Adatvédelmi szabályzat
„21 Nő az egészségügyért” Alapítvány
-
Általános rendelkezések
1.1.Preambulum
„21 Nő az egészségügyért” Alapítvány (székhely: 1061 Budapest, Király u. 12.) (a továbbiakban: Adatkezelő) célja, hogy a tevékenységével összefüggésben felmerülő személyes adatok kezelésével járó folyamatai, eljárásai során biztosítsa a személyes adatok védelmének megfelelő szintjét a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete szerint (a továbbiakban: GDPR, vagy Rendelet).
Jelen szabályzat célja, hogy ismertesse az Adatkezelő tisztségviselőivel, megbízottjaival és a rendszerek felhasználóival a személyes adatok kezelése során érvényesítendő szabályokat és eljárásokat.
Az adatkezelési műveleteket Adatkezelő úgy tervezi meg és hajtja végre, hogy az érintettek magánszférájának védelme megfelelő módon biztosított legyen. A technika mindenkori fejlettségére tekintettel megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az adatbiztonság érvényre juttatásához szükségesek. Az adatokat védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, károsodás és véletlen elvesztés, továbbá az adatoknak az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válása ellen.
Az Adatkezelő adatfeldolgozó igénybevétele esetén gondoskodik arról, hogy a kiválasztott adatfeldolgozó a személyes adatok védelme érdekében megtegye a szükséges intézkedéseket, valamint kövesse Adatkezelő szabályzatait és egyedi utasításait. A kiválasztás során az Adatkezelő törekszik arra, hogy csakis olyan adatfeldolgozó kerüljön igénybevételre, amely megfelelő garanciákat nyújt – különösen szakértelem, megbízhatóság és erőforrások tekintetében – arra vonatkozóan, hogy az adatvédelmi követelmények teljesülését biztosító technikai és szervezési intézkedéseket végrehajtja, ideértve az adatkezelés biztonságát is.
1.2.A szabályzat hatálya
Jelen szabályzat hatálya kiterjed az Adatkezelő valamennyi tisztségviselőjére, megbízottjaira, valamint a külső szervezetek mindazon alkalmazottaira, akik az Adatkezelő informatikai rendszereit használják, üzemeltetik, működtetik vagy fejlesztik, azaz az Adatkezelő adatvagyonához hozzáférhetnek.
A szabályzat hatálya nem terjed ki:
a) az Adatkezelő munkaügyi, egyéb munkavégzésre irányuló jogviszonnyal kapcsolatos adatkezelési tevékenységére,
b) az anonim információkra, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyekre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható;
c) az elhunyt személyekkel kapcsolatos személyes adatok kezelésére.
2. Az adatkezeléssel kapcsolatos rendelkezések
2.1.Adatkezelési tájékoztatás
Az újonnan megkezdett adatkezelés esetében – amennyiben az érintettre vonatkozó személyes adatokat az Adatkezelő az érintettől gyűjti -, a személyes adatok megszerzésének időpontjában, amennyiben pedig az érintett utólag kér tájékoztatást, ezen tájékoztatás megadásakor is az érintett rendelkezésére kell bocsátani az alábbi információkat:
a) az Adatkezelő és amennyiben ilyen kijelölésre kerül, képviselőjének kiléte és elérhetőségei;
b) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja (ideértve különösen az Adatkezelő és harmadik fél jogos érdekeinek kifejtését is);
c) a személyes adatok címzettjei, amennyiben van ilyen, a címzettek kategóriái;
d) adott esetben annak a ténye, ha az Adatkezelő harmadik országba, vagy nemzetközi szervezet részére kívánja az adatokat továbbítani, a vonatkozó megfelelőségi határozat léte vagy hiánya, vagy ilyen adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint azok másolatának megszerzésére szolgáló módokra vagy azok elérhetőségére való hivatkozás;
e) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
f) az érintett azon jogáról történő tájékoztatása, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését, vagy kezelésének korlátozását (zárolás), és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogát;
g) amennyiben az adatkezelés az érintett hozzájárulásán alapul, az arról való tájékoztatást, hogy hozzájárulását bármely időpontban visszavonhatja, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
h) az érintettnek joga van felügyeleti hatósághoz címzett panasz benyújtására;
i) azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e személyes adatokat megadni továbbá, hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
j) amennyiben ez releváns, az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó közlés, hogy az ilyen adatkezelés milyen jelentőséggel és az érintettre nézve milyen várható következményekkel bír.
