ADATVÉDELMI SZABÁLYZAT
Makói Városgazdálkodási Nonprofit Kft.
ADATVÉDELMI SZABÁLYZAT
Készítés dátuma: | 2021.09.24. |
Utolsó módosítás: | 2022.08.01. |
Hatálybalépés: | 2022.08.01. |
Tartalom
1 Általános rendelkezések 3
1.1 A szabályzat célja 3
1.2 A szabályzat hatálya 3
1.3 Értelmező rendelkezések 3
1.4 Kapcsolódó jogszabályok 5
1.5 Kapcsolódó belső szabályzatok 5
2 Általános adatkezelési szabályok 5
2.1 A Vállalkozásra – adatkezelőre - vonatkozó információk 5
2.2 Az adatkezelés célja 6
2.3 A kezelt adatok köre, kezelésük pontos céljai, jogalapja 6
2.4 Az adatkezelés helye 7
2.5 Az adattárolás időtartama 7
2.6 Titoktartási kötelezettség 7
2.7 Adatfeldolgozás 8
2.8 Adattovábbítás 8
2.8.1 Adattovábbítás belföldre 8
2.8.2 Adattovábbítás külföldre 9
2.9 Adatvédelmi hatásvizsgálat 9
2.10 Adatvédelmi incidens 9
3 Az adatvédelem szervezete, az Adatvédelmi Tisztviselő 9
3.1 Feladatkör, kötelességek 10
3.2 Jogkör 11
3.3 Kapcsolat harmadik személlyel 12
4 Érintett jogai és azok érvényesítése 12
4.1 Előzetes tájékoztatás 12
4.2 Hozzáféréshez való jog 13
4.3 A helyesbítéshez való jog 13
4.4 A hordozhatósághoz való jog 14
4.5 A korlátozáshoz való jog 14
4.6 Törléshez való jog 15
4.7 Hatósági jogorvoslathoz való jog 15
4.8 Bírósági jogorvoslathoz való jog 16
5 Minősített adatokat tartalmazó ügyiratok kezelése 16
5.1 Minősített adatokat tartalmazó ügyiratok átvétele, nyilvántartása 16
5.2 Üzleti titok megismerésének korlátozása 17
1 Általános rendelkezések
1.1 A szabályzat célja
E szabályzat célja, hogy meghatározza a Makói Városgazdálkodási Nonprofit Kft. (a továbbiakban: Vállalkozás) által vezetett, személyes adatokat tartalmazó nyilvántartások kezelésének rendjét és a Vállalkozás által végzett adatkezelés törvényes kereteit, biztosítva az adatvédelem alkotmányos elveinek az EU 2016/679 rendeletében, valamint az információs önrendelkezési jognak az adatvédelmi törvényben (2011. évi CXII. törvény) leírtak szerinti érvényesülését.
A szabályzat a jogszerű, tisztességes, az érintett számára átlátható módon végzett adatkezelés elvét követi.
A szabályzat nem tartalmazza az adatbiztonságra vonatkozó előírásokat, ugyanis a Vállalkozás hatályos Informatikai Biztonsági Szabályzatában foglalt rendelkezések biztosítják mind a személyes adatok, mind a személyes adatnak nem minősülő adatok adatvédelmi törvényben előírt szintű védelmét.
1.2 A szabályzat hatálya
A szabályzat szervezeti hatálya kiterjed a Vállalkozás valamennyi alkalmazottjára, valamint a Vállalkozással szerződésben álló azon vállalkozásokra, akik személyes adatokat dolgoznak fel, számára ügynöki tevékenységet végző szervezeteknél folytatott adatkezelésre, függetlenül az adatfeldolgozás módjától, beleértve a harmadik fél részére történő adattovábbításokat is.
A szabályzat tárgyi hatálya kiterjed minden, az adatkezelés és az adatfeldolgozás során használt tárgyi eszközre és bármely, adatkezelésben vagy adatfeldolgozásban érintett személyes adatra.
