Adatkezelő megnevezése:  Testőr-Audit Nemzetközi Biztonsági Tanácsadó és Auditáló Szolgáltató Korlátolt

Rövidített név: Testőr-Audit Kft.

Adatkezelő cégjegyzékszáma:01-09-735222

Adatkezelő adószáma:13438838-2-42.

Adatkezelő székhelye:1073 Budapest, Erzsébet krt. 28. I./2.

Adatkezelő elérhetősége:info@testorauditkft.hu

Adatkezelő önálló cégjegyzésre jogosult képviselői:   

Dr. Aszalós Enikő Klára, Páll Tibor

Adatvédelmi tisztviselő:Janiszewski Regő

Adatvédelmi tisztviselő elérhetősége:  janiszewski.rego@testorkft.hu

1.       Bevezető rendelkezések

1.1. A Szabályzatban használt rövidítések:

GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

Infotv.: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

Társaság vagy Adatkezelő: Testőr-Audit Kft. 

NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság

1.2. Bár a GDPR a Társaság számára kifejezetten adatvédelmi szabályzatalkotási kötelezettséget nem ír elő, ám a GDPR 24. cikk (2) bekezdése és (78) preambulumbekezdése, valamint a NAIH NAIH/2018/1212/2/K és NAIH/2018/1594/2/K ügyszámú adatvédelmi reformmal kapcsolatos állásfoglalásai alapján a Társaság úgy döntött, hogy a nagyszámú adatkezelési tevékenysége okán a belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából jelen Adatvédelmi és adatbiztonsági szabályzatban (a továbbiakban: Szabályzat) határozza meg az adatvédelmi és adatbiztonsági szabályait. 

1.3. A Szabályzat rendelkezéseit a Társaság többi szabályzatának előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent e Szabályzat és bármely más, jelen Szabályzat hatálybalépése előtt hatályba lépett szabályzat, utasítás előírásai között, úgy abban az esetben e Szabályzat rendelkezései az irányadóak. 

1.4. Amennyiben ellentmondás áll fent e Szabályzat és bármely más, jelen Szabályzat hatálybalépése után hatályba lépő szabályzat vagy utasítás előírásai között, úgy csak abban az esetben nem e Szabályzat rendelkezései az irányadóak, ha a később hatályba lépő szabályzat vagy utasítás arról kifejezetten rendelkezik.

2.       Fogalmak

A Szabályzatban használt fogalmak megegyeznek a GDPR 4. cikkében meghatározott értelmező fogalommagyarázatokkal, figyelemmel Infotv. 2. § (2) bekezdésében foglaltakra.

• Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.).; 
• Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.).;
• Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatokra, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.).;
• Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.).;
• Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.).;
• Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.).;
• Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:
• tájékoztatás joga, 
• hozzáférési jog,
• helyesbítéshez való jog,
• törléshez való jog,
• adatkezelés korlátozhatóságához való jog,
• adathordozhatósághoz való jog,
• tiltakozáshoz való jog.;
• Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés).;
• Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.).;
• Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.).;
• Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.).;
• Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.).;
• Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.).;
• Adatkezelés korlátozásához való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
4. az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben. [GDPR 18. cikk. (1)].

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.).;

• Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.).; 
• Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.).;
• Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.).;
• Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.).;
• Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.).;
• EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.).;
• Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.).;
• Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.).;
• Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.).;
• Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.).;
• Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.).;
• A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása: 1) adattovábbítás megfelelőségi határozat alapján, 2) adattovábbítás megfelelő garanciák alapján, 3) megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR által biztosított” az eltérés lehetősége különös helyzetekben alapján történhet (GDPR 44-50. cikk).; 
• Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális, vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.).;
• Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.).;
• Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is (GDPR 4. cikk 18.).;
• Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások (GDPR 4. cikk 19.).;
• Felügyeleti Hatóság: egy tagállam által a GDPR 51. cikkének megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.).;

(Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében a GDPR-ban, valamint az Infotv-ben meghatározottak szerint a NAIH gyakorolja.)

• Érintett felügyeleti Hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
• az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,
• az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy 
• panaszt nyújtottak be az említett felügyeleti hatósághoz (GDPR 4. cikk 22.).;
• Személyes adatok határokon átnyúló adatkezelése:
• személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

b)   személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket (GDPR 4. cikk 23.).;

• Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.).;
• Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.).

Amennyiben a mindenkori hatályos adatvédelmi jogszabály (jelen Szabályzat megalkotásakor a GDPR és az Infotv.) fogalommagyarázatai eltérnek jelen Szabályzat fogalommagyarázataitól, akkor a jogszabályok által meghatározott fogalmak az irányadók.

3.       Az alkalmazandó jogszabályok kijelölése

A GDPR az Európai Parlament és a Tanács rendelete, amely így teljes egészében kötelező és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamban, így Magyarországon is.

Magyarország Alaptörvényének E) cikke kimondja, hogy az Európai Unió joga megállapíthat általánosan kötelező magatartási szabályt, így a Szabályzat megalkotása és alkalmazása során a szabályok elsődlegesen a GDPR-ból fakadnak.

Abban az esetben, ha a GDPR szabályainak megfelelő módon magyar jogszabály – elsősorban az Infotv., de speciális adatkezelések esetében ágazati jogszabályok – részletszabályokat alkot meg, akkor a Társaság ezeket a szabályokat is alkalmazza.

Abban az esetben, amennyiben az adatkezelés nem esik a GDPR hatálya alá, úgy az Infotv. 2. § (4) bekezdésében meghatározott rendelkezéseket kell alkalmaznia az Adatkezelőnek. Az Adatkezelő ilyen esetekben a GDPR 4. cikke, II-VI., és VIII-IX. fejezetei, az Infotv. hivatkozott rendelkezései és az ágazati jogszabály rendelkezéseire tekintettel jár el.

4.       A szabályzat célja és hatálya

A Társaság a Szabályzat megalkotásával és elérhetővé tételével biztosítja a GDPR III. fejezetében meghatározott érintetti jogokat azzal, hogy meghatározza az adatvédelmi elvek gyakorlati megvalósulását és a Társaság által folytatott adatvédelmi folyamatokat. A Szabályzat meghatározza a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott személyes adatokat, azok forrását, az adatkezelés célját, jogalapját, időtartamát, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevét, címét és az adatkezeléssel összefüggő tevékenységét, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapját és címzettjét.

A Szabályzat további célja, hogy egységes szerkezetbe foglalja a Társaságnál az adatkezelésben résztvevő dolgozók számára a Társaság minden adatkezelési folyamatát.

A Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést, azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

A Szabályzat személyi hatálya kiterjed minden olyan személyre, aki a Társasággal fennálló, így különösen munka-, adatfeldolgozói-, megbízási jogviszonya alapján (továbbiakban: a Társaság munkatársa) személyes adatokhoz hozzáfér, vagy azok birtokába jut. 

A Szabályzat tárgyi hatálya kiterjed a Társaságban megvalósuló minden folyamatra, melynek során a GDPR 4. cikk 1. pontjában meghatározott személyes adat kezelése történik.

A jelen Szabályzat időbeli hatálya annak kihirdetésétől visszavonásáig tart. Jelen Szabályzat hatályba lépésével egyidejűleg a 2013. szeptember 1. napjától hatályos Adatvédelmi és adatbiztonsági szabályzat hatályát veszti.

5.       Az adatkezelés elvei

5.1. A Társaság az adatkezelés során az alábbi alapelvek alapján szervezi folyamatait:

5.1.1. jogszerűség, tisztességes eljárás és átláthatóság elve [GDPR 5. cikk (1) a)]: A Társaság személyes adatot csak jogszerűen és a tisztességesen kezel, az adatkezelést az érintett számára átlátható módon, többek között jelen Szabályzat törzsszövegének nyilvánosságra hozatalával végzi.

5.1.2. célhoz kötöttség elve [GDPR 5. cikk (1) b)]: a Társaság minden esetben, ha személyes adatot kezel, az adat felvétele előtt meghatározza a személyes adat kezelésének célját, amely így előre meghatározott, egyértelmű és jogszerű. Személyes adatot a Társaság az előre meghatározott céllal össze nem egyeztethető módon nem kezel. Amennyiben teljesült az adatkezelés célja és jogszabály nem írja elő kötelezően az adat további kezelését, úgy a személyes adatot a Társaság törli.

5.1.3. adattakarékosság elve [GDPR 5. cikk (1) c)]: a Társaság az adatkezelés során csak olyan személyes adatot kezel, amely a cél eléréséhez megfelelő és releváns, a Társaság az adatkezelést csak a cél eléréséhez szükséges minimum adatmennyiségre korlátozza.

5.1.4. pontosság elve [GDPR 5. cikk (1) d)]: a Társaság törekszik rá, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek és a jelen Szabályzatba foglalt módon törekszik rá, hogy a pontatlan személyes adatokat haladéktalanul törölje vagy – az érintett kérelmére vagy tudomására jutása esetén saját hatáskörben – helyesbítse.

5.1.5. korlátozott tárolhatóság elve [GDPR 5. cikk (1) e)]: a Társaság személyes adatot csak úgy tárol, hogy a személyes adat érintettje csak az adatkezelés céljának eléréséig azonosítható az adatkezelés során, a személyes adatok ennél hosszabb ideig történő tárolását csak jogszabály kötelező előírása alapján végzi a Társaság. 

5.1.6. integritás és bizalmasság elve [GDPR 5. cikk (1) f)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet.

5.1.7. elszámoltathatóság elve [GDPR 5. cikk (2)]: a Társaság az adatkezelési folyamatait úgy tervezi és hajtja végre, hogy az adatkezelés bármely pillanatában képes legyen a jelen pontba foglalt elveknek való megfelelést igazolni.