Amennyiben az Adatkezelő a személyes adatokon a gyűjtésük céljától eltérő további célból adatkezelést kíván végezni és erre lehetősége van, a Rendelet vonatkozó szabályaira tekintettel a további adatkezelést megelőzően tájékoztatja az érintettet erről az eltérő célról és minden, a fenti pontokban megfogalmazott információkról.
Az újonnan megkezdett adatkezelés esetében - amennyiben erre lehetőség van és ha az érintettre vonatkozó személyes adatokat az Adatkezelő nem az érintettől gyűjti -, a személyes adatok megszerzésének időpontjában, illetőleg a tájékoztató elkészítésekor az Adatkezelő az érintett rendelkezésére bocsátja a fenti információkat, továbbá a személyes adatok forrását és adott esetben azt, hogy az adatok nyilvánosan hozzáférhető forrásból származnak-e.
2.2.Érintett joggyakorlásának belső eljárásrendje
2.2.1. Az Érintettet megillető jogok
Az Érintettet az alábbi jogosultságok illetik meg az Adatkezelő adatkezelése esetén:
- Az érintett bármikor jogosult tájékoztatást kérni az Adatkezelő által kezelt, rá vonatkozó személyes adatokról. A tájékoztatás az adott adatkezelésről készült tájékoztatóban megjelölt elektronikus e-mail címen kérhető.
- Adatkezelő kérelem alapján 25 napon belül adja meg a kért tájékoztatást.
- A tájékoztatás keretében az adatvédelemért felelős személy – vagy a szerződésben erre a feladatra kijelölt adatfeldolgozó – köteles az érintettre vonatkozó, Adatkezelő által kezelt adatokról és a fentiekről tájékoztatást adni.
- A tájékoztatást az érintett által kért formában kell megadni, erre irányuló kifejezett kérés hiányában elsősorban email-en keresztül, másodsorban postai küldeményként kell megadni, amennyiben az Adatkezelő számára rendelkezésre áll a kommunikációs forma használatához szükséges adat és amennyiben az érintett személyazonossága kétséget kizáróan megállapítható.
- Ha az Adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben az érintett hozzáférési jogát, a helyesbítés és törlés kérésének jogát, az adatkezelés korlátozásához való jogát, az ezekhez kapcsolódó értesítési jogot, valamint adathordozhatósághoz való jogot az Adatkezelő nem biztosítja, kivéve, ha az érintett abból a célból, hogy az említettek szerinti jogát gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.
- A panaszok kezelésével kapcsolatban az adatvédelemért felelős személy számára tájékoztatást kötelesek adni a személyes adatok kezelésében részt vevő munkavállalók, egyéb személyek.
2.2.2. Törlési kérelem kezelése
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyekből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja az adatkezelés alapját szolgáló hozzájárulását és az adatkezelésnek más jogalapja nincs;
c) az érintett a közérdekű, valamint az Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés ellen tiltakozik és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a közvetlen üzletszerzés céljából beszerzett adatainak kezelése ellen tiltakozik;
d) a személyes adatokat jogellenesen kezelte az Adatkezelő;
e) a személyes adatokat az Adatkezelő-re alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a Rendelet szerinti, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Amennyiben az Adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő Adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
A törlést nem kell teljesíteni, amennyiben az adatkezelés
a) véleménynyilvánítás szabadságához, vagy a tájékoztatáshoz való jog gyakorlása céljából szükséges,
b) jogi igények előterjesztéséhez, érvényesítéséhez és védelméhez szükséges,
c) jogi kötelezettség teljesítése miatt szükséges,
d) közérdekű archiválás, tudományos, vagy történelmi kutatás céljából, illetve statisztikai célból szükséges és az adattörlés lehetetlenné tenné, vagy komolyan veszélyeztetné az adatkezelés céljának teljesítését.
