ADATVÉDELMI SZABÁLYZAT
I. AZ ADATVÉDELMI SZABÁLYZAT CÉLJA, TÁRGYA, HATÁLYA
A szabályzat célja, hogy meghatározza a Montana Tours Utazásszervező és Szolgáltató Kft.-nél, ( Továbbiakban Montana Tours kft )mint Adatkezelőnél zajló adatkezelések törvényes kereteit, biztosítsa az adatvédelem alkotmányos elveinek és az információs önrendelkezési jognak az érvényesítését, elősegítse az adatbiztonság követelményeinek való megfelelést, továbbá megakadályozza a jogosulatlan adatkezelést. Az Adatvédelmi Szabályzat kialakítja az adatvédelem szempontjából fontos feladatokat, felelősségi viszonyokat, különös tekintettel a munkavállalók szerepére az adatbiztonságban.
A szabályzat a Montana Tours Kft.-nél munkajogviszonyban foglalkoztatottak, valamint a Montana Tours Kft. tevékenységi körébe tartozó szolgáltatások miatt kapcsolatba, illetve szerződéses jogviszonyba kerülő természetes személyek személyes adatainak kezelése tekintetében tartalmaz szabályokat.
A szabályzat tárgyi hatálya kiterjed az Adatkezelő és szervezeti egységei által kezelt valamennyi természetes személy személyes adataira, az automatizált és nem autmatizált módon történő adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül. A szabályzat irányadó a Montana Tours Kft. egyes szervezeti egységei közötti, az adatkezelő által esetlegesen igénybevett adatfeldolgozók felé irányuló adatáramlásra, valamint az adatkezelő és más adatkezelőkkel való személyes adatokat érintő kommunikációra. A szabályzat tárgyi hatálya kiterjed továbbá a Montana Tours Kft. székhelyén folyó valamennyi személyes adatkezelésre, ezen adatok továbbítására, információk átadására, az ezen adatkezelés, információátadás tárgyát képező adatok szabályzatban meghatározottak szerinti, üzleti titokkénti kezelésével és védelmével kapcsolatos tevékenységekre.
A szabályzat személyi hatálya kiterjed a Montana Tours Kft. valamennyi szervezeti egységére, minden alkalmazottjára, valamint a vele szerződéses vagy egyéb kapcsolatban álló, személyes adatkezelést végző személyekre.
A szabályzat területi hatálya a Montana Tours Kft. székhelye szerinti országban, azaz Magyarországon kell alkalmazni a Montana Tours .Kft. adatkezelő tevékenységével összefüggésében.
Jogszabályi háttér
A szabályzat jogszabályi alapját a következő jogszabályok jelentik:
Magyarország Alaptörvénye;
2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.);
2012. évi I. törvény – a munka törvénykönyvéről (Mt.);
2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet).
Az Adatkezelő adatai:
Név: .Montana Tours Utazásszervező és Szolgáltató Kft.
Székhely: 6720 Szeged, Somogyi u.20.
Cégjegyzékszám: 06-09-005672
II. A SZABÁLYZAT ELÉRHETŐSÉGE
A szabályzatot a Montana Tours Kft. ügyvezetője hagyja jóvá és az iroda székhelyén tárolja. A szabályzat évente felülvizsgálatra és jóváhagyásra kerül. A szabályzat valamennyi munkavállaló és leendő szerződéses partner számára elektronikus formában a Montana Tours Kft. honlapján, míg papír alapon a Montana Tours Kft székhelyén érhető el.
III. FELELŐSSÉG
A szabályzat végrehajtásáért az Adatkezelő vezetője (a Montana Tours Kft. mindenkori ügyvezetője) felelős. Valamennyi munkavállaló kötelezettsége annak bejelentése, ha a szabályzat megkerüléséről vagy megsértéséről szerez tudomást, vagy ennek gyanúja merül fel. Bejelentés a közvetlen felettes, a szervezeti egység szerinti vezető megkeresésével történhet.
Amennyiben az Adatkezelő a személyes adatok jogellenes kezelésével, és az adatbiztonsági követelmények megszegésével az érintett jogát megsérti, úgy a Ptk. vonatkozó szabályai alapján az ezzel okozott kár megtérítésére köteles. Amennyiben az Adatkezelő a személyes adatok jogellenes kezelésével, és az adatbiztonsági követelmények megszegésével az érintett személyiségi jogát megsérti, úgy a Ptk. vonatkozó szabályai alapján sérelemdíj megfizetésére köteles.