1.3 Értelmező rendelkezések
adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége;
adatkör: személyes adatok összetartozó csoportja;
adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik;
adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;
adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
adatvédelmi tisztviselő: a Vállalkozásnál biztosítja az adatvédelem alkotmányos elveinek az EU 2016/679 rendeletében, valamint az információs önrendelkezési jognak az adatvédelmi törvényben (2011. évi CXII. törvény) leírtak szerinti érvényesülését. Ennek keretein belül kialakítja a kapcsolódó belső szabályrendszert, felügyeli és ellenőrzi az adatvédelemmel kapcsolatos szabályok betartását;
adatvédelmi hatásvizsálat: olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja;
Belső Adatvédelmi Nyilvántartás: az Adatvédelmi Tisztviselő által vezetett, a Vállalkozás által kezelt adatokat és azok jellemzőit tartalmazó nyilvántartás;
érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy
hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
Informatikai Biztonsági Szabályzat: a jelen Adatvédelmi szabályzat mellett, ennek az informatikai biztonság érdekében létrehozott kiegészítéseként elkészített szabályzati rendszer; különleges adat: a 2011. évi CXII. törvény 3. § 3) pontja alapján különleges adat
a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok;
nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
rendelkezésre állás: annak biztosítása, hogy a szükséges adat a szükséges időben az arra jogosultak számára az általuk elvárt formában hozzáférhető, elérhető legyen;
statisztikai adat: a személyes adatok feldolgozása olyan módon - pl.: statisztikai módszerekkel -, hogy az EU 2016/679 rendelete és a 2011. évi CXII. törvény adattörlésre vonatkozó rendelkezései érvényesülnek, azaz az egyes természetes személyekkel minden kapcsolatuk megszakadt, és ez a kapcsolat nem is állítható helyre;
személyes adat: az érintettre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
sértetlenség: az adat létének, hitelességének, épségének, önmagában teljességének kritériuma;
tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
titkosság: az adat azon jellemzője, hogy csak a természetes személyek egy előre meghatározott köre (jogosultak) számára hozzáférhető, mindenki más számára titok. A titkosság elvesztését felfedésnek nevezzük, mely esetén a titkos információ arra jogosulatlanok számára is ismertté, hozzáférhetővé válik.
1.4 Kapcsolódó jogszabályok
• Magyarország Alaptörvénye,
• Az EU 2016/679 rendelete,
• Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.),
• Az egyének védelméről a személyes adatok gépi feldolgozása során szóló 1998. évi
VI. törvény,
• A minősített adat védelméről szóló 2009. évi CLV. törvény,
• Az adózás rendjéről szóló 2017. évi CL. törvény (Art.),
• A Polgári törvénykönyvről szóló 2013. évi V. törvény (Ptk.),
• A munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.),
• A számvitelről szóló 2000. évi C. törvény (Sztv. tv.),
• A távhőszolgáltatásról szóló 2005. évi XVIII. törvény,
• A fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fgytv.).
1.5 Kapcsolódó belső szabályzatok
• A Vállalkozás üzletszabályzata,
• Adatleltár,
• Informatikai Biztonsági Szabályzat és kiegészítő szabályozásai,
• Iratkezelési Szabályzat,
• Kamerás megfigyelés szabályzat,
• Adatfeldolgozói lista,
• Adattovábbítási nyilvántartás.
2 Általános adatkezelési szabályok
2.1 A Vállalkozásra – adatkezelőre - vonatkozó információk
A Vállalkozás - az adatkezelő - megnevezése: Makói Városgazdálkodási Nonprofit Kft. Székhely: 6900 Xxxx, Xxxxx Xxxxx xxx 0-0.
Cégjegyzékszám: 00-00-000000
2.2 Az adatkezelés célja
Xxxxx biztosítása, hogy a Vállalkozás működése megfeleljen az EU 2016/679 rendeletének, az Alaptörvénynek, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek és egyéb kapcsolódó jogszabályoknak. A Vállalkozás által az ügyfélkapcsolat során kezelt személyes adatok kezelésének elsődleges célja az ügyfél és a Vállalkozás között létrejött jogkapcsolat biztosítása. A munkavállalókra vonatkozó adatkezelés célja az üzletmenet folytonosság biztosítása.
2.3 A kezelt adatok köre, kezelésük pontos céljai, jogalapja
Személyes adatok
• A Vállalkozás ügyfeleire, partnereire vonatkozó személyes adatok.
• A munkavállalókra vonatkozó személyes adatok.
Különleges adatok
• A Vállalkozás által kezelt különleges adatnak minősül a törvényi kötelezettség alapján kezelt, a munkavállalók egészségügyi alkalmasságára, táppénzre jogosító betegségére és üzemi balesetére vonatkozó nyilvántartás.
A kezelt adatok körét az Adatleltár dokumentum tartalmazza.
