Modit

Adatvédelmi tájékoztató

Preambulum

A MODIT Informatikai és Szolgáltató Zrt. (a továbbiakban: Társaság) elkötelezett a személyes adatok védelme mellett. Jelen tájékoztató célja, hogy az alábbiakban meghatározott tájékoztatások, eljárások és adatvédelmi garanciák által biztosítsa az egyes adatkezelések átláthatóságát, jogszerűségét, és biztosítsa az adatkezelésben érintettek személyes adatok védelméhez való jogát.

A Társaság gazdasági tevékenységéből következően szerződött partnerei felé, informatikai háttér szolgáltatás révén adatfeldolgozói tevékenységet végez. Jelen tájékoztató kialakításakor ezért a Társaság kiemelten figyelembe veszi, hogy a vonatkozó jogszabályoknak e tevékenysége megfeleljen.

A Társaság tevékenységi köre a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.), (a továbbiakban: GDPR) rendelkezései alapján adatkezelőnek minősülő személyek részére nyújtott adatfeldolgozói tevékenységre terjed ki. Önálló adatkezelői felelőssége, tevékenysége azon adatkezelésekre terjed ki, amelyeket jelen tájékoztató akként kifejezetten megjelöl (lásd részletesen jelen tájékoztató 6. pont).

1. Általános rendelkezések

1.1. Az adatkezelő, adatfeldolgozó adatai

Megnevezése: MODIT Informatikai és Szolgáltató Társaság (MODIT Társaság)
Székhelye: 1021 Budapest, Hűvösvölgyi út 54.
Postacíme: 1021 Budapest, Hűvösvölgyi út 54.
Elektronikus elérhetősége: info@modit.hu
Képviselője: Both Zoltán Gábor, vezérigazgató

1.2. A tájékoztató kapcsolata más jogi normákkal

Jelen tájékoztató alkalmazása során elsődleges jogforrás a GDPR, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2012. évi CXII. törvény.

A Társaság valamennyi, adatkezelésre vonatkozó belső szabályzata, rendelkezése a jelen tájékoztatónak megfelelően fogadható el, illetőleg módosítható. Amennyiben jelen tájékoztató hatálybalépésekor szükséges, a szabályrendeletet e tájékoztatónak megfelelően felül kell vizsgálni.

1.1. A tájékoztató hatálya

A tájékoztató hatálya kiterjed valamennyi, a Társaság által kezelt személyes adatra, valamennyi alkalmazottjára, minden szervezeti egységére, valamint a vele szerződéses vagy egyéb kapcsolatban álló, személyes adat kezelését végző személyekre.

Amennyiben a Társaság jelen tájékoztatót hatályosítja, átdolgozza, vagy egyéb okból újabb tájékoztatót léptet hatályba, a hatályos tájékoztatón fel kell tüntetnie a korábbi tájékoztató pontos időbeli hatályát. A korábban hatályban lévő adatvédelmi tájékoztatókat az új tájékoztató hatályba lépésétől számított öt évig kell megőrizni.

2. Fogalom meghatározások

Jelen tájékoztató alkalmazása során a fogalmi meghatározások tekintetében a GDPR, illetőleg az adatkezelésre vonatkozó hatályos magyar jogszabályokban meghatározott fogalmakat, rendelkezéseket kell érteni. A jogszabály által meghatározott, jelen tájékoztató szempontjából legfontosabb fogalmak a következők:

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

Ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Személyes adatok határokon átnyúló adatkezelése: a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket.

3. Az adatfeldolgozói tevékenységre vonatkozó nyilvántartás

A Társaság és – ha van ilyen – a képviselője írásban nyilvántartást vezet a más adatkezelők nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás a következő információkat tartalmazza:

  • az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
  • az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírását;
  • ha lehetséges, az alkalmazott adatbiztonságra vonatkozó technikai és szervezési intézkedések általános leírása.

4. Az adatfeldolgozásra vonatkozó általános-, valamint az egyes adatkezelőkkel megkötendő adatfeldolgozói szerződésre vonatkozó szabályok

A Társaság adatfeldolgozói tevékenységet más adatkezelő részére csak akkor végezhet, ha az e tevékenységre vonatkozó írásbeli szerződésben, vagy annak mellékletében a következőkről rendelkeznek:

  • a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja;
  • biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
  • biztosítja az adatbiztonságra vonatkozó intézkedéseket;
  • további adatfeldolgozót akkor vehet igénybe, ha azt az adatkezelő írásban jóváhagyta;
  • az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
  • segíti az adatkezelőt a GDPR 32–36. cikk szerinti kötelezettségek teljesítésében;
  • az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
  • az adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatkezelésre vonatkozó kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

4.1. Titoktartási nyilatkozatok megléte

A Társaság intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat.

