• Coral Tours

Adatkezelési szabályzat

ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT

I. BEVEZETŐ RENDELKEZÉSEK

1. AZ ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT CÉLJA, HATÁLYA

1.1. Az Adatvédelmi és Adatbiztonsági Szabályzat (továbbiakban Szabályzat) célja, hogy meghatározza a 2. pontban megadott Adatkezelőnél, (továbbiakban Adatkezelő) nyilvántartott adatok kezelésének törvényes kereteit, biztosítsa az adatvédelem alkotmányos elveinek és az információs önrendelkezési jognak az érvényesítését, elősegítse az adatbiztonság követelményeinek való megfelelést, továbbá megakadályozza a jogosulatlan adatkezelést. Az Adatvédelmi és Adatbiztonsági Szabályzat meghatározza az adatvédelem szempontjából fontos feladatokat, felelősségi viszonyokat, különös tekintettel a munkavállalók szerepére az adatok védelmével és biztonságával összefüggésben.

1.2. Jelen Szabályzat általános hatálya kiterjed az Adatkezelő által alkalmazott adatfeldolgozók felé irányuló adatáramlásra, valamint az Adatkezelő és más adatkezelő között folytatott személyes adatokat érintő mindenfajta kommunikációra.

1.3. Jelen Szabályzat általános hatálya továbbá kiterjed az Adatkezelő székhelyén, telephelyén folyó valamennyi adatkezelésre, adattovábbításra, információ átadásra, az ezek miatti adatkezelés, információátadás tárgyát képező adatra, jelen Szabályzatban meghatározottak szerinti üzleti titokként kezelendő és annak védelmével kapcsolatos tevékenységekre.

1.4. A Szabályzat személyi hatálya kiterjed az Adatkezelő minden alkalmazottjára, valamint a vele szerződéses vagy egyéb kapcsolatban álló, személyes adatkezelést végző személyre.

1.5. A Szabályzat tárgyi hatálya kiterjed az Adatkezelő által kezelt valamennyi adatra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.

2. AZ ADATKEZELŐ ADATAI

Név: Coral Tours Idegenforgalmi és Szolgáltató Kft.

Székhely: 1063 Budapest, Munkácsy Mihály utca 23.

Cégjegyzékszám: 01-09-869212

Adószám: 13710091-2-42

Engedélyszám: U-000733

Belső adatvédelmi felelős neve: Török Ágnes

Elérhetőségei: (+36) 1 412-1212, coral@coraltours.hu

3. AZ ADATVÉDELEM ÉS ADATBIZTONSÁG IRÁNYÍTÁSI FELÜGYELET 

3.1. A jelen Szabályzatot az Adatkezelő cégvezetője hagyja jóvá és tárolja. A Szabályzat legalább évente egy alkalommal felülvizsgálatra és jóváhagyásra kerül. A Szabályzat valamennyi munkavállaló számára elektronikus és nyomtatott formában is elérhető.

4. AZ ADATVÉDELM ÉS ADATBIZTONSÁGGAL KAPCSOLATOS FELELŐSSÉG ÉS JELENTÉS

4.1. A Szabályzat végrehajtásáért a cégvezető a felelős. Valamennyi munkavállaló kötelezettsége a cégvezető számára történő bejelentése, ha a Szabályzat megkerüléséről vagy megsértéséről szerez tudomást, vagy ennek gyanúja merül fel.

5. JOGSZABÁLYI HIVATKOZÁS, KAPCSOLAT AZ ADATKEZELŐ BELSŐ SZABÁLYZATAIVAL

5.1. Jelen Szabályzat jogszabályi alapját a következő törvények teszik hatályossá:

5.2. Jelen Szabályzat az Adatkezelő alábbi belső szabályzathoz kapcsolódik, azzal együttesen értelmezendő: Az Adatkezelő Információbiztonsági Szabályzata.