A Vállalkozás az alábbi adatok kezelését végzi:
a) A Vállalkozás távhőszolgáltatási tevékenységének ellátása során vele üzleti kapcsolatba került ügyfelekre illetve üzleti partnereire vonatkozó személyes adatok.
Az adatkezelés célja:
A Vállalkozás távhőszolgáltatási tevékenysége során kezeli, tárolja a vele üzleti kapcsolatban levő ügyfelek, partnerek személyes adatait a Vállalkozás és az ügyfél között létrejött szerződésből eredő kötelezettség teljesítése végett.
Az adatkezelés jogalapja:
• Az EU 2016/679 rendelete 6.Cikk (1) bek. a) pontja: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
b) A Vállalkozás munkavállalóinak munkaügyi adatai, személyes adatok.
Az adatkezelés célja:
A munkaviszonyhoz köthető előírások, valamint a munkavállalók részére a fizetések és egyéb juttatások kifizetéséhez szükséges kötelezettségek teljesítése a Munka Törvénykönyvében és a kapcsolódó jogszabályokban előírtaknak megfelelően.
Az adatkezelés jogalapja:
• Az EU 2016/679 rendelete 6. Cikk (1) bek. a) pontja: az érintett hozzájárulása;
• Az EU 2016/679 rendelete 6. Cikk (1) bek. b) pontja: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
• Az EU 2016/679 rendelete 6. Cikk (1) bek. c) pontja: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
• Mt. 9. §, 10. §, 11. §.
c) A Vállalkozás munkavállalóinak személy – és munkaegészségre vonatkozó adatai, különleges adatok.
Az adatkezelés célja:
A munkaköri alkalmasság megállapítása.
Az adatkezelés jogalapja:
• Az EU 2016/679 rendelete 6. Cikk (1) bek. a) pontja: az érintett hozzájárulása;
• Az EU 2016/679 rendelete 6. Cikk (1) bek. b) pontja: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
• Az EU 2016/679 rendelete 6. Cikk (1) bek. c) pontja: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
• Mt. 9. §, 10. §, 11. §.
2.4 Az adatkezelés helye
A Vállalkozás székhelye: 0000 Xxxx, Xxxxx Xxxxx xxx 0-0.
2.5 Az adattárolás időtartama
• A 2.2.a) pontban jelzett személyes adatok: a szerződés megszűnését követő 5 év illetve a számviteli bizonylatok esetében 8 év. (Sztv. tv. 169. § (2) alapján),
• A 2.2.b), c) pontokban jelzett személyes adatok illetve különleges adatok: nem törölhető (1995. évi LXVI. törvény alapján).
2.6 Titoktartási kötelezettség
A Vállalkozás alkalmazottai, munkavállalói kötelesek a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül megőrizni. E titoktartás nem terjed ki a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettségre.
A titoktartási kötelezettség megszegése munkaügyi, polgári jogi, valamint büntetőjogi szankciót vonhat maga után.
2.7 Adatfeldolgozás
Az alábbi adatfeldolgozók az adatkezeléstől függetlenül minden esetben ellátnak adatfeldolgozási feladatokat:
Az adatfeldolgozókkal létrejött un. adatfeldolgozói megállapodásban az Adatvédelmi Tisztviselő kötelessége az adatvédelemre és különösen az adatbiztonságra jelen szabályzatban meghatározott követelményeket rögzíteni, ellenőrizni és betartatni, az adatfeldolgozó részéről ezen területen elkövetett mulasztás szankcionálására az illetékes szakterület felé javaslatot tenni. Az adatfeldolgozókra vonatkozó információkat az adatfeldolgozói lista tartalmazza.
2.8 Adattovábbítás
2.8.1 Adattovábbítás belföldre
A Vállalkozás kijelenti, hogy az érintettek személyes adatainak továbbítására az egyes adatkezelések tekintetében, kizárólag jelen szabályzatban meghatározottak szerint és feltételek megvalósulása esetén kerül sor.
Annak érdekében, hogy az érintett adataival kapcsolatos információs önrendelkezési jogát megfelelően gyakorolni tudja, automatizált munkafolyamataiba kötelező beépíteni olyan naplózási rendszert, mely lehetővé teszi, hogy az érintett adatainak harmadik személy felé történő adattovábbítása, beleértve a továbbítás idejét, a pontos adattartalmat, visszakereshetővé váljon. E naplózás elsődleges célja, hogy az ügyfelekkel szemben a fennálló tájékoztatási kötelezettségének eleget tudjon tenni.