A Társaságnak a GDPR által előírt adatbiztonsági szabályoknak megfelelően kell tevékenységét kialakítania. Ennek keretében munkatársaival, illetőleg mindazon személyekkel, akik az általa nyilvántartott személyes adatokhoz hozzáférhetnek, titoktartási nyilatkozatot kell aláíratnia.

4.2. További adatfeldolgozó igénybevételének szabályai

A Társaság az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén a Társaság tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

Ha a Társaság bizonyos, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, Európai Uniós vagy magyar jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó Társaság teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

4.3. Az érintett jogainak gyakorlásában való részvétel

Amennyiben a Társaság adatfeldolgozói feladatokat lát el, az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőket abban, hogy teljesíteni tudják kötelezettségeiket az érintett GDPR III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.

Az adatkezelésben érintett személy jogait a GDPR III. fejezete átfogóan ismerteti. E jogosultságok közül az Adatfeldolgozó tevékenysége szempontjából kiemelten fontosak a következő jogkörök:

  1. az adatkezelés kezdetén az adatkezelő által adott tájékoztatási jog (GDPR 13-14. cikk),
  2. az érintett hozzáférési jogának gyakorlása (GDPR 15. cikk),
  3. helyesbítéshez, törléshez való jog (GDPR 16. cikk),
  4. adatkezelés korlátozásához való jog (GDPR 18. cikk),
  5. adathordozáshoz való jog (GDPR 20. cikk),
  6. érintett kérelmére történő adattörlés.

Az adatkezelők és a Társaság által kötött írásbeli szerződésekben a fenti szabályokról rendelkezni kell. Amennyiben a felek az ismertetett érintetti jogokról nem vagy nem teljes körűen rendelkeztek, úgy a Társaságnak fel kell arra hívnia az adatkezelő figyelmét, és a szükséges intézkedések tekintetében az adatkezelő erre vonatkozó utasításában foglaltak szerint kell eljárnia.

Amennyiben a Társaság adatfeldolgozói státuszt lát el, önálló döntést a kezelt adatok tekintetében nem hozhat. Amennyiben az érintett személy közvetlenül hozzá fordul jogainak gyakorlásával kapcsolatosan, erről haladéktalanul tájékoztatnia kell az adatkezelő személyét, és ezt jeleznie kell az érintett személynek is.

Adatkezelők és érintettek a személyes adatok kezelésével kapcsolatos jogaikat írásban gyakorolhatják, a központi postai, vagy elektronikus elérhetőségek valamelyikén.

4.4. Személyes adatok törlése, az adatok kezelésének megszüntetése a szerződés megszüntetését követően

A Társaság rögzíti a személyes adatok törlésére vagy megváltoztatására vonatkozó utasításokat úgy, hogy szükséges esetben legalább egy hónapig rendelkezésre tudja azt bocsátani a jogosult személy részére.

Az adatfeldolgozói szolgáltatás nyújtásának befejezését követően a Társaságnak az adatkezelő döntése alapján minden személyes adatot törölnie kell, vagy vissza kell juttatnia az adatkezelőnek, és törölni a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő. Ez utóbbi esetében a felek közötti szerződésben ezt rögzíteni kell.

Informatikai rendszerek kialakítására vonatkozó szerződések esetén amennyiben az adatkezelő a Társaság részére a rendszer teszteléséhez valós személyek adatait adja át, azok kezelését a tesztelést, próbaüzemeltetést követően meg kell szüntetni.

4.5. Részvétel az adatkezelőt érintő belső és külső vizsgálatokban

A Társaság az adatkezelő rendelkezésére bocsát minden olyan információt, amely az GDPR-ban meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

4.6. Tájékoztatás nem megfelelő utasítás adása esetén

Amennyiben a Társaság adatfeldolgozói feladatokat lát el, és úgy véli, hogy a megbízó adatkezelő valamely utasítása sérti a GDPR vagy más uniós adatvédelmi rendelkezéseket, továbbá a magyar jogszabályokat, erről haladéktalanul tájékoztatja az adatkezelőt.

