejelentett adatok megváltozása esetén 3 napon belül a változást. 7
Az adatok besorolása
A Társaság információrendszerében feldolgozott, továbbított, tárolt adatok kockázatarányos védelmének biztosítása érdekében az adatokat be kell sorolni információvédelmi osztályokba.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 9 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 10/31
Az információ-osztályozási rendszert kell használni a védettségi szintek meghatározására, valamint arra, hogy közvetítse a különleges kezelési intézkedésekre vonatkozó igényt. Az osztályzási rendszernek figyelembe kell vennie:
az információ osztályba sorolt vagyontárgyak sértetlenségének, rendelkezésre állásának és bizalmasságának az üzletmenetre gyakorolt hatását; a sértetlenség, rendelkezésre állás és bizalmasság elvesztéséből eredő vagyoni és nem vagyoni kár nagyságát; tárolás esetén az adathordozó típusát; a teljes körűség elvét, vagyis az osztályozásnak ki kell terjednie a rendszer összes eleme által kezelt információra; a besorolásnál fellépő (esetleges) logikai ütközéseket.
Minden besorolási osztálynak tartalmaznia kell a kezelés – információ feldolgozás eljárását is, mely kiterjed a:
másolásra, tárolásra, továbbításra, megsemmisítésre.
Az információrendszerben elektronikusan tárolt adatok esetén az adatok azon halmazát, amelyekre a tárolás számítástechnikai körülményeiből adódóan jellemzően azonos védettség valósítható meg (közös adatbázis, azonos könyvtár), ugyanabba az információvédelmi osztályba kell sorolni, mégpedig oly módon, hogy a halmaz egészére ki kell terjeszteni a halmaz legérzékenyebb elemének besorolását. Az Adatgazdák – az Információ Biztonsági Felelős (IBF) kezdeményezésére és koordinálásával – az adatok osztályozását évente legalább egyszer felülvizsgálják, és a besorolást megváltoztatják vagy jóváhagyják:
ha az információkezelést és –feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében lényeges változás áll be, a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben lényeges változás áll be.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 10 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 11/31
Az adatokat az alábbiak szerint kell besorolni a meghatározott biztonsági osztályokba: Információvédel mi biztonsági osztály
Az adott biztonsági osztályra jellemző adattípusok Ide tartoznak a jogszabályok által nem védett adatok. A gazdálkodáshoz kapcsolódó mérlegadatok, amelyek közzétételére kötelezett a Társaság,
Nyilvános
Interneten közzétett, tesztszolgáltatások,
nyilvánosan
szolgáltatott
információk,
minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest jelentéktelen mértékű veszteséggel jár. Ide tartoznak a jogszabályok által védett (pl. személyes) adatok. Belső előterjesztések, jegyzőkönyvek, határozatok, utasítások, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba, Definíció, vagy szabályzat szerinti belső adatok, információk, amelyek csak belső üzleti célokra használhatóak fel, Belső
Nyilvános biztonsági osztályba kerülő adatok előkészítése során előálló munkaanyagok, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest jelentéktelen mértékű veszteséggel jár. Ide tartoznak a jogszabályok által védett (pl. személyes) adatok vagy bizalmas ügyfél adatok. A Társaság normál üzleti tevékenységével kapcsolatos szerződés- és ügyféladatok,
Bizalmas
Definíció, vagy a Társaság Információbiztonsági Szabályzata szerint üzleti titoknak nyilvánuló információ, A Társaság informatikai infrastruktúrájával kapcsolatos végleges, a pillanatnyi működést dokumentáló információk, Olyan
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
adatok,
amelyek
nyilvánosságra
kerülése
hátrányosan Dokumentum száma: Oldalszám: 11 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 12/31
befolyásolja a Társaság üzleti érdekeit, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül nem kezelhető és a Társaság szellemi és anyagi erőforrásaihoz képest közepes mértékű veszteséggel jár. Ide tartoznak a jogszabályok által védett különleges adatok (pl. nagy tömegű személyes) vagy bizalmas, ügyfél adatok, ügyfél titkok. Azonosító és hitelesítő adatok, információk (azon információk köre, amelyek kapcsolattartás során a jogi és anyagi kötelezettség elismeréséhez szükséges formai kelléknek, azonosító és hitelesítő adatnak minősülnek), Szigorúan bizalmas
Olyan adatok, amelyek nyilvánosságra kerülése különösen hátrányosan befolyásolja a Társaság üzleti érdekeit, Minden olyan adat melynek kezeléséből, feldolgozásából származó bizalomvesztés, közvetett vagy közvetlen anyagi kár a Társaságon belül már nem kezelhető vagy jelentős és összemérhető a Társaság költségvetésével továbbá a Társaság szellemi erőforrásaihoz képest is jelentős mértékű veszteséggel és súlyos társadalom-politikai hatással jár.
