hun-HU

Adatvédelmi és adatbiztonsági szabályzat

Adatvédelmi és adatbiztonsági szabályzat

 

Belső adatvédelmi és adatbiztonsági szabályzat

 1. Bevezetés

 

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban „adatvédelmi törvény”) 24. § (1) bekezdése alapján – többek között – a biztosító társaságok kötelesek belső adatvédelmi felelőst kinevezni vagy megbízni. A belső adatvédelmi felelős a törvény alapján

  • közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
  • ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
  • kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
  • elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;
  • vezeti a belső adatvédelmi nyilvántartást;
  • gondoskodik az adatvédelmi ismeretek oktatásáról.

 

Ezen dokumentum a törvény előzőekben idézett „d” pontjában szereplő adatvédelmi és adatbiztonsági szabályzatot testesíti meg.

 

1.1         Személyi hatály

 

A szabályzat hatálya a Coface Hungary Credit Management Services Kft., a Coface Austria Fióktelepe, valamint a Coface Hungary Services Kft. (a továbbiakban együttesen: Coface Hungary vagy Társaság) valamennyi munkavállalójára kiterjed.

 

2. Cél

 

Jelen szabályzat célja, hogy a Társaságnál kezelt személyes adatok tekintetében biztosítsa az adatvédelemre, az adatbiztonságra vonatkozó jogszabályi és működési követelmények betartását.

Ennek érdekében megfogalmazza azokat a szabályokat és eljárásokat, melyeket a Társaság folyamataiban a személyes adatok kezelése során be kell tartani.

 

3. Meghatározások

 

E szabályzat alkalmazása során:

 

  • érintett: bármely meghatározott, személyes adat alapján azonosított vagy –közvetlenül vagy közvetve – azonosítható természetes személy;
  • személyes adat: bármely meghatározott (azonosított vagy - közvetlenül vagy közvetve - azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintett akkor tekinthető azonosíthatónak, ha őt név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret alapján azonosítani lehet;
  • különleges adat:
    • a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat;
    • az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
  • bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
  • közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső adat;
  • közérdekből nyilvános adat: minden olyan, természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet kezelésében lévő vagy rá vonatkozó, a közérdekű adat fogalma alá nem tartozó adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
  • hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
  • tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
  • adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó öntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;
  • adatkezelés: az alkalmazott eljárástól függetlenül, az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is;
  • adattovábbítás: az adat meghatározott harmadik személy számára hozzáférhetővé tétele;
  • nyilvánosságra hozatal: az adat bárki számára hozzáférhetővé tétele;
  • adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
  • adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
  • adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
  • adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
  • adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;
  • adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelővel kötött szerződés alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi;
  • adatállomány: az egy nyilvántartásban kezelt adatok összessége;
  • harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;
  • harmadik ország: minden olyan ország, amely nem minősül EGT-államnak.

 

4. Alkalmazási terület

 

A szabályzat vonatkozik:

 

  1. A Coface Hungary minden részegységére, minden alkalmazottjára és a Társasággal kapcsolatba kerülő minden vállalkozóra, megbízottra.
  2. A Társasággal kapcsolatba kerülő minden természetes személy pl. ügyfél, alkalmazott és vállalkozó személyes adataira.

 

A szabályozás 2012.04.28-tól lép hatályba és vonatkozik a már meglévő adatok kezelésére is. Az e szabályzatban foglaltakat valamint az itt külön ki nem emelt előírásokat az adatvédelmi törvényben lefektetettek egyidejű betartása mellett kell alkalmazni!

 

5 Alkalmazandó egyéb dokumentumok

 

  1. Az információs önrendelkezési jogról és az információszabadságról szóló 2011.évi CXII. tv.
  2. A biztosítókról és a biztosítási tevékenységről szóló 2003. évi LX. tv. (Bit.)
  3. Az információ biztonsági szabályzat

 

 

6. Belső adatvédelmi és adatbiztonsági szabályzat

 

6.1 Adatok beszerzése

 

Személyes adat kizárólag az érintett hozzájárulásával, illetőleg jogszabályi felhatalmazás alapján kezelhető. Különleges adat kizárólag az érintett írásos hozzájárulásával vagy törvényi felhatalmazás alapján kezelhető. Ezen szabályok megsértése büntetőjogi következményekkel járhat. Az érintettel az adatkezelés megkezdése előtt tájékoztatni kell az adatkezelés jogalapjáról és az őt az adatkezeléssel összefüggésben megillető jogairól. Az ügyfeleknek szerződéskötés előtt átadandó adatvédelmi tájékoztató jelen szabályzat 1. sz. mellékletét képezi. Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna a Társaság részére, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Ha a személyes adat felvételére az érintett hozzájárulásával került sor, a Társaság a felvett adatokat a törvény eltérő rendelkezésének hiányában a Társaságra vonatkozó jogi kötelezettségek teljesítése céljából, vagy a Társaság vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának hiányában is kezelheti.

 

6.2 Adatok felhasználása

 

Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Ez a Coface Hungary ügyfélkapcsolatai vonatkozásában elsősorban az ajánlatok felvételével, a biztosítási szerződések létrehozásával és azok teljesítésével kapcsolatos adatkezelést jelenti. Az adatkezelés minden szakaszában meg kell felelni az adatkezelés céljának, az adatok felvételének és kezelésének pedig tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat – és csak a cél megvalósulásához szükséges mértékben és ideig – kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljához szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljából szükséges ideig lehessen azonosítani. Személyes adatokat az érintett engedélye nélkül - a jogszabályokban meghatározott kivételektől eltekintve - nem szabad harmadik félnek továbbadni.

 

6.3 Adatok tárolása

 

Az adatokat védeni kell a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az adatokat csak zárral védett és lezárt szekrényben szabad tárolni. Abban az esetben, ha a helyiség, ahol az adatokat tárolják direkt erre a célra lett kialakítva (pl. archív vagy szerver szoba) elégséges a helyiség ajtaját vagy egy mechanikus berendezéssel (pl. zár), vagy egy elektronikus berendezéssel (pl. kártyaolvasó és elektronikus ajtónyitó) biztosítani. Az ajtót a be- vagy kilépés idejét kivéve mindig zárva kell tartani! ( az IBSZ 5.4 pontja „A berendezések biztonsága”  )

A személyes adatok elektronikus feldolgozása során biztosítani kell - a jogosulatlan adatbevitel és a rendszerben tárolt adatokhoz illetéktelenek általi hozzáférés megakadályozását;

- annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával kinek továbbították vagy továbbíthatják;

- annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerbe;

- a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát;

- azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

 

6.4 Adatok bejuttatása a tárolási rendszerbe

 

Adatokat csak az arra kijelölt, megfelelő ismeretekkel rendelkező, jogosult személy vihet be a rendszerbe. A jogosultságot a munkáltatói jogkört gyakorló személy határozza meg, illetve az, akit e tekintetben a munkáltatói jogkört gyakorló személy felhatalmaz. Minderről írásban kell rendelkezni minden esetben. A bevitel/elhelyezés történhet elektronikus úton (pl. begépelés bizonylatról az adatbázisba), vagy nem elektronikus dokumentumok esetében mechanikusan a rendező elvnek megfelelő elhelyezéssel, pl. egy adattároló szekrénybe.

Az adatbevitel/elhelyezés során, amely történhet kézzel, papíron, elektronikusan vagy más egyértelműen visszakövethető eljárás keretében a következő adatokat kell minimálisan feljegyezni:

 

  1. Az adatbevivőt egyértelműen azonosító adatot (név, beosztás, szervezeti egység).
  2. Ez történhet direkt vagy indirekt módon. Indirekteset pl. elektronikus adatfeldolgozásnál a felhasználónév automatikus bejegyzése, amikor is a felhasználót az egyéb már tárolt adatokkal együtt ez egyértelműen azonosítja. Így nem szükséges az informatikai rendszerben a többi adatot minden egyes hozzáférésnél redundánsan rögzíteni.
  3. Mikor történt az adatbevitel (Dátum, óra, perc).
  4. Mely adat került bevitelre. Egyértelmű meghatározás kell, ami alapján egy hozzáértő személy bármikor be tudja azonosítani az adatot.
  5. Az adatbevivő aláírása (csak nem informatikai adatbevitel esetében).
  6. Az adatátvevő aláírása (csak nem informatikai adatbevitel esetében).

  

6.5 Hozzáférés az adatokhoz

 

Az adatokhoz csak az arra jogosult és kijelölt személy férhet hozzá. A hozzáférési jogosultságokat pontosan dokumentálni kell. Ez történhet kézzel, papíron, elektronikusan vagy más egyértelműen visszakövethető eljárás keretében. A minimálisan feljegyzendő adatok a következők:

  1.                        1.     Ki férhet hozzá az adatokhoz (név, beosztás, szervezeti egység)
  2.                        2.     Mely adatokhoz (adatkörökhöz) lehet hozzáférés.
  3.                        3.     Mely célból lehet az adatokhoz hozzáférni

 

Annyira pontos leírás szükséges, hogy egy hozzáértő személy bármikor el tudja dönteni az indok helytállóságát. Egy-egy adatkörhöz való hozzáférés jogának megadását az adatgazdának minden esetben jóvá kell hagynia.

 

6.6 Másolat készítése az adatokról

 

Másolat készítése esetén a „Hozzáférés az adatokhoz” fejezet dokumentálási kötelezettségét minden esetben be kell tartani! Másolatot csak indokolt esetben szabad készíteni. Célszerű erre használni a legközelebbi fénymásolót vagy scannert. A dokumentum helyiségből történő kivitelét lehetőség szerint el kell kerülni!