6.       Az adatkezelések szabályai

6.1. Alapvetések

6.1.1. A Társaság kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

6.1.2. A Társaság személyes adatot csak és kizárólag a GDPR 6. cikkében foglalt jogalapokkal, személyes adatok különleges kategóriáiba tartozó személyes adatot csak és kizárólag a GDPR 9. cikk (2) bekezdésében rögzített feltétel fennállása mellett kezel. 

6.1.3. A konkrét adatkezelési folyamattal érintett jogosultság vagy kötelezettség keletkezhet a Társaság, az érintett vagy harmadik fél oldalán is. 

6.1.4. A Társaság kezelésében lévő személyes adat az adatkezelés során mindaddig megőrzi személyes adat minőségét, amíg belőle az érintett azonosított vagy azonosítható. A Társaság akkor tekint egy adatot személyes adatnak, amennyiben rendelkezik azzal a technikai feltétellel, amely segítségével képes az adatból azonosítani az érintettet.

6.1.5. A Társaság csak úgy folytat adatkezelést, hogy az minden szakaszában megfelel az adatkezelési célnak.

6.1.6. A Társaság jelen Szabályzat vagy a konkrét adatkezelési folyamatleírás és tájékoztatás nyilvánosságra hozatalával minden esetben közli az érintettel az adatkezelés célját, az adatkezelés jogalapját, valamint az adatkezeléssel kapcsolatos, a GDPR 13-14. cikkében meghatározott tényeket.

6.1.7. A Társaság munkaszervezési, fizikai, informatikai és jogosultságkezelési eszközökkel gondoskodik arról, hogy illetéktelen személyek a személyes adatokat ne ismerhessék meg.

6.1.8. A Társaság munkatársai és az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek munkatársai és megbízottjai (alvállalkozói) kötelesek az adatkezelés során megismert személyes adatokat titokként megőrizni.

6.2. A személyes adatokkal kapcsolatos titoktartási szabályok

6.2.1. A személyes adatok egyetlen része vagy töredéke sem tehető közzé, nem bocsátható rendelkezésre vagy nem tárható fel semmilyen módon harmadik személy előtt, kivéve, ha a személyes adat közérdekből nyilvános adatként történő nyilvánosságra hozatalát jogszabály írja elő.

6.2.2. A Társaság munkatársai kötelesek megtenni azokat az intézkedéseket, amelyek kizárják, hogy a szóban elhangzott, papíralapon vagy elektronikus formátumban rögzített személyes adatot bármely harmadik személy jogosulatlanul megismerje.

6.2.3. Személyes adatról papíralapú vagy elektronikus másolat csak abban az esetben készíthető, ha azt az adatkezelés folyamata szükségessé teszi vagy jogszabály előírja.

6.2.4. Ha a Társaság valamely munkatársa a Szabályzatot megszegi, a Társaság és közte lévő jogviszony jellegétől függően felelősséggel tartozik.

6.2.5. Ha a Szabályzatot a Társasággal munkaviszonyban álló személy szegi meg és ezzel kárt okoz, úgy a munkaviszony ellátásra vonatkozó általános (a mindenkori munka törvénykönyvéről szóló, a Szabályzat kiadásakor a munka törvénykönyvéről szóló 2012. évi I. törvény) vagy speciális jogszabály munkaviszonyból származó kötelezettségének megszegésével okozott kárra vonatkozó szabályok szerint felel.

6.2.6. Ha a Szabályzatot a Társasággal egyéb jogviszonyban álló személy szegi meg és ezzel kárt okoz, úgy a mindenkori Polgári törvénykönyv (a Szabályzat kiadásakor a Polgári Törvénykönyvről szóló 2013. évi V. törvény) károkozásért való felelősségre vonatkozó szabályok szerint felel.

6.2.7. A személyes adatokkal kapcsolatos titoktartási nyilatkozat a Szabályzat 1. sz. melléklete.

7.       Az adatkezelés lehetséges jogalapjai

7.1. Általános szabályok

7.1.1. Az adatkezelés jogalapját a Társaság minden adatkezelési folyamatnál meghatározza. Az adatkezelésre jogalapot csak a GDPR 6. cikk (1) bekezdése határoz meg, különleges adatok kezelésének tilalma alóli feloldás feltételeit a 9. cikk (2) bekezdése határozza meg.

7.1.2. A Társaság az adatkezelési rendszerét úgy alakítja ki, hogy minden személyes adatra vonatkozóan bizonyítani tudja, hogy mikor, milyen formában történt a személyes adat felvétele és milyen tájékoztatást kapott az érintett a személyes adat felvételekor.

7.1.3. A személyes adatok különleges kategóriáiba tartozó személyes adatot főszabály szerint a Társaság nem kezel, kivéve abban az esetben, amennyiben bizonyítani tudja a 7.3. pontba foglalt valamely körülmény fennállását.

7.2. Az adatkezelés lehetséges jogalapjai személyes adatok esetében

7.2.1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.

7.2.2. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

7.2.3. Az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges.

7.2.4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek^[1] védelme miatt szükséges.

7.2.5. Az adatkezelés közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

7.2.6. Az adatkezelés a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

7.2.7. A Társaság a GDPR 6. cikk (1) bekezdés e) pontban nevesített, az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásával kapcsolatos jogalappal adatkezelést nem végezhet, mert a Társaság nem közhatalmi szerv, így közhatalmi jogosítvánnyal sem rendelkezik.

7.3. Körülmények, feltételek amelyek esetén a Társaság személyes adatok különleges kategóriáiba tartozó adatokat kezelhet

7.3.1.   Az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy a hatályos magyar jog úgy rendelkezik, hogy a tilalom az érintett hozzájárulásával sem oldható fel.

7.3.2. Az adatkezelés a Társaságnak vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy hatályos magyar jog lehetővé teszi.

7.3.3. Az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni.

7.3.4. Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott.

7.3.5. Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

7.3.6. Az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy a hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

7.3.7. Az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy hatályos magyar jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, amennyiben az adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, akire szakmai titoktartási kötelezettség hatálya alatt áll.

7.3.8. Az adatkezelés a népegészségügy területét érintő közérdekből szükséges.

7.3.9. Az adatkezelés közérdekű archiválás, tudományos és történelmi kutatási vagy statisztikai célból szükséges olyan uniós vagy hatályos magyar jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

7.4. Hozzájárulás, mint jogalapra vonatkozó különleges szabályok

7.4.1. Amennyiben az adatkezelés az érintett hozzájárulásán alapul, úgy az érintett a hozzájárulását bármilyen bizonyítható módon megadhatja, így írásban (nyilatkozaton, dokumentumon), szóban és ráutaló magatartással is.

7.4.2. A Társaság nem tesz különbséget a hozzájárulások között azok formáját tekintve, a hozzájárulások formái egyenértékűek, de fenntartja magának a jogot, hogy egyes adatkezelések esetén a hozzájárulás egyes formáit kizárja.

7.4.3. A Társaság minden adatkezelési folyamatát úgy határozza meg jelen Szabályzat kiadásakor és minden, a későbbiekben bevezetendő adatkezelés esetén, hogy amennyiben annak jogalapja az érintett hozzájárulása, úgy képes legyen annak bizonyítására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

7.4.4. A 7.4.3. pontban foglaltakat elsősorban úgy tesz eleget a Társaság, hogy elsődlegesen írásban szerzi be az érintett hozzájárulását, amelyet így az írásbeliséggel tud igazolni.

7.4.5. Amennyiben a Társaság a ráutaló magatartást vagy a szóbeliséget is elfogadja a hozzájárulás jogalapjául, úgy az adatkezelés minden körülményét megvizsgálja és dokumentálja, hogy utóbb is igazolni tudja a hozzájárulást.

7.4.6. A Társaság az adatkezelései során lehetőség szerint minden egyes személyes adatnál feltünteti, hogy a hozzájárulás:

• mikor érkezett (nap, adott esetben óra-perc),
• milyen formában történt (írásban/szóban/ráutaló magatartással),
• milyen cselekmény eredménye, ha ez értelmezhető (például: feliratkozás / jelentkezés / kapcsolatfelvétel / stb.).

7.4.7. A Társaság biztosítja a jogot arra is, hogy az érintett ugyanúgy, ahogy a hozzájárulást megadta, a hozzájárulását visszavonja. A ráutaló magatartással megtett hozzájárulás visszavonását csak írásban fogadja el a Társaság.

7.4.8. A Társaság a visszavonás tényét az adatkezelés során rögzíti, az adatot a továbbiakban nem kezeli, de az adat helyét „a hozzájárulás visszavonva” jelzéssel jelöli meg.

7.4.9. A 7.4.8. pont szerinti megjelölés tartalmazza hozzájárulás visszavonására vonatkozó, a 7.4.6. pont szerinti értelemszerű adatokat.

7.5. Szerződéses jogviszonyra, mint jogalapra vonatkozó különleges szabályok

7.5.1. Ha az adatkezelés jogalapja a Társasággal írásban kötött szerződés megkötését megelőzően lépések tétele vagy teljesítése, úgy a szerződésnek minimálisan tartalmaznia kell az arra való utalást, hogy az adatkezelés a jelen Szabályzat szerint történik.

7.5.2. Csak akkor alkalmazható 7.2.2. szerinti jogalap, ha az szerződés egyik szerződő fele az érintett. 

7.6. Jogi kötelezettségre, mint jogalapra vonatkozó különleges szabályok

7.6.1. Amennyiben az adatkezelés jogalapja az adatkezelőre vonatkozó jogi kötelezettség, úgy e jogi kötelezettséget csak és kizárólag az Európai Unió vagy Magyarország hatályos és alkalmazandó jogszabályának kell megállapítania. 

7.6.2. Jogi kötelezettséget az Infotv. 5. § (3) bekezdése alapján csak törvény vagy önkormányzati rendelet állapíthat meg, amennyiben azonban a jogi kötelezettség más jogforrási szinten elhelyezkedő normában vannak leszabályozva, a Társaság nem tekinthet el az alkalmazásától.

