ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG. Utasítások. 17. szám 130. évfolyam október 2. TARTALOM

17. szám

130. évfolyam

2015. október 2.

ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG TARTALOM Utasítások

oldal

39/2015. ( X. 02. MÁV Ért. 17. ) EVIG. sz. utasítás A MÁV Zrt. Adatvédelmi és Adatbiztonsági Szabályzatáról

Utasítások

oldal 40/2015. ( X. 02. MÁV Ért. 17. ) EVIG. sz. utasítás A pénzgazdálkodási és befektetési követelményrendszerrôl és a követendô pénzügyi diverzifikációs gyakorlatról

— —

39/ 2015. (X. 02. MÁV ÉRT. 17.) EVIG. SZ. UTASÍTÁS A MÁV ZRT. ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATÁRÓL 1.0 A SZABÁLYZAT CÉLJA Az adatvédelmi és adatbiztonsági szabályzat célja a MÁV Zrt. (a továbbiakban: Társaság) tevékenységével összefüggésben a személyes adatok védelméhez fûzôdô jog érvényesülésének biztosítása, a Társaság által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása, a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági elôírások meghatározása. A szabályozás az alábbi jogszabályokra, ajánlásokra és irányelvekre, belsô szabályozásokra alapozva, azokkal teljes összhangban került kialakításra: — Magyarország Alaptörvényének VI. cikke, — az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), — a Polgári Törvénykönyvrôl szóló 2013. évi V. törvény,

— — —

— — — — —

a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény, a személy és vagyonvédelmi, valamint magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII törvény (a továbbiakban: vagyonvédelmi tv.), a munka törvénykönyvérôl szóló 2012. évi I. törvény (a továbbiakban: Mt.), az egyének védelmérôl és az ilyen adatok szabad áramlásáról szóló Európai Parlament és a Tanács 1995. október 24-i 95/46/EK irányelve, az elektronikus hírközlési ágazatban a személyes adatok kezelésérôl, feldolgozásáról, és a magánélet védelmérôl szóló Európa Parlament és a Tanács 2002/58/EK irányelve, az elektronikus hírközlésrôl szóló 2003. évi C. törvény, a köztulajdonban álló gazdasági társaságok takarékosabb mûködésérôl szóló 2009. évi CXXII. törvény, a fogyasztóvédelemrôl szóló 1997. évi CLV. törvény, a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelmérôl szóló 1995. évi LXVI. törvény, a panaszokról és a közérdekû bejelentésekrôl szóló 2013. évi CLXV törvény (a továbbiakban: Pktv.),

1514

—

—

A MÁV Zrt. Értesítôje

a Nemzeti Adatvédelmi és Információszabadság Hatóság 2013. január 23-án kiadott ajánlása a munkahelyen alkalmazott elektronikus megfigyelôrendszer alapvetô követelményeirôl, a személyügyi adatok kezelésérôl a MÁV Zrt.ben 1/2007. (MÁV. Ért. 1.) Humánpolitika - Humánpolitikai vezérigazgató-helyettesi utasítás.

2.0 HATÁLY- ÉS FELELÔSSÉG MEGHATÁROZÁSA 2.1. Személyi hatály A szabályzat személyi hatálya kiterjed a Társaság szervezeti egységeire, munkavállalóira, valamint a Társasággal szerzôdéses jogviszonyban álló természetes és jogi személyre, jogi személyiséggel nem rendelkezô szervezetre, a velük kötött szerzôdésben, illetve titoktartási nyilatkozatokban rögzített mértékben. 2.1.1 Tárgyi hatály Tárgyi hatálya kiterjed a Társaság szervezeti egységeinél folytatott minden olyan adatkezelésre és adatfeldolgozásra, amely személyes adatra vonatkozik, függetlenül attól, hogy az adatkezelés, illetve adatfeldolgozás teljesen, vagy részben automatizált eszközzel, vagy manuális módon történik. Jelen utasítás hatálya nem terjed ki a közadatok megismerésének általános szabályaira. A közérdekbôl nyilvános adatokkal összefüggésben a Társaság Közzétételi szabályzatáról szóló utasításban foglalt elôírások, informatikai adatbiztonsággal összefüggô kérdésekben a Társaság Informatikai biztonsági szabályzatáról szóló utasítás (a továbbiakban: IBSZ) az irányadó. 2.2. A szabályzat módosítása A szabályzat elkészítése és szükség szerinti módosítása a Társaság belsô adatvédelmi felelôsének (a továbbiakban: adatvédelmi felelôs) a feladata. 3.0 FOGALMAK MEGHATÁROZÁSA A szabályzat alkalmazása során — összhangban az Infotv., valamint az Mt. elôírásaival — a következôkben meghatározott fogalmak irányadók: adat: valamilyen jelrendszerben ábrázolt jelek, vagy elemi jelek sorozata, amelyeknek jelentésük, értelmük van, valamire vonatkoznak, valamit leírunk velük. Az adatok teljes információtartalmát adat-környezetük határozza meg, így az adat jelentésétôl megfosztott információ. adatbázis: az adatok szervezett gyûjteménye, amelyet egy — az adatok tárolására, lekérdezésére és szerkesztésére alkalmas — szoftvereszköz kezel. Az adatbázis

17. szám

lényege, hogy az adatok mellett az adatok között lévô kapcsolatokat is tárolja. Az adatbázis fogalmát meg kell különböztetni az adatbázis-kezelôtôl, amely az adatbázis mûködtetésére, rendszerszintû és felhasználói folyamatok szervezésére szolgáló szoftver eszköz (program). adatbiztonság: az informatikai (adattároló és feldolgozó) rendszer azon állapota, amelyben az adatok elvesztésének illetve megsemmisülésének kockázata a megfelelô intézkedésekkel elviselhetô mértékûre csökkenthetô. Ez az állapot olyan nemzetközi szabványokon alapuló elôírások és megelôzô biztonsági intézkedések betartásának eredménye, amelyek az információk elérhetôségét, sérthetetlenségét és megbízhatóságát érintik. adatfeldolgozás: az adatkezelési mûveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a mûveletek végrehajtásához alkalmazott módszertôl és eszköztôl, valamint az alkalmazás helyétôl, feltéve hogy a feladatot az adaton végzik; adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezô szervezet, aki vagy amely szerzôdés alapján — beleértve a jogszabály rendelkezése alapján kötött szerzôdést is — adatok feldolgozását végzi. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely mûvelet vagy a mûveletek összessége, így különösen gyûjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzôk (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. adatkezelô: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezô szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. adattovábbítás: az adat meghatározott harmadik személy számára történô hozzáférhetôvé tétele. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges; adatvédelem: a személyes adat jogszerû kezelését, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. adatvédelmi felelôs: a Biztonsági fôigazgatóság Információvédelem szervezetének jogi, közigazgatási, informatikai vagy ezeknek megfelelô, felsôfokú végzettséggel rendelkezô vezetôje. adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra

17. szám


hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés. adatvédelmi kapcsolattartó: az adatkezelô által megbízott, az adatvédelmi ismeretek terén kellô tájékozottsággal rendelkezô munkavállaló, aki részt vesz az adatkezelést érintô feladatok végrehajtásában és kapcsolatot tart az adatvédelmi felelôssel, illetve az adatvédelmi szakértôkkel. adatvédelmi szakértô: a Biztonsági fôigazgatóság Információvédelem szervezetének informatikai biztonsági, illetve adatvédelmi ismeretekkel rendelkezô szakértôje. adatszivárgás megelôzô rendszer: (Data Loss Prevention, röviden DLP): olyan informatikai védelmi rendszer, amely a technikai lehetôségek és beállítások határán belül észleli, jelzi, illetve megakadályozza a védendô információ jogosulatlan használatát, továbbítását a végpontok, a hálózat és az adattárolók tekintetében egyaránt. adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott idôre történô korlátozása céljából. bûnügyi személyes adat: a büntetôeljárás során vagy azt megelôzôen, a bûncselekménnyel vagy a büntetôeljárással összefüggésben, a büntetôeljárás lefolytatására, illetve a bûncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett elôéletre vonatkozó személyes adat. cookie: (süti): rövid adatfájl, melyek a meglátogatott honlap helyez el a felhasználó számítógépén, abból a célból, hogy az adott infokommunikációs, internetes szolgáltatást megkönnyítse, kényelmesebbé tegye. Számos fajtája létezik, de általában két nagy csoportba sorolható. Az egyik az ideiglenes cookie, amelyet a honlap csak egy adott munkamenet során (pl.: egy internetes bankolás biztonsági azonosítása alatt) helyez el a felhasználó eszközén, a másik fajtája az állandó cookie (pl. egy honlap nyelvi beállítása), amely addig a számítógépen marad, amíg a felhasználó le nem törli azt. Tekintve, hogy a cookie segítségével nyomon követhetôk a felhasználó böngészési szokásai, ezért azt kizárólag a felhasználó engedélyével lehet a felhasználó eszközén elhelyezni. drón (távolról irányított légi jármû): egy távolról irányított repülô eszközbôl, valamint arra felszerelhetô, konfigurálható eszközökbôl (pl. kamera, mikrofon), a szükséges irányító, vezérlô egységekbôl és egyéb, a repüléshez szükséges eszközökbôl áll. elektronikus biztonságtechnikai rendszer: egy vagy több képérzékelôbôl, rögzítôbôl, illetve megjelenítôbôl álló, meghatározott terület figyelésére, illetve az ott észleltek rögzítésére alkalmas eszköz, amely további rendszerekhez is kapcsolódhat, illetve bôvíthetô egyéb elemekkel (mozgásérzékelô, fényvetô stb.). A rögzített adatok vezetékes, vagy vezeték nélküli kapcsolaton keresztül továbbíthatók, illetve külsô adathordozóra is

1515

kimenthetôk. Asztali, illetve hordozható számítógéprôl (pl. okostelefon, tablet), a megfelelô védelmi intézkedések betartása mellett, az erre feljogosított felhasználók számára biztosíthatja, hogy a rendszerbe számítógépes hálózat, illetve az internet segítségével akár a távolról is be lehessen lépni, meg lehessen tekinteni az aktuális élôképeket, vezérelni lehessen a mozgatható kamerákat, programozni azok képérzékelô képességét, illetve az adatbázisból elô lehessen hívni az ott tárolt felvételeket. érintett: bármely meghatározott személyes adat alapján azonosított vagy egyébként — közvetlenül vagy közvetve — azonosítható természetes személy. A személy különösen akkor tekinthetô azonosíthatónak, ha ôt — közvetlenül vagy közvetve — név, azonosító jel, illetôleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemzô tényezô alapján azonosítani lehet. forgalomtechnikai kommunikációs eszközök: diszpécsertelefon, mozdonyrádió, egyéb üzemviteli kommunikációs eszköz. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezô szervezet, aki vagy amely nem azonos az érintettel, az adatkezelôvel vagy az adatfeldolgozóval. hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelô tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat — teljes körû vagy egyes mûveletekre kiterjedô — kezeléséhez. Különleges adat esetében szükséges az írásos forma. IHIR: Integrált Humán Irányítási Rendszer. informatikai eszköz (IBSZ szerint): bármely feladat ellátására létrehozott, informatikai technológia felhasználásával mûködtetett (pl. vezérelt) telepített, vagy mobil eszközök, továbbá rendszerek, eljárások összessége vagy ezek alkotó elemei (pl. számítógép, hordozható informatikai eszköz és adattároló, nyomtató, operációs rendszer, felhasználói programok [irodai alkalmazások, adatbáziskezelô, vezérlô programok, beágyazott informatikai rendszerek és egyéb egyedi fejlesztésû célprogramok stb.], továbbá az informatikai alapokra épülô távközlési rendszerek [pl. IP telefon rendszer és végberendezései, hálózati aktív és passzív eszközök], valamint a hálózatmenedzsment elemei). informatikai eszközök ellenôrzésének indokolt esetei: — a munkavállaló mobiltelefon használatánál a számára engedélyezett költségkeretet indokolatlanul túllépi, — a munkavállaló munkaköre gyakorlása során tudomására jutott védendô információt arra illetéktelen személlyel, vagy szervezettel megosztja, — a munkavállaló munkáltatója felé fennálló együttmûködési kötelezettségét megszegve jár el,

1516

—


amennyiben az érintett munkavállaló nyilatkozatának beszerzése lehetetlen és azt a közeli hozzátartozója írásban, indokai megjelölésével kéri, továbbá alappal feltehetô, hogy az adatok kiadása az érintett munkavállaló létfontosságú érdekei védelméhez szükséges, valamint az adatok kiadását az adatvédelmi felelôs, szükség szerint a Jogi Igazgatóság véleményének kikérését követôen, indokoltnak, az információs önrendelkezési jog korlátozásával arányosnak tartja, — minden olyan körülmény, amely alapján alappal feltételezhetô, hogy a munkavállaló az általában elvárható etikai normák súlyos megszegésével járt el, és azt az adatvédelmi felelôs is indokoltnak, az információs önrendelkezési jog korlátozásával arányosnak tartja. kötelezô adatkezelés: a kezelendô adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetôségét, az adatkezelés idôtartamát, valamint az adatkezelô személyét az adatkezelést elrendelô törvény vagy önkormányzati rendelet határozza meg. közérdekbôl nyilvános személyes adat: a közérdekû adat fogalma alá nem tartozó minden olyan személyes adat, amelynek nyilvánosságra hozatalát, megismerhetôségét vagy hozzáférhetôvé tételét törvény közérdekbôl elrendeli. közterület: a közhasználatra szolgáló olyan állami vagy önkormányzati tulajdonban álló terület, amelyet rendeltetésének megfelelôen mindenki korlátozás nélkül igénybe vehet, ideértve a közterületnek közútként szolgáló részét is. különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyôzôdésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat; az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat; valamint a bûnügyi személyes adat. magánterület közönség számára nyilvános része: olyan magánterület, amely mindenki számára korlátozás nélkül igénybe vehetô, ideértve a közterület azon részét is, amelynek birtokába a személy- és vagyonvédelmi tevékenység folytatására megbízó valamely polgári-jogi jogügylet, különösen bérleti vagy haszonbérleti jogviszony keretében jut, feltéve, ha a területrész igénybevétele, használata a személy- és vagyonvédelmi tevékenységet folytató által ôrzött magánterület nyilvános részén folyó tevékenységhez szervesen kapcsolódik, annak folyamatosságát, segítését szolgálja, vagy a megbízó (megrendelô), avagy a magánterület nyilvános részét igénybe vevô közönség ingóságainak elhelyezésére szolgál. megfelelô tájékoztatás: az érintettel az adatkezelés megkezdése elôtt közölni kell, hogy az adatkezelés a hozzájárulásán alapul-e vagy kötelezô, továbbá egyértelmûen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényrôl, így különösen

17. szám

az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyérôl, az adatkezelés idôtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetôségeire is. Mobil Device Management (MDM): az okos telefonokra, tablet számítógépekre telepített felügyeleti rendszer, amely biztosítja az eszközök távoli felügyeletét, a tárolt adatok, programok és szolgáltatások védelmét. Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH): az Infotv. által létrehozott autonóm államigazgatási szerv, amely elôsegíti és ellenôrzi a személyes adatok védelméhez fûzôdô jog érvényesülését. nyilvánosságra hozatal: az adat bárki számára hozzáférhetôvé tétele. QR-kód: egy kétdimenziós pontkód, melyet az okostelefonok egy alkalmazás segítségével képesek értelmezni; alkalmas információ közlésre, vagy internetes hivatkozás átadására. személyes adat: az érintettel kapcsolatba hozható adat — különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemzô ismeret —, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megôrzi e minôségét, amíg kapcsolata az érintettel helyreállítható, tehát az adatkezelô rendelkezik azokkal a feltételekkel, amelyek a helyreállításhoz szükségesek. távolról végzett munka/távmunka: a Társaság informatikai rendszerének biztonsági zónáján kívül esô (nem védett) környezetbôl végzett tevékenység, amely során a Társaság a felhasználó számára olyan informatikai erôforrások elérését biztosítja (jellemzôen VPNen keresztül), amellyel a munkahelyén egyébként rendelkezhet. Ide nem értendôk azoknak a technológiáknak, illetve mobil informatikai megoldásoknak alkalmi felhasználása, amellyel eseti információcserét lehet megvalósítani (pl. OWA, Push email, OAW). E szabályzat alkalmazása során a távolról végzett munka tartalmában nem azonos a Munka Törvénykönyvében szabályozott távmunka fogalommal. területi adatvédelmi szakértô: a Biztonsági fôigazgatóság Területi vasútbiztonság szervezet, vagy jelentôs számú személyes adat kezelését végzô szervezet munkáltatói jogkörgyakorló által — az adatvédelmi felelôs elôzetes egyetértésével — írásban megbízott munkavállalója, aki informatikai biztonsági, valamint adatvédelmi ismeretek terén kellô tájékozottsággal rendelkezik. A területi adatvédelmi szakértô munkahelyi vezetôje irányításával, az adatvédelmi felelôs szakmai felügyelete mellett segíti elô az adatvédelmi elôírások érvényesülését. tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri.

17. szám


törzsszám: a Társaság munkavállalóját az adatkezelés során egyértelmûen azonosító, az IHIR rendszerben képzett, belsô azonosítási célokat szolgáló számjegysor. üzleti tulajdonos: az a vezetô, aki egy adott informatikai rendszert érintôen jogosult a fejlesztésekkel, beszerzésekkel, az adatkezelést támogató informatikai rendszer használatával és karbantartásával kapcsolatos döntéseket meghozni (részletes definíciója az IBSZben található). VPN: (Virtual Private Network — virtuális magánhálózat): olyan informatikai hálózat, amely nyilvános kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól logikailag elkülönülô, mások számára nem hozzáférhetô egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, titkosítást is alkalmaz, miáltal lehetôséget biztosít a Társaság számára, hogy a belsô hálózat meghatározott elemeit kívülrôl elérhetôvé tegye az erre feljogosított (pl. zárt felhasználói csoport, illetve távmunkát végzô) felhasználók számára. védendô információ: a minôsített adat, az üzleti titok, a know-how (védett ismeret), a személyes adat (zártan kezelendô), a nem nyilvánossá, vagy belsô használatúvá nyilvánított adat, a döntés-elôkészítô dokumentum, továbbá a munkakör betöltésével összefüggésben a munkavállaló tudomására jutott egyéb olyan információ, amelynek illetéktelen személy számára történô hozzáférhetôvé tétele törvényi elôírást sért, a munkáltató, vagy más személy számára hátrányos következményeket hordozhat, továbbá a Társaság által kezelt azon adatok, amelyek bizalmasságához, sértetlenségéhez, rendelkezésre állásához a Társaságnak érdeke fûzôdik, kivéve, ha a nyilvánosságra hozatalt jogszabály, illetve belsô utasítás írja elô, továbbá azt az arra jogosult korábban már nyilvánosságra hozta. zártan kezelendô: a személyes adatot tartalmazó dokumentumok általános védelmi elôírása. Amennyiben az adathordozóról nem állapítható meg egyértelmûen adattartalmának védendô jellege, vagy az adatkezelô külön ki kívánja emelni a kezelés zártságának követelményét, abban az esetben ezt kezelési utasításként kell a dokumentumon feltüntetni. 4.0 A SZABÁLYZAT LEÍRÁSA 4.1 A személyes adatok védelme 4.1.1 Az adatkezelés elvei A Társaságnál személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhetô. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

1517

A Társaság kizárólag olyan személyes adatot kezelhet — a cél megvalósulásához szükséges mértékben és ideig —, amely elengedhetetlen az adatkezelés céljának megvalósulásához és a cél elérésére alkalmas. A személyes adat az adatkezelés során mindaddig megôrzi e minôségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha a Társaság rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. Az adatkezelés során a Társaságnak biztosítania kell az adatok pontosságát, teljességét és — ha az adatkezelés céljára tekintettel szükséges — naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani. 4.1.2 Az adatkezelés jogalapja 4.1.2.1 Személyes adatot a Társaság — az érintett hozzájárulásán túlmenôen — akkor kezelhet, ha a) azt törvény vagy — törvény felhatalmazása alapján, az abban meghatározott körben — helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelezô adatkezelés), b) az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése ba) a Társaságra vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy bb) a Társaság vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fûzôdô jog korlátozásával arányban áll. Ha az érintett cselekvôképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegetô közvetlen veszély elhárításához vagy megelôzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatait a Társaság kezelheti. A 16. életévét be nem töltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselôjének beleegyezése vagy utólagos jóváhagyása szükséges. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, a Társaság a felvett adatokat törvény eltérô rendelkezésének hiányában a 4.1.2.1 pont b) alpontjában meghatározott esetekben további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követôen is kezelheti.

