BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 1. Melléklet
Budapesti Közlekedési Részvénytársaság
Társasági Adatvédelmi és Adatbiztonsági
SZABÁLYZAT
2006.
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
TARTALOMJEGYZÉK Tartalomjegyzék ............................................................................................................ 2 Bevezetés ....................................................................................................................... 4 I. Fejezet. Általános rendelkezések .............................................................................. 5 A Szabályzat célja és hatálya ......................................................................................... 5
1. a) b)
Személyi hatály ........................................................................................................................... 5 Tárgyi hatály ................................................................................................................................ 5
A Szabályzat aktualizálása ............................................................................................. 6
2.
II. Fejezet. Az adatvédelemre vonatkozó rendelkezések ............................................ 7 A Társaságnál kezelt adatok osztályozása ..................................................................... 7
1. a) b) c) d) e) f) g)
Személyes adat ........................................................................................................................... 7 Különleges adat .......................................................................................................................... 7 Minősített adat ............................................................................................................................. 7 Külföldi minősítésű adat .............................................................................................................. 8 Banktitoknak minősülő adat ........................................................................................................ 8 Magántitok, levéltitok ................................................................................................................... 9 Üzleti titok .................................................................................................................................... 9
Az adatokhoz tartozó adatvédelmi kategóriák ................................................................. 9
2. a) b) c) d)
Alap biztonsági szint ................................................................................................................... 9 Megemelt biztonsági szint ........................................................................................................... 9 Fokozott biztonsági szint ............................................................................................................. 9 Kiemelt biztonsági szint ............................................................................................................... 9
Az egyes adatkezelő szervezeti egységek biztonsági besorolása ................................. 10 Az egyes adatkezelő szervezeti egységek feladatai ..................................................... 10 A Társaság adatvagyonát érintő események ................................................................ 10
3. 4. 5.
III. Fejezet. A személyes adatok kezelésére vonatkozó szabályok .......................... 11 A személyes adat kezelésének célhoz kötöttsége ........................................................ 11 A személyes adat kezelésének társasági szabályai ...................................................... 11
1. 2. a) b) c) d) e)
Személyazonosító adatok nyilvántartása .................................................................................. 11 Munkabér .................................................................................................................................. 13 Videómegfigyelő-rendszerek működtetése ............................................................................... 13 A forgalmi üzemeltetés során végzett hangrögzítés ................................................................. 13 Az adatkezelések törzskönyve .................................................................................................. 14
Adatok minőségi követelményei .................................................................................... 15 Adatközlések ................................................................................................................ 15
3. 4. a) b) c) d)
Személyes adat nyilvánosságra hozatala ................................................................................. 15 Adattovábbítás, adatkezelések összekapcsolása..................................................................... 15 Belföldre irányuló adattovábbítások .......................................................................................... 16 Külföldre irányuló adattovábbítások .......................................................................................... 17
Érintettek jogai és érvényesítésük................................................................................. 17
5. a) b) c) d)
Tájékoztatásra, illetve betekintésre irányuló kérelem ............................................................... 17 Tájékoztatásra, illetve betekintésre irányuló kérelem megtagadása ........................................ 18 Személyes adat helyesbítése, illetve törlése ............................................................................ 18 Tiltakozás a személyes adat kezelése ellen ............................................................................. 19
Adatfeldolgozó igénybevételének szabályai .................................................................. 19
6. a) b)
Az adatkezelő felelőssége ........................................................................................................ 19 Az adatfeldolgozó felelőssége .................................................................................................. 20
IV. Fejezet. A közérdekű adatok nyilvánosságára vonatkozó előírások ................. 21
2
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
V. Fejezet. Az adatvédelem és adatbiztonság technikai hátterének egyes kérdései ..................................................................................................... 23 Az infrastruktúrához kapcsolódó védelmi intézkedések ................................................ 23
1. a) b) c) d)
2. 3. 4. 5. 6. 7. 8.
Szervertermek üzemeltetési rendje, biztonsági előírásai ......................................................... 23 Informatikai rendszerek osztályozási irányelvei ........................................................................ 23 Az információs vagyonelemek osztályozása ............................................................................ 26 Az információfeldolgozó rendszerek és eszközök címkézése ................................................. 26
Eseti biztonsági intézkedések ....................................................................................... 26 A hardverekhez kapcsolódó védelmi intézkedések ....................................................... 27 A szoftverekhez kapcsolódó védelmi intézkedések ....................................................... 27 Katasztrófahelyzetek kezelése ...................................................................................... 28 Az adathordozókhoz kapcsolódó védelmi intézkedések................................................ 28 Az információ kezelésével kapcsolatos intézkedések ................................................... 28 Kriptográfiai eszközök alkalmazásához kapcsolódó intézkedések ................................ 29
VI. Fejezet. Az adatvédelmi felelős feladatai, jogai, kötelezettségei és felelőssége ............................................................................................... 30 1. 2. 3. 4. 5.
Az adatvédelmi felelős Avtv-ben meghatározott feladatai ............................................. 30 Az adatvédelmi felelős további, társasági szempontból lényeges feladatai ................... 30 Az adatvédelmi felelős jogai.......................................................................................... 31 Az adatvédelmi felelős kötelességei ............................................................................. 32 Az adatvédelmi felelős felelőssége ............................................................................... 33
VII. Fejezet. Az adatvédelmi ellenőrzésben érintettek jogai, kötelezettségei és felelőssége .............................................................................................. 34 1. 2. 3.
Az adatvédelmi ellenőrzésben érintett szervezet vezetőinek és munkavállalóinak kötelessége................................................................................................................... 34 Az adatvédelmi ellenőrzésben érintett szervezet vezetőinek és munkavállalóinak jogai .............................................................................................................................. 34 Az adatvédelmi ellenőrzést elrendelő vezető kötelessége ............................................ 35
VIII. Fejezet. Az adatvédelmi nyilvántartás ................................................................ 36 1. 2.
Bejelentkezés a nyilvántartásba.................................................................................... 36 Új adatállomány feldolgozása ....................................................................................... 37
IX. Fejezet. Rendelkező rész ....................................................................................... 38 1. Melléklet. Titoktartási nyilatkozat 2. Melléklet. Törzskönyv személyes adat kezeléséről 3. Melléklet. Jegyzőkönyv adatkezelések összekapcsolásáról 4. Melléklet. Jegyzőkönyv megkeresés alapján teljesített adatszolgáltatásról 5. Melléklet. Jegyzőkönyv külföldre irányuló adatszolgáltatásról 1. Függelék. Kapcsolódó jogszabályok gyűjteménye 2. Függelék. Fogalmak
3
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
BEVEZETÉS A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) 2003. évi XLVIII., illetve a 2005. évi XIX. törvénnyel történt módosítása jelentős változásokat hozott a személyes adatok kezelésével és azok védelmével kapcsolatos szabályozásban. Az Avtv. előírja, hogy az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőknek és adatfeldolgozóknak adatvédelmi és adatbiztonsági szabályzatot (a továbbiakban: Szabályzat) kell készíteniük. Fenti törvény kötelezettséget ró a Budapesti Közlekedési Részvénytársaságra (a továbbiakban: a Társaságra), mint adatkezelőre, hogy az adatkezelő szerv vezetőjének felügyelete alá tartozó — jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező — belső adatvédelmi felelőst kell kinevezni, akinek feladata a belső adatvédelmi és adatbiztonsági szabályzat elkészítése mellett az Avtv. 31/A. § (2) bekezdésében, illetve a jelen Szabályzat VI. fejezetet 2. pontjában meghatározott feladatok ellátása. A XX. század utolsó évtizedeinek — az egyes országok társadalmi berendezkedésétől függetlenül — egyik általános érvényű jelensége, hogy az állam és a gazdaság működéséhez, a társadalmi tevékenységek tervezéséhez és szervezéséhez egyre több információra van szükség. A nagytömegű információt viszont mind kevésbé lehet a hagyományos módszerekkel kezelni, ezért növekszik az informatika jelentősége, ami azonban veszélyeket is hordoz magában. E veszélyek abból adódnak, hogy egyedi adatokat és információkat vagy széttagolt információrendszereket egymással kapcsolatba hozva olyan elemzések elvégzésére, majd azok alapján olyan következtetések levonására — vagyis új információk létrehozására — adódik alkalom, amelyek sértik, vagy sérthetik azoknak az érdekeit, akikre az egyedi adatok és információk vonatkoznak. Ez a helyzet oda vezet, hogy különböző, külön-külön vizsgálva indokoltnak tűnő érdekek alakulnak ki, és kerülnek egymással összeütközésbe. Ezen érdekütközések elkerülése végett, továbbá az Avtv. rendelkezéseinek végrehajtása érdekében, valamint az Európai Unióhoz történt csatlakozás kapcsán a Társaságot érintő adatkezelésekre, adatvédelmi és adatbiztonsági feladatokra történő felkészülés érdekében, a következők szerint rendelkezem.
4
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
I. FEJEZET ÁLTALÁNOS RENDELKEZÉSEK
1. A Szabályzat célja és hatálya Jelen Szabályzat célja, hogy meghatározza a Társaság adatkezelésének és az adatok nyilvántartásának törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését. Fentiek teljesülése érdekében jelen Szabályzat a Társaság információvédelmi szabályozási struktúrájának (hierarchiájának) tetején foglal helyet; a szabályozási struktúra további elemei: IT (információtechnológia)-biztonsági Szabályzat, 1 Iratkezelési Szabályzat, társasági Biztonsági és Vagyonvédelmi Szabályzat. A Szabályzat rendelkezéseit figyelembe kell venni a Társaságnál kiadásra kerülő szabályozásoknál, illetve meglévő (hatályos) szabályozások módosításakor. a) Személyi hatály A Szabályzat személyi hatálya a Társaság vezetőire és munkavállalóira terjed ki. A Szabályzat rendelkezéseit alkalmazni kell a Társasággal szerződéses kapcsolatban álló magánszemélyekre, jogi személyekre és jogi személyiséggel nem rendelkező egyéb szervezetekre is úgy, hogy a polgári jogi szerződésnek erre vonatkozóan utalást kell tartalmaznia, illetve a megbízási vagy vállalkozási szerződés megkötésekor az adatvédelem, adatbiztonság rendelkezéseit szerepeltetni kell. b) Tárgyi hatály A Szabályzat tárgyi hatálya kiterjed a Társaság területén felvételezett, feldolgozás alatt lévő, a tárolt és a feldolgozás (azaz adatkezelés és -feldolgozás) során létrejött adatokra, illetve adathordozókra, valamint a számítástechnika-alkalmazás, szoftverfejlesztés és iratkezelés teljes folyamatára. Kiterjed továbbá valamennyi, a Társaságnál kezelt természetes személy adatára, közérdekű, illetve közérdekből nyilvános adatra — függetlenül annak előállítási vagy feldolgozási módjától és megjelenési formájától — és magára az adatkezelésre is.
1
Az IT-biztonsági Szabályzat kidolgozása jelen Szabályzat kidolgozásával párhuzamosan történik.
5
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
2. A Szabályzat aktualizálása A Szabályzat aktualizálása az adatvédelmi felelős javaslatára kerül végrehajtására, melyet a következő esetekben kell kezdeményeznie: ha a Társaság adatvédelmét, illetve a társasági Adatvédelmi és Adatbiztonsági Szabályzat tartalmát érintő jelentős változás következik be; ha a működtetést meghatározó jogszabályi környezetben átvezetendő változás következik be; a fenti eseteken túl évenként egyszer felül kell vizsgálni.
6
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
II. FEJEZET AZ ADATVÉDELEMRE VONATKOZÓ RENDELKEZÉSEK
1. A Társaságnál kezelt adatok osztályozása a) Személyes adat Bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható2. A személy különösen akkor tekinthető azonosíthatónak, ha őt — közvetlenül vagy közvetve — név, azonosító jel, illetőleg egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. b) Különleges adat ba)
A faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra,
bb)
egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat. c) Minősített adat
ca) A közokiratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvényben (a továbbiakban: Lvtv.) meghatározott közokiratban szereplő, államtitkot vagy szolgálati titkot tartalmazó adat, cb) a szóban közölt államtitkot vagy szolgálati titkot képező információ, cc) államtitkot vagy szolgálati titkot képező információt hordozó objektum, technikai eszköz, cd) nem tárgyiasult formában megjelenő államtitkot vagy szolgálati titkot képező információ, eljárási mód vagy más ismeretanyag. Államtitoknak minősülő adat Az az adat, amely az államtitokról és szolgálati titokról szóló 1995. évi LXV. törvény (a továbbiakban: Ttv.) 1. sz. mellékletében (államtitokkör) meghatározott adatfajta körébe tartozik, és a minősítési eljárás alapján a minősítő megállapította, hogy az érvényességi idő lejárta előtti nyilvánosságra hozatala, jogosulatlan megszerzése vagy felhasználása, 2
Az Avtv. szerint nem lényeges, hogy az adatalany és az adat helyreállítását az adatkezelő vagy más személy képes elvégezni: ha a kapcsolat helyreállítható, akkor személyes adatnak minősül.