7.6.3. Amennyiben a 7.6.2.-ben megjelölt jogszabály adja az adatkezelés jogalapját, úgy azt csak akkor alkalmazza a Társaság, amennyiben megfelel az Infotv. 5. § (3) bekezdés előírásának, így nem csak az adatkezelés kötelezettségét határozza meg, hanem a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát is. 

7.6.4. Amennyiben a Társaság az adatkezelése során jogalapként a jogi kötelezettséget határozza meg, úgy a 8.1.5. szerinti adatkezelési tájékoztatóban és folyamatleírásban a Társaság megnevezi a jogi kötelezettséget előíró jogszabályt annak nevével és a kötelezettséget előíró pontos jogszabályi helyet.

7.7. Létfontosságú érdekre, mint jogalapra vonatkozó különleges szabályok

7.7.1. A Társaság természetes személy létfontosságú érdekére hivatkozó, 7.2.4. pont szerinti jogalappal akkor végez adatkezelést, ha az adott adatkezelés egyéb jogalappal nem végezhető.

7.7.2. Az elszámoltathatóság elve miatt a 7.7.1. szerinti előírás szerint a Társaság az adatkezelés megkezdése előtt köteles megvizsgálni, hogy a személyes adat kezelése megvalósítható-e bármely más jogalappal. 

7.7.3. Ugyancsak az elszámoltathatóság elvéből fakadóan a Társaságnak tudnia kell bizonyítania a létfontosságú érdek fennálltát.

7.8. Közérdekű feladatra, mint jogalapra vonatkozó különleges szabályok

7.8.1. A Társaság fő- és alaptevékenysége vagyonvédelmi auditok, védelmi átvilágítás és operatív ellenőrzések szolgáltatása, biztonsági szaktanácsadás, és belső ellenőrzés lefolytatása. 

Tevékenysége során az ellenőrzés alapját meghatározó jogszabályok különösen:

A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény, a Polgári Törvénykönyvről szóló 2013. évi V. törvény.

7.8.2. A fenti pontban taglalt szolgáltatás nem minősül a Szabályzat 7.2.5. pontban meghatározott közérdekű vagy közhatalmi jogosítvány gyakorlásának, így a Társaság által végzett adatkezelések nem végezhetők a Szabályzat 7.2.5. pontjában meghatározott jogalappal.

7.9. Jogos érdekre, mint jogalapra vonatkozó különleges szabályok

7.9.1. A Társaság a 7.2.6. pontban foglalt jogalap alkalmazása esetén az adatkezelés megkezdése előtt az érintettek magánszférájának, érdekeinek és alapvető jogainak biztosítása érdekében a 9. pont szerinti érdekmérlegelési tesztet végez el.

7.9.2. A konkrét adatkezelési folyamat során a Társaság megfelelő tájékoztatást nyújt az érintettek számára az adatkezelés jogalapjáról.

7.9.3. A 7.2.6. pontban foglalt jogalapot a szükségesség-arányosság elve alapján alkalmazza a Társaság, ha az adatkezeléssel elérendő cél más jogalappal nem megvalósítható és az érintett magánszférájának korlátozása arányban áll az elérendő céllal.

7.9.4. Az érdekmérlegelési tesztet az érintett – kérelmére – bármikor megismerheti.

8.       Az érintettek jogai

8.1. Az érintett tájékoztatása az adat felvételéhez kapcsolódóan a GDPR 13. és 14. cikk szerint.

8.1.1. Abban az esetben, amennyiben az adatkezelés során a személyes adatokat a Társaság közvetlenül az érintettől szerzi meg, úgy a személyes adatok megszerzésének időpontjában – a jelen Szabályzat 2. sz. mellékletében foglalt minta segítségével – az alábbiakról tájékoztatja az érintettet:

• a Társaságnak és a Társaság képviselőjének pontos megnevezése, elérhetőségei,
• a Társaság adatvédelmi tisztviselőjének elérhetősége(i),
• az adatkezelés célja,
• az adatkezelés jogalapja,
• amennyiben az adatkezelés célja a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítése, úgy a Társaság vagy a harmadik fél jogos érdekének megnevezése,
• amennyiben a Társaság a személyes adatokat az adatkezelés során harmadik fél számára átadja, a személyes adatok címzettjei, illetve (vagy) a címzettek kategóriái,
• a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatóságához való jogáról,
• a hozzájárulás visszavonására irányuló jog gyakorlásának szabályai, amennyiben az adatkezelés jogalapja az érintett hozzájárulása [GDPR 6. cikk (1) a)], vagy a 9. cikk (2) bekezdés a) pontján alapuló feltétellel, kifejezett hozzájárulással kezeli, 
• a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról,
• annak ténye, hogy a személyes adat kezelése szolgáltatása jogszabályon, szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele és az érintett köteles-e a személyes adatokat megadni, valamint a lehetséges következmények, amennyiben az érintett személyes adatait nem adja meg,
• az automatizált döntéshozatal ténye, valamint legalább az ennek során alkalmazott logika és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.1.2. Amennyiben a Társaság a személyes adatot nem közvetlenül az érintettől szerzi meg – a jelen Szabályzat 3. sz. mellékletében foglalt minta segítségével – az alábbiakról tájékoztatja az érintettet:

• a Társaságnak és a Társaság képviselőjének pontos megnevezése, elérhetőségei,
• a Társaság adatvédelemi tisztviselőjének elérhetősége(i),
• az adatkezelés célja,
• az adatkezelés jogalapja,
• a kezelt személyes adatok kategóriái,
• amennyiben a Társaság a személyes adatokat az adatkezelés során harmadik fél számára átadja, a személyes adatok címzettjei, illetve (vagy) a címzettek kategóriái,
• a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
• amennyiben az adatkezelés célja a Társaság vagy egy harmadik fél jogos érdekeinek érvényesítése, úgy a Társaság vagy a harmadik fél jogos érdekének megnevezése,
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatóságához való jogáról,
• a hozzájárulás visszavonására irányuló jog gyakorlásának szabályai, amennyiben az adatkezelés jogalapja az érintett hozzájárulása [GDPR 6. cikk (1) a)], vagy a 9. cikk (2) bekezdés a) pontján alapuló feltétellel, kifejezett hozzájárulással kezeli,
• a Nemzeti Adatvédelmi és Információszabadság Hatósághoz címzett panasz benyújtásának jogáról,
• a személyes adat forrása,
• amennyiben az adatok harmadik forrásból való gyűjtését jogszabály írja elő, úgy a konkrét jogszabályi hely megjelölése,
• a személyes adat Társaság általi megszerzésének időpontja,
• amennyiben a Társaság által folytatott ügyben van szükség a személyes adatokra, úgy a konkrét ügy ügyszámmal vagy egyéb módon történő megjelölése,
• annak ténye, hogy a személyes adat nyilvánosan hozzáférhető forrásból származik-e,
• az automatizált döntéshozatal ténye, valamint legalább az ennek során alkalmazott logika és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

8.1.3. Amennyiben a Társaság az adatkezelése során az adatot nem közvetlenül az érintettől szerzi meg, az érintettet az alábbi időpontban tájékoztatja:

• a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül,
• ha a Társaság a személyes adatokat az érintettel való kapcsolattartás céljára használja, az érintettel való első kapcsolatfelvétel alkalmával vagy
• ha a Társaság az adatokat várhatóan más címzettel is közli, legkésőbb a személyes adatok első alkalommal való közlésekor.

8.1.4. Ha a Társaság a személyes adatot nem közvetlenül az érintettől szerzi meg, nem kell tájékoztatni, amennyiben:

• az érintett már rendelkezik az ezen pontokba foglalt információkkal,
• a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne, 
• az adat megszerzését vagy közlését kifejezetten előírja a Társaságra alkalmazandó uniós vagy a hatályos magyar jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről is rendelkezik, vagy
• a személyes adatoknak valamely uniós vagy a hatályos magyar jogban előírt szakmai titoktartási kötelezettség alapján bizalmasnak kell maradnia.

8.1.5. A tájékoztatást a Társaság elsősorban a jelen Szabályzat mellékleteit képező adatkezelési tájékoztatókkal/folyamatleírásokkal valósítja meg. Ezen tájékoztatókat, folyamatleírásokat a Társaság minden olyan esetben elkészíti, amikor az érintettet tájékoztatnia kell az adatkezelésről. A tájékoztató, folyamatleírás nyilvánosságra hozatalának szabályai:

• a folyamatleírások/tájékoztatók a jelen Szabályzat szerint elkészített adatkezelési nyilvántartás elválaszthatatlan részét képezi,

• a folyamatleírás/tájékoztatók minden esetben az adatkezelés megkezdése előtt az érintett számára megismerhető kell, hogy legyen,
• minden olyan folyamat során, amikor az adat felvétele papíralapon történik, az adat felvételének helyén elérhetőnek kell lennie az adott folyamatleírásnak/tájékoztatónak,
• minden olyan folyamat során, amikor az adat felvétele technikai eszköz útján történik, a technikai eszköz segítségével elérhetőnek kell lennie a folyamatleírásnak/tájékoztatónak,
• minden olyan esetben, amikor az érintett ráutaló magatartással járul hozzá az adatkezeléshez, a folyamatleírásnak/tájékoztatónak a ráutaló magatartás megtételéül szolgáló helyen kell elérhetőnek lennie, hogy az érintett ennek tudatában járulhasson hozzá az adatkezeléshez,
• amennyiben feltételezhető, hogy az érintett maga fogja kezdeményezni az adatkezelést, ezen adatkezelések folyamatleírásai/tájékoztatói elérhetőnek kell lennie a Társaság honlapján az érintett előzetes tájékoztatása érdekében,
• a tájékoztatókat úgy kell nyilvánosságra hozni, hogy a Társaság minden esetben bizonyítani tudja, hogy az érintett azokat az adatkezelés megkezdése előtt megismerhette, így különösen online felületen történő adatfelvétel esetén egy ún. „check box” segítségével nyilatkoztatja a Társaság, hogy az adatkezelés szabályait megismerte, elolvasta és azokat elfogadta, továbbá hozzájárulását adta.