Azon adatok, amelyek egyértelműen máshova nem kerültek besorolásra a „Belső” kategóriába tartoznak. A fenti besorolást kell alkalmazni az adatok mind elektronikus, mind nyomtatott formában történő megjelenése esetén. 8
Általános szabályok 8.1 Személyes adat kezelése
1 Személyes adat az Társaságban akkor kezelhető, ha ahhoz az Érintett írásban hozzájárult, vagy törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben közérdeken alapuló célból elrendeli. Személyes adat akkor is kezelhető, ha az Érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából
1
, az adatkezelés jogalapja
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 12 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 13/31
szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Ha az Érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az Érintett személyes adatai kezelhetőek. Ha a személyes adat felvételére az Érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül, valamint az Érintett hozzájárulásának visszavonását követően is kezelheti. Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az Érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az Érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. Az Infotv. szerint az Érintett kérésére induló eljárásban a szükséges adatoknak a kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az Érintett figyelmét fel kell hívni. Az Érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről (tájékoztatás) az Adatkezelő feladata gondoskodni. 2Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az Érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az Érintett személyes adatait az adatkezelő az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az Érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
2
az érintett előzetes tájékoztatásának követelménye
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 13 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 14/31
Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is. Ha az Érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az Érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az Érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma. 3Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e kritériumoknak, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről. 8.2 Titoktartási kötelezettség Belső, bizalmas és szigorúan bizalmas adatot időkorlátozás nélkül köteles minden az adathoz hozzáférő személy titokban tartani és biztosítani azt, hogy védett, illetve üzleti adatot törvényben, valamint a jelen Szabályzatban foglalt esetek kivételével harmadik személy ne ismerhesse meg, és az adat ne váljon hozzáférhetővé. Az adatkezelés céljának megszűnését követően az adatot - amennyiben azok megőrzését jogszabály nem írja elő - törölni kell. 9
Az adatok kezelése papíralapú adathordozó esetében
Belső, bizalmas és szigorúan bizalmas adatot tartalmazó iratokat olyan módon kell kezelni, amely biztosítja, hogy illetéktelen azokhoz ne férhessen hozzá. Az adatokat tartalmazó iratokat elzárás nélkül őrizetlenül hagyni nem szabad. A bizalmas, szigorúan bizalmas adatot tartalmazó irat házon kívülre történő kézbesítése csak zárt borítékban vagy olyan irattartó használatával történhet, amely alkalmas arra, hogy az iratot teljes terjedelmében takarja, és az irattartó illetéketlen kinyitása felismerhető legyen. A zárt boríték, illetve az irattartó csak a címzettnek,
3
az adatkezelés elvei
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 14 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 15/31