 

6.7 Eljárás nem elektronikus (pl. papír) alapú adathordozók megsemmisülése, megrongálódása esetében

 

A megrongálódás, megsemmisülés tényét annak felfedezését/megtörténtét követő 3 munkanapon belül jegyzőkönyvben kell rögzíteni. A jegyzőkönyv elkészítése az adott adat adatgazdájának feladata.

A jegyzőkönyvnek minimálisan a következőket kell tartalmaznia:

  1. Az adat és a hordozó olyan egyértelmű beazonosítását, ami alapján egy hozzáértő személy bármikor be tudja azonosítani az adatot.
  2. Az esemény lehető legpontosabb leírását.
  3. Az esemény történésének vagy felfedezésének idejét.
  4. A felfedező és az előidéző adatait (név, beosztás, szervezeti egység).
  5. A követett eljárást és annak az eredményét az adatrekonstrukció tekintetében.
  6. Az adatgazda és felettesének az aláírása.
  7. A jegyzőkönyv felvételének helye és ideje.

 

A megrongálódott adathordozót amennyire lehet, helyre kell hozni és arról egy hiteles másolatot kell készíteni (pl. fénymásolat, adattartalmának átvezetése vagy egyéb megfelelő módszer segítségével). Ezt a helyreállított példányt kell a jegyzőkönyv egy másolatával együtt elhelyezni az eredeti helyett a megfelelő tartóban. Az eredeti jegyzőkönyv az adatgazdánál marad. Egy példányt kap megőrzésre az adattárolásért felelős.

 

6.8 Adathordozók és adatok selejtezése

 

Az adathordozók és adatok selejtezését a Coface Hungary Kft. Iratkezelési szabályzatában foglaltaknak megfelelően kell elvégezni.

  

6.9 Az érintettek jogai és érvényesítésük

 

1. Tájékoztatás kérése Az érintett bármely formában előterjesztett kérelmére az adatkezelő 30 napon belül, írásos formában, közérthető módon tájékoztatást ad az általa az érintett vonatkozásában kezelt, feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, illetve – amennyiben az adatok továbbításra kerültek – az adattovábbítás címzettjéről és jogalapjáról.

A tájékoztatás naptári évente egyszer ingyenesen adandó. További tájékoztatásokért költségtérítés állapítható meg, kivéve, ha a tájékoztatás kérése helyesbítéshez vezetett, illetőleg ha az adatkezelés jogellenesnek bizonyul.

Az érintett tájékoztatását – indoklással – kizárólag a törvényben meghatározott esetekben lehet megtagadni. A tájékoztatás megtagadása esetén a Társaság írásban közli az érintettel, hogy a felvilágosítás megtagadására e törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén a Társaság tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről. Az elutasított kérelmekről a Társaság a Hatóságot évente a tárgyévet követő év január 31-éig értesíti. Az érintett tájékoztatást kérhet arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. A belső adatvédelmi felelős köteles vezetni egy adattovábbítási nyilvántartást, amely a következőket tartalmazza:

  • az adattovábbítás dátuma,
  • az érintett beazonosításához szükséges adatok
  • az adattovábbítás célja
  • az adattovábbítás jogalapja
  • az átadott adatok köre, az adattovábbítás címzettje.

 

7. Helyesbítés

 

Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat

rendelkezésre áll, az adat helyesbítendő. Az adatot meg kell jelölni, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helyessége vagy pontossága nem állapítható meg egyértelműen.

 

8. Törlés

 

A személyes adatot törölni kell, ha

  • kezelése jogellenes;
  • az érintett ezt kérelmezi és arra a szerződéses jogok és kötelezettségek teljesítéséhez nincs elengedhetetlenül szükség;
  • az hiányos vagy téves és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki;
  • az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
  • azt bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatósága (Hatóság) elrendelte.

 

9. Zárolás

 

Törlés helyett a személyes adat zárolandó, ha az érintett ezt kéri, vagy ha a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, amíg fennáll az az adatkezelési cél, amely a személyes adat törlését kizárja. A helyesbítésről, a zárolásról és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek az adatot korábban adatkezelés céljából továbbították. (Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.) Ha az érintett helyesbítés, zárolás vagy törlés iránti kérelme nem teljesíthető, akkor a kérelem kézhezvételét követő 30 napon belül az érintettel írásban közölni kell a helyesbítés, zárolás vagy törlés iránti kérelem elutasítását és annak ténybeli és jogi indokait. Ebben az esetben az érintettet tájékoztatni kell a bírósági jogorvoslat, továbbá a Hatósághoz való fordulás lehetőségéről.

 

10. Nyilvánosságra hozatal

 

A Társaság szervezeti egységein belül kezelt személyes adatok nyilvánosságra hozatala — kivéve, ha arra az érintett felhatalmazást ad, illetve ha azt törvény rendeli el — tilos. A Társaság munkavállalóival, szállítóival, illetve ügyfeleivel kapcsolatos — személyes adatokon is alapuló — összesített statisztikai adatok közölhetőek, amennyiben azokból nem ismerhető fel az, akire az adat vonatkozik. Az adat közlése előtt az adat közlője köteles meggyőződni arról, hogy a közölt adatok alapján nem lehetséges természetes személyek azonosítása. Kétség esetén köteles írásos véleményt kérni az Adatvédelmi felelőstől.

 

11. Közérdekű vagy közérdekből nyilvános adatok közlése

 

A Társaságon kívüli szervtől vagy magánszemélytől érkező, adatközlésre irányuló megkeresés törvényi elrendelés nélkül csak akkor teljesíthető, ha az érintett erre írásban felhatalmazza a Társaságot. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra, célra és a megkereséssel élő szervek meghatározott körére. A felhatalmazást az adatvédelmi felelős őrzi meg, és ő gondoskodik az adatok közléséről. A felhatalmazásokat az adatvédelmi felelős őrzi az adatkezelés megszűnésétől számított 5 évig. Az érintett nyilatkozattételétől függetlenül teljesíteni kell meghatározott hatóságoktól megfelelő felhatalmazás alapján érkező megkereséseket. E szervek megkereséseiről haladéktalanul tájékoztatni kell a Vezető Jogtanácsost és az Adatvédelmi felelőst. Az adatszolgáltatás csak a Vezető jogtanácsos jóváhagyásával teljesíthető. A Vezető jogtanácsos a nemzetbiztonsági szolgálatok adatkeresésre irányuló megkeresése ellen nem halasztó hatályú panasszal fordulhat az illetékes miniszterhez. Az adatszolgáltatásról az adatvédelmi felelős feljegyzést készít.

 

11.10 Adatvédelmi és adatbiztonsági oktatás

 

A Coface Hungary az összes „Alkalmazási Terület” fejezetben érintett alkalmazottja és adatkezelője számára igény szerint, de legkevesebb kétévente, adatvédelmi és adatbiztonsági oktatást tart. Az oktatás dokumentációjaként a résztvevők aláírásukkal ellátják a jelenléti ívet, amit a HR Osztály eredetiben 10 évig megőriz.

 

11.11 Adatvédelmi és Adatbiztonsági szabályzat karbantartása

 

A belső adatvédelmi felelős a jogi osztály vezetőjével közösen felügyelik a jogszabályi változásokat és szükség esetén módosításokat eszközölnek e dokumentumon.

  

11.12 Belső adatvédelmi audit lefolytatása

 

A belső adatvédelmi felelős e dokumentum tárgyában a Coface Hungary bármely részlegénél jogosult, bejelentés és időpont-egyeztetés után adatvédelmi auditot lefolytatni. Az audit eredményéről harminc napon belül írásos jelentést terjeszt elő a cég igazgatósága felé. Konkrét adatvédelmi panasz esetében, a panasz súlyának függvényében a belső adatvédelmi felelős köteles azonnali auditot lefolytatni és annak eredményéről 10 napon belül írásos jelentést készíteni a cég igazgatósága felé. A rendszeres adatvédelmi vizsgálatokról az év elején a belső adatvédelmi felelős jóváhagyás céljából egy javaslatot tesz a cég vezetőségének. Ez a nyilvános és jóváhagyott terv képezi a rendes ellenőrzések ütemtervét

 

11.13 Adatvédelmi nyilvántartás

 

Az adatvédelmi nyilvántartás tartalmazza

  • a hatósági nyilvántartásban szereplő adatokat,
  • a kezelt adatok továbbításának időpontját, a továbbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását;
  • az elvégzett oktatásokat, az oktatott anyag vázlatos leírását, a részvételi lista másolatát;
  • a jóváhagyott éves belső adatvédelmi ellenőrzések tervét, az ellenőrzések jelentéseit és a témában mindenkor aktuális dokumentumok listáját.

 

11.14 Lakossági bejelentések, panaszok során keletkezett dokumentumok védelme

 

  1. A lakossági panaszok, bejelentések során beérkező, aktív kezelésben lévő iratok személyes és különleges adatainak védelme során az Iratkezelési Szabályzatban foglaltak, valamint e Szabályzatban foglaltak az irányadók.
  2. A lakossági panaszok, bejelentések passzív iratanyagait elkülönített, az adatvédelmi és adatbiztonsági előírásoknak megfelelő irattárban kell megőrizni.

 

A nyilvántartást az egyes osztályok vonatkozásában a munkáltatói jogkört gyakorló vezető, valamint a belső adatvédelmi felelős vezeti.

Tetejére
  • Hungarian