1. A szabályzat célja A Szabályzat célja, hogy biztosítsa a személyes adatok alaptörvény szerinti védelmének érvényesülését, az információs önrendelkezés megvalósulását, továbbá, hogy az Adatkezelő által kezelt személyes adatok tekintetében meghatározza az adatkezelés során irányadó adatvédelmi és adatbiztonsági szabályokat.

ENGLISH IS BELOW!

  1. A szabályzat hatálya

Jelen szabályzat hatálya kiterjed a Trans-Sped Kft. teljes egészére, valamennyi szervezeti egységére és az összes foglalkoztatottjára (a továbbiakban: Adatkezelő).

  1. Fogalommagyarázat

A GDPR-ban meghatározott fogalmak, amelyek közül jelen belső szabályzat jellegével összhangban az alábbi fogalmak emelendők ki:

személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

képviselő: az az Európai Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában.

adatkezelő: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.

adatvagyon leltár: az adatkezelő által kezelt személyes adatok körének és jellegének felmérését szolgáló dokumentum.

technikai és szervezési intézkedések: az adatkezelő által az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelően meghatározott eljárásrend annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

 

  1. Az adatkezelés alapelvei

Az Adatkezelő az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzi (jogszerűség, tisztességes eljárás és átláthatóság). Ennek megfelelően Adatkezelő minden esetben megfelelő jogalap szerint, világos, érthető tájékoztatást adva kezeli az adatokat.

 

Az Adatkezelő a személyes adatok gyűjtését csak meghatározott, egyértelmű és jogszerű célból végzi, és azokat nem kezeli ezekkel a célokkal össze nem egyeztethető módon (célhoz kötöttség). Az adatkezelési cél meghatározásakor az Adatkezelő mindig konkrét, egyedi célokat határoz meg.

 

Az Adatkezelő az adatkezelést annak célja(i) szempontjából megfelelően és relevánsan, és a szükségesre korlátozva végzi (adattakarékosság). Ennek megfelelően az Adatkezelő nem gyűjt és nem tárol több adatot, mint amennyi az adatkezelés céljának a megvalósulásához feltétlenül szükséges.

 

Az Adatkezelő adatkezelése pontos és naprakész. Az Adatkezelő minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törlésre vagy helyesbítésre kerüljenek (pontosság).

 

Az Adatkezelő a személyes adatokat olyan formában tárolja, amely az érintettek azonosítását csak az adatkezelés céljainak eléréséhez szükséges ideig teszi lehetővé, figyelemmel a vonatkozó jogszabályokban meghatározott tárolási kötelezettségre (korlátozott tárolhatóság). Az adatkezelési tartam meghatározásakor Adatkezelő mindig az adatkezelési cél szem előtt tartásával dönt.

 

Az Adatkezelő megfelelő, az adatkezelés jellegéhez, a kezelt adatok köréhez igazodó technikai vagy szervezési intézkedések alkalmazásával biztosítja a személyes adatok megfelelő biztonságát, ideértve a személyes adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet (integritás és bizalmas jelleg).

 

Az Adatkezelő felelős a fentiekben részletezett alapelveknek való megfelelésért, továbbá az Adatkezelő igazolja ezen megfelelést (elszámoltathatóság). Ennek értelmében Adatkezelő gondoskodik a jelen belső szabályzatban foglaltak folyamatos érvényesüléséről, dokumentálásáról, adatkezelésének folyamatos felülvizsgálatáról és szükség esetén az adatkezelési eljárások módosításáról, kiegészítéséről.

 

  1. Adatkezelési jogalapok

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben jogalapok egyike teljesül:

  1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (a továbbiakban: hozzájáruláson alapuló adatkezelés);
  2. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (a továbbiakban: szerződésen alapuló adatkezelés);
  3. Az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (a továbbiakban: jogi kötelezettségen alapuló adatkezelés);
  4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (a továbbiakban: létfontosságú érdeken alapuló adatkezelés);
  5. Az adatkezelés az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (a továbbiakban: jogos érdeken alapuló adatkezelés).

