ADATKEZELÉSI TÁJÉKOZTATÓ
Hatályos: 2018. május 25. napjától
I. A szabályzat célja és hatálya
I.1. A jelen szabályzat célja, hogy a BRISTON Kft. (a továbbiakban: „Adatkezelő”) által személyes adatokon végzett adatkezelés során a) a jogszerű adatkezeléshez szükséges feltételeket megteremtse, b) a személyes adatok jogosulatlan felhasználásának megakadályozása érdekében adatvédelmi és adatbiztonsági előírásokat határozzon meg, c) adatvédelmi incidens esetén az Adatkezelő megfelelő és hatékony intézkedéseket hozzon az adatkezelés biztonságának további sérülése ellen, valamint megfelelően minimalizálja a bekövetkezett károkat, és a 2016/679. EU rendelet (a továbbiakban: „GDPR”) előírásainak megfelelően tájékoztassa az incidensről az érintetteket és a Nemzeti Adatvédelmi és Információszabadság Hatóságot.
I.2. A Jelen szabályzat tárgyi hatálya kiterjed az Adatkezelő által végzett valamennyi olyan adatkezelésre, amelynek során személyes adatok kezelése történik, függetlenül a személyes adatok jellegétől vagy az érintettek körétől.
I.3. A jelen szabályzat személyi hatálya kiterjed az Adatkezelő valamennyi munkavállalójára, továbbá az Adatkezelővel szerződéses viszonyban álló adatfeldolgozókra.
II. Értelmező rendelkezések
A jelen szabályzat alkalmazásában:
II.1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
II.2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
II.3. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
II.4. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
II.5. „érintett”: az a természetes személy, akinek a személyes adatait az adatkezelő vagy az adatfeldolgozó kezeli.
III. Az adatkezelés alapelvei
III.1 A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az személyes adatot kezelni csak a GDPR 6. cikkének (1) bekezdésében meghatározott következő esetekben lehet:
a) Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
b) Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
c) Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.
e) Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.
III.2. A személyes adatok kezelésére vonatkozó elvek:
a) Személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell kezelni.
b) A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból, tehát célhoz kötötten történhet.
c) Az adatkezelésnek minden esetben a szükséges mértékre kell korlátozódnia („adattakarékosság”).
d) A kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük: minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok törlésre vagy helyesbítésre kerüljenek („pontosság”).
e) A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé („korlátozott tárolhatóság”).
f) A személyes adatok kezelését oly módon kell végezni, hogy biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
IV. Adatbiztonság
IV.1. Az Adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR szerinti garanciák érvényre juttatásához szükségesek.
IV.2. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisítés, véletlen megsemmisülés, sérülés, valamint az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
IV.3. Az Adatkezelő és az Adatfeldolgozó által kezelt nyilvántartásokban, az elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok - kivéve, ha ehhez az érintett előzetesen hozzájárult - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
IV.4. A személyes adatok kezelése során biztosítani szükséges:
a) A jogosulatlan adatbevitel megakadályozását.
b) Az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását.
c) Annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják.
d) Annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe. e) A személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét.
c) Fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani.
IV.5. A személyes adatok biztonságos kezelése és őrzése érdekében a munkavállalók a munkaidő végén – vagy amennyiben elhagyják munkaállomásukat a munkaidő alatt - kötelesek gondoskodni arról, hogy személyes adatot tartalmazó okirat, egyéb dokumentum, adathordozó az asztalukon vagy egyébként a munkaállomásukon őrizet nélkül ne maradjon. A személyes adatokat tartalmazó adathordozókat – a jelen szabályzat eltérő rendelkezése hiányában - a munkaállomásokon, elzárt helyen szükséges őrizni.
V. Számítógépek és hálózatok használata
V.1. Az Adatkezelő tulajdonában álló számítógépeket csak az arra felhatalmazott alkalmazottak használhatják, aki egyben felelősek azok rendeltetésszerű használatért.
V.2. A berendezések hibátlan és üzemszerű működésének biztosítása érdekében a számítógépek karbantartását rendszeresen el kell végezni. A gépek karbantartását – a garanciális eszközök kivételével – kizárólag a rendszergazda végezheti.
V.3. Az Adatkezelőnél üzembe helyezett számítógépeken csak előzetesen ellenőrzött és jogtiszta programok futhatnak. Az ellenőrzésnek az esetleges működést akadályozó hibák felderítésén túl ki kell térnie az adatvédelem kérdéskörére is. A feltárt hiányosságokról a program szállítóját írásban kell tájékoztatni. Hibás programot üzembe helyezni tilos. Szoftver telepítésére/frissítésére csak rendszergazda jogosult; a tesztelést a felhasználó és a rendszergazda közösen végzi. Az adatbiztonsági (vírusellenőrzés, adatmentés) célú szoftverek beállításainak módosítása, működésük felfüggesztése még átmenetileg is tilos.
V.4. A számítógépek fizikai meghibásodása vagy rendellenes működése esetén az eszköz használatát fel kell függeszteni, és haladéktalanul értesíteni kell a rendszergazdát.
V.5. Bármilyen külső adathordozó eszköz (pendrive, külső winchester stb.) csatlakoztatása esetén a vírusvédelmi szoftver segítségével először ellenőrizni kell annak vírusmentességét. Amennyiben a használó fertőzött fájlt észlel, az eszköz használata tilos, és haladéktalanul értesíteni kell a rendszergazdát.
V.6. A bizalmas dokumentumokat csak ügyvezetői engedéllyel és csak akkor lehet a munkavégzés helyéről eltávolítani, ha azokra okvetlenül külső helyszínen van szükség. Az Adatkezelő informatikai eszközeiről programot, illetve adatállományokat másolni az otthoni munkavégzési célú másoláson és a biztonsági mentéseken kívül tilos.