Adatkezelő továbbá törli, vagy anonimizálja az érintettre vonatkozó, az informatikai rendszereiben, valamint papír alapú dokumentációiban szereplő személyes adatokat, ha jogszabály máshogy nem rendelkezik és a személyes adat kezeléséhez fűződő cél megszűnt. Amennyiben a személyes adat törlése nem valósítható meg az azt tartalmazó irat sérelme nélkül, az alábbiak szerint kell eljárni:
a) abban az esetben, ha az irat megőrzéséhez az Adatkezelő, vagy harmadik személy jogos érdeke fűződik, az iratot az Adatkezelő az iratkezelési szabályok szerinti időtartamig megőrzi, törlési kérelem esetén az iratot zártan kezeli és erről az érintettet értesíti, és az iratot a személyes adattal együtt az iratkezelési szabályban meghatározott időtartam lejártát követően megsemmisíti,
b) ha pedig az irat megőrzéséhez az Adatkezelőnek és harmadik személynek sem fűződik jogos érdeke, az Adatkezelő az iratot a személyes adattal együtt megsemmisíti.
Az adatok törlése iránt minden esetben az adatvédelemért felelős személy a személyes adat kezelésével kapcsolatban érintett szervezeti egységgel, informatikai rendszer rendszergazdájával együttműködésben intézkedik.
Az Adatkezelő az informatikai rendszereiből a személyes adatot - amennyiben lehetséges -, visszaállíthatatlanul törli, továbbá gondoskodik arról, hogy az informatikai rendszer archivált változatában is átvezetésre kerüljön a személyes adat törlése. A törlésért az informatikai rendszerért felelős személy felel.
Amennyiben a helyreállíthatatlan törlés informatikai okból nem kivitelezhető, Adatkezelő az adat logikai törlését hajtja végre. A logikai törlés keretében a személyes adatot olyan azonosítóra kell lecserélni, amely megakadályozza, hogy a személyes adathoz tartozó további adatok a későbbiekben kapcsolatba hozhatók legyenek az érintettel.
A papír alapú dokumentációk esetében azok jegyzőkönyvvel rögzített megsemmisítéséről kell gondoskodni.
A jegyzőkönyvben rögzíteni kell: a megsemmisített iratok típusát, a megsemmisített iratok beazonosíthatóságához szükséges információkat, a megsemmisítés időpontját és a megsemmisítést végző személy nevét, beosztását, külső partner esetén a külső partner nevét.
Amennyiben az adatok törlése jogszabályi előírás, de az az érintett jogos érdeke miatt nem lehetséges, a személyes adatot, illetve a személyes adatot tartalmazó elektronikus, vagy papír alapú dokumentációt zárolni kell. Ez esetben az informatikai rendszerben tárolt adathoz, illetve dokumentumhoz csak az informatikai rendszer rendszergazdája vagy az adatvédelemért felelős személy rendelkezhet hozzáféréssel. Papír alapú dokumentációk esetén pedig a dokumentum őrzését zárható szekrényben kell megvalósítani.
A papír alapú dokumentációk belső rendszerbe feltöltött elektronikus példányához az Adatkezelő a felhasználók hozzáférését megszünteti.
2.2.3. Az adatkezelés elleni tiltakozás kezelése
Az érintett részére biztosítani kell, hogy tiltakozhasson személyes adatának kezelése ellen. Az adatvédelemért felelős személy a legrövidebb időn belül azonosítja az érintettet, a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt tájékoztatja.
2.2.4. Helyesbítési kérelem kezelése
Az érintett bármikor jogosult a helytelenül rögzített adatainak helyesbítését kérni.
Amennyiben az érintett jelzi, hogy az Adatkezelő által kezelt bármely adata nem felel meg a valóságnak, az adatvédelemért felelős személy azonosítja az érintettet és intézkedik az adat helyesbítése iránt. Eljárása keretében az adat helyesbítésére vonatkozó igényt az Adatkezelő érintett informatikai rendszerének rendszergazdája felé jelzi, megjelölve a helyes adatot.
Amennyiben a helyes adat nem áll rendelkezésre, az adatvédelemért felelős személy az érintettől kér felvilágosítást a helyes adatról.
Ha a helyes adat nem állapítható meg, az adatvédelemért felelős személy gondoskodik a helytelen adat zárolásáról. A zárolás az adat passzív állapotba helyezését jelenti. Egyidejűleg az adatvédelemért felelős személy értesíti az érintetett, hogy az adat helyesbítésére a helyes adat hiányában nincs mód, de az adat zárolásra került.
2.2.5. Személyes adat korlátozása iránti kérelem kezelése
Az érintett jogosult arra, hogy kérésére Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
- az adatkezelés jogellenes, és az Adatkezelő ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
- Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett tiltakozott az adatkezelés ellen, de az Adatkezelő jogos érdeke is megalapozhatja az adatkezelést. Ez esetben amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben, az adatkezelést korlátozni kell.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.
Adatkezelő az érintettet, akinek a kérésére az adatkezelést korlátozták, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
2.3.Adatkezelés során alkalmazandó intézkedések
Az Adatkezelő által működtetett informatikai rendszerek felhasználói, a személyes adatokkal egyéb módon kapcsolatba kerülő személyek a személyes adatok védelme érdekében kötelesek megtartani az alábbi előírásokat.
A munkavégzés/feladatellátás során keletkezett, személyes adatot is tartalmazó dokumentumokat csak a munkavégzés céljára szolgáló számítástechnikai eszközökön nyithatják meg.
A munkavégzés/feladatellátás céljára szolgáló eszközök hozzáférési kódjait a munkavállalók bizalmasan kötelesek kezelni.
A munkavégzés/feladatellátás céljára szolgáló mobiltelefonokra is érkező, személyes adatot is tartalmazó dokumentumként minősülő levelek esetén a dokumentumot lehetőség szerint csak asztali számítógépen, vagy notebook-on kell megnyitni. Amennyiben a mobiltelefonon keresztüli megnyitás szükséges, akkor a mobiltelefonról a helyi másolatot minden esetben törölni kell.
A munkavégzésre/feladatellátásra használt olyan mobiltelefont, amelyen az Adatkezelő által kezelt, vagy feldolgozott személyes adat is megtalálható, minden esetben a mobiltelefonba épített ábrás, vagy kódos védelemmel kell használni.
A munkavégzés/feladatellátás céljára átadott notebook-ok és egyéb munkaállomások esetében az eszközöket csak a felhasználók használhatják, hozzátartozóik, vagy más személy számára nem engedélyezett a használat.
A papír alapú munkadokumentumokat, ha azok használata már nem szükséges, olyan módon kell megsemmisíteni (pl: irat ledarálásával), hogy a megsemmisítést követően ne lehessen azok tartalmát megállapítani.
A munkavállaló munkaviszonya, megbízása, egyéb feladatellátásra szolgáló jogviszonya megszűnése esetén minden, személyes adatot is tartalmazó, papír alapú és elektronikus iratot, adatot köteles a foglalkoztatásának utolsó napját megelőzően - de legkésőbb az utolsó napon - az Adatkezelő részére visszaszolgáltatni, azokról másolatot nem tarthat magánál.
Tilos magánhasználatú eszközön az Adatkezelő kezelésében, vagy feldolgozásában lévő személyes adatot tárolni, kivéve, ha a tárolás a munkavégzéshez elengedhetetlenül szükséges és a tárolást a munkavégzést követően megszüntetik.
Minden munkavállaló köteles az általa használt munkaterületet olyan módon használni, hogy azon az Adatkezelő kezelésében, vagy feldolgozásában lévő, személyes adatot is tartalmazó dokumentumok lehetőség szerint szabadon ne legyenek hozzáférhetők. Ilyen intézkedésnek minősül különösen: számítástechnikai eszközök jelszavas védelme, az irodahelyiség zárása, az iratok elhelyezése védett helyre.
Személyes adatok csak biztonságos kommunikációs csatorna alkalmazásával, vagy megfelelő titkosítási megoldással adhatók át más személynek. Ellenkező jelzésig az Adatkezelő belső levelezési rendszerén belüli adatáramlás biztonságos kézbesítési csatornának tekintendő. Külső adatátadás során gondoskodni kell a személyes adatok titkosításáról SSL kapcsolat, vagy egyedi titkosítás (pl.: MD5 titkosítás) használatával, a jelszó elkülönített csatornán (pl.: SMS) keresztüli küldésével, papír alapon pedig zárt borítékon keresztüli átadással.
Amennyiben az Adatkezelő más Adatkezelőtől, az adathoz kapcsolódó rendelkezéssel fogad személyes adatot, valamennyi, az adattal érintkező felhasználónak kötelessége az adattovábbító rendelkezéseit figyelembe venni.
Személyes adat továbbítása esetén 3 munkanapon belül az adatvédelemért felelős személy számára elektronikus levélben el kell juttatni mindazokat az információkat, amelyek a jelen Szabályzat mellékletében található adattovábbítási nyilvántartás vezetéséhez szükségesek.
Nem adható át külső személynek titoktartási nyilatkozat hiányában személyes adat.
3. Adatkezelés tervezésével, informatikai rendszer fejlesztésével kapcsolatos rendelkezések
3.1.Adatkezelés tervezése
Személyes adatok kezelésével járó új tevékenységek bevezetésekor az alábbi feladatokat kell elvégeznie az adatvédelemért felelős személynek:
a) meg kell határoznia
- a kezelendő személyes adatok körét,
- az adatok kezelésének célját,
- az adatkezelés jogalapját,
- az adatkezelés időtartamát,
b) fel kell mérnie, hogy az adatok milyen informatikai rendszerben lesznek kezelve, az adatok milyen informatikai rendszerben jelennek meg,
c) meg kell határoznia, hogy előre láthatóan az adatokhoz kinek szükséges hozzáférnie az Adatkezelőn belül, illetve kívül,
d) be kell mutatni, hogy az adatokat szükséges-e továbbítani más személy számára,
e) be kell mutatni, hogy az adatkezeléshez igénybe kell-e venni adatfeldolgozót, amennyiben igen, az adatfeldolgozó feladata mi lesz, várhatóan ki lesz az adatfeldolgozó,
f) meg kell határozni az adatkezelés megkezdésének tervezett időpontját, az adatok felvételének módját és pontos helyét (pl.: erre szolgáló internetes felület vagy papír alapú adatfelvétel).
A kialakított adatkezelési terv alapján az adatkezelésről szóló tájékoztatót és a végleges adatfeldolgozási szerződést az adatvédelemért felelős személy készíti el.
3.2.Az adatfeldolgozói szerződések kötelező tartalmi elemei
A szabályzat hatálybalépését követően kötött adatfeldolgozói szerződésekben legalább az alábbiakról rendelkezni kell:
a) szerződés tárgya,
b) az Adatkezelő és az adatfeldolgozó adatai
c) a feldolgozott adatok körének megjelölése,
d) az adatfeldolgozás céljai,
e) az adatfeldolgozás időtartama,
f) a feldolgozandó személyes adatok becsült mennyisége,
g) az adatfeldolgozó által elvégzett technikai műveletek megnevezése és alapvető elemei;
h) az érintettek köre,
i) adatfeldolgozó által ellátandó feladatok pontos leírása,
j) az utasításhoz kötöttség ténye,
k) a tájékoztatási kötelezettség,
l) arról, hogy az adatfeldolgozó a Rendeletben alkalmazott biztonsági eljárásokra (álnevesítés, titkosítás) felkészül, azokat legkésőbb a Rendelet alkalmazásának megkezdésétől bevezeti;
m) Adatkezelő rendszergazdájának, információbiztonsági felelősének és adatvédelemért felelős személyének elérhetősége,
n) adatfeldolgozó titoktartási kötelezettsége,
- o) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedések meghatározása, az adatbiztonsági előírások meghatározása;
p) annak meghatározása, hogy az adatfeldolgozónak az Adatkezelő mely szabályzatainak kell megfelelnie,
q) további adatfeldolgozó igénybevételének lehetőségét, amennyiben ez ismert, a további adatfeldolgozó személyének megjelölésével, amennyiben nem ismert, a bevonás menetére vonatkozó rendelkezéseket és az Adatkezelő ellenvetési jogát,
r) azt, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a Rendelet követelményeinek,
s) az adatfeldolgozás befejezését követően alkalmazandó eljárásokat (minden személyes adatot törölni kell vagy vissza kell juttatni az Adatkezelő számára és törölni kell a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő,
t) azt, hogy a további adatfeldolgozóval az adatfeldolgozónak az eredeti szerződésének megfelelő tartalmú szerződést kell kötnie,
u) az együttműködés elvét azaz, hogy az adatfeldolgozónak kötelessége az Adatkezelővel együttműködni az alanyi jogok teljesítési során,
v) az Adatkezelő és az adatfeldolgozó közötti utasításadás, illetve kapcsolattartás módja,
w) a felelősség elvét, azaz annak tényét, hogy az Adatkezelő az adatfeldolgozó rendelkezésére bocsát minden olyan információt, amely az Adatkezelő Rendeletben megfogalmazott kötelezettségeinek teljesítéséhez szükséges,
x) az audit jog kikötését azaz, hogy az adatfeldolgozó köteles elősegíteni az Adatkezelő által vagy az általa megbízott más természetes vagy jogi személy által végzett auditokat, beleértve a helyszíni ellenőrzéseket,
y) a felelősség egyes kérdései a felek között,
z) jogérvényesítési lehetőségek a felek között.
3.3.Adatvédelmi incidensekkel kapcsolatos kötelezettségek
A jelen szabályzat hatálya alá tartozó személyek, bármely, az Adatkezelő által vagy közreműködésével működtetett informatikai rendszer esetében haladéktalanul, de legkésőbb 12 órán belül kötelesek jelenteni az adatvédelemért felelős személy számára, ha adatvédelmi incidens gyanúja merül fel, vagy, ha biztos tudomásuk van arról, hogy adatvédelmi incidens történt.
A bejelentést elsősorban munkaidőben, telefonon keresztül kell megtenni, amelyet az adatvédelemért felelős személy kérésére elektronikus levél formájában is meg kell erősíteni.
3.3.1. Adatvédelmi incidens során alkalmazandó eljárásrend
Az adatvédelemért felelős személy és az egyéb érintett személyek a számukra jelzett, vagy saját hatáskörükben megállapított adatvédelmi incidens felderítése és súlyosságának megállapítása érdekében a jelen fejezetben foglaltak szerint kötelesek eljárni.
Adatvédelmi incidens kezelésének eljárása:
- Az adatvédelemért felelős személy felveszi a kapcsolatot az adatvédelmi incidenssel érintett informatikai rendszer rendszergazdájával (amennyiben az incidens informatikai rendszert is érint).
- Az adatvédelemért felelős személynek a felderítés során az alábbi kategóriák valamelyikébe kell az adatvédelmi incidenst sorolni:
- Alacsony szintű adatvédelmi incidens: a személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset.
- Közepes szintű adatvédelmi incidens: a személyes adatok csekély körének megváltoztatása, jogosulatlan továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset.
- Magas szintű adatvédelmi incidens:
- a személyes adatok széles körének jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy más jogellenes adatkezelési eset, illetve
- az adatok körétől függetlenül minden olyan eset, amikor az incidensnek az érintettre hátrányos hatása valószínűsíthető, vagy a hátrányos következmény bekövetkezésének mértéke biztosra vehető.
- Alacsony szintű adatvédelmi incidens esetén az adatvédelemért felelős személy:
- az érintett rendszer rendszergazdájával (amennyiben az incidens informatikai rendszert is érint) közösen meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,
- rögzíti az adatvédelmi incidenst az incidensek nyilvántartásába.
- Közepes szintű adatvédelmi incidens esetén:
- az adatvédelemért felelős személy haladéktalanul, de legkésőbb 12 órán belül munkacsoportot hív össze, amelyben részt vesz az adatvédelemért felelős személyen kívül a rendszergazda (amennyiben az incidens informatikai rendszert is érint) és Adatkezelő vezetője,
- a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére,
- az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában.
- Magas szintű adatvédelmi incidens esetén
- az adatvédelemért felelős személy haladéktalanul, de legkésőbb 12 órán belül munkacsoportot hív össze, amelyben részt vesz az adatvédelemért felelős személyen kívül a rendszergazda (amennyiben az incidens informatikai rendszert is érint) és Adatkezelő vezetője,
- a munkacsoport meghatározza az adatvédelmi incidens kezelésének módját és felhívja az intézkedésre jogosult személyt az incidens kezelésére, továbbá amennyiben szükséges, meghatározza az érintettek értesítésének módját, az értesítés tartalmát, és gondoskodik az érintettek haladéktalan értesítéséről,
- az adatvédelemért felelős személy rögzíti az adatvédelmi incidenst az incidensek nyilvántartásában.
Az Adatkezelő az adatvédelemért felelős személy útján az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából az adatvédelmi incidensekről nyilvántartást vezet, amely tartalmazza az adatvédelmi incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
Amennyiben az érintett ezt kéri, az adatvédelemért felelős személy tájékoztatást ad az érintett személyes adatára is kiterjedő adatvédelmi incidensekkel kapcsolatban.
3.4.Adatvagyon nyilvántartás vezetése
Az adatvédelemért felelős személy az adatkezelések átláthatóságának biztosítása érdekében nem nyilvános adatvagyon nyilvántartást vezet, amely tartalmazza legalább:
a) az Adatkezelő kezelésében lévő adatok felsorolását,
b) azt, hogy adott adat milyen informatikai rendszerben kerül kezelésre,
c) az adatok kezelésének és feldolgozásának fizikai helyszínét,
d) annak leírását, hogy az adatok esetleges továbbítása másik Adatkezelőhöz, illetve átadása adatfeldolgozók részére milyen módon történik, milyen biztonsági intézkedések mellett,
e) az adathoz milyen típusú munkavállalók vagy megbízottak férhetnek hozzá, ideértve az adatfeldolgozásra jogosult személyeket is,
f) az adat kezelésének mi a jogalapja,
g) az adatkezelési tájékoztatót, vagy annak egyértelmű beazonosíthatóságához szükséges adatokat, hogy mikor, milyen adatkezelési tájékoztató vonatkozott az adatkezelésre.
4. Az egyes adatkezelésekkel kapcsolatos különös szabályok
4.1.Szerződéses partnerek adatainak kezelése
Adatkezelő mindent megtesz annak érdekében, hogy szerződéses partnerei kapcsolattartóinak adatai az adatvédelmi követelményekkel összhangban kerüljenek kezelésre.
A kapcsolattartói adatok kezelése érdekében Adatkezelő:
- biztosítja, hogy a kapcsolattartó jelezhesse számára, ha bármely kapcsolattartási célból rögzített adata megváltozott, egyidejűleg a kapcsolattartó adatait módosítja,
- biztosítja, hogy illetéktelen személyek számára a kapcsolattartási adat ne legyen elérhető, és hogy az adat kizárólag az üzleti kapcsolat fenntartása érdekében kerüljön kezelésre,
- amennyiben a kapcsolattartás adott személlyel megszűnt, a korábbi kapcsolattartó adatait felülírja az új kapcsolattartó adataival.
Amennyiben a kapcsolattartói adatok informatikai rendszerben megvalósuló törlése szükséges, Adatkezelő azt anonimizálással hajtja végre.
4.2.Iratkezelési rendszer fenntartása
Adatkezelő iktatási, irattározási rendszert tart fenn. Tekintve, hogy az iktatási rendszerbe személyes adatokat is tartalmazó iratok is bekerülhetnek, Adatkezelő az alábbi intézkedéseket teszi az adatkezelési garanciák biztosítása érdekében:
- az iktatási rendszerben szereplő ügyköröket folyamatosan karbantartja, hogy szükség esetén a személyes adatokat tartalmazó iratok külön kerülhessenek tárolásra (ha ezt az irat tárgyköre megengedi),
- amennyiben személyes adatot is tartalmazó irat kerül az iktatási rendszerbe, és arra vonatkozó törlési kérelem érkezik, az iraton a törlést (ha ezt a számviteli és egyéb rendelkezések lehetővé teszik), végrehajtja.
Egyéb esetekben Adatkezelő az iktatott iratokkal kapcsolatosan a selejtezési szabályok szerint jár el.
5. Záró rendelkezések
A szabályzat módosítása esetén az Adatkezelő a belső szabályzatokra irányadó módon hirdeti ki az új szabályzatot.
***
1. számú melléklet: Incidensek nyilvántartása
1. |
2. |
3. |
4. |
5. |
6. |
Az adatvédelmi incidens időpontja
|
Az adatvédelmi incidens megnevezése, körülményeinek leírása |
Az adatvédelmi incidenssel érintettek köre és száma |
Az érintett személyes adatok körének megjelölése |
Az adatvédelmi incidens hatásai |
Az elhárításra megtett intézkedések |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. számú melléklet: betekintési jegyzőkönyv
Betekintés időpontja:
|
|
Betekintés oka: |
|
Betekintéssel érintett időszak (nap és óra) |
|
Betekintésen részt vevő személyek neve: |
|
Betekintés eredménye: |
|
Kelt: |
|
Aláírás |
|