Adatvédelmi és adatbiztonsági szabályzat

  „ZSUZSI” Erdei Vasút Np. Kft.ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA   FEJEZET
Címlap
Sorszám:  

Készítette:           Hegyi Péter Attila

Ellenőrizte:          Makóné Fogarasi Hajnalka

                                                                                   ……………………………

                                                                                                    aláírás

Jóváhagyta és az alkalmazását Makóné Fogarasi Hajnalka, ügyvezető elrendeli:

Debrecen, 2021.08.17.

……………………………

B   FEJEZET
FELÜGYELETI ADATOK

A szabályzat jelen példánya:

     X Felügyelt
        
       Nem felügyelt

A szabályzat sorszáma:        

A szabályzat használója:

C   FEJEZET
Tartalomjegyzék

A   FEJEZET Címlap.. 1

B   FEJEZET  FELÜGYELETI ADATOK.. 2

C   FEJEZET Tartalomjegyzék. 3

D   FEJEZET SZABÁLYZAT ELOSZTÁSA.. 4

0.                  Bevezetés. 5

1.                  A Szabályzat célja. 5

2.                  A Szabályzat hatálya. 5

3.                  Értelmező rendelkezések. 6

3.1.             Jelen Szabályzatban használt rövidítések: 6

3.2.             Fogalmak. 6

4.                  Az adatkezelések szabályai 12

4.1.             Általános rendelkezések. 12

4.2.             A Társaság adatvédelmi rendszere. 13

4.3.             A vezető tisztségviselő az adatvédelemmel kapcsolatosan: 14

4.4.             Az adatvédelmi tisztviselő adatvédelemmel kapcsolatos feladatai: 15

4.5.             Az adatvédelmi munkatársak adatvédelemmel kapcsolatos feladatai: 15

4.6.             Adatvédelmi incidens kezelése. 16

4.7.             Hatásvizsgálat 18

4.8.             Előzetes konzultáció. 18

4.9.             Érdekmérlegelés. 19

4.10.          Adatbiztonsági szabályok. 19

4.11.          A Társaság informatikai védelme. 20

4.12.          Az érintettek jogainak érvényesítése. 22

4.13.          Adatkezelések. 26

5.                  Mellékletek, függelékek. 30

D   FEJEZET
SZABÁLYZAT ELOSZTÁSA

Jelen szabályzatot elosztási listán kell mindazon személyek részére átadni, aki azt személyesen használja vagy a szervezeti egységében használják. Az elosztási lista aláírásával kijelentem, hogy a szabályzatot áttanulmányoztam, a benne foglaltakat megismertem, magamra és beosztottaimra vonatkozóan tartalmát kötelezőnek tekintem.

A szabályzatot lehet kinyomtatott vagy elektronikusan megjelenített formában elosztani. Az elosztási listán jelezni kell, hogy ki kapja nyomtatott vagy elektronikus formában.

A törzspéldányt, amely nyomtatott formában, eredeti aláírásokkal van ellátva, minden esetben a központi telephelyen (Debrecen, Ruyter u. 1.) kell őrizni, ahova szerkeszthető formában elektronikusan is le kell adni.

Az elosztási listát a törzspéldány mellett kell őrizni.

0. Bevezetés

A „ZSUZSI” Erdei Vasút Np. Kft.(a továbbiakban: Társaság) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi és adatbiztonsági szabályzatot (a továbbiakban: Szabályzat) alkotja.

Adatkezelő megnevezése:                     „ZSUZSI” Erdei Vasút Np. Kft.

Adatkezelő cégjegyzékszáma:              Cg.09-2-18548932

Adatkezelő székhelye:                           4034 Debrecen, Ruyter u. 1.

Adatkezelő e-elérhetősége:                    info@zsuzsivasut.hu

Adatkezelő képviselője:                          Makóné Fogarasi Hajnalka

Adatvédelmi tisztviselő:                          Hegyi Péter Attila

Adatvédelmi felelős:                               ……………………

Jelen rendelkezéseket a Társaság többi szabályzatainak és előírásaival összhangban kell értelmezni. Amennyiben a személyes adatok védelmével kapcsolatosan ellentmondás áll fent jelen rendelkezések és a bármely más, jelen szabályzat hatálybalépése előtt hatályba lépett utasítás vagy szabályzat előírásai között, úgy abban az esetben jelen rendelkezések az irányadóak.

1.   A Szabályzat célja

  • Szabályozási garanciák megfogalmazása
  • Tisztességes és átlátható adatkezelés elvének érvényesítése
  • Biztosítsa az adatok bizalmasságát, hitelességét és sértetlenségét
  • Biztosítsa az üzemszerű működés feltételeinek megteremtését
  • Adatkezelői tájékoztatás
  • Dolgozói nyilatkozat
  • Adatkezelési belső nyilvántartás

A Társaság jelen szabályzat megalkotásával és elérhetővé tételével biztosítani kívánja a GDPR 12. cikkében meghatározott átlátható tájékoztatáshoz való jog megvalósulását.

Kötelezettség, hogy az érintettek megfelelő tájékoztatást kaphassanak a Társaság által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

A Szabályzattal a Társaság biztosítani kívánja a nyilvántartások működésének törvényes rendjét, az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, meg kívánja akadályozni az adatokhoz való jogosulatlan hozzáférést és azok jogosulatlan megváltoztatását, illetve nyilvánosságra hozatalát.

2.   A Szabályzat hatálya

A Szabályzat tárgyi hatálya kiterjed a Társaság minden szervezeti egységénél folytatott valamennyi olyan folyamatra, amely során a GDPR 4. cikk (1) pontjában meghatározott személyes adat kezelése megvalósul.

3.   Értelmező rendelkezések

A szabályzatban használt speciális és szakmai megfogalmazások, meghatározások értelmezései:

3.1.    Jelen Szabályzatban használt rövidítések:

Infotv.  – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

GDPR, vagy Rendelet – Az Európa Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről   

Mt. – a munka törvénykönyvéről szóló 2012. évi I. törvény

Mvt. – a munkavédelemről szóló 1993. évi XCIII. törvény

Ptk. – a polgári törvénykönyvről szóló 2013. évi V. törvény

Sztv. – a számvitelről szóló 2000. évi C. törvény

Szvtv. – a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény

Szsztv. – a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény

NAIH vagy Hatóság – Nemzeti Adatvédelmi és Információszabadság Hatóság

Társaság – ZSUZSI ERDEI VASÚT Np. Kft.