vagy írásbeli megbízottjának adható át. Az Adatvédelmi Felelőst értesíteni kell, ha a borítékot, illetve az irattartót az átvételt megelőzően felnyitották. 10
Az adatok kezelése elektronikus adathordozó esetében
Belső, bizalmas és szigorúan bizalmas adatok a Társaság szervezeti rendszerén belül – a feladat elvégzéséhez szükséges mértékben és ideig – továbbíthatók, azon szervezeti egységek részére, amelyek az adatok kezelésében és feldolgozásában részt vesznek. Elektronikus úton, a Társaságon kívüli címzetthez belső, bizalmas és szigorúan bizalmas adatot csak titkosított csatornán, vagy az adatok titkosítását követően szabad továbbítani, de csak abban az esetben, ha a titkosítást, vagy a titkosított csatornát az Informatikai Biztonsági Felelős megfelelőnek minősítette. 11
Az adatokat tartalmazó adathordozó megsemmisítése
Belső, bizalmas és szigorúan bizalmas, vagy a Társasághoz bármilyen módon köthető adatokat tartalmazó adathordozót oly módon kell selejtezni, hogy az eljárás eredményeképpen az adathordozó adattartalma semmilyen módon ne legyen helyreállítható (fizikai megsemmisítése, bezúzás, mágneses vagy optikai adathordozó esetén többszörös felülírás stb.).A selejtezett és megsemmisített anyagokról jegyzőkönyvet kell felvenni. A megsemmisítés csak akkor lehetséges, ha az adat tárolására vonatkozó, jogszabályok által meghatározott kötelező megőrzési idő lejárt. Az adathordozók megsemmisítéséről a Társaság Információbiztonsági Szabályzata rendelkezik. Az adatokat tartalmazó irat előkészítése során keletkezett olyan papírhulladékot, amelyből az adatok kinyerhetőek, a használatot követően haladéktalanul iratmegsemmisítővel kell megsemmisíteni.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 15 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 16/31
Adatnyilvántartás
12
Az Adatgazdáknak nyilvántartást kell vezetniük az adatkezelés megkezdése előtt a nyilvántartásra kötelezett adatokról. Nyilvántartásra kötelezett adatoknak minősülnek azok az adatok, amelyeket a mindenkori jogszabályok nyilvántartásra kötelezett adatoknak minősítenek. A nyilvántartásnak az alábbi adatokat kell tartalmaznia:
az adatkezelés célját; az adatok fajtáját és kezelésük jogalapját; az Érintettek körét; az adatok forrását; a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; az egyes adatfajták törlési határidejét; az adatok kezelőjét (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, elérhetősége)
Az adatkezelés megszűnése után a nyilvántartást archiválni kell. Az archivált nyilvántartás öt év elteltével megsemmisíthető. 13
Bejelentés az adatvédelmi nyilvántartásba
Az Adatvédelmi Felelős a www.naih.hu honlapról letölthető formanyomtatvány kitöltésével vagy az Infotv. 65.§4-ában meghatározott tartalommal saját maga által kialakított űrlapon jelenti be az adatkezeléseket a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) nyilvántartásába. Nem kell bejelenteni az Infotv. 65. § (3) bekezdésében felsorolt adatkezeléseket, de különösen, ha az adatkezelés: a) az adatkezelővel munkaviszonyban, tagsági viszonyban, álló személyek adataira vonatkozik; b) az Érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik; c) a hatósági, az ügyészségi és a bírósági eljárás által Érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira vonatkozik; d) a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy - törvényben meghatározottak szerint - az adatok Érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; e) a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra.