1518


4.1.2.2 Különleges adatot a Társaság az érintett írásbeli hozzájárulása, törvény elrendelése alapján, illetve a 4.1.2.1 pont b) alpontjában meghatározott esetekben kezelhet. 4.1.2.3 Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. 4.1.2.4 Amennyiben az érintett a Társasággal írásban kötött szerzôdés teljesítése érdekében adja hozzájárulását az adatkezeléshez, a szerzôdésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendô adatok meghatározását, az adatkezelés idôtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételét. A szerzôdésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul az adatai szerzôdésben meghatározottak szerinti kezeléséhez. 4.2 Az adatbiztonság követelménye 4.2.1 A Társaság köteles az adatkezelési mûveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek magánszférájának védelmét. A Társaság, illetôleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Infotv., az IBSZ, az Iratkezelési szabályzat, valamint az egyéb adat- és titokvédelmi szabályok és az egyes rendszerek adatkezelési szabályzataiban megfogalmazottak érvényre juttatásához szükségesek. 4.2.2 Az adatokat a Társaságnak megfelelô intézkedésekkel védenie kell, különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A személyes adatok automatizált feldolgozása során biztosítania kell a jogosulatlan adatbevitel megakadályozását, annak ellenôrizhetôségét, hogy a személyes adatokat mely szerveknek továbbították, a személyes adatokat mikor és ki vitte be az adatfeldolgozó rendszerbe, a telepített rendszerek üzemzavara esetén az adatok helyreállíthatóságát, valamint azt, hogy a fellépô hibákról jelentés készüljön. 4.2.3 A személyes adatok feldolgozása során az adatok technikai védelmének biztosítása érdekében a Társaságnak, az általa megbízott adatfeldolgozónak, illetôleg a távközlési vagy informatikai eszköz üzemeltetôjének meg kell tennie az IBSZ elôírásai szerinti védelmi intézkedéseket. 4.2.4 Az elektronikusan kezelt adatállományok védelme érdekében a Társaság megfelelô technikai megoldással köteles biztosítani, hogy a különbözô nyilvántartásokban tárolt adatok — kivéve, ha azt törvény lehetôvé teszi — közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetôk. A Társaság munkavállalóinak

17. szám

adatai, függetlenül attól, hogy egy közös, vagy osztott adatbázisban szerepelnek, a munkavállaló szempontjából egy nyilvántartásnak tekintendôk. 4.2.5 A Társaságnak és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintû védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelônek. 4.3 Adatfeldolgozás A Társaság a munkaviszonyból származó kötelezettségek teljesítése céljából, az adatszolgáltatás céljának megjelölésével, a munkavállalók személyes adatait adatfeldolgozó számára átadhatja, amelyrôl a munkavállalókat elôzetesen tájékoztatni kell. 4.3.1 A Társaság határozza meg az általa megbízott adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelésre vonatkozó jogszabályi elôírások keretei között. Az adatkezelési mûveletekre vonatkozó szabályzatok jogszerûségéért és jelen szabályzat elôírásainak történô megfelelôségéért a Társaság, illetve az adatkezelô szervezet vezetôje a felelôs. 4.3.2 Az adatfeldolgozó az adatkezelést érintô érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, és ezek felhasználásával saját céljára adatfeldolgozást nem végezhet, továbbá köteles a személyes adatokat a Társaság rendelkezései szerint tárolni és megôrizni. 4.3.3 A Társaságnak az adatfeldolgozásra vonatkozó szerzôdéseit írásba kell foglalnia. A szerzôdésnek tartalmaznia kell minden olyan információt, amely a személyes adatok kezelése szempontjából releváns, így különösen a kezelendô adatok meghatározását, az adatkezelés idôtartamát, az adatfeldolgozás célját, a kezelendô adatok biztonságával kapcsolatos elvárásokat, az adatok kezelésének ellenôrzési lehetôségét. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben akár közvetett, akár közvetlen módon érdekelt. A szerzôdés kidolgozása során biztosítani kell az adatvédelmi felelôs véleményezési jogát. 4.3.4 Az adatfeldolgozó tevékenységének ellátása során további adatfeldolgozót a Társaság rendelkezései alapján vehet igénybe. Amennyiben az adatfeldolgozó további adatfeldolgozót kíván megbízni egyes adatfeldolgozási mûveletek elvégzésével, ehhez a Társaság elôzetes írásbeli hozzájárulására van szükség. Az adatkezelésben érintettek vonatkozásában olyan szerzôdéses kötelezettségeket kell meghatározni, amely az adatkezelés teljes folyamatában biztosítja a megfelelô védelmi szintet. A szerzôdés kidolgozása során biztosítani kell az adatvédelmi felelôs véleményezési jogát.

17. szám


4.4 Az érintettek jogai és érvényesítésük A Társaság biztosítani köteles, hogy a munkavállaló a róla kezelt adatokat megismerhesse, a kezelt adatokat tartalmazó iratokról másolatot vagy kivonatot kaphasson. 4.4.1 Az érintett az adatkezelést végzô szervezeti egység vezetôjénél kérheti a személyes adatai — kezelésérôl történô tájékoztatását; — helyesbítését, illetve kijavítását; — törlését, amelyek kezelésére a Társaság nem rendelkezik törvényi felhatalmazással, vagy amely adat kezelése az érintett hozzájárulásának hiányában a továbbiakban nem kezelhetô; Az érintett e kérdésével az adatvédelmi felelôshez is fordulhat. 4.4.2 A Társaságnak az érintett kérelmére legfeljebb 30 napon belül írásban, közérthetô formában tájékoztatást kell adnia a) az általa kezelt, illetôleg az általa megbízott adatfeldolgozó által feldolgozott adatairól b) az adatkezelés — adatainak forrásáról — céljáról — jogalapjáról — idôtartamáról c) az adatfeldolgozó — nevérôl — címérôl (székhelyérôl) d) az adatkezeléssel összefüggô tevékenységérôl e) adattovábbítás esetén annak jogalapjáról és címzettjérôl. 4.4.3 A Társaság köteles a személyes adatot törölni, amennyiben a) annak kezelése jogellenes, b) az érintett kéri — a 4.1.2.1 b) pontban foglalt esetek kivételével, c) az hiányos vagy téves és ez az állapot jogszerûen nem orvosolható — feltéve, hogy a törlést törvény nem zárja ki, d) az adatkezelés célja megszûnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt, e) azt bíróság vagy a NAIH elrendelte. 4.4.4 A Társaság 4.4.3. d) pont szerinti törlési kötelezettsége nem vonatkozik azon személyes adatra, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári ôrizetbe kell adni. 4.4.5 A Társaság a hibás személyes adatot, amennyiben a valóságnak megfelelô személyes adat a rendelkezésére áll, saját kezdeményezésre, illetve az érintett

1519

kérésére, az általa bemutatott dokumentumok alapján helyesbíti, illetve az adatfeldolgozónál helyesbítteti. 4.4.6 Törlés helyett a Társaság zárolja a személyes adatot, ha ezt az érintett kéri, vagy ha a rendelkezésre álló információk alapján feltételezhetô, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag azon adatkezelési cél fennállásáig kezelhetô, amely kizárta a személyes adat törlését. 4.4.7 A Társasság megjelöli az általa kezelt személyes adatot, ha az érintett annak helyességét vagy pontosságát vitatja, de a rendelkezésre álló dokumentumok alapján nem állapítható meg egyértelmûen annak helytelensége vagy pontatlansága. 4.4.8 Az adatok törlésrôl, a helyesbítésrôl, a zárolásról, a megjelölésrôl az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban azt adatkezelés céljára továbbították. Az értesítés abban az esetben mellôzhetô, ha az — tekintettel az adatkezelés céljára — nem sérti az érintett jogos érdekét. 4.4.9. A kérelem elutasítása esetén az adatkezelô a kérelem kézhezvételét követô 30 napon belül írásban közli az elutasítás indokait, továbbá tájékoztatja az érintettet a bírósági jogorvoslat, valamint a Hatósághoz fordulás lehetôségérôl. 4.5 Az adatkezelésben közremûködôk és feladataik 4.5.1 Biztonsági fôigazgató A Társaság adatvédelmi felelôse útján irányítja és ellenôrzi az adatvédelemmel kapcsolatos feladatok végrehajtását. Ennek során jóváhagyja az éves adatvédelmi ellenôrzési tervet, illetve elfogadja az errôl készített jelentést. Indokolt esetben tájékoztatja az elnök-vezérigazgatót, illetve az intézkedések végrehajtását kezdeményezi az illetékes fôtevékenységi kör vezetônél. 4.5.2 Adatvédelmi felelôs 4.5.2.1 Az adatvédelmi felelôs feladatai a) éves adatvédelmi ellenôrzési tervet készít, gondoskodik az ellenôrzés lefolytatásáról, amelynek megállapításairól vizsgálati jelentést állít össze; b) ellenôrzi az Infotv. és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen szabályzat rendelkezéseinek betartását; adatvédelmi incidens esetén feltárja annak körülményeit, hatását, javaslatot tesz az adatkezelô számára az intézkedésekre, amelyrôl nyilvántartást vezet; c) elkészíti és rendszeresen aktualizálja a jelen szabályzatot; d) az adatvédelmi szakértôk és a területi adatvédelmi szakértôk közremûködésével ellátja a Társaság szervezeti egységei adatvédelmi tevékenységének szakirányítását és szakfelügyeletét;

1520


e) közremûködik, illetve segítséget nyújt az adatkezeléssel összefüggô döntések meghozatalában, valamint az érintettek jogainak biztosításában; f) kivizsgálja a személyes adatkezeléssel összefüggésben hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelôt vagy az adatfeldolgozót; g) vezeti a belsô adatvédelmi nyilvántartást, amelynek alapján kezdeményezi a NAIH felé az adatkezelések jogszabály által elôírt bejelentését; h) részt vesz a NAIH által rendezett adatvédelmi felelôsök konferenciáján; i) gondoskodik az adatvédelmi ismeretek eljuttatásáról az érintett személyek, szervezetek számára; j) támogatja az adatkezelôt vagy adatfeldolgozót a jogszabályi elôírások teljesítésében, a NAIH Társaságot érintô intézkedése esetén; k) koordinál az egyes szervezeti egységek között az egységes szemlélet megvalósítása érdekében; l) a más vállalkozó vasúti társaságokkal kötött szerzôdések keretein belül adatvédelmi kérdésekben koordináló, tanácsadó, ellenôrzô tevékenységet végez; m) véleményezi a részére megküldött, adatvédelmi kérdéseket érintô belsô szabályozási dokumentumok tervezetét; n) az adatvédelmi kérdésekkel összefüggésben az [email protected] e-mail címen fogadja Társaság munkavállalóinak, illetve szerzôdéses partnereinek megkeresését, konzultációs kérdéseit és azzal érdemben foglakozik; o) az adatvédelmi kérdésekkel összefüggésben tájékoztatja a Társaság vezetését; p) a tárgyévet követô év január 31-ig gondoskodik a NAIH számára az elutasított tájékozódási kérelmekrôl szóló tájékoztatás elkészítésétôl és megküldésérôl. 4.5.3 Adatvédelmi szakértô a) javaslatot tesz az éves adatvédelmi ellenôrzési terv elkészítésére, részt vesz az ellenôrzés lefolytatásában, valamint a vizsgálati jelentést összeállításában; b) elvégzi az adatvédelmi nyilvántartásba bejelentésre kötelezett nyilvántartások bejelentését a NAIH számára; c) elvégzi az adatvédelmi nyilvántartás elektronikus rendszerén keresztül az adatok aktualizálását; d) részt vesz a Társaság adatvédelmi és adatbiztonsági szabályzatának elkészítésében és aktualizálásában; e) ellenôrzi a számítógépeken, elektronikus adathordozókon a személyes adatok, illetve ezek felhasználásával készült dokumentumok kezelését, a dokumentumok megfelelô tárolását; f) közremûködik az adatvédelmi felelôs feladatainak ellátásában; g) részt vesz az adatvédelem terén bekövetkezett incidensek kivizsgálásában; h) szakmai segítséget nyújt az adatkezelôk részére; i) részt vesz az adatvédelmi oktatások tematikájának elkészítésében, a segédletek összeállításában.

17. szám

4.5.4 Területi adatvédelmi szakértô a) segítséget nyújt az adatkezelôk részére; b) részt vesz a területén, vagy a kijelölô szervezetén belül bekövetkezett, az adatvédelemmel összefüggô incidensek kivizsgálásában, belsô adatvédelmi ellenôrzési eljárás lefolytatásában; c) ellenôrzi a számítógépeken, elektronikus adathordozókon a személyes adatok, illetve ezek felhasználásával készült dokumentumok kezelésének körülményeit, a dokumentumok megfelelô tárolását; d) támogatást ad az adatvédelmi képzések, tájékoztató elôadások elôkészítéséhez, illetve megtartásához. 4.5.5 Adatkezelést végzô szervezeti egység vezetôje a) gondoskodik az adatvédelmi szabályok végrehajtásának feltételrendszerérôl, b) intézkedik az irányítása alá tartozó szervezet által kezelt rendszerben található személyes adatok védelmérôl, c) intézkedik a nem szabályszerû adatkezelési gyakorlat megszüntetésérôl, az eset kivizsgálása érdekében értesíti az adatvédelmi felelôst és informatikai rendszer érintettsége esetén a rendszer tulajdonosát, d) új adatkezelés létrehozása esetén irányítja a 4.6.1 pontban felsorolt feladatok végrehajtását, e) szervezeti egységénél irányítja és ellenôrzi a személyes adatok kezelésével, azok készítésével, továbbításával összefüggô adatvédelmi tevékenységet, f) kijelöli és megbízza a területi adatvédelmi szakértôt, g) intézkedik az adatkezelô felé az érintett által hozzá benyújtott, tiltakoztatási illetve tájékozódási jog teljesülése érdekében. 4.5.6 Adatkezelô Az adatkezelô feladata az adatkezelési mûveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek személyes adatai, személyiségi jogai védelmét. Gondoskodik az adatok kezelésének biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, és kialakítja azokat az eljárási szabályokat, amelyek az Infotv., az IBSZ, az Iratkezelési szabályzat, valamint az egyéb adat- és titokvédelmi szabályok és az egyes rendszerek adatkezelési szabályzataiban megfogalmazottak érvényre juttatásához szükségesek. Biztosítja az érintett tiltakozási, illetve tájékozódási jogát. Teljesíti az érintett tájékozódáshoz való jogának érvényesülését. Ezek elutasítására az adatvédelmi felelôs egyetértése esetén kerülhet sor. 4.5.7 Adatvédelmi kapcsolattartó Az adatkezelést végzô szervezeti egység vezetôje által ezzel a feladattal megbízott munkavállaló, aki részt vesz az adatkezelést érintô védelmi, ellenôrzési, bejelentési feladatok végrehajtásában és közvetlenül kapcsolatot tart az adatvédelmi felelôssel, valamint az adatvédelmi szakértôkkel.

17. szám


4.5.8 Munkáltatói jogkörgyakorló Intézkedik, hogy az általa irányított szervezeti egység munkavállalója a munkakör-, szervezetváltáskor vagy munkaviszony megszûnésekor/megszüntetésekor a munkakör átadás-átvétele során a számítógépén, a hálózati meghajtókon, pendrive-on, valamint az elektronikus postafiókjában tárolt, munkakörével összefüggésben keletkezett adatai átadása során az átadó személyes adatai dokumentált módon törlésre kerüljenek. Az átadott adathordozókon kizárólag az átadást követôen is szükséges, a Társaság tulajdonát képezô anyagok maradhatnak. Jogosult a beosztott munkavállalói munkavállalással összefüggô személyes adatait kezelni. 4.5.9 Közvetlen munkahelyi vezetô Ellátja a személyes adatok kezelése során azokat a védelmi feladatokat, amelyek nem tartoznak a munkáltatói jogkörgyakorló kizárólagos jogkörébe, vagy amelyeket a munkáltatói jogkörgyakorló számára delegál. 4.5.10 Személyes adatokat kezelô munkavállaló A Társaság azon munkavállalója, aki személyes adatok kezelésével kapcsolatos tevékenységet végez, köteles gondoskodni arról, hogy a) az adatkezelés teljes folyamatában maradéktalanul érvényesüljenek az adatvédelmi elôírások b) indokolt esetben a személyes adatot tartalmazó adathordozókon és dokumentumokon a „Zártan kezelendô” kezelési jelölés feltüntetésre kerüljön c) az informatikai eszközök adathordozóján tárolt személyes adatok törlése esetén azok a késôbbiekben ne legyenek visszaállíthatók d) a személyes adat indokolt esetben törlésre, illetve zárolásra kerüljön. 4.5.11 Üzleti tulajdonos az általa tulajdonolt rendszer vonatkozásában a) gondoskodik az adatvédelmi szabályok érvényre juttatásáról, a rendszerben található személyes adatok védelmérôl, b) nem szabályszerû adatkezelési gyakorlat esetén intézkedik annak megszüntetésérôl, c) irányítja és ellenôrzi a személyes adatok kezelésével, azok készítésével, továbbításával összefüggô adatvédelmi tevékenységet. 4.5.12 Jogi igazgatóság Jogi szakvéleményével támogatja az adatkezelôt vagy adatfeldolgozót a jogszabályi elôírások teljesítésében, valamint a NAIH Társaságot érintô intézkedése esetén. 4.6 Adatkezelések 4.6.1 Személyes adatokat tartalmazó adatbázis kialakítása Az adatvédelmi és adatbiztonsági intézkedések betartásának, valamint jelen szabályzat rendelkezései

1521

érvényesülése érdekében egy személyes adatokat tartalmazó, személyes hozzájáruláson alapuló adatbázis kialakítása során a leendô adatkezelést végzô szervezet vezetôjének irányításával a következô lépéseket kell végrehajtani: a) adatkezelés koncepciójának megfogalmazása, adatkezelés megnevezése b) adatkezelô szervezet kijelölése c) kapcsolattartó munkavállaló kijelölése d) adatvédelmi felelôs elôzetes tájékoztatása, igény esetén bevonása e) az adatkezelés céljának meghatározása f) adatkezelés jogalapjának meghatározása, jogszabályhely kiválasztása g) a feldolgozandó adatkör meghatározása h) annak vizsgálata, hogy különleges személyes adatok feldolgozására kerül-e sor i) az adatkezeléssel érintettek csoportjának leírása, várható mennyiségének behatárolása j) adatok forrásának meghatározása k) adatok átvétele esetén a jogalap tisztázása, módja l) az adatkezelés technológiájának, illetve automatizáltságának kiválasztása, m) informatikai feldolgozó rendszer alkalmazása esetén az IBSZ, valamint a rendszerszintû informatikai biztonsági szabályzatok elôírásainak érvényesítése n) adatfeldolgozó bevonása esetén megállapodás készítése o) a tényleges adatkezelés helyének meghatározása p) adattovábbítás esetén a továbbítandó adatok körének meghatározása, jogalapjának kiválasztása, a címzett meghatározása q) az adattörlés, archiválás megtervezése r) hozzájáruló nyilatkozat kialakítása s) helyi adatkezelési szabályzat elkészítése t) amennyiben a szabályzatban érintett rendszer a munkavállalók technikai ellenôrzésére szolgál, az alkalmazott eljárás részleteit külön fejezetben kell megjeleníteni u) az adatkezelési tájékoztató és adatvédelmi nyilatkozat elkészítése v) szükség esetén a 4.7.2 pont szerinti adatvédelmi audit adatkezelô általi kérése w) amennyiben a munkavállalók nagyobb csoportját érinti a bevezetendô technikai ellenôrzés, úgy annak alkalmazásáról az üzemi tanács véleményét ki kell kérni x) az adatkezelés tervezett megkezdése elôtt legalább 15 nappal korábban bejelentés a belsô adatvédelmi nyilvántartásba (5. sz. melléklet), indokolt esetben az adatvédelmi felelôs saját hatáskörben is kezdeményezheti a 4.7.2 pont szerinti adatvédelmi auditot y) szükség esetén az adatkezelés bejelentése a NAIH adatvédelmi nyilvántartásába z) a nyilvántartásba vételt követôen az adatkezeléshez történô hozzájárulások beszerzése, majd az adatkezelés megkezdése.

1522


4.6.2 Belsô adatvédelmi nyilvántartás Az adatkezelést végzô szervezeti egység vezetôje nyilvántartásba vétel céljából, az 5. számú melléklet alapján köteles a Társaság adatvédelmi felelôsének bejelenteni az adatkezelésre vonatkozó adatokat, továbbá az adatkezelésre vonatkozóan helyi adatvédelmi és adatkezelési szabályozást ad ki, amely az adatkezelésre vonatkozó bejelentésben szereplô adatokon túlmenôen tartalmazza az adatokhoz hozzáféréssel rendelkezôk körét, valamint az adatok elektronikus feldolgozása esetén az adatok mentésének, azok tárolásának rendjét is. Az adatkezelésrôl szóló bejelentést, valamint a helyi adatvédelmi és adatkezelési szabályozást az adatkezelés megkezdését megelôzôen legalább 15 nappal meg kell küldeni az adatvédelmi felelôsnek a nyilvántartás napra készen történô tartása céljából. Meglévô adatkezelésbôl történô legyûjtés eredményeként létrejövô adatkezelés új adatkezelésnek számít, amennyiben az adatkezelés célja eltérôen kerül megfogalmazásra, vagy az adatkezelô személye megváltozik. Ilyen esetben erre vonatkozóan is bejelentési, illetve szabályzatkészítési kötelezettség lép életbe. Vitás esetben az adatvédelmi felelôs állásfoglalását kell kérni. Az adatvédelmi felelôs — a belsô adatvédelmi nyilvántartás adatai alapján — a személyes adatkezelés nyilvántartásba vételét kéri a NAIH-tól az adatkezelés megkezdése elôtt legalább 10 nappal. Az adatkezelés — a kötelezô adatkezelés kivételével, illetve amennyiben a NAIH a nyilvántartásba vétel iránti kérelmet a határidôn belül nem bírálja el — a nyilvántartásba vétel nélkül nem kezdhetô meg. A NAIH számára nem kell bejelenteni — többek között — azt az adatkezelést, amely a) az adatkezelôvel munkavégzésre irányuló jogviszonyban álló személyek adatait tartalmazza; b) a foglalkozás-egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés, vagy az egészség megôrzése, társadalombiztosítási igény érvényesítése céljából; c) az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik. Amennyiben az adatvédelmi felelôs számára megküldött adatvédelmi szabályzat a munkavállalók nagyobb csoportját érintô technikai ellenôrzés bevezetéséhez kapcsolódik, az adatkezelés megkezdése elôtt legalább huszonöt nappal — a Munkajog szervezet útján — az adatvédelmi felelôs kikéri a Központi Üzemi Tanács véleményét, egyben tájékoztatja a szakszervezeteket. A belsô adatvédelmi nyilvántartásba bejelentett adatok változását, vagy az adatkezelés megszûnését az adatkezelésért felelôs szervezeti egység vezetôje nyolc napon belül köteles bejelenteni a Társaság adatvédelmi felelôsének, aki ennek megfelelôen módosítja a belsô adat-

17. szám

védelmi nyilvántartás adatait, és ha szükséges, kezdeményezi a NAIH szerinti bejegyzés módosítását. 4.6.3 Adattovábbítási nyilvántartás A Társaság adattovábbítást végzô adatkezelôinek nyilvántartást kell vezetnie az általuk végrehajtott adattovábbítások jogszerûségének ellenôrzése, valamint az érintett tájékoztatása céljából, amelynek tartalmaznia kell a kezelt személyes adatok továbbításának idôpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint a 4.6.4 pontban meghatározott egyéb adatokat. A nyilvántartás papír alapon, és elektronikus úton is vezethetô. A felállított adattovábbítási nyilvántartásról, annak papír alapú, vagy elektronikus jellegérôl az adatvédelmi felelôst tájékoztatni kell. A tájékoztatás tartalmazza a létrehozás idejét, helyét, kezelôjét stb. Nem szükséges külön adattovábbítási nyilvántartás készítése amennyiben az adatok a rendszerbôl lekérdezés útján egyértelmûen kimutathatók. A nyilvántartásban az adatokat öt évig, különleges adatok esetében húsz évig meg kell ôrizni. 4.6.4 Tájékoztatás az adatkezelésrôl Az érintett erre irányuló kérelmére az adatkezelô köteles a kérelem benyújtásától számított legrövidebb idô alatt, legfeljebb azonban 30 napon belül, közérthetô formában, írásban megadni az érintett személyes adatainak kezelésérôl szóló tájékoztatást. Az érintett kérelmére az adatkezelônek tájékoztatást kell adnia az érintett a) adatkezelô által kezelt adatairól, b) adatkezelô által megbízott adatfeldolgozó által feldolgozott adatairól, c) az adatok forrásáról, d) az adatkezelés céljáról, jogalapjáról, idôtartamáról, e) az adatfeldolgozó nevérôl, címérôl, az adatkezeléssel összefüggô tevékenységérôl. Az érintett személyes adatainak továbbítása esetén az adatkezelônek tájékoztatást kell adni az adattovábbítás jogalapjáról és címzettjérôl. A tájékoztatás ingyenes, ha a tájékoztatást kérô a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelôhöz még nem nyújtott be, egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. 4.6.5 Kártérítés, sérelemdíj Amennyiben a Társaság az adatok jogellenes kezelésével, vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett a Társaságtól sérelemdíjat követelhet, illetve a számára okozott kár megfizetését igényelheti.