7
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
illetéktelen személy tudomására hozása, továbbá az arra jogosult részére hozzáférhetetlenné tétele közvetlenül sérti vagy veszélyezteti a Magyar Köztársaság törvényben meghatározott honvédelmi, nemzetbiztonsági, bűnüldözési vagy bűnmegelőzési, központi pénzügyi, külügyi vagy nemzetközi kapcsolataival összefüggő, valamint igazságszolgáltatási érdekeit. Szolgálati titoknak minősülő adat A Ttv. szerint minősítésre felhatalmazott által meghatározott adatfajták körébe (szolgálati titokkör) tartozó adat, amelynek az érvényességi idő lejárta előtt nyilvánosságra hozatala, jogosulatlan megszerzése és felhasználása, illetéktelen személy részére hozzáférhetővé tétele, továbbá az arra jogosult részére hozzáférhetetlenné tétele sérti vagy veszélyezteti az állami vagy közfeladatot ellátó szerv működési rendjét, akadályozza a feladat- és hatáskörének illetéktelen befolyástól mentes gyakorlását, és ezáltal közvetve a Magyar Köztársaság törvényben meghatározott érdekeit hátrányosan érinti. d) Külföldi minősítésű adat Nemzetközi kötelezettségvállalás alapján átvett vagy nemzetközi kötelezettségvállalás alapján készült minősített (külföldi minősítésű) adat más állam vagy nemzetközi szerződés alapján a külföldi részes fél által meghatározott minősítésű és jelölésű, a Lvtv. 3. §ának b) pontja szerinti közfeladatot ellátó szerv vagy személy részére átadott, rendeltetésszerűen annak irattárába tartozó adat. A külföldi minősítés és jelölés a Magyar Köztársaság Kormánya által az információbiztonság tárgyában kötött nemzetközi szerződésekben meghatározott minősítés és jelölés, melyekről a Ttv. rendelkezik, valamint a Magyar Köztársaság által kötött nemzetközi szerződésben meghatározott minősítést és jelölést, illetve annak magyar megfelelőjét a szerződés kihirdetéséről szóló törvény tartalmazza. A külföldi minősítés és jelölés alkalmazására a kibocsátó és a felhasználó jogosult. A hazai felhasználónak az általa készített adathordozón, ha az a kibocsátó minősített adatait is tartalmazza, a külföldi adathordozó minősítésnél és jelölésnél alacsonyabb minősítést és jelölést nem alkalmazhat. A külföldi minősítésű és jelölésű adatot a nemzetközi szerződés alapján meghatározott előírások és a Ttv. szerint kell kezelni. A külföldi minősítésű adatok államtitoknak, valamint szolgálati titoknak minősülő fajtáit a Ttv. sorolja fel. A külföldi minősítésű adatok nem nyilvánosak, azokra az Avtv. 20. § (1) bekezdése szerinti megismerési kérelem megtagadása esetén — a felhasználó döntésével szemben — jogorvoslatnak helye nincs. e) Banktitoknak minősülő adat Banktitok minden olyan, az egyes ügyfelekről a Társaság rendelkezésére álló tény, információ, megoldás vagy adat, amely az ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a Társaság által vezetett számlájának egyenlegére, forgalmára, továbbá a Társasággal kötött szerződéseire vonatkozik.
8
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
f) Magántitok, levéltitok A Társasághoz tevékenysége során jogszerűen kerülhetnek olyan adatok, melyek a Polgári Törvénykönyvről szóló 1959. évi IV. törvény (a továbbiakban: Ptk.) alapján levéltitoknak, magántitoknak minősülnek. Személyhez fűződő jogokat sért, aki a levéltitkot megsérti, továbbá aki a magántitok birtokába jut, és azt jogosulatlanul nyilvánosságra hozza, vagy azzal egyéb módon viszszaél. g) Üzleti titok A Társaság tevékenységéhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a Társaság jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a Társaság a szükséges intézkedéseket megtette. 2. Az adatokhoz tartozó adatvédelmi kategóriák Az adatok kezelését a következő fokozatokban lehet megvalósítani a nyilvántartások, adatbázisok esetében. a) Alap biztonsági szint A biztonság szempontjából minden olyan adat, amely nem igényel magasabb besorolást, és a többi adatvédelmi kategóriába nem sorolható be, alap biztonsági fokozatú. b) Megemelt biztonsági szint A biztonság szempontjából a személyes adatok, üzleti titkot képező (bizalmas) adatok, valamint minden más, a Társaság tevékenysége során tudomására jutott titok — így például magántitok, üzleti titok — besorolása megemelt biztonsági fokozatú. c) Fokozott biztonsági szint Ebbe a szintbe kell besorolni az olyan, egyedileg nem minősített, különleges adatokat, amelyek egyesített megjelenései fokozott védelmet igényelnek. d) Kiemelt biztonsági szint Amennyiben szolgálati titoknak, illetve államtitoknak minősített adatokat is tartalmaz a szervezet adatkezelése — kiemelt biztonsági besorolás mellett — a Ttv. szolgálati titokra, illetve államtitokra vonatkozó rendelkezései az irányadók.
9
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
3. Az egyes adatkezelő szervezeti egységek biztonsági besorolása A Társaság által kezelt adatok biztonsági fokozata szerint az egyes adatkezelő szervezeti egységek adatvédelmi és adatbiztonsági szempontú biztonsági besorolását az adatvédelmi felelős az adatkezelést végző szervezeti egység vezetőjével egyetértésben állapítja meg, a következők szerint. Az alap biztonsági fokozatba tartozik valamennyi szervezeti egység. A megemelt biztonsági fokozatba tartozik az a szervezeti egység, amely személyes adatok, üzleti titkot képező (bizalmas) adatok, valamint minden más, a Társaság tevékenysége során tudomására jutott titkokat — így például magántitok, üzleti titok — kezel. Fokozott biztonsági fokozatba tartozik az a szervezeti egység, amely olyan, egyedileg nem minősített, különleges adatokat kezel, amelyek egyesített megjelenései fokozott védelmet igényelnek. A Ttv. szerinti szolgálati titkokat, illetve államtitkokat kezelő szervezeti egységek a kiemelt biztonsági fokozatba tartoznak. A minősítésnek az adatvédelem és adatbiztonság érdekében alkalmazott intézkedések szempontjából van jelentősége.
4. Az egyes adatkezelő szervezeti egységek feladatai Az adatkezelést végző szervezeti egység vezetője az irányítása alatt lévő személyektől, szervezeti egységektől megköveteli az adatvédelem, adatbiztonság szabályainak fokozott betartását és betartatását. Felelősséget vállal az adott területen lévő adatok gyűjtéséért, az adatszolgáltatásért, az adatfeldolgozás felé történő adatszolgáltatásért. Tevékenysége során az általa kezelt adatok vonatkozásában gondoskodik a jogszabályokban, elsősorban az Avtv-ben meghatározott feladatok, kötelezettségek ellátásáról. 5. A Társaság adatvagyonát érintő események A Társaság adatvagyonát érintő rendkívüli adatvédelmi esemény kapcsán az adatvédelmi felelőst az eseményről a lehető legrövidebb időn belül tájékoztatni kell, továbbá az esemény kapcsán esetlegesen kezdeményezett vizsgálatba (ellenőrzésbe) a felelőst be kell vonni.
10
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
III. FEJEZET A SZEMÉLYES ADATOK KEZELÉSÉRE VONATKOZÓ SZABÁLYOK A Társaságnál személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul vagy azt jogszabály, illetve jogszabály felhatalmazása alapján társasági szabályozás elrendeli. Kötelező, vagyis jogszabály által elrendelt adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény határozza meg. 1. A személyes adat kezelésének célhoz kötöttsége Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Ha az adatkezelés célja megszűnt vagy az adatok kezelése egyébként jogellenes, az adatokat bizonylatoltan törölni kell. A személyes adatot — akár az érintett hozzájárulásával, akár jogszabály alapján — különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges. Kötelező adatszolgáltatáson alapuló adatkezelést közérdekből lehet elrendelni. Az érintettel az adat felvétele előtt közölni kell az adatkezelés célját és azt, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt, és társasági szabályozást is. Az érintettet — egyértelműen, részletesen és dokumentáltan — tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy a jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.
2.
A személyes adat kezelésének társasági szabályai a) Személyazonosító adatok nyilvántartása
A Munka Törvénykönyvéről szóló 1992. évi XXII. törvény (a továbbiakban: Mt.) 77., 98., 99. §-a, és a foglalkoztatás elősegítéséről, a munkanélküliek ellátásáról szóló 1991. évi 11
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
IV. törvény 57/A-E. §-a, valamint az adózás rendjéről szóló 1990. évi XCI. törvény rendelkezik a Társaság által nyilvántartható adatok köréről. Meghatározza, hogy a Társaság a munkavállalóktól csak olyan adatlap kitöltését kérheti, illetve vele szemben csak olyan alkalmassági vizsgálat alkalmazható, amely személyiségi jogait nem sérti, és a munkaviszony létesítése szempontjából lényeges tájékoztatást nyújthat, továbbá felhatalmazást ad a munkaidővel és szabadságolással kapcsolatos adatok kezelésére is. A munkaszerződésben fel kell tüntetni azokat a természetes személyazonosító adatokat (név, anyja neve, születési hely és idő, lakcím), amelyek a munkavállaló egyértelmű azonosításához szükségesek, valamint az iskolai és szakképzettséget igazoló bizonyítványok adatait. Más törvények a Társaság részére kötelezően előírják bizonyos személyes adatok kezelését (pl. a munkavállaló adóazonosító jelét, társadalombiztosítási azonosító számát), mivel bevallási, illetve különböző fizetési kötelezettségeinek a Társaság csak így tud eleget tenni. Az adózással kapcsolatos nyilvántartás azonosító kódja — magánszemélyek esetében — az adóazonosító jel. Az adóazonosító jelről az APEH által kiadott hatósági igazolvány (adóigazolvány) a munkavállaló az adóhatóság (állami adóhatóság, önkormányzati adóhatóság, vámhatóság és illetékhivatal), valamint az adózással kapcsolatban adatszolgáltatásra kötelezett szerv számára köteles bemutatni. A munkavállaló köteles adóazonosító jelét közölni a kifizetővel (a Társasággal), a megyei munkaügyi központtal, a hitelintézettel, a társadalombiztosítási szervvel, ha olyan kifizetést teljesít, amelynek alapján a magánszemélynek adófizetési kötelezettsége keletkezik, és azzal összefüggésben a törvény adatszolgáltatási kötelezettséget ír elő. Amennyiben a munkavállaló adóazonosító jelét nem közli, a Társaság a kifizetést és az arról szóló igazolás kiadását az adóazonosító jel közléséig megtagadja. A Társaság a munkaviszony megszüntetésekor (megszűnésekor) a munkavállaló részére az alábbiakban meghatározott tartalmú igazolást állít ki. Az igazolás tartalmazza: a munkavállaló személyi adatait (név, leánykori név, anyja neve, születési hely, év, hónap, nap), a munkáltatónál munkaviszonyban töltött idő tartamát, a munkavállaló munkabéréből jogerős határozat vagy jogszabály alapján levonandó tartozást, illetve ennek jogosultját, a munkavállaló által a munkaviszony megszűnésének évében igénybe vett betegszabadság időtartamát, a munkavállaló végkielégítésben való részesülését, a munkáltató köteles igazolni azt is, ha a munkavállaló munkabérét a tartozás nem terheli, az igazolásnak tartalmaznia kell a munkavállaló pénztártag által választott magánnyugdíj-pénztár megnevezését, címét, bankszámlaszámát; ha a tagságra kötelezett pályakezdő munkavállaló nem választott pénztárat, ezt a tényt jelezni kell, és meg kell jelölni az illetékes területi pénztár megnevezését, címét. MÁV, Volán 50%-os viteldíj-kedvezmény igénybevételének tényét.