4
az adatvédelmi nyilvántartás
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 16 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 17/31
A személyes adatok kezelésének nyilvántartásba vételét az Adatvédelmi Felelős - a kötelező adatkezelés kivételével az adatkezelés megkezdése előtt - kérelmezi a Hatóságnál. A kötelező adatkezelés kivételével az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg. A kötelező adatkezelés nyilvántartásba vételét az adatkezelő az adatkezelést elrendelő jogszabály hatálybalépését követő húsz napon belül kérelmezi a Hatóságnál. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. A Hatóság az adatkezelést a kérelem beérkezésétől számított nyolc napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatványban elkért adatokat. Ha a Hatóság a nyilvántartásba vétel iránti kérelmet határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltak szerint megkezdheti. Ha a kérelem olyan, a szervezet ügyfelére vonatkozó adatkezelés nyilvántartásba vételére irányul, amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, illetve amely az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé, a nyilvántartásba vétel feltétele, hogy az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók legyenek. Az előző bekezdésben tárgyalt adatkezelést a Hatóság a kérelem beérkezésétől számított negyven napon belül nyilvántartásba veszi, ha a kérelem tartalmazza a nyomtatvány szerinti adatokat és az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók. Az e pont szerinti adatkezelés nem kezdhető meg a nyilvántartásba vételről szóló határozat kézhezvétele előtt. A Hatóság az adatvédelmi nyilvántartásba vételi kérelemnek helyt adó határozata tartalmazza az adatkezelés nyilvántartási számát, amelyet az Adatkezelőnek az adatok minden továbbításánál, nyilvánosságra hozásánál és az Érintettnek való kiadásakor fel kell tüntetni. A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét. A bejelentett adatok megváltozása esetén az Adatkezelő a változás bekövetkezésétől számított nyolc napon belül változásbejegyzési kérelmet nyújt be a Hatóságnak. A kérelemnek csak a megváltozott adatokat kell tartalmaznia.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 17 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 18/31
Adattovábbítás megkeresés alapján
14
14.1 A védett adatok kiadása Személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak a jelen szabályzat Adattovábbítás megkeresés alapján fejezetében meghatározott valamely jogalap alapján lehet. EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor. EGT-államon kívüli országban lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha
ahhoz az Érintett kifejezetten hozzájárult; vagy az adatkezelés jogalapja biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme.
A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha
az Európai Unió kötelező jogi aktusa azt megállapítja (különösen, ha a célországban lévő adatkezelő vagy adatfeldolgozó szerepel az ún. Safe Harbor listán), vagy a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban.
Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén. Védett adat kiadására – kivéve ha a jogszabály másként rendelkezik - csak az Ügyvezetők, vagy az általuk írásban meghatalmazott személy jogosult. Az adatot kiadó személy az adatkiadásért felelősséggel tartozik. Adattovábbítási nyilvántartás vezetése
15
Az Érintett kérelmére az Adatkezelő tájékoztatást ad az Érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az Érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az Érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza:
az általa kezelt személyes adatok továbbításának időpontját,
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 18 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 19/31
az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Az Társaság az adattovábbításokat az Adattovábbítás című formanyomtatványon az ott meghatározott formában és tartalommal tarja nyilván. Az adattovábbítási nyilvántartás adatai az Infotv. 17. § (3) bekezdésének figyelembevételével törölhetőek. 16
Hatósági megkeresések teljesítése
Hatósági, bírósági megkeresés alapján védett adatot – kivéve, ha a jogszabály másként nem rendelkezik – jelen Szabályzatban meghatározott előírásokkal összhangban lehet teljesíteni. Az adatot kiadó az adatkiadásért felelősséggel tartozik. Kivételesen (különösen indokolt esetben) akkor is teljesíthető a hatósági, bírósági megkeresés, ha nem áll rendelkezésre a megkeresés eredeti példánya (például, mert a megkeresés a nyomozati cselekmények sürgőssége miatt telefaxon érkezett). Ilyen esetben a megkeresés eredeti példányát haladéktalanul be kell szerezni. 17
Adatvédelmi oktatás
Az Adatvédelmi Felelős gondoskodik a szervezeten belül az adatvédelmi ismeretek évente egy alkalommal történő, kötelező oktatásáról. Az oktatáson az Társaság minden munkatársa köteles részt venni. Az oktatáson való részvételt jelenléti ívvel dokumentálni kell, amelyet az Adatvédelmi Felelős tárol. 18
Az Érintett tájékoztatáshoz való joga
Az Érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről. E jogát oly módon kell biztosítani, hogy az Érintett más személy adatait ne ismerhesse meg. Az Érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat. A tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül, közérthető formában kell teljesíteni. Amennyiben az Érintett úgy rendelkezik, a tájékoztatást írásban kell megadni.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 19 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 20/31
A tájékoztatás megadása, és továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan az Érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek szerződésben is rendelkezhetnek. A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg:
az Érintett nem a saját adataira vonatkozóan kér tájékoztatást; a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel Érintett személy; amennyiben törvény a tájékoztatást kizárja; ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az Érintett tájékoztatási jogának korlátozását.