Nem kell külön naplózási funkciót beállítani azon adattovábbításokra, melyek az ügyfelek egészét érintik és jelen szabályzatban pontosan rögzített az adattovábbítás időpontja és adattartalma.
Az Adatvédelmi Tisztviselő kötelessége a nem automatizált módon történő adattovábbításokról a belső adattovábbítási nyilvántartást vezetni (a mellékletben található minta alapján), amely tartalmazza a továbbított adatok
1. fajtáját és körét;
2. címzettjét;
3. továbbításának jogalapját.
Az Adatvédelmi Tisztviselő kötelessége továbbá, hogy minden harmadik személy esetében, ahová szerződéses kapcsolat keretében adatok továbbítása történik, a szerződésben kerüljön rögzítésre, hogy
1. a továbbított adatokat a harmadik személy milyen célra használhatja fel;
2. a továbbított adatokat a harmadik személy csak a szerződésben foglalt feladatok elvégzéséhez szükséges minimális ideig tárolhatja;
3. a szerződésben rögzített céloktól eltérő használat esetén a Társaság a szerződést egyoldalúan felmondhatja.
Amennyiben az adattovábbítás nem szerződéses kapcsolat keretében történik, hanem törvény felhatalmazása alapján, akkor az Adatvédelmi Tisztviselő feladata az adatkérő által meghivatkozott törvény feltételei teljesülésének ellenőrzése, és a kért adatok továbbítását csak
a törvényi feltételek teljesülése esetében hajthatja végre.
2.8.2 Adattovábbítás külföldre
A Vállalkozáscsoport vagy központi szervhez kapcsolódó intézmények részét képező adatkezelőknek jogos érdeke fűződhet ahhoz, hogy a vállalkozáscsoporton belül belső adminisztratív célból személyes adatokat továbbítsanak, ideértve az ügyfelek és az alkalmazottak személyes adatainak a kezelését is. A személyes adatok továbbítására vonatkozó általános elvek nem különböznek abban az esetben sem, ha a vállalkozáscsoporton belüli személyes adatok továbbításának címzettje harmadik országban található.
A Makói Városgazdálkodási Nonprofit Kft. jelenleg kizárólag Magyarországon végez adatkezelést, ennek megfelelően nem kerül sor harmadik országba történő adattovábbításra.
2.9 Adatvédelmi hatásvizsgálat
A Vállalkozás e rendeletnek való megfelelés érdekében teljes körűen áttekintette az adatvédelemmel kapcsolatos tevékenységét. Az adatvédelmi stratégia kidolgozása alapján – elsődleges megfelelés az EU 2016/679. rendeletének valamint az Infotv.-nek – elkészítette a jelen Adatvédelmi Szabályozást és azt ezt kiegészítő Informatika Biztonsági Szabályzatát ennek mellékleteivel. Az adatvédelmemmel kapcsolatos belső utasításokat hozott, egyéb szabályozó intézkedéseket tett.
A kialakított adatvédelmi stratégia és az elkészült dokumentáció elemzése során
– figyelemmel a kockázatok forrására, jellegére, egyediségére, valamint súlyosságára - megállapította, hogy a Vállalkozás esetében nem valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve. Az adatvédelmi felelős az adatvédelemmel kapcsolatosan kialakított szabályozásának betartását folyamatosan ellenőrzi.
2.10 Adatvédelmi incidens
A Vállalkozás az általa kezelt adatokkal összefüggésben felmerült adatvédelmi incidens kapcsán rögzíti az alább felsorolt adatokat, valamint az adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követően hetvenkét órával bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak:
1. az adatvédelmi incidens jellege, beleértve – ha lehetséges – az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges mennyiségét,
2. az adatvédelmi incidensből eredő, valószínűsíthető következmények,
3. a Vállalkozás által az adatvédelmi incidens kezelésére tett vagy tervezett – az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb – intézkedések.
3 Az adatvédelem szervezete, az Adatvédelmi Tisztviselő
A jelen Vállalkozás esetében - figyelemmel EU 2016/679. rendelete előírásaira - a belső adatvédelmi felelős feladatkörét a megbízott Adatvédelmi Tisztviselő látja el.