5. Adatátadás, adattovábbítás

Amennyiben a Társaság az általa kezelt személyes adatok tekintetében adatkezelői státuszban áll, azokat kizárólag az érintettnek, törvényes képviselőjének, meghatalmazottjának, valamint törvényes feladatkörében eljáró hatóságnak, bíróságnak, közjegyzőnek adja át. Az adatkezelő az adatátadásokról nyilvántartást vezet. A jogszabály által előírt adattovábbítást a Társaság köteles teljesíteni. Az adattovábbítást minden esetben dokumentálni kell oly módon, hogy annak menete és jogszerűsége bizonyítható legyen. Dokumentálásra elsősorban az adatszolgáltatást kérő, illetve annak teljesítéséről rendelkező, megfelelően kiadmányozott iratok szolgálnak.

Amennyiben a Társaság a kezelt adatok tekintetében adatfeldolgozói státuszban áll, az ilyen kérelmet késedelem nélkül továbbítja az adatkezelő részére.

6. Adatbiztonságra vonatkozó szabályok

6.1. Általános rendelkezések

A Társaság gondoskodik a kezelt adatok bizalmasságáról és biztonságáról. Ennek érdekében megteszi a szükséges technikai és szervezési intézkedéseket mind az informatikai eszközök útján tárolt, mind a hagyományos, papíralapú adathordozókon tárolt adatállományok tekintetében. A Társaság gondoskodik arról, hogy a vonatkozó jogszabályokban előírt adatbiztonsági szabályok érvényesüljenek.

A Társaság az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. A Társaság az adatbiztonság feltételeinek érvényesítése érdekében gondoskodik az érintett munkatársak megfelelő felkészítéséről, az adatvédelmi tisztviselő szervezésében.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

Az adatkezelő az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen:

  • a jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);
  • az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés, archiválás);
  • az adatok módosításakor a változások automatikus naplózásáról;
  • a nyilvántartásokat futtató rendszerek naplóállományainak gyűjtéséről, elemzéséről és hiba esetén automatikus riasztásról;
  • az adatállományok integritásának megőrzéséről, sértetlenségéről;
  • az adatállományok vírusok elleni védelméről (vírusvédelem);
  • az adatok hálózatból kifelé irányuló mozgásának ellenőrzéséről és felügyeletéről (adatszivárgás megelőzés);
  • az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).

A Társaság a papíralapú nyilvántartások védelme érdekében megteszi a szükséges intézkedéseket, különösen a fizikai biztonság, illetve tűzvédelem tekintetében.

6.2. Biztonsági mentések készítése, az adatok törlése

Az adatfeldolgozó a rendszerében kezelt adatokról biztonsági másolatok útján mentést hajthat végre. A mentések formátumának alkalmasnak kell lennie arra, hogy az adatkezelő ilyen jellegű döntése esetén az adatfeldolgozó abból egyedi adatállományokat törölni tudjon. A mentési folyamattal kapcsolatos részletes szabályozást a Társaság Mentési Szabályzata tartalmazza.

A Társaság a személyes adatot törli, ha:

  • annak kezelése jogellenes;
  • az érintett kéri (a jogszabályban elrendelt, illetve a Társaság szerződéses vagy jogi kötelezettségei teljesítésével összefüggő adatkezelések kivételével);
  • az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;
  • az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
  • azt a bíróság vagy a Nemzeti Adatvédelmi és Információszabadság Hatóság elrendelte.

6.3. Adatvédelmi incidens és eljárásrendje

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai vagyoni, vagy nem vagyoni kárt okozhat az érintetteknek. Az adatvédelmi incidensek kezelése érdekében az Adatfeldolgozó naplót vezet az adatvédelmi incidensekről.

A Társaság belső szabályzatban írja le általánosságban az incidensekkel kapcsolatos eljárásrendet. Jelen adatkezelési tájékoztató kizárólag az adatvédelmi incidensekre vonatkozó egyedi szabályokat tartalmazza.

Adatvédelmi incidensnek minősül például:

  • személyes adatok dokumentumon, hordozható eszközön, adathordozón vagy informatikai rendszeren (pl. levelezéssel) történő jogalap nélkül történő továbbítása, hozzáférhetővé tétele jogosulatlan személyek számára,
  • személyes adatokat tartalmazó adatbázis részének vagy egészének sérülése, vagy elvesztése,
  • az informatikai rendszer részének vagy egészének használhatatlanná válása vírus vagy egyéb rosszindulatú szoftver által.