A felvilágosítás megtagadása esetén tájékoztatni kell az Érintettet a bírósághoz és az adatvédelmi hatósághoz fordulás jogáról. Ezen felül a folyó évet követő január 31-éig tájékoztatni kell a Nemzeti Adatvédelmi és Információszabadság Hatóságot az elutasított kérelmekről. 19
Tiltakozási, panasztételi jog
Amennyiben a Társaság ügyfele, egyéb személy vagy szervezet tiltakozik védett adatainak kezelése ellen vagy az adatkezelés módjával kapcsolatban panaszt nyújt be, az Adatvédelmi Felelős a tiltakozást, panaszt köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 30 nap alatt megvizsgálni. Amennyiben az Adatgazda vagy az adatkezelő az adatokat nem a jogszabályoknak vagy jelen szabályzatnak megfelelően kezelte, a panaszügyet az Adatvédelmi Felelős vizsgálja ki vagy utasítja az Adatgazdát a kivizsgálás lefolytatására. Ebben az esetben az Adatgazda a kivizsgálás eredményéről az Adatvédelmi Felelőst tájékoztatja. A vizsgálat eredményéről az Adatvédelmi Felelős a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás vagy a panasz indokolt, az Adatvédelmi Felelős intézkedik az adatkezelés jogszabályok, illetve jelen szabályzat szerinti kezeléséről. Az Adatvédelmi Felelős a tiltakozásról, panaszról továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a Társaság az Érintett védett adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási, panasztételi jog érvényesítése érdekében. Az Adatvédelmi felelős az adatkezeléssel kapcsolatos panaszokról nyilvántartást vezet. A Társaság munkavállalói, illetve egyéb szerződéses jogviszony alapján a Társaságban munkát végző személyek az Adatvédelmi Felelős eljárása során kötelesek annak utasítása szerint eljárni.
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 20 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 21/31
Ellenőrzés
20
Az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseinek betartását, az Adatgazdák, valamint az Adatvédelmi Felelős folyamatosan ellenőrzik. Hatályon kívül helyezés
21
Nincs hatályon kívül helyezendő dokumentum. Mellékletek és formanyomtatványok
22
1. sz. melléklet - Az adatkezelő és a belső Adatvédelmi Felelős adatai 2. sz. melléklet - ADATLAP a belső adatvédelmi nyilvántartásba történő bejelentéshez 3. számú melléklet - Adattovábbítási nyilvántartás …….évre
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 21 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 22/31
23
Mellékletek 1. sz. melléklet - Az adatkezelő és a belső Adatvédelmi Felelős adatai
Az Adatkezelő adatai: Név: Székhely: Cégjegyzékszám: Cégbejegyzés: Fővárosi Törvényszék Cégbírósága Adószám: Adatvédelmi felelős neve: Elérhetősége:
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 22 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 23/31
2. sz. melléklet - ADATLAP a belső adatvédelmi nyilvántartásba történő bejelentéshez 1. Adatkezelés 1.1 A bejelentő szervezeti egység: 1.2 A bejelentő személy neve: 1.3 Az adatkezelés megnevezése: 1.4 Az adatkezelés célja: 1.5 Jogalapja 1.5.1 Törvény vagy az Érintett hozzájárulása: 1.5.2 Törvény címe, száma: 1.6 A tényleges adatkezelés helye: 1.7 Az adatkezelés automatizáltsága: (gépi, kézi, részben gépesített) 2. Adatfeldolgozás 2.1 Az adatfeldolgozó megnevezése: 2.2 Címe: 2.3 Telefonszáma: 2.4 Kapcsolattartó: 3. Az adatok forrása 3.1 Adatfajta megnevezése: (-személyazonosító adatok: családi és utónév, lakcím (állandó, ideiglenes), szül. hely, idő, anyja neve, állampolgárság, azonosító okmány (bármilyen: szem.ig, útlevél, jogosítvány, vállalkozói igazolvány, stb) típusa és száma - egyéb személyes adat: telefonszám, e-mail cím, fénykép, bármi, ami a személyes adat fogalmának megfelel, és amit megadtak nekünk, tehát kezeljük (pl. beszerzési pályázatok során önéletrajz) - a többi adat gyűjtőkategóriaként megjelölve: pl. a szerződés megkötésével, a szerződés teljesítésével, behajtással kapcsolatos adatok, tranzakciós adatok, stb.) Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 23 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 24/31
3.2 Adatforrás megnevezése: (Érintett, más adatkezelő, stb.) 3.3 Adatfelvétel (átvétel) jogalapja 3.3.1 Törvény vagy Érintett hozzájárulása: 3.3.2 Törvény címe, száma: 3.4 Adatfelvétel (átvétel) módja: 3.5 Az adat törlési határideje: 4. Adattovábbítás(ok) 4.1 Adatfajta megnevezése: (-személyazonosító adatok: családi és utónév, lakcím (állandó, ideiglenes), szül. hely, idő, anyja neve, állampolgárság, azonosító okmány (bármilyen: szem.ig, útlevél, jogosítvány, vállalkozói igazolvány, stb) típusa és száma - egyéb személyes adat: telefonszám, e-mail cím, fénykép, bármi, ami a személyes adat fogalmának megfelel, és amit megadtak nekünk, tehát kezeljük (pl. beszerzési pályázatok során önéletrajz) - a többi adat gyűjtőkategóriaként megjelölve: pl. a szerződés megkötésével, , a szerződés teljesítésével, behajtással kapcsolatos adatok, tranzakciós adatok, stb.) 4.2 Címzett neve: 4.3 Az adattovábbítás jogalapja 4.3.1 Törvény vagy Érintett hozzájárulása: 4.3.2 Törvény címe, száma: 4.4 Az adattovábbítás módja: 4.5 Időpontja:
5. Az Érintettek csoportja(i) 5.1 A csoport leírása: 5.2 Érintettek száma: 6. Egyéb közlendők: Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 24 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 25/31
Kitöltési útmutató az adatvédelmi nyilvántartásba vételi kérelemhez Az adatlap rovatainak kitöltése 1. Adatkezelő 1.1. Adatkezelő megnevezése: A rovatba az adatkezelő szerv vagy személy hivatalos nevét kell beírni. (pl. cég elnevezése, egyesület bejegyzett elnevezése, természetes személy család- és utóneve). [Az Infotv. 3. § (1) bekezdés 9. pontja szerint „adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja”.] 1.2. Adatkezelő címe: Az adatkezelő szerv székhelye, a természetes személy lakóhelye. 1.3.Telefonszáma: 1.4. Kapcsolattartó: A kapcsolattartó neve, elérhetőségi adatai. Ha van belső Adatvédelmi Felelős, akkor annak neve, elérhetőségi adatai. 1.5. Előző adatkezelés Csak abban az esetben kell kitölteni, ha az adatkezelő, vagy jogelődje korábban már bejelentette adatkezelését az adatvédelmi nyilvántartásba. 1.5.1. Az adatkezelő megváltozásának jogcíme: Csak abban az esetben kell kitölteni, ha a konkrét adatkezelést előzőleg más adatkezelő végezte, vagy adatkezelő személyében változás (pl. jogutódlás, átalakulás, névváltozás, jogszabály-változás) történt. 1.5.2. előző nyilvántartási azonosító: Csak abban az esetben kell kitölteni, ha az adatkezelő korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba. 1.6. Az adatkezelés megnevezése: Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 25 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 26/31