Amennyiben a Társaság az adatkezeléssel kapcsolatos tájékoztatót/folyamatleírást az érintettel megismerteti, úgy vélelmezi, hogy az érintett azt megismerte és elfogadta, adott esetben hozzájárulását adta.

8.2. Az érintett tájékoztatása a rá vonatkozó folyamatban lévő adatkezelésről („hozzáférési jog”)

8.2.1. Amennyiben az érintett a GDPR 15. cikke szerinti hozzáférési jogával kíván élni, úgy a Társaság az alábbiakról tájékoztatja:

• az adatkezelés célja vagy céljai,
• az érintett személyes adatok kategóriái,
• azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat a Társaság már közölte vagy a jövőben közölni fogja,
• a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
• a helyesbítési jog gyakorlásának szabályai,
• a törlési jog gyakorlásának szabályai,
• az adatkezelés korlátozására irányuló jog gyakorlásának szabályai,
• a tiltakozási jog gyakorlásának szabályai,
• a Nemzeti Adatvédelmi és Információszabadság Hatósághoz való panasz benyújtásának joga, 
• ha a személyes adatok forrás nem az érintett, a forrásra vonatkozó minden elérhető információ,
• amennyiben az adatkezelés automatizált döntéshozatalon alapszik, úgy ennek ténye, valamint az alkalmazott logikára és arra vonatkozó érthető információk.

8.2.2. A Társaság a 8.2.1. szerinti tájékoztatás (4. sz. melléklet szerinti minta formanyomtatvány) során az adatkezelés tárgyát képező személyes adatok másolatát az érintett kérelmére az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. 

8.2.3. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett máshogy kéri.

8.2.4. A Társaság egyetlen munkatársa sem ad tájékoztatást a Társaság által kezelt konkrét személyes adatról telefonos úton.

8.3. Az érintett helyesbítéshez való joga

8.3.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését.

8.3.2. Amennyiben az érintett személyes adatának helyesbítését kéri és nem áll rendelkezésre a személyes adat, amelyre a már kezelt adatot helyesbíteni kell, hiánypótlásra hívja fel a Társaság az érintettet.

8.3.2. Amennyiben az érintett személyes adatának helyesbítését kéri és a személyes adat rendelkezésre áll, a Társaság a személyes adatot helyesbíti és azzal egyidőben írásban tájékoztatja az érintettet a helyesbítés tényéről és időpontjáról az 5. sz. melléklet szerintiformanyomtatvány felhasználásával.

8.4. Az érintett törléshez való joga („az elfeledtetéshez való jog”)

8.4.1. Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja,
• az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
• a személyes adatokat jogellenesen kezelték, 
• a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell,
• a személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

8.4.2. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a 8.4.1. pontban írtak szerint törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését. 

8.4.3. A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.

8.4.4. A személyes adatot a Társaság olyan módon törli, hogy helyreállítása többé ne legyen lehetséges.

8.4.5. Amennyiben a személyes adat a személyes adatot hordozó adathordozóról nem törölhető, a Társaság a személyes adat adathordozóját köteles megsemmisíteni.

8.4.6. Amennyiben az érintett olyan személyes adatot kíván töröltetni, amely hiányában az érintett és a Társaság közötti jogviszony nem tartható fenn, a jogviszony megszűnik. Erről azonban a törlés előtt a Társaság tájékoztatja az érintettet és amennyiben törlési kérelmét fenntartja, a törlés megtörténik. A törlési kérelem fenntartásának minősül, ha a tájékoztatás kézbesítésétől számított 3 napon belül az érintett törlési kérelmét nem vonja vissza.

8.4.7. A személyes adat törlésére vagy az adathordozó megsemmisítésre az alábbi szabályok közül a felsorolásban előbb szereplő szabályt kell alkalmazni. Amennyiben az alkalmazandó szabály az adott személyes adatra nézve nem értelmezhető, a felsorolásban soron következő szabályt kell alkalmazni:

• a személyes adat kezelésének megszüntetésére vonatkozó kötelező jogszabályi előírás,
• a Társaság iratkezelési szabályzatának a személyes adatot hordozó papíralapú dokumentum megsemmisítésére vonatkozó előírás,
• a Szabályzat konkrét adatkezelésre vonatkozó, adattörlési vagy adatmegsemmisítési GDPR szerinti adattörlési, vagy adatmegsemmisítési szabálya.

8.5. Az adatkezelés korlátozásához fűződő érintetti jog

8.5.1. Az érintett kérelmezheti a Társaságnál a rá vonatkozóan a Társaság által tárolt személyes adatok megjelölését jövőbeli kezelésük korlátozása céljából.

8.5.2. A Társaság az érintett kérelmére akkor korlátozza az adatkezelést, amennyiben az alábbi feltételek egyike fennáll:

• az érintett kérelmében vitatja a rá vonatkozó személyes adatok pontosságát, ebben az esetben a korlátozás arra az időtartamra vonatkozik, ameddig a Társaság ellenőrzi a személyes adatok pontosságát,
• az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását,
• bár a Társaságnak az adatkezelés megkezdése előtt meghatározott cél eléréséhez már nincs szüksége a személyes adat kezelésére, de az érintett kérelmében igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
• az érintett a 8.6. pont alapján az tiltakozott az adatkezelés ellen, ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

8.5.3. Amennyiben a személyes adat kezelését korlátozza a Társaság, úgy a korlátozás időtartama során csak az érintett hozzájárulásával vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve a valamely tagállam fontos közérdekéből lehet kezelni.

8.5.4. A 8.5.3. pont nem vonatkozik az adat tárolására, mint adatkezelési műveletre, azt a korlátozás alatt is köteles megtenni a Társaság.

8.5.5. Amennyiben az adatkezelés korlátozását a Társaság feloldja, a korlátozás feloldása előtt legkésőbb három (3) munkanappal korábban a korlátozás feloldásának tényéről írásban tájékoztatja azt az érintettet, akinek a kérésére a korlátozás megtörtént.

8.6. Tiltakozás a személyes adat kezelése ellen

8.6.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

8.6.2. A Társaság a 8.6.1. szerinti tiltakozás esetén megvizsgálja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

8.6.3. Amennyiben a Társaság a 8.6.2. szerinti vizsgálata során megállapítja, hogy a 8.6.2. pontba foglalt feltételek egyike sem érvényesül, a tiltakozással érintett személyes adatot nem kezeli tovább.

8.7. Az adathordozhatósághoz való érintetti jog gyakorlása

8.7.1. Amennyiben az adatkezelés jogalapja az érintetti hozzájárulása vagy 7.2.2. pont szerinti szerződésen alapul, úgy az érintett jogosult arra, hogy az általa a Társaság részére átadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja.

8.7.2. A Társaság a 8.7.1. szerinti megfelelést elsősorban .xml, .csv vagy .doc formátumban teljesíti a kérelemmel érintett személyes adatok jellegétől függően.

8.7.3. Az érintett kérelmezheti továbbá a Társaságtól, hogy az általa kezelt személyes adatokat egy másik, az érintett által egyértelműen megjelölt adatkezelőnek továbbítsa.

8.7.4. E pontba foglalt jog nem illeti meg az érintettet, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges, valamint, ha ez a jog hátrányosan érintené mások jogait és szabadságait.

8.8. Jogorvoslat

8.8.1. Az érintett a GDPR 77. cikk (1) bekezdése alapján a Társaság adatkezelési eljárásával kapcsolatos panasszal a NAIH-hozfordulhat.

8.8.2. Az érintett a GDPR 79. cikk (1) bekezdése szerint a Társaság adatkezelési eljárásával kapcsolatos jogsértés miatt a lakóhelye vagy tartózkodási helye szerint illetékes törvényszékhez fordulhat.

8.9. Az érintett jogainak érvényesítése a Társaság adatkezelései során

8.9.1. A Társaság annak érdekében, hogy az érintettek érintetti jogaikkal élhessenek, jelen pontban rögzíti az érintetti joggyakorlással kapcsolatos jogokat, kötelezettségeket és eljárási szabályokat.

8.9.2. A Társaság minden esetben törekszik arra, hogy az érintettnek adott tájékoztatása minden esetben a GDPR által meghatározott szabályok teljesítése mellett is a lehetőségekhez mérten tömör, átlátható, érthető, könnyen hozzáférhető, világos és közérthető legyen.

8.9.3. A Társaság az érintettnek adott minden tájékoztatást főszabály szerint írásban tesz meg, ideértve az elektronikus utat is.

8.9.4. Amennyiben az érintett kéri a személyes szóbeli tájékoztatást, úgy személyazonossága igazolását követően a Társaság erre felhatalmazott munkatársa a tájékoztatást szóban is megadhatja. 

8.9.5. A Társaság az érintett számára tájékoztatást csak és kizárólag abban az esetben nyújt, ha a Társaság erre felhatalmazott munkatársa meggyőződött az érintett személyazonosságáról.

8.9.6. Az érintett személyazonosságáról való meggyőződésnek számít, ha a Társaság erre felhatalmazott munkatársa előtt:

• az érintett személyazonosságát a hatályos magyar jog szerinti személyazonosság igazolására alkalmas okmány bemutatásával (így különösen, de nem kizárólagosan személyazonosító igazolvánnyal, útlevéllel, vezetői engedéllyel) igazolja,
• az érintett személyazonosságát az Európai Unió joga szerint személyazonosság igazolására alkalmas okmány bemutatásával igazolja,
• az érintett kérelme a Társaság előtt már korábbi ügyből ismert, az érintetthez köthető e-mail címről érkezik,
• az érintett kérelme a Társaság által biztosított, zárt, a megfelelő személyazonosítás megtörténte után használható csatornán érkezik.