Az adatvédelmi incidens észlelésekor az azt észlelő személy köteles azonnal tájékoztatni a felettesét, vagy szükség szerint más személyt. A Társaság vezérigazgatóját, továbbá az adatvédelmi tisztviselőt az incidens észlelését követően arról tájékoztatni kell.

Amennyiben a Társaság a kezelt személyes adatok tekintetében adatkezelői státuszban van, az észlelést (bejelentést) követően a lehető leghamarabb, de legkésőbb 72 órán belül be kell jelentenie az incidenst a NAIH-nak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A bejelentésnek legalább a következő adatokra ki kell terjednie:

  • adatvédelmi incidens jellege,
  • az érintettek kategóriái és hozzávetőleges száma,
  • az incidenssel érintett adatok kategóriái és hozzávetőleges száma,
  • további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetőségei,
  • adatvédelmi incidensből eredő, valószínűsíthető következmények,
  • a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedések.

Amennyiben az adatkezelési incidens első bejelentésekor az incidensre és annak megoldására vonatkozó összes adat még nem áll rendelkezésre, úgy az első bejelentéskor a rendelkezésre álló adatokat kell bejelenteni, valamint a többi adatokat azok rendelkezésre állásának ütemében, de indokolatlan késedelem nélkül, pótlólag kell a NAIH-nak bejelenteni.

Amennyiben a Társaság a kezelt adatok tekintetében adatkezelői státuszban áll, és az adatvédelmi incidens nem járt magas kockázattal az érintett személy jogaira nézve, nem szükséges további intézkedés megtétele. Erről az adatkezelő dönt.

Amennyiben a Társaság a kezelt adatok tekintetében adatkezelői státuszban áll, és az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett személy jogaira és szabadságára nézve, az adatkezelő indokolatlan késedelem nélkül, világos és közérthető megfogalmazásban tájékoztatnia kell az érintettet az adatvédelmi incidensről. A tájékoztatásnak legalább a következő adatokra ki kell terjednie:

  • az adatvédelmi incidens jellege,
  • az érintettek kategóriái és hozzávetőleges száma,
  • az incidenssel érintett adatok kategóriái és hozzávetőleges száma,
  • további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetőségei,
  • az adatvédelmi incidensből eredő, valószínűsíthető következmények,
  • a Társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedések.

Abban, hogy az adatvédelmi incidens magas kockázattal jár-e az érintett személy jogaira, a Társaság vezérigazgatója dönt, figyelembe véve az adatvédelmi tisztviselő szakvéleményét.

Amennyiben a Társaság a kezelt adatok tekintetében adatfeldolgozói státuszban áll, az adatvédelmi incidens észlelését (bejelentését) követően arról a lehető leghamarabb tájékoztatnia kell az adatkezelőt.

Az adatvédelmi incidens feltárását követően az érintett szervezeti egység vezetőjének, együttműködve az adatkezelő képviselőjével, felül kell vizsgálnia a kialakított gyakorlatot, amelynek keretében azt kell vizsgálnia, hogy milyen módon kerülhető el a jövőben a hasonló jogsérelem.

Amennyiben az adatvédelmi incidens jellege szükségessé teszi, vagy az az érintett személy jogaira magas kockázattal jár, az incidensben érintett szervezeti egység vezetője – közreműködve az adatvédelmi tisztviselővel – a következő további feladatokat látja el:

  • szükség esetén az incidenssel kapcsolatos további információk gyűjtése,
  • az adatvédelmi incidens hatásának vagy potenciális hatásának elemzése, meghatározása a Társaság, illetőleg az érintett jogai szempontjából,
  • szükség esetén azonnali eszkalálási, válságkezelési terv készítése, aktiválása,
  • a megtámadott információs rendszer, szolgáltatás és/vagy hálózat elkülönítésének és lekapcsolásának lehetővé tétele,
  • az üzleti szempontból kritikus szolgáltatások, rendszerek jogszerű működésének biztosítása,
  • szükség esetén a kapcsolódó folyamatok/tevékenységek felelőseinek értesítése az incidensről.