17. szám


4.6.6 A munkavállalók személyes adatainak kezelése 4.6.6.1 Adatkezelés a munkaviszony létesítése során A munkavállalótól a Társaság csak olyan nyilatkozat megtételét vagy adat közlését kérheti, amely annak személyhez fûzôdô jogát nem sérti, és a munkaviszony létesítése, fennállása vagy megszûnése szempontjából lényeges. Vele szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elô, vagy amely a munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A munkaviszony létesítésére szolgáló eljárás keretében, a munkavállaló közremûködése nélkül, kizárólag a nyilvánosság számára, az érintett által korlátozás nélkül (pl. internet, sajtó) hozzáférhetôvé tett információ használható fel, ideértve az érintett által kifejezetten a munkavállalásának elôsegítése érdekében közzétett (pl. Twitter.com szakmai célú szociális háló útján rögzített) adatot. Harmadik személytôl a munkáltató csak a munkavállaló elôzetes hozzájárulásával kérheti rá vonatkozó személyes adat szolgáltatását. Az érintett kifejezett hozzájárulása, illetve jogszabályi elôírás hiányában, a munkaviszony létesítésének meghiúsulása esetén, a felvételi eljárás során rögzített személyes adatokat nyolc munkanapon belül törölni kell. 4.6.6.2 A munkaviszonnyal összefüggô adatkezelés A munkáltató a munkaviszony fennállása során jogszerûen kezelheti a munkavállaló, munkaviszonnyal összefüggô személyes adatait, továbbá — a munkavállaló elôzetes tájékoztatása mellett — átadhatja azokat adatfeldolgozó számára. A munkaviszony keretében személyes adat akkor kezelhetô, ha az adatkezelés a munkaviszony fenntartásához, megszüntetéséhez, az azzal kapcsolatos jog gyakorlásához vagy kötelezettség teljesítéséhez szükséges. A munkaviszony létesítésére vonatkozó adatkezelési szabályok az irányadók abban az esetben, amennyiben a munkakör megváltozása vagy a fennálló munkaviszony egyéb elemeinek megváltozása miatt válik szükségessé a munkavállaló személyes adatainak pontosítása vagy kiegészítése. 4.6.6.3 A munkavállaló tartózkodási helyének rögzítése A munkavállaló tartózkodási helyének rögzítésére alkalmas technológiát (pl. GPS mûholdas, vagy a GSM cellainformációs helymeghatározás) a Társaság abban az esetben alkalmazhat, amennyiben az a munkavégzési célból a munkavállalók életének, testi épségének védelméhez vagy munkájuk irányításához, illetve a vagyonvédelem erôsítéséhez szükséges, feltéve, hogy a Társaság adatkezeléshez fûzôdô érdeke a munkavállaló személyes adata védelméhez való jog korlátozásával arányban áll. A munkavállalóról az általa vezetett gépjármû használata során történt GPS adatok felvétele a vele megkötött gépjármû használati megállapodásban rögzítettek sze-

1523

rint történhet. A Társaság a munkavállalóval megkötött gépjármû használati megállapodás részeként részletes tájékoztatást nyújt a munkavállaló számára a tartózkodási helyének rögzítésére alkalmas technológia alkalmazásáról és a rögzített adatok körérôl, amely alapján minden használat megkezdésekor megkövetelhetô az érintettet azonosító kód megadása az adat megfelelô kezelése érdekében. A gépjármû magáncélú igénybevételre is feljogosított munkavállaló a magáncélú használat során keletkezett ilyen jellegû személyes adatát megfelelô törvényi jogalap, illetve a jogkorlátozással arányos adatkezelési cél hiányában a Társaság nem kezelheti, ezért biztosítani kell — különösen a magáncélú használat idôtartama alatt —, a személyhez kötött helyadatgyûjtési információk nyilvántartásba vételének kikapcsolását. Biztosítani kell, hogy a gépjármû flottakezelôje által megbízott helyadatgyûjtési szolgáltatás üzemeltetését végzô gazdasági társaság ne juthasson munkavállaló azonosítását lehetôvé tevô adatokhoz. A rögzített adatok a meghatározott céltól eltérô módon nem használhatók fel, azokat az adatkezelés céljának megszûnésével, de legfeljebb egy év elteltével, illetve az érintett munkaviszonyának megszûnését/megszüntetését követôen törölni kell. A gépjármû használatával kapcsolatban felmerülô bármilyen jogvita esetén, annak jogerôs lezárásáig, az adatok tovább kezelhetôk. 4.6.6.4 Jelentési és tájékoztatási kötelezettség Az a munkavállaló, akinek tudomására jut, hogy a Társaság, vagy annak adatfeldolgozója által kezelt személyes adat jogosulatlan személy tudomására jutott, vagy jogsértô módon került továbbításra, köteles errôl a Társaság adatvédelmi felelôsét tájékoztatni. Az adatvédelmi felelôs intézkedik az eset körülményeinek feltárásáról és az adatkezelô szerv vezetôjén keresztül gondoskodik az érintett haladéktalan tájékoztatásáról. 4.6.6.5 A személyes adatok védelme adatfeldolgozó igénybevétele esetén A Társaság a munkaviszonyból származó kötelezettség teljesítése céljából a munkavállaló személyes adatait adatfeldolgozó számára átadhatja, amelyrôl a munkavállalót elôzetesen tájékoztatni szükséges. A munkavállalót már a belépéskor tájékoztatni kell adatainak külsô szolgáltatóhoz történô továbbításáról. Ezt közérthetôen és olyan módon kell megfogalmazni, hogy abból a munkavállaló számára világos legyen, hogy mely személyi kör jogosult az adataihoz hozzáférni. A szolgáltató számára szerzôdésben kell meghatározni, hogy az adatok védelme érdekében milyen intézkedéseket kell megtennie, illetve a védendô adatok megôrzésére, valamint annak megszegése jogkövetkezményeire vonatkozó elôírásokat is meg kell fogalmazni, tekintve, hogy az adatfeldolgozó által okozott, a munkavállalót ért kárért a munkáltató köteles helytállni.

1524


4.6.6.6 Adattovábbítás EGT-n kívüli országba, illetve felhô alapú rendszerekbe A Társaság munkavállalójának személyes adatát EGTn kívüli országba csak az Infotv. által meghatározott feltételekkel, az érintett tevékeny, kizárólag erre a célra irányuló hozzájárulása esetén továbbíthat, amennyiben az adatkezelés vagy adatfeldolgozás során megfelelô szinten biztosított a továbbított személyes adatok védelme. Ebbe a körbe tartoznak az IBSZ által meghatározott „felhô alapú rendszerek”-ben kezelt személyes adatok is, amennyiben egyértelmûen nem határozható meg az adatok tárolási helye. 4.6.6.7 Integrált Humán Információs rendszer (IHIR) A munkavállalótól csak olyan adat közlése, vagy nyilatkozat megtétele kérhetô, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszûnése szempontjából lényeges. Az IHIR rendszerben, valamint a személyügyi dossziéban elhelyezett adatok nyilvántartásának vezetéséhez az érintett munkavállaló saját magára vonatkozóan köteles adatot szolgáltatni. A személyügyi adatok kezelésérôl külön szabályzatban kell rendelkezni. A nyilvántartás pontossága, teljessége, naprakészsége érdekében az érintett munkavállaló az adatkörében beállt változásról köteles öt munkanapon belül, írásban bejelentést tenni. Az IHIR rendszerben alkalmazott törzsszám a rendszer által generált olyan belsô azonosító, amely nem tartalmaz az érintett munkavállalóval kapcsolatba hozható személyes adatot. Használata a munkaviszonnyal közvetlenül összefüggô, az e státuszhoz kapcsolódó adatkezeléseknél megengedett. Az informatikai rendszerekben történô alkalmazásának részletes feltételeirôl a személyügyi adatok kezelésérôl szóló humán vezérigazgató-helyettesi utasításban kell rendelkezni. A munkavállalók humán adataihoz történô belépési-, betekintési- és hozzáférési jogosultságokat munkakörhöz igazítottan, a munkavégzés megfelelô ellátásához szükséges legkisebb mértékû jogosultsági szinten kell meghatározni. Az adatokhoz történô hozzáférést, az azokkal végzett mûveleteket — a rendszer lehetôségeihez mérten — részletesen naplózni kell. A közvetlen munkahelyi vezetôk felelôsségi körébe tartozik a jogosultságok fentiek szerint meghatározott legkisebb mértékû használatának biztosítása és a hatáskörtúllépés kizárása, ennek ellenôrzése, naprakészségének biztosítása, a jogosultságok beállításának, módosításának, visszavonásának kezdeményezése. 4.6.6.8 Tájékoztatás az adatkezelésrôl Az érintettet az adatkezelés megkezdése elôtt egyértelmûen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos valamennyi tényrôl, így különösen az adatkezelés céljáról, jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyérôl, az adatkezelés idôtartamáról, illetve arról, hogy kik

17. szám

ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetôségeire is. Kötelezô adatkezelés esetén a tájékoztatás megtörténhet a jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is. Amennyiben az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: a) az adatgyûjtés ténye, b) az érintettek köre, c) az adatgyûjtés célja, d) az adatkezelés idôtartama, e) az adatok megismerésére jogosult lehetséges adatkezelôk személye, f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetôségeinek ismertetése, g) az adatkezelés nyilvántartási száma. 4.6.6.9 Adatfeldolgozó bevonása A munkaviszonyból származó kötelezettségek teljesítése céljából a Társaság a munkavállaló személyes adatait — az adatszolgáltatás céljának megjelölésével, törvényben meghatározottak szerint — a munkavállaló elôzetes tájékoztatása mellett átadhatja adatfeldolgozó számára. 4.6.6.10 A munkavállaló ellenôrzése A Mt. lehetôséget biztosít arra, hogy a munkáltató a munkavállalót a munkaviszony rendeltetésével közvetlenül összefüggô, feltétlenül szükséges okból ellenôrizze. A végrehajtás módját egyértelmûen, érthetôen és pontosan kell meghatározni, beleértve a megfigyelés érdekében alkalmazott eszközökkel kapcsolatos részletszabályokat, a munkavállaló személyes adatai, személyiségi jogai védelmének garanciáit is, betartva a célhoz kötöttség és a tisztességes adatkezelés elvét. A megfigyelôrendszert elsôdlegesen az emberi élet, testi épség, a személyi szabadság védelme, veszélyes anyagok ôrzése, az üzleti, fizetési, bank- és értékpapírok védelme, vagyonvédelem céljából lehet alkalmazni. A munkavállaló kizárólag a munkaviszonnyal összefüggô magatartása tekintetében ellenôrizhetô, amely nem járhat a személyes adatai, személyiségi jogai, az emberi méltósága megsértésével. A munkavállalót elôzetesen tájékoztatni kell azoknak a technikai eszközöknek az alkalmazásáról, amelyek az ellenôrzésére szolgálnak. Amennyiben a bevezetésre kerülô technikai ellenôrzés a munkavállalók nagyobb csoportját érinti, abban az esetben elôzetesen a Központi Üzemi Tanács véleményét is ki kell kérni. Kamerás megfigyelés esetén a kamerát nem lehet kizárólag egy munkavállaló, illetve az általa végzett tevékenység megfigyelése céljából elhelyezni, tilos to-

17. szám


vábbá öltözôkben, zuhanyzókban, illemhelyiségekben, orvosi szobákban, várókban használni. Az adatkezelônek minden egyes elektronikus megfigyelô eszköz vonatkozásában pontosan meg kell jelölnie, hogy milyen célból helyezte el az adott területen, milyen területre, berendezésre irányul. A felvételek rögzítése esetén fôszabályként azokat három napig lehet megôrizni. Az eszközre vonatkozó helyi adatkezelési szabályzatban kell rögzíteni — többek között — azokat a szabályokat, hogy ki, milyen célból és milyen idôközönként nézheti vissza a felvételeket. A visszanézésére kizárólag a Társaságon belül az érintett munkáltatói jogkörgyakorló, az általa megbízott munkavállaló, valamint a belsô szabályzatok által kijelölt szakértôk számára szabad jogosultságot biztosítani. Az elektronikus megfigyelôrendszer alkalmazásához nem szükséges a munkavállalók hozzájárulása, azonban elôzetesen — igazolható módon — tájékoztatni kell ôket a megfigyelôrendszer alkalmazásával együtt járó adatkezelés lényeges körülményeirôl, a kamerák látókörében figyelemfelhívó jelzést is el kell helyezni. A munkáltatónak az alkalmazott eszközökkel kapcsolatos részletszabályokat a belsô normatív utasításban kell egyértelmûen, érthetôen, pontosan, részletesen meghatároznia, amelynek kidolgozása során különös tekintettel kell lennie az arányosság követelményére valamennyi adatkezelési cél tekintetében. Az elektronikus megfigyelôrendszer telepítésekor az alábbi garanciális követelményeket kell megtartani: 1. A munkáltatói ellenôrzés akkor tekinthetô jogszerûek, ha az a munkaviszony rendeltetésével közvetlenül összefüggô okból feltétlenül szükséges. 2. A munkavállaló magánélete nem ellenôrizhetô. 3. A munkáltatói ellenôrzés és az annak során alkalmazott eszközök, módszerek nem járhatnak az személyes adatai, személyiségi jogai, emberi méltósága megsértésével. 4. A munkavállalót elôzetesen tájékoztatni kell az adatkezelés lényeges követelményeirôl. 5. Az adatkezelés akkor jogszerû, ha a munkáltató az adatkezeléssel kapcsolatban betartja az Infotv. alapvetô rendelkezéseit, a célhoz kötöttség és a tisztességes adatkezelés elvét. A munkáltatói ellenôrzés esetleges jogszerûtlensége megalapozhatja a munkavállaló által gyakorolt azonnali hatályú felmondás jogát. A munkavállaló a munkahelyi ellenôrzésére vonatkozó adatkezelési szabályok megsértése miatt a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat. A Hatóság a megállapított jogellenes adatkezelés, jogsértés súlyától függô bírságot szabhat ki a munkáltatóra. Amennyiben az esetleges jogszerûtlen munkáltatói ellenôrzés a munkavállaló személyiségi- vagy adatkeze-

1525

léssel kapcsolatos jogainak sérelmével jár, az érintett a munkáltatótól a polgári jog szabályai szerint sérelemdíjat követelhet, és kérheti a jogellenes adatkezeléssel okozott kára megtérítését. 4.6.6.11 A személyes adatokat tartalmazó iratok, adathordozók kezelése A személyes adatokat tartalmazó iratok, adathordozók kizárólag zárt borítékban (vagy egyéb, ezzel egyenértékû megoldással, pl. számkódos táska) továbbíthatók a címzett részére, és azokon fel kell tüntetni, hogy az „Zártan kezelendô!” Ezt a megjelölést a személyes adatok elektronikus adattovábbítása, valamint elektronikus megjelenítése során is alkalmazni kell. Kivételt képeznek azok az elektronikus adattovábbítások, melyek tartalmi és formai elemeit jogszabály, vagy jogszabály felhatalmazása alapján hatóság írja elô, valamint a humán szolgáltatás belsô szervezeti egységei közötti adattovábbítás, amennyiben megfelelôen biztosított a munkavállalói személyes adatok illetéktelen hozzáférés elleni védelme. Az így jelölt adattartalom esetében gondoskodni kell az adatok védett kezelésérôl oly módon, hogy azokhoz kizárólag a megismerési jogosultsággal rendelkezôk, dokumentált módon férhessenek hozzá — elektronikus feldolgozás, továbbítás esetén, a rendelkezésre álló lehetôségek felhasználásával — technikai védelemmel (pl. a társaság által rendszeresített titkosítási módszerrel) is biztosítani kell. A kezelési jelölést a dokumentumon és a személyes adatok feldolgozására használt alkalmazások segítségével a számítógépek monitorán is meg kell jeleníteni. Az adatok az érintett életében csak akkor hozhatók nyilvánosságra, ha azt törvény elrendeli, vagy ahhoz az érintett hozzájárult. 4.6.6.12 Tiltakozás személyes adat kezelése ellen Az érintett tiltakozhat személyes adatának kezelése ellen, a) ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelôre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelô, adatátvevô vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelezô adatkezelés esetét; b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint c) törvényben meghatározott egyéb esetekben. Az adatkezelô a tiltakozást a kérelem benyújtásától számított legrövidebb idôn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntésérôl a kérelmezôt írásban tájékoztatja. 4.6.6.13 Bírósági jogérvényesítés Az érintett jogainak megsértése esetén az adatkezelô ellen bírósághoz fordulhat. Azt, hogy az adatkezelés a jogszabályokban foglaltaknak megfelel, az adatkezelô köteles bizonyítani.

1526


4.6.6.14 Hatósági erkölcsi bizonyítványok kezelése A hatósági erkölcsi bizonyítványhoz kötött munkakörökrôl szóló szabályzatban meghatározott munkakörökben dolgozó munkavállalók hatósági erkölcsi bizonyítvánnyal kötelesek igazolni, hogy nem szerepelnek Magyarország bûnügyi nyilvántartásában. A pályázókat errôl a feltételrôl az álláshirdetés során tájékoztatni szükséges. Az indokolatlan adatkezelés elkerülése érdekében az erkölcsi bizonyítványt nem a pályázat benyújtásakor, hanem a munkaszerzôdés megkötését megelôzôen kell a munkavállalónak/pályázónak benyújtania. A bizonyítványt a munkaszerzôdés megkötésével egyidejûleg a munkavállaló részére vissza kell szolgáltatni. Amennyiben a munkavállaló a munkakör betöltésére a hatósági erkölcsi bizonyítvány alapján nem alkalmas, arról — az érintett tájékoztatása mellett — esetleges jogvita esetére másolat készíthetô, amelynek hiányában a dokumentumot egy év után meg kell semmisíteni. 4.6.6.15 Összeférhetetlenségi nyilatkozat Az összeférhetetlenség kezelésérôl külön elnök-vezérigazgatói utasítás rendelkezik. A Társasággal történô munkaszerzôdés megkötésekor, a foglalkoztatási viszonyaiban, vagy az összeférhetetlenségi nyilatkozat tartalmában történt változásokat megelôzôen tett összeférhetetlenségi nyilatkozatot — a munkavállaló erre irányuló kérése esetén — zártan kell kezelni. A zárt kezelés lehetôségérôl a munkavállalókat tájékoztatni kell. A vezetô állású munkavállalóknak, vezetô tisztségviselôknek, valamint a felügyelô bizottsági tagoknak mind saját személyükre, mind a közeli hozzátartozóikra vonatkozóan összeférhetetlenségi nyilatkozatot, illetve bejelentést kell tenniük. Ebben az esetben szükséges az érintett hozzátartozó tájékoztatáson alapuló jognyilatkozatának beszerzése, amelyben hozzájárulnak személyes adataik Társaság által történô kezeléséhez, emellett a hozzátartozó számára is biztosítani kell a 4.4.1 pontban felsorolt jogokat. A munkáltatói jogkör gyakorlója az elbírált és záradékolt nyilatkozatokat a humánpartner útján küldi meg a MÁV Szolgáltató Központ Zrt. Humán Szolgáltatás Szervezet számára, az érintett szolgálati anyagában elhelyezés érdekében. 4.6.6.16 Az informatikai eszközök használata, naplózása, ellenôrzése A Társaság a munkavállalók részére a munkakörök ellátásához, kizárólag munkavégzés céljára asztali számítógépet, hordozható informatikai eszközt, központi tárhelyet, internet-hozzáférést, elektronikus postafiókot biztosíthat. Az informatikai biztonság szintjének fenntartása érdekében ezen eszközök és szolgáltatások használatával kapcsolatos forgalmi adatokat a Társaság az Mt. 11. § (1) bekezdése alapján naplózza és ellenôrzi. Az ellenôrzésre szolgáló technikai eszközök és biztonsági rendszerek alkalmazásáról a munkavállalókat minden részletre kiterjedôen, az 1. számú mellékletben

17. szám

található nyomtatvány használatával tájékoztatni kell. Az információvédelmi nyilatkozat egyesítve tartalmazza az informatikai biztonságra, a védendô információkra, valamint az adatvédelemre vonatkozó részeket, amelynek egy aláírt példányát a munkavállaló humán dokumentumai között kell elhelyezni. Az informatikai eszközök és szolgáltatások rendeltetésszerû használatára fel kell hívni a munkavállalók figyelmét, beleértve azt is, hogy az informatikai eszköz használata önmagában megteremti annak jogalapját, hogy az abban rögzített adatokat a munkáltató, a jogszabályi elôírásoknak és jelen szabályzatnak megfelelôen felhasználja, és az informatikai eszköz használatát ellenôrizze. Az elôírások megsértése esetén, indokolt esetben tájékoztatni kell a munkáltatói jogokat gyakorló vezetôt, aki az adatvédelmi felelôs és az illetékes rendszergazda bevonásával külön eseti ellenôrzést rendelhet el. Amennyiben az informatikai biztonság veszélyeztetése is felmerül, akkor indokolt az Információvédelem szervezet bevonása. A vizsgálat során biztosítani kell a munkavállaló részvételének lehetôségét. Az ellenôrzés tényét, helyét, indokát, eredményét, valamint a résztvevôk nevét jegyzôkönyvben kell rögzíteni. 4.6.7 Etikai eljárás során történô adatkezelés Az etikai bejelentések vizsgálata során történô adatkezelés a Pktv., valamint az etikai és más elôírásokat sértô helyzetek, visszaélések feltárásának és kivizsgálásának rendjérôl szóló belsô utasítás, illetve jelen szabályzat elôírásainak érvényesítésével történhet. A Pktv. felhatalmazása alapján a bejelentônek, valamint a bejelentésben érintett személynek a bejelentésben megadott személyes adatait a bejelentés kivizsgálása céljából kezelheti, továbbá a bejelentés kivizsgálásában közremûködô külsô szervezet részére továbbíthatja. A törvény egyértelmûen kizárja a bejelentési rendszerben a különleges adatok kezelését — ami felülírja az Infotv. rendelkezéseinek alkalmazását mind a kezelhetô adatok, mind pedig az alkalmazható jogalapok tekintetében —, ezért a rendszert úgy kell kialakítani, hogy annak keretében különleges adatok kezelésére ne legyen mód. 4.6.8 A panaszok és a közérdekû bejelentések kivizsgálására irányuló eljárás A Pktv. szerinti eljárásokban a Biztonsági fôigazgatóság által a személyes adatok kezelése a jogszabályok alapján, illetve a jelen szabályzat elôírásainak érvényesítésével történhet. Az etikai bejelentések vizsgálata során az adatkezelést az etikai és más elôírásokat sértô helyzetek, visszaélések feltárásának és kivizsgálásának rendjérôl szóló elnök-vezérigazgatói utasításban meghatározott módon kell végrehajtani. 4.6.9 Megkeresés alapján történô adattovábbítás A Társasághoz külsô szervezettôl, illetve magánszemélytôl érkezô, a MÁV Zrt. közzétételi szabályzatáról