3.2.    Fogalmak

E szabályzat alkalmazásában:

Érintett: azonosított vagy azonosítható természetes személy (GDPR 4. cikk 1.)

Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (GDPR 4. cikk 1.)

Személyes adat különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (GDPR 9. cikk 1.);

Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotv. 3. §. 3.);

Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Infotv. 3. §. 4.);

Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez (GDPR 4. cikk 11.);

Érintett jogai, a Rendelet 12-21. cikkében szabályozott jogok:

tájékoztatás joga,

hozzáférési jog,

helyesbítéshez való jog,

törléshez való jog,

adatkezelés korlátozhatóságához való jog,

adathordozhatósághoz való jog,

tiltakozáshoz való jog

elfeledtetéshez való jog;

Tiltakozás: az érintett jogosult arra, hogy saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is (GDPR 21. cikk (1) bekezdés);

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja (GDPR 4. cikk 7.);

Közös adatkezelő: az az adatkezelő, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (GDPR 4. cikk 2.);

Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele (Infotv. 3. § 11.);

Adatátvevő: a törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján a személyes adatokat az adatkezelési korlátozásnak megfelelő terjedelemben és módon kezelő átvevő adatkezelő, amely a személyes adatokat az érintett jogait az adatkezelési korlátozásnak megfelelően biztosítja.

Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele (Infotv. 3. § 12.);

Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges (Infotv. 3. § 13.);

Adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából (GDPR 4. cikk 3.);

Adatkezelés korlátozásához való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben [GDPR 18. cikk. (1)];

Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése (Infotv. 3. § 16.);

Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége (Infotv. 3. § 17.);

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8.);

Adatállomány: az egy nyilvántartásban kezelt adatok összessége (Infotv. 3. § 21.);

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);

EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez (Infotv. 3. § 23.);

Harmadik ország: minden olyan állam, amely nem EGT-állam (Infotv. 3. § 24.);

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12.);

Adatvédelmi tisztviselő: a Társaság  által megbízott személy, aki a GDPR rendelet 4. szakasza szerint feladatkörrel és felelőséggel rendelkezik. Feladatai ellátása során csak az ügyvezető igazgatónak tartozik felelőséggel;

Adatvédelmi felelős(ök): az ügyvezető igazgató által kijelölt személy(ek), aki(k) a Társaság adatvédelemmel kapcsolatos operatív tevékenységeket felügyelik, az adatvédelmi tisztviselővel együttműködve segítik azt a munkájában. Minden tudomásukra jutott adatvédelemmel kapcsolatos információt haladéktalanul az adatvédelmi tisztviselő tudomására kell juttatnia/uk. A munkavállalók által feltett adatvédelemi kérdésekre a legjobb tudásuk szerint válaszolnia/uk kell. Feladatai(k) ellátása során az ügyvezető igazgatónak tartoznak felelősséggel.

Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni (GDPR 4. cikk 5.);

Beépített adatvédelem (privacy by design): a Társaság saját, olyan belső eljárásainak az összessége, amivel – a külső szabályozásokkal összhangban a szabályozásoktól függetlenül is – igyekszik megfelelni annak, hogy az érintett magánszféráját minél jobban védje. (Pl.: a természetes személyek tekintetébena Társaság már az adatkezelés tényleges megkezdése előtt – például már a projektelőkészítés időszakában – is figyelembe veszi a hatályos adatvédelmi jogszabályok előírásait.);

Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak (GDPR 4. cikk 9.);

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.);

Informatikus (rendszergazda): A társaság informatikai csoportjának, és/ külső személy/vállalkozás munkavállalói, akik az informatikai szabályzatban meghatározott feladatokat látnak el és hatáskörrel rendelkeznek. Adatvédelem szempontjából kiemelt fontos szerepük van;

Genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered (GDPR 4. cikk 13.);

Biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat (GDPR 4. cikk 14.);

Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról (GDPR 4. cikk 15.);

Képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a GDPR 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában (GDPR 4. cikk 17.);

Kötelező erejű vállalati szabályok: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ (GDPR 4. cikk 20.);

Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető (GDPR 4. cikk 6.);

Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják (GDPR 4. cikk 4.);

Releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve, hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét (GDPR 4. cikk 24.);

Tevékenységi központ:

Az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira, eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;

Az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra a Rendelet szerint meghatározott kötelezettségek vonatkoznak (GDPR 4. cikk 16.);

Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő Társaságokat és egyesületeket is (GDPR 4. cikk 18.);

Vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások. (GDPR 4. cikk 19.);

Felügyeleti hatóság: egy tagállam által a GDPR 51. cikknek megfelelően létrehozott független közhatalmi szerv (GDPR 4. cikk 21.);

(Az Infotv. 38. § (2a) alapján a GDPR-ban a felügyeleti hatóság részére megállapított feladat- és hatásköröket Magyarország joghatósága alá tartozó jogalanyok tekintetében a GDPR- ban, valamint az Infotv.-ben meghatározottak szerint a NAIH gyakorolja.)

Érintett felügyeleti hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:

az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság területén rendelkezik tevékenységi hellyel,

az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy

panaszt nyújtottak be az említett felügyeleti hatósághoz

(GDPR 4. cikk 22.);

Személyes adatok határokon átnyúló adatkezelése:

Személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

Személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket. (GDPR 4. cikk 23.);

Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás (GDPR 4. cikk 25.);

Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre (GDPR 4. cikk 26.).

Amennyiben a mindenkori hatályos adatvédelmi jogszabály (jelen szabályzat megalkotásakor az Infotv. és a GDPR) fogalommagyarázatai eltérnek jelen szabályzat fogalommagyarázataitól, akkor a jogszabály által meghatározott fogalmak az irányadók.

4.   Az adatkezelések szabályai

Kiindulva az adatkezelés és szabályozás alábbi elveiből:

  • Célhoz kötöttség
  • Jogszerűség, tisztességes eljárás és átláthatóság
  • Adattakarékosság
  • Pontosság
  • Korlátozott tárolhatóság
  • Integritás és bizalmas jelleg, adatbiztonság
  • Elszámoltathatóság

4.1.    Általános rendelkezések

Mivel az információs önrendelkezés minden természetes személy Alaptörvényben rögzített alapjoga, így a Társaság eljárásai során csak és kizárólag a hatályos jogszabályok rendelkezései alapján végez adatkezelést.

Személyes adat kezelésére csak jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség.