Az Adatkezelő munkáltatóként létrehozhat/átadhat olyan címeket, elektronikus és telekommunikációs elérési lehetőségeket adott munkavállalója számára, melyek adott munkakör ellátásához kapcsolódnak kizárólagosan, így ezek harmadik fél részére történő kiadása a gazdálkodás során elengedhetetlen, ezt a jogos érdeken alapuló adatkezelést az érintett munkavállalók a munkaviszony létesítésével, fenntartásával elfogadják.Az Adatkezelő minden, a vele végzett gazdasági tevékenység során kapcsolatba kerülő partner tekintetében a hasonló adatok ilyen jellegű rendezettségét feltételezi, s ezért a partnerektől, vagy a partnerekről bármely módon megkapott hasonló adatokat ezen feltételezés alapján használja, vagyis az érintett természetes személy hozzájárulására ilyen esetben nincs szükség.

Az adatkezelés megkezdése előtt az adatkezeléssel érintett üzleti terület vezetőjének felelőssége az adatkezelés céljának, jogalapjának, a kezelt adatok és az érintettek körének meghatározása, a jogszerű adatkezelés feltételeinek kialakítása figyelemmel a beépített és alapértelmezett adatvédelem követelményeire.

 

  1.  Az adatvagyon leltár/adatkezelési nyilvántartás vezetési kötelezettség

Az Adatkezelő a tevékenysége körében végzett adatkezelésekre vonatkozó, a GDPR és a jogszabályok által előírt kötelezettségeknek megfelelő adatvagyon leltárt készít. Az adatvagyon leltár - többek között - tartalmazza az Adatkezelő által kezelt összes adatkört, az adatkezelés célját, jogalapját, tartamát, az érintettek, az adatok forrásának megnevezését, az adattok tárolásának helyét, módját, a hozzáférési joggal rendelkezők körét, adattovábbítás tényét, valamint az adatfeldolgozók adatait.

 

Adatkezelő adatvagyon leltára elérhető a szervezet belső Intranetes felületén. Az adatvagyon leltár naprakészen tartása az adatkezelési felelős feladata. Új adatkezelések megkezdésekor vagy folyamatban lévő adatkezelési műveletekben történő változáskor tájékoztatni kell őt a módosítandó adatokat illetően.

 

  1. Az érintett jogai és azok érvényesítése

Adatkezelő a GDPR rendelkezéseivel összhangban az alábbiakat biztosítja az érintettek számára:

 

  1. Tájékoztatáshoz való jog

A tájékoztatáshoz való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet. Adatkezelő tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújt tájékoztatást az érintettek számára. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított minimum 3 és maximum 30 napon belül tájékoztatja az érintettet a kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, a 30 napos határidő további 60 nappal meghosszabbítható.

A tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, úgy a Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre ésszerű összegű díjat számíthat fel.

 

  1. Hozzáférés joga

A hozzáférés joga minden adatkezelési jogalap vonatkozásában megilleti az érintettet. Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy az adatkezelés jellegéről részletes tájékoztatást kapjon. Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsáthatja.

 

  1. Helyesbítéshez való jog

A helyesbítéshez való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet. Adatkezelő, az érintett erre irányuló kérelme esetén indokolatlan késedelem nélkül helyesbíti az érintettre vonatkozóan pontatlanul kezelt személyes adatokat. Az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

 

  1. Törléshez (elfeledtetéshez) való jog

A törléshez (elfeledtetéshez) való jog nem illeti meg az érintettet automatikusan, minden jogalaphoz kapcsolódó adatkezelés vonatkozásában, esetről-esetre vizsgálatot igényel a jog fennállása. Az adatok indokolatlan késedelem nélkül törlésére kizárólag a GDPR által meghatározott esetekben szükséges:

  1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. az érintett visszavonja az adatkezelés alapját képező hozzájárulását (hozzájáruláson alapuló adatkezelés esetén), és az adatkezelésnek nincs más jogalapja;
  3. az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre a GDPR-rendelet 17.és 18. pontok szerint alkalmazott adatkezelés jogalapok esetében (közhatalmi jogosítványon alapuló vagy jogos érdeken alapuló adatkezelés)
  4. a személyes adatok jogellenesen kerültek kezelésre;
  5. a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

 

Az érintett törlési kérelmének Adatkezelő akkor nem tesz eleget, ha az adatkezelés szükséges a személyes adatok kezelését előíró, az Adatkezelőre alkalmazandó jogszabályi kötelezettség teljesítéséhez.