12
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
a Start-kártyával3 kapcsolatos adatokat (amennyiben a Start-program szerinti kedvezményt vesz igénybe a Társaság). A munkavállaló munkaviszonyának megszüntetésekor (megszűnésekor), illetve az ezt követő egy éven belül a Mt. 99. §-a előírásai szerint működési bizonyítvány kiadását kérheti a Társaságtól, aki köteles azt kiadni. A munkavállaló kifejezett kérésére a működési bizonyítványnak tartalmaznia kell: a Társaságnál a munkavállaló által betöltött munkakört, a munkavállaló munkájának értékelését. A törvényi előírásokban nem szereplő személyes adatok kizárólag az érintett hozzájáruló nyilatkozata alapján kezelhetők. b) Munkabér Minden meghatározott személy munkabérére és egyéb járandóságára vonatkozó adat, információ védendő személyes adat, ezért annak nyilvánosságra hozatala, illetéktelen személy tudomására hozatala tilos. A munkabérről adott tájékoztató kimutatást (bérnapló) úgy kell az érintetthez eljuttatni, hogy az abban foglalt adatok illetéktelenek számára ne legyenek hozzáférhetőek. c) Videómegfigyelő-rendszerek működtetése A Társaság által működtetett videómegfigyelő-rendszerek üzemeltetése során az alábbiakat kell figyelembe venni. A kamerákat jól látható helyekre kell felszerelni, és a rögzített felvételeket az adatvédelmi felelős által meghatározott idő elteltével törölni kell. A megfigyelt területen jól látható helyen, az alábbi szöveggel ellátott, figyelmeztető táblákat kell elhelyezni: „Figyelem! Videómegfigyelő-rendszerrel ellátott terület. A megfigyelés célja bűncselekmények megelőzése, illetve utólagos kivizsgálása. A felvételek csak bűncselekmény esetén tekinthetők meg, amennyiben ilyen nem történik, a rögzített felvételek […]4 elteltével megtekintés nélkül, automatikusan törlődnek. Továbbhaladásával Ön beleegyezését adja a felvételek elkészítéséhez. Budapesti Közlekedési Részvénytársaság” d) A forgalmi üzemeltetés során végzett hangrögzítés A forgalomirányításban használt híradástechnikai eszközökön (AVM, DIR, URH, és egyes diszpécser központok telefonjai) lebonyolított beszélgetések rögzítésre kerülnek. Ennek tényét a munkavállalókkal dokumentáltan ismertetni kell. 3
Ld. a pályakezdő fiatalok, az ötven év feletti munkanélküliek, valamint a gyermekek gondozását, illetve a családtag ápolását követően munkát keresők foglalkoztatásának elősegítéséről, továbbá az ösztöndíjas foglalkoztatásról szóló 2004. évi CXXIII. törvény előírásait 4 Az adatvédelmi felelős által meghatározott időtartam.
13
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
A hangrögzítő berendezéseken rögzített adatokat, beszélgetéseket szükség esetén a rögzítést végző szervezet vezetője, illetve annak megbízott képviselője jogosult adathordozóra kimenteni. A beszélgetésekről készített hangfelvételt a forgalmi igazgató, illetve a beszélgetésben érintett munkavállalók munkáltatói jogkört gyakorlói jogosultak visszahallgatni. A keletkezett adatokat a fenti személyek írásban rögzíthetik, illetve további vizsgálat céljából azokat lemásolhatják, és maguknál tarthatják, valamint a vizsgálat során bizonyítékként felhasználhatják. A központi adatrögzítőkből kimentett, illetve visszahallgatott beszélgetésekről a rögzítés helyén naplót kell vezetni, mely tartalmazza a visszahallgatás vagy kimentés időpontját, illetve a kérelmező nevét. Jogszabályi előírásokon alapuló adatkezelés, -továbbítás esetén nem kell az érintett hozzájárulását kérni. Ilyenek a kötelező adatszolgáltatásokon alapuló adattovábbítások úgy, mint például: betegbiztosítással kapcsolatos adatszolgáltatás az Országos Egészségbiztosítási Pénztár felé, a munkavállalók munkaviszonyával kapcsolatos hivatalos hatósági megkeresések (pl. APEH, bíróság). A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak kötelesek az általuk megismert személyes adatokat üzleti titokként megőrizni. Az ilyen munkakörben foglalkoztatottak számára Titoktartási nyilatkozat (ld. 1. Melléklet) megtétele kötelező. e) Az adatkezelések törzskönyve A Társaságnál létesített személyes adatkezelésekről törzskönyvet kell vezetni, melyek tartalmát nyilvánossá kell tenni. A törzskönyv első példányát az annak vezetéséért felelős adatkezelést, illetve adatfeldolgozást végző szervezeti egység vezetője, második példányát az adatvédelmi felelős őrzi. A törzskönyv (ld. 2. Melléklet) dokumentálja az adatkezeléssel kapcsolatos legfontosabb tényeket és körülményeket. Ezek különösen:
az adatkezelés megnevezése, célja, rendeltetése, jogszabályi alapja (törvény, társasági szabályozás), kezelője (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, irodája és telefonszáma), érintettek köre és száma, nyilvántartott adatok köre, adatok forrása (maga az érintett vagy más adatkezelés), adatfeldolgozás módszere (manuális, számítógépes, vegyes), az adatokon végzett gyakori adatkezelési műveletek (tárolás, módosítás, aktualizálás, válogatás, rendszerezés, stb.), 14
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
adattovábbítás (Mely szerv részére? Milyen rendszerességgel?), adatbiztonsági intézkedések, adatok megőrzésének, illetve törlésének ideje. A törzskönyv adatainak valódiságát az adatvédelmi felelős és az illetékes adatkezelő évente felülvizsgálja, az időközben történt változásokat átvezeti. Az adatkezelés megszűnése után a törzskönyvet irattári kezelésbe kell venni. 3. Adatok minőségi követelményei A kezelt személyes adatoknak meg kell felelniük az alábbi minőségi követelményeknek: felvételük és kezelésük tisztességes és törvényes, pontosak, teljesek, és ha szükséges időszerűek, tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos.5 A tárolás módjára vonatkozó technikai megoldásokat és feltételeket az IT-biztonsági Szabályzat tartalmazza. 4. Adatközlések Személyes adat harmadik személlyel adattovábbítás vagy nyilvánosságra hozatal formájában közölhető. a) Személyes adat nyilvánosságra hozatala Törvényes közérdekből — az adatok körének kifejezett megjelölésével — elrendelhető a személyes adat nyilvánosságra hozatala. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során az általa közölt vagy nyilvánosságra hozatal céljából általa átadott adatok tekintetében. b) Adattovábbítás, adatkezelések összekapcsolása A Társaság szervezeti rendszerén belül a Társaság vezetőinek és munkavállalóinak személyes adatai — a feladat elvégzéshez szükséges mértékben és ideig — csak olyan szervezeti egységhez továbbíthatók, amely a munkaviszonnyal kapcsolatos adminisztratív és szervezési feladatokat lát el.
5
Nem sorolható ide a Társaságnál alkalmazott, a munkavállalók egyedi azonosítására szolgáló törzsszám.
15
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
A Társaságnál folyó, különböző célra irányuló adatkezelések csak törvényes cél érdekében, indokolt esetben, ideiglenesen kapcsolhatók össze. Az adatkezelések összekapcsolásával kapcsolatos alábbi tényeket jegyzőkönyvbe (ld. 3. Melléklet) kell foglalni:
az összekapcsolt adatkezelések megnevezése, az összekapcsolás célja, rendeltetése, az összekapcsolás időpontja és tartama, jogszabályi alapja (törvény, társasági szabályozás), az összekapcsolást végző személy neve, beosztása, szervezeti egysége, irodája és telefonszáma, az összekapcsolással érintettek köre és száma, az összekapcsolt adatok köre, az összekapcsolás módszere (manuális, számítógépes, vegyes), adatbiztonsági intézkedések.
A jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát az adatvédelmi felelőshöz kell továbbítani. A jegyzőkönyvet 10 évig kell megőrizni. c) Belföldre irányuló adattovábbítások A Társaságon kívüli szervtől vagy magánszemélytől érkező, adatközlésre irányuló megkeresés csak akkor teljesíthető, ha az érintett erre írásban felhatalmazza a Társaságot. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat időtartamra és a megkereséssel élő szervek meghatározott körére. Az érintett nyilatkozattételétől függetlenül teljesíteni kell a polgári és büntető ügyekben eljáró hatóságoktól — rendőrség, bíróság, ügyészség, vám- és pénzügyőrség, APEH — érkező megkereséseket. Az adatszolgáltatás — a vezérigazgató döntési jogkörének delegálása mellett — csak az adatkezelést végző szervezeti egység munkáltatói jogkört gyakorló vezetőjének jóváhagyásával teljesíthető. A nemzetbiztonsági szolgálatoktól érkező megkeresésekre vonatkozó minden adat — a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény 42. §-a szerint — államtitok, amiről sem más szerv, sem más személy nem tájékoztatható. A megkeresés alapján teljesített adatszolgáltatással kapcsolatos tényeket, körülményeket jegyzőkönyv (ld. 4. Melléklet) felvételével dokumentálni kell (kivételt képeznek a hatósági, a Társaság munkavállalóinak munkaviszonyával kapcsolatos megkeresések, pl. APEH-tól, bíróságtól, nemzetbiztonsági szolgálatoktól érkező megkeresések). A jegyzőkönyv az alábbi adatokat tartalmazza: a megkeresést végző szerv vagy személy megnevezése, postacíme, telefonszáma, az adatkérés célja, rendeltetése, az adatkérés jogszabályi alapja, illetve az érintett hozzájáruló nyilatkozata, az adatkérés időpontja, az adatszolgáltatás alapjául szolgáló adatkezelés megnevezése, az adatszolgáltatást teljesítő szervezeti egység megnevezése,
16
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
az érintettek köre, a továbbított adatok köre, az adattovábbítás módja. A megkeresésről szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát az adatvédelmi felelőshöz kell továbbítani. A jegyzőkönyvet 10 évig kell megőrizni. d) Külföldre irányuló adattovábbítások Olyan adatkezelés esetén, amelynél számolni kell harmadik országba irányuló — az adathordozótól vagy az átvitel módjától függetlenül — adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele előtt fel kell hívni. A személyes adat csak akkor továbbítható, ha ahhoz az érintett írásban hozzájárul, ha azt törvény lehetővé teszi, vagy arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga — az Európai Unió által meghatározott — megfelelő védelmet biztosít az átadott adatok kezelése során. A külföldre irányuló adatszolgáltatással kapcsolatos tényeket, körülményeket jegyzőkönyv (ld. 5. Melléklet) felvételével dokumentálni kell. A jegyzőkönyv az alábbi adatokat tartalmazza:
az adattovábbítás címzettje (megnevezés, postacím, telefonszáma), az adattovábbítás célja, rendeltetése, az adattovábbítás jogszabályi alapja, illetve az érintett hozzájáruló nyilatkozata, az adattovábbítás időpontja, az adatszolgáltatást teljesítő szervezeti egység megnevezése, az érintettek köre, a továbbított adatok köre, az adattovábbítás módja.