3.1 Feladatkör, kötelességek
Az Adatvédelmi Tisztviselő feladata az adatkezelés feltételeinek rendszeres, éves tervben rögzített ellenőrzése, különös tekintettel
1. jelen szabályzat rendszeres felülvizsgálatára, a Vállalkozás szervezeti felépítés változásainak, valamint a belső szabályzati rendszer, és az üzleti folyamatok, illetve az Adatvédelmi szabályzat azokat támogató információkezelési rendszerek fejlődésének jelen szabályzatban történő követésére,
2. jelen szabályzat soron kívüli felülvizsgálatára szükség esetén,
3. a személyes adatok kezelésének jelen szabályzatban meghatározott céltól eltérő felhasználására,
4. az adatkezelés feltételeit megteremtő jogszabály környezet változásaira, a célhoz kötöttség elvének érvényesülésére,
5. önkéntes adatkezelés esetén az érintett hozzájárulásának érvényességére,
6. az adatkezelés jogalapjának megszűnése esetén az adatok törlésének végrehajtására, a törlés elmulasztására,
7. az érintetteknek nyújtott tájékoztatási szolgáltatás rendszerének működési rendjére, mind a tájékoztatáshoz, helyesbítéshez, törléshez, tiltakozáshoz kapcsolódó jog érvényesítése, mindezen jogok érvényesítését lehetővé tevő szolgáltatások minőségi paramétereinek, a folyamat dokumentáltságának, az adatkezelés rendszerének átláthatósága tekintetében,
8. az adattovábbításra, azaz arra, hogy a személyes adatok átadása harmadik személynek csak és kizárólag a jelen szabályzat által meghatározott módon és formában történik, valamint a visszakereshetőség minden esetben biztosított,
9. az adatfeldolgozó tevékenység ellenőrzésére, annak vizsgálatára, hogy az adatfeldolgozó folyamatai biztosítják-e a jelen szabályzatban rögzített követelmények érvényesülését.
Az Adatvédelmi Tisztviselő feladata továbbá
1. a Vállalkozás szolgáltatási szerződéseinek, az adatkezelés elvi és gyakorlati tudnivalóit az érintettek tudomására hozó melléleteinek, egyéb adatkezeléssel kapcsolatos tájékoztatóknak az elkészítése, módosítása, felülvizsgálata annak biztosítása érdekében, hogy ezen dokumentumok megfeleljenek jelen szabályzat előírásainak, a Vállalkozás által kialakított adatkezelési gyakorlatnak,
2. az üzleti folyamatokat támogató információkezelési rendszerekben az adatbiztonsági szempontok meghatározása, azok érvényesülésénekellenőrzése, valaminthiányosságok feltárása esetén javaslattétel a szükséges módosításokra,
3. a Vállalkozás által folytatott adatkezelések nyilvántartása, újabb adatkezelési tevékenység megkezdése vagy az adatfeldolgozó tevékenység módosítása, illetve új technológiai rendszer bevezetése előtt a szükséges belső ellenőrzések végrehajtása és szükség esetén a Nemzeti Adatvédelmi és Információszabadság Hatósághoz történő előzetes bejelentése, illetve az Adatvédelmi Nyilvántartásba történő bejelentése,
4. a felelős adatkezelő munkatársak képzése, annak ismertetése, hogy az adatkezelésekhez kapcsolódó, az adatvédelmi biztos által kiadott adatvédelmi nyilvántartási számot, az adatok minden jogszerű adattovábbításnál, az érintettel folytatott levelezésben feltüntessék és használják,
5. összefoglalók/statisztikák készítése az érintetteknek (xx.xx adatalanyoknak és a törvényben felhatalmazott szervezeteknek) nyújtott tájékoztatási kötelezettség végrehajtásával kapcsolatban:
a. az adatalanyok által benyújtott és törvényi felhatalmazás alapján elutasított kérelmek száma, elutasítás indoka,
b. a tájékoztatási kötelezettség végrehajtásának időtartama (legrövidebb, leghosszabb, átlagos bontásban),
c. adattovábbítások száma a címzett harmadik személy szerinti bontásban.
6. törvénysértés esetén az Adatvédelmi Tisztviselő köteles a törvénysértés megszüntetésére felszólítani a jogosulatlan adatkezelést végző alkalmazottat, ismételt esetben pedig munkajogi szankciót kezdeményezni az alkalmazottal szemben.