Amennyiben Adatkezelőhöz törlési kérelem érkezik, az Adatkezelő első lépésként megvizsgálja, hogy a törlési kérelem valóban a jogosulttól származik-e. Ennek érdekében az Adatkezelő elkérhet az érintettől azonosítására szolgáló adatokat, azonban nem kérhet azonosításként olyan plusz adatot, amelyet az érintettről nem tart nyilván. Amennyiben Adatkezelő eleget tesz a törlési kérelemnek, úgy köteles mindent megtenni annak érdekében, hogy a személyes adat az összes adatbázisból törlésre kerüljön. Adatkezelő a törlésről jegyzőkönyvet vesz fel annak érdekében, hogy a törlés megtörténtét igazolni tudja. A jegyzőkönyvet az a személy(ek) írja(ák) alá, aki(k)nek erre a munkaköri leírása nyomán jogosultsága van. A törlési jegyzőkönyv tartalmazza: az érintett nevét, a törölt személyes adattípust, a törlés időpontját.

 

Adatkezelő tájékoztatja a törlési kötelezettségről mindazokat, akik számára a személyes adat továbbításra került.

  1. Az adatkezelés korlátozáshoz való jog

A korlátozáshoz való jog minden adatkezelési jogalap vonatkozásában megilleti az érintettet.

Adatkezelő az érintett kérésére korlátozza az adatkezelést, ha a GDPR 18. cikkében megjelölt feltételek egyike teljesül

 

  1. Tiltakozás

Adatkezelő az érintett tiltakozás iránti kérelme esetén a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

 

  1. Adathordozhatósághoz való jog

Az adathordozhatósághoz való jog a hozzájáruláson vagy a szerződésen alapuló adatkezelés jogalap esetében illeti meg az érintettet, ha az adatkezelés automatizált módon történik. Adatkezelő biztosítja, hogy érintett a rá vonatkozó, általa az Adatkezelő számára rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá, hogy ezeket az adatokat az érintett egy másik adatkezelőnek továbbítsa.

 

Az érintetteket megillető jogokat az adatkezelési tájékoztatóknak mindig tartalmazniuk kell. Adatkezelő feladata az érintetti jogok érvényesítéséhez szükséges kommunikációs csatornák (e-mail: adatbiztonsagkukactrans-spedponthu) működtetése. Az érintetti jogok megvizsgálására, elbírálása, az érintett felé kommunikáció megtételére jogosult személyt a szervezet ügyvezető igazgatója nevezi ki.

 

  1. Adatkezelési tevékenységek nyilvántartása

Adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről az alábbi nyilvántartásokat vezeti:

a) adattovábbítások nyilvántartása

b) érintetti jogok érvényesítése iránti kérelmek és az arra adott válaszok nyilvántartása

c) hatósági megkeresések és az arra adott válaszok nyilvántartása

d) adatvédelmi incidensek nyilvántartása.

 

A nyilvántartásokat az Adatkezelő írásban vezeti, papír alapon vagy elektronikus formátumban.

 

  1. Adatbiztonsági rendelkezések

Adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Adatkezelő köteles garantálni az általa kezelt adatok bizalmasságát, sérthetetlenségét és rendelkezésre állását. A megfelelő szintű adatbiztonsági intézkedések meghatározása érdekében Adatkezelő a kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából értékel, és biztonsági fokozatba sorol. Az egyes adatkezelések biztonsági fokozatának megállapításához elemezni kell:

  1. a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a várható kárt;
  2. azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét;
  3. azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni;
  4. az adatbiztonságot veszélyeztető más kockázati elemeket;

 

Az adatkezelés biztonsága megvalósítása érdekében az Adatkezelő fizikai, logikai és adminisztratív kontrollokat alkalmaz együttesen.

 

Adatkezelő által alkalmazott fizikai kontrollokat pl. az Adatkezelő a jogosulatlan személyek belépésének kiszűrésére alkalmas beléptetési rendszer működtetésével biztosítja, hogy épületébe/irodájába jogosulatlan személyek ne léphessenek be.

 

Logikai kontroll keretében Adatkezelő biztosítja, hogy az általa kezelt adatokhoz kizárólag az arra megfelelő jogosultsággal rendelkezők férjenek hozzá [jogosultsági szintek meghatározása munkakörönként; számítógépes adatbázisokhoz való hozzáférés jogosultsági szinteknek megfelelő beállítása; a belső számítógépes hálózatba való belépés felhasználó névhez és jelszóhoz kötése; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja]

 

Adatkezelő adminisztratív kontrollokat alkalmazza, amely révén Adatkezelő biztosítja, hogy a személyes adatokhoz való esetleges hozzáférés dokumentációkban nyomon követhető legyen [tevékenység logolás; épületbe/irodába való beengedés naplózása (akár papír alapon);]

 

 

  1. Adatvédelmi incidensek kezelése

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. Adatvédelmi incidens az adatok biztonságának sérülését jelenti, amely az illetéktelen hozzáféréstől, a roncsolódáson át, a megsemmisülésig számos formát ölthet a gyakorlatban.