8.9.7. A Társaság nem fogadja el a személyazonosítás telefonos úton történő egyetlen formáját sem, így az érintett telefonon nem kezdeményezheti az érintetti jogainak érvényesítését.

8.9.8. Amennyiben a személyazonosság igazolása nem történik meg, a Társaság az érintetti joggyakorlási kérelmet elutasítja és egyben tájékoztatja az érintettet, hogy a Szabályzatban írtak szerint miként gyakorolhatja érintetti jogait.

8.9.9. A Társaság az érintettet a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintetti joggyakorlásra vonatkozó kérelme kapcsán tett intézkedésről.

8.9.10. Beérkezésnek az számít, ha az igényt az érintett:

• szóban személyesen a Társaságnak személyazonosítást követően megteszi,
• az írásba foglalt igény a Társaság elérhetőségére megérkezik.

8.9.11. Az egy hónapos határidőt a Társaság maximum további két hónappal meghosszabbítja, ha a kérelem összetettsége vagy az aktuálisan kezelt kérelmek száma azt indokolja.

8.9.12. A határidő meghosszabbításáról a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül a Társaság tájékoztatja az érintettet.

8.9.13. Amennyiben a Társaság nem intézkedik az érintett kérelmére, úgy az érintett a 8.8. pontba foglalt jogorvoslati jogával élhet a Társaság ellen.

8.9.14. A Társaság a tájékoztatást és intézkedéseket díjmentesen végzi.

8.9.15. A tájékoztatás és intézkedés megtételéréért a Társaság vezető tisztségviselője felelős a szakterületek által szolgáltatott adatok alapján az adatvédelmi tisztviselő közreműködésével.

8.9.16. A tájékoztatást a vezető tisztségviselő teszi meg. 

8.9.17. A tájékoztatásra vonatkozó adatok birtokában lévő szakterület köteles a vezető tisztségviselővel együttműködni, számára előzetesen írásban minden információt, adatot megadni a tájékoztatás teljesítéséhez.

9.       Érdekmérlegelés és az érdekmérlegelési teszt elvégzése

9.1. A jogos érdekre, mint jogalapra való hivatkozás (7.9. pont) esetén a 7. sz. melléklet felhasználásával elkészített érdekmérlegelési tesztnek sorrendben az alábbiakra kell kiterjednie:

• a kezelni kívánt személyes adat meghatározása,
• annak a személynek a meghatározása, akinek a jogos érdekében az adatkezelés szükséges,
• a jogos érdek bemutatása,
• az adatkezelés céljának meghatározása,
• annak vizsgálata, hogy az adatkezelés feltétlenül szükséges-e a feltárt jogos érdek érvényesítéséhez,
• ha az adatkezelés szükséges a jogos érdek érvényesítéséhez, annak vizsgálata, hogy az érvényesíthető-e más, az érintett magánszféráját nem vagy kevésbé érintő folyamattal,
• ha a jogos érdek nem érvényesíthető más folyamattal annak vizsgálata, hogy az adatkezelés esetén az érintett érdekei, alapjogai mennyiben korlátozódnak vagy sérülnek,
• a jogos érdek és az érintetti alapjogi korlátozás összevetése,
• az érdekmérlegelési teszt eredménye,
• az érdekmérlegelési teszt elvégzésének dátuma,
• amennyiben az érdekmérlegelési teszt eredményeként a személyes adat kezelhető, úgy az adatkezelési folyamat bevezetésének időpontjának meghatározása.

9.2. Amennyiben az érdekmérlegelési teszt eredményeként a Társaság megállapítja, hogy az adatkezeléssel érintett jogos érdekkel szemben elsőbbséget élveznek az érintett érdekei és alapvető jogai, a 7.2.6. pontba foglalt (jogos érdek érvényesítése) adatkezelési jogalapot nem alkalmazza.

10.    A Társaság adatvédelmi rendszere

10.1. Általános rendelkezések

10.1.1. A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével e Szabályzatban határozza meg az adatvédelmi előírások megvalósításához szükséges feladat- és hatásköröket.

10.1.2. A Társaság minden adatkezelése felett a felügyeletet elsődlegesen a vezető tisztségviselő látja el. Feladatát a kinevezett vagy megbízott adatvédelmi tisztviselő támogatja. 

Az Adatkezelő az adatvédelmi tisztviselő elérhetőségét közzéteszi honlapján, valamint bejelenti nevét és elérhetőségét a NAIH részére.

10.1.3. A Szabályzatban előírtak betartatásáért a Társaság minden munkatársa felelős.

10.1.4. Mindenki köteles gondoskodni arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

10.2. Hatáskörök az adatvédelemmel kapcsolatosan

A vezető tisztségviselő

• felelős az érintettek 8.2. pontba foglalt jogainak gyakorlásához szükséges feltételek biztosításáért,
• felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért,
• felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért,
• felügyeli az adatvédelmi tisztviselő tevékenységét,
• belső adatvédelmi vizsgálatot rendelhet el,
• kiadja a Társaság adatvédelemmel és adatbiztonsággal kapcsolatos belső szabályzatait,
• különösen súlyos törvénysértés esetén a munkajogi szabályok alapján fegyelmi eljárást indít a személyes adatot jogszabálysértő módon kezelő személy ellen.
• feladatait a kijelölt dolgozóra delegálhatja.

Az adatvédelmi tisztviselő

• segítséget nyújt az érintett 8.2. pontba foglalt jogainak biztosításában;
• kezeli az adatkezelési tevékenységek nyilvántartását és szükség esetén módosítja vagy – új folyamat esetén – kiegészíti azt, különös tekintettel az adatvédelmi folyamatleírásokra;
• minden év január 15-ig jelentést készít a vezető tisztségviselő részére a Társaság adatvédelmi feladatainak végrehajtásáról,
• jogosult a Szabályzat betartását bármely szervezeti egységnél ellenőrizni,
• ellenőrzi a GDPR és az adatkezelésre vonatkozó más jogszabályok, valamint a Szabályzat rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását és az ellenőrzés tapasztalatairól tájékoztatja a vezető tisztségviselőt,
• segítséget nyújt a szervezeti egységek számára az adattovábbítási nyilvántartások vezetésében,
• figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi a Szabályzat módosítását,
• közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett eljárás során,
• általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg,
• kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés vagy annak veszélyének észlelése esetén annak megszüntetésére hívja fel a Társaságot vagy az adatfeldolgozót,
• javaslatot tesz a szükséges intézkedésekre az ellenőrzési tapasztalatai és az adatvédelmi előírások megszegéséről készült jegyzőkönyvek alapján, 
• felügyeli a külső szervezetektől érkező személyes adatokat érintő megkeresések teljesítését,
• gondoskodik az adatvédelmi ismeretek oktatásáról,
• közreműködik, valamint segítséget nyújt az adatkezeléssel kapcsolatos döntések meghozatalában,
• szükség esetén felvilágosítást nyújt a Társaság munkatársai számára adatvédelmi kérdésekben,
• véleményezi a Társaság által kiadandó szabályzatok azon részeit, amelyek adatvédelmi kérdést érintenek,
• ellátja a jogszabályok által ráruházott adatvédelemmel kapcsolatos feladatokat.

A szervezeti egység vezetői

• kötelesek biztosítani és ellenőrizni a vezetésük alá tartozó szervezeti egységnél az adatkezelésre vonatkozó jogszabályok és a Szabályzatban foglaltak betartását,
• intézkednek a külső szervezetektől érkező és a hatáskörükbe tartozó személyes adatokat érintő megkeresések teljesítéséért az adatvédelmi tisztviselő közreműködésével,
• együttműködnek az adatvédelmi tisztviselővel,
• szabályellenes adatkezelés esetén haladéktalanul intézkednek annak megszüntetéséről, és arról haladéktalanul értesítik az adatvédelmi tisztviselőt,
• kötelesek gondoskodni arról, hogy a Szabályzat előírásait és változásait az általuk irányított munkatársak feladatköreiknek megfelelő részletességgel megismerjék.

Az informatikáért felelős személy adatvédelemmel kapcsolatos feladatai:

• ellátja a rendszergazdai feladatokat,
• ellátja az informatikai fejlesztésekkel, beszerzésekkel kapcsolatos feladatokat, ügyelve a beszerzések racionalizálására, kompatibilitására,
• a közreműködik az adatkezelők egyéni kódjának, jelszavának, jogosultságának beállításában azon szerverek tekintetében, amelyekre adminisztrátori jogosultsággal rendelkezik,
• használatba állítás előtt ellátja a szoftverek és hardverek rendszerbe állítását (installálását),
• a szervereken tárolt adatok vonatkozásában gondoskodik a kezelt adatok jogosultak általi hozzáféréséről, módosításáról, illetőleg gondoskodik a tárolt adatok megsemmisülésének megakadályozásáról,
• igény esetén közreműködik a számítógépen/szerveren tárolt adatok esetében a megadott szempontú adatszolgáltatásban,
• elvégzi a szervereken tárolt adatok biztonsági mentését, naplózását,
• vírusfertőzöttség esetén elvégzi a fertőzött informatikai eszköz vírusmentesítését,
• szükség szerint ellátja a számítógépek és a hálózat karbantartását, gondoskodik a szerverek üzemszerű működéséről,
• ellátja az informatikai eszközök szervizelésével kapcsolatos feladatokat, amennyiben megoldható szakszerviz segítsége nélkül,
• üzemzavar esetén elvégzi az informatikai rendszerek újraindítását, a hálózat alkalmazásainak és adatainak a visszatöltését,
• folyamatosan üzemelteti a számítógépes hálózatot,
• igény esetén segítséget nyújt az adatkezelőknek a számítástechnikai alkalmazások használatánál és az adatbázisok kezelésénél,
• ellátja az informatikai biztonság keretében az általánosan elvárt feladatokat, biztosítja az abban foglaltak teljesítését.