A külföldre irányuló adattovábbításról szóló jegyzőkönyv első példányát az adatkezelés helyén kell őrizni, második példányát az adatvédelmi felelőshöz kell továbbítani. A jegyzőkönyvet 10 évig kell megőrizni. 5. Érintettek jogai és érvényesítésük a) Tájékoztatásra, illetve betekintésre irányuló kérelem Az érintett tájékoztatást, illetve betekintést kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve — a jogszabályban elrendelt adatkezelések kivételével — törlését. A betekintést úgy kell biztosítani, hogy ez alatt az érintett más személy adatait ne ismerhesse meg. Az érintett kérelmére az adatkezelő tájékoztatást ad az érintettre vonatkozó, általa kezelt, illetőleg az általa megbízott adatfeldolgozó által feldolgozott adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és 17
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
milyen célból kapják vagy kapták meg az adatokat. Az adattovábbításra vonatkozó nyilvántartás — és ennek alapján a tájékoztatási kötelezettség — időtartamát, az adatkezelést szabályozó jogszabály korlátozhatja. A korlátozás időtartama személyes adatok esetében 5 évnél, különleges adatok esetében pedig 20 évnél rövidebb nem lehet. Az érintett tájékoztatást, illetve betekintést kérhet a Társaságnál vezetett adatkezelési törzskönyv tartalmába is. A tájékoztatást a kérelemben foglaltakra az illetékes adatkezelő (az adatkezelést végző szervezeti egység vezetője) adja meg. Az adatkezelő tájékoztatást ad az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá arról, hogy kik és milyen célból kapták meg az adatokat. A tájékoztatás megadásával egyidejűleg az adatkezelő írásban értesíti az adatvédelmi felelőst a megkeresés és teljesítésének részleteiről. A tájékoztatást a benyújtástól számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában kell megadni. b) Tájékoztatásra, illetve betekintésre irányuló kérelem megtagadása A tájékoztatás, illetve betekintés az Avtv. 16. §-ban foglaltak alapján kizárólag akkor tagadható meg, ha azt törvény korlátozza az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából — beleértve minden esetben az ellenőrzést és a felügyeletet is —, továbbá az érintett vagy mások jogainak védelme érdekében. Elutasítás esetén az adatkezelő tájékoztatja az érintettet a felvilágosítás megtagadásának indokáról; ezzel egyidejűleg a megtagadásról írásban tájékoztatja az adatvédelmi felelőst. Az adatvédelmi felelős minden év január 20-ig értesíti az adatvédelmi biztost az elutasított kérelmekről. c) Személyes adat helyesbítése, illetve törlése A személyes adat helyesbítését, illetve törlését a helyesbítés, törlés tárgya szerinti szakterület végzi el személyes észlelés alapján, kérelemre vagy az adatvédelmi felelős felhívására. A helyesbítésről és törlésről az érintetett, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljáró való tekintettel az érintett jogos érdekeit nem sérti. A helyesbítést, illetve törlést 3 munkanapon belül el kell végezni. A törlési kötelezettség — a jogellenes adatkezelés kivételével — nem vonatkozik azon személyes adatokra, amelyeknek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni.
18
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
d) Tiltakozás a személyes adat kezelése ellen Az Avtv. 16/A. §-ban felsorolt feltételek alapján, az érintett tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el; a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi. Az adatkezelő — az adatkezelés egyidejű felfüggesztésével — a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést — beleértve a további adatfelvételt és adattovábbítást is — megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Az adatvédelemmel összefüggő bejelentéseket, tiltakozásokat az adatvédelmi felelős vizsgálja ki, iratanyag bekérésével vagy a helyszínen. A bejelentést, tiltakozást beérkezésétől számított 3 munkanapon belül továbbítani kell az adatvédelmi felelőshöz — kivéve azt az esetet, amikor azt eredetileg az adatvédelmi felelőshöz nyújtották be. Az adatvédelmi felelős a hozzá beérkezett bejelentést 30 napon belül, a tiltakozást a legrövidebb időn belül, de legfeljebb — az eredeti benyújtástól számított — 15 napon belül vizsgálja ki. A vizsgálat eredményéről értesíti az érintettet és a bejelentés, tiltakozás helye szerinti szervezeti egységet — valamint ha ettől különbözik, az adatkezelőt is. Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett az illetékes adatkezelő szervezeti egység vezetőjéhez, az adatvédelmi felelőshöz vagy az országgyűlés adatvédelmi biztosához fordulhat; ezen bejelentések miatt senkit sem érhet hátrány. Az adatkezelést végző szervezeti egység vezetője és az érintett közötti vitában a vezérigazgató vagy megbízottja dönt. Az Avtv. 17. §-ának értelmében a döntés ellen az érintett bírósághoz fordulhat, ahol az ügyben soron kívül járnak el. 6. Adatfeldolgozó igénybevételének szabályai Az adatkezelő az adatok feldolgozásával kapcsolatos műveletek elvégzésére adatfeldolgozót vehet igénybe. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az Avtv., valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. a) Az adatkezelő felelőssége Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel.
19
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
A Társaság külső adatfeldolgozót is igénybe vehet. Adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységében érdekelt. A Társaság által igénybe vett adatfeldolgozó esetében szerződésben meghatározott szigorú szabályok szerint kell eljárni, melyek betartásáról rendszeres ellenőrzéssel kell meggyőződni (az ellenőrzést a Társaság részéről a szerződést aláíró vezető és az adatvédelmi felelős közösen végzi). b) Az adatfeldolgozó felelőssége Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
20
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
IV. FEJEZET A KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGÁRA VONATKOZÓ ELŐÍRÁSOK Az Avtv. rendelkezései alapján a Társaság, mint közüzemi szolgáltató6 a feladatkörébe tartozó ügyekben — így különösen a közösségi közlekedésre vonatkozó közérdekű információkkal — köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását. A Társaság rendszeresen közzé- vagy más módon hozzáférhetővé teszi a tevékenységével kapcsolatos legfontosabb adatokat. A Társaság képviseletében eljáró személyek neve, beosztása és munkaköre — ha törvény másként nem rendelkezik — bárki számára hozzáférhető, nyilvános adat. A tájékoztatás módját, a vonatkozó adatok körét jogszabály is megállapíthatja. A közérdekű adatok nyilvánosságára hozatala során elsősorban a közpénzek felhasználásával, a köztulajdon használatának nyilvánosságával, átláthatóbbá tételével és ellenőrzésének bővítésével összefüggő egyes törvények módosításáról szóló 2003. évi XXIV. törvény („Üvegzseb-törvény”) előírásait kell figyelembe venni. A Társaságnak lehetővé kell tennie, hogy a kezelésében lévő közérdekű adatot bárki megismerhesse, kivéve, ha az adatot törvény alapján az arra jogosult szerv állam- vagy szolgálati titokká nyilvánította, illetve ha az nemzetközi szerződésből eredő kötelezettség alapján minősített adat, továbbá, ha a közérdekű adatok nyilvánosságához való jogot — az adatfajták meghatározásával
honvédelmi, nemzetbiztonsági, bűnüldözési vagy bűnmegelőzési, központi pénzügyi vagy devizapolitikai érdekből, külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, bírósági eljárásra tekintettel
törvény korlátozza. A Társaság hatáskörében eljáró személynek a feladatkörével összefüggő személyes adata a közérdekű adat megismerését nem korlátozza. Ha törvény másként nem rendelkezik, a belső használatra készült, valamint a döntéselőkészítéssel összefüggő adat a kezelését követő 10 éven belül nem nyilvános. Kérelemre az adatok megismerését a vezérigazgató e határidőn belül is engedélyezheti. A közérdekű adatok megismerésével és nyilvánosságával összefüggésben az üzleti titok megismerésére a Ptk-ban foglaltak az irányadók. A közérdekű adatok nyilvánosságát a vezérigazgató korlátozhatja jogszabály alapján, továbbá az Európai Unió jogszabályai, illetve az Európai Unió jelentős pénzügyi- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdekeket is — ez esetben azonban pontosan meg kell jelölni a korlátozás alapját képező jogszabályi hivatkozást. 6
Ld. az állami vállalatokról szóló 1977. évi VI. törvény előírásait.
21
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
A Társaság birtokában lévő, a városi közlekedésre, forgalmi igényekre és az utazási áramlásokra, a szolgáltatások költségére vonatkozó adatok jelentős értéket képviselnek, ezért ezen információk védelmét, jogosulatlan nyilvánosságra hozatalát meg kell akadályozni. A közérdekű adat megismerése A közérdekű adatok megismerésére irányuló — szóban, írásban vagy elektronikus úton érkező — kérelemnek a szakigazgatóság vezetője a kérelem tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül, közérthető formában tesz eleget. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről annak tárolási módjától függetlenül — költségtérítés ellenében — a kérelmező másolatot kérhet. A közérdekű adatok kérelmező felé történő közlése kizárólag a kabinet igazgató jóváhagyását követően történhet meg. A közérdekű adat közléséért a Társaság — legfeljebb a közléssel kapcsolatban felmerült költség mértékéig — költségtérítést állapíthat meg. A költségtérítés mértékét a szakigazgatóság vezetője a gazdasági vezérigazgató-helyettessel egyetértésben állapítja meg. A kérelmező kérésére a költség összegét előre közölni kell. A közérdekű adat megismerésére vonatkozó kérelem megtagadása A kérelem megtagadásáról — annak indokaival együtt — 8 napon belül írásban értesíteni kell a kérelmezőt, valamint az adatvédelmi felelőst. Az adatvédelmi felelős évente értesíti az adatvédelmi biztost az elutasított kérelmekről, valamint az elutasítások indokairól. Ha a közérdekű adatokra vonatkozó kérését nem teljesítik, a kérelmező a bírósághoz fordulhat. A megtagadás jogszerűségét és megalapozottságát a Társaság köteles bizonyítani. A kérelem megtagadása esetén — a bírósági eljárást megelőzendő — a szakigazgatóság vezetőjének az adatvédelmi felelős tájékoztatásával egyidejűleg a Kabinet igazgatóság Jogi koordinációs csoportja jogi állásfoglalását kell kérnie (ettől függetlenül a kérelmező — és vele egyidejűleg az adatvédelmi felelős — írásos értesítése 8 napon belül kell, hogy megtörténjen). Ha a bíróság a kérelemnek helyt ad, határozatában a Társaságot a kért közérdekű adat közlésére kötelezi.
22
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
V. FEJEZET AZ ADATVÉDELEM ÉS ADATBIZTONSÁG TECHNIKAI HÁTTERÉNEK EGYES KÉRDÉSEI Az Avtv. rendelkezései szerint az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Jelen fejezetben felsorolt intézkedések a törvényi szabályozások leképezései, a szakmai és technikai szabályokat, eljárásokat az IT-biztonsági Szabályzat tartalmazza részletesen. 1. Az infrastruktúrához kapcsolódó védelmi intézkedések Irattáraknál, zárt helyiségbe (pl. gépterem) történő informatikai eszközök telepítésénél, biztosítani kell a tűzvédelmet, a ki- és belépés ellenőrzött rendjét, az illetéktelen bejutást gátló eszközök üzembiztos működését, valamint az informatikai eszközök karbantartása esetén garantálni kell a gyártó cégek előírásainak betartását. A biztonságtechnikai eszközök működését rendszeresen ellenőrizni kell, és gondoskodni kell a biztonságtechnikai berendezések rendszeres karbantartásáról. a) Szervertermek üzemeltetési rendje, biztonsági előírásai A részletes rendelkezéseket az IT-biztonsági Szabályzat tartalmazza. b) Informatikai rendszerek osztályozási irányelvei Az informatikai rendszereket két szempont alapján kell osztályozni: a rendszerben kezelt információ bizalmassága, illetve a rendszerrel megvalósított információfeldolgozás, adatszolgáltatás rendelkezésre állása szempontjából.
23
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
A rendszerrel kezelt információ bizalmassága szerinti osztályozás A bizalmasság alapján történő osztályozás során meg kell vizsgálni, hogy a bizalmasság megsértése milyen következményekkel járhat. A következő fajtákat célszerű megkülönböztetni:
dologi kár, gazdasági károk, károk a munkahelyi és a fogyasztói bizalom területén, károk a személyi biztonság területén.
Meg kell vizsgálni továbbá a törvényi előírásokból adódó kötelezettségek megtartásának feltételeit. Ezek alapján az informatikai rendszereket bizalmasságuk szerint három biztonsági szintre (osztályba) sorolhatjuk be. Kritériumok
A rendszer besorolása Szigorúan bizalmas rendszerek
Azon informatikai rendszerek, melyek hozzáférés korlátozási sérülése:
jelentős, közvetlen anyagi kárt okoz,
hosszútávra rontja a versenypozíciót,
közvetlen súlyosan elmarasztaló jogi következményekkel jár,
a menedzsment bizalomvesztését vagy leváltását okozhatja,
emberéletet veszélyeztető szabotázs vagy terrorcselekmények megtervezéséhez, kivitelezéséhez közvetlenül felhasználható kulcselem.
A jelen Szabályzat 2. pontja alapján minősített
megemelt,
fokozott vagy
kiemelt
biztonsági szintű adatokat kezelő informatikai rendszerek.