6. AZ ADATVÉDELM ÉS ADATBIZTONSÁG ÉRTELMEZŐ RENDELKEZÉSEK

 Az adatvédelemmel és adatbiztonsággal kapcsolatban felmerülő fogalmakat a következők szerint kell értelmezni:

Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;

Adatkezelés: személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

Érintett: bármely információ alapján azonosított, vagy azonosítható természetes személy;

EGT: Az Európai Gazdasági Térség az Európai Unió és az Európai Szabadkereskedelmi Társulás tagjai által létrehozott intézmény, az Európai Unió Egységes Piacának kiterjesztése;

Harmadik ország: az EGT tagállamain kívüli ország;

Harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

Különleges adat:  faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok, valamint a bűnügyi személyes adat;

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

Nyilvántartási rendszer: a személyes adatok bármely módon tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ;

Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;

Üzleti titok: a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli.

II. ADATVÉDELEMI RENDELKEZÉSEK

7. ADATKEZELŐRE ÉS ADATKEZELÉSRE VONATKOZÓ SZABÁLYOK, ALAPELVEK

7.1. Az adatvédelmi szabályok betartásáért az Adatkezelő vezetője a felelős. Az Adatkezelő minden dolgozója az adatvédelmi és adatbiztonsági szabályok betartásáért személyes felelősséggel tartozik.

7.2. Az Adatkezelő személyes adatokat csak az Infotv. 5. és 6. §-okban meghatározott felhatalmazás alapján kezelhet, nevezetesen: 

7.3. Ha a hozzájáruláson alapuló adatkezelés célja az Adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – az Infotv. törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó partner igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

7.4. Az Érintett kérelmére indult munkafolyamatban, az annak lefolytatásához szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.

7.5. Az Érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről az Adatkezelő feladata gondoskodni.

7.6. Az Érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat.

A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is. Ha az Érintett személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is: az adatgyűjtés ténye, az érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése.

7.7. Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelés annak minden szakaszában meg kell felelnie e követelménynek, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

7.8. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig tárolható.

7.9. Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről.

8. SZERVEZETEN BELÜLI ADATKEZELÉSI FELADATOK ÉS FELELŐSSÉGEK

8.1. Az Adatkezelő erre jogosult vezetője felelős a jelen Szabályzat végrehajtásáért vagy kinevezhet adatvédelmi felelőst.

 Az adatvédelmi felelős feladatai: 

8.2. A cégvezető feladatai:

8.3. Bármely adatkezelést végző személy az Adatkezelő szervezetén belül a tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért. 

Az adatkezelést végző személy tevékenysége során:

Aki üzleti titok, illetve személyes adat birtokába jut, köteles a titkot időbeli korlátozás nélkül megtartani. Az üzleti titkot, személyes adatot nem lehet visszaélésszerűen felhasználni, így különösen tilos az Adatkezelő feladatkörén kívül a munkavállaló saját vagy más személyes, illetve üzleti céljainak, közvetlen vagy közvetett előnyök elérésére, valamint az Adatkezelő vagy ügyfeleinek megkárosítására használni.

9. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK TÁROLÁSA

9.1. A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek – ideértve azon munkavállalókat is, akik nem jogosultak ezen adatok megismerésére, kezelésére – ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás illetve elektronikus formában kezelt adatok esetén jogosultságkezelés alkalmazásával kell megvalósítani.

9.2. Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges bármikor elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.

9.3. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani. Elektronikus adathordozók (merevlemezek, optikai adathordozók, CD-k, DVD-k, mágneses adathordozók, nyomtatók, multifunkciós gépek háttértárai, flash (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, Tablet-ek, laptopok, stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni, illetve selejtezni.

10. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK FELHASZNÁLÁSA

10.1. Az Adatkezelő által kezelt adatok kizárólag az Info tv., a Hpt. és más jogszabályok rendelkezéseinek megfelelően, illetve az aktuális Szabályzat meghatározott célokra használhatók fel.

10.2. Számítástechnikai, távközlési eszközök és programok megfelelősségének ellenőrzésére, a felhasználók betanítására, illetve oktatási célra szolgáló valós személyi adatokat felhasználni nem lehet. Informatikai (funkcionális, integrációs) tesztkörnyezetekben gondoskodni kell arról, hogy az éles rendszerben kezelt személyes adatok és a tesztkörnyezetben használt és anonimizált adatok közötti kapcsolat technikai úton ne legyen visszaállítható.