Az adatkezelésben érintett munkatársak

• kötelesek a Szabályzat előírásai szerint kezelni a személyes adatokat,
• felelősek feladatkörükben eljárva a személyes adatok a Szabályzat szerinti kezeléséért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos és követhető dokumentálásáért,
• amennyiben szükséges, előzetesen egyeztetnek a felettesükkel és az adatvédelmi tisztviselővel a személyes adatok kezelését érintő ügyekben,
• a tudomásukra jutott adatkezeléssel kapcsolatos jogsértésekről, incidensről haladéktalanul tájékoztatják a felettesüket.

11.    Adatbiztonsági szabályok

11.1. A Társaság, illetőleg tevékenységi körében a Társaság által megbízott adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a GDPR, valamint a Szabályzat érvényre juttatásához szükségesek.

11.2. A Társaság az adatbiztonsági folyamatait úgy alakítja ki, hogy azok a személyes adatokat megvédjék a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen.

11.3. Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit a GDPR, valamint az adatkezelésre vonatkozó külön törvények keretei között a Társaság határozza meg. Az általa adott utasítások jogszerűségéért a Társaság felel.

11.4. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat a Társaság rendelkezései szerint köteles tárolni és megőrizni.

11.5. A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:

• az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók,
• a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el,
• a személyes adatokat tartalmazó iratokhoz csak az illetékesek férhetnek hozzá,
• a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja,
• a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja,
• amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság,
• a megsemmisítésre váró iratok, elektronikus adathordozók megsemmisítését a Társaság végzi, a megsemmisítésig zárható szekrényben kijelölt szakmai igazgatónál helyezik el.

11.6. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket és garanciális elemeket alkalmazza:

• az adatkezelés során használt számítógépek, szerver a Társaság tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír,
• a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről a Társaság utasítása szerint a dolgozó rendszeresen, illetve indokolt esetben gondoskodik,
• az adatokkal történő minden számítógépes rekord nyomon követhetően naplózásra kerül,
• a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak a belső hálózatból, és távoli hozzáféréssel megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá vpn kapcsolattal,
• amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető,
• a Társaság a hálózaton tárolt adatok biztonsága érdekében a szervereket magas rendelkezésre állású infrastruktúrával védi, az adatvesztést mentésekkel és archiválással kerüli el,
• a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentés készül,
• a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik,
• a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését (pl.: A vendégek és a mobiltelefonok nem érik el a belső hálózatot, vendég WiFi hálózatra csatlakoznak.).

11.7. Jogosultságkezelés

A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen. Ezen adatok naprakészsége nagymértékben hozzásegíti a Társaságot a tőle elvárt, illetve általa elérhető biztonsági szint teljesítéséhez, továbbá az informatikai hálózat törvényi és szakmai normák szerinti üzemeltetéséhez.

Az informatikai rendszerben a jogosultságok változásait (létező jogosultságok, új jogosultságok kiosztása, jogosultságok módosítása, megszűnése) dokumentálni kell.

A személyes adatok biztonsága érdekében a Társaság az alábbi jogosultságkezelési előírásokat alkalmazza:

• Alapelvek
• Új jogosultság beállítását, illetve jogosultság megváltoztatását a jogosultság birtokosának felhatalmazása alapján az informatikus végzi.
• A jogosultságok megállapítása során kizárólag a munkavégzéshez szükséges és elégséges jogosultságokat kell kiosztani.
• El kell kerülni, hogy teljes hozzáférést, illetve adminisztrátori jogosultságokat kapjanak más munkát végző, illetve a jogosultság birtoklására igényt nem tartó személyek.
• Adminisztrátori jogosultsággal rendelkező, nevesített felhasználót kell alkalmazni a rendszer adminisztrálása érdekében minden esetben, ahol ez lehetséges. A nem nevesített rendszergazdai jelszavakat zárt borítékban, felbontást gátló módon, aláírva kell tárolni. Ezek használatát az Adatkezelő vezető tisztségviselője vagy akadályoztatása esetén a helyettesítési rend szerinti helyettese engedélyezheti. A nem nevesített felhasználói jogosultságok használatát indokolni és dokumentálni kell.
• Külső – karbantartó vagy fejlesztő – cég alkalmazottja folyamatosan működő, korlátlan időre szóló hozzáférési jogosultsággal nem rendelkezhet.

11.8. Jogosultságkezelési folyamat

A jogosultságkezelés szabályozásának célja, hogy a kiosztott jogosultságok pontosan nyomon követhetőek legyenek, dokumentált formában megőrzésre kerüljenek, valamint az egyes jogosultságokkal rendelkező személyek tevékenysége és az általuk felhasznált adatok köre ellenőrizhető legyen.

A jogosultság kiosztása, annak módosítása és törlése a rendszergazda feladatokat ellátó informatikus feladata a vezető tisztségviselő utasításra. 

A jogosultság igényléshez, módosításhoz, törléséhez az informatikus részére címzett, aláírt „Jogosultságkezelési megrendelőlapot” is lehet alkalmazni. Jogosultságot, vagy a dolgozó felettese igényelhet dolgozójának, vagy a dolgozó saját magának, vezetői jóváhagyással.  A jogosultságok változásáról (igénylés, módosítás, törlés) az informatikus nyilvántartást vezet.

A jogosultságkezelési nyilvántartó és megrendelőlap minta a jelen Szabályzat 8. sz. és 9. sz. melléklete.

11.9. Álnevesítés

Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel a Társaság az ilyen további információt külön tárolja, technikai és szervezési intézkedések megtételével biztosítja, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

11.10. Oktatás és tréningrendszer

Kiemelt területként kell kezelni a munkatársak kapcsán a biztonságtudatossági képzést.

A biztonságtudatos magatartás komoly károkat okozó hibák és támadások megelőzésében játszhat szerepet.

Nem elegendő az információbiztonsági rendelkezések és adatvédelmi, adatbiztonsági szabályozás megléte a szervezetben, az alkalmazottakban rendszeres képzések, tréningek során kell tudatosítani, hogy a kialakított szabályrendszer és az IT eszközök önmagukban nem képesek garantálni a szervezet számára az adat- és információbiztonságot, ehhez a napi munkatevékenységük során felelős magatartásukkal a dolgozóknak is hozzá kell járulniuk.

A Társaság dolgozóinak általános adatvédelmi-információbiztonsági tréningje évente (kapcsolható más rendszeres képzésekhez, tréningekhez, mint pl.: tűz- és munkavédelem) történik.

12.    Adatvédelmi incidens

12.1. Adatvédelmi incidens észlelése és jelentése

12.1.1 A Társaság minden munkatársa köteles a tudomására jutott adatvédelmi incidenst haladéktalanul jelenteni az adatvédelemi tisztviselőnek és a vezető tisztségviselőnek. A jelentésnek legalább az alábbi adatokat tartalmaznia kell:

• az adatvédelmi incidenst észlelő személy neve,
• amennyiben az adatvédelmi incidens észlelő és jelentő személy nem azonos, úgy az adatvédelmi incidenst jelentő személy nevét,
• az adatvédelmi incidens észlelésének időpontját (tudomásszerzés),
• az adatvédelmi incidens rövid leírását, valamint
• annak tényét, hogy az észlelt adatvédelmi incidens érinti-e a Társaság informatikai rendszerét vagy sem.

12.1.2. Az adatvédelmi incidens jelentésének bizonyítható módon kell megtörténnie, ezért a Társaság az adatvédelmi incidensek jelentésére formanyomtatványt rendszeresít (10. sz. melléklet). A jelentést a formanyomtatvány megfelelő kitöltésével, dátumozásával, aláírásával és iktatásával, belső levélként kell megküldeni adatvédelemi tisztviselőnek és a vezető tisztségviselőnek. Amennyiben elháríthatatlan okból kifolyólag az adatvédelmi incidenst észlelő vagy jelentő személy nem tudja írásban megtenni a jelentést, és ezért szóban tesz jelentést, úgy az adatvédelemi tisztviselő köteles erről jegyzőkönyvet felvenni, amelynek tartalmaznia kell a legalább az előző pont szerinti információkat. Az akadály megszűnését követően haladéktalanul az adatvédelmi incidenst észlelő vagy jelentő személy köteles a bejelentést írásban is megerősíteni, azaz a kitöltött formanyomtatványt utólag megküldeni az adatvédelmi tisztviselőnek. 

12.1.3. Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor az adatvédelemi tisztviselő az adatvédelmi incidens kivizsgálásába bevonja a Társaság az erre kijelölt dolgozóját vagy a megbízottját is. 

12.1.4. A bejelentés érkezését követően az adatvédelemi tisztviselőnek – az érintett szervezeti egységek bevonásával – haladéktalanul megkezdi az adatvédelmi incidens kivizsgálását és értékelését. A kivizsgálásban és értékelésben valamennyi érintett szervezeti egység együttműködni köteles.

12.2. Adatvédelmi incidens kivizsgálása

12.2.1. Az adatvédelemi tisztviselő megvizsgálja a jelentést és amennyiben szükséges, a bejelentőtől, illetve az érintett szervezeti egységek vezetői, munkatársaitól további adatokat kér az incidensre vonatkozóan.

12.2.2. Az adatvédelemi tisztviselő személy az alábbi információkat (amennyiben azok a jelentésből nem derülnek ki) lehetőségéhez mérten köteles felderíteni: 

• az adatvédelmi incidens bekövetkezésének időpontja és helye,
• az adatvédelmi incidens által érintett adatok köre,
• az adatvédelmi incidenssel érintett személyek köre és száma.

12.2.3. Ezen adatokból az adatvédelemi tisztviselő összegzést készít az adatvédelmi incidens várható hatásairól és cselekvési tervet készít a következményeinek enyhítése érdekében, az érintett szakterületek szakmai véleményei és javaslatai figyelembevételével.