A Társaság által kezelt személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

A Társaság személyes adatot csak meghatározott célból, jog gyakorlása vagy kötelezettség teljesítése érdekében kezel, a cél eléréséhez szükséges minimális mértékben és ideig. Az adatkezelés minden szakaszában meg kell felelnie a célnak – és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek. A törlésről a Társaságnak az adatot ténylegesen kezelő munkavállalója gondoskodik. A törlést a munkavállaló felett munkáltatói jogköröket ténylegesen gyakorló személy és az adatvédelmi tisztviselő ellenőrizheti.

A Társaság személyes adatot csak a Rendeletben (GDPR 6. cikk) meghatározott jogalapok valamelyikének teljesülése esetén kezel,

A Társaság az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, jogalapját.

A Társaság szervezeti egységeinél adatkezelést végző alkalmazottak és a Társaság megbízásából az adatkezelésben résztvevő, annak valamely műveletét végző szervezetek alkalmazottjai kötelesek a megismert személyes adatokat üzleti titokként megőrizni. A személyes adatokat kezelő és azokhoz hozzáférési lehetőséggel rendelkező személyek kötelesek a szabályzat megismeréséről és az üzleti titok megőrzéséről nyilatkozatot tenni. (AV1TNY_ Titoktartási nyilatkozat).

Ha a szabályzat hatálya alatt álló személy tudomást szerez arról, hogy a Társaság által kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni.

A Társaság törekszik a személyes adatok kezelésének minimálisra csökkentésére, a személyes adatok mihamarabbi álnevesítésére, a személyes adatok funkcióinak és kezelésének átláthatóságára, valamint arra, hogy az érintett nyomon követhesse az adatkezelést.

A Társaság igény és lehetőség szerint biztonsági elemeket hoz létre és továbbfejleszti azokat.

A Társaság törekszik arra, hogy adatkezelése átlátható, felhasználó-központú, az általa végzett adatvédelem proaktív legyen, valamint az adat teljes életciklusát felöleli, vagyis a teljes folyamatnak része.

A Társaság megbízásából adatfeldolgozói tevékenységet végző természetes, vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre vonatkozó adatvédelmi kötelezettségek az adatfeldolgozóval kötött megbízási szerződésben érvényesítendők. Az adatfeldolgozóval a Társaság az Infotv. által előírt tartalommal szerződést köt. Két változat lehetséges:

  • amikor a szerződésnek nem csak az adatfeldolgozói tevékenység a célja, akkor a szerződésnek tartalmaznia kell az adatfeldolgozásra vonatkozó adatvédelmi kötelezettségeket, amelyeket az AV2ASZ_Adatfeldolgozói szerződés minta dokumentum tartalmaz,
  • amennyiben kimondottan csak adatfeldolgozói tevékenységről szól a szerződés, akkor un. Adatkezelői – Adatfeldolgozói szerződést kell kötni, amelynek a mintáját az AV2ASZ_Adatfeldolgozói szerződés minta dokumentum tartalmazza.

4.2.    A Társaság adatvédelmi rendszere

A Társaság vezető tisztségviselője a Társaság sajátosságainak figyelembevételével meghatározza az adatvédelem szervezetét, az adatvédelemre, valamint az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket és kijelöli az adatkezelés felügyeletét ellátó személy(eke)t. A szabályzatban előírtak betartatásáért a feladatkörében minden érintett szervezeti egység vezetője a felelős. Minden szervezeti vezető felelős az egységén belül történő adatkezelés jogszerűségéért, a saját szabályzás készítéséért, amennyiben a szervezeti egységen belüli tevékenységek adatkezeléssel járnak, és azok a jelen szabályzatban meghatározott feladatokon túl nyúlnak, akkor speciális szabályok megalkotása szükséges. A szakterületi szabályozásoknak összhangban kell lennie a GDPR, az Infotv. és jelen szabályzat előírásaival. A szakterületi szabályozások kiadásának jelen szabályzat kiadásától számított 60 napon belül meg kell történie. A szakterületi szabályozások kiadása előtt azt minden esetben az adatvédelmi tisztviselőnek véleményeznie kell, amelyet a szabályozáson az aláírásával igazol.

A Társaság munkatársai munkájuk során gondoskodnak arról, hogy jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy az jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető.

A Társaság biztosítja az adatvédelmi feladatokkal megbízott tagjai részére a feladat ellátásához szükséges forrásokat, valamint azt, hogy a feladatuk ellátása során utasításokat senkitől ne fogadjanak el. Az adatvédelmi feladatokkal megbízott tagok szervezetileg közvetlenül a Társaság vezető tisztségviselőjének tartoznak felelősséggel.

Az adatvédelmi tisztviselő az adatvédelmi felelős (és az esetleges adatvédelmi munkatársak) együttműködésével és segítségével a vezető tisztségviselő közvetlen felügyeletével szervezi, irányítja és ellenőrzi a Társaság adatvédelmi és adatbiztonsági rendszerét. Az adatvédelmi tisztviselő külső megbízott, míg az adatvédelmi felelős és a munkatársak a Társaság saját alkalmazottjai. Felettük a munkáltatói vagy szerződésben meghatározott jogokat az adatvédelmi tevékenységükkel kapcsolatban közvetlenül a Társaság vezető tisztségviselője gyakorolja.

  • Az adatvédelmi tisztviselő

A GDPR 38. cikke értelmében az adatvédelmi tisztviselő jogállása:

 (1)   Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(2)   Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a 39. cikkben említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

(3)   Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

(4)   Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

(5)   Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

(6)   Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

A Társaság az adatvédelmi tisztviselő nevét és elérhetőségét közzéteszi honlapján, valamint bejelenti ezen adatokat a NAIH részére.

4.3.    A vezető tisztségviselő az adatvédelemmel kapcsolatosan:

  1. felelős az érintettek Infotv-ben és a GDPR-ban meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
  2. felelős a Társaság által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosításáért, ezen belül, az adatvédelemmel megbízott tag(ok) számára:
    1. megfelelő erőforrásokat, infrastruktúrát bocsát a rendelkezésükre
    1. a hivatalos kommunikációjához szükségesen a megfelelő jogi, IT támogatás, biztonsági segítségek megadása;
    1. folyamatos képzést biztosít a részükre, ez az alapja a naprakész ismereteknek (tanfolyamok, konferenciák, fórumok, műhelyek);
  3. felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
  4. felügyeli az adatvédelmi tisztviselő és a adatvédelmi tag)ok) tevékenységét;
  5. vizsgálatot rendelhet el;
  6. kiadja a Társaság adatvédelemmel kapcsolatos belső szabályait.