10.3. Az Adatkezelő által kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha azt törvény rendeli el.

11. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK FELDOLGOZÁSA

11.1. A személyes adatokon technikai műveletet az Adatkezelő alvállalkozója adatfeldolgozóként az érintett hozzájárulása nélkül is végrehajthat, amennyiben tevékenysége során önálló érdemi döntést nem hoz.

11.2. Az Adatkezelő harmadik személy kezelésében lévő személyes adatokon – amennyiben e tevékenysége során érdemi döntési jogkörrel nem rendelkezik – adatfeldolgozóként az érintett hozzájárulása nélkül is végezhet technikai műveleteket.

11.3. Az Adatkezelő köteles az érintetteket tájékoztatni – lehetőleg már az adatfelvételkor – az igénybe vett adatfeldolgozók személyéről.

11.4. Az adatfeldolgozásra vonatkozó megbízást írásba kell foglalni. A szerződésnek a következő elemeket kell tartalmaznia:

11.5. Az Adatfeldolgozó részére csak olyan személyes adatok adhatók át, amelyek szerepelnek

11.6. Az Adatfeldolgozói feladat teljesítését követően, illetve a szerződés megszűnésekor az Adatfeldolgozó a birtokában lévő személyes adatokat vissza kell, hogy szolgáltassa az Adatkezelőnek. Az átadott adatok adatfeldolgozó számítástechnikai rendszerében található másolatait pedig visszavonhatatlan módon töröltetni kell, melynek megtörténtéről az Adatfeldolgozónak nyilatkoznia kell.

12. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN KELETKEZETT ADATOK TOVÁBBÍTÁSA, HATÓSÁGI ADATSZOLGÁLTATÁS

12.1. Személyes adatot Magyarországon belül, illetve EGT-be továbbítani csak a jelen Szabályzat 7. fejezetében meghatározott valamely jogalap alapján lehet.

12.2. Az EGT-be történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor.

12.3. Harmadik országban lévő Adatkezelő vagy Adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha

A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha

12.4. Banktitok harmadik személy részére történő átadására a 2013. évi CCXXXVII. törvény hitelintézetekről és a pénzügyi vállalkozásokról 161-164. §-ában foglaltak lehetőséget adnak.

12.5. Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén.

13. AZ ADATVÉDELEM ÉS ADATKEZELÉS SORÁN ADATTOVÁBBÍTÁSI NYILVÁNTARTÁS VEZETÉSE

13.1. Az Adatkezelő a kezelt személyes adat továbbításáról nyilvántartást vezet, amely tartalmazza:

13.2. Az adattovábbítási nyilvántartásba betekinthet, abból adatot igényelhet:

13.3. Az adattovábbítási nyilvántartásba való betekintést, az abból történő adattovábbítást dokumentálni kell.

13.4. Az adattovábbítási nyilvántartás vezetési kötelezettségének a következő módokon is eleget lehet tenni:

13.5. Az adattovábbítási nyilvántartást és a betekintési nyilvántartást 5 évig kell visszakereshető módon megőrizni.

14. A SZEMÉLYES ADATOK TÖRLÉSE, HELYESBÍTÉSE, ZÁROLÁSA

14.1. Az adatokat törölni - manuális nyilvántartás esetén megsemmisíteni - kell, ha

14.2. Törlés helyett zárolni kell az adatot, ha az Érintett ezt kéri, vagy ha a törlés sértené az Érintett jogos érdekeit. Amennyiben az adatkezelés célja megszűnt, a zároltadat törlendő. A zárolást oly módon kell megvalósítani, hogy az adatkezelést egyébként munkaköri kötelezettségeként végző személy, illetve az ugyanezen célból hozzáféréssel rendelkező személy ne férhessen hozzá a zárolt személyes adatokhoz. A zárolt személyes adatokhoz kizárólag az adatok technikai tárolását végző személy férhessen hozzá, a zárolás feloldása vagy a zároltadat törlése céljából.