Példa jelszavak, belépési kódok, biometrikus adatok, elektronikus aláírások, titkosító kulcsok az információbiztonsági dokumentáció részei pénzügyi jelentések, könyvelési vagy banki adatok, hitelkártya adatok stratégiai fejlesztési vagy beruházási tervek, a kapcsolódó döntés előkészítő anyagok, és az ezeket megalapozó kimutatások adatai különleges szakmai ismeretek és a kapcsolódó kimutatások, statisztikák szabadalmak közbeszerzési eljárások dokumentumai, személyi döntések dokumentumai igazgatótanácsi ülések primer jegyzőkönyvei személyi biztonsági, élet- és balesetvédelmi rendszerek dokumentációi, üzemvitelei szabályzatai
24
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
Kritériumok
A rendszer besorolása Bizalmas rendszerek
Azon informatikai rendszerek, melyek hozzáférés korlátozási sérülése:
Példa nem a közbeszerzés hatálya alá tartozó árajánlatok, kereskedelmi dokumentumok
kis összegű anyagi kárt okoz,
a versenyelőny pillanatnyi elvesztésével jár,
peren kívüli megegyezés lehetséges,
szerzői jogú dokumentumok, szoftverek, licenszek
részleges bizalomvesztés, ami a szervezeten belül marad,
az Avtv-ben meghatározottak alapján a személyes adatok
emberéletet nem veszélyeztető, de az üzletmenet folytonosságát veszélyeztető szabotázs tervezésére, kivitelezésére ad lehetőséget.
az Információbiztonsági dokumentáció részei műszaki dokumentációk
A jelen Szabályzat 2. pontja alapján
alap
biztonsági szintű adatokat kezelő informatikai rendszerek.
Nyilvános rendszerek
Az adatok nyilvánossá tétele a Társaság érdeke vagy törvényi kötelezettsége.
bármi, ami nem tartozik az előző két kategóriába
Az adat mások számára nem értékes. Nem esik az adatvédelem körébe.
Az információ rendelkezésre állása alapján történő osztályozás A rendelkezésre állás alapján történő osztályozás során meg kell vizsgálni, hogy az információ a Társaság üzletileg kritikus folyamatainak működtetése szempontjából menynyire fontos. Üzletileg kritikus rendszernek minősítjük mindazon informatikai rendszereket amelyek: az üzletileg kritikus folyamatok működtetéséhez folyamatosan, vagy rendszeresen ismétlődően rendelkezésre kell álljanak, az elvesztésük vagy sérülésük esetén pótlásuk az adott üzleti folyamat rendelkezésre állása szempontjából jelentős késedelemmel, túlmunkával vagy túlzott anyagi ráfordítással járna, illetve szigorúan bizalmas besorolással rendelkeznek.
25
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
A fenti tulajdonságokkal nem rendelkező informatikai rendszereket és eszközöket üzletileg nem kritikus rendszernek minősítjük. c) Az információs vagyonelemek osztályozása A vagyonleltárban meghatározott tulajdonosok feladata az osztályozás eredményét a vagyonleltárban is fel kell tüntetni. Az információhordozók osztályozása az éppen rajtuk tárolt információval azonos vagy annál magasabb lehet, ennek aktualizálása az információhordozó tulajdonosának a feladata. Az információfeldolgozó rendszerek osztályozása a rajtuk feldolgozott (továbbított) legmagasabb besorolású információ besorolásával azonos, vagy annál magasabb kell legyen. d) Az információfeldolgozó rendszerek és eszközök címkézése Az információfeldolgozó rendszereket és eszközöket az osztályba sorolásuk feltüntetése céljából címkézni kell. A címkén fel kell tüntetni: a tulajdonosát, a szervezeti egység, a személy megadásával, a bizalmassági osztályt (nyilvános esetén nem szükséges), a rendelkezésre állás osztályát (csak az üzletileg kritikus osztály esetén). Az információfeldolgozó berendezésekre (szerverek, munkaállomások, nyomtatók, hálózati aktív elemek, stb.), a hajlékonylemezekre és a pendrive-okra kerüljön nyomtatott öntapadós címke; a tokkal rendelkező adathordozók (pl. CD, DVD) esetén a címke egy másolata kerüljön a tokra, Az elektronikus dokumentumokba, ha lehetséges közvetlenül olvashatóan, ha nem, akkor a tulajdonság mezők felhasználásával kell a címkét beilleszteni, A kinyomtatott dokumentumokra a borítólapon és minden oldalon az élőfejben, illetve élőlábban kell a címkét elhelyezni, A képernyőn megjelenített dokumentumok esetén, a képernyőn kell a címke információit elhelyezni. 2. Eseti biztonsági intézkedések Eseti biztonsági intézkedés akkor szükséges, amikor valamely biztonsági szint nem felel meg az adott feladat biztonsági követelményeinek. Az adott üzemeltető szervezeti egységnél eseti biztonsági intézkedés szükséges, amennyiben magasabb biztonsági fokozatot követelő munkavégzés igénye merül fel. Amennyiben az adott biztonsági fokozatot meghaladó munkavégzés rendszeressé válik, a biztonsági fokozat megváltoztatására — az üzemeltető kezdeményezésére — az adatvédelmi felelős tesz javaslatot.
26
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
3. A hardverekhez kapcsolódó védelmi intézkedések A Társaság szervezeti egységeinél általánosan előforduló munkakörök ellátáshoz szükséges minimális és elégséges hardver-követelményekről, valamint meghatározásának eljárásáról, a munkavégzéshez telepített számítógépek biztonságára vonatkozó előírásokról, az adatátviteli csatornák használatáról, az arra vonatkozó engedélyezési eljárásról, bármely adat tárolására vagy közvetítésére alkalmas elektronikai és fotótechnikai eszköz vonatkozó szabályozásról, a hordozható, illetve fixen telepített számítástechnikai eszközök esetében az indítás-, hozzáférés-védelemről az erőforrások használatára vonatkozó engedélyezésről, illetve tiltásról, az illetéktelen hozzáférés elleni védelemről a hordozható személyi számítógépek esetében, valamint ezek a Társaság objektumából (területéről) történő kiviteli szabályairól, valamint egyébként a hardver eszközökre vonatkozó részletes kezelési előírásokról, azok áthelyezési rendjéről, és a speciális biztonsági eszközökre vonatkozó előírásokról, eljárásokról az IT-biztonsági Szabályzat rendelkezik részletesen. Az Informatikai irodának — a Társaság részére szerződés alapján informatikai szolgáltatásokat nyújtó T-Systems Hungary Kft. (a továbbiakban: IT-Szolgáltató) bevonásával — gondoskodnia kell azon háttértárakon elhelyezett információk visszaállíthatatlan (végleges) törlésére, melyeket az IT-Szolgáltató bármilyen okból kifolyólag (pl. szervizelés, gépcsere) elszállít. Ennek részleteit az IT-biztonsági Szabályzat írja elő. 4. A szoftverekhez kapcsolódó védelmi intézkedések A Társaság szervezeti egységeinél általánosan előforduló munkakörök ellátásához szükséges minimális és elégséges szoftverkövetelményeket és azok meghatározási rendjét, az operációs rendszerek, valamint az alkalmazói szoftverek rendszerbe állításának engedélyezési eljárását, a szoftverekhez használatos hozzáférési és jogosultsági rendszerre vonatkozó követelményeket, az operációs rendszerek és az alkalmazói programok bevezetésének és használatának rendjét, a programtervezési előírásokat, a biztonságot támogató programok használatának rendjét, valamint a vírusellenőrzés előírásait részletesen az IT-biztonsági Szabályzat tartalmazza. Külső szakértők számára — az IT-Szolgáltató szakembereinek kivételével — a Társaság „éles” adatait tartalmazó adatbázisokkal való műveletvégzés nem engedélyezett, a
27
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
munkavégzés során kizárólag az „éles” rendszertől elkülönített, anonimizált adatok használhatók fel. 5. Katasztrófahelyzetek kezelése Az adatok biztonságára vonatkozó intézkedések között számolni kell az esetlegesen bekövetkező vészhelyzetek kezelésével. Szabályozni kell a vészhelyzetet vagy kárt okozó esemény jellegétől és súlyától függő kárelhárítási, mentési eljárásokat, valamint a kár minimalizálására irányuló (megelőző) intézkedéseket (pl. Katasztrófa-elhárítási terv, Üzletmenet-folytonossági terv). Az adatbiztonság témakörét érintő katasztrófahelyzetek kezelésének részleteit az IT-biztonsági Szabályzat és egyéb kidolgozandó előírások (ld. fenti sorok) írják elő. 6. Az adathordozókhoz kapcsolódó védelmi intézkedések A különböző adathordozók (pl. mágneses, optikai adathordozók) használatának rendjét, az adathordozók tartalmáról történő másolatok készítésének és tárolásának rendjét, az adathordozók raktározási, nyilvántartási, hozzáférési és selejtezési rendjét, valamint azok archiválási rendjét az IT-biztonsági Szabályzat tartalmazza. 7. Az információ kezelésével kapcsolatos intézkedések A bizalmas és szigorúan bizalmas osztályozású információfeldolgozó rendszerekkel történő munkavégzés során az alábbiakat kell betartani. Azokra a munkafolyamatokra, ahol bizalmas vagy szigorúan bizalmas osztályozású adathordozók mozgatása, átadása nem kerülhető el, pontosan meg kell határozni a jogosult átvevőinek körét, az átadás-átvétel szabályait. Ez vonatkozik a feldolgozási folyamatok során nyomtatott listákra is. A bizalmas és szigorúan bizalmas elektronikus dokumentumokba (pl. Word, Excel dokumentum) külső dokumentumot csatolással beilleszteni tilos, mert a csatolt állomány esetleges törlésével a bizalmas dokumentum információtartalma sérülhet. Bizalmas és szigorúan bizalmas információkat tartalmazó dokumentumokat, vagy azokból kiemelt részeket nem bizalmas besorolású elektronikus dokumentumokba (pl. Word, Excel dokumentum) beilleszteni, vagy azokban hivatkozást elhelyezni tilos, mert ezúton bizalmas információ kerülhet illetéktelenekhez. Minden bizalmas vagy szigorúan bizalmas dokumentum nyomtatását követően a nyomtatóból azt azonnal ki kell venni. Ha a nyomtatás hálózati nyomtatóra történik, meg kell oldani, hogy a kinyomtatott dokumentumhoz illetéktelenek ne férjenek hozzá. Minden bizalmas és szigorúan bizalmas dokumentum kinyomtatásán minden oldalon láblécben jelezni kell a bizalmasságot, és figyelmeztetni kell a bizalmas kezelésre.
28
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
Bizalmas vagy szigorúan bizalmas anyagokról csak az információ tulajdonosának (a dokumentum tulajdonosa, készítője) engedélyével szabad papírra vagy elektronikus adathordozóra másolatot készíteni. Bizalmas vagy szigorúan bizalmas elektronikus adathordozók, és kinyomtatott dokumentumokat szétosztásakor elosztási listát kell készíteni, és azt az átvevőkkel alá kell íratni. Mindazok részére, akik a különféle engedélyeket, feljogosító igazolásokat ellenőrizhetik (pl. biztonsági szolgálat), erre a célra aláírás mintákat kell kiadni. A mintának arra is ki kell terjednie, hogy az engedélyezőnek milyen típusú engedélyt szabad kiadnia. Az engedélyeket formalizálni kell. A munkafolyamatok megszakítása idejére (pl. ebédszünet) a bizalmas és szigorúan bizalmas információkat tartalmazó adathordozókat, kinyomtatott dokumentumokat, a rosszindulatú hozzáféréstől és a sérülésektől védetten kell tárolni, zárt iratszekrényben (a szigorúan bizalmas adathordozókat páncélszekrényben (kazettában). A munkavégzés során esetlegesen, csak átmeneti céllal készített bizalmas vagy szigorúan bizalmas információkat tartalmazó adathordozókat, feljegyzéseket is jelen Szabályzat V. fejezetének 1. pontja szerint jelölni kell. 8. Kriptográfiai eszközök alkalmazásához kapcsolódó intézkedések A kriptográfiai eszközök használatát azok alkalmazásba vételét megelőzően szabályozni kell. A szabályozásnak meg kell határoznia az eszközök alkalmazási körét, az alkalmazott szabványos vagy egyedi technológia tulajdonságait, képességeit, a használatával elérhető titkosság dokumentált mértékét, a digitális aláírások kiadását és használatát, a letagadhatatlansági szolgáltatások használatát, a titkos és nyilvános kulcsok kezelésének tárolásának, generálásának, kiosztásának, illetve visszavonásának szabályait, a kulcsok védelmére tett óvintézkedéseket.