12.2.4. Az adatvédelmi incidenssel érintett munkatársak kötelesek együttműködni az adatvédelemi tisztviselővel.

12.2.5. A vizsgálatot legkésőbb az adatvédelmi incidens bekövetkezésének tudomásra jutástól számított 72 órán belül amennyiben lehetséges be kell fejezni, és bejelenteni a NAIH részére egészben vagy részletekben, amennyiben valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira nézve. 

12.3. Adatvédelmi incidens értékelése

12.3.1. A Társaság az adatvédelmi incidenseket három kategóriába sorolja:

• 1. kategória: valószínűsíthetően kockázattal nem járó incidens.
• 2. kategória: valószínűsíthetően alacsony kockázattal járó incidens.
• 3. kategória: valószínűsíthetően magas kockázattal járó incidens.

12.3.2. A Társaság az adatvédelmi incidenst az alábbi szempontok szerint értékeli:

• az adatkezelő típusa,
• az incidens típusa (bizalmassági, integritási vagy elérhetőségi),
• a személyes adatok jellege/típusa (személyes adat / különleges kategória/bűnügyi adat),
• a személyes adatok érzékenysége (gyermek, kiszolgáltatott személy),
• a személyes adatok száma,
• az érintett személyek száma,
• az érintett természetes személyek kategóriái,
• az érintett természetes személyek azonosíthatósága,
• az érintett adatkezelés jogalapja,
• az adatkezelés jellege, típusa 
  • automatizált adatkezeléssel hozott döntés jellemzően magasabb kockázatú
  • pontozással, értékeléssel járó adatkezelés
  • érintett módszeres megfigyelése
• a természetes személyre nézve fennálló következmények valószínűsége és súlyossága;
• Érintettet érintő esetleges hátrányos jogkövetkezmények értékelése
  • vagyoni kár
  • hátrányos megkülönböztetés
  • kirekesztés
  • egyéb magánjellegű jogkövetkezmények
  • érintett nem rendelkezhet az adataival
  • személyazonossággal visszaélés kockázata
  • joggyakorlás korlátozottsága/elvesztése
  • üzleti hátrány, bevételkiesés
• Adatkezelő és érintett közötti viszonyrendszer
  • érintettnek tartozása áll fenn az adatkezelővel szemben
  • munkaviszony megszüntetéssel érintettek adatkezelése (azonnali hatályú felmondással került megszüntetésre a munkaviszony)
  • folyamatos konfliktus az érintett-adatkezelő között.

12.3.3. A Társaság az incidens értékelése során az alábbi konkrét szempontok alapján értékeli:

• az incidensben érintett adatok között találhatóak a személyes adatok különleges kategóriáiba eső adatok,
• az incidensben érintett személyes adatok száma meghaladja a 100 darabot,
• az incidensben érintett természetes személyek között találhatóak kiskorú természetes személyek,
• az incidensben érintett természetes személyek száma meghaladja a 100 főt,
• az incidensben érintett személyes adatok alkalmasak az érintettel történő közvetlen kapcsolatfelvételre (így különösen lakcím, telefonszám, e-mail cím)
• az incidensben érintett adatkezelés jogalapja 7.2.4. szerinti jogalap,
• az incidensben érintett adatkezelés jogalapja 7.2.5. szerinti jogalap,
• az incidensben érintett adatkezelés jogalapja 7.2.6. szerinti jogalap,
• a személyes adatok alkalmasak az érintett természetes személy személyazonosságának ellopására vagy a személyazonosságával való visszaélésre,
• az incidensben érintett személyes adatok alkalmasak arra, hogy pénzügyi veszteséget okozzanak az érintettjüknek.

12.3.4. Az incidenst a Társaság „1. kategória: valószínűsíthetően kockázattal nem járó incidens”-nek minősíti, ha:

• a 12.3.3. pontban felsorolt feltételek közül legfeljebb kettő áll fenn és
• a Társaság képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.

12.3.5. Az incidenst a Társaság „2. kategória: valószínűsíthetően alacsony kockázattal járó incidens”-nek minősíti, ha:

• a 12.3.3. pontban felsorolt feltételek közül egy áll fenn és
• a Társaság nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.

12.3.6. Az incidens a Társaság „3. kategória: valószínűsíthetően magas kockázattal járó incidens”-nek minősíti, ha:

• a 12.3.3. pontban felsorolt feltételek közül legalább kettő áll fenn és
• a Társaság nem képes annak bizonyítására, hogy az érintett személyes adatokat olyan fizikai és/vagy informatikai védelemmel látta el, amely védelem az incidens bekövetkezése óta nem sérült.

12.3.7. Abban az esetben, ha a kockázat besorolására a Társaság felügyeleti hatósága vagy az Európai Adatvédelmi Testület útmutatást ad ki, a Társaság a 12.3. pontot felülvizsgálja.

12.4. Adatvédelmi incidens bejelentése a NAIH-nak:

12.4.1. Amennyiben a Társaság a 12.3.5. szerint 2. kategóriába vagy a 12.3.6. szerint 3. kategóriába tartozónak minősíti, úgy az adatvédelmi tisztviselő az értékelés megtörténtét követően, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a Társaság tudomására jutott, az adatvédelmi incidenst bejelenti a NAIH-nak. 

12.4.2. A NAIH-nak történő bejelentésnek tartalmaznia kell:

• az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
• az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
• az adatvédelmi incidens jellegét, körülményeit, 
• az adatvédelemi tisztviselő nevét és elérhetőségét,
• az adatvédelmi incidens valószínűsíthető következményeit és
• az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

12.5. Az érintettek tájékoztatása az adatvédelmi incidensről

12.5.1. Amennyiben az adatvédelmi incidens veszélyességének súlyossága valószínűsíthetően magas kockázattal jár az érintett személyek jogaira nézve, a Társaság a kockázati értékelés elvégzését követően azonnal tájékoztatja az adatvédelmi incidensben érintetteket.

12.5.2. Az érintettek írásban elektronikus vagy postai úton kell tájékoztatni, amely kizárólag akkor mellőzhető, ha az érintett elérhetősége ismeretlen.

12.5.3. Az érintetteket úgy kell tájékoztatni minden esetben, hogy annak ténye, tartalma és a tájékoztatott érintetti kör bizonyítható legyen.

12.6. Helyesbítő-megelőző intézkedések bevezetése

12.6.1. A 12.2. pont szerinti vizsgálat eredménye, valamint az incidens kivizsgálásába bevont szakterületek észrevételei, javaslatai alapján az adatvédelmi tisztviselő javaslatot tesz a vezető tisztségviselőnek helyesbítő és/vagy megelőző intézkedések bevezetésére a hasonló adatvédelmi incidensek megelőzése érdekében.

12.6.2. A javasolt helyesbítő és/vagy megelőző intézkedések bevezetéséről a vezető tisztségviselő dönt.

12.7. Az adatvédelmi incidens nyilvántartása

12.7.1. Az adatvédelmi incidensről az adatvédelmi tisztviselő nyilvántartást vezet a Szabályzat 11. sz. melléklete szerinti nyilvántartó-minta alkalmazásával. 

12.7.2. A nyilvántartás tartalmazza:

• az érintett személyes adatok körét,
• az adatvédelmi incidenssel érintettek körét és számát,
• az adatvédelmi incidens időpontját,
• az adatvédelmi incidens körülményeit,
• az adatvédelmi incidens hatásait,
• az elhárítására megtett intézkedéseket,
• az adatvédelmi incidens kivizsgálásának hatására bevezetett helyesbítő-megelőző intézkedéseket.

13.    Adatvédelmi oktatás

13.1. A Társaság évente legalább egy alkalommal oktatást szervez az adatvédelmi tudatosság emelése érdekében, amelyen kötelesek részt venni a Társaság kijelölt munkatársai. Az adatvédelmi oktatásnak legalább az alábbi témákra kiterjed:

• az előző oktatás óta eltelt időszak tapasztalatai az adatvédelem területén, 
• amennyiben az előző oktatás óta módosult a Szabályzat, a módosítással kapcsolatos legfontosabb tudnivalók,
• az esetlegesen megtörtént adatvédelmi incidens bemutatása, értékelése, a helyesbítő-megelőző intézkedések ismertetése,
• az adatvédelem területén történt általános változások, jogszabály módosítások, Magyarországon és az Európai Unióban, különös tekintettel a hatóságok bírságolási gyakorlatára.

13.2. A Társaságnál rendkívüli oktatást kell tartani – amennyiben az indokolt – az alábbi esetekben:

• adatvédelmi incidens megtörténte,
• marasztalással záruló NAIH-eljárás lefolytatása a Társasággal szemben,
• adatvédelmi bírság kiszabása bármely, hasonló vagy azonos feladatot ellátó jogi személy ellen, ha eltérő gyakorlatot igényel a Társaság adatvédelmi rendszerében.

14.    Adatkezelési tevékenységek nyilvántartás

14.1. A Társaság minden általa végzett adatkezelési tevékenységről nyilvántartást vezet.

14.2. A 14.1. szerinti nyilvántartást a Társaság elektronikusan vezeti.

14.3. A 14.1. szerinti nyilvántartás a következő információkat tartalmazza:

• a Társaság neve és elérhetősége,
• a Társaság adatvédelmi tisztviselőjének neve és elérhetősége,
• az adatbiztonságra vonatkozó technikai és szervezési intézkedések általános leírása jelen Szabályzat vagy egyéb, technikai és szervezési intézkedéseket tartalmazó egyéb belső szabályzat vonatkozó pontjára való utalással;
• adatkezelésenként:
  • adatkezelés céljai,
  • az érintettek kategóriái,
  • a személyes adatok kategóriái,
  • olyan címzettek kategóriái, akikkel a személyes adatokat a Társaság közli, vagy várhatóan közölni fogja,
  • a különböző adatkategóriák törlésére előirányzott határidők, ha lehetséges,
  • az adatkezelési tájékoztatót/folyamatleírást.