 

Az adatvédelmi incidens észlelése esetén azonnal tájékoztatni kell az adatkezelési felelős kollégát, aki haladéktalanul intézkedik az esemény körülményeinek feltárása érdekében. Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a hatóságnak a http://naih.hu/adatvedelmi-incidensbejelent--rendszer.html felületen keresztül. Az adatvédelmi incidenst nem kell a hatóságnak bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Amennyiben a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Ha az adatvédelmi incidens hatóság számára történő bejelentése szükséges, úgy a bejelentésben:

  1. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  2. közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhető­ségeit, adatvédelmi tisztviselő hiányában a kapcsolattartásra jogosított kollégát;
  3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  4. ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az érintetteket nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

  1. az Adatkezelő az adatkezelés során megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  2. az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

 

Adatkezelő dokumentálja azon döntését, hogy az incidens jár-e kockázattal a természetes személyek jogaira nézve és szükség van-e a hatóság vagy az érintettek értesítésére.

 

Amennyiben az Adatkezelő adatfeldolgozót alkalmaz, úgy az adatfeldolgozó szerződésben ki kell kötni, hogy az adatfeldolgozó köteles a nála bekövetkezett adatvédelmi incidenst haladéktalanul bejelenteni az Adatkezelőnek az incidens kivizsgálásához szükséges adatokat rendelkezésre bocsátása mellett.

 

  1. Az adatfeldolgozó igénybevételére vonatkozó rendelkezések

Ha az adatkezelést az Adatkezelő nevében más végzi [például bérszámfejtés, szerver szolgáltatás, honlap üzemeltetés, kamerarendszer működtetése, SaaS szolgáltatás], az Adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Az adatfeldolgozó által végzett adatkezelés vonatkozásában az adatfeldolgozóval szerződést kell kötni. Ezen szerződés az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az Adatkezelő kötelezettségeit és jogait határozza meg. A szerződés elő- írja továbbá az adatfeldolgozó számára:

  1. a személyes adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli,
  2. biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
  3. megfelelő adatbiztonsági intézkedéseket alkalmaz;
  4. tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozó Adatkezelői elvárást;
  5. segíti az Adatkezelőt az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
  6. segíti az Adatkezelőt az adatvédelmi incidens szerinti kötelezettségek teljesítésében;
  7. vállalja, hogy a nála bekövetkező adatvédelmi incidens esetén haladéktalanul tájékoztatja erről az Adatkezelőt;
  8. az adatkezelési szolgáltatás nyújtásának befejezését követően az Adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat a Adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő.
  9. Az adatfeldolgozó az adatokat kizárólag az Adatkezelő utasításának megfelelően kezelheti.

 

Az adatfeldolgozó szerződések megkötése vagy a meglévő szerződések fentiek szerinti kiegészítése minden esetben az adatfeldolgozót bevonni kívánó üzleti terület vezetőjének a feladata. Az adatfeldolgozói szerződést vagy a módosítást a szerződés megkötésével, meghosszabbításával egyidejűleg kell megtenni.

 

  1. Hatályba léptető és záró rendelkezések

A jelen szabályzat 2018. május 25-én lép hatályba.

 

 

DATA PROCESSING REGULATION

 

 

  1. Purpose of the regulation

The purpose of the regulation is to ensure the enforcement of the protection of personal data according to the constitution, the realization of information self-determination, and to determine the data protection and data safety regulations applicable in the course of data processing concerning the personal data processed by the Data Controller.

 

  1. Effect of the regulation

The effect of this regulation extends to the entirety of Trans-Sped Kft., all of its organizational units and every one of its employees (hereinafter: the Data Controller).