Kérjük, hogy a bejelenteni kívánt adatkezelést – a nyilvántartásban történő keresés lehetővé tétele céljából – röviden nevezze meg. (pl. weboldal üzemeltetése, hírlevél küldés, marketing célú adatkezelés, kétes kintlévőségek kezelése, térfigyelő kamerarendszer alkalmazása, adattovábbítás külföldre stb.) 1.7. Az adatkezelés célja: Az adatkezelés céljának – figyelemmel az Infotv. 4. §-ra – rövid megfogalmazás. [Az Infotv. 4. § (1) bekezdése szerint „Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.”] 1.8. Az adatkezelés jogalapja: Az adatkezelés jogalapja vagy az érintett hozzájárulása, vagy törvényi rendelkezés lehet. [Az Infotv. 5. § (1) bekezdése szerint „Személyes adat akkor kezelhető, ha a) ahhoz az érintett hozzájárul, vagy b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés). (2) Különleges adat a 6. §-ban meghatározott esetekben, valamint akkor kezelhető, ha a) az adatkezeléshez az érintett írásban hozzájárul, b) a 3. § 3. pont a) alpontjában foglalt adatok esetében az törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli, vagy c) a 3. § 3. pont b) alpontjában foglalt adatok esetében törvény közérdeken alapuló célból elrendeli. 6. § (1) Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 26 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 27/31
(5) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, visszavonását követően is kezelheti.”]
valamint
az
érintett
hozzájárulásának
1.8.1. Jogszabályhely vagy más jogalap: Az Érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése (a törvény vagy kormányrendelet száma). 1.8.2. Jogszabály címe. Az adatkezelés jogalapját meghatározó jogszabály megnevezése (a törvény vagy a kormányrendelet neve, címe). 1.9. A tényleges adatkezelés helye: Nem szükségképpen azonos az adatkezelő címével, csak akkor kell kitölteni, ha nem azonos az adatkezelő címével (pl. telephely, fióktelep vagy adatfeldolgozó címe). 1.10. Az adatkezelés automatizáltsága: Kézi, gépi, részben gépesített, párhuzamos (nem kötelezően kitöltendő elem). 2. Adatfeldolgozás: Csak akkor kell kitölteni, ha van adatfeldolgozó. [Az Infotv. 3. § (1) bekezdés 17. pontja szerint „adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik”.] 2.1. Adatfeldolgozó megnevezése: A rovatba az adatfeldolgozó szerv vagy személy hivatalos nevét kell beírni. Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 27 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 28/31
[Az Infotv. 3. § (1) bekezdés 18. pontja szerint „adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi”.] 2.2. Az adatfeldolgozó címe: Az adatfeldolgozó szerv székhelye, a természetes személy lakóhelye. 2.3. Telefonszáma: 2.4. Kapcsolattartó: A kapcsolattartó neve, elérhetőségi adatai. Ha van belső Adatvédelmi Felelős, akkor annak neve, elérhetőségi adatai. 3. Az adatok forrása: 3.1. Adatfajta megnevezése: Az egyes adatfajtákat fel kell sorolni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”. [Az Infotv. 4. § (2) bekezdése szerint „Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. […]”] 3.2.Adatforrás megnevezése: A kezelt adatok forrásának megjelölése (pl. Érintett személyek, KEKKH, más adatkezelőtől adatátvétellel). Más adatkezelőtől történő adatátvétel esetén kérjük az adatokat továbbító adatkezelő adatvédelmi nyilvántartási számát is megjelölni. 3.3. Adatfelvétel (átvétel) jogalapja: Az Érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése (a törvény vagy kormányrendelet száma). 3.3.1. Jogszabályhely vagy más jogalap: Az Érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése. 3.3.2. Jogszabály címe. Az adatkezelés jogalapját meghatározó jogszabály megnevezése (a törvény vagy a kormányrendelet neve, címe). 3.4. Adatfelvétel (átvétel) módja: Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 28 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 29/31