Az Adatvédelmi Tisztviselő kötelessége a Nemzeti Adatvédelmi és Információszabadság Hatóság felé
1. Adatvédelmi incidens esetén az incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az a tudomására jutott, bejelenti a Hatóság felé;
2. évente tájékoztatást adni azokról az elutasított kérelmekről, amelyekben az érintettek saját személyes adatai kezeléséről érdeklődtek, megadva az elutasítások számát és indokát;
3. az Adatvédelmi Nyilvántartásban rögzített adatokban bekövetkezett változásokat jelezni;
4. új adatkezelés vagy adatfeldolgozási technológia bevezetése esetén aktualizálni az Adatvédelmi Nyilvántartásba történő bejelentést, az adatvédelmi biztos által végrehajtandó előzetes ellenőrzés során a szükséges mértékig együttműködni;
5. meghatározott határidőn belül válaszolni a Nemzeti Adatvédelmi és Információszabadság Hatóság megkeresésére.
A Makói Városgazdálkodási Nonprofit Kft. Adatvédelmi Tisztviselője, valamint ennek elérhetősége:
Név: Xxxxxx Xxxxxx (Easy-Shop Kft.) Cím: 0000 Xxxxxxxxxxx, Xxx xxxx 0.
Telefon:x00 00 000 0000
3.2 Jogkör
Az Adatvédelmi Tisztviselőnek jogában áll
1. az ellenőrzési tervben meghatározott, a feladatköréhez tartozó ellenőrzéseket lefolytatni;
2. nem-megfelelőség esetén a problémát jelezni az adatkezelésért felelős szervezeti egység vezetője illetőleg a vezetés felé;
3. új adatkezelés vagy adatfeldolgozási technológia bevezetését megtiltani, ha az ellentétes jelen szabályzat vagy a jogszabályi előírásokkal.
3.3 Kapcsolat harmadik személlyel
Az Adatvédelmi Tisztviselő kötelessége rendszeresen megvizsgálni a Vállalkozás és a harmadik személy között létrejött szerződésekben a jelen szabályzat hatálya alá tartozó adatok adatkezelési és adatfeldolgozási tevékenységgel kapcsolatos feltételeinek teljesülését.
Abban az esetben, ha a szerződéses harmadik személy a Vállalkozás által kezelt személyes adatokon adatkezelő tevékenységet végez, akkor az Adatvédelmi Tisztviselő kötelessége megvizsgálni, hogy az adatkezelés az adatvédelmi törvény és jelen szabályzat rendelkezéseinek megfelel-e. Ha a megfelelőség kérdése egyértelműen nem megállapítható, akkor az Adatvédelmi Tisztviselő kötelessége az adatkezelést lehetővé tevő szerződés módosítását kezdeményezni. Abban az esetben, ha a szerződés módosítása a Vállalkozás belső folyamatainak átszervezését kívánja meg, akkor köteles egyértelműen írásban rögzíteni a szabályzat rendelkezéseit sértő tevékenységeket, és azokat átadni a folyamat felelőse részére. Az Adatvédelmi Tisztviselő javaslatot tehet a folyamat tevékenységeinek átszervezésére.
Az adatfeldolgozói tevékenységre harmadik személlyel kötött szerződésben a Vállalkozás rögzíti, hogy a Vállalkozás Adatvédelmi Tisztviselőjének jogában áll az adatfeldolgozó Adatvédelmi szabályzatban meghatározott tevékenység adatbiztonsági követelményeinek betartását, érvényesülését ellenőrizni, szükség esetén az alábbi intézkedéseket foganatosítani:
1. az adatfeldolgozó szerződés szerinti hibás teljesítését megállapítani, a szerződésben rögzített szankció alkalmazását elrendelni,
2. utasítást adni a feltárt hiányosságok kiküszöbölésére, rögzíteni a végrehajtás határidejét, majd ismételt ellenőrzést lefolytatni,
3. ismételt súlyos mulasztások esetén javaslatot tenni a szerződés felbontására, illetve kezdeményezni a jogszabályban rögzített szankciókat.
4 Érintett jogai és azok érvényesítése
4.1 Előzetes tájékoztatás
A Vállalkozás az adatkezeléssel kapcsolatos előzetes tájékoztatás módját és elérhetőségét nyilvánosságra hozza
1. az Üzletszabályzat dokumentumban,
2. minden formanyomtatványon, melyben az ügyfél hozzájáruló nyilatkozatot tesz,
3. a Vállalkozás honlapján az Adatkezelési tájékoztatóban.
Az érintett a jelzett formák bármelyikében előzetesen tájékozódhat a Vállalkozás által kezelt személyes adatainak vonatkozásában.
Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet - egyértelműen, közérthetően és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az érintett hozzájárulásával és az adatkezelőre vonatkozó jogi kötelezettség teljesítése vagy harmadik személy jogos érdekének érvényesítése céljából kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A
tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
4.2 Hozzáféréshez való jog
Az érintett az Adatvédelmi Tisztviselőtől személyesen vagy írásban tájékoztatást kérhet a személyéről kezelt adatok köréről, továbbá az adatkezelés céljáról, az érintett személyes adatok kategóriáiról, azon címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, a személyes adatok tárolásának tervezett időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól. A tájékoztatás során az érintett tudomására kell hozni, hogy az adatkezeléssel kapcsolatos esetleges panasza esetén elsődlegesen a Vállalkozás Adatvédelmi Tisztviselőjéhez, vagy szabálytalan adatkezelés vélelmezése esetén az Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat.
Az érintett csak személyes megkeresés esetén tekinthet bele az adatkezelésbe oly módon, hogy más érintett személyes adataiba semmilyen körülmények között nem tekinthet bele.
Az érintett kérelmére a tájékoztatást végző munkatárs köteles ismertetni a Vállalkozás által kezelt adatok körét, az adatkezelés célját, jogalapját, időtartamát, az adatfeldolgozó(k) nevét és címét, továbbá azt, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
Abban az esetben, ha az érintett részletes tájékoztatást kér a harmadik személy felé történt adattovábbításról vagy az adatok nyilvánosságra hozataláról, akkor a tájékoztatást végző munkatárs kötelessége az ügyfelet az érintett az adatgazdához irányítani, aki a nyilvántartások alapján köteles a szükséges tájékoztatási és betekintési kötelezettségnek eleget tenni. A tájékoztatást írásban, közérthető formában az igény benyújtásától számított legrövidebb idő alatt, de legfeljebb 25 napon belül kell megadni.
Az írásos tájékoztatással a Vállalkozás az érintett kérelmére személyes adatait és az azok kezelésével kapcsolatos információkat a rendelkezésére bocsátja.
Az adatkezelő a tájékoztatási kötelezettségét csak az Info tv.-ben foglalt esetekben, továbbá akkor tagadhatja meg, ha a kért adatokat az illetékes szerv a megfelelő eljárás keretében minősített adattá nyilvánította, mely esetben az adatgazda köteles az érintettel a közlés megtagadásának indokát közölni.
Az adatgazda köteles az elutasított kérelmekről tájékoztatni a Adatvédelmi Tisztviselőt.
4.3 A helyesbítéshez való jog
A helyesbítéshez való jog érvényesülése érdekében a Vállalkozás, ha az általa kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat – különösen az érintett kérelmére – haladéktalanul pontosítja vagy helyesbíti, illetve ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti.
A szükséges módosításokat a kérelem alapján a Vállalkozás elvégzi, ennek tényéről tájékoztatja az Adatvédelmi Tisztviselőt.
Mentesül a a Vállalkozás a helyesbítéshez való jog érvényesítése alól, ha
a) a pontos, helytálló, illetve hiánytalan személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja rendelkezésére, vagy
b) az érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.
Ha az érintett kérelmét a kezelt személyes adatok helyesbítéséhez a Vállalkozás elutasítja, az érintettet írásban, haladéktalanul tájékoztatja
1. az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint
2. az érintettet az Info tv. alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
4.4 A hordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha
1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez, vagy
2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, vagy
3. az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az EU 2016/679 rendelet 9. Cikkének (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával és az adatkezelés automatizált módon történik.
4.5 A korlátozáshoz való jog
A Vállalkozás a korlátozáshoz való jogot az alábbi esetekben érvényesíti:
1. ha az érintett vitatja az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára,
2. ha a 4.6 pontban meghatározottak szerint az adatok törlésének lenne helye, de az érintett írásbeli nyilatkozata vagy az adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára,
3. ha a 4.6 pontban meghatározottak szerint az adatok törlésének lenne helye, de az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások – így különösen büntetőeljárás – során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás lezárásáig,
4. ha az Info tv. 20.§-ban meghatározottak szerint az adatok törlésének lenne helye, de az Info tv.-ben foglalt dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, az Info tv. által meghatározott időpontig.
Az adatkezelés korlátozásához való jog érvényesülése érdekében a Vállalkozás az érintett személyes adatokkal a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint végez.