 

  1. Definition of terms

Terms specified in the GDPR, from which the following terms must be emphasized in accordance with the nature of this internal regulation:

personal data: any information concerning identified or identifiable natural persons (“data subject”); identifiable means a natural person who can be identified directly or indirectly, especially based on identifiers, like name number, location data, online identifier or one or more factors concerning the physical, physiological, genetic, intellectual, economic, cultural or social identity of the natural person.

data processing: any operation or set of operations performed on data or sets of data in an automated or non-automated manner, in this regard especially collection, recording, organizing, sequencing, storage, transformation or change, polling, viewing, usage, disclosure, forwarding, distribution or other provision of access, harmonization or connection, limitation, erasure and destruction.

data controller: the natural person or legal entity, public authority, agency or any other body that defines the goals and tools of personal data processing independently or with others; if the goals and tools of data processing is defined by Union or Member State law, the data controller or the special criteria concerning the designation of the data controller may also be defined by Union or Member State law.  

data processor: the natural person or legal entity, public authority, agency or any other body that processes personal data in the name of the data controller.

third party: the natural person or legal entity, public authority, agency or any other body that is not the same as the data subject, the data controller, the data processor or the persons who were authorized to process personal data under the direct control of the data controller or data processor.

registration system: the database of personal data, sequenced in any manner – centralized, decentralized, or according to functional or geographic criteria – and accessible based on specific criteria.

data protection incident: security breach resulting in the incidental or illegal destruction, loss, change, unauthorized disclosure or unauthorized access to the forwarded, stored or otherwise processed personal data.

data controller: natural person or legal entity performing business activity, regardless of its legal form, including partnerships and associations performing regular business activities.

data property inventory: document for surveying the scope and nature of personal data controlled by the data controller.

technical and organizational measures: order of procedure established by the data controller considering the nature, scope, circumstances and goals of data processing and the risk of varying probability and severity it poses to the rights and liberties of natural persons in order to prove and ensure that the processing of personal data is in accordance with the GDPR. The data controller reviews such measures and updates them as necessary.  

 

  1. Basic principles of data processing

The Data Controller shall perform the processing of data in a legal and fair manner, transparent to the data subject (legality, fair procedure and transparency). Accordingly, the Data Controller shall process data according to the appropriate legal basis at all times, providing clear and understandable information.

 

The Data Controller shall collect personal data only for specific, clear and legal purposes, and shall not process such data in a manner incompatible with such goals (purpose limitation). When specifying the purpose of data processing the Data Controller always specifies actual, specific purposes.

 

The Data Controller shall perform data processing appropriately and in a relevant manner from the perspective of the goal(s) of data processing and limited to the necessary extent (data minimization). Accordingly, the Data Controller does not collect and store more data than what is absolutely necessary for achieving the goal of the data processing.

 

The data processing performed by the Data Controller shall be accurate and up to date. The Data controller shall take every reasonable measure in order to immediately erase or correct personal data that is inaccurate from the perspective of the goals of data processing (accuracy).

 

The Data Controller shall store personal data in a form that makes the identification of data subjects possible only for the time necessary to achieve the goals of data processing, considering the storage obligation specified in the relevant legal regulations (limited storage). When determining the duration of data processing the Data Controller shall always decide considering the goals of data processing.

 

The Data Controller shall ensure the appropriate security of personal data by taking appropriate technical or organizational measures adjusted to the nature of data processing, the scope of processed data, including protection against the unauthorized or illegal processing, incidental loss, destruction or damaging of personal data (integrity and confidentiality).

 

The Data Controller is responsible for compliance with the principles detailed above, and the Data Controller shall certify such compliance (accountability). Accordingly, the Data controller shall take care of the continuous enforcement, documentation of the provisions of this internal regulation, the continuous review of data processing and the modification, supplementation of data processing procedures if necessary.

 

  1. Legal bases for data processing

Processing of personal data is only legal and to the extent as one of the legal bases is present:

  1. The data subject gave their consent to the processing of their personal data for one or more actual reasons (hereinafter: data processing based on consent);
  2. The data processing is necessary for the performance of a contract in which the data subject is a party or which is necessary for taking measures at the request of the data subject before concluding the contract (hereinafter: contractual data processing);
  3. The data processing is necessary for the performance of legal obligations concerning the Data Controller (hereinafter: data processing based on legal obligation);
  4. The data processing is necessary to protect the essential interests of the data subject or another natural person (hereinafter: data processing based on essential interest);
  5. The data processing is necessary to enforce the legitimate interests of the Data Controller or third parties except if the interests or basic rights and liberties of the data subject requiring the protection of personal data enjoy precedence over the legitimate interests of the Data Controller or third parties, especially if the data subject is a child (hereinafter: data processing based on legitimate interest).

As employer, the Data Controller may create/provide such addresses, electronic and telecommunication access possibilities for its employee in question that relate exclusively to working in a specific job position, thus disclosing these to third parties as part of business is essential, this data handling based on legitimate interest is accepted by all employees concerned by establishing, maintaining their employment. The Data Controller assumes that such data are settled in this way with regard to all partners it establishes contact with during its business, and thus uses similar data received in any way from or about partners on the basis of this assumption, meaning that the consent of the data subject natural person is not necessary in such cases.