Kérjük, jelölje meg az adatok gyűjtésének, felvételének, átvételének konkrét módját. (pl. kérdőív, címlista átvétele). 3.5. Az adat törlési határideje: Ha jogszabály másképp nem rendelkezik, az adatokat az adatkezelés céljának elérésével, illetve az Érintett kérésére törölni kell. [Az Infotv. 4. § (2) bekezdése szerint „[…]A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.”] 4. Adattovábbítások: Csak akkor kell kitölteni, ha történik adattovábbítás. [Az Infotv. 3. § (1) bekezdés 11. pontja szerint „adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele”.] 4.1. Adatfajta megnevezése: Az egyes adatfajtákat fel kell sorolni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”. 4.2. Címzett: A rovatba az adattovábbítás címzettjének hivatalos nevét, címét kell beírni. Ebben a rovatban kell megjelölni azt is, ha az adatkezelő az adatokat nyilvánosságra hozza. [Az Infotv. 3. § (1) bekezdés 12. pontja szerint „nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele”.] 4.3. Az adattovábbítás jogalapja: Az adattovábbítás jogalapja vagy az Érintett hozzájárulása, vagy törvényi rendelkezés lehet. 4.3.1. Jogszabályhely vagy más jogalap: Az Érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése (a törvény vagy kormányrendelet száma). 4.3.2. Jogszabály címe. Az adatkezelés jogalapját meghatározó jogszabály megnevezése (a törvény vagy a kormányrendelet neve, címe). 4.4. Az adattovábbítás módja: Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 29 / 31
Kiadás/változat: 1.0 DAKÖV
ADATVÉDELMI SZABÁLYZAT
KFT.
Kiadás dátuma:2015.04.01 Oldalak száma: 30/31
Kérjük, jelölje meg az adatok továbbításának módját. (pl. online kapcsolat). 4.5. Időpontja: Kérjük, jelölje meg az adattovábbítás határnapját, határidejét, valamint az adattovábbítás gyakoriságát is. 5. Az Érintettek csoportja(i): [Az Infotv. 3. § (1) bekezdés 1. pontja szerint „Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy”.] 5.1. A csoport leírása: Azoknak a csoportoknak a leírása, amelyek tagjainak személyes adataival az adatkezelő adatkezelést végez (azaz ahonnan az adatokat gyűjti). 5.2. Érintettek száma: Nem minden esetben meghatározható (pl. üzleti titok, folyamatosan változó, stb.) 6. Egyéb közlendők: Például hiánypótlás, korábbi bejelentés, az adatfeldolgozónak az adatkezeléssel összefüggő tevékenysége. Az adatlapot cégszerűen aláírva, a Nemzeti Adatvédelmi és Információszabadság Hatóságnak címezve postai úton (1125. Budapest, Szilágyi Erzsébet fasor 22/C.) kell megküldeni. 3. számú melléklet - Adattovábbítási nyilvántartás …….évre sorszám
adattovábbítás adattovábbítás adattovábbítás adattovábbítással egyéb pl. az címzettje jogalapja időpontja érintett adattovábbítás személyes és módja üzleti adatok (másolat, köre dump, anonymizált stb.)
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 30 / 31
Kiadás/változat: 1.0 DAKÖV KFT.
ADATVÉDELMI SZABÁLYZAT
Kiadás dátuma:2015.04.01 Oldalak száma: 31/31
Kiadás: 1.0 Hatályba helyezve: 2015. 04.01.
Dokumentum száma: Oldalszám: 31 / 31