17. szám


szóló utasítás hatálya alá nem tartozó, személyes adat kiadására irányuló megkeresés csak akkor teljesíthetô, ha az érintett erre írásban felhatalmazza a Társaságot. Az érintett elôzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely idôtartamra és a megkereséssel élô szervek meghatározott körére. Az ilyen megkeresések alapján teljesített adatszolgáltatással kapcsolatos tényeket, körülményeket a 4.6.3 pontban meghatározott módon dokumentálni kell. Az adatközlést az érintett nyilatkozattételétôl függetlenül teljesíteni kell, ha azt jogszabály írja elô, így különösen büntetô ügyekben eljáró hatóságoktól — rendôrség, bíróság, ügyészség, TEK, NAV stb. — valamint a nemzetbiztonsági szolgálatoktól érkezetô megkereséseket. E szervezetek megkereséseirôl, amennyiben ennek egyéb törvényi akadálya nincs — az elrendelt nemzetbiztonsági ellenôrzések lefolytatása során történô iratbetekintések, adatkérések kivételével — az illetékes adatkezelô közvetlenül, vagy felettese útján köteles a jegyzôkönyv megküldésével tájékoztatni biztonsági fôigazgatót, akinek jóváhagyását követôen kell az adatszolgáltatást a meghatározott határidôn belül teljesíteni. A fôigazgató a nemzetbiztonsági szolgálatok adatkérésre irányuló megkeresése ellen nem halasztó hatályú panasszal fordulhat az illetékes miniszterhez. A nemzetbiztonsági szolgálatoktól érkezô megkeresés alapján teljesített adatszolgáltatásról, adatbetekintés biztosításáról, illetve a Társaság nyilvántartásban történô jelzés elhelyezésére vonatkozó tényrôl, azok tartalmáról, valamint a megtett intézkedésekrôl az érintett, illetôleg más személy, vagy szervezet nem tájékoztatható. 4.6.10 Elektronikus megfigyelôrendszer (térfigyelés) Elektronikus megfigyelôrendszer törvény, illetve helyi önkormányzati rendelet alapján mûködtethetô, továbbá a mûködés jogalapját az érintett önkéntes hozzájárulása is megteremtheti. A Társaság vonatkozásában a megfigyelés törvényi alapját — eltérô tartalommal — a vagyonvédelmi tv. mellett a személyszállítási szolgáltatásokról szóló törvény, továbbá az Mt. is biztosítja, egyéb esetekben az Infotv. elôírásai irányadók. A felvételeket készítô rendszerek üzemeltetését, mint adatkezelést az adatvédelmi nyilvántartásba be kell jelenteni. A technológiai kamerák konkrét eszközök megfigyelésére irányulnak, illetve használatukkal oly módon figyelhetô meg valamely terület, hogy ott személyeket felismerhetô módon nem rögzítenek, így személyes adatkezelés nem valósul meg. A technológiai kamerákra az Infotv. rendelkezései ugyan nem vonatkoznak, de az érintettek tájékoztatása céljából a kamera jelenlétére utaló jelzést ki kell helyezni. 4.6.10.1 Elektronikus megfigyelôrendszer (térfigyelés) mûködtetése a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (31. § és 32. §) alapján

1527

4.6.10.1.1 Kép-, hang-, valamint kép- és hangfelvételt (a továbbiakban: felvétel) vagyonôr az elektronikus megfigyelôrendszer mûködése útján a következô feltételek betartásával készíthet, illetve kezelhet: a) a kötelezettségeit meghatározó szerzôdés keretei között, b) a szerzôdésbôl fakadó kötelezettségei teljesítése céljából, c) az információs önrendelkezési jogról és az információszabadságról szóló törvény szerinti adatvédelmi jogok érvényesítése mellett, illetve d) a vagyonvédelmi törvényben meghatározott korlátozó rendelkezések betartásával. E tevékenysége során a vagyonôrzési feladatokat ellátó személy adatkezelônek minôsül. A vagyonôr elektronikus megfigyelôrendszert kizárólag magánterületen, illetve a magánterületnek a közönség számára nyilvános részén alkalmazhat, ha ehhez a természetes személy kifejezetten hozzájárul. A hozzájárulás ráutaló magatartással is megadható. Ráutaló magatartás különösen, ha az ott tartózkodó természetes személy a magánterület közönség számára nyilvános részén elhelyezett ismertetés ellenére a területre bemegy, kivéve, ha a körülményekbôl egyértelmûen más következik. Az elektronikus megfigyelô rendszernek felvételt is lehetôvé tevô formája a következô esetekben alkalmazható: a) az emberi élet b) a testi épség, a személyi szabadság védelme c) a veszélyes anyagok ôrzése d) az üzleti, bank- és értékpapírtitok védelme, valamint e) a vagyonvédelem érdekében. A megbízás teljesítése során fennálló körülményeknek valószínûsíteniük kell, hogy a jogsértések észlelése, az elkövetô tettenérése, illetve e jogsértô cselekmények megelôzése, azok bizonyítása más módszerrel nem érhetô el, továbbá e technikai eszközök alkalmazása elengedhetetlenül szükséges mértékû, és az információs önrendelkezési jog aránytalan korlátozásával nem jár. 4.6.10.1.2 A felvételt felhasználás hiányában legfeljebb a rögzítéstôl számított három munkanap elteltével meg kell semmisíteni, illetve törölni kell. 4.6.10.1.3 A felvételt felhasználás hiányában legfeljebb a rögzítéstôl számított harminc nap elteltével meg kell semmisíteni, illetve törölni kell, ha a rögzítésre a) nyilvános rendezvényen az emberi élet, testi épség, személyi szabadság védelme, b) nyilvános rendezvényen, közforgalmú közlekedési eszköz állomásán, megállóhelyén (pl. vasútállomáson) terrorcselekmény és közveszély okozás megelôzése,

1528


c) a Büntetô Törvénykönyvrôl szóló törvény szerint legalább jelentôs értékû pénz, értékpapír, nemesfém, drágakô biztonságos tárolása, kezelése, szállítása érdekében kerül sor. 4.6.10.1.4 A 4.6.10.1.2. és 4.6.10.1.3. bekezdés szerinti felhasználásnak az minôsül, ha a felvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban bizonyítékként felhasználják. 4.6.10.1.5 Az, akinek jogát vagy jogos érdekét a felvétel, illetve más személyes adatának rögzítése érinti, az adatkezelés tartamán belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelôje ne semmisítse meg, illetve ne törölje. Bíróság vagy más hatóság megkeresésére a felvételt, valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Amennyiben megkeresésre attól számított harminc napon belül, hogy a megsemmisítés mellôzését kérték, nem kerül sor, a felvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell. 4.6.10.1.6 A felvételt, valamint más személyes adatot csak az a személy- és vagyonvédelmi tevékenységet végzô személy jogosult megismerni, akinek ez a szerzôdésbôl fakadó kötelezettségei érvényesítéséhez szükséges, és a jogsértô cselekmény megelôzése vagy megszakítása érdekében mellôzhetetlen. A felvételt, valamint személyes adatot kezelô, vagy egyéb okból annak megismerésére jogosult személy- és vagyonvédelmi tevékenységet végzô személy nevét, az adatok megismerésének okát és idejét jegyzôkönyvben kell rögzíteni. 4.6.10.1.7 Utasok, ügyfelek számára megnyitott területeken, illetve üzemi területeken, munkaterületeken figyelemfelhívó jelzést, ismertetést kell elhelyezni a megfigyelt területen, jól látható helyen, jól olvashatóan, a területen megjelenni kívánó harmadik személyek tájékozódását elôsegítô módon, a 3. számú mellékletben található szöveggel. Az adatkezelés önkéntes hozzájárulás alapján történik, amelyet az érintettek tájékoztatáson alapuló ráutaló magatartása alapoz meg. 4.6.10.1.8 A vasúti átjáróban alkalmazott elektronikus megfigyelôrendszer Az útátjárókban alkalmazott berendezés kizárólag a fénysorompó vörös jelzésénél rögzíti kódoltan a fénysorompóban elhelyezett kamera képét. Amennyiben a sorompóban nincs sérülés (nem rongálódott meg a félsorompó csapórúd) az elektronikusan tárolt adatok törlôdnek. A sorompókészülék megrongálása esetén a rögzített képet a rendôrség a berendezésbôl a Társaság szakembereinek közremûködésével olvashatja ki. A programba bekerülô vasúti átjárók esetében ki kell dolgozni rendôrséggel történô együttmûködés feltételeit, az illetékes rendôrkapitánysággal megállapodást kell

17. szám

kötni sorompótörés esetén a berendezés kiolvasására vonatkozóan. 4.6.10.2 Elektronikus megfigyelôrendszer mûködtetése a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény alapján A törvény alapján megfigyelést lehet folytatni elektronikus biztonságtechnikai rendszeren keresztül, amelynek során kép- és hangfelvételt lehet készíteni, illetve kezelni. Erre jogosult a) a szolgáltató, b) a közlekedésszervezô, valamint c) a vasútállomás vagy megállóhely üzemeltetôje. A megfigyelés az alábbi helyeken engedélyezett: a) a vasútállomáson, b) a közforgalom számára nyitva álló helyen, c) a jegy- és bérletértékesítô berendezéseken, d) a megállóhelyen, e) a személyszállító vasúti jármûvek belterében, A következô tárgyak, személyek védelme érdekében alkalmazható: a) a vasútállomáson és megállóhelyen található berendezések, b) a személyszállító vasúti jármûvek, c) a jegy- és bérletértékesítô berendezések, továbbá d) az utasok életének, személyének, testi épségének és vagyontárgyai. Az adatkezelés során érvényesíteni kell az Infotv. szerinti adatvédelmi jogokat, továbbá be kell tartani a törvényben meghatározott korlátozó rendelkezéseket. A szolgáltató az elektronikus biztonságtechnikai rendszer alkalmazása esetén — a vakok és gyengén látók számára is érzékelhetô módon — köteles figyelemfelhívó jelzést és ismertetést elhelyezni a) a vasútállomás és megállóhely bejáratánál, b) a személyszállító vasúti jármûre való felszállásra szolgáló peronoknál, c) a személyszállító vasúti jármûvön, e) a jegy- és bérletértékesítô berendezésen. A figyelemfelhívó jelzésnek, ismertetésnek legalább az alábbi információkat kell tartalmaznia: a) az elektronikus biztonságtechnikai rendszer által folytatott megfigyelés, valamint a rendszer által rögzített, személyes adatokat tartalmazó kép- és hangfelvétel készítésének, tárolásának célja, b) az adatkezelés jogalapja, c) a felvétel tárolásának helye,

17. szám


d) a tárolás idôtartama, e) a rendszert alkalmazó (üzemeltetô) személye, f) az adatok megismerésére jogosult személyek köre, továbbá g) a személyes adatok védelmérôl és a közérdekû adatok nyilvánosságáról szóló törvénynek az érintettek jogaira és érvényesítésük rendjére vonatkozó rendelkezései. Nem alkalmazható elektronikus megfigyelôrendszer olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen mosdóban, illemhelyen. A rögzített kép-, hang- vagy kép- és hangfelvételt felhasználás hiányában a rögzítéstôl számított 16. napon meg kell semmisíteni vagy törölni kell. Felhasználásnak minôsül, ha a rögzített kép-, illetve hangfelvétel bírósági vagy hatósági eljárásban bizonyítékként felhasználásra vagy bíróság, hatóság részére ilyen eljárás során benyújtásra kerül. Akinek jogát vagy jogos érdekét a kép-, illetve hangfelvétel érinti, a rögzítéstôl számított 15 napon belül jogának vagy jogos érdekének igazolásával kérheti, hogy a kép- illetve hangfelvételt annak kezelôje ne semmisítse meg vagy ne törölje. A rögzített kép-, illetve hangfelvételt — erre vonatkozó kérés esetén — a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Ha a megkeresésre attól számított 72 órán belül, hogy a megsemmisítés vagy törlés mellôzését kérték, nem kerül sor, és a határidô letelt, a rögzített kép- illetve hangfelvételt meg kell semmisíteni, vagy törölni kell. 4.6.11 A személyes jelenlétet helyettesítô videokamerás megfigyelô rendszerek A kép és hangrögzítés nélküli, személyes jelenlétet helyettesítô videokamerás megfigyelô rendszerek esetében a. a kamerákat jól látható helyre kell felszerelni b. a felvételek nem kerülnek rögzítésre c. figyelmeztetô táblát kell elhelyezni a megfigyelt területen, jól látható helyen, a következô szöveggel: „Kamerával megfigyelt terület. A felvételek nem kerülnek rögzítésre, illetve a megfigyelés során az alkalmazott technika nem kínál lehetôséget arra, hogy a megfigyelést végzô személy többletinformáció birtokába jusson az érintett természetes személlyel kapcsolatban, ezért ez a tevékenység nem minôsül adatkezelésnek.” 4.6.12 Forgalomtechnológiai okokból végzett hangrögzítés A MÁV Csoport tulajdonában álló hangkommunikációs eszközökön (diszpécsertelefon, mozdonyrádió, illetve bármely más forgalomtechnológiai szolgálati célra használt eszköz), továbbá a forgalmi szolgálattevôk

1529

szolgálati helyiségében szóban elhangzó közlemények rögzítése során magáncélú beszélgetés tilos. A helyiségben alkalmazott rögzítô berendezést oly módon kell kialakítani és mûködtetni, hogy az csak az érdemi kommunikáció idôtartama alatt mûködjön úgy, hogy arról a helyiségben tartózkodók számára figyelemfelhívó fényjelzés is tájékoztatást adjon. A Társaság az ezeken az eszközökön zajló teljes beszédforgalmat törvényi felhatalmazás alapján rögzíti és ellenôrzi. A használat szabályairól és használat ellenôrzése érdekében alkalmazott hangrögzítô berendezés használatáról a munkavállalókat írásban tájékoztatni kell a szolgálati helyiségben tájékoztató kifüggesztésével, a kiadott eszközök esetében a 2. számú mellékletben foglalt nyilatkozat kitöltésével, amelynek a munkavállaló által aláírt példányát a munkavállaló humán anyagai között kell elhelyezni. A Társaság területén forgalomtechnológiai okokból végzett hangrögzítés során a hangrögzítô berendezéseken rögzített adatokat a munkaterületen munkáltatói jogokat gyakorló, hatáskörileg illetékes vezetô, és baleset esetén a balesetvizsgáló csoport vezetôje, illetve az általa meghatalmazott személy hallgathatja vissza. A keletkezett adatokat a fenti személyek írásban rögzíthetik, illetve további vizsgálat céljából azokat lemásolhatják és maguknál tarthatják, valamint a vizsgálat során bizonyítékként felhasználhatják. 4.6.13 Az ügyfélszolgálat igénybevétele során történô adatkezelés A fogyasztóvédelemrôl szóló 1997. évi CLV. törvény 17/B. § 45 (3) bekezdése elôírja, hogy „Az ügyfélszolgálathoz beérkezô valamennyi telefonon tett szóbeli panaszt, valamint az ügyfélszolgálat és a fogyasztó közötti telefonos kommunikációt hangfelvétellel rögzíteni kell. … A hangfelvételt egyedi azonosítószámmal kell ellátni, öt évig meg kell ôrizni, és a fogyasztó kérésére, díjmentesen rendelkezésre kell bocsátani. A vállalkozás a hangfelvétel készítésével, megôrzésével és rendelkezésre bocsátásával kapcsolatos kötelezettségérôl, továbbá az egyedi azonosítószámról a fogyasztót a telefonos ügyintézés kezdetekor tájékoztatni köteles.”. A Társaságnál mûködtetett telefonos ügyfélszolgálat esetén, e jogszabályi elôírások érvényesítésén túl, az Infotv. általános adatkezelési szabályainak is meg kell felelni, így többek között el kell készíteni az adatkezelési szabályzatot, továbbá közzé kell tenni az „Adatkezelési tájékoztató és adatkezelési nyilatkozat”-ot. 4.6.14 A Társaság honlapja A Társaság honlapján lehetôség van hírlevél szolgáltatás igénybevételére, vagy más értesítésre történô feliratkozásra, véleménykérô lap mûködtetésére, amely során név, cégnév és elérhetôségi adatok (e-mail cím, telefonszám stb.) kerülnek rögzítésre. A regisztrációs adatok kizárólag a szolgáltatással kapcsolatosan használhatóak fel, harmadik fél részére nem adhatók át. A szolgáltatás felmondására minden esetben lehetôséget

1530


kell biztosítani, amely során a korábban felvett adatokat visszaállíthatatlanul törölni kell. A honlapon hivatkozást kell elhelyezni, amely tartalmazza a honlap adatkezelésére vonatkozó „Adatkezelési tájékoztató és adatvédelmi nyilatkozat”-ot, amelynek mintája a 6. számú mellékletben található. A honlapon korábban elhelyezett nyilatkozatokat a honlap tartalmáért felelôs szervezetnek naprakészen kell tartania. Az utolsó változat aktualizálásának idôpontját fel kell tüntetni. A szabályozásban bekövetkezett változásról a hírlevélre feliratkozottakat tájékoztatni szükséges. 4.6.15 A Társaság honlapját látogatók számítógépén cookie elhelyezésérôl Az elektronikus hírközlésrôl szóló törvény szabályozza a cookie (a továbbiakban: süti) használatát, amely alapján a felhasználó elektronikus hírközlô végberendezésén csak az érintett világos és teljes körû — az adatkezelés céljára is kiterjedô — tájékoztatását követô kifejezett hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni. A felhasználót adatvédelmi tájékoztató útján elôzetesen teljes körûen és részletesen tájékoztatni kell a számítógépére felmásolni kívánt adatokról, majd miután ehhez megfelelôen dokumentált hozzájárulását adta, tölthetô fel a süti az eszközére. A süti elhelyezôjének bizonyítani kell tudnia, hogy a felhasználó a hozzájárulását megadta. A Társaság honlapján a sütik kezelését e szabályoknak megfelelôen kell kialakítani, és azokat az adatkezelési nyilatkozat megfelelôen dokumentált elfogadását követôen lehet a felhasználó végberendezésén elhelyezni. 4.6.16 Fénykép- video-, hangfelvétel készítés általános szabályai Adott személyekrôl készített fénykép- video-, illetve hangfelvétel személyes adatnak minôsül, amelynek elkészítéséhez és felhasználásához — törvényi felhatalmazás eseteit kivéve — az érintett személy hozzájárulása szükséges. A hozzájárulás ráutaló magatartással is megadható, azonban célszerû ehhez írásbeli hozzájárulást kérni. Az ehhez szükséges nyilatkozat minta a 8. számú mellékletben található. Nem szükséges a hozzájárulást beszerezni akkor, amikor a felvétel összhatásában örökít meg nyilvánosság elôtt lezajlott eseményeket például tömegfelvétel, illetve nyilvános közéleti szereplés esetén, függetlenül attól, hogy a felvételen az érintett felismerhetô-e. 4.6.17 Az értekezleteken készülô hangfelvétel Az értekezleteken (pl. EVIG, IG, VÉT üléseken) készülô hangfelvétel valamennyi érintett hozzájárulásával kezelhetô. A felvétel célja elsôsorban a megbeszélésrôl készített jegyzôkönyv, emlékeztetô, határozat pontos elkészítése, a megbeszélésen elhangzottak szöveghû visszaidézése. A hangrögzítés az érintettek hozzájárulása alapján, illetve kifejezett tiltakozás hiányában lehetséges. A tájékoztatás elhangzása és a hozzájárulások megadásának dokumentálása történhet a résztvevôk

17. szám

jelenlétében a hangrögzítô eszközre történô bemondással, illetve a jelenléti ív aláírásával és az azon szereplô írásos tájékoztató egyidejû elfogadásával, vagy más, az értekezlet rendjét meghatározó szabályzat rendelkezése szerint. Az írásos dokumentum elkészítése során különös figyelemmel kell lenni az adatvédelmi szabályok érvényesítésére. A hangfelvételt, a felhasználásával készített írott dokumentum jóváhagyását, illetve a kezelés indokoltságának megszûnését követôen, visszaállíthatatlan módon törölni szükséges. Különösen indokolt esetben — valamennyi érintett kifejezett hozzájárulása esetén — a felvétel csatolható az elkészített emlékezetôhöz. 4.6.18 Videokonferencia Videokonferencia szervezése esetén készülô felvétel valamennyi érintett hozzájárulásával kezelhetô. Az elhangzottak rögzítése kizárólag az érintettek tájékozott hozzájárulása után történhet. A tájékoztatás megtörténtének és a hozzájárulások megadásának dokumentálása történhet a résztvevôk jelenlétében a felvételre történô bemondással, illetve a jelenléti ív aláírásával, az azon szereplô írásos tájékoztató egyidejû elfogadásával. A videokonferencia felvételének elsôdleges célja a megbeszélés kép- és hanganyagának dokumentálása, az arról készített jegyzôkönyv, emlékeztetô pontos elkészítése, a megbeszélésen elhangzottak kép- és szöveghû visszaidézése. Ennek érdekében a felvételt, a felhasználásával készített írott dokumentum jóváhagyását követôen, visszaállíthatatlan módon törölni szükséges. Különösen indokolt esetben — valamennyi érintett kifejezett, a jegyzôkönyvben, emlékeztetôben rögzített hozzájárulása esetén — a felvétel csatolható az elkészített emlékezetôhöz. 4.6.19 Az idegen személyek magáncélú fényképfelvétel készítése a Társaság területén Az idegen személyek MÁV Zrt. területén történô tartózkodásának, magáncélú fényképfelvétel készítésének, engedélyezésének rendjérôl külön elnök-vezérigazgatói utasítás rendelkezik. A magáncélú fényképfelvétel készítési engedély kiadásához szükséges regisztráció során az engedélyt kiállító szervezet a kérelmezô személyi adatait nyilvántartásban rögzíti, amely alapján a kérelmezô regisztrációs igazolványt kap. A személyes adatok kezelésének szabályait helyi adatkezelési szabályzatban szükséges rögzíteni, amelynek lényeges elemeit az érintettek számára közérthetô módon megfogalmazott adatvédelmi tájékoztatóban elérhetôvé kell tenni. 4.6.20 A követeléskezelés adatvédelmi vonatkozásai A követeléskezelési tevékenység — konkrét törvényi elôírás hiányában — nincs képesítéshez, illetve engedélyhez kötve. Annak érdekében, hogy ez a tevékenység a Társaságnál átlátható és szabályozott legyen, a Társaság követeléseinek behajtásakor a MÁV Zrt. kintlévôségeinek kezelésérôl szóló 16/2013. (III. 01. MÁV Ért. 7.) EVIG. sz. utasítás szerint jár el, amelynek során a peres és végrehajtási eljárások megindítá-