14.3. Az érintett bejelentése vagy az Adatkezelő által észlelt hibás adat esetén – a rendelkezésre álló dokumentumok vagy közhiteles nyilvántartás alapján, illetve az érintettel történt egyeztetést követően – az Adatkezelő a hibás adatot helyesbíti.

14.4. Ha a hibás adat nem helyesbíthető, akkor törölni kell. Amennyiben a törlés vagy a helyesbítés az adatok tárolási módja miatt nem lehetséges, akkor az adatot megfelelő helyesbítő vagy figyelemfelhívó feljegyzés hozzáfűzésével véglegesen zárolni kell.

14.5. Ha az adat hibás volta annak továbbítása után derül ki, akkor ennek tényéről, illetve - amennyiben a hibás adatot az Adatkezelő kijavította - a helyes adatról mindazokat tájékoztatni kell, akiknek az adatot továbbították. A tájékoztatási kötelezettség az adatok zárolása és törlése esetén is fennáll.

15. AZ ÉRINTETT SZEMÉLY TÁJÉKOZTATÁSHOZ VALÓ JOGA

15.1. Az Érintett személy (továbbiakban Érintett), az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, valamint azokba betekintést nyerhet. E jogát oly módon kell biztosítani, hogy az Érintett más személy adatait ne ismerhesse meg.

15.2. Az Érintett kérelmére az Adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat. Az Érintett rá vonatkozó kivonatot kaphat a jelen Szabályzat 13. fejezetében ismertetett Adattovábbítási nyilvántartásból.

15.3. Amennyiben az Érintett a rá vonatkozó, vele kapcsolatos, az ő személyes adatait tartalmazó bármilyen formátumú adathordozón tárolt adatokról kér másolatot, úgy ezt a tájékoztatáshoz való joga gyakorlásaként kell értékelni, és az adatairól a másolatot számára ki kell adni.

15.4. A tájékoztatást (a másolat kiadását) a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül, közérthető formában kell teljesíteni. Amennyiben az Érintett úgy rendelkezik, a tájékoztatást írásban kell megadni.

15.5. A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg:

16. TILTAKOZÁS A SZEMÉLYES ADATOK KEZELÉSE ELLEN

16.1. Az Érintett személy tiltakozhat a személyes adatai kezelése ellen, 

16.2. Tiltakozását szóban, írásban és elektronikus úton is kifejezheti.

16.3. A tiltakozási kérelmet haladéktalanul, de legfeljebb 15 napon belül ki kell vizsgálni. Az Adatkezelő döntéséről a kérelmezőt írásban tájékoztatja.

16.4. Ha az Adatkezelő egyetért a tiltakozási kérelemmel, az adatkezelést megszünteti, az adatokat zárolja, és a tiltakozásról, illetve intézkedéséről értesíti mindazokat, akik részére korábban az adatokat továbbította, és egyben intézkedésre kötelesek a tiltakozási jog érvényesítése érdekében.

17. ADATKEZELÉSI FOLYAMATOK MEGVÁLTOZÁSA, ÚJ ADATKEZELÉS BEVEZETÉSE

17.1. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően szükséges azok jelen Szabályzatnak való megfelelőségét vizsgálni és azok csak abban az esetben vezethetők át a gyakorlatba, ha nem ütköznek jelen Szabályzat előírásaiba.

17.2. Az adatkezelési folyamatok megváltoztatása esetén vizsgálni kell, hogy az eredeti adatkezelés keretein belüli-e a változás, vagy egy más, új adatkezelés jön létre általa.

17.3. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az alábbiakat kell megvizsgálni:

17.4. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően meg kell határozni az azzal érintett munkavállalók körét és el kell végezni a szükséges dokumentummódosításokat.

17.5. Az adatkezelési folyamatok megváltoztatását vagy új adatkezelés bevezetését megelőzően az igénybe venni kívánt adatfeldolgozókkal adatfeldolgozói szerződést vagy szerződés kiegészítést kell kötnie az Adatkezelőnek.

