I. FEJEZET - ÁLTALÁNOS RENDELKEZÉSEK
SZABÁLYZAT CÉLJA
Jelen Szabályzat célja azon belső szabályok megállapítása és intézkedések megalapozása, amelyek
biztosítják, hogy a Társaság, mint adatkezelő adatkezelési tevékenysége megfeleljen az Európai
Parlament és Tanács (EU) 2016/679 Rendeletének a természetes személyeknek a személyes adatok
kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról (továbbiakban: GDPR).
ADATKEZELŐ MEGNEVEZÉSE:
CÉGNÉV: VLTR Kft.
SZÉKHELY: 6000 Kecskemét, Izsáki u. 2/G.
TELEPHELY: 6000 Kecskemét, Izsáki u. 2/G.
CÉGJEGYZÉKSZÁM: 03-09-137325
ADÓSZÁM: 322620092-2-03
HONLAP: https://spacegym.hu/
E-MAIL CÍM: vltr.kft [at] gmail.com
TELEFONSZÁM: +3630853 8508
KÉPVISELŐ NEVE: Kasza Valter
(a továbbiakban: Társaság, vagy Adatkezelő)
IT SZOLGÁLTATÓ ADATFELDOLGOZÓ MEGNEVEZÉSE
CÉGNÉV:
SZÉKHELY:
NYILVÁNTARTÁSI SZÁM:
ADÓSZÁM:
E-MAIL CÍM:
TELEFONSZÁM:
KÉPVISELŐ NEVE:
KÖNYVVITELI, ADÓZÁSI, BÉRSZÁMFEJTÉSI ADATFELDOLGOZÓ MEGNEVEZÉSE (HA
AZ ADATKEZELŐ MEGBÍZÁSA ALAPJÁN EZT A SZOLGÁLTATÁST KÜLSŐ
SZOLGÁLTATÓ VÉGZI.)
CÉGNÉV: Audit-Fair Kft
SZÉKHELY: 6000 Kecskemét Mályva utca 62.
TELEPHELY: 6000 Kecskemét Mályva utca 62.
CÉGJEGYZÉKSZÁM: 03-09-117185
ADÓSZÁM: 14554739-2-03
E-MAIL CÍM: rucker.agnes [at] t-online.hu
TELEFONSZÁM: +36 20 428 94 76
KÉPVISELŐ NEVE: Rücker Ágnes
A SZABÁLYZAT HATÁLYA
Jelen szabályzat tárgyi hatálya – összhangban a GDPR tárgyi hatályával - a személyes adatok
Adatkezelő általi számítógépes (automatizált) kezelésére, nyilvántartásaira terjed ki.
A személyes adatok adatkezelő általi manuális kezelésére akkor terjed ki a GDPR, és jelen
Szabályzat hatálya, ha a személyes adatokat az adatkezelő nyilvántartási rendszerben tárolja vagy
kívánja tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem
rendszerezettek meghatározott szempontok szerint, nem tartoznak a GDPR és jelen Szabályzat hatálya
alá 1 .
A személyes adat fogalmára jelen Szabályzat alkalmazásában is a GDPR 1. cikk 1. pontja
irányadó: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”)
vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett
módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy
a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális
azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Az „adatkezelés” fogalma a következőket jelenti: a személyes adatokon vagy adatállományokon
automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a
gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés,
felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján,
összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés 2 ;
Jelen Szabályzat személyi hatálya kiterjed az adatkezelő valamennyi foglalkoztatottjára. A
foglalkoztatottak a személyes adatok kezelése körében kötelesek jelen Szabályzat rendelkezéseinek
érvényt szerezni.
II. FEJEZET - AZ ADATKEZELÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK
ADATKEZELÉSI TEVÉKENYSÉG ALAPVETŐ SZABÁLYA
1 (GDPR (15) Preambulum)
2 (GDPR 1. cikk 2.)
Az Adatkezelőnek és minden munkavállalójának, foglalkoztatottjának a személyes adatok
kezelése során biztosítani kell a GDPR elvei és az érintett jogai érvényesülését.
GDPR 5. cikke tartalmazza a személyes adtok kezelésére vonatkozó elveket, melyek a következők:
Jogszerűség, tisztességes eljárás és átláthatóság,
Célhoz kötöttség,
Adattakarékosság,
Pontoság,
Korlátozott tárolhatóság,
Integritás és bizalmas jelleg,
Elszámoltathatóság.
AZ ADATKEZELÉSI TEVÉKENYSÉGEK AZONOSÍTÁSA ÉS NYILVÁNTARTÁSA
Az Adatkezelőnél végzett minden adatkezelést az adatkezelési céllal kell meghatározni és
nyilvántartani.
Minden egyes – céljával meghatározott – adatkezelés csak a megfelelő jogalap fennállása esetén
végezhető.
A jogalapot mindig igazolni kell. E szabályzatban a továbbiakban „adatkezelés” alatt egy céljával
meghatározott és megfelelő jogalappal rendelkező adatkezelés értendő.
Minden egyes – céljával azonosított - adatkezelést be kell vezetni az adatkezelési tevékenységek
nyilvántartásába. Az adatkezelés megkezdése előtt az adatkezelési tevékenységek nyilvántartásában meg
kell határozni az adatkezelés célját és jogalapját, a cél által meghatározott adatkört és az adatok
tárolásának idejét, és ha lehetséges az adatbiztonsági intézkedéseket, továbbá a GDPR 30. cikkében
előírtakat.
BELSŐ NYILVÁNTARTÁSOK, ADATBÁZISOK VEZETÉSÉNEK ADATVÉDELMI
SZABÁLYAI
A személyes adatokat tartalmazó minden számítógépen, és papíralapon vezetett nyilvántartással
szembeni követelmények az alábbiak:
Minden egyes adatkezelési célnak meghatározottnak, egyértelműnek és
jogszerűnek kell lennie.
A személyes adatok nem kezelhetők e célokkal össze nem egyeztethető módon.
(GDPR. 5. cikk /1/ a./)
A nyilvántartásban kezelt, tárolt adatok az adatkezelés céljai szempontjából
megfelelőknek és relevánsaknak kell, hogy legyenek, és az adatkezelésnek a
szükséges adatokra kell korlátozódnia.
Az adatkezelés teljesítéséhez nem szükséges adatokat a nyilvántartás nem
tartalmazhat, ezeket törölni is kell. (GDPR. 5. cikk /1/ c./)
Az adatkezelőnek az adatkezeléshez jogalappal kell rendelkeznie, és ezt igazolnia
kell. Az adatkezelő nyilvántartásába csak olyan személyes adat vehető fel,
amelynek kezelésére az adatkezelő igazolt jogalappal rendelkezik.
Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból
további adatkezelést kíván végezni, a további adatkezelést megelőzően
tájékoztatnia kell az érintettet erről az eltérő célról és minden releváns kiegészítő
információról.
Az adatkezelésről és a jogairól az érintett személyt írásban tájékoztatni kell. Ha
az Adatkezelő a személyes adatokat az érintettől személyesen kéri, ezt a
tájékoztatást az adatfelvételkor kell megadni, és az ezt tartalmazó dokumentumot
az érintettel aláíratni. Elektronikus adatkezelés esetén a tájékoztatás tudomásul
vételét, hozzájárulás megadását naplózni kell.
Ha az Adatkezelő a személyes adatokat nem az érintettől szerezte meg, akkor az
érintettet utólag kell tájékoztatni a az adatkezelésről és a jogairól, a GDPR 14.
cikke szerint.
Az adatfelvételkor és a nyilvántartás vezetése során biztosítani kell a felvett és
kezelt adatok pontosságát. (GDPR. 5. cikk /1/ a./, 13-14. cikk)
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai
vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok
megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen
elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is
ideértve. A kockázat mértékének megfelelő szintű adatbiztonságot garantáláshoz
szükséges intézkedések lehetnek adott esetben:
a személyes adatok álnevesítése és titkosítása,
biztonsági mentések készítése,
az adatkezelés biztonságának garantálására hozott technikai és szervezési
intézkedések hatékonyságának rendszeres tesztelése, felmérése és értékelése,
vírusvédelem, kíbertámadások elleni védelem,
munkavégzésre vonatkozó információbiztonsági követelményeket előírása és
érvényesítése a foglalkoztatottakkal szemben,
az informatikai eszközök, és papíralapú dokumentumok fizikai védelmére
alkalmazott vagyonvédelmi intézkedések. (GDPR. 5. cikk /1/ f./)
az adatkezelő a számítógépes nyilvántartásokhoz való hozzáférésre alkalmazzon
azonosítást és hitelesítést.
az adatkezelő az informatikai rendszerében alkalmazzon jogosultságkezelő
rendszert.
az informatikai rendszerbe történő belépéseket és műveleteket naplózni kell.
(GDPR. 5. cikk /1/ f./)
az adatok tárolásának olyan formában kell történnie, amely az érintettek
azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges
ideig teszi lehetővé (GDPR. 5. cikk /1/ e./) Ennek érdekében a nyilvántartott
személyes adatok kezelhetőségét rendszeresen felül kell vizsgálni.
a már nem kezelhető adatokat törölni kell.
AZ ÉRINTETT JOGGYAKORLÁSÁNAK ELŐSEGÍTÉSE
Az adatkezelés során elő kell segíteni az érintett jogainak a gyakorlását. Az érintetti kérelmeket
30 napon belül el kell intézni és meg kell válaszolni. Az érintettel történő levelezést és ügyintézés
dokumentációját írásban meg kell őrizni 5 évig.
ADATKEZELÉSI INCIDENSEK JELENTÉSE
A munkavállaló köteles jelenteni a munkáltatói jogok gyakorlójának, ha adatvédelmi incidens,
vagy arra utaló információ jutott a tudomására.
ELJÁRÁS 16. ÉLETÉVÉT BE NEM TÖLTÖTT KISKORÚ ÉRINTETT ESETÉN
A 16. életévét be nem töltött kiskorú érintettre vonatkozó adatkezeléshez – ha az hozzájáruláson
alapul - be kell szerezni a törvényes képviselő belegyezését, és valamennyi jogcímű adatkezelés esetén a
törvényes képviselő részére kell a tájékoztatásokat megadni.
ELJÁRÁS ADATFELDOLGOZÓ IGÉNYBEVÉTELE ESETÉN
Ha az Adatkezelő adatfeldolgozásnak minősülő szolgáltatást – pl. könyvelés, IT szolgáltatás,
vagyonvédelem, rendezvényszervezés, futárszolgálat stb. – vesz igénybe, akkor a szerződés
megkötésekor, jogviszony létrejöttekor a külső szolgáltatótól meg kell követelnie a GDPR-ban előírt
garanciák teljesítését:
a. Írásban vállaljon garanciát arra, hogy adatkezelése megfelel a GDPR rendelkezéseinek.
b. Ő maga és munkavállaló az általuk megismert személyes adatok kezelése körében titoktartási
nyilatkozatot vállaljanak.
c. Alvállalkozót csak az Adatkezelő engedélyével vehet igénybe, akinek meg kell felelnie az a)-b).
pont rendelkezéseinek.
Ha a munkavállaló e feltételek hiányát észleli, köteles erről a munkahelyi vezetőjét tájékoztatni.
ELJÁRÁS ADATFELDOLGOZÓKÉNT
Ha az Adatkezelő saját tevékenységi körében kezel más nevében (megbízása alapján) személyes
adatokat – azaz ő maga minősül adatfeldolgozónak, az Adatkezelő biztosítja, hogy ilyen tevékenysége
megfeleljen a GDPR adatfeldolgozóra előírt követelményeinek.
AZ ADATKEZELÉSEK FELÜLVIZSGÁLATA
Az egyes – adatkezelési tevékenységek nyilvántartásában feltüntetett – adatkezeléseket háromévente
felül kell vizsgálni. A felülvizsgálat keretében:
Aktualizálni kell az adatkezelésnek a GDPR-ral való összhangjára korábban tett technikai és
szervezési intézkedéseket, figyelemmel az adatkezelés jellege, hatóköre, körülményeire és a
kockázatokra.
Felül kell vizsgálni a személyes adatok tárolásának időtartamát. A korlátozott tárolhatóság elve
miatt már nem tárolható adatokat törölni kell.
A felülvizsgálat elvégzését dokumentálni kell.
III. FEJEZET - MUNKAVISZONNYAL KAPCSOLATOS ADATKEZELÉSEK
MUNKAÜGYI, SZEMÉLYZETI NYILVÁNTARTÁS
A munkavállalóktól kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan
munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek munkaviszony létesítéséhez,
fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a
munkavállaló személyhez fűződő jogait nem sértik.
Ezen adatkezelés célja: munkaviszony létesítése, munkaviszonyból származó jogok gyakorlása,
kötelezettségek teljesítése. Ezen cél teljesítéséhez feltétlenül szükséges adatkör kezelhetők.
Ezen adatkezelés jogalapja a munkáltató jogos érdeke.
A munkavállalótól a munkaszerződés megkötése és teljesítése során kért személyes adatok
szükségesek a munkavállaló azonosításához, végzettsége igazolásához, szolgálati ideje megállapításához
és a munkaviszony teljesítéséhez, és a munkáltató jogérvényesítéséhez.
A munkaviszonyban nem lehet eltekinteni a munkavállaló személyes adatainak munkaügyi, személyzeti
nyilvántartási célú kezelésétől, még ha ez a munkavállaló személyiségi jogainak korlátozásával is jár.
Ez a korlátozás arányos, mert a minimálisan szükséges adatkörre vonatkozik, és nem haladja meg azon
adatkört, amelyek kezelését más célból, de a munkaviszonyhoz kapcsolódóan az adótörvények
egyébként is megkövetelik. Arányos azért is, mert a munkavállalónak a munkaszerződés megkötésekor,
illetve a munkaviszony fennállása észszerűen számolnia kell az ilyen célú adatkezeléssel.
A személyes adatok címzettjei: a munkáltató vezetője, munkáltatói jogkör gyakorlója, a
munkaügyi feladatokat ellátó munkavállalói és a munkáltató adatfeldolgozói (pl. könyvelőiroda). A
munkáltató gazdálkodó szervezet tulajdonosai részére csak a vezető állású munkavállalók személyes 3
adatai továbbíthatók.
A személyes adatok tárolásának időtartama: a munkaviszony megszűnését követő 3 év.
Kötelező adatkezelés keretében a munkavállalók (volt munkavállalók), egyéb biztosítottak biztosítási
jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre
kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratok a munkavállalóra, volt
munkavállalóra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig tárolandók.
A munkavállaló adatkezelési jogai: a munkavállaló részére a munkaszerződés megkötésekor,
és azt követően az újabb adatfelvételkor az adatkezelés céljáról, jogalapjáról, körülményeiről és érintetti
jogairól a munkáltató alkalmazott formában és módon tájékoztatást kell adni.
A MUNKAVÁLLALÓI ALKALMASSÁGI VIZSGÁLATOKKAL KAPCSOLATOS
ADATKEZELÉS
A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet
munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban
meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
Ezen adatkezelés célja a munkaköri, szakmai, illetve személyi higiénés fennállásának
megállapítása: munkaviszony létesítése, fenntartása, munkakör betöltése céljából.
3 1997. évi LXXXI. törvény (Tny.) 99/A.§
Azt adatkezelés jogalapja: jogi kötelezettség teljesítése a munkaköri, szakmai, illetve személyi
higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM
rendelet alapján.
A munkavállalót az alkalmassági vizsgálatról és az azzal kapcsolatos adatkezelésről a munkáltató
által meghatározott formában és módon tájékoztatni kell.
A személyes adatok címzettjei, illetve a címzettek kategóriái: A vizsgálat eredményt a vizsgált
munkavállalók, illetve a vizsgálatot végző szakember ismerhetik meg. A munkáltató csak azt az
információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen
feltételek biztosítandók ehhez. A vizsgálat részleteit, illetve annak teljes dokumentációját azonban a
munkáltató nem ismerheti meg.
A személyes adatok kezelésének időtartama: a munkaköri alkalmasság újbóli véleményezéséig, vagy a
munkaviszony megszűnését követő 1 évig.
Az érintettet az adatfelvételkor tájékoztatni kell az adatkezeléssel kapcsolatos jogairól.
FELVÉTELRE JELENTKEZŐ MUNKAVÁLLALÓK ADATAINAK KEZELÉSE,
PÁLYÁZATOK, ÖNÉLETRAJZOK
A személyes adatok kezelésének célja: jelentkezés, pályázat elbírálása, a kiválasztottal
munkaszerződés kötése.
Az adatkezelés jogalapja: szerződés teljesítése. Az adatkezelés jogszerűnek minősül, ha arra
valamely szerződés vagy szerződéskötési szándék keretében van szükség 4 , ha az az a szerződés
megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges 5 .
Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.
4 Preambulum 44.
5 6 cikk (1) b.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a Társaságnál munkáltatói jogok
gyakorlására jogosult vezető, munkaügyi feladatokat ellátó munkavállalók.
A személyes adatok tárolásának időtartama: a jelentkezés, pályázat elbírálásáig. Törölni kell
annak adatait is, aki jelentkezését, pályázatát visszavonta.
A munkáltató csak az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján őrizheti
meg a pályázatokat, feltéve, ha azok megőrzésére a jogszabályokkal összhangban álló adatkezelési célja
elérése érdekében szükség van. E hozzájárulást a felvételi eljárás lezárását követően kell kérni a
jelentkezőktől.
Az érintettet az első kapcsolatfelvételkor tájékoztatni kell az adatkezeléssel kapcsolatos jogairól.
MUNKAÜGYI KAPCSOLATOKKAL KAPCSOLATOS ADATKEZELÉS
A munkáltató a munkaügyi kapcsolatokkal (Mt. Harmadik Rész) kapcsolatos jogainak
gyakorlása vagy kötelességének teljesítése céljából kezelheti a munkavállalói természetes azonosító
adatait, továbbá a munkaügyi kapcsolatokban részt vevő képviselői, az üzemi tanács és a szakszervezet
képviseletére jogosult tisztségviselő természetes azonosító adatait, telefonszámát és e-mail címét.
Ebben a körben okirat bemutatását követelheti.
A munkáltató üzemi tanács választása céljára a választásra jogosult, valamint a választható
munkavállalók névsorát a választási bizottság kérésére átadja a választási bizottságnak 6 .
A munkáltató nem követelheti, hogy a munkavállaló szakszervezethez való tartozásáról nyilatkozzék 7 .
A munkaügyi kapcsolatokkal kapcsolatos munkáltatói adatkezelés jogalapja jogi kötelezettség
teljesítése az Mt. 230.§-a, 241.§-a, 271.§/1/ bekezdése alapján.
6 Mt. 241.§
7 Mt. 271.§/1/
A személyes adatok címzettjei: a munkáltató vezetője, munkaügyi kapcsolatban a munkáltatói
oldalon részt vevő munkavállaló, a jogszerű adattovábbítás címzettje.
A személyes adatok tárolásának időtartama: a munkaviszony, az üzemi tanácsi megbízás,
szakszervezeti tisztség megszűnését követő 3 év.
Az érintettet az adatfelvételkor tájékoztatni kell az adatkezeléssel kapcsolatos jogairól.
MUNKAVÉDELMI CÉLÚ ADATKEZELÉS
A munkáltató a munkavédelemről szóló 1993. évi XCIII. törvény (Mvt.) és a végrehajtási
jogszabályai, különösen az 5/1993. (XII. 26.) MüM rendelet 4. 5. melléklete - alapján jogi kötelezettség
teljesítése jogcímén a jogszabályban meghatározott munkavédelmi feladat, kötelezettség teljesítése
céljából kezeli a munkavállaló személyes adatait. Ez az adatkezelés kötelező jellegű.
A munkáltató különösen az alábbi munkavédelmi tevékenységek körében kezeli a munkavállaló
személyes adatait:
Munkavédelmi oktatás – az Mvt. 55.§-a szerint. Az oktatás elvégzését a tematika megjelölésével
és a résztvevők aláírásával ellátva írásban kell rögzíteni. Címzettek: a munkáltató vezetője, a
munkahelyi vezető, munkavédelmi feladatokat ellátó munkavállaló, munkavédelmi oktató.
Foglalkozás-egészségügyi alapszolgáltatás biztosítása az Mvt. 58-63.§-a szerint. Címzettek:
munkáltató vezetője, munkavédelmi feladatokat ellátó munkavállaló, foglalkozásegészségügyi
orvos.
Munkabalesetek és a foglalkozási megbetegedések bejelentése, kivizsgálása és nyilvántartása az
Mvt. V. fejezete szerint. Címzettek: a munkáltató vezetője, a munkahelyi vezető, munkavédelmi
feladatokat ellátó munkavállaló, munkavédelmi oktató.
A munkavédelemmel kapcsolatos minden eljárás során az adatok (személyes, különleges és
közérdekű adatok, minősített adat, üzemi és üzleti titkok) védelmét a vonatkozó jogszabályok szerint
kell biztosítani. Az adatok statisztikai célra felhasználhatók és statisztikai felhasználás céljára – az Mvt.
83/B. §-ban megállapított kivétellel - személyazonosításra alkalmatlan módon átadhatók (Mvt. 7.§).
Adatok tárolási ideje: 3 év. (Mvt. 67.§)
Az érintettet az adatfelvételkor tájékoztatni kell adatkezeléssel kapcsolatos jogairól.
MUNKAHELYI KAMERÁS MEGFIGYELÉSSEL KAPCSOLATOS ADATKEZELÉS
A munkáltató a figyelmeztető táblával jelzett munkavégzési helyen vagyonvédelem céljából
elektronikus megfigyelőrendszert alkalmaz, amely közvetlen megfigyelést vagy kép-, hang-, vagy kép-
és hangrögzítést és tárolást is lehetővé tesz. Személyes adatnak tekinthető az érintett magatartása is, amit
a kamera rögzít.
Ezen adatkezelés jogalapja a munkáltató jogos érdeke.
A fenti adatkezelést a munkáltató jogos gazdasági érdeke, illetve a munkavállalók védelme teszi
szükségessé. A munkahelyi kamerák alkalmazása a munkáltatói ellenőrzés általánosan elterjedt eszköze,
ennek más technikai alternatívája a munkáltatónál nincs.
A munkahelyi kamerák alkalmazása a munkavállaló magánélethez, a magántitokhoz és a
személyes adatok védelméhez, a képmáshoz és a hangfelvételhez való jogát korlátozza. Érthető módon a
kamerás megfigyelés, felvételkészítés ténye zavarólag hathat az érintettre, megterhelő is lehet állandó
megfigyelés alatt dolgozni.
Ezeket az érdekeket mérlegelve a munkáltató a munkavállaló személyiségi jogai
korlátozhatósága mellett döntött az emberi élet, testi épség, személyi szabadság, az üzleti titok védelme
és a vagyonvédelem munkáltatói érdekeit preferálva. A személyiségi jog korlátozhatósága mellett szólt
az is, hogy a munkavállaló feletti irányítási és ellenőrzési jog a munkaviszony sajátja (Mt. 42.§/2/),
11/A.§/1/) – tehát a munkahelyen a munkavállalónak eleve számolnia kell az ellenőrzés tényével, és az
ellenőrzés technikai eszközeivel is – és személyiségi jogai ebből eredő részleges korlátozásával.
A személyiség jog korlátozásának arányosságát biztosítják az alábbi előírások, amelyeket a
munkahelyi kamerás megfigyelés alkalmazása során be kell tartani:
Nem lehet elektronikus megfigyelőrendszert alkalmazni olyan helyiségben, amelyben a
megfigyelés az emberi méltóságot sértheti, így különösen az öltözőkben, zuhanyzókban, az
illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban, továbbá az
olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett
kijelölve. Ha a munkahely területén jogszerűen senki sem tartózkodhat - így különösen
munkaidőn kívül vagy a munkaszüneti napokon - akkor a munkahely teljes területe (így például
az öltözők, illemhelyek, munkaközi szünetre kijelölt helyiségek) megfigyelhető.
Nem lehet olyan kamerát elhelyezni, amely kizárólag egy munkavállalót és az általa végzett
tevékenységét figyeli meg.
Nem lehet olyan elektronikus megfigyelőrendszert alkalmazni, amelynek célja a munkavállalók
munkahelyi viselkedésének a befolyásolása.
A kamera látószöge a céljával összhangban álló területre irányulhat.
A felvétel tárolásának helye: a munkáltató székhelye / telephelye.
A tárolás időtartama: A rögzített felvételeket felhasználás hiányában maximum 3 (három)
munkanapig őrizhetők meg, ezt követően törölni kell. Felhasználásnak az minősül, ha a rögzített kép-,
hang-, vagy kép- és hangfelvételt, valamint más személyes adatot bírósági vagy más hatósági eljárásban
bizonyítékként kívánják felhasználni.
Az adatok megismerésére jogosult személyek: a törvényben erre feljogosítottakon kívül a
jogsértések feltárása és a rendszer működésének ellenőrzés céljából a kezelő személyzet, a munkáltató
vezetője, továbbá a megfigyelt terület munkahelyi vezetője.
ADATBIZTONSÁGI INTÉZKEDÉSEK:
a) a képfelvételek megtekintésére és visszanézésére szolgáló monitor úgy kell elhelyezni, hogy a
képfelvételek sugárzása alatt azokat a jogosultsági körön kívül más személy ne láthassa.
b) A megfigyelés és a tárolt képfelvételek visszanézése kizárólag a jogsértő cselekmények kiszűrése, az
azok megszüntetéséhez szükséges intézkedések kezdeményezése céljából végezhető.
c) A kamerák által sugárzott képekről a központi felvevő egységen kívül más eszközzel felvételt
készíteni nem lehet.
d) A felvétel hordozó eszközeit elzárt helyen kell tárolni.
e) A tárolt képfelvételekhez hozzáférés csak biztonságos módon, és akként történhet, hogy az adatkezelő
személye azonosítható legyen.
f) A tárolt képfelvételek visszanézését és a képfelvételekről készített mentést dokumentálni kell.
g) A jogosultság indokának megszűnése esetén a tárolt képfelvételekhez a hozzáférést haladéktalanul
meg kell szüntetni.
h) A rögzítő készülékben elkülönített merevlemezről fut az operációs rendszer és a
rögzítésre került felvételek. A felvételekről külön biztonsági másolat nem készül.
i) Jogsértő cselekmény észlelését követően a cselekményről készült felvétel tarolása és a szükséges
hatósági eljárás haladéktalanul kezdeményezése felől intézkedni kell, egyben tájékoztatni kell a
hatóságot, hogy a cselekményről képfelvétel készült.
TÁJÉKOZTATÁS AZ ÉRINTETT SZEMÉLY JOGAIRÓL, ÉS A JOGÉRVÉNYESÍTÉSRŐL
Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel adatának
rögzítése érinti, a kép-, hang-, valamint kép- és hangfelvétel rögzítésétől számított három munkanapon
belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse
meg, illetve ne törölje.
Az érintettet a munkaszerződés megkötésekor tájékoztatni kell adatkezelési jogairól. A
munkahelyi kamerás megfigyelés alkalmazását figyelmeztető táblával kell jelezni.
A MUNKAVÁLLALÓ ITTASSÁGA ELLENŐRZÉSÉVEL KAPCSOLATOS ADATKEZELÉS
A munkáltató jogosult a munkavégzésre képes állapot, az alkoholos befolyásoltság ellenőrzésére,
alkoholszondával vagy vérvizsgálatra való kötelezéssel, a munkavállaló pedig köteles a vizsgálatnak
alávetni magát, ennek megtagadása az együttműködési kötelezettség megszegését jelenti,
A munkáltató jogos érdek jogcímén kezeli a munkavállaló ittassága ellenőrzésével kapcsolatos
személyes adatokat. Az adatkezelés célja a munkára képes állapot megállapítása (Mt. 52.§/1/ a-b)),
hátrányos jogkövetkemény alkalmazása (Mt. 56.§) a munkaviszony megszüntetése, a megszüntető
jognyilatkozat indoka valóságának és okszerűségének igazolása (Mt. 64.§).
A SZÜKSÉGESSÉG – ARÁNYOSSÁG SZEMPONTRENDSZERE
Az ittasság ellenőrzését, és az azzal kapcsolatos adatkezelést az egészséget nem veszélyeztető és
biztonságos munkavégzés követelményeinek biztosítására vonatkozó alapvető munkáltatói
kötelezettségnek (Mt. 51.§/4/) való megfelelés teszi szükségessé, adott esetben elkerülhetetlenné. Az
ittasság ellenőrzésének objektív módja az alkoholszonda és a vérvétel, ezekre más eszköz nem áll
rendelkezésre. Az ellenőrzés eredményének rögzítését a hátrányos jogkövetkezmények alkalmazására
vonatkozó indokolási kötelezettség teszi szükségessé.
Az ittasság ellenőrzése és az ezzel kapcsolatos adatkezelés kétségtelenül korlátozza a
munkavállaló a személyes szabadságához, magánéletéhez való jogát. Ezzel szemben azonban abszolút
elsőbbséget kell, hogy élvezzen a munkáltatónak és a többi munkavállalónak a biztonságos
munkavégzéshez fűződő érdeke. Ugyanakkor a korlátozás arányosságát biztosítja, hogy az intézkedést a
munkáltató nem gyakorolhatja visszaélésszerűen (pl. ismétlődően, vagy nagy nyilvánosság előtt)
gyakorolni.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a munkavállaló közvetlen
munkahelyi felettese és a munkáltatói jogkör gyakorlója.
A személyes adatok kezelésének időtartama: 3 év.
Az érintettet az adatfelvételkor tájékoztatni kell az adatkezeléssel kapcsolatos jogairól.
A MUNKÁLTATÓ ÁLTAL BIZTOSÍTOTT SZÁMÍTÁSTECHNIKAI ESZKÖZ
ELLENŐRZÉSÉVEL ADATKEZELÉS
A munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy
számítástechnikai eszközt, rendszert (a továbbiakban: számítástechnikai eszköz) kizárólag a
munkaviszony teljesítése érdekében használhatja.
A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai
eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Az ellenőrzési jogosultság
szempontjából munkaviszonnyal összefüggő adatnak minősül e korlátozás betartásának ellenőrzéséhez
szükséges adat.
A számítástechnikai eszköz ellenőrzése és a hozzá kapcsolódó adatkezelés célja a használatra
vonatkozó korlátozás betartásának ellenőrzése.
Az adatkezelés jogalapja a munkáltató jogos érdeke.
Azzal, hogy a munkáltató az általa biztosított számítástechnikai eszköz magáncélú használatát
nem engedélyezi, alapvetően a saját számítástechnikai eszközeit és információ-technológiai rendszereit
védi, és ez egy szükséges szervezési intézkedés az adatbiztonságra vonatkozó kötelezettségeknek való
megfelelés céljából. Ez az intézkedés önmagában – betartása esetén - nem érinti a munkavállaló
személyiségi jogait. Ugyanakkor számolni kell azzal, hogy a munkavállaló nem tartja be az eszköz
használatára vonatkozó korlátozást – és ezesetben a korlátozás nélküli munkáltatói ellenőrzés már
sértené a munkavállaló magánélethez való jogát, mert a magánélet nem ellenőrízhető.
Ebben a helyzetben a munkáltató a védendő érdekei fontossága miatt fenntartja a jogot az általa
biztosított számítástechnikai eszköz ellenőrzésére és a munkavállaló személyiségi jogait, magánéletét
azzal tartja tiszteletben, hogy a számítástechnikai eszközön tárolt adatba az ellenőrzés során addig
tekinthet be, ameddig el nem tudja dönteni, hogy az adat magáncélú adat-e. Ezt az előírást az ellenőrzés
során be kell tartani.
Az ellenőrzésre és adatkezelésre a munkavállaló munkahelyi vezetője, vagy a munkáltatói jogok
gyakorlója jogosult.
Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, biztosítani kell, hogy a
munkavállaló jelen lehessen az ellenőrzés során.
Az ellenőrzés előtt tájékoztatni kell a munkavállalót arról, hogy milyen munkáltatói érdek miatt
kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, - milyen szabályok szerint
kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, - milyen jogai és
jogorvoslati lehetőségei vannak az ellenőrzéssel együtt járó adatkezeléssel kapcsolatban.
Az ellenőrzés során a fokozatosság elvét kell alkalmazni. Elsődlegesen a cím és tárgyadatokból
kell megállapítani, hogy a tartalom a munkavállaló munkaköri feladatával kapcsolatos, és nem
személyes célú. Nem személyes célú tartalmakat a munkáltató korlátozás nélkül vizsgálhat.
Ha jelen szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a munkavállaló az
eszközt személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat
haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes
adatokat az ellenőrzéskor a munkáltató törli. Az eszköz szabályzattal, munkáltatói utasítással ellentétes
használata miatt a munkáltató a munkavállalóval szemben munkajogi jogkövetkezményeket
alkalmazhat.
Ezeket a szabályokat kell alkalmazni, ha a felek megállapodása alapján a munkavállaló a
munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ.
Az ellenőrzéssel kapcsolatos adatok kezelésének időtartama: 3 év.
Az érintettet az adatfelvételkor tájékoztatni kell az adatkezeléssel kapcsolatos jogairól.
HÁTRÁNYOS JOGKÖVETKEZMÉNYEK ALKALMAZÁSÁVAL KAPCSOLATOS
ADATKEZELÉS
A munkáltató hátrányos jogkövetkemények alkalmazása céljából kezeli az eljárásban (Mt. 56.§)
részt vevő munkavállaló azonosítására szolgáló természetes személyazonosító adatokat, továbbá a
tényállás tisztázásához, valamint az eljárás megindítását megalapozó körülmények vizsgálatához
szükséges személyes adatokat.
Az adatkezelés jogalapja a munkáltató jogos érdeke.
A munkáltató utasításadási és ellenőrzési jogából következik, hogy vétkes munkavállalói
kötelezettségszegés esetén figyelmeztetést adhat, vagy hátrányos jogkövetkezményt alkalmazhat.
Ezesetben a vétkesség vagy a kötelezettségszegés általában nem olyan súlyú, amely a munkaviszony
megszüntetését vonhatná maga után, de a munkáltató szankcionálni kívánja a munkavállalói
magatartást.
A munkáltató ellenőrzési jogköréből következő szankcionálási joga a munkavállaló személyiségi
jogait a hátrányos megkülönböztetés tilalma, a becsület és a jóhírnév, a magántitokhoz és a személyes
adatok védelméhez való jog vonatkozásban érinti és korlátozza. A vétkességre vonatkozó adatok
kezelése, rögzítése, nyilvántartása – az alkalmazott munkajogi szankción túl - nyilvánvalóan
hátrányosan érinti a munkavállalót.
Figyelemmel arra, hogy a Munka Törvénykönyve 56.§-a – az ott írt feltételekkel – vétkes
kötelezettségszegés esetén lehetőséget ad a munkáltatónak hátrányos jogkövetkezmények
megállapítására, a munkáltató az utasítási és ellenőrzési joga védelmében, a munkafegyelem
biztosítására szükségesnek tartja a munkavállaló érintett személyiségi jogai ezzel együtt járó
korlátozását.
Ezen adatkezelés arányos, mert csak vétkes kötelezettségszegés esetén alkalmazható, a
munkáltató az ilyen intézkedését köteles írásba foglalni és indokolni, és a munkavállaló az intézkedéssel
szemben bírósági jogorvoslatot kérhet. (Mt. 285.§). A munkáltató jogszerű és tisztességes adatkezeléssel
biztosítja, hogy a munkavállaló személyiségi jogai az adatkezelés során a korlátozás ellenére védve
legyenek.
A személyes adatok címzettjei, illetve a címzettek kategóriái: a munkavállaló közvetlen munkahelyi
felettese és a munkáltatói jogkör gyakorlója.
A személyes adatok kezelésének időtartama: 3 év.
Az érintettet az adatfelvételkor tájékoztatni kell az adatkezeléssel kapcsolatos jogairól.
IV. FEJEZET - ÜGYVITELI CÉLÚ ADATKEZELÉSEK
ADATKEZELÉS ADÓ- ÉS SZÁMVITELI KÖTELEZETTSÉGEK TELJESÍTÉSE CÉLJÁBÓL
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli
kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vevőként, szállítóként vele üzleti
kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok az általános
forgalmi adóról szóló 2017. évi CXXVII. tv. 169.§, és 202.§-a alapján különösen: adószám, név, cím,
adózási státusz, a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági
műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását
igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a készletmozgások bizonylatain és
a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása, a személyi
jövedelemadóról szóló 1995. évi CXVII. törvény alapján: vállalkozói igazolvány száma, őstermelői
igazolvány száma, adóazonosító jel.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
A személyes adatok címzettjei: a Társaság adózási, könyvviteli, bérszámfejtési,
társadalombiztosítási feladatait ellátó munkavállalói és adatfeldolgozói.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
Az érintettet az adatfelvételkor tájékoztatni kell adatkezelési jogairól.
KIFIZETŐI ADATKEZELÉS
A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és
járulékkötelezettségek teljesítése (adó-, adóelőleg, járulékok megállapítása, bérszámfejtés,
társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók,
családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes
adatait, akikkel kifizetői (2017:CL. törvény az adózás rendjéről (Art.) 7.§ 31.) kapcsolatban áll. A kezelt
adatok körét az Art. 50.§-a határozza meg, külön is kiemelve ebből: a természetes személy természetes
személyazonosító adatait (ideértve az előző nevet és a titulust is), nemét, állampolgárságát, a természetes
személy adóazonosító jelét, társadalombiztosítási azonosító jelét (TAJ szám). Amennyiben az
adótörvények ehhez jogkövetkezményt fűznek, a Társaság kezelheti a munkavállalók egészségügyi
(Szja tv. 40.§) és szakszervezeti (Szja 47.§ (2) b.) tagságra vonatkozó adatokat adó és
járulékkötelezettségek teljesítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.
A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év.
A személyes adatok címzettjei: a Társaság adózási, bérszámfejtési, társadalombiztosítási
(kifizetői) feladatait ellátó munkavállalói és adatfeldolgozói.
Az érintettet az adatfelvételkor tájékoztatni kell adatkezelési jogairól.
A LEVÉLTÁRI TÖRVÉNY SZERINT MARADANDÓ ÉRTÉKŰ IRATOKRA VONATKOZÓ
ADATKEZELÉS
A Társaság jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a
magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (Levéltári törvény) szerint kezeli
irattári anyagát. A maradandó értékűnek minősülő iratok vonatkozásában az adatkezelés célja hogy a
Társaság irattári anyagának maradandó értékű része épségben és használható állapotban a jövő
nemzedékei számára is fennmaradjon. Az adattárolás ideje: selejtezésig, maradandó értékű iratok
vonatkozásában a közlevéltár részére történő átadásig.
A személyes adatok címzettjei: a Társaság vezetője, iratkezelést, irattározást végző
munkavállalója, a közlevéltár munkatársa.
V. FEJEZET - ADATKEZELÉS AZ ÉRINTETT HOZZÁJÁRULÁSA ALAPJÁN
Ha az adatkezelés jogalapja az érintett hozzájárulása, az adatfelvételkor tájékoztatni az
adatkezelés céljáról jogalapjáról, és az érintetti jogokról.
Nem lehet szerződés megkötésének, teljesítésének feltételeként előírni a személyes adatok
kezeléséhez való hozzájárulás megadását, ha a hozzájárulás nem szükséges a szerződés teljesítéséhez.
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett
adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából
további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is
kezelheti.
VI. FEJEZET - ADATBIZTONSÁGI INTÉZKEDÉSEK
Az Adatkezelő az adatbiztonságot garantálása érdekében a következő technikai és szervezési
intézkedéseket hozza.
FIZIKAI VÉDELMI INTÉZKEDÉSEK
Védendő helyiségnek kell tekinteni minden helyiséget, ahol számítástechnikai eszközöket,
papíralapú dokumentumokat tartanak, tárolnak.
A védendő helyiségeket el kell látni:
a) a mechanikai védelemmel: a bejárati ajtókat biztonsági zárral, szükség esetén fémráccsal, a földszinti
helyiségek ablakait betekintés és behatolás ellen védő biztonsági fóliával, vagy fémráccsal, a belső
ajtókat, szekrényeket, fiókokat biztonsági zárral,
b) betöréses lopás- és rablás jelzésére alkalmas elektronikus vagyonvédelmi jelzőrendszerrel,
c) tűzjelző berendezéssel és poroltóval, az épületet villámhárítóval.
INFORMATIKAI BIZTONSÁGI INTÉZKEDÉSEK
Az Adatkezelő számítógépe rendszerét a következő eljárásokkal, alkalmazásokkal kell védeni:
1. Azonosítási kötelezettség előírása
Az informatikai rendszerhez és egyes elemeihez való hozzáférés feltétele a felhasználó megbízható
azonosítása.
Az azonosítás a személyes használatra kiadott egyedi felhasználói névvel és ehhez tartozó, kizárólag
a felhasználó által ismert jelszóval történhet.
Kétlépcsős hitelesítés alkalmazása
Kétlépcsős hitelesítést kell alkalmazni felhőben tárolt adatok elérésére.
JOGOSULTSÁGKEZELÉS
Az informatikai rendszeren és elemein jogosultságkezelő rendszert kell alkalmazni, amely az
azonosított felhasználónak a számára engedélyezett alkalmazások és adatok elérését és műveletek
elvégzését teszi lehetővé, ezzel technikailag is megakadályozva az eszközhöz, programhoz, adathoz való
jogosulatlan hozzáférést.
NAPLÓZÁSI RENDSZER KIALAKÍTÁSA, MŰKÖDTETÉSE
Az informatikai rendszernek naplóznia kell a felhasználói tevékenységet. Törekedni kell
az automatizált naplóesemény-elemző rendszer alkalmazására. A biztonsági eseményekről automatikus
figyelmeztetéseket kell generálni.
A SZOFTVEREKRE VONATKOZÓ SZABÁLYOK
Az adatkezelőnél csak jogtiszta – vásárolt, vagy üzleti használatra is ingyenes - szoftverek
használhatók. Szoftvert kizárólag a rendszergazda telepíthet.
VÍRUSVÉDELEM ÉS MENTESÍTÉS
Az Adatkezelő informatikai rendszerét annak belépési és kilépési pontjain védeni kell a
kártékony kódok - a vírusok, férgek, trójai- és kémprogramok, és minden kártevő program - ellen,
azokat fel kell deríti és meg kell semmisíteni.