17. szám


sa helyett áthidaló, személyre szabott megoldást — pl. részletfizetés, halasztás — is választhat. Ezen eljárás az érintettekkel történô kapcsolatfelvételt igényli, amely szükségképpen személyes adatok kezelését teszi szükségessé. A Társaság követeléskezelési tevékenysége során kizárólag olyan, az érintett önkéntes hozzájárulása alapján megadott adatot kezelhet, amely az adott adatkezeléshez elengedhetetlenül szükséges. Ezen adatokat a Társaság az érintett hozzájárulásának esetleges visszavonását követôen is kezelheti. A behajtási tevékenységet megbízási szerzôdés alapján követeléskezelô cég is végezheti, amelyre kiterjed az Infotv. hatálya. A magánszemély ügyfelek személyes adatai — az adatkezelés célhoz kötöttsége elvének betartásával — az érintett hozzájárulásával adhatók át a követeléskezelônek, amely elôzetesen, a követelés alapjául szolgáló szerzôdésben is megadható. Amennyiben egy követeléskezelô szervezet saját követelésének behajtása céljából a Társaság valamely munkavállalójára vonatkozó adatot igényel, az érintettnek az adat kiadásából származható következményekrôl egyértelmûen tájékoztatást kell adnia. A követeléskezeléssel foglalkozó szervezetnek minden egyes általa igényelt adatra vonatkozóan igazolnia kell, hogy azok kezelése mely célból, milyen feltétel, követelmény teljesítésének megítéléséhez szükséges. A Társaság munkavállalóira vonatkozó személyes adat átadása követeléskezelô részére az érintett tájékoztatásával, annak elôzetes hozzájárulását követôen történhet. Ennek során kizárólag az üggyel kapcsolatos releváns információk adhatók ki, azonban a munkavállaló egészségügyi állapotára vonatkozó adatok ennek során sem közölhetôk. 4.6.21 Drón felhasználásával megvalósított adatkezelés A drónokkal, illetve az azokra szerelhetô kiegészítôkkel (pl. kamera, mikrofon) megvalósuló adatkezelés még az eszköz rendeltetésszerû használata esetén is rendkívül erôs behatolást jelenthet a személyek a magánszférájába, ezért a Társaság adatkezelést megvalósító drónt kizárólag az alábbi feltételekkel használhat, illetve ilyen eszköz használatát az alábbi feltételek szerint teheti lehetôvé. A Társaság területén drón használatának engedélyezésére az ezen eszközök alkalmazására vonatkozó jogszabályokban, illetve belsô utasításokban meghatározott engedélyek birtokában kerülhet sor. Amennyiben a drónnal készített kép- és hangfelvételek elkészítése során személyek azonosítására alkalmas felvételek rögzítésére kerül sor, vizsgálni szükséges — többek között — a kérelmezô által meghatározott célt, a jogalapot, az alkalmazás szükségességét és arányosságát, a tájékoztatási kötelezettség teljesítését, valamint az adatkezelés törvényességi feltételeinek teljesülését. Meg kell

1531

követelni az Infotv.-ben foglaltaknak, valamint a Ptk. fényképkészítésre és a személyiségi jogokra vonatkozó elôírásainak érvényesülését. Az adatkezelés megkezdése nem csupán a Társaság engedélyéhez kötött, hanem be kell szerezni az érintett erre irányuló engedélyét is. Tekintettel a drón speciális jellegére különös gondossággal kell eljárni a megfelelô tájékoztatáson alapuló hozzájárulás beszerzése érdekében. Biztosítani kell az érintett számára, hogy a drón használatával megvalósított adatkezelés ellen tiltakozhasson, ennek során az adatkezelés megszüntetését, illetve a kezelt adatok törlését kérje. A drónok vasúti technológiai, illetve vagyonvédelmi célú alkalmazása során, munkavállalók azonosítására alkalmas felvételek készítése esetén, a 4.6.6.10 pontban meghatározott követelményeket kell teljesíteni. A Társaság területének meghatározása során az idegen személyek MÁV Zrt. területén történô tartózkodásának, magáncélú fényképfelvétel készítésének, engedélyezésének, a külsô vállalkozók MÁV Zrt. területén történô munkavégzésének munkavédelmi feltételeirôl és engedélyezésének rendjérôl szóló elnök-vezérigazgatói utasításban meghatározottak az irányadók. 4.6.22 A távolról végzett munka/távmunka Amennyiben a munkafeladatok ellátása távolról végzett munka útján valósul meg (pl. VPN kapcsolaton keresztül), és az nem a Társaság által biztosított eszköz igénybevételével történik, a Társaság nem tekinthet be az eszközön tárolt, nem a munkaviszonnyal összefüggô adatokba. Amennyiben a távmunkához a Társaság kizárólag munkavégzés céljára biztosítja az eszközt, a felhasználásával összefüggô tilalom, vagy korlátozás betartásának ellenôrzése céljából a Társaság a teljes adattartalmat ellenôrizheti. 4.6.23 A munkahelyi telefonhasználat ellenôrzése A munkáltató jogosult a munkavállaló rendelkezésére bocsátott telefon használatát ellenôrizni, amelynek azonban meg kell felelnie az adatvédelmi jogszabályok által támasztott követelményeknek. A munkavállaló által lefolytatott telefonbeszélgetések mind a hívott, mind a hívó fél személyes adatának minôsülnek, ezért magánjellegû telefonhívásokkal kapcsolatos személyes adatok kezeléséhez mindkét fél hozzájáruló nyilatkozata szükséges. A hivatalos hívásokkal kapcsolatos adatok kezeléséhez nem feltétel az érintett munkavállaló hozzájáruló nyilatkozatának megléte, azonban a tájékoztatás ebben az esetben sem maradhat el. A munkáltató, illetôleg az ellenôrzésre feljogosított személy a nem munkavállaló személy hozzájáruló nyilatkozata beszerzésének nehézkes volta, illetve annak lehetetlensége miatt a munkavállaló által lefolytatott magánjellegû telefonhívások adatait nem jogosult kezelni. A célhoz kötött adatkezelés elve megfelelôen alá-

1532


támasztható célt igényelne a munkáltató oldaláról, ami azonban — tekintettel arra, hogy annak megállapításán túl, hogy a munkavállaló telefonhasználatából mekkora összeget tesz ki a magáncélú hívások aránya, további jogosítványa munkáltatói jogosítványokból nem származik — nem igazolható. A munkahelyi telefonhasználat ellenôrzésére az alábbi módszerek alkalmazhatók: a) Keretösszeg határozható meg, amely fedezi az adott munkakör betöltéséhez szükséges telefonköltséget. Abban az esetben, ha a munkavállaló e költségen belül maradva, magáncélú telefonbeszélgetéseket is folytat, azt a munkáltató természetbeni juttatásként biztosíthatja részére. A meghatározott költségen felüli összeg a munkavállalóra áthárítható. b) A munkavállaló által használt telefon híváslistája a munkavállalónak lezárt borítékban átadható (azt elôzetesen a munkáltató nem kezelheti), amelyrôl érintett a magán hívások telefonszámait oly módon törli, hogy azokat a késôbbiekben ne lehessen azonosítani. Az ilyen hívások költségei kiterhelhetôk a munkavállalóra. c) A hívható számok elôzetesen korlátozhatók. d) A magánjellegû hívásokhoz elôhívó kód rendelhetô. A telefonbeszélgetések lehallgatása — a 4.6.12 pontban szabályozott hangrögzítés kivételével — tilos. 4.6.24 Az internet használatának ellenôrzése A Társaság az internet hozzáférést kizárólag munkavégzés céljából bocsájt a munkavállaló rendelkezésére, annak magán célból történô felhasználását pedig kifejezetten megtiltja, ezért a munkavállalók internet felhasználásának ellenôrzésére a munkáltató jogosult. Az ellenôrzésre csak a tájékoztatás megadását követôen kerülhet sor, az azt megelôzô felhasználással kapcsolatos adatokat a munkáltató nem kezelheti. Az ellenôrzés elsôdlegesen a megnyitott oldalak, valamint a letöltött adatok listázásával, a forgalom mennyiségének mérésével valósítható meg. A Társaság jogosult az internet használatának korlátozására oly módon, hogy megnyitható oldalak körét meghatározza, illetve egyes oldalak megnyitását az informatikai rendszer segítségével korlátozza. Amennyiben a kellôen tájékoztatott felhasználó annak tudatában keres fel egy honlapot, hogy arról tudomást szerezhetnek, akkor egyúttal hozzájárul ahhoz is, hogy az ellenôrzést lefolytató személy megismerhesse az általa megtekintett oldalakat is. 4.6.25 Névkitûzô viselése

17. szám

A munkavállaló jogszerûen igazolható cél meghatározása esetén, valamint ha ezen célok más módon nem érhetôk el, kötelezhetô névkitûzô használatára. Ilyen cél lehet például a munkavállaló, ügyfelek által történô megismerése, azonosításának biztosítása, továbbá az, hogy probléma esetén panasszal élhessenek a munkáltatója felé. 4.6.26 Tiszta íróasztal és tiszta képernyô A személyes adatok megfelelô kezelése érdekében a Társaság valamennyi munkavállalója köteles a papír alapú dokumentumok és a digitális adathordozók fizikai hozzáférés védelmérôl gondoskodni, amelynek betartását a munkahelyi vezetô és a Biztonsági fôigazgatóság alkalomszerûen ellenôrzi. 4.6.26.1 Tiszta asztal a) A személyes adatokat tartalmazó papír alapú, valamint számítógépes adathordozók, hordozható számítógépek illetéktelen személy számára hozzáférhetô módon, felügyelet nélkül nem hagyhatók. b) Ahol zárható széfek, iratszekrények, fiókok, szekrények nem állnak rendelkezésre, a felügyelet nélkül hagyott iroda ajtaját minden esetben be kell zárni, oda illetéktelen személy bejutását egyéb technikai és szervezési intézkedésekkel meg kell akadályozni. c) A munkaidô végén valamennyi személyes adatot tartalmazó adathordozót el kell zárni (pl. széf, lemezszekrény, egyéb zárható bútor), vagy megfelelô technikai intézkedéssel meg kell akadályozni az illetéktelen személy számára az adathoz való hozzáférést, valamint az azt hordozó eszköz eltulajdonítását (pl. Kensington zár). d) Személyes adatot tartalmazó információ nyomtatása során a nyomtató nem hagyható ôrizetlenül. Technikai akadály esetén gondoskodni kell arról, hogy a késôbb kinyomtatásra kerülô dokumentum ne juthasson illetéktelen kezekbe. e) A személyes adatok tárolására, elhelyezésre, feldolgozására szolgáló irodahelyiséget még ideiglenes felügyelet nélkül hagyás esetén is be kell zárni. f) A személyazonosító információkat (pl. telefonjegyzék, címjegyzék) oly módon kell elhelyezni, hogy azok tartalmát illetéktelenek ne ismerhessék meg. 4.6.26.2 Tiszta képernyô a) A személyes adatokat tartalmazó számítógép felhasználója a munkaszoba elhagyása esetén jelentkezzen ki a számítógépébôl, vagy zárolja azt a „Windows” valamint az „L” billentyû egyidejû lenyomásával. b) A személyes adatok feldolgozására alkalmazott számítógép képernyôjét az alábbi módszerek

17. szám


valamelyikének alkalmazásával védeni szükséges a jogosulatlan rálátás, betekintés elôl: — a munkaasztalok megfelelô elhelyezésével, elfordításával — paraván alkalmazásával — a helyiségbe történô belépés korlátozásával — olyan technikai eszköz felszerelésével, ami a betekintési szöget jelentôsen korlátozza — a betekintés ideiglenes korlátozására az a) pontban leírt módszer is alkalmazható. c) Amennyiben ezen módszerekkel nem akadályozható meg a betekintés, illetve a helyiségbe rendszeres munkavégzésre beosztott más munkavállaló illetéktelen betekintése, abban az esetben az adatvédelmi szabályok megismertetésével, szükség esetén titoktartási nyilatkozat kitöltésével kell biztosítani az adatok megfelelô védelmét. A személyes adatok feldolgozására szolgáló alkalmazásokat úgy kell kialakítani, hogy a monitoron történô megjelenítés során figyelmeztetô jelzés utaljon a tartalom zárt kezelést igénylô jellegére (pl. figyelmeztetô felirattal vagy figyelemfelkeltô szín, effektus használatával). A jelenleg használt alkalmazások korrekciója során gondoskodni kell az elôzôkben írtak szerinti megoldás megvalósításáról. 4.6.27 Elektronikus levelezés Az elektronikus levelet azonos szintû védelemben kell részesíteni, mint a hagyományos, postai úton továbbított küldeményt. A munkáltató megbízásából, a munkavállaló által hivatalos ügyekben írt és fogadott elektronikus dokumentum tartalmát a munkáltató jogosult megismerni, ugyanakkor biztosítani kell a levelezésben érintett harmadik személy azon jogát is, hogy az adatkezelés részleteirôl tájékoztatást kapjon. A Társaság által biztosított elektronikus levelezô rendszer használata során, a személyes adatok védelme érdekében, az alábbi szabályokat kell betartani: a) a levelezô rendszer hivatalos célra használható; b) a több mint száz e-mail címzett esetén a küldemény valamennyi címzettjét rejtett módon (titkos másolat mezôben) kell megadni a spam küldemények csökkentése érdekében; c) amennyiben a címzettek között a Társaság levelezôrendszerén kívüli címzett is szerepel, vizsgálni kell a b) pontban leírt módszer alkalmazásának szükségességét; d) QR kódot tartalmazó e-mailek küldése esetén fennáll annak a veszélye, hogy a továbbítás során illetéktelenek lecserélhetik azt, és a QR kódot elôállító felhasználó tudta nélkül károkozásra használják fel, amely hátrányosan befolyásolhatja a Társaság megítélését. Ezért a Társaság hivatalos elektronikus levelezésben a QR kódnak a Társaság munkavállalója által küldött

1533

e-mail aláírásában történô felhasználása nem megengedett; e) a nagyobb mennyiségû személyes adatot tartalmazó küldemény továbbítása kizárólag technikai védelemmel (illetéktelen megnyitás ellen jelszóval védett Office dokumentumban, RMS védelemmel, jelszóval védett tömörített állományban stb.) engedélyezett. f) A személyes adatot tartalmazó elektronikus leveket a következô záradékkal kell ellátni: „A jelen levélben kézbesített információ kizárólag a címzettnek szól, és bizalmas üzleti, illetve személyes adatokat tartalmazhat. Amennyiben nem Ön a levél címzettje, a levélben található információ felhasználása, vagy bármilyen módon történô közzététele, másolása vagy megosztása tilos. Amennyiben jelen levelet tévedésbôl kapta meg, kérem lépjen kapcsolatba a levél feladójával és az üzenetet haladéktalanul törölje a számítógépérôl. A levél feladójának e-mail címe kifejezetten vállalati felhasználásra szolgál, a biztonsági szervezet — vezetôi ellenôrzés céljából — betekinthet tartalmába, kérem erre a címre magánjellegû küldeményt, reklámanyagot ne küldjön!” A munkavállaló által használt e-mail postafiók ellenôrzése — a munkavállalót az ellenôrzést megelôzôen tájékoztatni kell az ellenôrzés részleteirôl, — a munkáltató korlátozhatja az e-mail postafiók használatát, — meghatározhatók azok a címek, ahonnan e-mail fogadható, illetôleg amelyekre küldhetô, — korlátozható a küldött/fogadott levél mellékletének terjedelme. Amennyiben a felhasználó munkavégzésre irányuló jogviszonya megszûnik, a rendelkezésére bocsátott email címet a munkaviszony megszûnésével egyidejûleg meg kell szüntetni. A levelezésre használt számítógép adattartalmára vonatkozóan a felhasználót a 7. mellékletben található dokumentum felhasználásával nyilatkoztatni kell. A beérkezô leveleket a feladónak automatikusan vissza kell küldeni, tájékoztatva ôt arról, hogy az adott e-mail cím megszûnt, és megadni számára az adott feladatot a továbbiakban végzô felhasználó elérhetôségét. A kizárólag munkavégzés céljából biztosított e-mail postafiók esetén a munkáltatónak joga van a postafiókban lévô e-mailek fejlécének megtekintése után — ahol szerepel a küldô és a fogadó személye, e-mail címe, a levél megnevezése, a küldés idôpontja, a levél mérete — a konkrét levél kiadását kérni a munkavállalótól. A munkavállaló a levél átadását csak a harmadik személy jogát sértô levéltitokra történô hivatkozással tagadhatja meg. Abban az esetben, ha az e-mail postafiókot kizárólag hivatalos használatra adták át számára és az abban található magánjellegû levelet a munkavállaló írta,

1534


vele szemben munkajogi szankciókat alkalmazhat a munkáltatói jogkörgyakorló. Amennyiben egy munkavállaló tartós távolléte alatt, vagy munkaviszonyának megszûnését követôen — kitöltött 7. számú melléklet hiányában — a személyhez rendelt e-mail postafiók ellenôrzése szükséges, vagy indokolt, az érintett munkavállaló által a levelezô rendszerben a postafiókjához hozzáféréssel rendelkezô másik munkavállaló — ha ilyen személy nincs, vagy nem tartózkodik a munkahelyen, akkor a munkáltató felkérésére a rendszer üzemeltetéséért felelôs informatikus — jegyzôkönyv felvétele mellett betekinthet az e-mail postafiókba. Amelyik levélrôl egyértelmûen megállapítható, hogy hivatalos tárgyú, átadható a munkáltatónak. A távollévô érintettet, az információs önrendelkezési jog maradéktalan érvényesülése érdekében tájékoztatni kell arról, hogy más személy az e-mail postafiókja tartalmát megismerte. A forgalmi szolgálattevôk zárt csoportú e-mail rendszerének használatáról szóló 43/2013. (VIII. 23. MÁV Ért. 18.) EVIG sz. elnök-vezérigazgatói utasítás hatálya alá tartozó, kizárólag vasútüzemi célú postafiókokat hivatalos közlemények továbbítására szabad használni, ezek kezelésére, ellenôrzésére az utasításban meghatározott speciális szabályok érvényesek. 4.6.28 Közérdekbôl nyilvános személyes adatok Az Infotv. elôírásai szerint a Társaságnak lehetôvé kell tennie, hogy az általa kezelt közérdekbôl nyilvános személyes adatokat — egyedi igénylés alapján — bárki megismerhesse, illetve a kötelezôen közzéteendô adatokat az internetes honlapján elérhetôvé tegye. Közérdekbôl nyilvános adat a Társaság feladat- és hatáskörében eljáró személy neve, feladatköre, munkaköre, vezetôi megbízása, a közfeladat ellátásával összefüggô egyéb személyes adata, valamint azok a személyes adatai, amelyek megismerhetôségét törvény elôírja. A Társaság feladat- és hatáskörében eljáró munkavállalói kört az MSZSZ I. kötete állapítja meg. A MÁV Zrt. közzétételi szabályzata biztosítja a hozzáférést a közérdekû és közérdekbôl nyilvános adatok megismerésére irányuló igények esetén, illetve elôírja a Társaság tevékenységével kapcsolatos legfontosabb közérdekû adatokra vonatkozóan a közvélemény elektronikus tájékoztatását. Közérdekû illetve közérdekbôl nyilvános adat megismerése iránti igényt bárki benyújthat a Társaság felé. A kért adatot az igénybeérkezését követô legrövidebb idô alatt, legfeljebb azonban 15 napon belül kell az igénylô részére kiadni, illetve megküldeni. Amennyiben az igényelt adat meg nem ismerhetô adatot is tartalmaz, azt a kiadást megelôzôen felismerhetetlenné kell tenni. Az adatigénylô személyes adatai csak az igény teljesítéséhez, illetve annak teljesítéséért megállapított költségtérítés megfizetéséhez szükséges mértékben és ideig kezelhetôk, amelyet követôen az igénylô személyes adatait haladéktalanul törölni kell.