Az incidensekkel kapcsolatosan minden feltárt eseményt, tényt be kell vezetni a Társaság adatvédelmi incidens nyilvántartásába. A nyilvántartásban a következő adatokat kell rögzíteni:

  • az adatvédelmi incidens jellege,
  • az incidens besorolása (bizalmasságot érintő, sértetlenséget érintő, hozzáférést érintő),
  • az érintett személyes adatok köre, jellege,
  • az adatvédelmi incidenssel érintettek köre és száma,
  • az adatvédelmi incidens időpontja vagy időszaka (óra-perc pontossággal),
  • az incidensről történt tudomásszerzés időpontja (óra-perc pontossággal),
  • az adatvédelmi incidens oka, körülményei, hatásai, várható következményei,
  • az incidens által okozott kockázat mértéke és fajtája (személyes adatok feletti rendelkezés elvesztése, jogok korlátozása, személyazonosság-lopás, pénzügyi veszteség, jó hírnév sérelme, adatok bizalmas jellegének sérülése),
  • az elhárítására megtett intézkedések,
  • a hasonló esetek megelőzése érdekében megtett intézkedések,
  • az incidensből eredő hátrányos következmények enyhítését célzó intézkedések,
  • az incidens bekövetkezése miatti felelősség megállapítása (amennyiben ez lehetséges),
  • a bekövetkezett kár becsült értéke,
  • az incidensről értesítettek neve (érintettek, hatóság), késedelmes tájékoztatás esetén a késedelem oka,
  • a betekintések időpontja és a betekintő személyek neve,
  • a másolatkészítés időpontja, oka, a másolatot megkapó személy neve.

A nyilvántartásban az incidensre vonatkozó információ megőrzési ideje az incidenst követő 5 év. Az adatvédelmi incidensek nyilvántartása bizalmas minősítésű dokumentum, azt az adatvédelmi tisztviselő vezeti és kezeli. Rajta kívül abba a Társaság vezérigazgatója, valamint az általa felhatalmazott személyek tekinthetnek be. Az adatvédelmi incidensek nyilvántartásából az érintett számára a rá vonatkozó adatokról hitelesített másolat adható ki.

7. A Társaság önálló adatkezelésébe tartozó tevékenységek

Az alábbi adatkezelésekről a Társaság nyilvántartást vezet.

7.1. Munkaügyi adatkezelés

A Társaság saját munkavállalói adatainak kezelése tekintetében, munkaügyi adatkezelések esetében önálló adatkezelőnek minősül, e tevékenysége tekintetében adatvédelmi felelőssége önálló. A Társaság munkaügyi adatkezelésével kapcsolatos szabályozását az Adatvédelmi szabályzat tartalmazza.

7.2. Állásra jelentkezők adatkezelése

A Társaság az állásra jelentkezők adatainak kezelése tekintetében is önálló adatkezelőnek minősül, e tevékenysége tekintetében adatvédelmi felelőssége önálló.

Az álláshirdetésre jelentkezők legkésőbb az első állásinterjú alkalmával megismerik a személyes adatok kezelésének módját, valamint minden esetben írásban hozzájárulnak a személyes adataik kezeléséhez.

7.3. Szolgáltatás iránt érdeklődők adatainak kezelése

A Társaság önálló adatkezelőként kezeli a szolgáltatások iránt érdeklődők személyes adatait, az érdeklődők megkeresései nyomán. Ebben az esetben az adatkezelés jogalapja minden esetben az érdeklődő hozzájárulása az adatkezeléshez.

7.4. Vagyonvédelmi célú adatkezelés

Vagyonvédelmi célból a Társaság területén elektronikus megfigyelőrendszer működtethető. A képfelvételek munkaügyi ellenőrzés céljából nem kezelhetők. Az elektronikus megfigyelőrendszer működéséről a Társaság épületében jól látható helyen piktogram formájában kell tájékoztatást adni, és az épület bejáratánál el kell helyezni a tájékoztatást. Amennyiben szükséges, az elektronikus megfigyelőrendszer működése útján rögzített kép-, hang-, valamint kép- és hangfelvétel megismerésének okát és idejét, valamint a megismerő személyét jegyzőkönyvben kell rögzíteni.

A Társaság területére belépő külső személyek adatait vagyonvédelmi és adatbiztonsági célból a beléptetés során rögzíthetik. Az adatok kezelésének jogalapja a GDPR 6. cikk (1) bekezdés a) pontja. A rögzített adatok: az érintett neve, a belépés és távozás időpontja, milyen célból lépett be a Társaság területére. Az adatok kezelésének időtartalma 60 nap. Az adatok rögzítéséről az adatrögzítés helyén el kell helyezni a tájékoztatást. Amennyiben a nyilvántartásból harmadik személy részére adatot adnak át, vagy ahhoz hozzáférést biztosítanak, jegyzőkönyvben kell rögzíteni, hogy a hozzáférést kinek biztosították, milyen jogalappal és céllal, illetőleg mikor.

7.5. Szerződött partnerek nyilvántartása gazdasági szerződések tekintetében

A Társaság szerződés teljesítése jogcímén a szerződés megkötése, teljesítése, megszűnése céljából kezeli a vele szerződött természetes személy adatait.

7.6. Jogi kötelezettség teljesítése céljából kezelt adatok

A Társaság jogi kötelezettség teljesítése jogcímén, törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás, adatszolgáltatás) céljából kezeli a beszállítóként vele üzleti, vagy egyéb szerződéses kapcsolatba lépő természetes személyek törvényben meghatározott adatait.

8. Záró rendelkezések

Jelen tájékoztató az elfogadásának napján lép hatályba. A tájékoztató a helyben szokásos módon és a Társaság hivatalos honlapján (modit.hu) kerül közzétételre.

1. számú melléklet: Kamerás biztonsági rendszerrel kapcsolatos adatkezelési tájékoztatás

A MODIT Informatikai és Szolgáltató Zrt. a szabálysértések, bűncselekmények megelőzése céljából székhelyén és telephelyein digitális videó rögzítésére alkalmas biztonsági rendszert használhat. A MODIT Zrt. a székhelyére és telephelyeire belépő érintettekről kép-, videó felvételt készíthet, amelyhez az érintett a belépés tényével a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről szóló 2016/679/EU Rendelet 6. cikk (1) bekezdés a) pontja alapján hozzájárul.

Az Adatkezelő elkötelezett amellett, hogy kizárólag a dolgozók, illetve a vendégek által is megismerhető, nyilvános pozícióval rendelkező kamerák üzemeljenek az Adatkezelő székhelyének és telephelyeinek területein.

Az érintettek arcképmásáról készült kép- és videó felvételt 3 napig, szabálysértés vagy bűncselekmény gyanúja esetén és hatóság kérésére 30 napig kezeli.

Az érintettet a személyes adatai kezelésével összefüggésben megilleti a hozzáféréshez, a helyesbítéshez, a törléshez, az adatkezelés korlátozásához való jog. Az érintett a jogainak megsértése esetén az adatkezelőhöz, illetve annak tevékenysége ellen bírósághoz fordulhat. Az érintett az adatkezelővel, illetve az adatkezeléssel szemben a Nemzeti Adatvédelmi és Információszabadság Hatóságnál panasszal élhet. A Hivatal elérhetőségei: Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/C.; levelezési cím: 1530 Budapest, Pf.: 5).

A közölt személyes adatokat a MODIT Zrt. külföldre nem továbbítja, nyilvánosságra nem hozza.

2. számú melléklet: A MODIT Zrt. területére belépő külső személyek adatainak kezeléséről szóló tájékoztatás

A MODIT Informatikai és Szolgáltató Zrt. a területére belépő, nem munkaviszonyban álló személyek ellenőrzése céljából a székhelyére és telephelyére belépő személyek adatait rögzíti. Az adatkezelés a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről szóló 2016/679/EU Rendelet 6. cikk (1) bekezdés a) pontján alapul, vagyis az érintett személy önkéntes hozzájárulásán.

A rögzített adatok: az érintett neve, a belépés és távozás időpontja, a belépés oka. A MODIT Zrt. az adatokat a rögzítéstől számított 60 nap napig kezeli.

Az érintettet a személyes adatai kezelésével összefüggésben megilleti a hozzáféréshez, a helyesbítéshez, a törléshez, az adatkezelés korlátozásához való jog. Az érintett a jogainak megsértése esetén az adatkezelőhöz, illetve annak tevékenysége ellen bírósághoz fordulhat. Az érintett az adatkezelővel, illetve az adatkezeléssel szemben a Nemzeti Adatvédelmi és Információszabadság Hatóságnál panasszal élhet. A Hivatal elérhetőségei: Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/C.; levelezési cím: 1530 Budapest, Pf.: 5).

A közölt személyes adatokat a MODIT Zrt. külföldre nem továbbítja, nyilvánosságra nem hozza.