14.4. Az adatkezelési nyilvántartást az adatvédelmi tisztviselő tartja naprakészen és módosítja szükség esetén.

14.5. Az adatkezelési nyilvántartás naprakészsége biztosítása érdekében a munkatársak, az általuk végzett adatkezelési folyamatban bekövetkező változásokat (módosítás, megszűnés stb.) vagy általuk tervezett új adatkezelési műveletet a tervezett változás vagy a bevezetés előtt legkésőbb 5 munkanappal kötelesek írásban bejelenteni a vezető tisztségviselőnek és az adatvédelmi tisztviselőnek.

14.6. Az adatvédelmi tisztviselő a 14.5. szerinti bejelentés alapján gondoskodik:

• az adatkezelés 14. pont szerinti nyilvántartásban való átvezetéséről,
• szükség esetén a 16. pontban foglalt hatásvizsgálat lefolytatásáról.

15.    Adatfeldolgozókra vonatkozó szabályok

15.1. A Társaság csak és kizárólag olyan adatfeldolgozót vesz igénybe bármely adatkezelési folyamata során, aki, vagy amely megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfeleléséről és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtásáról.

15.2. A Társaság minden adatfeldolgozójával adatfeldolgozói írásbeli szerződést köt, amely legalább az alábbi kérdéseket tisztázza:

• az adatkezelést, amelybe a Társaság az adatfeldolgozót bevonta,
• az adatfeldolgozó által ellátott adatkezelői tevékenységet,
• az adatfeldolgozás időtartamát, jellegét és célját,
• az adatfeldolgozásra átadott adatok típusát,
• az adatfeldolgozással érintett érintettek kategóriáit,
• az adatkezelő jogait és kötelezettségeit,
• az adatfeldolgozó jogait és kötelezettségeit.

15.3. A Társaság csak olyan adatfeldolgozóval köt szerződést adatfeldolgozói feladatra, aki a 15.2. pont szerinti szerződésben vállalja, hogy:

•             a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli,
• az általa személyes adatok feldolgozásában résztvevő személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,
• biztosítja a GDPR 32. cikk szerinti adatbiztonsági szabályokat,
• adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vesz igénybe,
• az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a Társaságot abban, hogy teljesíteni tudja kötelezettségét az érintett 8. pontban foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében,
• adatvédelmi incidens esetén az incidens tudomására jutása pillanatában azonnal értesíti a Társaságot és együttműködik az adatvédelmi incidens 12. pont szerinti kezelésében,
• az adatfeldolgozási szolgáltatásának nyújtásának befejezését követően a Társaság döntése alapján minden személyes adatot töröl vagy visszajuttat a Társaságnak, valamint a személyes adatokról készült másolatokat ezzel egyidőben megsemmisíti vagy törli,
• lehetővé teszi és elősegíti, hogy a Társaság ellenőrizhesse az adatvédelmi szabályok megvalósulását,
• vezeti a GDPR 30. cikk (2) bekezdése szerinti adatfeldolgozói nyilvántartást.

15.4. Az adatfeldolgozói szerződés minta a Szabályzat 12. sz. melléklete.

16.    Adatvédelmi hatásvizsgálat

16.1. Az adatvédelmi hatásvizsgálat-köteles adatkezelések

16.1.1. Ha a Szabályzat hatályba lépését követően a Társaság új adatkezelést kíván rendszerébe bevezetni, úgy jelen 16. pont szerint köteles megvizsgálni, hogy az adatkezelés megkezdése előtt köteles-e adatvédelmi hatásvizsgálatot lefolytatni.

16.1.2. A Társaság adatvédelmi hatásvizsgálatot köteles lefolytatni, ha az alábbi feltételek legalább egyike fennáll:

• az adatkezelés természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek,
• az adatkezelés érintett adatok legalább 100 darab, a személyes adatok különleges kategóriáiba eső adat kezelését valósítja meg,
• az adatkezelés nyilvános helyek nagymértékű, módszeres megfigyelését valósítja meg,
• a 16.1.3. pontba sorolt feltételek közül az adatkezelésre legalább három szempont igaz,
• ha az Infotv. 25/G. (3) bekezdése alapján az adatkezelés magas kockázatát vélelmezni kell.

16.1.3. A Társaság a bevezetendő új adatkezelés hatásvizsgálat-kötelességét az alábbi szempontok alapján ítéli meg:

• az adatkezelésben érintett személyes adatok száma várhatóan meghaladja az 100 darabot,
• az adatkezelésben érintett természetes személyek között találhatóak kiskorú természetes személyek,
• az adatkezelésben érintett természetes személyek száma várhatóan meghaladja az 100 főt,
• az incidensben érintett személyes adatok alkalmasak az érintettel történő közvetlen kapcsolatfelvételre (így különösen lakcím, telefonszám, e-mail cím)
• az adatkezelés jogalapja a 7.2.4. szerinti jogalap,
• az adatkezelés jogalapja a 7.2.5. szerinti jogalap,
• az adatkezelés jogalapja a 7.2.6. szerinti jogalap,
• az adatkezelésben érintett személyes adatok alkalmasak az érintett természetes személy személyazonosságának ellopására vagy a személyazonosságával való visszaélésre,
• az adatkezelésben érintett személyes adatok alkalmasak arra, hogy pénzügyi veszteséget okozzanak az érintettjüknek.

16.1.4. Abban az esetben, ha a Társaság felügyeleti hatósága a már összeállított és nyilvánosságra hozott adatkezelések jegyzékét módosítja és nyilvánosságra hozza, amelyekre hatásvizsgálatot kell lefolytatni vagy összeállítja és nyilvánosságra hozza az olyan adatkezelések jegyzékét, amely esetben nem kell végezni, úgy a 16.1. pontot a Társaság felülvizsgálja.

16.2. Az adatvédelmi hatásvizsgálat lefolytatása

16.2.1. Az adatvédelmi hatásvizsgálatnak ki kell terjednie:

• a tervezett adatkezelési művelet módszeres leírására és az adatkezelés céljainak ismertetésére,
• ha a tervezett adatkezelés jogalapja a 7.2.6. szerinti jogalap, akkor a Társaság által érvényesíteni kívánt jogos érdekre,
• az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára,
• az érintett jogait és szabadságait érintő kockázatok vizsgálatára és
• a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

16.2.3. Az adatvédelmi tisztviselő az adatkezelés bevezetését követő hat hónap elteltével köteles megvizsgálni, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

16.2.4. Az adatvédelmi hatásvizsgálat elvégzéséhez használatos segédanyag jelen szabályzat 13. sz. melléklete.

17.    Általános adatvédelmi alapvetések

17.1. Személyazonosító igazolványok, okmányok kezelése

17.1.1. Az adatkezelés alapelvei, a szükségesség és a célhoz kötöttség elvének való megfelelés érdekében a Társaság nem készít fénymásolatot személyazonosító igazolványokról, végzettséget igazoló dokumentumról, okmányokról. 

Az arcképes hatósági igazolvány értelemszerűen csak akkor rendelkezik bizonyító erővel, ha annak alapján a Társaság megbizonyosodhat arról, hogy az igazolványon szereplő személy képmása és az igazolványt felmutató személy megegyeznek. 

17.1.2. A Társaság fenntartja magának a jogot, hogy az okmány érvényességét a https://www.nyilvantarto.hu/ugyseged/OkmanyErvenyessegLekerdezes.xhtml oldalon ellenőrizze.

17.2. Az érintettek értesítése elektronikus kapcsolattartás során

17.2.1. Abban az esetben, ha a Társaság bármely munkatársa az érintett számára elektronikus levelet küld, az érintett elektronikus levélcímét köteles a küldés során úgy megjelölni, hogy az az elektronikus levél egyetlen címzettje számára se legyen látható. Ezt a Társaság munkatársai elsősorban „titkos másolat”-tal történő címzéssel kötelesek megtenni, de a Társaság kidolgozhat olyan üzenetküldő rendszert, amely alapvető beállításként, további emberi beavatkozás nélkül automatikusan így küldi meg az információt az érintettek számára.

17.2.2. Ez a szabály érvényes elsősorban, de nem kizárólagosan, sajtólistára, hírlevél-listára történő levélírásra és az ügyintézés során használt elektronikus kapcsolattartásra.

17.3. A személyes adatok megsemmisítése

17.3.1. Abban az esetben, ha a Társaság az általa kezelt személyes adatokat az adatkezelés szabályai alapján a továbbiakban nem kezelheti, köteles a személyes adatokat tartalmazó adathordozót megsemmisíteni, a megsemmisítés tényéről pedig jelen Szabályzat 14. sz. melléklete szerinti megsemmisítési jegyzőkönyvet felvenni.

17.3.2. A megsemmisítési jegyzőkönyv tartalmazza az alábbiakat:

• az adatmegsemmisítésért felelős munkavállaló azonosító adatait,
• a megsemmisítést engedélyező személy azonosító adatait,
• a megsemmisítés tárgya,
• az adathordozók száma legalább megközelítőlegesen,
• a megsemmisítéssel érintett adatkezelési folyamat megnevezése,
• az adatmegsemmisítés módja,
• a megsemmisítés időpont, helyszíne,
• a megsemmisítést ténylegesen lefolytató, illetve azon jelen lévők neve és aláírása (minimum három fő).

17.3.3. A Társaság az Adatmegsemmisítési jegyzőkönyvet iratkezelési szabályzata szerint tárolja.

18.    Záró rendelkezések

A Szabályzat személyi, tárgyi és időbeli hatályára a 4. pontban írt rendelkezések az irányadók.

---

^[1] Létfontosságú érdek például, de nem kizárólagosan: járvány, katasztrófa, szükséghelyzet.