17. szám

4.6.29 Védendô információ kezelése A munkavállaló köteles megôrizni a munkaköre betöltésével összefüggésben tudomására jutott védendô információt, amelynek közlése a munkáltatóra, vagy más személyre hátrányos következménnyel járhat. Az információk kiszivárgásának elkerülése érdekében a Társaság adatszivárgás elleni védelmi rendszert (DLP), továbbá a mobil eszközökön található védett információk biztonsága érdekében Mobil Device Management rendszert (MDM) alkalmazhat. 4.6.30 Adatszivárgás elleni védelmi rendszer (DLP) A DLP rendszer átfogó monitorozási képességgel rendelkezik a hálózaton, valamint a felhasználói számítógépeken. Ennek mûködtetése során kiemelt figyelmet kell fordítani a felhasználók személyes adatainak védelmére. A bevezetett technikai ellenôrzésrôl részletes szabályozást kell készíteni, illetve az alkalmazást megelôzôen minden érdemi információra kiterjedôen gondoskodni kell a felhasználók tájékoztatásáról. A rendszer bevezetését megelôzôen a Társaságnak tájékoztatni kell a felhasználókat arról, hogy a számukra biztosított informatikai eszközökön a személyes használat, nem engedélyezett, és meg kell határoznia, hogy mely védett információk mozgását kívánja ellenôrizni. Az egyes munkafolyamatokat célzottan, elôre leegyeztetett módon, valamennyi felhasználóra érvényesen és azonos módon kell monitorozni. A téves riasztások minimalizálása érdekében részletesen ki kell dolgozni az azonosítási technológiát, és mind a rendszerhez, mind annak naplóállományához történô hozzáféréseket a szükséges minimális jogosultság elvének betartásával kell meghatározni. Az adatszivárgási incidensek kivizsgálási folyamatát úgy kell kialakítani, hogy a rendszer által megjelölt adatszivárgási események valósak és ésszerû emberi ráfordítással feldolgozhatóak legyenek. 4.6.31 Mobil Device Management rendszer (MDM) A Társaság az MDM rendszert a felhasználó által használt vállalati mobil eszközre (okostelefon, tablet) telepítve, legalább közepes, illetve annál magasabb biztonsági fokozatú védelem (PIN kód, jelszó stb.) használatának kikényszerítésével és szükség esetén titkosítással gondoskodik az eszköz védelmérôl, ugyanakkor a felhasználó nevén és e-mail címén kívül egyéb személyes adatot nem kezel. A rendszer biztonsági beállításait az MDM Rendszerszintû Biztonsági Szabályzata részletesen meghatározza. A személyes adatok védelme érdekében az adatvédelmi felelôs, illetve felhatalmazottja bármikor, folyamatában jogosult a Mobil Device Management rendszer adatvédelmet érintô beállításainak ellenôrzésére, illetve a rendszer felhasználói közvetlenül is megkereshetik ôt az MDM rendszer adatvédelmi beállításaival kapcsolatos kérdéseikkel. Az ellenôrizhetôség

17. szám


érdekében az MDM rendszer üzemeltetôje a rendszer beállításainak változásait folyamatosan naplózza. A leadott, de a Társaságon belül továbbhasznosításra kerülô készülékrôl a személyes adatokat a gyári állapot visszaállításával törölni szükséges. A használatból végleges kivonás esetén, gondoskodni kell az adatok visszaállíthatatlan módon történô megsemmisítésérôl. 4.6.32 A munkahelyre érkezô magánjellegû küldemények kezelése Magánjellegû levelezés folytatása a Társaságnál nem engedélyezett. Amennyiben ennek ellenére postai, vagy futár útján ilyen névre szóló küldemény érkezik, annak felbontása nem csak az érintett személyes adatai védelméhez, hanem a levéltitokhoz való jogának sérelmével is járhat, ezért azt más nem bonthatja fel, a címzettnek át kell adni, vagy a feladójának vissza kell küldeni. Amennyiben kétség merül fel a levél hivatalos, vagy magánjellegét illetôen, a címzett számára lehetôséget kell biztosítani a küldemény felbontására. Ha egy levélrôl a felbontást követôen derül ki, annak magánjellege, a borítékot vissza kell zárni és a téves felbontás tényérôl készült jegyzôkönyvet mellékelve kell átadni az érintett munkavállalónak. 4.6.33 Egyéb feladatok és felelôsség 4.6.33.1 Az érintett munkavállalókat felvételkor, illetve munkakörük megváltozása esetén, a munkakörük jellegéhez igazodóan, a kellô mértékig, dokumentált módon tájékoztatni szükséges az adatvédelem kérdéseirôl, amelyért a munkáltatói jogkör gyakorlója a felelôs. 4.6.33.2 Az állomások utasforgalom számára megnyitott területén tartózkodó utasok és más személyek — beleértve a vakokat és gyengén látókat — az elektronikus megfigyelôrendszer mûködtetésére vonatkozó hangos tájékoztatásáért, valamint az Állomási Rendben történô szerepeltetéséért a Pályavasút Üzemeltetés szervezet a felelôs. A közlemény tartalmát az adatkezelôvel közösen kell meghatározni. 4.7 Az adatvédelmi szabályok megtartásának ellenôrzése Az adatvédelmi és adatbiztonsági intézkedések betartásának, valamint jelen szabályzat rendelkezései érvényesülésének ellenôrzésére jogosultak: a) a Társaság elnök-vezérigazgatója b) az adatvédelmi felelôs c) az adatvédelmi szakértô d) a területi adatvédelmi szakértô e) a Társaság elnök-vezérigazgatója egyedi döntésével kijelölt személy (pl.: belsô ellenôr)

1535

f) a jogszabályban erre felhatalmazott személy (például a NAIH tisztviselôi) g) a Társaság által megbízott személy (pl. külsô auditor). Az ellenôrzésnek különösen az alábbiakra kell kiterjednie: a) helyi adatkezelési szabályzat b) adatkezelési tájékoztató és adatvédelmi nyilatkozat c) az adatvédelmi nyilvántartásba történô bejelentés d) feliratok, piktogramok megléte e) a munkavállalók betekintési- és hozzáférési jogosultságának naprakészsége f) a fizikai biztonsági elôírások érvényesülése g) a jelszavak idôszakonkénti cseréje h) az adattovábbítási nyilvántartás vezetése i) adathordozók meglétének szúrópróbaszerû ellenôrzése j) a selejtezés, megsemmisítés végrehajtására, dokumentálása k) a jelen szabályzat rendelkezéseinek betartása. 4.7.1 Adatvédelmi ellenôrzési eljárás A belsô adatvédelmi ellenôrzési eljárás célja, hogy az adatvédelmi felelôs — szükség szerint a területi adatvédelmi szakértô bevonásával — meggyôzôdjön arról, hogy a Társaság egyes szervezeti egységei az adatvédelemmel kapcsolatos jogszabályoknak és belsô szabályzatoknak megfelelôen kezelik-e a személyes adatokat. Az adatvédelmi felelôs éves adatvédelmi ellenôrzési tervet készít az adott naptári évben ellenôrzés alá kerülô adatkezelésekrôl, illetve szervezeti egységekrôl. Az ellenôrzési tervnek az ellenôrzés alá vont szervezeti egység, illetve adatkezelés nevét, valamint az ellenôrzés várható idôpontját kell tartalmaznia. Az éves ellenôrzési tervnek legalább egy adatkezelés, illetve szervezeti egység ellenôrzését kell tartalmaznia. Az éves ellenôrzési tervet legkésôbb adott év február 15. napjáig be kell terjeszteni a biztonsági fôigazgató részére jóváhagyásra. Az adatvédelmi felelôs az ellenôrzés lefolytatásáról az érintett szervezeti egység vezetôjét annak megkezdése elôtt legalább 15 nappal tájékoztatja, amelynek során az eljárás kezdô idôpontját is megjelöli. A szervezeti egység vezetôje köteles gondoskodni arról, hogy az adatvédelmi felelôs a kitûzött idôpontban megkezdhesse ellenôrzését, illetve kellôen megindokolt esetben — legfeljebb három munkanapon belül — új idôpontra tehet javaslatot. Az adatvédelmi felelôs ellenôrzése során az érintett szervezeti egység irodahelyiségeibe beléphet, irataiba betekinthet, munkatársaitól tájékoztatást kérhet a konkrét adatkezeléssel összefüggésben.

1536


Az adatvédelmi felelôs az ellenôrzésrôl jelentést készít, amely tartalmazza a szervezeti egység, valamint az adatkezelés megnevezését, a szervezeti egység vezetôje nevét, az ellenôrzés lefolytatásának tényét, annak idôpontját és idôtartamát, az adott szervezeti egységnél vizsgált körülményeket, adatokat, megállapításokat. A vizsgálati jelentés tervezetét az adatvédelmi felelôs a szervezeti egység vezetôjének megküldi. A vizsgálati jelentés tervezetére a szervezeti egység vezetôje öt napon belül észrevételt tehet, amelynek elmaradása a szervezeti egység vezetôjének egyetértését jelenti. Amennyiben az adatvédelmi felelôs megállapítja, hogy az adatkezelés az ellenôrzés alá vont szervezeti egységnél nem a jogszabályoknak, illetve a belsô szabályzatoknak megfelelôen történik, javaslatot tesz a szabályszerû adatkezelés — meghatározott határidôn belül történô — helyreállítására. Az ezek alapján megtett intézkedésekrôl a szervezeti egység vezetôje a kijelölt határidôn belül tájékoztatást nyújt. Az adatvédelmi felelôs az intézkedéseket, illetve azok betartását utóellenôrzés keretében jogosult ellenôrizni. Amennyiben adatvédelmi szempontból indokolt, az adatvédelmi felelôs — a biztonsági fôigazgató elrendelése alapján — az éves ellenôrzési tervben nem szereplô rendkívüli ellenôrzést is lefolytathat. Az adatkezelést végzô szervezeti egység vezetôje felkérésének eleget téve az adatvédelmi felelôs további engedélyezési eljárás mellôzésével is végezhet rendkívüli ellenôrzést. Az adatvédelmi felelôs az éves, vagy rendkívüli ellenôrzés vizsgálati jelentésében jogsértés megállapítása hiányában is jogosult a szervezeten belüli és kívüli, általa legjobb gyakorlatnak ítélt eljárásokról az adatkezelôk számára tájékoztatást adni, valamint a jövôre nézve javasolni adott eljárás vagy eljárások alkalmazását. Az adatvédelmi felelôs ezen javaslatok követésére is kitérhet a soron következô vizsgálat során. Az adatvédelmi felelôs évente egy alkalommal, legkésôbb január 31. napjáig összefoglaló jelentést készít az általa lefolytatott ellenôrzésekrôl a Társaság elnökvezérigazgatója számára, amelyet a biztonsági fôigazgató hagy jóvá. 4.7.2 Adatvédelmi audit Az adatvédelmi audit célja a végzett vagy tervezett adatkezelési mûveletek adatvédelmi szempontok alapján történô értékelésén keresztül, a magas szintû adatvédelem és adatbiztonság megvalósítása és a jogszerû adatkezelés biztosítása. Tervezett adatkezelési mûveletek akkor vonhatók elôzetes audit alá, ha az adatkezelésre vonatkozó koncepció kidolgozottsága ezt lehetôvé teszi. Adatvédelmi auditot az adatvédelmi felelôs az adatkezelô kérésére, illetve indokolt esetben saját kezdeményezése esetén az elnök-vezér-

17. szám

igazgató, illetve a biztonsági fôigazgató jóváhagyása alapján folytathat le, az infokommunikációs igazgató, illetve a Hatóság, esetleg külsô adatvédelmi szakértô szükséges mértékû bevonásával. Az adatvédelmi felelôs az adatvédelmi audit lefolytatásának kezdeményezését követôen közli az adatkezelôvel az audit lefolytatásáért fizetendô várható összeget, az audit lefolytatásának tervezett idôtartamát és elvégzésének várható idôpontját. Az auditor az adatvédelmi audit eredményét az errôl készített értékelésben foglalja össze, amelyben javaslatokat fogalmazhat meg az adatkezelô számára. Az adatvédelmi audit az adatvédelmi felelôs e szabályzatban rögzített egyéb hatásköreinek gyakorlását nem korlátozza. 4.7.3 Közremûködés a NAIH vizsgálatában A Társaságnál a NAIH jogosult az adatvédelmi szabályok megtartását ellenôrizni, illetve kivizsgálni a hozzá érkezô bejelentésekben foglaltakat. A hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy a személyes adatok kezelésével kapcsolatban a Társaságnál jogsérelem következett be, vagy annak közvetlen veszélye fennáll. Az adatvédelmi felelôs — szükség esetén az adatkezelést végzô szervezeti egység vezetôje, illetve a Jogi igazgatóság bevonásával — együttmûködik a NAIHal, a hatóság kérésének az általuk megállapított határidôn belül eleget tesz. Amennyiben a NAIH által tett megállapításokkal, illetve az általuk meghozott határozatokkal nem ért egyet, a Jogi igazgatóság szakvéleményét beszerezve, az elnök-vezérigazgató útján megteszi az Infotv.-ben meghatározott lépéseket (álláspontját közli a Hatósággal, bírósági felülvizsgálatot kezdeményez stb.). A NAIH Társaságot érintô intézkedése esetén az adatvédelmi felelôs együttmûködik az adatkezelôvel, illetve az adatfeldolgozóval a jogszabályi elôírások teljesítése érdekében. 4.7.4 Az adatvédelmi rendelkezések megsértése esetén követendô eljárás Az adatvédelmi szabályok megsértése, vagy ennek közvetlen veszélye észlelése esetén, bárki közvetlenül az adatvédelmi felelôshöz fordulhat. Az adatvédelmi felelôs a bejelentés megalapozottsága, illetve az adatvédelmi elôírások megsértésének észlelése esetén annak megszüntetésére szólítja fel az adatkezelôt, és azokkal a munkavállalókkal szemben, akik a Társaság adatvédelmi és adatbiztonsági szabályzata elôírásait megsértették, az érintett munkáltatói jogkörgyakorlójánál hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedést, esetlegesen tényfeltáró vizsgálatot kezdeményez. A megállapítás, illetve a tényfeltáró vizsgálat az adatvédelmi felelôs bevonásával történik. A tényfeltáró vizsgálat lefolytatására, a vétkes kötelezettségszegés megállapítására, a hátrányos jogkövet-

17. szám


kezmények és más munkajogi intézkedések alkalmazására a munkaviszonyra vonatkozó szabályok (KSZ, belsô szabályzatok, utasítások) irányadóak. A szankcióknak arányban kell állniuk a kötelezettségszegés súlyával és az okozott kárral. 5.0 HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK A szabályzat által nem érintett közérdekbôl nyilvános személyes adatok kezelésével kapcsolatos kérdésekben a MÁV Zrt. Közzétételi szabályzatáról szóló 26/2012. (V. 04. MÁV Ért. 11.) EVIG számú utasítás, informatikai biztonsági és ügyviteli kérdésekben a 12/2013. (II. 22. MÁV Ért. 6.) EVIG, illetve a hatályos ügyviteli-iratkezelési szabályzatok elôírásai szerint kell eljárni. Ezen szabályzat hatálybalépésével egyidejûleg hatályát veszti a MÁV Zrt. Adatvédelmi Szabályzatáról szóló 36/2013. (MÁV. Ért. 16.) EVIG utasítás. 6.0 HATÁLYBA LÉPTETÔ RENDELKEZÉS A szabályzat a közzététel napján lép hatályba és visszavonásig érvényes. A szervezeti egységek vezetôi gondoskodjanak arról, hogy munkavállalóik a szabályzatban szabályozott — tevékenységükhöz kapcsolódó — ismereteket elsajátítsák. A jelen szabályzatban foglalt elôírásoknak történô megfelelés érdekében az adatkezelést végzô szervezeti egységek vezetôi gondoskodjanak az irányításuk alá tartozó adatkezelôk felé az adatkezelések áttekintésére.

1537

7.0 MELLÉKLETEK JEGYZÉKE 1. számú melléklet: Információvédelmi nyilatkozat 2. számú melléklet: Adatvédelmi tájékoztató és nyilatkozat a kommunikációs eszközök használatáról 3. számú melléklet: Adatkezelésrôl szóló tájékoztatás a személy és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény alapján végzett adatkezelés esetén 4. számú melléklet: Adatkezelésrôl szóló tájékoztatás a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény alapján végzett adatkezelés esetén 5. számú melléklet: Adatkezelés bejelentése a belsô adatvédelmi nyilvántartásba 6. számú melléklet: Honlap adatkezelési tájékoztató és adatvédelmi nyilatkozat (minta) 7. számú melléklet: Nyilatkozat az informatikai és infokommunikációs eszközök adattartalmáról 8. számú melléklet: Nyilatkozat az érintett önkéntes hozzájárulása alapján történô fénykép-, video-, hangfelvétel elkészítéséhez és felhasználásához 9. számú melléklet: Jegyzôkönyv a MÁV Zrt.-hez érkezô személyes adatokat érintô adatszolgáltatásról Dávid Ilona sk. elnök-vezérigazgató

1538


17. szám

1. számú melléklet

Információvédelmi nyilatkozat Alulírott ………………………………………....………………... (név nyomtatott betûvel) törzsszám: .............................. (8 karakter) vagy születési helye: …................................. születési ideje: ........... év .................... hó ....... nap, anyja neve: ........................................... az alábbi nyilatkozatokat teszem: I. Informatikai biztonság (Tájékoztatásul. A hatályos szöveg az Informatikai Biztonsági Szabályzat mellékletében kerül kihirdetésre, amelyet megelôzôen jelen szöveget kell alkalmazni.) 1. Kijelentem, hogy a MÁV Zrt. (a továbbiakban: Társaság) informatikai eszközeinek és számítógépes programjainak használatára vonatkozó biztonsági szabályokat a nyilatkozattétellel egyidejûleg átvett, az Informatikai Biztonsági Szabályzat mellékletét képezô, a „Felhasználók biztonsági kötelezettségei” címû dokumentum alapján megismertem. 2. Tudomásul veszem, hogy a MÁV Zrt. tulajdonát képezô, munkaköröm ellátásához átadott informatikai eszközöket, szolgáltatásokat a munkámmal összefüggô feladatok ellátására használhatom, ezek magáncélú felhasználása — külön engedély nélkül — nem megengedett. A munkáltatói jogkörgyakorló a munkafeladataim ellátása során keletkezett adatokat felhasználhatja, megismerheti, az eszközök rendeltetésszerû használatát ellenôrizheti. Az eszközhasználat önmagában megteremti annak jogalapját, hogy az abban rögzített adatokat a munkáltató, a jogszabályi elôírásoknak és jelen szabályzatnak megfelelôen felhasználja, és az informatikai eszköz használatát ellenôrizze. 3. A Társaság információvédelmi szakemberei, ezeken túlmenôen, a naplóállomány bejegyzéseket, az informatikai biztonsági incidensek megelôzése, körülményeinek feltárása, illetve a Társaság védendô adatainak megôrzése érdekében ellenôrizhetik. 4. Tudomásul veszem, hogy az informatikai erôforrások (hardverek, szoftverek) és adatok nem elôírásszerû használatával és a rendszerek védelmét biztosító technikai intézkedések kijátszásával elkövetett cselekményekért munkajogi, a Büntetô Törvénykönyvbe ütközô jogsértô magatartás esetén pedig büntetôjogi felelôsséggel tartozom. II. Védendô információk kezelése (Tájékoztatásul. A hatályos szöveg az üzleti titok kezelésének szabályozásáról szóló utasítás mellékletében kerül kihirdetésre, amelyet megelôzôen jelen szöveget kell alkalmazni.) 1. Kijelentem, hogy a Társaság üzleti titkát, a know-how-t, a személyes adatot, a nem nyilvánossá, vagy belsô használatúvá nyilvánított adatot, a döntés megalapozását szolgáló adatot, a döntés-elôkészítô dokumentumot, továbbá a munkaköröm betöltésével összefüggésben tudomásomra jutott egyéb olyan információt (védendô információ), amelynek közlése a Társaság, vagy más számára hátrányos, nem hozom illetéktelen személy tudomására, illetve nyilvánosságra. 2. Tudomásul veszem, hogy a rendelkezésemre bocsátott adathordozók (papír, CD stb.) tartalmát a munkámon kívül más célra nem használhatom fel. A védendô információt tartalmazó adathordozókról, a munkáltatói jogkör gyakorló, vagy felhatalmazottja engedélye nélkül másolatot, illetve kivonatot nem készíthetek, ezek tartalmának rögzítésére semmiféle technikai vagy más eszközt nem alkalmazhatok. 3. Tisztában vagyok azzal, hogy a titokvédelmi szabályok betartásáért munkajogi, polgári jogi, illetve büntetôjogi felelôsséggel tartozom. III. Adatvédelem Tudomásul veszem, hogy 1. a Társaság a kifejezetten munkakörömhöz kapcsolódó feladatok elvégzésére informatikai eszközöket (számítógépet, okostelefont stb.), valamint informatikai szolgáltatásokhoz (pl. elektronikus levelezési postafiók, belsô hálózati tárhely, alkalmazás, internet, VPN) hozzáférést biztosíthat. Ezen eszközökön, illetve a szolgálta-

17. szám


1539

tások igénybevétele során végzett tevékenységet a Társaság a Munka Törvénykönyve 2012. évi I. törvény 11. § (1) bek. alapján informatikai biztonsági okokból naplózza és a rendelkezésre álló biztonsági rendszerekkel ellenôrzi. Az e-mail postafiók védelmét spamszûrô, az internet használat során látogatott weboldalak tartalmát pedig központilag szabályozott tartalomszûrô rendszer ellenôrzi, illetve korlátozza. A telefonhívások forgalmi adatai esetében naplózásra kerül a hívás idôpontja, a hívott fél telefonszáma, az internet esetében a meglátogatott weboldal címe, az elektronikus levelezô rendszer használata során az e-mail címzettjének címe stb. Az informatikai szolgáltatások adatkezelésére vonatkozó részletes információkat az egyes adatkezelési szabályzatok, illetve tájékoztatók tartalmazzák. A naplózott adatokat a rendszerek általában egy évig tárolják. 2. a Társaság informatikai eszköz felügyeleti, valamint adatszivárgás megelôzô rendszert mûködtethet, amely érzékeli a védendô információt tartalmazó adattovábbítást az informatikai hálózaton, illetve a személyi számítógépen egyaránt. A rendszer a bizalmas adatokat tartalmazó levélküldésrôl, le- és feltöltésekrôl, USB-re másolásról, illetve egyéb kommunikációról naplóbejegyzést készít. A rendszer teljesen automatizált módon vizsgálja át a forgalmat, védendô adatokat keresve. Amennyiben a továbbított információ ilyen adatot nem tartalmaz, az nem kerül sem megjelenítésre, sem tárolásra a rendszerben. 3. az eszközök, illetve szolgáltatások használatának szabályait az Informatikai Biztonsági Szabályzat, a naplóállományok kezelését, valamint az adatkezeléssel kapcsolatos tájékoztatás-kérési, helyesbítési és törlés-kezdeményezési, valamint tiltakozási jogot az Adatvédelmi és adatbiztonsági szabályzat tartalmazza. 4. nem elôírásszerû használat esetén az eszközök, szolgáltatások használati joga megvonásra kerülhet, valamint a biztonság szándékos megkerülése tényfeltáró vizsgálatot, illetve hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedést vonhat maga után. 5. személyiségi jogaim megsértése esetén az adatkezelôvel szemben bírósághoz fordulhatok, illetve kezdeményezhetem a Nemzeti Adatvédelmi és Információszabadság Hatóság eljárását.