4.4.    Az adatvédelmi tisztviselő adatvédelemmel kapcsolatos feladatai:

  1. segítséget nyújt az érintett jogainak biztosításában;
  2. jogosult jelen szabályzat betartását az egyes szervezeti egységeknél ellenőrizni;
  3. részt vesz a NAIH által szervezett belső adatvédelmi tisztviselő konferenciáján;
  4. figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen Szabályzat módosítását;
  5. közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során;
  6. általános állásfoglalás megadása céljából megkeresést fogalmaz meg a NAIH felé, amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg;
  7. tájékoztatást és szakmai tanácsot ad a Társaság adatvédelmi jogszabályokban előírt kötelezettségeinek ellátásával kapcsolatban;
  8. ellenőrzi az adatvédelmi jogszabályoknak, valamint a Társaság belső adatvédelemmel kapcsolatos szabályozásainak való megfelelést, ideértve a feladatkörök kijelölését;
  9. rendszeresen – legalább évente egyszer – oktatja a Társaság munkavállalóit a személyes adatok kezeléséről, azoknak védelméről, kiemelten az adatkezelési műveletekben résztvevő személyeket;
  10. belső és külső adatvédelmi auditokat tart (szervez) a Társaságon belül és a szerződéses adatfeldolgozóknál;
  11. az adatvédelmi hatásvizsgálatra vonatkozóan kérésre szakmai tanácsot ad, valamint nyomon követi a hatásvizsgálat elvégzését;
  12. adatvédelmi incidens esetén – szükség esetén illetékesek bevonásával – lefolytatja a vizsgálatot;
  13. együttműködik a NAIH-val;
  14. az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a NAIH felé, valamint bármely egyéb kérdésben konzultációt folytat le.

4.5.    Az adatvédelmi felelős adatvédelemmel kapcsolatos feladatai:

  1. segítséget nyújt az érintett jogainak biztosításában;
  2. jogosult jelen szabályzat betartását az egyes szervezeti egységeknél ellenőrizni;
  3. figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, ezek alapján indokolt esetben kezdeményezi jelen Szabályzat módosítását;
  4. közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során;
  5. minden év január 15-ig jelentést készít a vezető tisztségviselő részére a Társaság adatvédelmi feladatainak végrehajtásáról;
  6. jogosult jelen szabályzat betartását az egyes szervezeti egységeknél ellenőrizni;
  7. vezeti az adatvédelemmel kapcsolatos nyilvántartásokat;
  8. közreműködik a NAIH-tól a Társasághoz érkezett megkeresések megválaszolásában és a NAIH által kezdeményezett vizsgálat, illetve adatvédelmi hatósági eljárás során;
  9. részt vesz(nek) adatvédelmi incidens esetén – szükség esetén illetékesek bevonásával – a vizsgálaton.

Az informatikusok (rendszergazdák) adatbiztonsággal kapcsolatos feladataik a hatályos Informatikai szabályzatban vannak meghatározva.

4.6.    Adatvédelmi incidens kezelése

Adatvédelmi incidens észlelése és jelentése

A Társaság minden munkavállalója – beleértve az egyéb jogviszonyban foglalkoztatott személyeket is – köteles a Társaságon belül történt adatvédelmi incidenst a tudomására jutást követően haladéktalanul, de legkésőbb 1 órán belül jelenteni a szervezeti egysége vezetőjének, valamint az adatvédelmi tisztviselőnek, az írásos jelentést telefonon keresztül is megerősíti és meggyőződik az írásosos értesítés tudomásulvételéről. A bejelentés tartalmazza a bejelentő nevét, telefonszámát, beosztását, szervezeti egységének megnevezését, valamint az incidens tárgyát, rövid leírását, megtörténtének és észrevételének időpontját, valamint azt, hogy az incidens érinti-e a Társaság informatikai rendszerét.

Amennyiben az adatvédelmi incidens érinti a Társaság informatikai rendszerét is, akkor az észlelő munkavállalónak a bejelentést az informatikai csoportvezetőnek is megküldi az előző jelentéssel egyidejűleg.

A bejelentés beérkezését követően az adatvédelmi tisztviselő haladéktalanul értesíti a Társaság vezető tisztségviselőjét, távollétében a helyettesét és megkezdi az adatvédelmi incidens kivizsgálását és értékelését.

Adatvédelmi incidens kivizsgálása, értékelése

Az adatvédelmi tisztviselő – informatikai rendszert érintő incidens esetén az informatikai csoportvezetővel együttműködve – megvizsgálja a bejelentést és amennyiben szükséges a bejelentőtől további adatokat kér az incidensre vonatkozóan. Az adatvédelmi tisztviselő felhívására a bejelentő köteles megadni: az adatvédelmi incidens bekövetkezésének összes körülményeit, pl.: az érintett adatok körét, mennyiségét, az érintett személyek körét és számát, várható hatásait, az adatvédelmi incidens megelőzésére, következményeinek enyhítésére megtett intézkedések felsorolását.

A bejelentő az adatszolgáltatást haladéktalanul, de legkésőbb 24 órán belül teljesíti az adatvédelmi tisztviselő részére.

Az adatvédelmi tisztviselő az adatvédelmi incidens kivizsgálására szükség esetén vizsgálatot indít. A vizsgálat lefolytatásához teljes jogkörrel rendelkezik az adatvédelmi tisztviselő. A vizsgálat lefolytatását a vonatkozó Adatvédelmi incidensek kezelése utasítás (AV3AIK_Adatvédelmi incidens-kezelési szabályzat) szabályozza.

A vizsgálat eredménye tartalmazza, az incidens kockázati mértékét, az érintettek jogaira és szabadságaira vonatkozóan milyen jellegű kockázatról van szó, szükséges-e az érintettek tájékoztatása az incidensről és ezeknek az indokait is.

A vizsgálat eredményeként az adatvédelmi tisztviselő javaslatot tesz a Társaság első számú vezetőjének az incidens kezeléshez szükséges intézkedések megtételére.

A javaslat alapján a megvalósítandó további intézkedésekről a vezérigazgató dönt, és utasítja az illetékes szakterületi vezetőket a döntés végrehajtására.

A vizsgálatot legkésőbb a bejelentésnek az adatvédelmi tisztviselőhöz érkezésétől számított három munkanapon belül be kell fejezni.

