GDPR

  1. rész – Általános rendelkezések

1.§ E szabályzat célja, hogy biztosítsa az adatvédelemmel kapcsolatos jogoknak és az adatbiztonság követelményeinek az érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát, rendelkezzen az adatvédelmi incidensek bekövetkezése esetében követendő eljárási szabályokról.

2.§ (1) A szabályzat hatálya kiterjed a Garota  kft-nél folytatott személyes adatokat tartalmazó adatkezelésre, a közjegyzői hatáskörbe tartozó nem peres eljárásokkal kapcsolatos adatkezelés kivételével.

  1. rész – A személyes adatok kezelése

3.§ (1) A Garota kft-nél folytatott adatkezelések tekintetében az adatkezelő az ügyvezető
(a továbbiakban: adatkezelő).

(2)Az adatkezelőnél személyes adat csak az információs önrendelkezési jogról és az információ-szabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról. Továbbá a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) rendelkezéseivel összhangban kezelhető, a cél eléréséhez szükséges minimális mértékben és ideig. Ha az adatkezelés célja megszűnt vagy az adatok kezelése egyébként jogellenes, az adatokat törölni kell.

4.§ Az érintettel az adat felvétele előtt közölni kell az adatkezelés célját, valamint azt, hogy az adatszolgáltatás önkéntes vagy kötelező, továbbá hogy az adatszolgáltatás elmaradása milyen jogkövetkezménnyel jár. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. A tájékoztatásnak ki kell terjednie különösen az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ez a tájékoztatás írásban, valamint az adatkezelő honlapján elhelyezett közlemény formájában is történhet.

5.§ Az adatkezelőnél adatkezelést végző munkavállalók kötelesek az általuk megismert személyes adatokat hivatali titokként megőrizni. Ilyen munkakörben csak az foglalkoztatható, aki titoktartási nyilatkozatot tett.

6.§ Az adatkezelő által végzett adatkezelés biztonságát a következő technikai és szervezési intézkedések garantálják:

  1. a) az elektronikusan tárolt személyes adatokhoz csak a munkakörükre tekintettel erre feljogosított munkavállalók férhetnek hozzá, belépési jelszavuk megadását követően;
  2. b) rendszeres mentések;
  3. c) a munkavállalók által tett titoktartási nyilatkozat;

7.§ Minden olyan személyes adatkezelés esetében, amely nem jogszabályi rendelkezésen alapul, és a GDPR 6. cikk (1) bekezdés b), d) vagy f) pontja alapján nincs jogalap az adatkezelésre, az adatkezelés megkezdése előtt az érintett kifejezett hozzájárulását kell kérni.

8.§ Az adatkezelés során a személyes adatot a jogszabályban, kifejezett jogszabályi rendelkezés hiányában pedig a (2) bekezdésben meghatározott ideig lehet kezelni.

9.§ Az adatkezelő jogosult kezelni a munkavállalói munkavégzésével összefüggő személyes adatait. Ezen személyes adatok biztonságának megóvása érdekében a papíralapú iratokat zárt szekrényben kell tárolni.

{ha van kamerarendszer}

10.§ Az adatkezelő irodájában a GDPR 6. cikk (1) bekezdés f) pontja alapján vagyonvédelmi és ellenőrzési célból elektronikus megfigyelőrendszert (kamerákat) üzemeltet. Erről az iroda bejáratánál jól látható tájékoztatást kell elhelyezni. A munkavállalókat az elektronikus megfigyelőrendszer által rögzített személyes adatok kezelésére vonatkozó jogszabályi rendelkezésekről az adatkezelő tájékoztatja. A tájékoztatás a munkaszerződéstől független dokumentumban történik, amelynek megtörténtét a munkavállalók e dokumentum aláírásával tanúsítják. 

{ha van hivatali gépjármű és abban GPS nyomkövető}

11.§ Az adatkezelő tulajdonában álló gépjárművek GPS nyomkövető szerkezetei által a munkaidőben történő használat alatt rögzített személyes adatokba az adatkezelő jogosult betekinteni. A GPS nyomkövető szerkezet által munkaidőn kívüli használat esetén nem gyűjthető személyes adat.

{ha van taxi kártya}

Az adatkezelő nevére szóló és a munkavállalók rendelkezésére bocsátott taxi kártyák használata során a személyszállítást végző és szervező gazdálkodó szervezetek rögzítik az utazáshoz kapcsolódó személyes adatokat, melyeket az adatkezelőnek megküldenek, ezekbe az adatkezelő jogosult betekinteni. A munkavállalók rendelkezésére bocsátott taxi kártyák csak munkavégzés céljából használhatóak.