Kelt: ………………………………….……., 201… …………………………

……………………………….. aláírás

1540


17. szám


Adatvédelmi tájékoztató és nyilatkozat a kommunikációs eszközök használatáról A Társaság indokolt esetben diszpécsertelefont, mozdonyrádiót, illetve egyéb kommunikációs eszközt biztosít a munkavállalóknak. Ezek az eszközök kizárólag munkavégzés céljára szolgálnak, a rajtuk folytatott kommunikációt a MÁV Zrt. a vasúti közlekedés mûködését biztosító személyek felelôsségének megállapítása céljából, a Munka Törvénykönyve (2012. évi I. törvény) 9. §-a alapján rögzíti. A nem elôírásszerû használat esetén a használati jog megvonásra kerülhet, a biztonság szándékos megkerülése tényfeltáró vizsgálatot, illetve hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedést vonhat maga után. A forgalomtechnikai okból végzett hangrögzítés adatvédelmi szabályait az adatvédelmi és adatbiztonsági szabályzat tartalmazza. Az adatkezeléssel összefüggô kérdéssel, panasszal, kifogással nyilatkozattevô a munkáltatói jogkörgyakorló vezetôjéhez fordulhat. NYILATKOZAT Alulírott ………………………………………… (anyja neve: ………..……………………, szül. hely:.…………..…………., szül. idô:….………..…………) tudomásul veszem, hogy a biztosított kommunikációs eszközöket kizárólag a munkafeladatokkal összefüggésben használhatom. Tudomásul veszem, hogy a MÁV Zrt. a berendezéseken folytatott beszélgetést a vasúti közlekedés mûködését biztosító személyek felelôsségének megállapítása céljából rögzíti, azok elôírásszerû használatát ellenôrzi. Jelen nyilatkozatot a munkakörömmel kapcsolatban a munkáltatómnak teszem. dátum: ……..……………… …………………………………. munkavállaló A nyilatkozatot átvettem:

……………………………………… név

………………………………… aláírás

17. szám


1541


Adatkezelésrôl szóló tájékoztatás a személy és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény alapján végzett adatkezelés esetén1 Kamerával megfigyelt terület A megfigyelés jogalapja2: önkéntes hozzájárulás. A megfigyelés célja3: a) az emberi élet, testi épség, személyi szabadság védelme, b) a veszélyes anyagok ôrzése, c) az üzleti, fizetési, bank- és értékpapírtitok védelme, d) vagyonvédelem. Tárolási idô4: 3 nap / 30 nap A felvétel tárolásának helye: A rendszer üzemeltetôje, elérhetôsége (cím, telefonszám): Az adatok megismerésére jogosult: A felvételeket bíróság vagy más hatóság, illetve vagyonvédelmi cél esetén a személy- és vagyonvédelmi tevékenységet végzôk ismerhetik meg, ha ez nem válik szükségessé, a rögzített felvételek a tárolási idô leteltével törlésre kerülnek. Ha Ön ezen a területen tartózkodik, ezzel beleegyezését adja a felvételek elkészítéséhez és a leírtak szerinti kezeléséhez. A személyes adatai kezelésérôl tájékoztatást kérhet a rendszer üzemeltetôjétôl, továbbá kérheti személyes adatainak helyesbítését, illetve törlését.

1

Nem vagyonôr által védett, illetve nem a személyszállítási törvény hatálya alá tartozó magánterületen, az épület, vagy a terület tulajdonosa, használója vagy az általa kijelölt munkavállaló szintén e melléklet kitöltésével, kifüggesztésével tájékoztatja a belépôket a térfigyelô alkalmazásáról. Munkavállaló ellenôrzése esetén az Mt.-t kell feltüntetni jogalapként, a megfigyelés céljaként érdemben kell kifejteni az indokolt ellenôrzési célt. 2 Kombinált, vagy többes jogalap esetén a 3. és 4. számú melléklet értelemszerûen összevonandó. 3 A megfigyelés célját a felsorolt indokok közül egy vagy több feltüntetésével kell meghatározni: 4 A tárolási idô: — A rögzített kép-, hang-, valamint kép- és hangfelvételt felhasználás hiányában legfeljebb a rögzítéstôl számított három munkanap elteltével meg kell semmisíteni, illetve törölni kell. — A tárolási idô felhasználás hiányában legfeljebb a rögzítéstôl számított harminc nap lehet, ha a felvételre közforgalmú közlekedési eszköz állomásán, megállóhelyén (pl. vasútállomáson) terrorcselekmény és közveszélyokozás megelôzése érdekében kerül sor.

1542


17. szám


Adatkezelésrôl szóló tájékoztatás a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény alapján végzett adatkezelés esetén1 Kamerával megfigyelt terület A megfigyelés jogalapja: a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény 8. §-a. A megfigyelés célja2: a) a berendezések, b) a személyszállító vasúti jármûvek, c) az utasok életének, a személyének, testi épségének, d) az utasok vagyontárgyainak védelme. Tárolási idô: felhasználás hiányában a rögzítéstôl számított 15 nap A felvétel tárolásának helye: A rendszer üzemeltetôje, elérhetôsége (cím, telefonszám): Az adatok megismerésére jogosult: A felvételeket bíróság vagy más hatóság, illetve a személy- és vagyonvédelmi tevékenységet végzôk ismerhetik meg, ha ez nem válik szükségessé, a rögzített felvételek a tárolási idô leteltével törlésre kerülnek. Ha Ön ezen a területen tartózkodik, ezzel tudomásul veszi a felvételek elkészítését és a leírtak szerinti kezelését. A személyes adatai kezelésérôl tájékoztatást kérhet a rendszer üzemeltetôjétôl, továbbá kérheti személyes adatainak helyesbítését, illetve törlését.

1 Az adatkezelésre vonatkozó információkat a térfigyelô rendszer által lefedett területhez vezetô áthaladási pontokon írásban, illetve — a vakok és gyengén látók megfelelô tájékoztatása érdekében is — hangos utastájékoztató rendszer használatával közérthetô módon, vagy más, az érintettek által értelmezhetô formában kell közzétenni. 2 A megfigyelés célját a felsorolt indokok közül egy vagy több feltüntetésével kell meghatározni.

17. szám


1543


Adatkezelés bejelentése a belsô adatvédelmi nyilvántartásba 1. Az adatkezelô adatai 1.1 Megnevezése: 1.2 Címe: 1.3 Telefonszáma: 1.4 Kapcsolattartó: Adatkezelés 1.5 Elôzô adatkezelés 1.5.1 Az adatkezelô megváltozásának jogcíme: 1.5.2 Elôzô nyilvántartási azonosító: 1.6 Az adatkezelés megnevezése: 1.7 Az adatkezelés célja: 1.8 Jogalapja 1.8.1 Jogszabályhely vagy más jogalap: 1.8.2 Jogszabály címe: 1.9 A tényleges adatkezelés helye: 1.10 Az adatkezelés automatizáltsága: 2. Adatfeldolgozás 2.1 Az adatfeldolgozó megnevezése: 2.2 Címe: 2.3 Telefonszáma: 2.4 Kapcsolattartó:

1544


3. Az adatok forrása 3.1 Adatfajta megnevezése: 3.2 Adatforrás megnevezése: 3.3 Adatfelvétel (átvétel) jogalapja

3.3.1 Jogszabályhely vagy más jogalap: 3.3.2 Jogszabály címe: 3.4 Adatfelvétel (átvétel) módja: 3.5 Az adat törlési határideje: 4. Adattovábbítás(ok) 4.1 Adatfajta megnevezése: 4.2 Címzett neve: 4.3 Az adattovábbítás jogalapja

4.3.1 Jogszabályhely vagy más jogalap: 4.3.2 Jogszabály címe: 4.4 Az adattovábbítás módja: 4.5 Idôpontja: 5. Az érintettek csoportja(i) 5.1 A csoport leírása: 5.2 Érintettek száma: 6. Egyéb 6.1 Közlendôk: 6.1Az adatkezelés bejelentése szükséges-e a NAIH számára:

igen/nem

Dátum:

Aláírás:

17. szám

17. szám


1545

Az adatlap rovatainak kitöltése 1. Adatkezelô 1.1 Adatkezelô megnevezése: A rovatba az adatkezelô szerv vagy személy hivatalos nevét kell beírni. (pl. cég elnevezése, egyesület bejegyzett elnevezése, természetes személy család- és utóneve). [Az Infotv. 3. § (1) bekezdés 9. pontja szerint „adatkezelô: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezô szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja”.] 1.2 Adatkezelô címe: Az adatkezelô szerv székhelye, a természetes személy lakóhelye. 1.3Telefonszáma: 1.4 Kapcsolattartó: A kapcsolattartó neve, elérhetôségi adatai. Adatkezelés [Az Infotv. 3. § (1) bekezdés 10. pontja szerint „adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely mûvelet vagy a mûveletek összessége, így különösen gyûjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzôk (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése”.] 1.5 Elôzô adatkezelés Csak abban az esetben kell kitölteni, ha az adatkezelô, vagy jogelôdje korábban már bejelentette adatkezelését az adatvédelmi nyilvántartásba. 1.5.1 Az adatkezelô megváltozásának jogcíme: Csak abban az esetben kell kitölteni, ha a konkrét adatkezelést elôzôleg más adatkezelô végezte, vagy adatkezelô személyében változás (pl. jogutódlás, átalakulás, névváltozás, jogszabály-változás) történt. 1.5.2 elôzô nyilvántartási azonosító: Csak abban az esetben kell kitölteni, ha az adatkezelô korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba. 1.6 Az adatkezelés megnevezése: A bejelenteni kívánt adatkezelést — a nyilvántartásban történô keresés lehetôvé tétele céljából — röviden nevezze meg. (pl. weboldal üzemeltetése, hírlevél küldés, marketing célú adatkezelés, kétes kintlévôségek kezelése, térfigyelô kamerarendszer alkalmazása, adattovábbítás külföldre.) 1.7 Az adatkezelés célja: Az adatkezelés céljának — figyelemmel az Infotv. 4. §-ra — rövid megfogalmazás. [Az Infotv. 4. § (1) bekezdése szerint „Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhetô. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.”] 1.8 Az adatkezelés jogalapja: Az adatkezelés jogalapja vagy az érintett hozzájárulása, vagy törvényi rendelkezés lehet. [Az Infotv. 5. § (1) bekezdése szerint „Személyes adat akkor kezelhetô, ha a) ahhoz az érintett hozzájárul, vagy b) azt törvény vagy — törvény felhatalmazása alapján, az abban meghatározott körben — helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelezô adatkezelés). (2) Különleges adat a 6. §-ban meghatározott esetekben, valamint akkor kezelhetô, ha a) az adatkezeléshez az érintett írásban hozzájárul, b) a 3. § 3. pont a) alpontjában foglalt adatok esetében az törvényben kihirdetett nemzetközi szerzôdés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvetô jog érvényesítése, továbbá a nemzetbiztonság, a bûncselekmények megelôzése vagy üldözése érdekében vagy honvédelmi érdekbôl törvény elrendeli, vagy c) a 3. § 3. pont b) alpontjában foglalt adatok esetében törvény közérdeken alapuló célból elrendeli. […] 6. § (1) Személyes adat kezelhetô akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése a) az adatkezelôre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy b) az adatkezelô vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fûzôdô jog korlátozásával arányban áll. […]

1546


17. szám

(5) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelô a felvett adatokat törvény eltérô rendelkezésének hiányában a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy b) az adatkezelô vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fûzôdô jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követôen is kezelheti.”] 1.8.1 Jogszabályhely vagy más jogalap: Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése (a törvény vagy kormányrendelet száma). 1.8.2 Jogszabály címe. Az adatkezelés jogalapját meghatározó jogszabály megnevezése (a törvény vagy a kormányrendelet neve, címe). 1.9 A tényleges adatkezelés helye: Csak akkor kell kitölteni, ha nem azonos az adatkezelô címével (pl. telephely, fióktelep vagy adatfeldolgozó címe). 1.10 Az adatkezelés automatizáltsága: Kézi, gépi, részben gépesített, párhuzamos (nem kötelezôen kitöltendô elem). 2. Adatfeldolgozás: A rovatokat csak akkor szükséges kitölteni, ha az adatkezelô az adatok kezelésével kapcsolatos technikai feladatok ellátására szerzôdés vagy jogszabályi rendelkezés alapján mást vesz igénybe. [Az Infotv. 3. § (1) bekezdés 17. pontja szerint „adatfeldolgozás: az adatkezelési mûveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a mûveletek végrehajtásához alkalmazott módszertôl és eszköztôl, valamint az alkalmazás helyétôl, feltéve hogy a technikai feladatot az adatokon végzik”.] 2.1 Adatfeldolgozó megnevezése: A rovatba az adatfeldolgozó szerv vagy személy hivatalos nevét kell beírni. [Az Infotv. 3. § (1) bekezdés 18. pontja szerint „adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezô szervezet, aki vagy amely az adatkezelôvel kötött szerzôdése alapján — beleértve a jogszabály rendelkezése alapján történô szerzôdéskötést is — adatok feldolgozását végzi”.] 2.2 Az adatfeldolgozó címe: Az adatfeldolgozó szerv székhelye. 2.3 Telefonszáma: 2.4 Kapcsolattartó: A kapcsolattartó neve, elérhetôségi adatai. 3. Az adatok forrása: 3.1 Adatfajta megnevezése: Az egyes adatfajtákat fel kell sorolni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”. [Az Infotv. 4. § (2) bekezdése szerint „Csak olyan személyes adat kezelhetô, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. […]”] 3.2 Adatforrás megnevezése: A kezelt adatok forrásának megjelölése (pl. érintett személyek, KEKKH, más adatkezelôtôl adatátvétellel). Más adatkezelôtôl történô adatátvétel esetén kérjük az adatokat továbbító adatkezelô adatvédelmi nyilvántartási számát is megjelölni. 3.3 Adatfelvétel (átvétel) jogalapja: Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése (a törvény vagy kormányrendelet száma). 3.3.1 Jogszabályhely vagy más jogalap: Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése. 3.3.2 Jogszabály címe. Az adatkezelés jogalapját meghatározó jogszabály megnevezése (a törvény vagy a kormányrendelet neve, címe). 3.4 Adatfelvétel (átvétel) módja: Kérjük, jelölje meg az adatok gyûjtésének, felvételének, átvételének konkrét módját. (pl. kérdôív, címlista átvétele). 3.5 Az adat törlési határideje: Ha jogszabály másképp nem rendelkezik, az adatokat az adatkezelés céljának elérésével, illetve az érintett kérésére törölni kell. [Az Infotv. 4. § (2) bekezdése szerint „[…]A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhetô.”]

17. szám


1547

4. Adattovábbítások: Csak akkor kell kitölteni, ha történik adattovábbítás. [Az Infotv. 3. § (1) bekezdés 11. pontja szerint „adattovábbítás: az adat meghatározott harmadik személy számára történô hozzáférhetôvé tétele”.] 4.1 Adatfajta megnevezése: Az egyes adatfajtákat fel kell sorolni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”. 4.2 Címzett: A rovatba az adattovábbítás címzettjének hivatalos nevét, címét kell beírni. Ebben a rovatban kell megjelölni azt is, ha az adatkezelô az adatokat nyilvánosságra hozza. [Az Infotv. 3. § (1) bekezdés 12. pontja szerint „nyilvánosságra hozatal: az adat bárki számára történô hozzáférhetôvé tétele”.] 4.3 Az adattovábbítás jogalapja: Az adattovábbítás jogalapja vagy az érintett hozzájárulása, vagy törvényi rendelkezés lehet. 4.3.1 Jogszabályhely vagy más jogalap: Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése (a törvény vagy kormányrendelet száma). 4.3.2 Jogszabály címe. Az adatkezelés jogalapját meghatározó jogszabály megnevezése (a törvény vagy a kormányrendelet neve, címe). 4.4 Az adattovábbítás módja: Kérjük, jelölje meg az adatok továbbításának módját. (pl. online kapcsolat). 4.5 Idôpontja: Kérjük, jelölje meg az adattovábbítás határnapját, határidejét, valamint az adattovábbítás gyakoriságát is. 5. Az érintettek csoportja(i): [Az Infotv. 3. § (1) bekezdés 1. pontja szerint „érintett: bármely meghatározott, személyes adat alapján azonosított vagy — közvetlenül vagy közvetve — azonosítható természetes személy”.] 5.1 A csoport leírása: Azoknak a csoportoknak a leírása, amelyek tagjainak személyes adataival az adatkezelô adatkezelést végez (azaz ahonnan az adatokat gyûjti). 5.2. Érintettek száma: Nem minden esetben meghatározható (pl. üzleti titok, folyamatosan változó). 6. Egyéb: 6.1 Közlendôk: Például hiánypótlás, korábbi bejelentés, az adatfeldolgozónak az adatkezeléssel összefüggô tevékenysége. 6.2 Annak jelzése, hogy az adatkezelô megítélése szerint szükséges-e az adatkezelést bejelenteni a NAIH részére. A NAIH a személyes adatokra vonatkozó adatkezelésrôl hatósági nyilvántartást (adatvédelmi nyilvántartás) vezet. A nyilvántartásba vételt az adatkezelônek kell kezdeményeznie a Hatóságnál az erre a célra rendszeresített nyomtatványok kitöltésével. A NAIH nem vezet nyilvántartást arról az adatkezelésrôl, amely kizárólag az ügyfélkapcsolatban álló személyek adataira vonatkozik. Amennyiben az adatkezelô kizárólag az ügyfeleirôl, vásárlóiról, megrendelôirôl nyilvántartást vezet, akkor nem kell bejelentenie a NAIH felé az adatkezelést. Azonban ha ezeket az ügyféladatokat például direkt marketing célra (reklámanyag küldése), hírlevél küldésre használja fel, vagy harmadik személy részére továbbítja, akkor az adatkezelés bejelentése kötelezô. Az adatlapot aláírva a MÁV Zrt. adatvédelmi felelôsének kell megküldeni.

1548


17. szám


Honlap adatkezelési tájékoztató és adatvédelmi nyilatkozat (minta) Alapelvek A XX honlapot YY üzemelteti (a továbbiakban: Adatkezelô). A honlap szolgáltatásait a Felhasználó önként veszi igénybe, így az ehhez szükséges adatok kezelése önkéntes adatszolgáltatáson alapul. Adatkezelô az átadott személyes adatokat bizalmasan kezeli, és minden technikai és szervezési intézkedést megtesz annak érdekében, hogy a kezelt adatokhoz illetéktelen személy ne férjen hozzá. Az adatkezelô adatai: Név: Cím: Telefon: E-mail cím: Az adatfeldolgozó adatai: Név: Cím: Telefon: E-mail cím: Az adatkezelés célja és a tárolt adatok A Társaság által üzemeltetett honlapon lehetôség van hírlevél szolgáltatás igénybevételére, vagy más értesítésre történô feliratkozásra, amely során név, cégnév és elérhetôségi adatok (e-mail cím, telefonszám stb.) kerülnek rögzítésre. A regisztrációs adatok kizárólag a szolgáltatással kapcsolatosan használhatók fel, harmadik fél részére nem adhatók át. A szolgáltatás lemondására lehetôséget biztosítunk, amelynek során a korábban felvett adatok visszaállíthatatlanul törlésre kerülnek. A szervereink által automatikusan naplózott információk Szervereink automatikusan naplózzák felhasználóink IP-címét, az általuk használt operációs rendszer és böngészôprogram típusát és néhány más információt. Ezeket az információkat kizárólag anonimizált, összesített és feldolgozott formában hasznosítjuk, szolgáltatásaink esetleges hibáinak kijavítása, minôségük javítása érdekében és statisztikai célokra. A Társaság honlapját látogatók számítógépén cookie-k (a továbbiakban: sütik) elhelyezésérôl Az Elektronikus Hírközlési törvény rendelkezései alapján a felhasználó elektronikus hírközlô végberendezésén csak az érintett felhasználó vagy elôfizetô világos és teljes körû — az adatkezelés céljára is kiterjedô — tájékoztatását követô kifejezett hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni. A weboldal látogatottsági adatait a honlap kezelôje a Google Analytics szolgáltatás igénybevételével végzi Szolgáltató. A honlapon a Google Analytics szolgáltatásához kapcsolódó kódok (cookie-k) kerültek elhelyezésre, melyek az egyes látogatásokhoz kapcsolható statisztikai jellegû adatot továbbítanak Szolgáltató külsô szerverére. A továbbított adatok az érintett kizárólagos azonosítására nem alkalmasak. A Google adatvédelmi elveirôl a Google www.google.hu/intl/hu/policies/privacy/ oldalán talál bôvebb információt. A Szolgáltatás igénybevételével a Felhasználó hozzájárul ahhoz, hogy Szolgáltató a jelen adatvédelmi tájékoztatóban leírtaknak megfelelôen, a szolgáltatás teljes körû nyújtásának céljából összegyûjtse és kezelje személyes adatait. Tárolt adatok Hírlevélre feliratkozottakról a következô adatokat tartjuk nyilván: név, e-mail cím … Ezen felül opcionálisan megadható adatok statisztikai és ügyfélkapcsolati célokat szolgálnak (telefon, település). Az adatkezelés jogalapja A honlap szolgáltatásait Felhasználó önként veszi igénybe. A bekért adatok az érintett önkéntes hozzájárulásán alapulnak.

17. szám


1549

Az érintett jogai és jogérvényesítési lehetôségei Amennyiben az Ön tiltakozása ellenére személyes adatai kezelésével kapcsolatban jogsérelem éri, úgy az alábbi jogorvoslati lehetôségekkel élhet: • Tájékoztatást kérhet személyes adatai kezelésérôl, valamint kérheti személyes adatainak helyesbítését. • Kérelmére tájékoztatást adunk az általunk kezelt, illetôleg az általunk megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, idôtartamáról, az adatfeldolgozó nevérôl, címérôl (székhelyérôl) és az adatkezeléssel összefüggô tevékenységérôl, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. A kérelem benyújtásától számított legrövidebb idô alatt, legfeljebb azonban, ha jogszabály ennél rövidebb határidôt nem állapít meg, 30 napon belül írásban, közérthetô formában adjuk meg a tájékoztatást. Az Ön személyes adatát töröljük, ha kezelése jogellenes, ha Ön azt kéri, ha az adatkezelés célja megszûnt, ha az hiányos vagy téves, és ez az állapot jogszerûen nem korrigálható — feltéve, hogy a törlést törvény nem zárja ki — vagy az adatok tárolásának törvényben meghatározott határideje lejárt, azt a bíróság vagy a NAIH elrendelte. A helyesbítésrôl és a törlésrôl Önt, továbbá mindazokat értesítjük, akiknek korábban az adatot adatkezelés céljára továbbítottuk. Az értesítés mellôzhetô, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. Tiltakozhat személyes adatának kezelése ellen, amennyiben • a személyes adatok kezelése (továbbítása) kizárólag a Társaság vagy az adatátvevô jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el; • a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; • a tiltakozás jogának gyakorlását egyébként törvény lehetôvé teszi. Ilyenkor a Társaság — az adatkezelés egyidejû felfüggesztésével — megvizsgálja a tiltakozást a kérelem benyújtásától számított 15 nap alatt, és annak eredményérôl a kérelmezôt írásban tájékoztatja. Amennyiben a tiltakozás indokolt, cégünk az adatkezelést — beleértve a további adatfelvételt és adattovábbítást is — megszünteti, az adatokat zárolja, valamint a tiltakozásról, illetôleg az annak alapján tett intézkedésekrôl értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Az adat nem továbbítható az adatátvevô részére, ha a Társaság egyetértett a tiltakozással, illetôleg a bíróság a tiltakozás jogosságát megállapította. Amennyiben Ön a meghozott döntéssel nem ért egyet, az ellen — a közléstôl számított 30 napon belül — bírósághoz fordulhat. Felhívjuk a figyelmét, hogy az Ön adatát nem törölhetjük, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevô részére, ha az adatkezelô egyetértett a tiltakozással, illetôleg a bíróság a tiltakozás jogosságát megállapította. Ön a jogainak megsértése esetén a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, illetve bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A perre az adatkezelô székhelye szerinti bíróság illetékes, de a per — az érintett választása szerint — az érintett lakóhelye szerinti bíróság elôtt is megindítható. Külsô linkek vagy hivatkozások Honlapunk számos olyan kapcsolódási pontot (linket, hivatkozást) tartalmazhat, amely más szolgáltatók oldalaira vezet. Ezen szolgáltatók adat- és információvédelmi gyakorlatáért az Adatkezelô nem vállal felelôsséget.