Az adatvédelmi incidens nyilvántartása

Az adatvédelmi incidensről az adatvédelmi tisztviselő nyilvántartást vezet.

A nyilvántartás tartalmazza:

  • az érintett személyes adatok körét,
  • az adatvédelmi incidenssel érintettek körét és számát,
  • az adatvédelmi incidens időpontját,
  • az adatvédelmi incidens körülményeit, hatásait,
  • az elhárítására megtett intézkedéseket és
  • egyéb jogszabályban előírt adatokat.

Az adatvédelmi incidens nyilvántartás (AV4AINY– Adatvédelmi incidens nyilvántartása) pontos vezetéséről, aktualizálásáról az adatvédelmi tisztviselő gondoskodik.

Az adatvédelmi incidens bejelentése a Hatóság részére

Az adatvédelmi tisztviselő az adatvédelmi incidenst a bekövetkezését követően a vezető tisztségviselővel történt egyeztetés után haladéktalanul, de legkésőbb 72 órán belül bejelenti a Hatóság részére, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg határidőben, az adatvédelmi tisztviselő köteles ennek okát igazolni a Hatóság részére.

A hatósági bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidenssel érintett adatok körét és hozzávetőleges számát,
  • az adatvédelmi incidenssel érintett személyek körét és hozzávetőleges számát,
  • az adatvédelmi incidens jellegét, körülményeit,
  • az adatvédelmi tisztviselő nevét és elérhetőségét,
  • az adatvédelmi incidens valószínűsíthető következményeit és
  • az adatvédelmi incidens orvoslására és enyhítésére megtett intézkedéseket.

Az érintettek tájékoztatása az adatvédelmi incidensről

Ha a vizsgálat eredményeként megállapítást nyer, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve és az érintettek tájékoztatása szükséges, az adatvédelmi tisztviselő haladéktalanul tájékoztatja erről a Társaság vezető tisztségviselőjét, aki kijelöli az érintettek tájékoztatásáért felelős területet. A kijelölt terült egyeztet az adatvédelmi tisztviselővel, hogy milyen körben, milyen formátumban, milyen tartalommal és milyen határidővel történjen meg az érintettek értesítése, amelyet az értesítendők listája (AV5AIELAdatvédelmi incidens értesítési lista) dokumentum kitöltésével kell megtenni.

Nem kell az érintetteket tájékoztatni:

  • ha a Társaság olyan technikai, szervezési, védelmi intézkedéseket hajtott végre az érintett adatokra vonatkozóan, amelyek megakadályozzák az illetéktelen személyek számára való hozzáférést az adatokhoz vagy megakadályozzák az adatok értelmezhetőségét;
  • ha az adatvédelmi incidens bekövetkezését követően a Társaság olyan intézkedéseket tett, amelyek biztosítják, hogy a feltárt adatkezelési kockázat valószínűsíthetően kismértékű lesz,

Ha a személyes tájékoztatás aránytalan erőfeszítést tenne szükségessé, akkor az érintettek nyilvánosan közzétett információk útján lesznek tájékoztatva, mely tájékoztatás elektronikus úton is megtörténhet.

Az adatvédelmi tisztviselő jelen Szabályzat 4.8 pontjában foglaltak szerint gondoskodik az adatvédelmi tudatosság növelése céljából adatvédelmi incidensekkel kapcsolatos oktatásról, mely során a múltban bekövetkezett adatvédelmi incidensek tapasztalatait, vagy a lehetséges adatvédelmi incidensek veszélyeit ismerteti, elemzi, a kockázatok csökkentésével, megelőzésével kapcsolatosan tájékoztatást ad, illetve az ismereteket ellenőrzi.

4.7.    Hatásvizsgálat

Amennyiben a természetes személyek jogaira és szabadságaira nézve valamely új adatkezelési folyamat kerül tervezésre – annak jellegére, hatókörére, körülményeire, céljaira tekintettel -, akkor az adatkezelés megkezdését megelőzően a Társaság illetékes szakterülete hatásvizsgálatot folytat le arra vonatkozóan, hogy az adatkezelési folyamat a személyes adatok védelmét hogyan érinti.

A hatásvizsgálat az adatvédelmi tisztviselő felügyelete alatt a szakmai tanácsát kikérve és iránymutatását figyelembe véve történik.

A Társaság az adatvédelmi hatásvizsgálat elkészítéséhez használatos segédanyag ( AV6AHEHS- Adatvédelmi hatásvizsgálat elkészítéséhez használatos segédanyag) dokumentumban leírt szempontrendszer figyelembevételével elvégzi a hatásvizsgálatot.

Az illetékes szakterület a hatásvizsgálat elvégzését követően szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén gondoskodik a hatásvizsgálat felülvizsgálatáról, mely során a kockázatok értékelését újra elvégzi. A kockázatok felülvizsgálatát legalább 3 évente megismétli.

4.8.    Előzetes konzultáció

Amennyiben az elvégzett hatásvizsgálat azt állapítja meg, hogy az adatkezelési folyamat valószínűsíthetően magas kockázattal jár, akkor a Társaság az adatkezelési folyamat megkezdését megelőzően konzultációt kezdeményez a Hatósággal.

A konzultáció kezdeményezése során a Társaság csatolja:

  • az elvégzett hatástanulmányt,
  • az adatvédelmi tisztviselő nevét, elérhetőségét,
  • az adatkezelési folyamatban részt vevő adatkezelő(k), adatfeldolgozó(k)feladatköreinek felsorolását,
  • az adatkezelés célját, módját és
  • az érintettek jogainak, szabadságainak biztosítása védelmében hozott intézkedéseket, garanciákat.

4.9.    Érdekmérlegelés

Az Infotv. rendelkezései szerint lehetőség van hozzájárulás nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy az Adatkezelő eleget tesz tájékoztatási kötelezettségének. Az adatkezelés jogalapjának vizsgálata során a GDPR 6. cikk (1) bekezdése a)-f) pontjai az irányadók.

Az adatkezelés jogszerűségének vizsgálatához a Társaság illetékes szakterülete elvégez egy érdekmérlegelési tesztet, mely során az adatkezelés céljának szükségességét, az érintettek jogainak és szabadságainak arányos mértékű korlátozását vizsgálja, továbbá megfelelően alátámasztja azt.

Az érdekmérlegelési teszt végrehajtása az adatvédelmi tisztviselő felügyelete alatt a szakmai tanácsát kikérve és iránymutatását figyelembe véve az érintett szakterület végzi.

Az érdekmérlegelési teszt irányelveit, folyamatát és lefolytatását az érdekmérlegelés (AV7EÉrdekmérlegelés) dokumentum tartalmazza.

4.10. Adatbiztonsági szabályok

Fizikai védelem

Ügyvezető által kiadott utasításban kerül szabályozásra az épületek, járművek fizikai védelmére vonatkozó előírások.

A papíralapon kezelt személyes adatok biztonsága érdekében a Társaság az alábbi intézkedéseket alkalmazza:

  • az irattári terv és az iratkezelési szabályzat az adatvédelmi szabályzattal szerves összhangban van,
  • az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatók;
  • a dokumentumokat őrzött telephelyen, jól zárható, száraz, tűzvédelmi berendezéssel ellátott helyiségben helyezi el;
  • a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá;
  • a Társaság adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;
  • a Társaság adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;
  • amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza a Társaság.

Amennyiben a papíralapon tárolt személyes adat kezelésének célja megvalósult, úgy a Társaság intézkedik a papír megsemmisítéséről. Ebben az esetben a Társaság kijelöl egy munkavállalót, aki a megsemmisítésért felelős. A megsemmisítésért felelős munkavállaló a megsemmisítéssel érintett szervezeti egység bevonásával állítja össze a megsemmisítendő iratcsomagot. A megsemmisítésen háromtagú Megsemmisítési Bizottság vesz részt. A megsemmisítésről az Adatmegsemmisítési jegyzőkönyv (AV19AMSJ_Adatmegsemmisítési jegyzőkönyv) dokumentumot kell kitölteni.

Amennyiben a személyes adatok adathordozója nem papír, hanem más fizikai eszköz, úgy annak megsemmisítésére a papíralapú dokumentumokra vonatkozó megsemmisítési szabályok az irányadók.

A Társaság a SzVtv-ben és a Szsztv-ben meghatározottak szerint elektronikus megfigyelőrendszert üzemeltet egyes telephelyein, a közforgalom számára nyitva álló megállóhelyeken, jármű tároló helyeken.

A kamerás megfigyeléssel kapcsolatos adatkezelésről tájékoztatást (AV9TKMTSZTájékoztató kamerával megfigyelt terület ) a munkavállalók a részükre elkészített tájékoztatóból, újfelvételes dolgozók a belépés során történő oktatás alapján, az ügyfelek a honlapon illetve a belépési pontokon elhelyezett tájékoztatókból ismerhetik meg. A kameraképek kezelésével, tárolásával, törlésével és megtekintésével kapcsolatos feladatok ügyvezető igazgatói utasításban van szabályozva.

4.11. A Társaság informatikai védelme

A Társaság informatikai védelme a hatályos jogszabályokkal összhangban történik. Az informatikai védelem, beleértve a szerverek fizikai (hardver és szoftver szintű) védelmét, a jogosultságok kiosztását, azok kezelését és annak részletes folyamatleírását a hatályos, informatikai szabályzat tartalmazza.

Az álnéven történő adatkezelést a Társaság a nagyobb fokú biztonság érdekében, valamint a statisztikai célra gyűjtendő adatok vagy a fejlesztés, tesztelés, karbantartás alatt álló rendszerek esetében a tesztadatok tekintetében végez, mivel a személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint a Társaság ezáltal könnyebben meg tud megfelelni az adatvédelmi kötelezettségeinek.

Az álnevesített személyes adatok kezelése során biztosítja, hogy az ahhoz szükséges további információkat, amelyek által a személyes adatokat egy adott érintetthez lehessen kapcsolni, elkülönítve tárolja.

A Társaság törekszik olyan intézkedések meghozatalára, amelyek következtében a személyes adatok kezelése minimálisra csökken, mihamarabb álnevesítésre kerül, növeli az adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést. A társaság elkötelezett biztonsági elemek létrehozásában és továbbfejlesztésében.

A Társaság a tudomány és technológia állása, a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei, céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével, mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során a következő technikai és szervezési intézkedéseket irányozza elő. Az intézkedések célja egyrészt az adatvédelmi elvek (például az adattakarékosság hatékony megvalósítása), másrészt a hatályos adatvédelmi jogszabályokban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába:

Az intézkedések magukban foglalják:

  1. a személyes adatok álnevesítését és titkosítását;
  2. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  3. fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani;
  4. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást

A Társaság a rendelkezésére álló erőforrások felhasználásával technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek és elegendőek. Az intézkedések biztosítják, hogy a személyes adatok alapértelmezés szerint természetes személy beavatkozása nélkül nem válhat hozzáférhetővé meghatározatlan számú természetes személy számára. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.

A Társaság intézkedéseket hoz annak biztosítására, hogy a Társaság vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag a Társaság utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

Adattovábbítás esetén a GDPR 45. cikkelye szerinti megfelelőségi határozat hiányában a Társaság vagy az adatfeldolgozó a megfelelő garanciák érintett számára való biztosítása útján gondoskodik az adatvédelem harmadik országbeli hiányosságainak ellensúlyozásáról. A garanciák biztosítják az adatvédelmi követelményeknek való megfelelést és az Európai Unión belüli adatkezelés esetén biztosított jogokkal azonos szintű jogokat biztosítanak az érintettek számára, beleértve az érintettek jogainak érvényesíthetőségét és a hatékony jogorvoslat lehetőségét, ezen belül ideértve azt, hogy az érintettek hatékony közigazgatási vagy bírósági jogorvoslatot vehessenek igénybe, továbbá kártérítést igényelhessenek az Európai Unióban vagy egy harmadik országban. A garanciák különösen a személyes adatok kezelésére vonatkozó általános elveknek, valamint a beépített és alapértelmezett adatvédelem elveinek való megfelelésre vonatkoznak.

Az adatvédelmi szabályozás szempontjából a mobil eszköz menedzsment területén a Társaság üzletmenetéhez fontos szolgáltatások, műszaki technikai, informatikai biztosítása mellett adatvédelmi szempontból biztosítva van a Társaság birtokába kerülő adatok titkossága, sérthetetlensége és azok biztonságot garantáló keretrendszerben történő működése.

  • 4.11.4.  Oktatás és tréningrendszer

A Társaság kiemelt területként kezeli a munkavállalók biztonságtudatossági és adatvédelmi képzését.

A biztonságtudatos magatartás komoly üzleti károkat okozó hibák és támadások megelőzésében játszhat szerepet.

A munkavállalókban a rendszeres képzések, tréningek során tudatosul, hogy a kialakított szabályrendszer és az IT eszközök önmagukban nem képesek garantálni egyetlen szervezet számára sem az adat- és információbiztonságot, ehhez a napi munkatevékenységük során felelős magatartásukkal a dolgozóknak is hozzá kell járulniuk.

A munkavállalók általános adatvédelmi-információbiztonsági oktatása évente minimum egy alkalommal ismeretfelújító, illetve releváns jogszabályváltozás esetén ismeretátadó formában történik.

4.12. Az érintettek jogainak érvényesítése

Az érintettek jogai:

Tájékoztatás joga

A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, valamint más tényezőkről.

A tájékoztatás tartalmi elemei:

Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, egy esetleges adatvédelmi incidens lehetséges körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

A tájékoztatás főszabály szerint ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

Hozzáférés joga:

Az érintett jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

Az érintett továbbá jogosult arra is, hogy az adatkezelés tárgyát képező személyes adatok másolatát az Adatkezelő az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az Adatkezelő ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmét, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett máshogy kéri.

Helyesbítés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, vagy kérje azok kiegészítését.

A valóságnak nem megfelelő adatot az adatot kezelő szervezeti egység vezetője – amennyiben a szükséges adatok és az azokat bizonyító közokiratok rendelkezésre állnak – helyesbíti, és a GDPR 17. cikkében meghatározott okok fennállása esetén intézkedik a kezelt személyes adat törléséről.

Törlés és elfeledtetés joga

Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

a)         a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)         az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)         az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre;

d)         a személyes adatokat jogellenesen kezelték;

e)         a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f)         a személyes adatok gyűjtésére a 16 éven aluli gyermekek részére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor;

Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték úgy azt törölni köteles. Az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket– ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A személyes adat az érintett kérelmére sem törölhető a GDPR 17. cikk (3) bekezdésében foglalt adatkezelések esetében.

Korlátozáshoz/korlátozáshoz való jog

Az érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség:

Az Adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelési korlátozásáról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan nagy erőfeszítést igényel. Az előzőekben meghatározott változásokról az érintetett kérésére és részére az Adatkezelő tájékoztatást ad az adattovábbítás címzettjeiről.

Adathordozhatósághoz való jog

Az érintett – a GDPR 27. cikk (1) bekezdésében foglalt feltételek fennállása esetén – jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.

Tiltakozás joga

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekű vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladattal kapcsolatos kezelése, vagy az Adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése kapcsán végzett adatkezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

Az érintett tiltakozhat személyes adatának kezelése ellen:

Az Adatkezelő a beérkezett kérelmet, illetve tiltakozást köteles a beérkezéstől számított három napon belül átadni az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egység vezetőjéhez.

Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

Ha az Adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, az adatokat korlátozza, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben az érintett jogainak gyakorlása során az ügy megítélése nem egyértelmű, az adatot kezelő szervezeti egység vezetője az ügy iratainak és az ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet az adatvédelmi tisztviselőtől, aki azt három napon belül teljesíti.

Bírósághoz fordulás joga és panasztétel joga

Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti. Az Adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ugyanígy nem téríti meg a kárt, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Ha az Adatkezelő nem tesz intézkedéseket az érintett benyújtott kérelmére, akkor késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be NAIH-nál (1125 Budapest, Szilágyi Erzsébet fasor 22/C.) és élhet – lakóhelye vagy tartózkodási helye szerint illetékes törvényszéknél is – bírósági jogorvoslati jogával.

4.13. Adatkezelések

  • Jogszabályi előírások

A „ZSUZSI” Erdei Vasút Np. Kft., mint adatkezelő az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) 25/E. § (2), 25/L. § (1) a) szerint az alábbi belső adatvédelmi és adattovábbítási nyilvántartásokat vezeti.

Az alábbi belső adatvédelmi és adattovábbítási nyilvántartás a A „ZSUZSI” Erdei Vasút Np. Kft. szervezeti egységeinél történő, Infotv. hatálya alá tartozó adatkezelésekkel kapcsolatosan tartalmazza:

  • az adatkezelés célját,
  • az adatkezelés jogalapját,
  • az érintettek körét,
  • az érintettekre vonatkozó adatok leírását,
  • az adatok forrását,
  • az adatok kezelésének időtartamát,
  • a továbbított adatok fajtáját, az adattovábbítás időpontját, a továbbítás jogalapját és címzettjét, ideértve a harmadik országokba irányuló adattovábbításokat is,
  • az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
  • az alkalmazott adatfeldolgozási technológia jellegét,
  • az adatvédelemért felelős személy(ek) nevét és elérhetőségi adatait.
  • A Társaságnál megvalósuló adatkezelések
Az adatkezelő neve:„Zsuzsi” Erdei Vasút Np. Kft.
Adatkezelő címe és az adatkezelések helye:4034 Debrecen, Ruyter u.1
Adatvédelmi tisztviselő neve:Makóné Fogarasi Hajnalka
Adatvédelmi tisztviselő elérhetősége:30/444-1547

Az adatkezelések részletes ismertetése is megtalálható a Szabályzat 1. sz. függelékében.

Munkára jelentkezők adataival kapcsolatos adatkezelés

A Társaság a „Tájékoztató a munkára jelentkezők adataival kapcsolatos adatkezelésről”( AV10TMJAKA_Tájékoztató a munkára jelentkezők adataival kapcsolatos adatkezelésről) dokumentumában és a honlapján fellelhető http://www.zsuzsivasut.hu  adatvédelmi Tájékoztatóban, a „Munkára jelentkezők adataival kapcsolatos adatkezelés” alcím alatt található meg részletesen kifejtve.

Munkaviszonnyal kapcsolatos adatkezelés

A munkaviszonnyal kapcsolatos adatkezelés célja a munkaviszony létesítése, fenntartása és megszüntetése. A munkavállalók adatkezelésének jogalapja a törvényi felhatalmazás (Mt.).

A munkavállalói adatok kezelésére vonatkozóan munkavállalói tájékoztató (AV14ATMR_Adatvédelmi tájékoztató munkavállalók részére) készült, amelynek célja a munkavállalók előzetes tájékoztatása az adatkezelésről.

A munkavállalók informatikai ellenőrzésével kapcsolatos adatkezelés

A munkáltató a munkaviszonnyal összefüggő magatartása körében ellenőrizheti a munkavállalókat. Az ellenőrzésre a Mt. 11. § (1)-(2) bekezdése ad jogalapot.

A Társaság előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak. Az AV14ATMR_Adatvédelmi tájékoztató munkavállalók részére a tájékoztatás részét képezi.

Munkára alkalmas állapot munkavédelmi vizsgálata

Az Mt. 52. § (1) a) kimondja, hogy a munkavállaló köteles a munkáltató által előírt helyen és időben munkára képes állapotban megjelenni.

A Társaság a biztonságos munkavégzés követelményeit kialakítandó kötelezettségénél fogva köteles rendszeresen meggyőződni arról, hogy a munkavállalók megtartják-e a rájuk vonatkozó rendelkezéseket. A munkajogi előírások betartásának ellenőrzésére vonatkozó szabályokat mind az Mt. mind az Mvt. pontosítja.

Az AV14ATMR_Adatvédelmi tájékoztató munkavállalók részére a tájékoztatás részét képezi.

A közfeladat ellátása során történő adatkezelések

A Társaság a AV14ATMR_Adatvédelmi tájékoztató munkavállalók részére dokumentumában és a honlapján fellelhető Adatvédelmi Tájékoztató-ban (http://www.zsuzsivasut.hu) „A közfeladat ellátása során történő adatkezelések” alcím alatt található meg részletesen kifejtve.

Különjárat igénybevétele során történő adatkezelések

A Társaság az  Adatvédelmi tájékoztató szolgáltatást igénybe vevő ügyfelek részére(AV15ATSZIVUR_ Adatvédelmi tájékoztató szolgáltatást igénybe vevő ügyfelek részére) dokumentumában és a honlapján fellelhető Adatvédelmi Tájékoztatóban található meg részletesen kifejtve.

.

Ügyfélszolgálati adatkezelés

Az utas, illetve a Társaság bármely, a személyszállításhoz kapcsolódó más szolgáltatását igénybe vevő személy a szolgáltatásokkal kapcsolatos javaslatait, észrevételeit, sérelmeit, panaszait, illetve elszenvedett kárát (továbbiakban együtt: panasz) a Társaságnak bejelentheti és kérheti a kifogásolt esemény vagy magatartás kivizsgálását, illetve javaslatainak elbírálását. A Társaság az ilyen ügyek kezelésénél az érintett által megadott személyes adatokat kezeli. Ezzel kapcsolatban a Társaság AV15ATSZIVUR_ Adatvédelmi tájékoztató szolgáltatást igénybe vevő ügyfelek részére számú dokumentumában és a honlapján fellelhető Adatvédelmi Tájékoztatóban (http://www.zsuzsivasut.hu) „A közfeladat ellátása során történő adatkezelések” alcím alatt található meg részletesen kifejtve.

A panasz megtételére lehetőséget biztosító helyszínen a Társaság a Panaszfelvételi helyszínen kihelyezendő ügyfél-tájékoztató (AV17PHKUT_Panaszfelvételi helyszínen kihelyezendő ügyfél-tájékoztató) dokumentumot helyezteti ki.

Kárigény bejelentéssel összefüggő adatkezelés

Káresemény esetén minden esetben rögzítésre kerülnek a káreseményt kiváltó okok és a káresemény érintettjeinek adatai a polgári jogi igények elévülési határidejének megfelelően 5 évig kerülnek tárolásra.

A Társaság adatvédelmi tájékoztató szolgáltatást igénybe vevő ügyfelek részére (AV15ATSZIVUR_ Adatvédelmi tájékoztató szolgáltatást igénybe vevő ügyfelek részére) dokumentumában és a honlapján fellelhető Adatvédelmi Tájékoztatóban (http://www.zsuzsivasut.hu), „A közfeladat ellátása során történő adatkezelések” alcím alatt található meg részletesen kifejtve.

Marketing tevékenységgel kapcsolatos adatkezelések

Honlap üzemeltetéséből adódó adatkezelés

A Társaság jelenleg a http://www.zsuzsivasut.hu honlapot és az arról elérhető al-appokat üzemelteti.

A Társaság a honlapra feltöltött adatvédelmi tájékoztató (AV18HFAT_Honlapra feltöltött adatvédelmi tájékoztató) dokumentumában található meg részletesen kifejtve.

Az egyes speciális al-appokon megtalálhatóak az arra az oldalra vonatkozó adatvédelmi tájékoztató linkje.

Kamerás megfigyeléssel kapcsolatos adatkezelés

A Társaság a SzVtv-ben és a Szsztv-ben meghatározottak szerint elektronikus megfigyelőrendszert üzemeltet egyes telephelyein, a közforgalom számára nyitva álló megállóhelyeken, jármű tároló helyeken, telephelyén.

A Szvtv. hatálya alá tartozó kamerás megfigyeléssel kapcsolatos adatkezelés

A Társaság Adatvédelmi tájékoztató munkavállalók részére(AV14ATMR_Adatvédelmi tájékoztató munkavállalók részére) számú dokumentumában található meg részletesen kifejtve.

A Szsztv. hatálya alá tartozó kamerás megfigyeléssel kapcsolatos adatkezelés

A Társaság tájékoztató kamerával megfigyelt terület(AV9TKMTSZTájékoztató kamerával megfigyelt terület ) dokumentumában és a honlapján fellelhető Adatvédelmi Tájékoztatóban (http://www.zsuzsivasut.hu) „A közfeladat ellátása során történő adatkezelések” alcím alatt található meg részletesen kifejtve.

Beléptetéssel kapcsolatos adatkezelések

5.   Mellékletek, függelékek

Mellékletek:

1. melléklet: Online ügyintézési pontokra kihelyezendő tájékoztatás

2. melléklet: Adatfelvételi nyomtatványokon elhelyezendő adatvédelmi kiegészítés

Függelékek:

1. függelék: Adatkezelések részletes ismertetése

2. függelék: A szabályzathoz kapcsolódó dokumentumok

3. függelék: Adatkezelési belső nyilvántartás

1. sz. melléklet

Online ügyintézési pontokra kihelyezendő tájékoztatás

* Elolvastam és elfogadom az adatvédelmi szabályokat.

2. sz. melléklet

Adatfelvételi nyomtatványokon elhelyezendő adatvédelmi kiegészítés

A „ZSUZSI” Erdei Vasút Np. Kft. felhívja figyelmét, hogy jelen nyomtatvány kitöltése során az Ön által a Társaság részére megadott személyes adatait a Társaság Adatvédelmi és adatbiztonsági szabályzatának megfelelően kezeli.