29
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
VI. FEJEZET AZ ADATVÉDELMI FELELŐS FELADATAI, JOGAI, KÖTELEZETTSÉGEI ÉS FELELŐSSÉGE 1. Az adatvédelmi felelős Avtv-ben meghatározott feladatai Közreműködik, illetőleg segítséget nyújt a hatáskörébe tartozó adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában. Előkészíti a döntéseket a hatáskörét meghaladó, adatkezeléssel összefüggő kérdésekben. Kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy adatfeldolgozót. Gondoskodik a bekövetkezett szervezeti és technikai változásoknak megfelelően az Adatvédelmi és Adatbiztonsági Szabályzat naprakészen tartásáról, évente, illetve szükség esetén eseti jelleggel előkészíti a Szabályzat aktualizálását. Ellenőrzi az adatvédelmi és adatbiztonsági előírások betartását a tervezett új informatikai rendszerek kialakítása, és a meglévő rendszerek korszerűsítése során. Véleményezi az adatkezelést érintő társasági szabályozásokat, utasításokat és egyéb belső irányító eszközöket. Ellenőrzi a Társaságnál az Avtv. és az adatkezelésre vonatkozó más jogszabályok, valamint a Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását. Évente jelentést készít az adatvédelmi biztos felé az elutasított kérelmekről és azok indokairól. Vezeti a Társaság adatvédelmi nyilvántartását. Gondoskodik az adatvédelmi ismeretek oktatásának a Társaság oktatási rendszerébe illesztéséről, az Oktatási irodával együttműködve. 2. Az adatvédelmi felelős további, társasági szempontból lényeges feladatai A belső ellenőrzési és biztonsági főosztályvezető által jóváhagyott éves adatvédelmi ellenőrzési tervet készít, illetve jelentést annak végrehajtásáról és eredményéről. Az adatvédelmi előírások betartását folyamatosan ellenőrzi az adatkezelésben érintett szervezeti egységeknél, illetve az informatikai rendszerek működése során. Az ellenőrzés eredményeiről, illetve a Társaság adatvédelmi helyzetéről, a szükségesnek ítélt intézkedésekről a vezérigazgató részére évente jelentést készít. Intézkedési kötelezettsége van minden olyan esetben, amikor felmerül az adatvédelmi előírások megszegése, illetve a rendszerbe épített védelmi eljárások működési hibája. Működési hiba esetén intézkedik a rendszer felülvizsgálata érdekében, emberi mulasztás esetén kezdeményezi a tényleges helyzet feltárását és értékelését. Figyelemmel kíséri a Társaságnál használt, személyes adatokat tároló, kezelő, feldolgozó informatikai rendszerekben történő jogosultság-változásokat, adatvé30
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
delmi-adatbiztonsági probléma felmerülése esetén tájékoztatja a belső ellenőrzési és biztonsági főosztályvezetőt. A Társaság munkavállalói vonatkozásában tervezi, szervezi, szakmailag irányítja, koordinálja és ellenőrzi az adatvédelmi és adatbiztonsági tevékenységet. Elkészíti és aktualizálja a Társaság egészére vonatkozó adatvédelmi és adatbiztonsági rendszabályokat. Részt vesz az adatvédelmet és adatbiztonságot akár közvetett módon érintő tender eljárások előkészítésében, képviselteti magát az előző feladatkört érintő közbeszerzési bíráló bizottságokban, szakvéleményezi az értékhatár alatti (adatvédelemmel összefüggő) biztonsági célú berendezések beszerzését. A szakigazgatóság vezetőjének megkeresésére az adatvédelmet és adatbiztonságot érintő szakmai kérdésekben javaslatot tesz, illetve segítséget nyújt. A szakigazgatóság vezetőjének kérésére véleményezi az adatvédelmi biztosnak címzett, megküldés előtt álló hivatalos megkereséseket és egyéb dokumentumokat.
3. Az adatvédelmi felelős jogai Az ellenőrzött területre, illetve bármely helyiségbe, létesítménybe, ahol adatkezelés folyik, beléphet.7 Az ellenőrzés során betekintése van minden munkafolyamatba, dokumentumba, mely az adatvédelemmel és adatbiztonsággal kapcsolatban áll. Igényelhet minden adatvédelemhez és adatbiztonsághoz kapcsolódó információt. Jogosult teljes mélységben betekinteni a személyes adatkezelések anyagaiba, teljes körű tájékoztatást kapni a vizsgált adatkezelésekről, minden olyan adatkezelést megismerni, amely személyes vagy közérdekű adatokkal összefügghet. A megtekintett dokumentumokról, bizonylatokról másolatot, kivonatot, tanúsítványt készíthet vagy kérhet. Súlyos szabálytalanság, visszaélés felmerülése esetén a bizonyítás szempontjából fontos irat meghamisításának vélelme esetén az eredeti bizonylatot is lefoglalhatja, és magával viheti.8 Az ellenőrzéssel kapcsolatban bármely munkavállalótól szóbeli felvilágosítást vagy írásbeli nyilatkozatot kérhet. A felvilágosítást mindenki köteles megadni, függetlenül a beosztásától vagy attól, hogy az ellenőrzés mely szervnél folyik. Ehhez a munkavállalónak felettesétől nem kell előzetesen engedélyt kérni. A felvilágosítás megtagadására utasítást beosztottak részére vezetők nem adhatnak. Írásbeli nyilatkozatok, papíralapú vagy elektronikus levél formájában történt megkeresésekre az adatvédelmi felelős válaszadási határidőt jelölhet ki. Az ellenőrzéssel kapcsolatban a bizonylatok valódiságának ellenőrzése vagy az adatok kiegészítése céljából az adatvédelmi felelős külső szerveket is megkereshet.9 Az adatvédelmi felelős teljes betekintési (olvasási) joggal rendelkezik a Társaságnál használt SAP rendszer HR moduljába. Az adatvédelmi felelős az adatvédelmi ellenőrzések kapcsán felmerülő, a Társaságnál használt informatikai rendszerekhez szükséges (ideiglenes) jogosultság7 8 9
Az erre vonatkozó külön szabályok figyelembevételével. Másolat visszahagyása mellett. Külön vezérigazgatói engedéllyel.
31
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
igények soron kívüli, legrövidebb időn belüli beállítását kérheti az Informatikai irodától. Tájékoztatást kérhet bármely, a Társaságnál használt informatikai rendszerekben történő jogosultság-módosításokkal kapcsolatosan. Ezzel összefüggésben a Társaságnál a jogosultság-módosítások koordinálásáért felelős Informatikai iroda írásban, havi rendszerességgel megküldi az adatvédelmi felelős részére: a Társaság informatikai rendszereiben rendszergazdai jogosultságokkal rendelkezők aktuális névsorát, ugyanezen rendszerekben történt felhasználó létrehozást/törlést, valamint a Társaságnál használt SAP rendszer HR moduljában történt bármely jogosultság-változtatást. Szükség esetén (ha adatvédelmi szempontok megkívánják) az adatvédelmi felelős kifejtheti szakmai álláspontját a jogosultság-módosításokkal kapcsolatosan, melyet az Informatikai irodának a technikai lehetőségek határáig figyelembe kell vennie. 4. Az adatvédelmi felelős kötelességei Az adatvédelmi felelős köteles: a Szabályzat aktualizálását az előírtaknak megfelelően kezdeményezni, az adatvédelmi biztosnak küldendő éves jelentés határidőre történő megküldéséről intézkedni, a Társaság adatvédelmi nyilvántartását az előírtaknak megfelelően aktualizálni, a Társaság munkavállalói vonatkozásában az adatvédelmi és adatbiztonsági tevékenység tervezése, szervezése, szakmai irányítása, koordinálása és ellenőrzése során az elvárható legnagyobb gondossággal eljárni, az adatvédelmi ellenőrzésekre megfelelően felkészülni, azok lebonyolítását megszervezni, a vizsgált szervezeti egység vezetőjénél bejelenteni a helyszíni ellenőrzés megkezdését, a feltárt súlyos hiányosságokért felelős személy(eke)t megnevezni, a felelősként megjelölt személlyel a megállapításait írásban ismertetni, és tőle írásbeli magyarázatot kérni, a felelősként megjelölt személy írásbeli magyarázatában foglaltak elfogadásáról vagy elutasításáról írásban nyilatkozni, az adatvédelmi ellenőrzésről jelentést készíteni és a megállapítások tartalmát az ellenőrzött egység vezetőjével, valamint az érdekeltekkel ismertetni, az ellenőrzés lezárásakor az adatvédelmi ellenőrzési jelentés egy példányát az ellenőrzött szervezeti egység munkáltatói jogkört gyakorló vezetőjének átadni, az adatvédelmi ellenőrzés megállapításaira adott jelentéseket értékelni, az adatvédelmi ellenőrzéssel kapcsolatos kötelességekre az ellenőrzött munkavállalók figyelmét felhívni és jogaikról tájékoztatni, az államtitkot, szolgálati- és üzleti titkot megőrizni,
32
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
továbbá az ellenőrzések során, illetve az ahhoz nem kapcsolódó, de tudomására jutott bizalmas információkat (pl. személyes adatok) megőrizni. 5. Az adatvédelmi felelős felelőssége Az adatvédelmi felelős munkavégzése során felelős: a bejelentések kapcsán beérkező információk bizalmas kezeléséért, az adatvédelmi ellenőrzésről készített jelentés előírt határidőre történő elkészítéséért, a Társaság munkavállalói vonatkozásában az adatvédelmi és adatbiztonsági tevékenység tervezéséért, szervezéséért, szakmai irányításáért, koordinálásáért és ellenőrzéséért, az adatvédelmi ellenőrzések során tett megállapítások helyességéért és előírásszerű bizonyításáért.
33
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
VII. FEJEZET AZ ADATVÉDELMI ELLENŐRZÉSBEN ÉRINTETTEK JOGAI, KÖTELEZETTSÉGEI ÉS FELELŐSSÉGE Az adatvédelmi ellenőrzés alapvetően az Éves adatvédelmi ellenőrzési terven alapul, melyet az adatvédelmi felelős javaslata alapján a Belső ellenőrzési és biztonsági főosztály vezetője hagy jóvá. Ezen kívül alapulhat vezérigazgatói, belső ellenőrzési és biztonsági főosztályvezetői, valamint az adatvédelmi felelős által kezdeményezett — eseti, bejelentéseken alapuló — elrendelésen is. 1. Az adatvédelmi ellenőrzésben érintett szervezet vezetőinek és munkavállalóinak kötelessége Az adatvédelmi ellenőrzésben érintett vezetők és munkavállalók kötelesek: biztosítani az ellenőrzés zökkenőmentes, zavartalan lebonyolításához szükséges feltételeket, lehetővé tenni a különféle dokumentumokba való betekintést, a helyiségekbe való bejutást, az adatvédelmi felelős által feltett kérdésekre a valós tényeknek megfelelően szóban vagy írásban nyilatkozni, az adatvédelmi felelős megkeresésében kijelölt válaszadási határidőn belül válaszát a felelőshöz eljuttatni, elősegíteni a tapasztalható hibák, mulasztások teljes körű feltárását, illetve keletkezésük valódi okainak megismerését, az adatvédelmi felelős írásos felhívására az általa megjelölt határidőn belül (legkevesebb 3 munkanap) írásbeli magyarázatot adni a megállapított hibákat előidéző okokról és a vizsgálat ideje alatt ezek megszüntetésére tett intézkedésekről, az ellenőrzés során feltárt, az ellenőrzésben érintett szervezet hatáskörébe tartozó szabálytalanságok, hibák, mulasztások haladéktalan megszüntetéséről gondoskodni, az ellenőrzésről szóló jelentés átvételét követően szabálytalanságokat, hibákat, mulasztásokat elkövető munkavállalókat felelősségre vonni, figyelemmel a jogszabályokban (Ptk., Mt.) meghatározott jogvesztő határidőkre, a hiányosságok, szabálytalanságok ismétlődése esetén az ellenőrzött egység(ek) vezetőjének felelősségre vonását kezdeményezni. 2. Az adatvédelmi ellenőrzésben érintett szervezet vezetőinek és munkavállalóinak jogai Az adatvédelmi ellenőrzésben érintett vezetők és munkavállalók jogosultak arra, hogy: meggyőződhessenek az ellenőrzés jogszerűségéről, megismerjék az ellenőrzésről szóló jelentés megállapításait,
34
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
észrevételt tegyenek az átadott jelentésben foglalt megállapításokra, és észrevételeikre választ kapjanak, az ellenőrzés során az általuk lényegesnek ítélt szempontokra az adatvédelmi felelős figyelmét felhívják, személyiségi jogaikat sértő kérdésekben a válaszadást megtagadják. 3. Az adatvédelmi ellenőrzést elrendelő vezető kötelessége Az adatvédelmi ellenőrzést elrendelő vezető a megállapított tények minősítése alapján köteles: bűncselekmény gyanúja esetén további bizonyítékokat beszerezni, konzultálni az illetékes (nem érintett) vezetőkkel, illetve szakértőkkel és jogászokkal, bűncselekmény alapos gyanúja esetén — konzultálást követően — büntető feljelentést tenni, illetőleg azt kezdeményezni, munkafegyelmi vétség esetén fegyelmi felelősségre vonást elrendelni10 vagy kezdeményezni a mulasztást, illetve kárt okozóval szemben a munkáltatói jogkör gyakorlójánál, hiányosság előfordulása esetén felszólítani a hibázó(ka)t, hogy tegyen(ek) javaslatot az előfordulás megakadályozására, az ügyet lezárni, amennyiben az ellenőrzés semmilyen lényeges észrevételt nem tett, a végzett munkát jónak minősíteni, ha a vizsgálat eredménye ezt mutatja. Az ellenőrzést elrendelő vezető kezdeményezése alapján a munkáltatói jogkör gyakorlója köteles a fegyelmi eljárást lefolytatni, és annak eredményéről az ellenőrzést végző szervezetet a kezdeményezés kézhezvételétől számított legkésőbb 60 napon belül írásban tájékoztatni. A fegyelmi eljárás lefolytatásán kívül meg kell tenni a szükséges intézkedéseket az ismétlődés lehetőségének megakadályozására. Ha a munkáltatói jogkör gyakorlója az előzőekben leírtak szerinti kötelességének nem tesz eleget, az ellenőrzést végző szerv vezetője köteles erről a jogkör gyakorlójának felettesét értesíteni.