V.7. Az Adatkezelő számítógépein internetkorlátozás nincs beállítva, ezért a felhasználók fokozott felelősséget viselnek az internethasználat során a jogszabályi előírások és az adatbiztonsági előírások betartásáért.
V.8. Tilos bizonytalan eredetű e-mailek megnyitása, illetve az internetről bármilyen szoftver telepítése. Probléma észlelése vagy rendellenes működés esetén az eszköz használatát fel kell függeszteni, és haladéktalanul értesíteni kell a rendszergazdát.
V.9. Az Adatkezelő levelezését saját levelezőszerver biztosítja. A levelekhez levelezőprogrammal lehet hozzáférni, de szükség esetén webes felületről is bárhonnan használható a levelezés. A mail programban levő címjegyzéket mindenkinek a saját számítógépe tárolja, arról automatikus mentés nem készül. Az e-mailek letöltése, illetve elküldése esetén azok másolata a mail-szerveren marad, ami – annak mentéséig – egyben biztonsági másolatként is szolgál.
V.10. Valamennyi számítógéphez – beleértve a szervert is – szünetmentes áramforrást kell használni, amely megvédi a berendezést a feszültségingadozásoktól, áramkimaradás esetén az adatvesztéstől.
V.11. A munkavállalók kötelesek a munkaidő végzetével számítógépüket és a kapcsolódó eszközöket kikapcsolni, a külső adathordozókat elzárni. Amennyiben munkaállomásukat a munkaidő alatt elhagyják, a munkavállalók kötelesek zárolni számítógépüket.
VI. Eljárás adatvédelmi incidens esetén
VI.1. Adatvédelmi incidens bekövetkezése esetén az incidenst vagy annak nyomait megfelelően rögzíteni kell, haladéktalanul tájékoztatni kell a bekövetkezett incidensről az ügyvezetőt.
VI.2. Az előző pont szerinti tájékoztatásnak különösen ki kell terjednie az adatvédelmi incidens jellegére, az érintett személyes adatok körére, az érintettek számára, a károsodás, az esetleges illetéktelen hozzáférés súlyosságára, a lehetséges következményekre és a szükséges intézkedésekre. A tájékoztatással nem lehet arra figyelemmel késleltetni, hogy további információk szerzése szükséges.
VI.3. Az ügyvezető haladéktalanul köteles részletesen megvizsgálni az adatvédelmi incidenst. Ennek során mindazon személyek, akikre a jelen szabályzat személyi hatálya kiterjed, köteles rendelkezésére állni a vizsgálat során és részletes információkat szolgáltatni.
VI.4. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, vagy az adatvédelmi hatóság így rendelkezik, az ügyvezető köteles haladéktalanul tájékoztatni az érintetteket az adatvédelmi incidens bekövetkezéséről. A tájékoztatásnak legalább a következőkre ki kell terjednie:
a) Az adatvédelmi incidens bekövetkezésének időpontja, körülményei.
b) Az incidens jellege (pl. vírusfertőzés, hackertámadás, adathordozó elvesztése, adatok megsemmisülése, adatok elvesztése, adatok illetéktelen személyek számára hozzáférhetővé válása).
c) Annak becslése, hogy incidens milyen következményekkel jár az érintettek jogaira, szabadságaira, milyen súlyos a bekövetkezett sérelem.
d) A kár vagy sérelem orvoslására vagy elhárítására tett vagy tenni tervezett intézkedések leírása.
VI.5. Az előző pont szerinti tájékoztatást tömör, átlátható, érthető formában, világosan és közérthetően megfogalmazva kell megtenni. A tájékoztatás díjmentes.
VI.6. Nem kell az érintetteket tájékoztatni az adatvédelmi incidensről a következő esetekben: a) az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.
b) Az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem áll fenn.
c) A tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket az Adatkezelő honlapján kiadott közlemény útján kell tájékoztatni.
VI.7. Az incidensről a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) is értesíteni szükséges. A tájékoztatást, elektronikus úton szükséges megküldeni a NAIH email címére az incidens bekövetkezésétől számított 72 órán belül. A tájékoztatást az ügyvezető teszi meg. Nem szükséges az incidens bejelentése a NAIH-hoz, amennyiben az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve.
VI.8. Adatvédelmi incidens esetén az ügyvezető megtehet minden az adatkezelés biztonsága érdekében szükséges intézkedést, így különösen
a) rendkívüli munkavégzést rendelhet el a kockázatok csökkentése, a károk elhárítása vagy bekövetkezésük elkerülése és az érintettek jogai és adatainak védelme érdekében;
b) az Adatkezelő székhelyének vagy a székhely egy részének lezárásáról, kiürítéséről dönthet, lefoglalhatja a munkavégzéshez szükséges eszközöket;
c) szükség esetén feljelentést tesz vagy bejelentéssel ér az illetékes hatósághoz;
d) az Adatfeldolgozó közreműködését kéri adatok helyreállításához, vagy a károk csökkentése, elkerülése érdekében.
VII. Hatályba léptető és egyéb rendelkezések
VII.1. A jelen szabályzat 2018. május 25. napján lép hatályba.
VII.2. A jelen szabályzatban nem szabályozott kérdésekben a GDPR-t és a hatályos magyar jog szabályait szükséges alkalmazni.
VII.3. A jelen szabályzatot az adatkezelő köteles szükség szerint, de legalább kétévente felülvizsgálja. Az esetleges módosításokkal egységes szerkezetbe foglalt szabályzat megismerésére jogosult minden érintett és külön közölni kell mindazokkal, akikre vonatkozóan kötelezettséget állapít meg.