SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
SZÉCHENYI Kereskedelmi Bank Zrt. IT09/2011. Vezérigazgatói utasítás SZKB_IT09 - Adatvédelmi és Kezelési Szabályzat
Név Felelős folyamatgazda,
Jónás Gábor, Informatikai üzemeltetési
terület vezetője: Jóváhagyó:
vezető Takács Árpád, Vezérigazgató
Cégnév Széchenyi Kereskedelmi Bank Zrt. Széchenyi Kereskedelmi Bank Zrt.
Dokumentum részletei
Címe:
Adatvédelmi és Kezelési Szabályzat
Száma:
09/2011
Típusa:
Szabályzat
Hatályba lépés kezdete:
2012. április 27.
Érvényesség vége:
Visszavonásig
Következő felülvizsgálat időpontja:
Hatályba lépés + 1 év
Hatályba lépésével hatályon kívül
2010.08.31
helyezett:
2011.02.28.
1
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
Tartalomjegyzék
1
BEVEZETÉS .............................................................................................................................................. 4 1.1 1.2 1.3 1.4
2
A SZABÁLYZAT CÉLJA ................................................................................................................................... 4 A SZABÁLYZAT HATÁLYA ............................................................................................................................... 4 HALLGATÓSÁG, CÉLCSOPORT ........................................................................................................................ 4 KAPCSOLÓDÓ SZABÁLYZATOK ........................................................................................................................ 5
FOGALOM MEGHATÁROZÁSOK A SZABÁLYZAT ÉRTELMEZÉSÉBEN ......................................................... 5 2.1 SZEMÉLYES ADAT:....................................................................................................................................... 5 2.1.1 Természetes Azonosító ...................................................................................................................... 5 2.1.2 Mesterséges Azonosító ...................................................................................................................... 6 2.2 LEÍRÓ ADAT ............................................................................................................................................... 6 2.3 KÜLÖNLEGES (SZEMÉLYES) ADAT ................................................................................................................... 6 2.4 ADATKEZELÉS ............................................................................................................................................. 6 2.5 ADATFELDOLGOZÁS ..................................................................................................................................... 6 2.6 ADATTOVÁBBÍTÁS ....................................................................................................................................... 7
3
ADATVÉDELMI SZEREPKÖRÖK................................................................................................................. 7 3.1 3.2 3.3 3.4 3.5
4
ADATVÉDELMI ALAPELVEK .................................................................................................................... 10 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8
5
ADATGYŰJTÉS KORLÁTOZÁSÁNAK ELVE ......................................................................................................... 10 AZ ADATMINŐSÉG ELVE ............................................................................................................................. 10 A CÉLHOZ KÖTÖTTSÉG ELVE ....................................................................................................................... 11 A KORLÁTOZOTT FELHASZNÁLÁS ELVE........................................................................................................... 11 A BIZTONSÁG ELVE ................................................................................................................................... 11 A NYÍLTSÁG ELVE...................................................................................................................................... 12 A SZEMÉLYES RÉSZVÉTEL ELVE .................................................................................................................... 12 A FELELŐSSÉG ELVE .................................................................................................................................. 12
ADATKEZELÉS SZABÁLYAI ...................................................................................................................... 13 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8
6
ADATKEZELŐ.............................................................................................................................................. 7 BELSŐ ADATVÉDELMI FELELŐS ...................................................................................................................... 8 ADATFELDOLGOZÓ ...................................................................................................................................... 9 ADATVÉDELMI BIZTOS ................................................................................................................................. 9 ADATALANY ............................................................................................................................................... 9
SZEMÉLYES ÉS KÜLÖNLEGES SZEMÉLYES ADAT KEZELÉSE................................................................................... 13 TITOKTARTÁS ........................................................................................................................................... 14 ADATMINŐSÉG......................................................................................................................................... 14 CÉLHOZ KÖTÖTTSÉG MEGSZŰNÉSE .............................................................................................................. 14 ADATTOVÁBBÍTÁS, ÖSSZEKAPCSOLÁS............................................................................................................ 15 ADATTOVÁBBÍTÁS KÜLSŐ MEGKERESÉS ALAPJÁN ............................................................................................ 15 KÜLFÖLDRE (EURÓPAI UNIÓN KÍVÜLRE) IRÁNYULÓ ADATTOVÁBBÍTÁS ................................................................. 16 SZEMÉLYES ADATOK NYILVÁNOSSÁGRA HOZATALA.......................................................................................... 16
ADATBIZTONSÁGI SZABÁLYOK .............................................................................................................. 16
2
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat 6.1 6.2
Széchenyi Kereskedelmi Bank Zrt.
SZÁMÍTÓGÉPEN, SZÁMÍTÓGÉPES HÁLÓZATON TÁROLT ADATOK ......................................................................... 16 PAPÍRALAPON KEZELT ADATOK .................................................................................................................... 17
7
ADATVÉDELMI BEJELENTÉSI KÖTELEZETTSÉG ........................................................................................ 17
8
ADATALANY JOGAI ............................................................................................................................... 18 8.1 8.2 8.3 8.4 8.5
9
ELLENŐRZÉS .......................................................................................................................................... 20 9.1 9.2
10
TÁJÉKOZTATÁS KÉRÉSE............................................................................................................................... 18 A BANK TÁJÉKOZTATÁSI KÖTELEZETTSÉGE ..................................................................................................... 19 ADATVÁLTOZÁS, TÉVES RÖGZÍTÉS ................................................................................................................ 19 PANASZKEZELÉS, JOGORVOSLAT ................................................................................................................... 20 TILTAKOZÁS ............................................................................................................................................. 20
ADATVÉDELMI BIZTOS ÁLTALI ELLENŐRZÉS .................................................................................................... 21 BELSŐ ADATVÉDELMI FELELŐS ÁLTALI ELLENŐRZÉS ......................................................................................... 21
ADATVAGYON....................................................................................................................................... 21 10.1 ADATVAGYON-LELTÁR ............................................................................................................................... 22 10.2 ADATGAZDÁK........................................................................................................................................... 22 10.3 AZ ADATOK BIZTONSÁGI OSZTÁLYOKBA SOROLÁSA ........................................................................................... 22 10.3.1 Az adatvagyon védelem kialakításának alapelvei ...................................................................... 23 10.4 AZ ADATOK ELEKTRONIKUS VÉDELME ............................................................................................................ 23 10.4.1 Mobil eszközök védelme ............................................................................................................. 23 10.4.2 Hordozható számítógépek védelme ............................................................................................ 23 10.4.3 Munkaállomások védelme .......................................................................................................... 24 10.4.4 Szerverek védelme ...................................................................................................................... 24 10.4.5 Hálózat védelme ......................................................................................................................... 24 10.4.6 Adatátviteli csatornák védelme .................................................................................................. 24 10.5 AZ ADATHORDOZÓK FIZIKAI VÉDELME ........................................................................................................... 25 10.6 A PAPÍRALAPÚ ADATOK VÉDELME ................................................................................................................. 25 10.7 AZ IRATTÁR ÉS FIÓK VÉDELME ...................................................................................................................... 25
11
ZÁRÓ RENDELKEZÉSEK .......................................................................................................................... 26
12
MELLÉKLETEK ........................................................................................................................................ 27 12.1 TÖRLÉSI JEGYZŐKÖNYV .............................................................................................................................. 27 12.2 ADATVAGYON LELTÁR ................................................................................................................................ 28 12.2.1 BOSS rendszer teljes adattartalom ............................................................................................. 28 12.2.2 BOSS rendszer szűrt adattartalom .............................................................................................. 28 12.2.3 Alkalmazások .............................................................................................................................. 28 12.2.4 Hardverelemek ............................................................................................................................ 28
3
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
1
Széchenyi Kereskedelmi Bank Zrt.
Bevezetés
A Széchenyi Kereskedelmi Bank Zrt. (továbbiakban “Bank”) a mindenkor hatályos adatvédelmi jogszabályokban foglaltaknak való megfelelés és az adatok megfelelő szintű kezelése, védelme érdekében vezeti be az Adatvédelmi és Kezelési Szabályzatot (továbbiakban “Szabályzat”) a Bankban.
1.1 A Szabályzat célja A Szabályzat célja, hogy az adatvédelmi elvek és szabályok meghatározásával, bevezetésével biztosítsa a Banknál vezetett nyilvántartások működésének törvényes megfelelőségét, valamint az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, továbbá megakadályozzák a jogosulatlan hozzáférést, az adatok megváltoztatását vagy jogosulatlan nyilvánosságra hozatalát.
1.2 A Szabályzat hatálya Alanyi hatály: Jelen Szabályzat alanyi hatálya kiterjed a Bank valamennyi szervezeti egységére, valamennyi alkalmazottjára, akik a Bankon belül adatkezelést végeznek, vagy munkakörük azzal összefüggésbe hozható.
A Bank valamennyi vezetője és dolgozója a Szabályzatban meghatározottak szerint felelősséggel tartozik az előírt adat- és információvédelmi szabályok betartásáért és betartatásáért.
Tárgyi hatálya: Jelen Szabályzat tárgyi hatálya kiterjed a Bank minden szervezeti egységénél (beleértve a központi egységeket és a fiókhálózatot) folytatott valamennyi személyes adatokat tartalmazó adatkezelésre.
1.3 Hallgatóság, Célcsoport Az Adatvédelmi és Kezelési Szabályzat a Bank minden alkalmazottjának, területi vezetőjének és azon külső cégek alkalmazottainak szól, akik a Bank területén vagy a Bank nevében adatkezelést végeznek, vagy munkakörük azzal összefüggésbe hozható. 4
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
A Bank minden területi vezetője és alkalmazottja felelősséggel tartozik a Szabályzatban leírtak betartásáért.
1.4 Kapcsolódó szabályzatok Jelen Szabályzatot javasolt a következő szabályzatokkal együtt olvasni:
2
SZKB_IT04 - Informatikai Biztonsági Szabályzat
Dokumentumkezelési Szabályzat
Fogalom Meghatározások a Szabályzat Értelmezésében
2.1 Személyes Adat: Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.
A személyes adatok védelméhez való jog alkotmányos alapjog.
Az érintett egyediesítésére természetes, vagy mesterséges azonosító adatok szolgálnak.
2.1.1 Természetes Azonosító Természetes azonosító adatnak tekintendő különösen:
az érintett neve;
anyja neve;
születési helye és ideje;
lakóhelyének illetve tartózkodási helyének címe.
5
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
2.1.2 Mesterséges Azonosító Mesterséges azonosító adatok a matematikai, vagy más algoritmus szerint generált adatok, így különösen:
személyi azonosító kód;
társadalombiztosítási azonosító jel (TAJ);
adóazonosító jel;
személyi igazolvány száma;
útlevél száma.
2.2 Leíró Adat A leíró adatok az adatkezelés célja tekintetében releváns egyéb adatok. A meghatározott természetes személlyel kapcsolatba nem hozható leíró adat nem személyes adat. Ilyen például a statisztikai adat.
2.3 Különleges (személyes) Adat
A faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre vonatkozó személyes adatok;
Az egészségi állapotra, a kóros szenvedélyre, a szexuális életre valamint a büntetett előéletre.
2.4 Adatkezelés Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet, vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok megváltoztatása és további felhasználásának megakadályozása.
2.5 Adatfeldolgozás
6
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.
2.6 Adattovábbítás Adattovábbításnak minősül, ha az adatot meghatározott harmadik személy (az ügyfél eredeti céljától eltérő adatkezelő szakterület, cég vagy hatóság) számára hozzáférhetővé teszik.
A Bank, valamint az általa megbízott adatfeldolgozók felelősek a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért;
Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Bank rendelkezései szerint dolgozhatja fel, és az ilyen adatokkal saját céljára adatfeldolgozást nem végezhet, a személyes adatokat a Bank rendelkezései szerint köteles tárolni és megőrizni;
Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni (lásd a 11.2-es mellékletben);
Adatfeldolgozási láncot létrehozni tilos, tehát adatfeldolgozó adatfeldolgozási tevékenységet nem adhat át további cégnek;
3
Az adatfeldolgozási szerződésbe bele kell foglalni o
a feldolgozás időtartamát,
o
lejárta után az adatok visszaszolgáltatásának, vagy;
o
feldolgozó oldali törlésének módját.
Adatvédelmi Szerepkörök
A Bank az adatvédelem szempontjából, ahhoz kapcsolhatóan a következő szerepköröket különbözteti meg.
3.1 Adatkezelő Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált 7
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Képviselője a Bank Vezérigazgatója.
3.2 Belső Adatvédelmi Felelős A Bank Jogi és Compliance Osztályának munkatársa, akinek az adatvédelmi törvény érvényesítése a feladata és, aki közvetlenül a vezérigazgatónak köteles jelenteni.
Főbb feladatai és felelősségei:
Közreműködik,
illetőleg
segítséget
nyújt
az
adatkezeléssel
összefüggő
döntések
meghozatalában, valamint az érintettek jogainak biztosításában;
Ellenőrzi a törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi szabályzat rendelkezéseinek a megtartását;
Kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
Gondoskodik az adatvédelmi ismeretek oktatásáról.
A Belső Adatvédelmi Felelős tanácsaival, állásfoglalásaival segíti az adatkezelést és feldolgozást végző szervezeti egységek munkáját és ellenőrzi a Banknál zajló adatkezelések törvényességét. Az egyes adatkezelések ellenőrzését szükség szerint elvégzi. Az ellenőrzés tapasztalatairól a Belső Adatvédelmi Felelős írásban tájékoztatja a Vezérigazgatót.
A Belső Adatvédelmi Felelős a Bank valamennyi szervezeti egységénél jogosult betekinteni az adatkezelésbe, valamint a hozzájuk, kapcsolódó jegyzőkönyvekbe. Az egység vezetőjétől, vagy munkatársaitól szóban, vagy írásban is felvilágosítást kérhet. A vizsgálat során megismert személyes adatokkal kapcsolatban titoktartási kötelezettség terheli.
Törvénysértés észlelése esetén a Belső Adatvédelmi Felelős segítséget nyújt a törvényes állapot helyreállításához, ha ez nem kivitelezhető, az adatkezelés megszűntetésére szólíthatja fel az adatkezelőt.
8
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
A Bank minden munkatársának kötelessége tájékoztatni a Belső Adatvédelmi Felelőst minden jogellenes adatkezelési, illetve adatfeldolgozási tevékenységről.
3.3 Adatfeldolgozó Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi, azaz a Bank személyes adatok feldolgozásában érintett egységei.
3.4 Adatvédelmi Biztos A Magyar Köztársaság területén kezelt személyes adatok biztonságáért felelős hatósági jogkörrel rendelkező személy, akit az Országgyűlés nevez ki. Az Adatvédelmi Biztos fontosabb felelősségei:
Ellenőrzi az adatvédelmi törvény és az adatkezelésre vonatkozó más jogszabály megtartását;
Kivizsgálja a hozzá érkező bejelentéseket;
Gondoskodik az adatvédelmi nyilvántartás vezetéséről;
Elősegíti a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó törvényi rendelkezések egységes alkalmazását;
Gyakorolja és ellátja az e törvényben meghatározott hatásköröket és feladatokat.
3.5 Adatalany A Bank szempontjából minden olyan természetes személy, akinek személyes adatát a Bank kezeli.
9
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
4
Széchenyi Kereskedelmi Bank Zrt.
Adatvédelmi Alapelvek
Az alábbi alapelveket munkája során minden adatkezelésben érintett banki szakterületnek folyamatosan be kell tartan.
4.1 Adatgyűjtés Korlátozásának Elve Személyes adatok gyűjtése csak törvényes és tisztességes eszközökkel, az adatalany tudtával és írásbeli beleegyezésével történhet.
Gyakorlati példa:
A személyes adatok gyűjtéséhez az ügyfél a szolgáltatási szerződés (például bankszámlaszerződés) aláírásával hozzájárul.
E-mail címek gyűjtése:
Saját ügyfél esetén az e-mail cím marketing célokra történő gyűjtésére és felhasználására csak az ügyfél írásban tett hozzájárulásával van mód.
Nem szerződött, potenciális ügyfelek esetén személyes adatainak gyűjtésére csak írásban tett hozzájárulással lehetséges (mely történhet az adatgyűjtő regisztrációs web-oldalán is).