10
Amennyiben az ellenőrzést elrendelő vezető a vezérigazgató.
35
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
VIII. FEJEZET AZ ADATVÉDELMI NYILVÁNTARTÁS 1. Bejelentkezés a nyilvántartásba Az adatkezelésekkel kapcsolatosan az Avtv. értelmében a Társaság képviseletében az adatvédelmi felelős köteles az adatkezelés megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni
az adatkezelés célját; az adatok fajtáját és kezelésük jogalapját; az érintettek körét; az adatok forrását; a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; az egyes adatfajták törlési határidejét; az adatkezelő, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét; a belső adatvédelmi felelős nevét és elérhetőségi adatait. A fent felsorolt adatok megváltozását az adatvédelmi felelős 8 napon belül köteles bejelenteni az adatvédelmi biztosnak, és intézkedni a nyilvántartás megfelelő módosításáról. A Társaságnak, mint adatkezelőnek az első nyilvántartásba vételkor kapott nyilvántartási számot az adatok minden továbbításnál, nyilvánosságra hozásánál és az érintettnek való kiadásakor fel kell tüntetnie. A Társaság adatvédelmi nyilvántartási számát — annak rendelkezésre állását követően — az adatvédelmi felelős ismerteti a szakigazgatóságok vezetőivel. A nyilvántartási szám megismerését követően a szervezeti egységek adatkezelési gyakorlatuk során az érintettel is ismertetik a nyilvántartási számot. Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely az adatkezelővel munkaviszonyban, tagsági, tanulói viszonyban, ügyfélkapcsolatban álló személyek adatait tartalmazza (azaz a Társaság munkavállalóiról vezetett személyügyi nyilvántartásokat); a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adatait tartalmazza; a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve, hogy — külön törvényben meghatározottak szerint — az adatok személlyel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra; az adatkezelőtől levéltári kezelésbe került át.
36
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
2. Új adatállomány feldolgozása A Társaság működése során keletkezhetnek olyan tetszőleges szempont szerint rendszerezett, eddig nem létező, személyes adat(ok)ból álló adatállományok, adatbázisok, melyeket a Társaságnak kezelnie (feldolgoznia, továbbítania, stb.) szükséges. Új adatállomány feldolgozását vagy új adatfeldolgozási technológia alkalmazását megelőzően az adatvédelmi biztos előzetes ellenőrzést végezhet munkaügyi és bűnügyi adatállományok kezelését végző adatkezelőknél. Az adatvédelmi felelősnek a Társaság új adatállomány feldolgozására vagy az új adatfeldolgozási technológia alkalmazására irányuló szándékát a tevékenység megkezdése előtt 30 nappal be kell jelenteni az adatvédelmi biztosnak. (Az adatvédelmi biztos az előzetes ellenőrzésre vonatkozó igényét a bejelentéstől számított 8 napon belül jelzi az adatkezelőnek, és az ellenőrzést 30 napon belül elvégzi.) Ennek biztosítékaként a szakterület a tevékenység megkezdése előtt 45 nappal köteles az adatvédelmi felelőst írásban értesíteni, és a felelős álláspontja szerint cselekedni. A Társaság az adatfeldolgozást csak az adatvédelmi biztos előzetes ellenőrzésének befejezése után kezdheti meg. Az ellenőrzés alapján az adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel a Társaságot. (Ha az adatvédelmi biztos az adatkezelést elrendelő jogszabályt kifogásolja, ajánlást tehet a jogszabály módosítására.)
37
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
BKV Rt.
IX. FEJEZET RENDELKEZŐ RÉSZ
1.
A szakigazgatóságokon folyó adatkezelések részletes szabályainak kidolgozása, a vonatkozó jogszabályok és jelen Szabályzat előírásai alapján. Felelős: szakigazgatóság vezetője Határidő: 2006. december 1.
2.
A hatályos társasági szabályozások adatvédelmet érintő rendelkezéseinek felülvizsgálata, szükség esetén azok módosítása az Avtv-nek és jelen Szabályzatnak megfelelően. A felülvizsgálatokról, illetve módosításokról a Belső ellenőrzési és biztonsági főosztályvezető írásbeli tájékoztatása. Felelős: szakigazgatóság vezetője Határidő: 2006. december 1.
3.
A jelen Szabályzat évente történő felülvizsgálata, a felülvizsgálat eredményétől függően a Szabályzat módosításának kezdeményezése. Felelős: Belső ellenőrzési és biztonsági főosztályvezető Határidő: 2006. december 1., majd ezt követően minden év január 31.
4.
A Társaságnál működő és ezután létrehozásra kerülő nyilvántartásokkal, adatbázisokkal, adatkezelésekkel kapcsolatban informatikai ágon felelős az adatvédelem és adatbiztonság szabályainak érvényesüléséért. Felelős: Közlekedési vezérigazgató-helyettes Határidő: folyamatos
5.
Az informatikai irodavezető évenkénti beszámoltatása, a szakigazgatóságok ITbiztonsági helyzetének elemzése a Vezérigazgató felé, erről a Belső ellenőrzési és biztonsági főosztályvezető írásbeli tájékoztatása. Felelős: Közlekedési vezérigazgató-helyettes Határidő: 2006. október 1., majd ezt követően minden év január 31.
6.
Az IT-Szolgáltatóval kötött outsourcing szerződés módosítása, az adatvédelmi felelős álláspontja alapján kialakított társasági adatvédelmi szempontok szerződésbe való beépítése. Felelős: Közlekedési vezérigazgató-helyettes Határidő: 2006. október 1.
7.
A Társaságnál használt informatikai rendszerekben újonnan létrehozott, törölt (zárolt) vagy módosított rendszergazdai jogosultságokról, az újonnan létrehozott, törölt (zárolt) felhasználókról, illetve a Társaság SAP rendszerének HR (személyügyi) moduljában történt valamennyi jogosultság-változtatást összesítve, havonta az adatvédelmi felelős részére írásban meg kell küldeni. Felelősök: Közlekedési vezérigazgató-helyettes Személyügyi igazgató Határidő: minden tárgyhót követő hó 5. napja
38
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006.
8.
Együttműködés az adatvédelmi felelőssel, munkájának jogi támogatása, segítségnyújtás jogi kérdésekben. Felelős: Kabinet igazgató Határidő: folyamatos
9.
Az adatvédelemmel összefüggő oktatások megszervezése, lebonyolítása, az adatvédelmi felelőssel együttműködve. Felelős: Személyügyi igazgató Határidő: folyamatos
10. Az V. fejezetben felsorolt adatvédelmi és adatbiztonsági intézkedések végrehajtásának ellenőrzése és koordinálása. Felelős: Belső ellenőrzési és biztonsági főosztályvezető Határidő: folyamatos 11. Informatikai és egyéb eszközök, dokumentációk, működési feltételek biztosítása az adatvédelmi felelős részére. Felelős: Közlekedési vezérigazgató-helyettes Gazdasági vezérigazgató-helyettes Műszaki igazgató Határidő: a Szabályzat hatályba lépése 12. A Társaságnál használt SAP rendszer HR moduljába teljes körű, olvasási jogosultság beállítása az adatvédelmi felelős részére. Felelős: Közlekedési vezérigazgató-helyettes Személyügyi igazgató Határidő: a Szabályzat hatályba lépése 13. Adatvédelmi ellenőrzések, vizsgálatok kapcsán felmerülő, a Társaságnál használt informatikai rendszerekhez szükséges (ideiglenes) jogosultság-igények soron kívüli, legrövidebb időn belüli beállítása az adatvédelmi felelős részére. Felelős: Közlekedési vezérigazgató-helyettes Határidő: igény felmerülése esetén azonnal A társasági Adatvédelmi és Adatbiztonsági Szabályzat visszamenőlegesen, 2006. január 1-jétől lép hatályba. A Szabályzattal kapcsolatban felvilágosítást ad Lazurán József belső ellenőrzési és biztonsági főosztályvezető (tel. 11115), illetve Tóvári László adatvédelmi felelős (tel. 11119). Budapest, 2006. január 10.
Aba Botond sk. vezérigazgató
39
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 1. Melléklet
BKV Rt.
Budapesti Közlekedési Részvénytársaság Szakigazgatóság 1980 Budapest, Akácfa u. 15. • Tel.: 461-6500 • Fax: 461-6500
Iktatószám: Ügyintéző: Telefon: Kelt: Melléklet:
TITOKTARTÁSI NYILATKOZAT
Alulírott: ......................................................................................................... születési hely, idő: ...................................................................................... anyja neve: .................................................................................................... tudomásul veszem, hogy a Budapesti Közlekedési Részvénytársaság munkájával kapcsolatban, a munkavégzésem során szóban, írásban, bármely informatikai rendszerből tudomásomra jutott információ, adat üzleti titkot11 képez. A tudomásomra jutott, illetőleg a birtokomba került üzleti titkok jogosulatlan felhasználása, illetéktelen személy részére történő hozzáférhetővé tétele a Btk. 300. §-ába ütköző üzleti titok megsértése bűntettét valósítja meg, és 3 évig terjedő szabadságvesztéssel büntethető.
Kelt: …………………………, ………………
11
..................................................
............................................................
nyilatkozattevő
munkáltatói jogkört gyakorló
Üzleti titok: a BKV Rt. tevékenységéhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amely-
nek titokban maradásához a Társaság méltányolható érdeke fűződik, és amelynek titokban tartása érdekében a Társaság a szükséges intézkedéseket megtette.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 2. Melléklet
BKV Rt.
TÖRZSKÖNYV SZEMÉLYES ADAT KEZELÉSÉRŐL
1. Az adatkezelés megnevezése: …………………………………………………………………………………… célja, rendeltetése: ……………………………………………………………………………… jogszabályi alapja: ………………………………………………………………………………
2. Az adatok kezelője szakigazgatóság, szervezeti egység neve: ……………………………………………………… vezetőjének neve, beosztása: …………………………………………………………………… az adatfeldolgozást végző felelős személy neve, beosztása: …………………………………………………………………………………… elérhetősége (telephely, iroda, telefonszám): ……………………………………………………
3. Az érintettek köre és száma: ………………………………………………………………………………………
4. A nyilvántartott adatok köre: …………………………………………………………………………………………………
5. Az adatok forrása maga az érintett
más adatkezelés
6. Az adatfeldolgozás módszere manuális
számítógépes
vegyes
7. Az adatokon végzett gyakori adatkezelési műveletek tárolás
módosítás
aktualizálás
válogatás
rendszerezés
egyéb: …………………………………………………………………………………………………
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 2. Melléklet
8. Adattovábbítás mely szerv részére: …………………………………………………………………………… milyen rendszerességgel: ………………………………………………………………………
9. Adatbiztonsági intézkedések ………………………………………………………………………………………………… …………………………………………………………………………………………………
10. Az adatok megőrzésének ideje: ……………… törlésének ideje: …………………
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 3. Melléklet
BKV Rt.