BIZTONSÁGI MENTÉS ÉS HELYREÁLLÍTÁS
A biztonsági mentés célja az információ és az adatfeldolgozó szoftverek épségének és
rendelkezésre állásának biztosítása. Minden elektronikusan tárolt adatról, állományról, dokumentumról
biztonsági mentést kell készíteni. A mentés gyakorisága az adatok fontosságától és keletkezésük
gyakoriságától függően határozandó meg. A központi adatmentést legalább havi rendszerességgel el kell
végezni. Minden nagyobb beavatkozás, változás előtt teljes biztonsági mentést kell készíteni a
rendszerről. A mentéseket tartalmazó adathordozón – ha ilyen eszközre történik e mentés - fel kell
tüntetni a mentett rendszer nevét, az érintett adatkört, és a mentés idejét. Az archivált adatok és a
biztonsági mentések egy példányát biztonságos körülmények között, fizikailag elkülönített helyen kell
tárolni. A biztonsági mentéseket 1 évig bármikor visszakereshetően, helyreállíthatóan meg kell őrizni.
Ha a biztonsági mentésen olyan adat, információ dokumentum található, amelynek őrzési,
tárolási idejét jogszabály határozza meg, a biztonsági mentést a jogszabályban írt határidőig kell
megőrizni. Havonta ellenőrizni kell, hogy a biztonsági mentésből helyreállíthatók-e az adatok, illetve a
rendszer.
MOBIL ADATHORDOZÓK VÉDELME
Csak az Adatkezelőnél nyilvántartásba vett, vagy engedélyedzett adathordozók használhatók.
Tilos olyan adathordozó használata, amelynek tulajdonosa nem azonosítható. A telephelyről kivitt
adathordozón csak hozzáférés-védelemmel ellátva tárolhatók adatok. Az adathordozót a
helyreállíthatatlanságot biztosító törlési technikákkal és eljárásokkal (mélytörlés) kell törölni
leselejtezés, vagy a szervezeti ellenőrzés megszűnte előtt.
ELEKTRONIKUS LEVELEZÉS, E-MAIL FIÓK, ADATTOVÁBBÍTÁS VÉDELME
Csak olyan levelezőrendszer használható, amelynél biztosított a rendszer és azok elemei,
különösen a szerverek fizikai és logikai védelme, a kéretlen és kártékony kódot tartalmazó elektronikus
levelek kiszűrése és blokkolása. Lehetőség szerint személyes adatokat elektronikus levelezésben
titkosítottan kell továbbítani.
MUNKAVÉGZÉSRE VONATKOZÓ ALAPVETŐ BIZTONSÁGI ELŐÍRÁSOK
A munkavállaló kötelessége az információbiztonság területén az adott helyzetben általában
elvárható magatartást tanúsítani, és az információs rendszert és elemeit az információbiztonsági
tudatosság szem előtt tartásával használni.
A munkavállaló bármely személyes adatot kizárólag a munkáltató utasításának megfelelően
kezelhet, kivéve, ha az ettől való eltérésre jogszabály kötelezi.
A személyes adatokat kezelő munkavállaló köteles titoktartási nyilatkozatot tenni, amelyet a
jogviszonya megszűnését követően is köteles betartani.
A munkavállaló a munkavégzés folyamatában, a munkaköri feladatai teljesítése során köteles
gondoskodni arról, hogy az általa kezelt adatokat jogosulatlan személyek sem élőszóban, sem írásban
sem más módon ne ismerhessék meg.
Minden munkavállalónak évente legalább egyszer részt kell vennie a munkáltató által szervezett,
információbiztonsági tudatosságot fokozó információbiztonsági képzésen részt venni.
VII. FEJEZET - ADATVÉDELMI INCIDENSEK KEZELÉSE
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon
kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását,
jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
A személyes adatokat érintő adatvédelmi incidenst indokolatlan késedelem nélkül, és ha
lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a Társaság tudomására jutott, be
kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az adatvédelmi
incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló
indokokat is.
A bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és
hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét
és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett
intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos
következmények enyhítését célzó intézkedéseket.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek
jogaira és szabadságaira nézve, a Társaság ügyvezetője indokolatlan késedelem nélkül tájékoztatja az
érintettet az adatvédelmi incidensről.
Az adatvédelmi incidens kockázattal jár a természetes személyek jogaira és szabadságaira nézve, ha
az adatkezelésből hátrányos megkülönböztetés,
személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség,
a jó hírnév sérelme,
a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése,
az álnevesítés engedély nélkül történő feloldása, vagy
bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha
az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy
nem rendelkezhetnek saját személyes adataik felett; vagy ha
olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai
véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak,
valamint ha
a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi
felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági
intézkedésekre vonatkoznak; vagy ha
személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos
jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök,
megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére
kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha
kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerül
sor; vagy ha
az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.
(GDPR /75/)
AZ ADATVÉDELMI INCIDENSEK NYILVÁNTARTÁSA
Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
az érintett személyes adatok körét,
az adatvédelmi incidenssel érintettek körét és számát,
az adatvédelmi incidens időpontját,
az adatvédelmi incidens körülményeit, hatásait,
az adatvédelmi incidens orvoslására megtett intézkedéseket,
az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
VIII. FEJEZET - ADATVÉDELMI HATÁSVIZSGÁLAT ÉS ELŐZETES KONZULTÁCIÓ
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel
annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a
természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően
hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok
védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz
hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a
kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a
személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Az adatvédelmi hatásvizsgálat és előzetes konzultáció részletes szabályaira a rendelet 35-36.
cikkei az irányadók.
IX. FEJEZET - ADATVÉDELMI TISZTVISELŐ
A Társaság adatvédelmi tisztviselőt jelöl ki a Rendelet 37. cikkében meghatározott esetekben.
Az adatvédelmi tisztviselő kijelölése az ügyvezető hatáskörébe tartozik.
Kijelölése esetén az adatvédelmi tisztviselő feladatai
tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést
végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi
rendelkezések szerinti kötelezettségeikkel kapcsolatban;
ellenőrzi a Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek,
továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső
szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben
vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon
követi a hatásvizsgálat elvégzését;
együttműködik a felügyeleti hatósággal; és
az adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó
pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben
konzultációt folytat vele.
X. FEJEZET - ZÁRÓ RENDELKEZÉSEK
E Szabályzat rendelkezéseit meg kell ismertetni az Adatkezelő valamennyi munkavállalójával
(foglalkoztatottjával), és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és
érvényesítése minden munkavállaló (foglalkoztatott) lényeges munkaköri kötelezettsége.
Kelt: Kecskemét, 2023. augusztus 1.