{ha van hivatali mobiltelefon}

12.§  Az adatkezelő által a munkavállaló részére biztosított hivatali mobiltelefon jelkóddal használható. A munkavállaló köteles gondoskodni arról, hogy a munkavégzéssel összefüggésben tudomására jutott, a hivatali mobiltelefonon tárolt személyes adatokhoz, valamint a jelkódjához illetéktelenek ne férhessenek hozzá. A hivatali mobiltelefon ellopását, elvesztését a munkavállaló köteles haladéktalanul bejelenteni az adatkezelőnek.

{ha van hivatali laptop}

Az adatkezelő által a munkavállaló részére biztosított hivatali laptop jelszóval használható. A munkavállaló köteles gondoskodni arról, hogy a munkavégzéssel összefüggésben tudomására jutott, a hivatali laptopon tárolt személyes adatokhoz, valamint a jelszavához illetéktelenek ne férhessenek hozzá. Ennek érdekében köteles a készüléket kikapcsolni vagy képernyőzárral lezárni, amikor nem használja. Nyilvános helyen nem lehet hivatali ügyet intézni úgy, hogy illetéktelen személy ráláthat a gépre. Nyilvános wifi-hálózathoz csatlakozva nem lehet hivatali ügyet intézni, kivéve, ha a munkavállaló virtuális magánhálózathoz (VPN) is csatlakozik. A hivatali laptop ellopását, elvesztését a munkavállaló köteles haladéktalanul bejelenteni az adatkezelőnek.

Az adatkezelő irodájában a munkavállaló által használt személyi számítógép jelszóval használható. A munkavállaló köteles gondoskodni arról, hogy a munkavégzéssel összefüggésben tudomására jutott, a személyi számítógépen tárolt személyes adatokhoz, valamint a jelszavához illetéktelenek ne férhessenek hozzá. Ennek érdekében köteles a készüléket kikapcsolni vagy képernyőzárral lezárni, amikor nem használja, különösen, amikor nem tartózkodik az irodájában.

A munkavállalók részére biztosított hivatali mobiltelefon, hivatali laptop és személyi számítógép munkavégzés céljára használható. Amennyiben a munkavállaló a hivatali mobiltelefonon, hivatali laptopon, illetve személyi számítógépen saját személyes adatait tárolja, a személyes adatainak az eszközön való elhelyezésével tudomásul veszi, hogy azokhoz az adatkezelő hozzáférhet.

Az előző bekezdésben foglaltak megsértése esetén adatkezelőnek a munkavállaló minősül, az adatkezelő vonatkozásában megállapított kötelezettségek, valamint az ezzel kapcsolatos felelősség őt terhelik.

13.§  A munkavállaló köteles e-szignó kártyáját úgy tárolni, hogy elvesztésének, eltulajdonításának kockázata minimális legyen. Az e-szignó kártya és a használatához szükséges kódok (PIN, PUK) nem tárolhatók ugyanazon a helyen.

A munkavállaló nem hagyhat az asztalán személyes adatot tartalmazó iratot, amikor nem tartózkodik az irodájában.

Az adatkezelő az érintett hozzájárulásával rögzítheti a beérkező telefonhívásokat.

14.§  Az adatkezelőnél történt minden adattovábbításról nyilvántartást kell vezetni, amely tartalmazza az Infotv. 15. § (2) bekezdésében foglaltakat.

Az adattovábbítási nyilvántartásban tárolt adatok személyes adatot érintő adattovábbítás esetén 5 év, különleges adatot érintő adattovábbítás esetén 20 év elteltével törölhetők.

15.§ Az adatkezelőn kívüli, a (2) bekezdésben nem említett jogi személytől vagy természetes személytől érkező, adattovábbításra irányuló megkeresés csak akkor teljesíthető, ha az érintett erre írásban felhatalmazza az adatkezelőt. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és a megkereséssel élő jogi vagy természetes személyek meghatározott körére.

(2) Az érintett nyilatkozattételétől függetlenül teljesíteni kell a büntető ügyekben eljáró hatóságoktól (rendőrség, bíróság, ügyészség), valamint a nemzetbiztonsági szolgálatoktól érkezető megkereséseket.

(3) A nemzetbiztonsági szolgálatoktól érkező megkeresésről, annak tényéről, tartalmáról, a megtett intézkedésről a megkereséssel érintett, illetőleg más szerv vagy személy nem tájékoztatható.

16.§ Az adattovábbításról – amennyiben az elektronikusan vezetett nyilvántartásból kerül teljesítésre – a nyilvántartás vezetésére szolgáló informatikai alkalmazás a nyilvántartásra vonatkozó jogszabályi rendelkezések szerinti naplót vezet.

(2) A napló adatait azok keletkezésétől a nyilvántartásra vonatkozó jogszabályban előírtak szerinti ideig kell megőrizni, és biztosítani kell az azok megismeréséhez szükséges technikai eszközöket.

17.§ Az adatkezelő a rendelkezésre álló adatok alapján megvizsgálja az adattovábbítás feltételeinek fennállását, a megkeresés teljesíthetőségét, szükség esetén további tájékozódást végez.

(2)A megkeresés teljesíthetőségéről az adatkezelő az elektronikus ügyintézés, valamint a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény szerinti együttműködő szerv (a továbbiakban: együttműködő szerv) megkeresése esetében 3, egyéb esetben 15 napon belül dönt. Együttműködő szerv az adattovábbítás megtagadása esetén egyeztetést kezdeményezhet, amelyet 3 napon belül kell lefolytatni.

(3) Amennyiben az adattovábbítás feltételei fennállnak, az adatokat a megkeresést benyújtó szerv vagy személy rendelkezésére kell bocsátani. Az adatok átadásával kapcsolatban felmerült költségeket a megkeresést benyújtó szerv vagy személy viseli.

18.§ Személyes adatoknak az Európai Unión kívüli országba vagy nemzetközi szervezet részére történő továbbítása a GDPR vonatkozó rendelkezéseinek megfelelően, az adatkezelő jóváhagyásával történhet.

19.§  Az adatkezelő által végzett, jelen szabályzat hatálya alá tartozó személyes adatokat érintő adatkezelési tevékenységekről adatkezelési nyilvántartást kell vezetni.

(2) Az adatkezelési nyilvántartás nem nyilvános, abba az adatkezelő, valamint a GDPR szerinti feladatainak ellátása során a felügyeleti hatóság tekinthetnek bele.

(3) Az adatkezelési nyilvántartást az adatkezelő elektronikus úton vezeti.

(4) Az adatkezelő köteles gondoskodni az általa végzett személyes adatkezelést érintő változásoknak az adatkezelési nyilvántartásban történő haladéktalan átvezetéséről.

20.§ Az adatkezeléssel kapcsolatos, a GDPR 15-22. cikke szerinti jogainak gyakorlásával összefüggő kérelmet az érintett írásban vagy elektronikus úton, az adatkezelőnek címezve terjesztheti elő.

(2) A kérelemről az adatkezelő a beérkezésétől számított egy hónapon belül az adatvédelmi tisztviselővel történt egyeztetést követően dönt, és tájékoztatja, az érintettet a kérelem nyomán hozott intézkedésekről vagy amennyiben intézkedés nem történik, ennek okáról, a felügyeleti hatósághoz panasz, illetve a bírósághoz jogorvoslat benyújtásának lehetőségéről.

  1. § Az adatvédelmi tisztviselő közvetlenül az adatkezelőnek felelős.

(2) Az adatvédelmi tisztviselő feladatainak ellátásával kapcsolatban utasításokat senkitől sem fogadhat el.

(3) Az adatvédelmi tisztviselő számára lehetővé kell tenni, hogy a személyes adatok kezelésével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(4) Az adatvédelmi tisztviselő a feladatai ellátása során tudomására jutott információkkal kapcsolatban titoktartásra köteles. E kötelezettség az adatvédelmi tisztviselőt e tisztségének megszűnését követően is terheli.

III. rész – Az adatvédelmi incidensek kezelése

22.§ Adatvédelmi incidens (a továbbiakban: incidens) bekövetkezése esetében az ezt észlelő munkavállaló haladéktalanul, de legkésőbb annak észlelésétől számított 24 órán belül köteles jelezni az incidenst e-mailben vagy telefonon az adatkezelőnek.

(2) Az incidenst az adatkezelő haladéktalanul, az adatvédelmi tisztviselő bevonásával kivizsgálja abból a szempontból, hogy az valószínűsíthetően jár-e kockázattal a természetes személyek jogaira és szabadságaira nézve.

(3) Amennyiben a (2) bekezdés szerinti kivizsgálás eredménye alapján az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve,

  1. a) legkésőbb 72 órával az incidens észlelését követően az adatkezelő elektronikus úton, a GDPR 33. cikk (3) bekezdése szerinti tartalommal bejelenti az incidenst a felügyeleti hatóságnak,
  2. b) az incidens kezelése érdekében megteszi a szükséges technikai, illetve szervezeti intézkedést.

(4) Amennyiben a (2) bekezdés szerinti kivizsgálás eredménye alapján az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a (3) bekezdésben foglalt intézkedéseken túl az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintett az incidensről, kivéve, ha a GDPR 34. cikk (3) bekezdésében meghatározott feltételek bármelyike fennáll.

23.§ Az incidensekről az adatkezelő elektronikus nyilvántartást vezet, amelyben feltünteti az incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

 

  1. rész – Záró rendelkezések

24.§ Jelen szabályzat 2018. május 25. napján lép hatályba.

25.§ A jelen szabályzatban nem szabályozott kérdések tekintetében a GDPR és az Infotv. rendelkezései alkalmazandók.