JEGYZŐKÖNYV ADATKEZELÉSEK ÖSSZEKAPCSOLÁSÁRÓL
1. Az összekapcsolt adatkezelések megnevezése: …………………….…………………………………………………………… célja, rendeltetése: ……………………………………………………………………………… időpontja és tartama: ………………… ……………………………………… jogszabályi alapja: ………………………………………………………………………………
2. Az összekapcsolást végző szakigazgatóság, szervezeti egység neve: ……………………………………………………… vezetőjének neve, beosztása: …………………………………………………………………… az összekapcsolást végző felelős személy neve, beosztása: …………………………………………………………………………………… elérhetősége (telephely, iroda, telefonszám): ……………………………………………………..
3. Az összekapcsolással érintettek köre és száma: ………………………………………………………………………………………..
4. A összekapcsolt adatok köre: ……………………………………………………………………………………………………
5. Az összekapcsolás módszere manuális
számítógépes
vegyes
6. Adatbiztonsági intézkedések ………………………………………………………………………………………………… ..………………………………………………………………………………………………
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 4. Melléklet
BKV Rt.
JEGYZŐKÖNYV MEGKERESÉS ALAPJÁN TELJESÍTETT ADATSZOLGÁLTATÁSRÓL
1. A megkeresést végző szerv vagy személy megnevezése: ……………………………………………………………………………………… postacíme: ……………………………………………………………………………………………. telefonszáma: ……………………..………………………………………………………………….
2. Az adatkérés célja: …………………………………………………………………………………………………... rendeltetése: …………………………………………………………………………………………. jogszabályi alapja: …………………………………………………………………………………… illetve az érintett hozzájáruló nyilatkozata időpontja: …………………
3. Az adatszolgáltatás alapjául szolgáló adatkezelés megnevezése: ………………………………………………………………………...
4. Az adatszolgáltatást teljesítő szakigazgatóság, szervezeti egység neve: ……………………………………………………….. vezetőjének neve, beosztása: ………………………………………………………………………
5. Az érintettek köre: ……………………………………………………………………………………………………
6. A továbbított adatok köre: ……………………………………………………………………………………………………
7. Az adattovábbítás módja: …………………………………………………………………………………………………
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 5. Melléklet
BKV Rt.
JEGYZŐKÖNYV KÜLFÖLDRE IRÁNYULÓ ADATSZOLGÁLTATÁSRÓL
1. Az adattovábbítás címzettje megnevezése: ……………………………………………………………………………………… postacíme: ……………………………………………………………………………………………. telefonszáma: …………………
2. Az adattovábbítás célja: …………………………………………………………………………………………………... rendeltetése: …………………………………………………………………………………………. jogszabályi alapja: …………………………………………………………………………………… illetve az érintett hozzájáruló nyilatkozata időpontja: …………………
3. Az adatszolgáltatást teljesítő szakigazgatóság, szervezeti egység neve: ……………………………………………………….. vezetőjének neve, beosztása: ………………………………………………………………………
4. Az érintettek köre: ……………………………………………………………………………………………………
5. A továbbított adatok köre: ……………………………………………………………………………………………………
6. Az adattovábbítás módja: …………………………………………………………………………………………………
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 1. Függelék
1. FÜGGELÉK KAPCSOLÓDÓ JOGSZABÁLYOK GYŰJTEMÉNYE
1.
Személyes adatok kezelésével és védelmével kapcsolatos jogszabályok
1992. évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (Avtv.) 1992. évi LXVI. tv. a polgárok személyi adatainak és lakcímének nyilvántartásáról 1996. évi XX. tv. a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról 1995. évi CXIX. tv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről 1997. évi XLVII. tv. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 2003. évi C. tv. az elektronikus hírközlésről, VIII. fejezet 1994. évi XXXIV. tv. a Rendőrségről, VII–VIII. fejezet 1995. évi CXXV. tv. a nemzetbiztonsági szolgálatokról, 38–72. §, 3. sz. melléklet 1995. évi LXVI. tv. a közokiratokról, a közlevéltárakról és a magánlevéltári anyag védelméről (Lvtv.) 1998. évi VI. tv. az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről 1978. évi IV. tv. a Büntető Törvénykönyvről, 177–178. §
2.
Titokvédelemmel kapcsolatos jogszabályok
1995. évi LXV. tv. az államtitokról és a szolgálati titokról (Ttv.) 79/1995. (VI.30.) Korm.rend. a minősített adatok kezelésének rendjéről 43/1994. (III.29.) Korm.rend. a rejtjeltevékenységről 1978. évi IV. tv. a Büntető Törvénykönyvről (221–223., 274–278., 299–300., 303–306., 312–313. §)
3.
A pénzintézetek adatkezelésére, biztonságára vonatkozó jogszabályok, dokumentumok
A banktitok és az üzleti titok meghatározása a hitelintézetekről és pénzintézeti vállalkozásokról szóló 1996. évi CXII. tv-ben Az értékpapírtitok és az üzleti titok meghatározása a tőkepiacról szóló 2001. évi CXX. tv-ben (368–375. §) A biztosítási titok meghatározása a biztosítókról és a biztosítási tevékenységről szóló 2003. évi LX. tv-ben (VII. Rész: Az ügyfélforgalommal kapcsolatos szabályok) A vámtitok meghatározása a közösségi vámjog végrehajtásáról szóló 2003. évi CXXVI. tv-ben (A vámkódex 15-16. Cikkéhez) 2003. évi XV. tv. a pénzmosás megelőzéséről és megakadályozásáról 3/1994. (PK13) BAF rendelkezés az egyes bankbiztonsági követelmények meghatározásáról
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 1. Függelék
283/2001. (XII.26.) Korm.rend. a befektetési és az árutőzsdei tevékenység, az értékpapír letéti őrzés, az értékpapír letétkezelés, valamint és elszámolóházi tevékenység végzéséhez szükséges személyi, tárgyi, technikai és biztonsági feltételekről 98/1995. (VII.24.) Korm.rend. az egyes értékpapírok előállításának, kezelésének és fizikai megsemmisítésének biztonsági szabályairól. A Pénzügyi Szervezetek Állami Felügyelete elnökének 10/2001. számú ajánlása a pénzügyi szervezetek működésének biztonsági feltételeiről. 232/2001. (XII.10.) Korm.rend. a pénzforgalomról, a pénzforgalmi szolgáltatásokról és az elektronikus fizetési eszközökről 4. Általános hazai biztonsági jogszabályok 1996. évi XXXI. tv. a tűz elleni védekezésről, a műszaki mentésről és a tűzoltóságról 2001. évi XXXV. tv. az elektronikus aláírásról 2001. évi CVIII. tv. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 9/2005. (VII.21.) IHM rend. az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról 45/2005. (III.11.) Korm.rend. a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 3/2005. (III.18.) IHM rend. az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről 20/2001. (XI.15.) MeHVM rend. a Hírközlési Főfelügyeletnek az elektronikus aláírással összefüggő minősítéssel és nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról 1188/2002. (XI.7.) Korm. Hat. az Elektronikus Kormányzati Gerinchálózatról és az Informatikai Közhálóról 2146/2000. (VI.30.) Korm. Hat. az elektronikus közbeszerzés rendszerének koncepciójáról és a létrehozásával kapcsolatban szükséges intézkedésekről
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 2. Függelék
2. FÜGGELÉK FOGALMAK
adat az adat tények, elképzelések, utasítások, emberi vagy technikai eszközökkel történő formalizált ábrázolása ismertetés, megőrzés, illetve feldolgozás céljára adatállomány az egy nyilvántartó rendszerben kezelt adatok összessége adatbiztonság az adatok jogosulatlan megszerzése, módosulása, tönkremenetele, nyilvánosságra hozatala, illetőleg sérülés vagy a megsemmisülés elleni műszaki és szervezési megoldások rendszere adatfeldolgozás az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából — beleértve a jogszabály rendelkezése alapján történő megbízást is — személyes adatok feldolgozását végzi adathordozó adat vagy dokumentáció és azok biztonsági másolatainak megőrzésére szolgáló a) papír, mikrofilm, mágneses vagy egyéb elvű hagyományos, illetve b) számítástechnikai eljárással adatokat tároló közeg ba) mágneses adathordozók (pl. mágnesszalag, mágneslemez, merevlemez) bb) optikai adathordozók (pl. CD-R/RW, DVD+/-R/RW/RAM) bc) memóriák (pl. flashdrive) adatkezelés az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hangvagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is adatkezelő az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 2. Függelék
adatkezelő szervezeti egység a Társaság azon szervezeti egysége, amely adatkezelést végez adatmegsemmisítés az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése adattovábbítás ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik adattörlés az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége adatzárolás az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen, vagy meghatározott időre történő lehetetlenné tétele azonosító adatok az érintett azonosítására szolgáló (személyes) adat a) természetes azonosító adat: érintett neve, anyja neve, születési helyes és ideje, lakóhelyének ill. tartózkodási helyének címe b) mesterséges azonosító adat: matematikai vagy más algoritmus szerint generált adatok (pl. törzsszám, társadalombiztosítási azonosító jel (TAJ), adóazonosító jel, személyi igazolvány száma, útlevél száma) biztonság az információ- és informatikai rendszerekben olyan előírások és szabványok betartását jelenti, amelyek a rendszer működőképességét, az információk rendelkezésre állását, sértetlenségét, bizalmasságát és hitelességét erősítik bűnügyi személyes adat a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat elektronikai és fotótechnikai eszköz képi és egyéb adatok, információk rögzítésére és tárolására alkalmas eszköz (pl. analóg és digitális fényképezőgépek, kamerás mobiltelefonok) hardver az informatikai rendszer eszközeit, fizikai elemeit alkotó részei
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 2. Függelék
harmadik ország minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek harmadik személy olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval hálózat számítógépek vagy általánosabban: informatikai rendszerek összekapcsolása, amely az összekapcsolt rendszerek legkülönbözőbb komponensei között adatcserét tesz lehetővé hozzájárulás az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok — teljes körű vagy egyes műveletekre kiterjedő — kezeléséhez informatika az adatok, információk elérhetőségének, rendszerezésének tudománya, amely elméletet, szemléletet és módszertant ad az információrendszerek tervezéséhez, fejlesztéséhez, szervezéséhez és működtetéséhez informatikai eszköz gyűjtőnév a szoftver, hardver és adathordozó együttes meghatározására informatikai rendszer a hardverek, szoftverek és adatok olyan kombinációjából álló rendszer, amit az adat-, és információfeldolgozás különböző feladatainak megoldására alkalmaznak irat minden olyan szöveg, számadatsor, térkép, tervrajz és vázlat, amely valamely szerv működésével, illetőleg személy tevékenységével kapcsolatban bármilyen anyagon, alakban, bármely eszköz felhasználásával és bármely eljárással keletkezett iratkezelés az irat készítését, nyilvántartását, továbbítását, rendszerezését és selejtezhetőség szempontjából történő válogatását, segédletekkel való ellátását, szakszerű és biztonságos megőrzését, használatra bocsátását, selejtezését, illetve levéltárba adását együttesen magába foglaló tevékenység jogosultság számítógépes környezetben a hozzáférési lehetőség megadása valamely tevékenység végrehajtásához közérdekű adat az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy for-
BKV Rt.
Adatvédelmi és Adatbiztonsági Szabályzat 2006. – 2. Függelék
mában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől közérdekből nyilvános adat a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli különleges adat a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat nyilvánosságra hozatal ha az adatot bárki számára hozzáférhetővé teszik program eljárási leírás, amely valamely informatikai rendszer által közvetlenül vagy átalakítást követően végrehajtható rendkívüli adatvédelmi esemény adatvédelmi szempontból olyan esemény, amely a Társaság információrendszerében, annak biztonságát szavatoló védelmi rendszerében súlyos károkat okoz vagy okozhat, ennek során a feladatok ellátását, a biztonságos működést veszélyezteti rendszer az egymással valamilyen meghatározható kapcsolatban álló elemek összessége személyes adat bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés; a személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt — közvetlenül vagy közvetve — név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet személyi számítógép az IT-Szolgáltató vagy a Társaság tulajdonában álló, önálló vagy hálózati üzemmódú, általában IBM PC kompatibilis asztali számítógép vagy hordozható eszköz (pl. laptop, pocket PC) szoftver valamely informatikai rendszer olyan logikai része, amely a működtetés vezérléséhez szükséges tiltakozás az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri