ADATVÉDELMI TÁJÉKOZTATÓ

AZ ADATKEZELŐ MEGNEVEZÉSE:
Cégnév: Mobil Fotó Kereskedelmi és Szolgáltató Betéti Társaság
Székhely: 6724 Szeged, Rókusi Krt. 26. 3. em. 8.
Cégjegyzékszám: 06 06 014314
Képviselő neve: Minda Éva
(a továbbiakban: Adatkezelő)
Jelen Adatvédelmi szabályzat tartalmazza az Adatkezelő belső adatvédelmi szabályait.
Alkalmazása és betartása valamennyi munkavállaló, foglalkoztatott számára a kötelező.
Szeged, 2020. 01. 31.
S.k.
Minda Éva

TARTALOMJEGYZÉK
I. FEJEZET – ÁLTALÁNOS RENDELKEZÉSEK
1. A Szabályzat célja
2. A Szabályzat hatálya
II. FEJEZET – AZ ADATKEZELÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK
1. Az adatkezelési tevékenység végzésének alapvető szabálya
2. Az adatkezelési tevékenységek azonosítása és nyilvántartása
3. Személyes adatok kezelésének feltételei: az adatkezelés célja és jogalapja
4. Az érintett joggyakorlásának elősegítése
5. Adatkezelési incidensek jelentése 6. Eljárás 16. életévét be nem töltött kiskorú érintett esetén
7. Eljárás adatfeldolgozó igénybevétele esetén
8. Eljárás adatfeldolgozóként 9. Az adatkezelések felülvizsgálata
III. FEJEZET – SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
1. Ügyféladatok kezelése szerződés teljesítése, kapcsolattartás céljából
2. Jogi személy szerződő partnerek képviselői adatainak kezelése szerződés és kapcsolattartás
3. Szerződéses kapcsolattartók adatainak kezelése szerződés és kapcsolattartás céljából
IV. FEJEZET – ÜGYVITELI CÉLÚ ADATKEZELÉSEK
1. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
2. Kifizetői adatkezelés
3. Pénzmosás elleni kötelezettségekkel kapcsolatos adatkezelés
V. FEJEZET – ADATKEZELÉS AZ ÉRINTETT HOZZÁJÁRULÁSA ALAPJÁN
VI. FEJEZET – ADATBIZTONSÁGI INTÉZKEDÉSEK
1.  Fizikai védelmi intézkedések
2. Informatikai biztonsági intézkedések
3. Munkavégzésre vonatkozó alapvető biztonsági előírások
VII. FEJEZET – ADATVÉDELMI INCIDENSEK KEZELÉSE
VIII. FEJEZET – ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ
IX. FEJEZET – ADATVÉDELMI TISZTVISELŐ
X. FEJEZET – ZÁRÓ RENDELKEZÉSEK

I. FEJEZET – ÁLTALÁNOS RENDELKEZÉSEK
1. A Szabályzat célja
Jelen Szabályzat célja azon belső adatvédelmi szabályok megállapítása és intézkedések megalapozása, amelyek biztosítják, hogy a természetes személyek személyes adatainak kezelése során az Adatkezelő adatkezelési tevékenysége megfeleljen az EU 2016/679 Rendeletnek (továbbiakban: GDPR).
2. A Szabályzat hatálya
Jelen szabályzat tárgyi hatálya – összhangban a GDPR tárgyi hatályával – a személyes adatok Adatkezelő általi számítógépes (automatizált) kezelésére, nyilvántartásaira terjed ki.
A személyes adatok Adatkezelő általi manuális kezelésére akkor terjed ki a GDPR, és jelen Szabályzat hatálya, ha a személyes adatokat a Társasház nyilvántartási rendszerben tárolja vagy kívánja tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak a GDPR és jelen Szabályzat hatálya alá. (GDPR (15) Preambulumbekezdés)
A személyes adat fogalmára jelen Szabályzat alkalmazásában is a GDPR 1. cikk 1. pontja irányadó: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;.
Az „adatkezelés” fogalma a következőket jelenti: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; (GDPR 1. cikk 2.)
Jelen Szabályzat személyi hatálya kiterjed az adatkezelő valamennyi foglalkoztatottjára. A foglalkoztatottak a személyes adatok kezelése körében köteles jelen Szabályzat rendelkezéseinek érvényt szerezni.

II. FEJEZET – AZ ADATKEZELÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK
1. Az adatkezelési tevékenység alapvető szabálya
Az Adatkezelőnek és minden munkavállalójának, foglalkoztatottjának a személyes adatok kezelése során biztosítani kell a GDPR elvei és az érintett jogai érvényesülését.
2. Az adatkezelési tevékenységek azonosítása és nyilvántartása
Az Adatkezelőnél végzett minden adatkezelést az adatkezelési céllal kell meghatározni és nyilvántartani.
Minden egyes – céljával meghatározott – adatkezelés csak a megfelelő jogalap fennállása esetén végezhető. A jogalapot mindig igazolni kell. E szabályzatban a továbbiakban „adatkezelés” alatt egy céljával meghatározott és megfelelő jogalappal rendelkező adatkezelés értendő.
Minden egyes – céljával azonosított – adatkezelést be kell vezetni az adatkezelési tevékenységek nyilvántartásába. Az adatkezelés megkezdése előtt az adatkezelési tevékenységek nyilvántartásában meg kell határozni az adatkezelés célját és jogalapját, a cél által meghatározott adatkört és az adatok tárolásának idejét, és ha lehetséges az adatbiztonsági intézkedéseket, továbbá a GDPR 30. cikkében előírtakat.
3. Belső nyilvántartások, adatbázisok vezetésének adatvédelmi szabályai
A személyes adatokat tartalmazó minden számítógépen, és papíralapon vezetett nyilvántartással szembeni követelmények a következők:
A) Célhoz kötöttség
■ Minden egyes adatkezelési célnak meghatározottnak, egyértelműnek és jogszerűnek kell lennie.
■ A személyes adatok nem kezelhető e célokkal össze nem egyeztethető módon. (GDPR. 5. cikk /1/ a./)
B) Szükségesség
■ A nyilvántartásban kezelt, tárolt adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és az adatkezelésnek a szükségesre adatokra kell korlátozódnia.
■ Az adatkezelés cél teljesítéséhez nem szükséges, nem releváns adatokat a nyilvántartás nem tartalmazhat, ezeket törölni is kell. (GDPR. 5. cikk /1/ c./)
C) Az adatok nyilvántartásba kerülése
■ Az adatkezelőnek az adatkezeléshez jogalappal kell rendelkeznie, és ezt igazolnia kell. Tehát az adatkezelés jogalapját dokumentálni kell. Tehát az adatkezelő nyilvántartásába csak olyan személyes adat vehető fel, amelynek kezelésére az adatkezelő igazolt jogalappal rendelkezik.
■ Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő információról.
■ Az adatkezelésről és a jogairól az érintett személyt írásban tájékoztatni kell. Ha az Adatkezelő a személyes adatokat az érintettől személyesen kéri, ezt a tájékoztatást az adatfelvételkor kell megadni, és az ezt tartalmazó dokumentumot az érintettel aláíratni. Elektronikus adatkezelés esetén a tájékoztatás tudomásul vételét, hozzájárulás megadását naplózni kell.
■ Ha az Adatkezelő a személyes adatokat nem az érintettől szerezte meg, akkor az érintettet utólag kell tájékoztatni az adatkezelésről és a jogairól, a GDPR 14. cikke szerint.
■ Az adatfelvételkor és a nyilvántartás vezetése során biztosítani kell a felvett és kezelt adatok pontosságát. (GDPR. 5. cikk /1/ a./, 13-14. cikk)
C) Adatok tárolása és továbbítása?
■ A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. A kockázat mértékének megfelelő szintű adatbiztonságot garantáláshoz szükséges intézkedések lehetnek adott esetben:
■ a személyes adatok álnevesítése és titkosítása,
■ biztonsági mentések készítése,
■ az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, felmérése és értékelése,
■ vírusvédelem, kíbertámadások elleni védelem,
■ munkavégzésre vonatkozó információbiztonsági követelményeket előírása és érvényesítése a foglalkoztatottakkal szemben,
■ az informatikai eszközök, és papíralapú dokumentumok fizikai védelmére alkalmazott vagyonvédelmi intézkedések. (GDPR. 5. cikk /1/ f./)
D) KI FÉRHET HOZZÁ AZ ADATOKHOZ, ÉS MILYEN MŰVELETEKET VÉGEZHET?
■ Az adatkezelő a számítógépes nyilvántartásokhoz való hozzáférésre alkalmazzon azonosítást és hitelesítést.
■ Az adatkezelő az informatikai rendszerében alkalmazzon jogosultságkezelő rendszert.
■ Az informatikai rendszerbe történő belépéseket és műveleteket naplózni kell. (GDPR. 5. cikk /1/ f./)
E) MENNYI IDEIG VAN A SZEMÉLYES ADAT A NYILVÁNTARTÁSBAN?
■ Az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé (GDPR. 5. cikk /1/ e./) Ennek érdekében a nyilvántartott IT személyes adatokat kezelhetőségét rendszeresen felül kell vizsgálni.
■ A már nem kezelhető adatokat törölni kell.

4. Az érintett joggyakorlásának elősegítése
Az adatkezelés során elő kell segíteni az érintett jogainak a gyakorlását. Az érintetti kérelmeket 30 napon belül el kell intézni és meg kell válaszolni. Az érintettel történő levelezést és ügyintézés dokumentációját írásban meg kell őrizni 5 évig.
5. Adatkezelési incidensek jelentése
A munkavállaló köteles jelenteni a munkáltatói jogok gyakorlójának, ha adatvédelmi incidens, vagy arra utaló információ jutott a tudomására.
6. Eljárás 16. életévét be nem töltött kiskorú érintett esetén
A 16. életévét be nem töltött kiskorú érintettre vonatkozó adatkezeléshez – ha az hozzájáruláson alapul – be kell szerezni a törvényes képviselő belegyezését, és valamennyi jogcímű adatkezelés esetén a törvényes képviselő részére kell a tájékoztatásokat megadni.
7. Eljárás adatfeldolgozó igénybevétele esetén
Ha az Adatkezelő adatfeldolgozásnak minősülő szolgáltatást – pl. könyvelés, IT szolgáltatás, vagyonvédelem, rendezvényszervezés, futárszolgálat stb. – vesz igénybe, akkor a szerződés megkötésekor, jogviszony létrejöttekor a külső szolgáltatótól meg kell követelnie a GDPR-ban előírt garanciák teljesítését:
1. Írásban vállaljon garanciát arra, hogy adatkezelése megfelel a GDPR rendelkezéseinek.
2. Ő maga és munkavállaló az általuk megismert személyes adatok kezelése körében titoktartási nyilatkozatot vállaljanak.
3. Alvállalkozót csak az Adatkezelő engedélyével vehet igénybe, akinek meg kell felelnie az 1-2. pont rendelkezéseinek.
Ha a munkavállaló e feltételek hiányát észleli, köteles erről a munkahelyi vezetőjét tájékoztatni.
8. Eljárás adatfeldolgozóként
Ha az Adatkezelő saját tevékenységi körében kezel más nevében (megbízása alapján) személyes adatokat – azaz ő maga minősül adatfeldolgozónak, az Adatkezelő biztosítja, hogy ilyen tevékenysége megfeleljen a GDPR adatfeldolgozóra előírt követelményeinek.
9. Az adatkezelések felülvizsgálata
Az egyes – adatkezelési tevékenységek nyilvántartásában feltüntetett – adatkezeléseket háromévente felül kell vizsgálni. A felülvizsgálat keretében:
a) Aktualizálni kell az adatkezelésnek a GDPR-ral való összhangjára korábban tett technikai és szervezési intézkedéseket, figyelemmel az adatkezelés jellege, hatóköre, körülményeire és a kockázatokra.
b) Felül kell vizsgálni a személyes adatok tárolásának időtartamát. A korlátozott tárolhatóság elve miatt már nem tárolható adatokat törölni kell.
c) A felülvizsgálat elvégzését dokumentálni kell.

III. FEJEZET – SZERZŐDÉSHEZ KAPCSOLÓDÓ ADATKEZELÉSEK
1. Ügyféladatok kezelése szerződés teljesítése, kapcsolattartás céljából
Az Adatkezelő szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény, szerződéshez kapcsolódó szolgáltatás nyújtása céljából kezeli a vele vevőként, szállítóként szerződött természetes személy szerződésben meghatározott személyes adatait.
A személyes adatok címzettjei: az Adatkezelő ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó munkavállalói, és adatfeldolgozói.
A személyes adatok tárolásának időtartama: a szerződés megszűnését követő 5 év.
Az érintettet az adatkezelési jogairól az adatfelvételkor tájékoztatni kell.
2. Jogi személy szerződő partnerek képviselői adatainak kezelése szerződés és kapcsolattartás
Az Adatkezelő a vele szerződő jogi személy képviseletében eljáró – a szerződést aláíró – természetes személy szerződésben megadott személyes adatait, továbbá lakcímét, e-mail címét és telefonszámát, online azonosítóját kapcsolattartás, a szerződésből eredő jogok és kötelezettségek gyakorlása, kapcsolattartás céljából jogos érdek jogcímén kezeli.
A Szükségesség – arányosság szempontrendszere:
A jogi személy képviseletét ellátó természetes személy adatainak kezelése szükséges a szerződés és annak keretében az együttműködési kötelezettség teljesítése érdekében. Ezen adatkezelése a képviselő személyes adatok védelméhez való jogát korlátozza. Az emberek nem szívesen adják meg másoknak személyes adataikat.
Ugyanakkor egy szerződéses kapcsolatban erre feltétlenül szükség van: a teljesítési feltételek egyeztetése, jogok, kötelezettségek gyakorlása operatív intézkedéseket követel, ehhez nélkülözhetetlenek az elérhetőségi adatok kezelése.
Ezeket mérlegelve a szerződéses kapcsolatban nem lehet eltekinteni a jogi személy szerződő partner kapcsolattartáshoz elengedhetetlenül szükséges személyes adatainak kezelésétől, még akkor sem, ha ez az érintett személyiségi jogainak korlátozásával is jár. Ez a korlátozás arányos, mert a minimálisan szükséges adatkörre vonatkozik, és a jogi személy képviseletét ellátó személynek eleve számolnia kell adatai ilyen célú kezelésével.
A jogi személy képviselőjét személyes adatai kezeléséről és jogairól a szerződés megkötésekor tájékoztatni kell. Ezen adatok tárolásának időtartama a szerződés megszűnését követő 5 év.
Az érintettet az adatkezelési jogairól az adatfelvételkor tájékoztatni kell.
3. Szerződéses kapcsolattartók adatainak kezelése szerződés és kapcsolattartás céljából
A Társaság a vele kötött szerződésben kapcsolatartóként megjelölt – nem aláíró – természetes személy nevét, címét, telefonszámát, e-mail címét, online azonosítóját kapcsolattartás, szerződésből eredő jogok és kötelezettségek gyakorlása céljából jogos érdek jogcímén kezeli. Az e pontban foglalt szabályokat kell alkalmazni akkor is, ha a felek között nem jött létre írásba foglalt szerződés, de a jogviszonyban kapcsolattartás, vagy a szerződési jogok és kötelezettségek gyakorlása során – a partner által megnevezett más személyek is eljárnak.
A Szükségesség – arányosság szempontrendszere:
Akár természetes személlyel, akár jogi személlyel kötött szerződésben kapcsolattartóként megjelölt, vagy megnevezett természetes személy adatainak kezelése szükséges a szerződés és annak keretében az együttműködési kötelezettség teljesítése érdekében.
Ezen adatkezelés a kapcsolattartó személy személyes adatok védelméhez való jogát korlátozza. Az emberek nem szívesen adják meg másoknak személyes adataikat.
Ugyanakkor egy szerződéses kapcsolatban erre feltétlenül szükség van: a teljesítési feltételek egyeztetése, jogok, kötelezettségek gyakorlása operatív intézkedéseket követel, ehhez nélkülözhetetlenek az elérhetőségi adatok kezelése.
Ezeket mérlegelve a szerződéses kapcsolatban nem lehet eltekinteni a partner kapcsolattartóinak a kapcsolattartáshoz elengedhetetlenül szükséges személyes adatainak kezelésétől, még akkor sem, ha ez az érintett személyiségi jogainak korlátozásával is jár. Ez a korlátozás arányos, mert a minimálisan szükséges adatkörre vonatkozik, és a kapcsolattartónak – vagy a partnerrel fennálló foglalkoztatási jogviszonya, vagy a tényleges eljárása alapján eleve számolnia kell adatai ilyen célú kezelésével.
Ezen adatok tárolásának időtartama a szerződés vagy a kapcsolattartói minőség megszűnését követő 5 év.
A kapcsolatartóként megjelölt személyt személyes adatai kezeléséről és jogairól az első kapcsolatfelvételkor tájékoztatni kell.