1550


17. szám


MÁV Zrt.

Nyilatkozat az informatikai eszközök adattartalmáról az eszköz visszaszolgáltatásakor Név: …………..…………………………… (anyja neve :……………..……………………, szül. hely:.…………..…………., szül. idô:….………..…………) kijelentem, a MÁV Zrt. a munkakörömhöz kapcsolódó feladatok elvégzése céljából az alábbi infokommunikációs eszközöket (munkahelyi számítógép, okostelefon, egyéb informatikai és infokommunikációs eszköz) biztosította számomra (eszköz megnevezés, azonosító): ……………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………… Nyilatkozom arról, hogy a fenti eszközökön kizárólag a munkafeladatokkal összefüggô adatok találhatók.

dátum: ……..……………… …………………………………. munkavállaló A nyilatkozatot a MÁV Zrt. megbízásából átvettem:

……………………………………

név

…………………………………………

aláírás

17. szám


1551


MÁV Zrt.

Nyilatkozat az érintett önkéntes hozzájárulása alapján történô fénykép-, video-, hangfelvétel elkészítéséhez és felhasználásához Alulírott a) beosztási hely1: , beosztás: ………………………………………………………………………… b) lakcím2: ……………………………………………………………………………………………… tudomásul veszem, hogy az alábbi rendezvényen: ………………………………………………………………………………………………………………… a résztvevôkrôl fénykép / video- / hangfelvétel3 készül, amelynek célja: …………………………………… ………………………………………………………………………………………………………………… Az adatkezelô neve: …………………………………… elérhetôsége: ……………………………………… Hozzájárulok4 a személyemrôl készített képfelvétel elkészítéséhez, felhasználásához, illetve annak a belsô intranet oldalra (http://intranet.mav.hu) történô feltöltéséhez.3 Az adatkezeléshez történô hozzájárulás idôtartamának korlátozása3 • hangfelvétel esetén a rendezvényrôl készített jegyzôkönyv hitelesítés kiadásáig, • egyéb esetben ______________ (idôtartam). A felvétel nyilvánosságra hozáshoz — amennyiben az a személyhez fûzôdô jogaimat, így különösen a jó hírnévhez, a becsülethez, illetve az emberi méltóság védelméhez fûzôdô jogaimat nem sérti — további hozzájárulásom nem szükséges.3 Az adatkezeléssel összefüggésben tudomással bírok arról, hogy az adatkezelônél élhetek a tájékoztatáskérési, helyesbítési, törlési, valamint tiltakozási jogommal, továbbá kezdeményezhetem az adatvédelmi hatóság, illetve a bíróság eljárását. Tudomásul veszem, hogy a felvételek jelen nyilatkozat szerinti jogszerû felhasználásért díjazásban nem részesülök. Dátum: , 201 ………………………… aláírás 1

MÁV Csoport munkavállalója esetében. Egyéb személy esetében. 3 A nem kívánt rész törlendô, amelyet áthúzással kell jelölni. 4 A 14. életévét be nem töltött kiskorú, valamint az egyébként cselekvôképtelen személy nevében a törvényes képviselô adhat hozzájárulást. A 14. életévet betöltött, de 16. életévét még be nem töltött kiskorú, valamint az egyébként korlátozottan cselekvôképes érintett a törvényes képviselôjének beleegyezésével vagy utólagos jóváhagyásával adhat hozzájárulást az adatkezeléshez. A 16. életévét betöltött kiskorú önállóan adhat hozzájárulást. 2

1552


17. szám


MÁV ZRT.

JEGYZÔKÖNYV a MÁV Zrt.-hez érkezô személyes adatokat érintô adatszolgáltatásról1 A kért adatkör: ………………………………………………………………………………………………… Az érintettek köre: ……………………………………………………………………………………………… A megkeresést kezdeményezô szerv, vagy személy megnevezése, postacíme, telefonszáma: ………………… Az adatkérés célja, rendeltetése: ………………………………………………………………………………… Az adatkérés jogszabályi alapja: ………………………………………………………………………………… Az érintett nyilatkozata mellékelve: igen / nem Az adatszolgáltatás alapjául szolgáló adatkezelés megnevezése: ……………………………………………… Az adatszolgáltatást teljesítô szervezeti egység megnevezése: ………………………………………………… Az adatszolgáltatást teljesítô személy neve: ………………………… telefonszáma: …………………………… Az adattovábbítás módja: ……………………………………………………………………………………… Dátum: ………………………………………

…………………………………… aláírás

1

A megkeresés alapján teljesített adatszolgáltatással kapcsolatos tényeket, körülményeket ezen jegyzôkönyvben kell rögzíteni és az adatkezelés helyén öt évig meg kell megôrizni. A büntetô ügyekben eljáró hatóságoktól (rendôrség, bíróság, ügyészség, TEK, NAV stb.), valamint a nemzetbiztonsági szolgálatoktól érkezetô megkeresésekrôl a felvett jegyzôkönyv egy példányát — amennyiben ennek egyéb törvényi akadálya nincs — a biztonsági fôigazgató számára meg kell küldeni.

17. szám


40/2015. ( X. 02. MÁV ÉRT. 17. ) EVIG. SZ. UTASÍTÁS A PÉNZGAZDÁLKODÁSI ÉS BEFEKTETÉSI KÖVETELMÉNYRENDSZERRÔL ÉS A KÖVETENDÔ PÉNZÜGYI DIVERZIFIKÁCIÓS GYAKORLATRÓL

1553

jobb betétesi pozíciót érjenek el vagy belsô finanszírozással csökkentsék a külsô hitelállományt, optimalizálják a cégek pénzügyi pozícióját.

1.0. AZ UTASÍTÁS CÉLJA

Derivatív (származtatott) ügyletek: Derivatív ügyleteknek nevezzük azokat a befektetési ügyleteket, amelyek értékét más termék árfolyama határozza meg. Másképp fogalmazva, egy származtatott ügylet értéke egy mögöttes termék értékébôl származik.

Az utasítás célja, hogy a pénzgazdálkodás és a pénzforgalom biztonságos lebonyolítása érdekében szabályozza a MÁV Csoport forráskihelyezései és derivatív üzletkötései során követendô gyakorlatot.

Fedezeti ügylet: A tranzakciós vagy portfólió szintû nyitott pozícióval ellentétes irányú olyan üzletkötés, amely a nyitott pozícióból eredô kockázatot megszünteti, illetve csökkenti.

2.0. HATÁLY ÉS FELELÔSSÉG MEGHATÁROZÁSA

KELER Zrt.: A Központi Elszámolóház és Értéktár Zrt. a Tpt., a Hpt., valamint a Bszt. alapján mûködô elszámolóház és központi értéktár. Az értékpapír elszámolási rendszer mûködtetése, valamint jogszabály által engedélyezett egyéb szolgáltatások nyújtása során hatékony háttérintézménye a magyar tôkepiacnak.

Az utasítás hatálya kiterjed a MÁV Zrt. valamint a MÁV Csoport valamennyi szervezeti egységére és munkavállalójára az alábbiak szerint: a) azon leányvállalatok tekintetében, melyek létesítô okirata/SZMSZ-e tartalmazza, hogy a MÁV Zrt. által kiadott, az érintett társaságokra kiterjedô utasításokat alkalmaznia kell, az utasítás hatályba lépése napjától, b) azon leányvállalatokra, melyek az elôzô csoportba nem, de a teljes körûen konszolidált körbe tartoznak, az errôl rendelkezô alapítói/közgyûlési/taggyûlési határozat alapján a határozat kiadását követô naptól. Az utasítás kiadásáért és karbantartásáért felelôs szervezet: MÁV Zrt. Pénzügyi Igazgatóság. 3.0. FOGALMAK MEGHATÁROZÁSA MNB Aranykönyv: A Magyar Nemzeti Bank által elkészített összesítés, mely évenként, egyenként mutatja be a felügyelt intézmények, a részvénytársasági hitelintézetek, a szövetkezeti hitelintézetek, a hitelintézeti fióktelepek, a pénzügyi vállalkozások, a befektetési vállalkozások, a befektetési alapkezelôk, a biztosítók és a pénztárak legfontosabb egyedi, publikus adatait. Befektetési szintû minôsítés: A hitelminôsítô intézetek által befektetésre ajánlott kategória, amely a három fô intézetnél legalább az alábbi minôsítést jelenti:

Fitch

Moody’s

S&P

BBB-

Baa3

BBB-

Cash-pool: A cash-pool egy vállalat(csoport) bankszámláinak összevont kezelése annak érdekében, hogy

OECD tagállam: Amerikai Egyesült Államok, Ausztrália, Ausztria, Belgium, Csehország, Chile, Dánia, DélKorea, Egyesült Királyság, Észtország, Franciaország, Finnország, Görögország, Hollandia, Írország, Izland, Izrael, Japán, Kanada, Lengyelország, Luxemburg, Magyarország, Mexikó, Norvégia, Olaszország, Portugália, Szlovákia, Szlovénia, Spanyolország, Svájc, Svédország, Törökország, Új-Zéland Portfoliókezelés: Az a tevékenység, amelynek során az ügyfél eszközei elôre meghatározott feltételek mellett, az ügyfél által adott megbízás alapján, az ügyfél javára pénzügyi eszközökbe kerülnek befektetésre és kezelésre azzal, hogy az ügyfél a megszerzett pénzügyi eszközbôl eredô kockázatot és hozamot, azaz a veszteséget és a nyereséget közvetlenül viseli. Befektetési tanácsadás: Pénzügyi eszközre vonatkozó ügylethez kapcsolódó, személyre szóló ajánlás nyújtása, ide nem értve a nyilvánosság számára közölt tény, adat, körülmény, tanulmány, riport, elemzés és hirdetés közzétételét, továbbá a befektetési vállalkozás által az ügyfél részére adott, Bszt. szerinti elôzetes és utólagos tájékoztatást. Pénzügyi eszköz: A Bszt.-ben meghatározott fogalom. Bszt.: 2007. évi CXXXVIII. törvény a befektetési vállalkozásokról és az árutôzsdei szolgáltatókról, valamint az általuk végezhetô tevékenységek szabályairól Tpt.: 2001. évi CXX. törvény a tôkepiacról Hpt.: 2013. évi CCXXXVII. törvény a hitelintézetekrôl és a pénzügyi vállalkozásokról

1554


4.0. AZ UTASÍTÁS LEÍRÁSA Szabad pénzeszköz csak bankbetét és értékpapír formában helyezhetô el az alábbi feltételeknek megfelelô hitelintézeteknél: a) Az MNB által szabad pénzeszköz elhelyezését megelôzôen legutoljára nyilvánosságra hozott adatok (pl.: Aranykönyv) szerinti —mérlegfôösszegük alapján— tíz legnagyobb piaci részaránnyal rendelkezô hazai bank b) A Moody’s Investors Service, a Standard & Poor’s Financial Services vagy a FitchRatings nemzetközi hitelminôsítô intézetek legalább egyike által befektetési szintre minôsített hitelintézet c) vagy a b) pontba sorolt hitelintézet közvetett vagy közvetlen tulajdonában álló többségi tulajdonú leánybankja d) a MÁV Csoport egyes tagvállalatai vonatkozásában a fenti pontok egyikébe sem tartozó, alacsony kockázatú, a MÁV Csoport adott tagvállalatát éven túli lejáratú összeggel finanszírozó hitelintézet (a folyószámlahitel nem tartozik ebbe a kategóriába). Alacsony kockázatú és az adott tagvállalatot finanszírozó egy hitelintézet, ha a) az MNB vagy más illetékes hatóság nem írt elô számára, illetve közvetett vagy közvetlen tulajdonosa számára tôkefeltöltési kötelezettséget; b) a piacon tapasztalható aktivitása nem utal likviditási gondokra; c) a piacon tapasztalható események nem utalnak arra, hogy más piaci szereplôk nem tekintik üzletkötésre alkalmas partnernek d) a piacon történt események nem utalnak arra, hogy eszközállománya a piacon szokásosnál magasabb kockázatú e) a MÁV Csoport adott tagvállalata számára éven túli lejáratú hitel vagy kötvényfinanszírozást nyújt. A hitelintézetek fentiek szerinti besorolását legalább negyedévente végzi el a MÁV Zrt. Pénzügyi Igazgatósága (a finanszírozó hitelintézet esetében az egyes társaságok által szolgáltatott információk figyelembe vételével) az 1. sz. mellékletben található táblázat szerint, melyet a leányvállalatok számára hozzáférhetôvé tesz. A d) pont szerinti alacsony kockázatúnak való minôsítés negyedéven belül is megtörténhet. Ez esetben a következô negyedévi minôsítésnél rögzíteni kell az egyedi minôsítés idôpontját. Csak olyan hitelintézetnél helyezhetô el szabad pénzeszköz, ahol a kettôs banki aláírás biztosított. Egy hitelintézetnél sem lehet a 2. táblázatban meghatározottnál nagyobb összegû bankbetét. A rendelkezés alól kivételt képeznek az alábbi esetek:

17. szám

a) Amikor a hitelintézet folyósítási feltételei miatt a beruházási hitel felvétele a limitet meghaladó összegben kell, hogy történjen, ugyanakkor a felhasználás folyamatos. Ebben az esetben a hitelösszeget a felhasználás alatt elkülönített betétszámlán kell elhelyezni, és az Alapítót e-mailben errôl tájékoztatni kell. Az elkülönített betétszámla összege nem terheli a hitelintézeti betéti limitet. b) Óvadéki betét összege, amely szintén nem terheli a hitelintézeti betéti limitet c) Ha a MÁV Zrt. Gazdasági vezérigazgató-helyettese másként dönt. A folyószámlák látra szóló egyenlege nem képezi a banki limit részét. A folyószámlákra érkezô összegeket a kihelyezési lehetôségek, valamint a napi szintû likviditás biztosításának figyelembe vételével a lehetséges legkorábbi idôpontban a lehetô legjobb kamatozású kintlévôségként kell elhelyezni (ideértve a cash-pool számlára történô elhelyezést is). Ha a kihelyezésre alkalmazott banki idôhatárok, átutalási idôhatárok és a rendelkezésre álló limitek kihelyezési lehetôséget nem biztosítanak, a folyószámlák egyenlege az adott napon bármilyen összegû maradhat, azzal a feltétellel, hogy másnap ismét meg kell vizsgálni a korlátozó feltételeket. Ha bármely folyószámla összege (a cash-pool számlák kivételével) 5 banki napig meghaladja a 2. sz. melléklet szerinti összeget, a társaság ezt köteles a MÁV Zrt. Pénzügyi Igazgatósága felé e-mailen jelezni, egyúttal intézkedési tervet benyújtani. A cash-pool rendszer keretében a részt vevô társaságok által elhelyezett eszközök összege egyenként nem haladhatja meg az 5 Mrd forintot. A limit túllépésére a folyószámlákra alkalmazott egyenlegkorlátozási feltételek alkalmazandóak. Alacsony kockázatú és valamely társaságot finanszírozó hitelintézetnél az általa finanszírozott összeg 25%-nak megfelelô összegig, de legfeljebb a 2. számú mellékletben található táblázatban szereplô összegben helyezhetô el betét. Az egyes leányvállalatok gazdasági területének vezetôje, befektetési döntései meghozatala elôtt, heti rendszerességgel, e-mailben köteles egyeztetni a MÁV Zrt. Pénzügyi Igazgatóságával. Értékpapír befektetés csak a Magyar Állam vagy a Magyar Nemzeti Bank által kibocsátott értékpapírba történhet. Az értékpapírokat — kivéve a saját tulajdonban lévô leányvállalatok részvényeit, illetve a tôzsdén nem forgalmazott részvényeket — a KELER Zrt.-nél kell tárolni. Az értékpapírszámlának zároltnak kell lennie és felette az értékpapírszámla felett felhatalmazott személyek közül két személy együttesen rendelkezhet.

17. szám


1555

Derivatív ügyletek csak fedezeti céllal köthetôek. Ilyen fedezeti ügylet a kamatkockázatok, az árfolyamkockázatok valamint az árukockázatok (amely elsôsorban energia- és energiahordozó kockázat lehet) csökkentésére, illetve fedezésére köthetô.

tese által meghatározott kapcsolódó adatszolgáltatás elkészítéséért és annak idôben történô megküldéséért.

A számlaforgalomról (bankszámla és ügyfélszámla) minden forgalmi tranzakciót részletesen bemutató számlakivonat szükséges. A számlavezetô bankoknál vezetett számlák forgalmáról —számlaforgalom esetén— napi számlakivonat kell, hogy rendelkezésre álljon a számlaforgalmat követô lehetô legrövidebb idôn belül. Derivatív ügyletekkel kapcsolatos tranzakciót követôen számlakivonat a lehetô legrövidebb idôn belül; forgalommal nem járó ügyletek esetén kötelezettségvállalásról szóló kimutatás az üzletkötés napján valamint legalább havi rendszerességgel álljon rendelkezésre.

A jelen utasításban foglaltak alkalmazása során a vonatkozó jogszabályi elôírásokon és az Alapító mindenkori határozatain túlmenôen a társaságok mindenkor hatályos létesítô okiratát, Mûködési és Szervezeti Szabályzatát kell figyelembe venni.

5.0. HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK

Az utasítás hatálybalépésével egyidejûleg a pénzgazdálkodási és befektetési követelményrendszer és a követendô pénzügyi diverzifikációs gyakorlatról szóló 49/2011. (MÁV ÉRT. 26.) EVIG sz. utasítás hatályát veszti. 6.0. HATÁLYBA LÉPTETÔ RENDELKEZÉS

A bankszámlák felett felhatalmazott személyek közül kettô együttesen rendelkezhet. Pénzügyi befektetési portfolió kezelésére vagyonkezelôi szerzôdés kötése tilos.

Az utasítás a közzétételt követô napon, illetôleg a 2.1.b. pont alá tartozó társaságoknál a határozat kiadását követô napon lép hatályba. 7.0. MELLÉKLETEK

Befektetési tanácsadói szerzôdés az egyes társaságok mindenkor hatályos DHL-e szerinti döntésre jogosult döntése alapján, a Felügyelô Bizottsága elôzetes jóváhagyásával köthetô. Az egyedi üzletkötések alapját képezô treasury keretszerzôdések nem tartoznak a befektetési tanácsadói szerzôdések közé.

1. számú melléklet: Betételhelyezésre alkalmas bankok meghatározásának kritériumrendszere 2. számú melléklet: A kihelyezésekre alkalmazandó limitek társaságonként

Az egyes leányvállalatok gazdasági területének vezetôje felelôs a MÁV Zrt. gazdasági vezérigazgató-helyet-

Dávid Ilona sk. elnök-vezérigazgató

Hazai bank neve

Anyavállalat (közvetlen vagy közvetett)

Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's: Fitch: S&P: Moody's:

Anyavállalat hosszú WiY~PLQĘVtWpVH

Hazai bank hosszú WiY~PLQĘVtWpVH

Négy szem elvének betartásáról nyilatkoztak? MÁV forrás összege DSpQ]LQWp]HWWĘO Forrás lejárata

Piaci megítélés szerint alacsony kockázatú-e?

MÁV finanszírozás alapján csökkentett összeggel figyelembe YHKHWĘSDUWQHUH"

Öt legnagyobb piaci részaránnyal UHQGHONH]ĘKD]DL bank? [a]

Nemzetközi KLWHOPLQĘVtWĘ intézetek legalább egyike által befektetési szintre PLQĘVtWHWW hitelintézet? [b] (b) pontba sorolt hitelintézet közvetett vagy közvetlen tulajdonában álló többségi tulajdonú leányvállalata? [c]

3pQ]pVWĘNHSLDFLHV]N|]HOKHO\H]KHWĘ"

Összesítve [e]

Limit összege

Limit lejárata

MÁV finanszírozás alapján csökkentett |VV]HJJHOILJ\HOHPEHYHKHWĘSDUWQHUHVHWpQ

1556 A MÁV Zrt. Értesítôje 17. szám

1.sz. melléklet

Betételhelyezésre alkalmas bankok meghatározásának kritériumrendszere

5 000

5 000

1 000

Cash-pool betét

Bankbetét/bank (banki limit)

Egyéb finanszírozó hitelintézet*

500

1 000

5 000

150

MÁV FKG Kft.

500

1 000

5 000

150

MÁV KFV Kft.

500

1 000

5 000

MÁV Létesítményüzemeltetô és Vasútôr Kft. 100

1 000

5 000

5 000

500

MÁVSTART Zrt.

*: A finanszírozott összeg 25%-a, de maximum a táblázatban szereplô összeg.

500

MÁV Zrt.

Folyószámla látra szóló állomány/ bank

Limit (M Ft)

500

1 000

5 000

MÁV Szolgáltató Központ Zrt. 150

500

1 000

5 000

100

MÁV VAGON Kft.

500

1 000

5 000

100

ZÁHONYPORT Zrt

(M Ft)

17. szám A MÁV Zrt. Értesítôje 1557

2. sz. melléklet

A kihelyezésekre alkalmazandó limitek társaságonként

1558


Szerkeszti a MÁV Zrt. Jogi Igazgatóság. 1087 Budapest, Könyves Kálmán körút 54-60. Telefon: 511-3105 Szerkesztésért felelôs a Szerkesztôbizottság. Kiadja a MÁV Zrt. Felelôs kiadó: Dr. Siska Judit. Terjeszti a MÁV Zrt. BKSzE (1087 Budapest, Könyves Kálmán körút 54-60.)

HU ISSN 1419—3973 Nyomda: Komáromi Nyomda és Kiadó Kft. Felelôs vezetô: Kovács János ügyvezetô igazgató

17. szám

ÉRTESÍTÔ MAGYAR ÁLLAMVASUTAK ZÁRTKÖRÛEN MÛKÖDÔ RÉSZVÉNYTÁRSASÁG. Utasítások. 17. szám 130. évfolyam október 2. TARTALOM

Recommend Documents