Before starting the data processing it is the responsibility of the head of the business region related to the data processing to determine the goal, legal basis, processed data and scope of data subjects of the data processing activity, the establishment of the conditions of legitimate data processing, considering the requirements of installed and default data protection.

 

  1. Obligation to keep data asset inventory/data processing register

The Data Controller shall prepare the inventory of the data property concerning data processing performed in the course of its activity, in compliance with the obligations provided for in the GDPR and the legal regulations. The data property inventory shall include – among other data – all the data processed by the Data Controller, the purpose, legal basis, content of the data processing, the name of the data subjects and the source of data, the location and mode of data storage, the scope of those authorized to access data, possible data forwarding and the data of the data processors.

 

The data property inventory of the Data Controller is available on the internal Intranet of the organization. Keeping the data property inventory up to date is the task of the data processing responsible. When starting new data processing activities or in the case of changes in the data processing operations in progress the data processing responsible shall be informed about the data to be modified.

 

  1. The rights of the data subjects and the enforcement of such rights

In accordance with the provisions of the GDPR the Data Controller provides the following for the data subjects:

  1. Right to information

The data subject is entitled to the right to information concerning every instance of legal bases for data processing. The Data Controller shall provide information for the data subjects in a concise, transparent, clear and easily available manner, worded clearly and understandably. Information shall be provided in writing or otherwise, including electronically if applicable. If the data subject submitted the request electronically, the information shall be provided electronically if possible, except if the data subject requests otherwise.

The Data Controller shall inform the data subject about the measures taken following their request without unreasonable delay, but always within at least 3 and at the most 30 days from receiving the request. If necessary, considering the complexity of the request and the number of requests, the 30-day deadline may be extended by 60 additional days.

The information and the measures taken shall be provided free of charge. If the request of the data subject is clearly unfounded or – especially due to its repeating nature – excessive, the Data controller might charge a reasonable amount of fee for the administrative costs of providing the requested information or taking the requested measure.

 

  1. Right to access

The data subject is entitled to the right to access concerning every instance of legal bases for data processing. The data subject has the right to receive feedback from the Data Controller concerning whether the processing of their personal data is in progress and if such data processing is in progress then the data subject is entitled to receive detailed information about the nature of data processing. The Data Controller might provide a copy of the personal data under data processing for the data subject.

 

  1. Right to rectification

The data subject is entitled to the right to rectification concerning every instance of legal bases for data processing. At the request of the data subject in this regard the Data Controller shall rectify the incorrectly processed personal data concerning the data subject without unreasonable delay. The data subject is entitled to request the supplementation of deficient personal data, by way of a supplementing statement among other ways.

 

  1. Right to erasure (right to be forgotten)

The data subject is not automatically entitled to the right to erasure (right to be forgotten) in the case of every legal base related to data processing, the existence of the right shall be subject to review on a case by case basis. Erasure of data without unreasonable delay is only necessary in cases specified in the GDPR:

  1. the personal data is not necessary anymore for the purpose it was collected or otherwise processed;
  2. the data subject revokes their consent that is the basis of data processing (in the case of data processing based on consent), and the data processing has no other legal basis;
  3. the data subject objects to the data processing and there is no legitimate cause for the data processing that might enjoy precedence in the case of legal bases for data processing applied in accordance with Sections 17 and 18 of the GDPR (data processing based on public powers delegated or on legitimate interest);
  4. the personal data was processed illegally;
  5. the personal data shall be erased for the performance of legal obligations provided for in Union or Member State legal regulations applicable to the Data Controller;

 

The Data Controller will not comply with the request of the data subject to erase data if the data processing is necessary for the performance of legal obligations applicable to the Data Controller and providing for the processing of personal data.

If the Data Controller receives an erasure request, as a first step, the Data controller checks whether the erasure request is in fact from the data subject. For this purpose, the Data Controller may request data from the data subject for identification purposes; however, the Data Controller may not request such additional data for identification purposes that is otherwise not registered concerning the data subject. If the Data Controller complies with the erasure request, then the Data Controller shall do everything in its power to erase the personal data from all databases. The Data Controller shall record a protocol about the erasure in order to be able to certify the act of erasure. The protocol shall be signed by those persons who are authorized to do so, based on their job description. The erasure protocol shall include: the name of the data subject, the type of the erased personal data and the date of erasure.