4.2 Az Adatminőség Elve Az adatoknak az adatkezelés céljával összhangban pontosnak, teljesnek és aktuálisnak kell lenniük.
Gyakorlati példa:
Az adatok felvételénél ellenőrizni kell azok hitelességét. Minden alkalommal, amikor egy ügyfél személyesen megjelenik a fiókban és szerződést köt, ellenőrizni kell az adatok változását, és azt át kell vezetni a nyilvántartásban (például lakcím vagy telefonszám változást).
10
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
4.3 A Célhoz Kötöttség Elve Személyes adatokat csak előre meghatározott célból, csak a cél megvalósulásához szükséges mértékben és ideig lehet kezelni.
A készletező adatgyűjtés nem megengedett.
Gyakorlati példa:
Minden banki területen, amely személyes adatok kezelésében érintett, automatikussá kell válnia, hogy mielőtt adatgyűjtésbe kezd, átgondolja, hogy hozzá tud-e rendelni reális célt, mert ha nem, a gyűjtést nem szabad elkezdeni;
Ha a célt sikerült megfogalmazni, akkor azt kell átgondolni, hogy az minden egyes személyes adatra nézve, melyet gyűjteni szeretne, teljesül-e, azaz csak az a személyes adat vehető fel és kezelhető, amely a célt szolgálja. A készletező adatgyűjtés nem megengedett, tehát a „majd jó lesz valamire” adatgyűjtési gondolkodásmód a Bankban nem támogatott;
Ha a cél megszűnik, az abból a célból felvett személyes adatokat törölni kell. Kivéve azt az esetet, amikor annak további tárolását valamilyen más jogszabály előírja;
Ha a cél változik, meg kell vizsgálni, hogy a változás előtti célból felvett adatok a változást követően is megfelelnek-e a módosított célnak, és amelyik nem, azokat törölni kell.
A készletező adatgyűjtés tilalma azt jelenti, hogy ne tároljunk adatokat az ügyfélről, mert később az jó lehet valamilyen helyi kampányhoz, illetve olyan adatokat ne vegyünk nyilvántartásba (például TAJ szám), amire (például a számlavezetéshez) nincs szükség, azaz céltalan.
4.4 A Korlátozott Felhasználás Elve Az adatokat csak az adatalany hozzájárulásával vagy törvényi felhatalmazással lehet felhasználni.
4.5 A Biztonság Elve Az adatokat a technika mindenkori állásának megfelelő ésszerű intézkedésekkel védeni kell a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás, sérülés és megsemmisülés ellen.
11
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
Gyakorlati példa:
A Bank alkalmazottjai csak a munkavégzéshez feltétlenül szükséges hozzáférésekkel rendelkezhetnek;
Az alkalmazottak munkavégzése során tudomásukra jutott adatokat a titokvédelmi nyilatkozatnak megfelelően – az adatalany által adott hozzájárulásban meghatározott körön kívül – másoknak nem továbbíthatják, még családtagnak sem.
4.6 A Nyíltság Elve Az adatkezelés tényének, helyének és céljának, az adatkezelő személyének, valamint az adatkezelési politikának nyilvánosnak kell lennie.
Gyakorlati példa: Kérésre tájékoztatni kell az ügyfeleket arról, hogy a Banknak milyen célból van szüksége a személyes adataikra. Például az adószámra az adó visszatérítési igazolás miatt van szükség.
4.7 A Személyes Részvétel Elve Az adatalany megismerheti a rá vonatkozó adatokat, azokat (ha helyénvaló) helyesbítheti, kiegészítheti, vagy töröltetheti.
Gyakorlati példa: Szerződéskötéskor, adat felvételezéskor, adatok módosításakor fel kell hívni az Ügyfelek figyelmét, hogy a kinyomtatott szerződésekben, bizonylatokon szereplő adatokat ellenőrizzék, és csak ezután írják alá.
4.8 A Felelősség Elve Az adatkezelő a felelős a fenti elvek betartásáért, s bizonyítani kell tudnia az adatkezelés jogszerűségét.
Gyakorlati példa: Személyes adatok kezelése esetén mindig szem előtt kell tartan a fenti 7 alapelvet.
12
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
5
Széchenyi Kereskedelmi Bank Zrt.
Adatkezelés Szabályai
A Bank az általa kezelt adatok védelme érdekében hozott szabályokat a következők szerint csoportosítja.
5.1 Személyes és Különleges Személyes Adat Kezelése Személyes és különleges személyes adata Banknál csak akkor kezelhető, ha ahhoz az adatalany írásban hozzájárul, vagy azt törvény rendeli el. Az adatkezelésnek továbbá meg kell felelni az érvényes banki szabályzatoknak is.
A személyes adatot akár az adatalany hozzájárulásával, akár jogszabály alapján csak akkor lehet kezelni, ha ez:
Közérdekű feladat;
Az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához szükséges;
Az adatalany létfontosságú érdekeinek védelméhez szükséges;
Az adatalany és az adatkezelő között létrejött szerződés teljesítéséhez szükséges;
Az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez vagy társadalmi szervezetek jogszerű működéséhez szükséges.
Az adatalannyal az adat felvétele előtt közölni kell az adatkezelés célját, valamint azt, hogy az adatszolgáltatás önkéntes, vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt, illetve banki szabályzatot is (például „A pénzmosás megelőzéséről és megakadályozásáról szóló 2007. évi CXXXVI. törvény”).