III. AZ ADATKEZELÉS ADATAINAK ADATBIZTONSÁGA

18. AZ ADATKEZELŐ ÁLTAL KEZELT ADATOK BIZTONSÁGA

18.1. A jelen Szabályzatban nem szabályozott adatbiztonsági kérdések tekintetében a jelen Szabályzat 4.2. pontjában található szabályzat az irányadó.

18.2. Az Adatvédelmi és Adatbiztonsági Szabályzat alapvető rendeltetése a személyes adatok és az üzleti titkok megismerhetőségének korlátozására vonatkozó szabályok kialakítása, illetve ezen adatok illetéktelen személyek általi megismerhetőségének megakadályozása.

18.3. A fenti cél elérése érdekében az adatkezelések során - az adatkezelés jellegétől függően - az információ-rendszerek következő védelmi módszereit kell alkalmazni:

18.4. Az Adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek magánszférájának védelmét.

18.5. Mind az Adatkezelő, mind az általa igénybevett Adatfeldolgozó köteles gondoskodni az adatok biztonságáról, és megtenni azokat a technikai és szervezési intézkedéseket, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.  Az Adatkezelőnek és adatfeldolgozójának a fenti szabályok érvényesülését kell szem előtt tartaniuk az eljárási szabályok kialakítása során is.

18.6. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

18.7. A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében biztosítani kell, hogy e külön nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

19. AUTOMATIZÁLT ADATFELDOLGOZÁS

19.1. A személyes adatok automatizált feldolgozása során biztosítani kell:

19.2. Az Adatkezelőnek és az Adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, amennyiben ez nem jelent aránytalan nehézséget az Adatkezelőnek.

19.3. A fizikai biztonság megteremtéséhez az alábbi intézkedéseket szükséges megtenni:

Annak érdekében, hogy lecsökkenjen a jogosulatlan hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidőben, mind azon kívül, bevezetésre kerül az „üres asztal” szabály a papíralapú anyagokra és a hordozható adattárolókra, valamint a „zárolt képernyő” szabály az információ-feldolgozó eszközökre. E szabályok részletesen: 

19.4. Az üzemeltetési biztonság kialakítására az alábbi intézkedéseket szükséges megtenni:

19.5. A technikai biztonság érdekében szükséges intézkedések:

20. AZ ADATKEZELÉS MANUÁLISAN KEZELT ADATAI

20.1. A manuálisan kezelést személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:

21. MUNKAVÁLLALÓVAL SZEMBENI ADATBIZTONSÁGI KÖTELEZETTSÉGEK

21.1. Aki a személyes adat és az üzleti titkot képező adat megismerésére jogosult: 

21.2. Személyhez fűződő jogokat sért [Ptk. 2:46. §], aki üzleti titok birtokába jut, és azt jogosulatlanul nyilvánosságra hozza vagy azzal egyéb módon visszaél.

21.3. Üzleti titok tisztességtelen módon való megszerzésének minősül az is, ha az üzleti titkot a jogosult hozzájárulása nélkül, a vele - a titok megszerzése idején vagy azt megelőzően – bizalmi viszonyban (így különösen a munkaviszony és a munkavégzésre irányuló egyéb jogviszony) vagy üzleti kapcsolatban álló személy közreműködésével szerezték meg [1996. évi LVII. tv. A tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról]. 

21.4. Az Adatkezelő valamennyi munkavállalója munkavégzése során köteles saját szakterületén jelen Szabályzat rendelkezéseinek, előírásainak érvényt szerezni. 

22. AZ ADATBIZTONSÁGGAL KAPCSOLATOS TITOKTARTÁSI KÖTELEZETTSÉG

22.1. Az Adatkezelő telephelyén munkavégzésre irányuló jogviszonyban lévő személyek kötelesek jelen Szabályzat, továbbá a hatályos jogszabályok szerint a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül megőrizni. A munkavállalók kizárólag a munkaköri leírásban meghatározott feladatkörükön belül ismerhetik meg az ilyen adatokat. E titoktartás nem terjed ki a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettségre.

22.2. Az adatbiztonság személyi feltételeinek kialakítása tekintetében a cég minden tagját, aki feladatai ellátása során személyes adatot vagy üzleti titkot kezel, megfelelő felkészítésben, oktatásban kell részesíteni.

22.3. Minden személyes adatot, üzleti titkot tartalmazó rendszerhez való hozzáférésre feljogosított munkavállaló köteles titoktartási kötelezettség vállalást tenni. A kötelezettség vállalásban nyilatkozni kell arról, hogy a munkavállaló jelen Adatvédelmi és Adatbiztonsági Szabályzat rendelkezéseit megismerte, azokat magára nézve kötelezőként elismeri, a szükséges titokvédelmi ismereteket elsajátította, valamint a személyes adatok védelméhez fűződő jog és az üzleti titok megsértésének mind büntetőjogi, mind polgári jogi következményeivel tisztában van. 

 IV. A JOGELLENES ADATKEZELÉS KÖVETKEZMÉNYEI

23.1. A Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok kezelésével kapcsolatos jogsérelem esetén felszólíthatja az adatkezelőt a jogsérelem orvoslására a szükséges intézkedések megjelölésével. Amennyiben a jogsérelem orvoslására a felszólítás alapján nem került sor, a Hatóság jelentést készíthet és adatvédelmi hatósági eljárást indíthat. A Hatóság jelentése bíróság vagy más hatóság előtt nem támadható meg. Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság elrendelheti a személyes adatok helyesbítését, zárolását, törlését, megsemmisítését, megtilthatja az adatok jogellenes kezelését, feldolgozását, külföldre történő továbbítását vagy átadását, elrendelheti az érintett tájékoztatását. A Hatóság a határozatát az Adatkezelő azonosító adataival együtt nyilvánosságra hozhatja. Ha a Hatóság eljárása során fegyelmi vétség, szabálysértés vagy bűncselekmény elkövetésének alapos gyanúját észleli, fegyelmi, szabálysértési vagy büntető eljárást köteles kezdeményezni.

23.2. A bíróság eljárása a Ptk. 2:51. § [A személyiségi jogok megsértésének szankciói] (1) bekezdése alapján az érintett fél a fentieken felül a következő igényeket is támaszthatja:

(1) Akit személyiségi jogában megsértenek, sérelemdíjat követelhet az őt ért nem vagyoni sérelemért.

(2) A sérelemdíj fizetésére kötelezés feltételeire – különösen a sérelemdíjra köteles személy meghatározására és a kimentés módjára – a kártérítési felelősség szabályait kell alkalmazni, azzal, hogy a sérelemdíjra való jogosultsághoz a jogsértés tényén kívül további hátrány bekövetkeztének bizonyítása nem szükséges.

(3) A sérelemdíj mértékét a bíróság az eset körülményeire – különösen a jogsértés súlyára, ismétlődő jellegére, a felróhatóság mértékére, a jogsértésnek a sértettre és környezetére gyakorolt hatására – tekintettel, egy összegben határozza meg. A személyiségi jogok megsértése esetén a jogsértőtől kártérítés követelhető.

A Ptk. 2:53. § [Kártérítési felelősség] Aki személyiségi jogainak megsértéséből eredően kárt szenved, a jogellenesen okozott károkért való felelősség szabályai szerint követelheti a jogsértőtől kárának megtérítését.

23.3. A büntetőeljárás az egyéni felelősségre vonást célozza, tehát a szabályokat megsértő munkatárs, illetve a vezető kerül közvetlenül felelősségre vonásra.

(1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva

(2) Az (1) bekezdés szerint büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti.

(3) A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges személyes adatra követik el.

(4) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.

23.4. A Munka Törvénykönyve rendelkezései alapján a munkáltató a Szabályzat és az adatkezelésre vonatkozó jogszabályok be nem tartását akár rendkívüli felmondással is szankcionálhatja, illetve a vétkesség függvényében a bekövetkezett teljes kár megfizetésére is igényt tarthat.

 

Budapest, 2019. január 2.