 

The Data Controller shall inform about the erasure obligation all those to whom the personal data was disclosed.

  1. Right to the limitation of data processing

The data subject is entitled to the right to limitation concerning every instance of legal bases for data processing.

At the request of the data subject the Data Controller shall limit data processing if any one of the conditions indicated in Article 18 of the GDPR is met.

 

  1. Objection

In the case of the request of the data subject concerning objection, the Data Controller may not continue the processing of the personal data, except if the Data Controller can prove that the data processing is justified by such compelling legitimate reasons that enjoy precedence over the interests, rights and liberties of the data subject or that are related to the submission, enforcement or defense of legal claims.

 

  1. Right to the portability of data

The data subject is entitled to the right to the portability of data in the case of a legal basis for data processing based on consent or contractual obligation, if the data processing is performed in an automated manner. The Data Controller shall ensure that the data subject receives the personal data concerning them and provided by them for the Data Controller in a sequenced, widely used, machine-readable format, and that such data is forwarded by the data subject to another data controller.

 

The rights the data subjects are entitled to shall always be included in the data processing information. It is the task of the Data Controller to operate the communication channels (e-mail: adatbiztonsag@trans-sped.hu) necessary for exercising the rights of the data subjects. The managing director of the organization shall appoint the person entitled to review the rights of the data subjects, judge them and communicate with the data subjects.

 

  1. Registration of data processing activities

The Data Controller shall keep the following registers about the data processing activities performed in its sphere of responsibility:

a) register of data disclosures

b) register about the requests for exercising the rights of data subjects and the answers given to such requests

c) register of official inquiries and answers given to such inquiries

d) register of data protection incidents.

 

The Data Controller shall keep the registers in writing, in physical (paper-based) or electronic format.

 

  1. Data security provisions

Considering the scientific and technological developments, the costs of realization, the nature, scope, circumstances and goals of data processing, and the risk of variable probability and severity it poses to the rights and liberties of natural persons, the Data Controller shall take the appropriate technical and organizational measures in order to guarantee the security of data on a level fitting the extent of the risk. The Data Controller shall guarantee the confidentiality, integrity and availability of the data it processes. In order to determine the appropriate level of data security measures, the Data Controller shall evaluate every set of data in its care from the perspective of protection requirements and shall classify them into security levels. To establish the security level of the single instances of data processing the following needs to be analyzed:

  1. risk and expected damage resulting from the unauthorized knowledge, changing, erasure of processed personal data, damages of the hardware and software devices;
  2. whether the damaged data file can be restored, the expenses of possible restoration, the availability of data sources necessary to reproduce the personal data, the option to replace lost data from the manual backup register;
  3. whether it is justified to apply distinguished security provisions considering the nature of the processed personal data;
  4. other risk components endangering data security.  

 

In order to realize the security of data processing, the Data Controller shall employ physical, logical and administrative controls alike.

 

Physical controls employed by the Data Controller: for example the Data controller might ensure that unauthorized persons cannot enter its building/office by operating a check-in system suitable for preventing the entry of unauthorized personnel.

 

Within the framework of logical control the Data Controller ensures that the data it processes can only be accessed by those with the appropriate authorization [determining clearance levels for each job; setting access to computer databases according to clearance level; making access to the internal computer network subject to login name and password and/or any other method that serves to realize the goal]

 

The Data Controller employs administrative controls, through which the Data Controller ensures that potential access to personal data can be tracked in documentation [logging activities; logging access to building/office (even paper-based);]

 

 

  1. Handling data protection incidents

In lieu of appropriate measures taken in due time, the data protection incidents might cause physical, financial or non-financial damages to natural persons, among others the loss of disposal over their personal data, the limitation of their rights, negative discrimination, identity theft, identity abuse, financial loss, damaged reputation, damaging the confidential nature of personal data protected by professional confidentiality obligation, and/or other significant economic or social disadvantages suffered by the natural persons involved.Data protection incident means damage done to the security of data, which can manifest in several forms in practice from unauthorized access through damage to total destruction.