Ha az érintett kérelmét a kezelt személyes adatok korlátozásához a Vállalkozás elutasítja, az érintettet írásban, haladéktalanul tájékoztatja
1. az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint
2. az érintettet az Info tv. törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
4.6 Törléshez való jog
A törléshez való jog érvényesítése érdekében az adatkezelő haladéktalanul törli az érintett személyes adatait,
1. ha az adatkezelés jogellenes,
2. ha azt az érintett kéri – a törvényben megállapított esetek kivételével –,
3. ha az adatkezelés célja megszűnt,
4. ha az adatok tárolásának törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt,
5. jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,
6. az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Nemzeti Adatvédelmi és Információszabadság Hatóság vagy a bíróság elrendelte,
Ha az érintett kérelmét a kezelt személyes adatok törléséhez a Vállalkozás elutasítja, az érintettet írásban, haladéktalanul tájékoztatja
1. az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint
2. az érintettet az Info tv. alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
4.7 Hatósági jogorvoslathoz való jog
Az érintett a Nemzeti Adatvédelmi és Információszabadság Hatóság vizsgálatát kezdeményezheti a Vállalkozás intézkedése jogszerűségének vizsgálata céljából,
1. ha az adatkezelő a jelen szabályzat 4.1- 4.6 pontjaiban meghatározott jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja,
valamint
2. a Hatóság adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.
4.8 Bírósági jogorvoslathoz való jog
Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.
A Vállalkozás feladata a bírósági tárgyalások során a Vállalkozás jogkövető magatartását bizonyítani.
A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
Ha a bíróság az érintett kérelmének helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére kötelezi.
A bizonyítási eljáráshoz a felelős adatkezelőnek és az Adatvédelmi Tisztviselőnek minden lényeges információt, szabályzatot, naplóbejegyzést a jogi képviselő rendelkezésére kell bocsátani.
A Vállalkozást elmarasztaló bírósági ítélet esetén a Vállalkozás Igazgatósága munkaügyi eljárást indíthat a vétő adatfeldolgozó, adatkezelést végző munkatárs vagy az Adatvédelmi Tisztviselő ellen.
5 Minősített adatokat tartalmazó ügyiratok kezelése
5.1 Minősített adatokat tartalmazó ügyiratok átvétele, nyilvántartása
A minősített adatokat tartalmazó küldemények átvételére a Vállalkozás Adatvédelmi Tisztviselője illetve ügyvezetője jogosult. Az átvett küldeményekről a Vállalkozás standard iktatási rendszerétől elkülönült, de azzal tartalmilag megegyező nyilvántartást kell vezetni.
Minősített iratok, küldemények átvételekor, ha az átvevő olyan sérülést észlel, amely arra utal, hogy azt felbontották vagy megkísérelték felbontani, az átadó jelenlétében 2 példányos jegyzőkönyvet kell felvenni. Abban rögzíteni kell a sérüléssel kapcsolatos valamennyi körülményt. A jegyzőkönyv egy példányát a küldő szervnek kell megküldeni.
A Vállalkozás Adatvédelmi Tisztviselője - szükséges esetekben, az ügyvezetővel történt egyeztetést követően - kijelöli a minősített irat tárgya szerint illetékes szakterületet és gondoskodik a küldemény dokumentált átvételéről.
Az ügyintézésre átvett küldemény adatvédelmi törvényben előírt módon történő kezelése, tárolása (az ügyintézésre meghatározott időkereten belül) az átvevő személy felelőssége.
Az ügyintézésre átvett küldeményt, valamint a szakterület által a küldő szervezet részére készített válaszlevél fénymásolatát a Vállalkozás adatvédelmi felelőse részére kell átadni.
5.2 Üzleti titok megismerésének korlátozása
A Vállalkozás működése során keletkezett, bármely formában (elektronikus irat, prezentáció, papír alapú dokumentáció, térkép, stb.) megjelenő üzleti titok szervezeten belüli nyilvánosságát az Igazgatóság elnöke korlátozhatja.
A korlátozott nyilvánosságú üzleti titkot tartalmazó ügyiratok meghatározott személyek részére történő átadását a titkárnő dokumentálja. Az átadott ügyiraton fel kell tüntetni az
„Üzleti titok!” minősítést, az átvevő nevét, a részére átadott ügyirat sorszámát, szükség esetén az üzleti titokká történt minősítés időbeni korlátait.