IV. FEJEZET – ÜGYVITELI CÉLÚ ADATKEZELÉSEK
1. Adatkezelés adó- és számviteli kötelezettségek teljesítése céljából
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok az általános forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján különösen: adószám, név, cím, adózási státusz, a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői igazolvány száma, adóazonosító jel.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
Az érintettet az adatfelvételkor tájékoztatni kell adatkezelési jogairól.
2. Kifizetői adatkezelés
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel kifizetői (2017. évi CL. törvény az adózás rendjéről (Art.) 7.§ 31.) kapcsolatban áll. A kezelt adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§ (2) b./) tagságra vonatkozó adatokat adó és járulékkötelezettségek teljesítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
Az érintettet az adatfelvételkor tájékoztatni kell adatkezelési jogairól.
A személyes adatok címzettjei: a Társaság vezetője, iratkezelést, irattározást végző munkavállalója, a közlevéltár munkatársa.
3. Pénzmosás elleni kötelezettségekkel kapcsolatos adatkezelés
Ezen pont szabályait kell alkalmazni, ha az Adatkezelő pénzmosás / terrorizmus finanszírozása elleni kötelezettségek és korlátozó intézkedések teljesítése céljából végez adatkezelést. Ezesteben ezt az adatkezelést fel kell tüntetni az adatkezelési tevékenységek nyilvántartásában.
Az Adatkezelő jogi kötelezettség teljesítése jogcímén, pénzmosás és terrorizmus-finanszírozása megelőzése és megakadályozása céljából kezeli ügyfelei, ezek képviselői, és a tényleges tulajdonosoknak a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvényben (Pmt.) meghatározott adatait: a) természetes személy a) családi és utónevét, b) születési családi és utónevét, c) állampolgárságát, d) születési helyét, idejét, e) anyja születési nevét, f) lakcímét, ennek hiányában tartózkodási helyét, g) azonosító okmányának típusát és számát; lakcímet igazoló hatósági igazolványa számát, a bemutatott okiratok másolatát. (7.§).
Az Adatkezelő jogi kötelezettség teljesítése jogcímén az Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni korlátozó intézkedések végrehajtása céljából kezeli az erről szóló 2017. évi LII. törvényben (Kit) meghatározott adatokat.
A személyes adatok címzettjei: a Társaság ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, a Társaság vezetője és a Társaság Pmt. szerinti kijelölt személye.
A személyes adatok tárolásának időtartama az üzleti kapcsolat megszűnésétől, illetve az ügyleti megbízás teljesítésétől számított 8 év. (Pmt. 56.§ (2))
Az érintettet az adatfelvételkor tájékoztatni kell adatkezelési jogairól.

V. FEJEZET – ADATKEZELÉS AZ ÉRINTETT HOZZÁJÁRULÁSA ALAPJÁN
Ha az adatkezelés jogalapja az érintett hozzájárulása, az adatfelvételkor tájékoztatni kell az adatkezelés céljáról jogalapjáról, és az érintetti jogokról.
Nem lehet szerződés megkötésének, teljesítésének feltételeként előírni a személyes adatok kezeléséhez való hozzájárulás megadását, ha a hozzájárulás nem szükséges a szerződés teljesítéséhez.
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

VI. FEJEZET – ADATBIZTONSÁGI INTÉZKEDÉSEK
Az Adatkezelő az adatbiztonságot garantálása érdekében a következő technikai és szervezési intézkedéseket hozza. 1. Fizikai védelmi intézkedések Védendő helyiségnek kell tekinteni minden helyiséget, ahol számítástechnikai eszközöket, papíralapú dokumentumokat tartanak, tárolnak.
A védendő helyiségeket el kell látni:
a) a mechanikai védelemmel: a bejárati ajtókat biztonsági zárral, szükség esetén fémráccsal, a földszinti helyiségek ablakait betekintés és behatolás ellen védő biztonsági fóliával, vagy fémráccsal, a belső ajtókat, szekrényeket, fiókokat biztonsági zárral,
b) betöréses lopás- és rablás jelzésére alkalmas elektronikus vagyonvédelmi jelzőrendszerrel, c) tűzjelző berendezéssel és poroltóval, az épületet villámhárítóval.
2. Informatikai biztonsági intézkedések
Az Adatkezelő számítógépe rendszerét a következő eljárásokkal, alkalmazásokkal kell védeni:
Azonosítási kötelezettség előírása Az informatikai rendszerhez és egyes elemeihez való hozzáférés feltétele a felhasználó megbízható azonosítása.
Az azonosítás a személyes használatra kiadott egyedi felhasználói névvel és ehhez tartozó, kizárólag a felhasználó által ismert jelszóval történhet.
Kétlépcsős hitelesítés alkalmazása
Kétlépcsős hitelesítést kell alkalmazni felhőben tárolt adatok elérésére.
Jogosultságkezelés Az informatikai rendszeren és elemein jogosultságkezelő rendszert kell alkalmazni, amely az azonosított felhasználónak a számára engedélyezett alkalmazások és adatok elérését és műveletek elvégzését teszi lehetővé, ezzel technikailag is megakadályozva az eszközhöz, programhoz, adathoz való jogosulatlan hozzáférést.
Naplózási rendszer kialakítása, működtetése Az informatikai rendszernek naplóznia kell a felhasználói tevékenységet. Törekedni kell az automatizált naplóesemény-elemző rendszer alkalmazására. A biztonsági eseményekről automatikus figyelmeztetéseket kell generálni.
A szoftverekre vonatkozó szabályok
Az adatkezelőnél csak jogtiszta – vásárolt, vagy üzleti használatra is ingyenes – szoftverek használhatók.
Vírusvédelem és mentesítés
Az Adatkezelő informatikai rendszerét annak belépési és kilépési pontjain védeni kell a kártékony kódok – a vírusok, férgek, trójai- és kémprogramok, és minden kártevő program – ellen, azokat fel kell deríti és meg kell semmisíteni. Biztonsági mentés és helyreállítás A biztonsági mentés célja az információ és az adatfeldolgozó szoftverek épségének és rendelkezésre állásának biztosítása. Minden elektronikusan tárolt adatról, állományról, dokumentumról biztonsági mentést kell készíteni. A mentés gyakorisága az adatok fontosságától és keletkezésük gyakoriságától függően határozandó meg. A központi adatmentést legalább havi rendszerességgel el kell végezni. Minden nagyobb beavatkozás, változás előtt teljes biztonsági mentést kell készíteni a rendszerről. A mentéseket tartalmazó adathordozón – ha ilyen eszközre történik e mentés – fel kell tüntetni a mentett rendszer nevét, az érintett adatkört, és a mentés idejét. Az archivált adatok és a biztonsági mentések egy példányát biztonságos körülmények között, fizikailag elkülönített helyen kell tárolni. A biztonsági mentéseket 1 évig bármikor visszakereshetően, helyreállíthatóan meg kell őrizni.
Ha a biztonsági mentésen olyan adat, információ dokumentum található, amelynek őrzési, tárolási idejét jogszabály határozza meg, a biztonsági mentést a jogszabályban írt határidőig kell megőrizni. Havonta ellenőrizni kell, hogy a biztonsági mentésből helyreállíthatók-e az adatok, illetve a rendszer.
Mobil adathordozók védelme Csak az Adatkezelőnél nyilvántartásba vett, vagy engedélyedzett adathordozók használhatók. Tilos olyan adathordozó használata, amelynek tulajdonosa nem azonosítható. A telephelyről kivitt adathordozón csak hozzáférés-védelemmel ellátva tárolhatók adatok. Az adathordozót a helyreállíthatatlanságot biztosító törlési technikákkal és eljárásokkal (mélytörlés) kell törölni leselejtezés, vagy a szervezeti ellenőrzés megszűnte előtt.
Elektronikus levelezés, e-mail fiók, adattovábbítás védelme Csak olyan levelezőrendszer használható, amelynél biztosított a rendszer és azok elemei, különösen a szerverek fizikai és logikai védelme, a kéretlen és kártékony kódot tartalmazó elektronikus levelek kiszűrése és blokkolása. Lehetőség szerint személyes adatokat elektronikus levelezésben titkosítottan kell továbbítani.
3. Munkavégzésre vonatkozó alapvető biztonsági előírások
A munkavállaló kötelessége az információbiztonság területén az adott helyzetben általában elvárható magatartást tanúsítani, és az információs rendszert és elemeit az információbiztonsági tudatosság szem előtt tartásával használni.
A munkavállaló bármely személyes adatot kizárólag a munkáltató utasításának megfelelően kezelhet, kivéve, ha az ettől való eltérésre jogszabály kötelezi.
A személyes adatokat kezelő munkavállaló köteles titoktartási nyilatkozatot tenni, amelyet a jogviszonya megszűnését követően is köteles betartani.
A munkavállaló a munkavégzés folyamatában, a munkaköri feladatai teljesítése során köteles gondoskodni arról, hogy az általa kezelt adatokat jogosulatlan személyek sem élőszóban, sem írásban sem más módon ne ismerhessék meg.
Minden munkavállalónak évente legalább egyszer részt kell vennie a munkáltató által szervezett, információbiztonsági tudatosságot fokozó információbiztonsági képzésen részt venni.