 

When noticing a data protection incident, the person responsible for data protection shall be informed immediately, and shall take measures without delay in order to discover the circumstances of the event. The Data Controller shall report the incident to the authorities without unjustified delay, and if possible, 72 hours later at the most after becoming aware of the data protection incident, using the interfacehttp://naih.hu/adatvedelmi-incidensbejelent--rendszer.html. The data protection incident need not be reported to the authorities if the data protection incident is not expected to pose risks concerning the rights and liberties of natural persons. If the incident is not reported within 72 hours, the reasons justifying the delay shall be attached to the report as well. If it is necessary to report the data protection incident to the authorities, then the report shall include:

  1. the nature of the data protection incident, including - if possible- the categories of data subjects and their approximate number, and the categories of data involved in the incident and the approximate number of pieces of data involved;
  2. the name and contact options of the data protection officer or other contact person providing additional information (in lieu of a data protection officer the employee authorized to maintain contact) shall be disclosed;
  3. the probable consequences of the data protection incident shall be presented;
  4. the measures taken or planned to be taken by the Data controller to remedy the data protection incident shall be presented, including the measures taken to mitigate potential adverse consequences of the data protection incident, if applicable.

If the data protection incident is expected to pose a serious risk to the rights and liberties of natural persons, the Data Controller shall inform the data subjects about the data protection incident without unreasonable delay. The data subjects need not be informed if any of the following conditions are met:

  1. the nature of the data protection incident, including - if possible- the categories of data subjects and their approximate number, and the categories of data involved in the incident and the approximate number of pieces of data involved;
  2. the name and contact options of the data protection officer or other contact person providing additional information (in lieu of a data protection officer the employee authorized to maintain contact) shall be disclosed;
  3. the probable consequences of the data protection incident shall be presented;
  4. the measures taken or planned to be taken by the Data controller to remedy the data protection incident shall be presented, including the measures taken to mitigate potential adverse consequences of the data protection incident, if applicable.

 

If the data protection incident is expected to pose a serious risk to the rights and liberties of natural persons, the Data Controller shall inform the data subjects about the data protection incident without unreasonable delay. The data subjects need not be informed if any of the following conditions are met:

  1. the Data Controller took appropriate technical and organizational protective measures in the course of data processing and such measures were applied concerning the data involved in the data protection incident, especially measures that make data incomprehensible for persons not authorized to access personal data (like using encryption);
  2. after the data protection incident, the Data Controller took additional measures to ensure that the high level of risk concerning the rights and liberties of the data subject will probably not be realized in the future;
  3. providing information would make a disproportionate amount of effort necessary. In such cases the data subjects need to be informed through public information or such similar measures shall be taken that ensures the similarly effective information of the data subjects.

 

The Data Controller shall document their decision concerning whether the incident poses a risk to the rights of natural persons and whether there is any need to notify the authorities or the data subjects.

 

If the Data Controller employs data processors, then it must be stipulated in the data processing agreement that the data processor shall immediately report any data protection incidents occurring at the data processor to the Data Controller, also providing the data necessary to investigate the incident.

 

  1. Provisions concerning the employment of data processors

If someone else performs the data processing on behalf of the Data Controller [for example payroll management, server services, website operation, surveillance system operation, SaaS service], the Data Controller might only employ data processors who provide appropriate guarantees to take appropriate technical and organizational measures ensuring compliance of the data processing with the requirements of the GDPR and the protection of the rights of data subjects.

A contract shall be conclude with the data processor concerning the data processing performed by the data processor. This contract shall specify the subject, duration, nature and purpose of data processing, the type of personal data, the categories of data subjects and the obligations and rights of the Data Controller. Additionally, the contract shall provide for the following concerning the data processor:

  1. personal data shall be processed exclusively based on the written instructions of the Data Controller,
  2. it must be ensured that the persons authorized to process personal data accept confidentiality obligation or are under appropriate confidentiality obligation based on legal regulations;
  3. appropriate data security measures are employed;
  4. Data Controller expectations concerning the employment of additional data processors are respected;
  5. the data processor shall help the Data Controller in answering requests related to exercising the rights of data subjects;
  6. the Data Controller shall be helped in the performance of obligations concerning data protection incidents;
  7. the data processor shall agree to immediately notify the Data Controller in the case of data protection incidents occurring at the data processor;
  8. after finishing the provisions of data processing services all personal data shall be erased or returned to the Data Controller based on the decision of the Data Controller, and the existing copies shall be erased, except if the Union or Member State laws require the storage of personal data.
  9. The data processor may only process the data in accordance with the instructions of the Data Controller.

 

The conclusion of data processing agreements or the amendment of existing agreements according to the above is always the task of the head of the business area wishing to involve the data processor. The data processing agreement or amendment shall be made at the same time as the conclusion, extension of the agreement.

 

  1. Provisions on the effective date, closing provisions

This regulation becomes effective on 25 May, 2018.