Az adatkezelő szervezet munkavállalója az adatvédelmi és adatbiztonsági szabályok betartásáért személyes felelősséggel tartozik.
Az adatkezelés során a jogellenes magatartást konkrétan megvalósító munkavállaló – amennyiben magatartása büntető jogellenes – büntetőjogi felelősséggel is tartozik (Btk. ….).
IV. ÉRTELMEZŐ RENDELKEZÉSEK
1. „személyes adat”:azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. „adatkezelés”:a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. „az adatkezelés korlátozása”:a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
4. „profilalkotás”:személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
5. „álnevesítés”:a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
6. „nyilvántartási rendszer”:a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
7. „adatkezelő”:az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
8. „adatfeldolgozó”:az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
9. „címzett”:az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy 2016.5.4. L 119/33 Az Európai Unió Hivatalos Lapja HU egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
10. „harmadik fél”:az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
11. „az érintett hozzájárulása”:az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
12. „adatvédelmi incidens”:a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; 13. „genetikai adat”:egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
14. „biometrikus adat”:egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
15. „egészségügyi adat”:egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról
16. „különleges személyes adat”: faji, etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adat, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok.
V. ADATVÉDELEM
1. Alapelvek
A személyes adatok kezelése során a jogszabályoknak megfelelően, tisztességesen, és valamennyi érintett számára átlátható módon kell eljárni (jogszerűség, tisztességesség, átláthatóság).
Az adatkezelés kizárólag meghatározott célból történhet (célhoz kötöttség), amelynek relevánsnak kell lennie, és a szükséges tevékenységre, valamint időre kell, hogy korlátozódjon (adattakarékosság).
A személyes adatoknak az adatkezelés során naprakésznek kell lenniük, (pontosság).
A személyes adatokat olyan formában kell tárolni, amely az érintettek azonosítását csak az adatkezelés céljának eléréséhez szükséges ideig teszi elérhetővé (korlátozott tárolhatóság).
A személyes adatok kezelése során biztosítani kell az adatok jogosulatlan vagy jogellenes megismerésének, kezelésének, felhasználásának az elkerülését, ideértve az adatok véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is (adatbiztonság, integritás és bizalmas jelleg).
2. Alapvető szabályok
2.1. Az adatkezelő személyes adatokat csak az alábbi esetekben kezel:
az érintett hozzájárulásával a konkrét cél megjelölése mellett,
ha azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,
az adatkezelőnél munkajogviszonyba álló munkavállalók munkaszerződésének teljesítéséhez szükséges, vagy az adatkezelés a munkaszerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
2.2. Az Adatkezelőnek kell igazolnia, hogy az érintettől a hozzájárulást beszerezte. A hozzájárulás bármikor visszavonható, de a visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
2.3. Személyes adat akkor is kezelhető, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetők.
Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában
a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll
további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
2.4. Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából a vonatkozó jogszabályok szerint az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
2.5. Az érintett kérelmére indult eljárásban, az annak lefolytatásához szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.
2.6. Az érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről az Adatkezelő feladata gondoskodni.
2.7. Az Adatkezelő különleges személyes adatokat tevékenysége során nem kezel, kivéve az egészségügyi adatokat, ha azok kezelése a munkavállalók (érintettek) foglalkoztatásának védelmét szabályozó jogi előírásokból fakadó kötelezettség teljesítéséhez (például orvosi vizsgálatok, munkaruha biztosítása) és konkrét jogok gyakorlásához szükséges.
VI. AZ ÉRINTETTEK JOGAI
1. Átlátható tájékoztatás, kommunikáció és intézkedések
Az Adatkezelő megfelelő intézekdéseket hoz annak érdekében, hogy minden érintett tudmást szerezhessen számára könnyen érthető, átlátható és hozzáférhető módon az őt megillető jogokról.
Az Adatkezelő a tájékoztatás révén elősegíti az érintett jogainak gyakorlását. Az érintett kérelmének teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
Az Adatkezelő a hozzá érkező kérelmeket, bejelentéseket legkésőbb egy hónapon belül elintézi, kivizsgálja, és tájékoztatást ad a kérelem, illetve a bejelentés nyomán tett intézkedésről, vagy annak elmaradásának okairól, valamint utóbbi esetben az érintettet megillető jogorvoslati lehetőségekről és azok gyakorlásának alapvető szabályairól. A határidő további két hónappal meghosszabbítható, ha a kérelem vagy bejelentés összetettsége, vagy azok száma ezt indokolja. Az Adatkezelő eljárása díjmentes.
2. Hozzáférési jog
Az érintett jogosult arra, hogy visszajelzést kapjon arról, hogy személyes adatainak a kezelése folyamatban van-e, ha igen, akkor az adatkezelés milyen jellegű, és jogosult arra is, hogy a személyes adatkohoz hozzájusson.
A hozzáférés kiterejd az alábbi információkra is:
- adatkezelés célja
- személyes adatok kategóriái
- azok a címzettek, akikkel a személyes adatokat közölték vagy közölni fogják
- a személyes adatok tárolásának időtartama
- a személyes adatok helyesbítésének törléséhez, az adatkezelés korlátozásához, az adatkezelés elleni tiltakozáshoz fűződő jog gyakorolhatósága
- felügyeleti hatósághoz történő panasz benyújtása
- a nem az érintettől származó személyes adat forrása.
3. A személyes adatok helyesbítése
Az érintett kérheti, hogy az Adatkezelő a kezelt személyes adatait helyesbítse vagy azokat kiegészítse.
4. A személyes adatok törlése
Az érintett jogosult kérni a személyes adatainak törlését, ha
a személyes adatok kezelésére már nincs szükség, vagy
az érintett a hozzájárulását visszavonta kivéve, ha az Adatkezelő az adatkezeléshez rendelkezik más jogalappal
tiltakozik az adatkezelés ellen,
a személyes adatokat jogellenesen kezelik.
Az Adatkezelő a törlési kérelemnek késedelem nélkül köteles eleget tenni.
5. Az adatkezelés korlátozása
Az érintett kérésére az Adatkezelő korlátozza az adatkezelést a következő esetekben:
az érintett vitatja a személyes adatok pontosságát; a korlátozás addig az időtartamig tart, amíg az Adatkezelő tisztázza a személyes adatok pontosságát
az adatkezelés jogellenes, és az érintett az adatok törlése helyett azok felhasználásnak korlátozását kéri
az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igényének előterjesztéséhez, érvényesítéséhez vagy védelméhez
az érintett tiltakozott az adatkezelés ellen.
A korlátozás alá eső személyes adatok a korlátozást követően az Adatkezelő által kizárólag tárolhatók, kivéve ha egyéb adatkezelő tevékenységhez az érintett hozzájárult, vagy az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges.
6. Értesítési kötelezettség
Az Adatkezelő az adatkezelés korlátozásáról, a személyes adatok helyesbítéséről és törléséről minden címzettet tájékoztat, kivéve ha az lehetetlen vagy ahhoz nagy erőfeszítések szükségesek.
7. Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a kezelt személyes adatait hordozható, géppel olvasható formában megkapja, amely a személyes adatokat tagoltan tartalmazza.
8. Tiltakozás
Az érintett bármikor tiltakozhat a személyes adatainak kezelése ellen, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmai jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, illetve ha az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
Az Adatkezelő biztosítja, hogy az érintett a tiltakozáshoz való jogot műszaki előíráson alapuló automatizált eszközökkel is gyakorolhassa.
9. Bírósági jogérvényesítés
Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A peres eljárást választása szerint a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
VII. AZ ADATKEZELŐ FELADATAI
Az Adatkezelő megfelelő technikai és szervezési intézkedéseket tesz annak érdekében, hogy a személyes adatok kezelése a vonatkozó jogszabályokkal összhangban történjen, és hogy a jogszabályoknak való megfelelés bizonyítható legyen. Ennek során a jelen szabályzat és az annak végrehajtására és betartatására vonatkozó intézkedések kiemelt szerephez jutnak.
Az adatkezelést végző személy a tevékenysége során:
kezeli és megőrzi a feladata ellátása során birtokába került adatokat;
ügyel a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására;
gondoskodik arról, hogy az általa kezelt adatokhoz illetéktelen személy ne férhessen hozzá;
betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat;
haladéktalanul jelzi vezetője felé, amennyiben az adatvédelmi ügyben a felettes segítségére szorul.
VIII. ADATFELDOGOZÁS, ADATKEZELŐ IRÁNYÍTÁSA ALATT VÉGZETT ADATKEZELÉS
Ha az adatkezelés során az Adatkezelő adatfeldolgozót vesz igénybe, ennek során olyan garanciákat nyújt, amelyek biztosítják az ilyen módon történő adatkezelés jogszabályoknak való megfelelését.
A személyes adatokon technikai műveletet az Adatkezelő alvállalkozója adatfeldolgozóként az érintett hozzájárulása nélkül is végrehajthat, amennyiben tevékenysége során önálló érdemi döntést nem hoz.
A Montana Tours Kft. harmadik személy kezelésében lévő személyes adatokon – amennyiben e tevékenysége során érdemi döntési jogkörrel nem rendelkezik – adatfeldolgozóként az érintett hozzájárulása nélkül is végezhet technikai műveleteket.
Az adatfeldolgozói feladat teljesítését követően, illetve a szerződés megszűnésekor az adatfeldolgozó a birtokában lévő személyes adatokat vissza kell, hogy szolgáltassa az Adatkezelőnek. Az átadott adatok adatfeldolgozó számítástechnikai rendszerében található másolatait pedig visszavonhatatlan módon töröltetni kell, melynek megtörténtéről az adatfeldolgozónak nyilatkoznia kell.
Az Adatekezlő biztosítja azt is, hogy a személyes adatokhoz hozzáféréssel rendelkező személyek a személyes adatokat a jogszabályoknak, az utasításoknak, a szabályzatban foglaltaknak megfelelően kezeljék.
IX. AZ ADATOK FELHASZNÁLÁSA
A Montana Tours Kft. által kezelt adatok kizárólag az Info tv., az Mt. és más jogszabályok rendelkezéseinek megfelelően használhatók fel.
Számítástechnikai, távközlési eszközök és programok helyességének ellenőrzésére, felhasználók betanítására, illetve oktatási célra valós személyi adatokat felhasználni nem lehet.
A Montana Tours Kft. által kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha azt törvény rendeli el.
Statisztikai célú adatfelhasználás hozzájárulás nélkül lehetséges, de csak olyan módon, hogy az adatok személyazonosításra nem alkalmas módon kerülnek rögzítésre.
X. ADATSZOLGÁLTATÁS
Amennyiben az Adatelkezlőhöz adatszolgáltatási igény érkezik, úgy a következők szerint kell eljárni:
Az adatszolgáltatási igény jogalapját és célját ellenőrizni kell.
Amennyiben az adatszolgáltatási igény nem tartalmazza a jogalap és a cél megjelölését, úgy hiánypótlásra kell felhívni az igénylőt. A hiánypótlás eredménytelensége esetén az igénylést el kell utasítani.
Hiánypótlás szüksgételensége vagy annak teljesítése esetén az adatszolgáltatási igénylésben megjelölt jogszabályhelyet ellenőrzni kell.
Amennyiben a megjelölt jogszabályhely az igénylőt nem jogosítja fel az adatszolgáltatási igénylésre, úgy hiánypótlásra kell felhívni az igénylőt. A hiánypótlás eredménytelensége esetén az igénylést el kell utasítani.
Jogszabályi felhatalmazás fennállása esetén az adatszolgáltatási igénylésben megjelölt célt meg kell vizsgálni.
Amennyiben az adatigénylés túlterjeszkedik a szükséges mértéken, úgy a célhoz kötöttségnek megfelelő adatokat lehet csak kiadni, az azon felüli adatigénylést el kell utasítani. Amennyiben az adatigénylés megfelel a célhoz kötöttség elvének, úgy az abban foglaltaknak megfelelően kell az adatkérést teljesíteni.
ADATKEZELÉSI NYILVÁNTARTÁS, ADATTÁROLÁS, ADATBIZTONSÁG
1.Adatkezelési tevékenységek nyilvántartása
Az Adatkezelő adatkezelési tevékenységeiről nyilvántartást vezet. A nyilvántartás tartalmazza a) az Adatekezlő nevét és elérhetőségét, b) az adatekezelés célját, c) az adatekezlés jogalapját, d) az érintettek kategóriáit, e) a kezelt személyes adatokat, f) azon címzettek kategóriáit, akikkel a személyes adatokat közlik vagy közölni fogják.
A nyilvántartásban haladéktalanul rögzíteni kell a bevezetett meglévő és új adatkezeléseket, és a korábbi adatkezelések változásait, míg a megszűnt adatkezeléseket törölni kell a nyilvántartásból.
Az adatkezelést végző személy a Montana Tours Kft. szervezetén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért.
2. Az adatok tárolása
2.1. A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek – ideértve azon munkavállalókat is, akik nem jogosultak ezen adatok megismerésére, kezelésére – ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával történik a kezelt adatok biztonságos tárolása.
2.2. Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.
2.3. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani. Elektronikus adathordozók (merevlemezek, nyomtatók, SIM kártyák, mobileszközök, telefonok, PDA-k, Tablet-ek, laptopok, stb.) esetében a selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni, illetve selejtezni.
3. Automatizált adatfeldolgozás
A személyes adatok automatizált feldolgozása során biztosítani kell:
a jogosulatlan adatbevitel megakadályozását;
a rendszerek jogosulatlan személyek általi használatának megakadályozását;
a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát.
A fizikai biztonság megteremtéséhez az alábbi intézkedéseket szükséges megtenni:
Az adathordozó eszközök elhelyezésére szolgáló helyiségeket (épületeket, épületrészeket) úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen.
Azokba a helyiségekbe, ahol adatkezelés folyik, a személyek belépését - a minősítéstől függően - korlátozni és ellenőrizni kell. A belépésre adott felhatalmazásnak összhangban kell lennie az adott személy munkaköri feladataival, illetőleg az ott kezelt adatokhoz történő hozzáférési jogosultságával.
Annak érdekében, hogy lecsökkenjen a jogosulatlan hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidőben, mind azon kívül a papíranyagokat és a számítógépek adathordozóit megfelelő, zárható szekrényben kell tárolni, valamint a személyi számítógépeket, amikor felügyelet nélkül maradnak, jelszavakkal vagy más óvintézkedésekkel kell védeni.
4. Manuális kezelésű adatok
A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:
Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni.
A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá.
A manuális kezelésű iratok archiválását rendszeres időközönként el kell végezni, és a meghatározott adatkezelési határidő elteltével haladéktalanul át kell adni megsemmisítésre.
5. Munkavállalói adatbiztonsági kötelezettségek
Aki a személyes adat és az üzleti titkot képező adat megismerésére jogosult:
köteles a személyes adatok és üzleti titok védelmére vonatkozó rendelkezéseket, valamint a jelen Szabályzatban meghatározott előírásokat megismerni, valamint ezen előírásokat alkalmazni;
a tudomására jutott személyes adatot és üzleti titkot az érvényességi időn belül illetéktelen személynek át nem adhatja, illetve nem hozhatja illetéktelen tudomására vagy nyilvánosságra (titoktartási kötelezettség);
köteles a hozzáférési jog megszűnésekor – ideértve a munkaviszony megszűnésének eseteit is – az üzleti titokká minősített adatot és személyes adatot tartalmazó minden nála lévő adathordozót a ……………….Kft.-nek, mint az adattal rendelkező jogosultnak, illetve Adatkezelőnek haladéktalanul átadni.
Aki üzleti titok, illetve személyes adat birtokába jut, köteles a titkot időbeli korlátozás nélkül megtartani.
Az üzleti titkot, személyes adatot nem lehet visszaélésszerűen felhasználni, így különösen tilos a…….. Kft. feladatkörén kívül a munkavállaló saját vagy más személyes, illetve üzleti céljainak, közvetlen vagy közvetett előnyök elérésére, valamint az Adatkezelő vagy ügyfeleinek megkárosítására használni.
XII. TITOKTARTÁSI KÖTELEZETTSÉG
A ……...-vel munkavégzésre irányuló jogviszonyban lévő személyek kötelesek jelen szabályzat, továbbá a hatályos jogszabályok szerint a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül megőrizni. A munkavállalók kizárólag a munkaköri leírásban meghatározott feladatkörükön belül ismerhetik meg az ilyen adatokat. E titoktartás nem terjed ki a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettségre.
Az adatbiztonság személyi feltételeinek kialakítása tekintetében minden olyan munkavállkalót, aki feladatai ellátása során személyes adatot vagy üzleti titkot kezel, megfelelő felkészítésben, oktatásban kell részesíteni.
Minden személyes adatot, üzleti titkot tartalmazó rendszerhez való hozzáférésre feljogosított munkavállaló köteles titoktartási kötelezettség vállalást tenni. A kötelezettség vállalásban nyilatkozni kell arról, hogy a munkavállaló jelen szabályzat rendelkezéseit megismerte, azokat magára nézve kötelezőként elismeri, a szükséges titokvédelmi ismereteket elsajátította, valamint a személyes adatok védelméhez fűződő jog és az üzleti titok megsértésének mind büntetőjogi, mind polgári jogi következményeivel tisztában van.
Az Adatkezelő a szabályzat elfogadását követően oktatást tart a munkaválallók számára annak érdekében, hogy a szabályzatban foglaltakat megismerhessék, a rájuk vonatkozó kötelezettségekkel és az őket megillető jogokkal tisztában legyenek.
Szeged, 2018. május 16.
Olasz Imola
cégjegyzésre jogosult személy, ügyvezető