Az adatalany a hozzájárulását a Bankkal írásban kötött szerződés keretében is megadhatja, de ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az adatalanynak ismernie kell (különösen: kezelendő adatok, adatkezelés időtartama, felhasználás célja, adatok továbbítása, adatfeldolgozó igénybevétele). A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az adatalany aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. 13
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
Az adatalany kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az adatalany figyelmét fel kell hívni.
Az érintettet egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az adatalany adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
5.2 Titoktartás A Bank szervezeti egységeinél adatkezelést végző munkatársak kötelesek az általuk megismert személyes adatokat azok jellegétől függően bank,- értékpapír,- és üzleti tikokként, illetve állam,- és szolgálati titokként megőrizni. Ilyen munkakörben csak az foglalkoztatható, aki titoktartási nyilatkozatot tett.
5.3 Adatminőség Az adatminőség megőrzése érdekében, amennyiben a személyes vagy különleges adat egyidejűleg más jogszabályok (Hpt., Tpt., Ptk., stb.) hatálya alá is tartozik (bank, értékpapír,- üzleti,- stb. titok is egyben) abban az esetben az adatkezelésnek valamennyi vonatkozó jogszabályi rendelkezésnek meg kell felelnie.
A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek:
Felvételük és kezelésük tisztességes és törvényes;
Pontosak, teljesek, és ha szükséges időszerűek;
Tárolásuk módja alkalmas arra, hogy az adatalanyt csak a tárolás céljához szükséges ideig lehessen azonosítani.
5.4 Célhoz Kötöttség Megszűnése
14
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
Minden adat esetében, ha a célhoz kötöttség megszűnik, és annak további tárolását a vonatkozó hatályos jogszabályok nem írják elő, az adatalany adatait törölni kell.
A törlésről jegyzőkönyvet kell készíteni, melyhez minta jegyzőkönyv a 11.1-es mellékletben található. A kitöltött jegyzőkönyvet a Belső Adatvédelmi Felelősnek kell továbbítani.
5.5 Adattovábbítás, Összekapcsolás Személyes adatok csak akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz írásban hozzájárult (részét képezheti a szerződéseknek), vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
A törvényes működéshez figyelembe kell venni, az adattovábbítás/összekapcsolás célját, időtartamát (lejárati határidejét) egyaránt.
5.6 Adattovábbítás Külső Megkeresés Alapján Bankon kívüli szervtől, vagy magánszemélytől érkező, adatközlésre irányuló megkeresés csak akkor teljesíthető, ha az adatalany erre írásban felhatalmazza a Bankot. Az adatalany előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és a megkereséssel élő szervek meghatározott körére. Az adattovábbítás tényét írásban kell rögzíteni, és az adattovábbítás tényéről a Belső Adatvédelmi Felelőst tájékoztatni kell.
Az adatalany nyilatkozattételétől függetlenül, a vonatkozó törvényekben megállapított esetekben teljesíteni kell az illetékes hatóságoktól, állami szervektől, mint rendőrség, bíróság, ügyészség, vámés pénzügyőrség, APEH, TB, valamint a nemzetbiztonsági szolgálatoktól, hagyatéki eljárásban közjegyzőtől, illetve a külön jogszabályokban ilyenként megjelölt személytől vagy szervtől érkezett megkereséseket. Az ilyen megkereséseket az adatkérő általi minősítés szerint kell kezelni, és a megkeresés tényéről az érintett nem tájékoztatható. E szervek megkereséseiről az illetékes szakterület - szolgálati felettese útján - köteles tájékoztatni a Belső Adatvédelmi Felelőst, aki szükség esetén jelentést küld a Vezérigazgatónak.
15
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
A megkeresésekkel kapcsolatos adattovábbítás során alkalmazni kell a személyes adatra vonatkozó más jogszabályok (Hpt., Tpt., Ptk., továbbá az állam- és szolgálati titok védelméről szóló törvény) rendelkezéseit is.
5.7 Külföldre (Európai Unión Kívülre) Irányuló Adattovábbítás Személyes adat (beleértve a különleges adatot is) az országból (az adathordozótól vagy az adatátvitel módjától függetlenül) harmadik országban lévő adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha ahhoz az érintett hozzájárul, ha azt törvény lehetővé teszi, vagy ha arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga az Európai Unió által meghatározott megfelelő védelmet biztosít az átadott adatok kezelése során.
5.8 Személyes Adatok Nyilvánosságra Hozatala A Banknál kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha jogszabály rendeli el, vagy az adatalany ahhoz írásban hozzájárult.
6
Adatbiztonsági szabályok
A Bankban az adatbiztonsági szabályok érvényesítése érdekében a szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.
6.1 Számítógépen, Számítógépes Hálózaton Tárolt Adatok A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében, az Informatikai Osztálynak különösen az alábbi intézkedéseket kell foganatosítani:
Az adatokat és adatbázisokat tűz- és vagyonvédelmi berendezésekkel ellátott helyiségben kell elhelyezni;
Az adathozzáféréshez csak érvényes, személyre szóló, azonosítható jogosultsággal lehet hozzáférni; 16
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
A Bank minden munkaállomásán, de kiemelten a személyes adatokat kezelő ügyintézők számítógépein gondoskodni kell a valósidejű vírusmentesítésről;
A mindenkor rendelkezésre álló számítástechnikai eszközök felhasználásával meg kell akadályozni, hogy adatokat tároló, hálózaton keresztül elérhető szerverekhez illetéktelen személy hozzáférjen;
A hálózati kiszolgáló gépeknek a személyes adatok elvesztésének elkerülésére folyamatos mentéssel kell rendelkezniük.
6.2 Papíralapon Kezelt Adatok A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani minden adatbiztonsági szempontból érintett területnek:
Az irattári kezelésbe vett iratokat jól zárható, száraz, tűz- és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni;
A folyamatos aktív kezelésben lévő, illetve archivált iratokhoz csak az illetékes ügyintézők férhetnek hozzá;
7
Az adatkezelések iratainak archiválását évente egyszer el kell végezni.
Adatvédelmi Bejelentési Kötelezettség
A Banknál történő mindennemű – a Bank saját alkalmazottai, valamint a Bank ügyfelei adatainak kivételével – adatkezelési tevékenységet annak megkezdését megelőzően a Bank, mint adatkezelő nyilvántartásba vétele végett be kell jelenteni az Adatvédelmi biztosnak, mely a Belső Adatvédelmi Felelős feladata. A bejelentés alapján a Banknak adott nyilvántartási számot a Bank köteles az adatok továbbításánál, nyilvánosságra hozatalánál, az érintettnek való kiadásánál feltüntetni (ld. 8.1, 8.2, 8.3, 8.5 pont).
Az alább felsorolt adatok megváltozását 8 napon belül be kell jelenteni az Adatvédelmi biztosnak, és a nyilvántartást megfelelően módosítani kell:
Az adatkezelés célját;
17
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
Az adatok fajtáját és kezelésük jogalapját;
Az érintettek körét;
Az adatok forrását;
A továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját;
Az egyes adatfajták törlési határidejét;
Az adatkezelő, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét;
A Belső Adatvédelmi Felelős nevét és elérhetőségi adatait.
Minden adatkezelésben érintett szakterület kötelessége, hogy új adatkezelés megkezdését megelőzően, vagy, ha meglévő adatkezelés valamelyik paramétere megváltozik, legalább 8 nappal tájékoztassa a Belső Adatvédelmi Felelőst.
8
Adatalany Jogai
Az adatok kezelésével kapcsolatban az adatalany a következő típusú jogokkal rendelkezik.
8.1 Tájékoztatás Kérése Az adatalany tájékoztatást kérhet az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat.
A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
Az adatalany a Bank illetékes ügykezelőjétől tájékoztatást kérhet a róla szóló adatkezelésről és abba bele is tekinthet. A betekintést úgy kell biztosítani, hogy ez alatt az adatalany más személy adatait ne ismerhesse meg.
A betekintési igényeket a Belső Adatvédelmi Felelősnek kell továbbítani.
18
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
8.2 A Bank Tájékoztatási Kötelezettsége A hatályos adatvédelmi jogszabályok szerint a Bank köteles a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül írásban, közérthető formában megadni a tájékoztatást az ügyfélnek. Ennek megszervezése a Belső Adatvédelmi Felelős feladata.
A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre (egyazon adatkezelésre) vonatkozó tájékoztatási kérelmet a Bankhoz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
Az adatalany tájékoztatása, illetve a betekintés biztosítása csak akkor tagadható meg, ha azt a törvény, az állam külső és belső biztonsága, a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy bűnüldözés érdekében, továbbá állami vagy helyi önkormányzati gazdasági vagy pénzügyi érdekből, illetve az EU jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából, továbbá az adatalany vagy mások jogainak védelme érdekében lehetővé teszi.
A Bank Belső Adatvédelmi Felelőse köteles az adatalannyal a felvilágosítás megtagadásának indokát közölni. Az elutasított kérelmekről a Bank Belső Adatvédelmi Felelősének az adatvédelmi biztost évente értesítenie kell.
8.3 Adatváltozás, Téves Rögzítés Adatváltozás, vagy téves adatrögzítés észlelése esetén az adatalany kérheti kezelt adatainak helyesbítését, illetve kijavítását. A téves adatot a Bank az adatalany kérésének általa történt kézhezvételétől számított2 napon belül helyesbíteni köteles.
Nem kötelező adatszolgáltatáson alapuló adatkezelés esetén az adatalany indokolás nélkül kérheti kezelt adatainak törlését, melyet az adatalany kérésének Bank által történt kézhezvételétől számított 2 napon belül el kell végezni. Az adatkezelés törlésével, megszüntetésével kapcsolatos tényeket jegyzőkönyvbe kell venni. 19
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
8.4 Panaszkezelés, Jogorvoslat Adatkezeléssel kapcsolatos jogainak megsértése esetén az adatalany a Bank Belső Adatvédelmi Felelőséhez, valamint bírósághoz fordulhat.
8.5 Tiltakozás Az adatalany írásban nyilatkozhat, mellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.
A Bank Belső Adatvédelmi Felelőse az adatkezelés egyidejű felfüggesztésével a tiltakozást köteles a kérelem benyújtásától számított legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni.
Amennyiben a tiltakozás indokolt, a Bank köteles az adatkezelést (beleértve a további adatfelvételt és adattovábbítást is) megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. A Bank az adatalany adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha a Bank egyetértett a tiltakozással, illetőleg bíróság a tiltakozás jogosságát megállapította.
9
Ellenőrzés
A Bankban az adatok kezelésére vonatkozóan a Belső Adatvédelmi Felelős és az Adatvédelmi biztos kezdeményezhet ellenőrzést.
20
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
9.1 Adatvédelmi Biztos Általi Ellenőrzés Új adatállomány feldolgozását, vagy új adatfeldolgozási technológia alkalmazását megelőzően az adatvédelmi biztos előzetes ellenőrzést végezhet a Bank ügyfeleire vonatkozó adatkezelésében.
A Banknak az új személyes adatokat tartalmazó adatállomány feldolgozására vagy már létrehozott személyes adatokat tartalmazó adatállomány felhasználására tervezett új adatfeldolgozási technológia alkalmazására irányuló szándékát a tevékenység megkezdését megelőzően 30 nappal be kell jelentenie az Adatvédelmi biztosnak. Az Adatvédelmi biztos az előzetes ellenőrzésre vonatkozó igényét a bejelentéstől számított 8 napon belül köteles visszajelezni, és az ellenőrzést 30 napon belül köteles elvégezni.
A Bank a feldolgozást csak az Adatvédelmi biztos előzetes ellenőrzésének
befejezése után kezdheti meg.
Az ellenőrzés alapján az Adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel a Bankot. Az Adatvédelmi biztos a Bankkal a Belső Adatvédelmi Felelősön keresztül kommunikál.
9.2 Belső Adatvédelmi Felelős Általi Ellenőrzés Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseink betartását, a Belső Adatvédelmi Felelős irányításával adatkezelést végző szervezeti egységek vezetői folyamatosan ellenőrzik.
A Belső Adatvédelmi Felelős az irat- és adatkezeléssel kapcsolatos szabályzatok, szabályok, jegyzőkönyvek, és a nyilvántartás áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról.
Az egyes adatkezelések ellenőrzését Belső Adatvédelmi Felelősnek szükség szerint el kell végeznie. Az ellenőrzés tapasztalatairól a Belső Adatvédelmi Felelős írásban tájékoztatja a Vezérigazgatót.
10 Adatvagyon 21
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
10.1 Adatvagyon-leltár A Bank az általa elektronikusan tárolt, kezelt, feldolgozott adatokat vagyontárgyként kezeli, arról adatvagyon-leltár néven tételes leltárt készít és tart naprakészen. A Bank az adatvagyon-leltárt elektronikus formátumban készíti el és elektronikusan tárolja. Az adatvagyon-leltár meglétéért a tartalmának helyességéért az informatikai biztonsági felelős felel. A adatvagyon-leltárnak minden olyan adat elemet (adat entitást) tartalmaznia kell, amely üzleti szempontból releváns és értelmezhető, tartalma, jellege és/vagy tartalma alapján jogszabály írja elő annak kezelési módját. Az adatvagyon leltárnak az adat entitás megnevezésén túl minimálisan a következő attribútumokat kell tartalmazni minden egyes adat entitáshoz:
adat entitás egyértelmű megnevezése és/vagy azonosítója
adat entitás tartalmának narratív leírása
adat entitás tárolási helyének egyértelmű megnevezése (adatbázis, tábla, stb.)
adat entitás bizalmassági besorolása (nyilvános, belső használatú, bizalmas, szigorúan bizalmas)
adatgazda és adatcsoport egyértelmű megnevezése
Az adatvagyon-leltárt minimálisan kétévente kötelező felülvizsgálni.
10.2 Adatgazdák Az adatgazda az adatfeldolgozó (mint szervezet) megbízottja, aki a szervezet nevében az adatfeldolgozással kapcsolatos mindennemű adatkezelési tevékenységekért felel. Az adatgazdákat formálisan is ki kell nevezni.
10.3 Az adatok biztonsági osztályokba sorolása Az adatvagyon leltárban szereplő adat entitásokat, vagy entitás csoportokat azok tartalma alapján meghatározott jogszabályi előírások szerint biztonsági besorolásokba kell sorolni. A biztonsági besorolásokra az adatgazdák tesznek javaslatot és azokat az informatikai biztonsági felelős hagyja jóvá.
22
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
10.3.1 Az adatvagyon védelem kialakításának alapelvei A Bank informatikai biztonsági és informatikai szervezetének törekednie kell arra, hogy az informatikai rendszerekben megvalósított logikai hozzáférés korlátozások, a rendelkezésre álló technológia szabta lehetőségek kihasználásával és a korlátok figyelembe vételével, a lehető legnagyobb mértékben tükrözze a biztonsági osztályok által előírt védelmi szinteket.
10.4 Az adatok elektronikus védelme A védelem alapvető tárgya az adat, amely az információkat hordozza. A fenyegetettség és támadások azonban nem közvetlenül veszélyeztetik az adatokat, hanem az azokat tartalmazó, feldolgozó és tároló rendszerelemeken keresztül. Ezen rendszerelemekhez különböző védelmi technológiák és eljárások tartoznak.
Rendszerelemek:
informatikai rendszer fizikai környezete és infrastruktúrája, hardver rendszer, szoftver rendszer, kommunikációs, hálózati rendszerek adathordozók, dokumentumok és dokumentáció,
10.4.1 Mobil eszközök védelme A Bank kiemelt felhasználói részére internet és levelezés képes okostelefonokat biztosít. Ezen eszközök - a hatékony védelem érdekében - központilag menedzseltek. A készülékek titkosítottak és automatikusan lezárásra kerülnek, feloldásukhoz jelszó használata szükséges. Ennek hiányában a készülékek adattartalma nem elérhető. A jelszó többszöri elrontása után a készülékek automatikusan törlik tartalmukat. A készülékek és a Bank rendszerei között az adatátvitel csak titkosított csatornán lehetséges.
10.4.2 Hordozható számítógépek védelme
23
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
Minden hordozható számítógép BIOS-a jelszavas védelemmel van ellátva, megakadályozandó, hogy a készülék beállításait illetéktelenek módosíthassák. Minden hordozható számítógép merevlemeze teljes körűen titkosításra kerül. A titkosítás feloldásához a felhasználónak be kell gépelnie egy csak általa ismert jelszót, amely nélkül a számítógép nem indul el. A jelszavak egy példánya lezárt borítékban az IT széfben kerül elhelyezésre, valamit minden számítógéphez egy biztonsági Image File készül, mely egy esetleges jelszóprobléma esetén biztosít hozzáférést a rendszerhez. A Bank rendszerének használata egy kétfaktoros azonosítás után lehetséges. Ehhez a Bank RSA tokeneket biztosít, melyek felhasználásával egyszer használatos jelszavak állíthatóak elő. Ez a technológia használatos abban az esetben is, amennyiben a hordozható számítógép nem csatlakozik a Bank hálózatához. Ebben az estben a felhasználó 21 napig használhatja a számítógépet, ezen időszak után a belépés nem lehetséges csak a Bank hálózatához való ismételt csatlakozás esetén.
10.4.3 Munkaállomások védelme A Bank rendszerének használata egy kétfaktoros azonosítás után lehetséges. Ehhez a Bank RSA tokeneket biztosít, melyek felhasználásával egyszer használatos jelszavak állíthatóak elő.
10.4.4 Szerverek védelme A Bank szerverei csak kétfaktoros azonosítás után használhatóak. Ehhez a Bank RSA tokeneket biztosít, melyek felhasználásával egyszer használatos jelszavak állíthatóak elő. A Bank szerverei hosting szolgáltatás keretében kerültek elhelyezésre zárt szekrényekben, zárt, beléptető rendszerrel és megfigyelő kamerákkal védett helységekben. Távoli elérés csak titkosított csatornákon lehetséges.
10.4.5 Hálózat védelme A hálózat aktív elemei zárt, beléptető rendszerrel és megfigyelő kamerákkal védett helységekben kerültek elhelyezésre. A hálózati eszközök portjainak védelmére „port security” beállítás került alkalmazásra, mely idegen eszköz csatlakoztatása esetén letiltja a kérdése portot. A hálózat aktív elemeit távolról csak titkosított csatornán lehetséges elérni.
10.4.6 Adatátviteli csatornák védelme A Bank által használt adatátviteli csatornák végpontjai zárt, beléptető rendszerrel és megfigyelő kamerákkal védett helységekben kerültek elhelyezésre. 24
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
10.5 Az adathordozók fizikai védelme Az adathordozók tűzbiztos széfben kerülnek elhelyezésre, hozzáférésük négy szem elv alapján lehetséges, a széf tartalmáról leltár áll rendelkezésre 2 példányban 1 db elektronikus formában, 1 db pedig a széfben. A széf zárt, beléptető rendszerrel és megfigyelő kamerákkal védett helységben került elhelyezésre.
10.6 A papíralapú adatok védelme A napi használatban lévő dokumentumokat a Bank dolgozói zárható szekrényekben tárolják. A kiemelten fontos iratok az Irattárban, tűzbiztos szekrényekben vannak elhelyezve. A napi munka befejezése után mindenkire vonatkozik a “clean desk policy”, mely szerint nem maradhat dokumentum elzáratlanul a dolgozók munkahelyén.
10.7 Az irattár és fiók védelme A Bankfiók elektronikus és fizikai védelemmel, folyamatos video rögzítéssel, tűzjelzővel van ellátva. Az összes ügyfélanyag tűzbiztos szekrényekben van elhelyezve a fiók területén.
25
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
11 Záró rendelkezések Jelen utasítás 2012. április 27. napján lép hatályba.
Vezérigazgató
26
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
12 Mellékletek 12.1 Törlési Jegyzőkönyv JEGYZŐKÖNYV Adatalany adatainak törléséről Megsemmisítés/törlés tárgya: …………………………………………………………………………………………………. ………….....………………………………………………………………………………………………………………………………….. ……………………….....……………………………………………………………………………………………………………………..
Megsemmisítést/törlést végezték:
1. ……………………………………………………………………………………………………………………………………… 2. ………………………………………………….…………………………………………………………………………………..
Megsemmisítés/törlés időpontja: ……………………………………………………………………………………………
Megállapítások/észrevételek…………………………………………………………………………………………………… ………………………………….....…………………………………………………………………………………………………………..
Jegyzőkönyv készítésének időpontja:……………………………………………………………………………………….
Megsemmisítést/törlést végző személy(ek) aláírása;
1. ……………………………………………………………………………………………………………………………………… 2. ………………………………………………….…………………………………………………………………………………..
Tanuk/jelenlévők megnevezése, aláírása;
1. ……………………………………………………………………………………………………………………………………… 2. ………………………………………………….…………………………………………………………………………………..
27
SZKB_IT09 – Adatvédelmi és Kezelési Szabályzat
Széchenyi Kereskedelmi Bank Zrt.
12.2 Adatvagyon leltár Az adatvagyon leltár elektronikus formában érhető el.
12.2.1 BOSS rendszer teljes adattartalom A melléklet tartalmának frissítése szükséges amennyiben a BOSS rendszerben adattáblákat érintő fejlesztés történik.
12.2.2 BOSS rendszer szűrt adattartalom A melléklet tartalmának frissítése szükséges amennyiben a BOSS rendszerben adattáblákat érintő fejlesztés történik.
12.2.3 Alkalmazások A melléklet tartalmának frissítése szükséges amennyiben új alkalmazás kerül bevezetése, vagy egy alkalmazás kivezetésre kerül.
12.2.4 Hardverelemek A melléklet tartalmának frissítése szükséges amennyiben új hardverelem kerül bevezetése, vagy egy hardverelem kivezetésre kerül.
28