VII. FEJEZET – ADATVÉDELMI INCIDENSEK KEZELÉSE
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
A személyes adatokat érintő adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a Társaság tudomására jutott, be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
A bejelentésben legalább: a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaság ügyvezetője indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az adatvédelmi incidens kockázattal jár a természetes személyek jogaira és szabadságaira nézve, ha
■ az adatkezelésből hátrányos megkülönböztetés,
■ személyazonosság-lopás vagy személyazonossággal való visszaélés,
■ pénzügyi veszteség,
■ a jó hírnév sérelme,
■ a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése,
■ az álnevesítés engedély nélkül történő feloldása, vagy
■ bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha
■ az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy
■ nem rendelkezhetnek saját személyes adataik felett; vagy ha
■ olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha
■ a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha
■ személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha
■ kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha
■ az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki. (GDPR /75/)

Az adatvédelmi incidensek nyilvántartása
Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
■ az érintett személyes adatok körét,
■ az adatvédelmi incidenssel érintettek körét és számát,
■ az adatvédelmi incidens időpontját,
■ az adatvédelmi incidens körülményeit, hatásait,
■ az adatvédelmi incidens orvoslására megtett intézkedéseket,
■ az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.

VII. FEJEZET – ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-36. cikkei az irányadók.

IX. FEJEZET – ADATVÉDELMI TISZTVISELŐ
Jelenleg az Adatkezelő nem köteles adatvédelmi tisztviselő kijelölésére.

X. FEJEZET – ZÁRÓ RENDELKEZÉSEK
E Szabályzat rendelkezéseit meg kell ismertetni az Adatkezelő valamennyi munkavállalójával (foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége