Adatvédelem

Vezérigazgatói utasítás

Iktatószám: 2024/Pro-M/VIG/000003-063

Egyedi azonosító: 15

Elrendelő (Kiadmányozó) terület: Vezérigazgató

Verzió száma: 16.0

Elrendelés (kiadmányozás) időpontja: A vezérigazgatói aláírás időpontja

Hatálybalépés időpontja: 2025.01.01.

Korlátozott alkalmazás: –

Mellékletek száma: 6

A Pro-M Zrt. személyes adatvédelmi szabályzata

TARTALOMJEGYZÉK

1 Cél 6

2 Alkalmazási terület 6

3 Fogalommeghatározások 6

4 Személyes adatok kezelésének szabályai 9

5 A Társaság által kezelt, vagy feldolgozott személyes adatok köre 10

5.1 A munkaviszonyhoz kapcsolódó adatok kezelése 10

5.1.1. A Társaság a meghirdetett üres állások betöltésére irányuló eljárások során az alábbi szabályokat alkalmazza: 10

5.1.2. A Társaság a munkavállalói vonatkozásában végzett adatkezelése: 10

5.2 Szolgálati mobiltelefon használattal összefüggő adatkezelés 12

5.3 Munkavállalói Internet használattal összefüggő adatkezelés 13

5.4 A munkavállalónak nem munkavégzésével összefüggő, vállalati informatikai rendszerben kezelt személyes adataival, magánlevelezésével összefüggő adatkezelés

. 14

5.5 A kép, illetve hangfelvételekkel kapcsolatos adatkezelés (a biztonsági videó megfigyelő, illetve beléptető rendszer kivételével) 15

5.6 A nemzetbiztonsági ellenőrzéssel összefüggő személyes adatok kezelése 16

5.7 Összeférhetetlenségi nyilatkozat 18

5.8 Vagyonnyilatkozat 18

5.9 a TETRA bázisállomások felügyeleti rendszere (TPNM) használata során keletkező adatok kezelése 19

5.10 Ügyfelekkel, partnerekkel történő kapcsolattartás, rendezvényszervezés és ügyfélszolgálati támogatás során megvalósuló adatkezelés 20

5.11 A rádióhálózatban keletkezett hívásforgalmi adatok 22

5.12 A központi hangarchiválás 24

5.13 E-learning támogatással kapcsolatos adatok 25

5.14 Biztonsági rendszerek és nyilvántartásai 26

5.15 Videó megfigyelő rendszer 28

5.16 Ügyeleti távbeszélőkön folytatott beszélgetéseket rögzítő rendszer 28

5.17 Kulcs- és pecsétkezelés 30

5.18 A Társaság honlapjának adatkezelése 30

5.19 A Mobiliron szolgáltatás által rögzített lokációs adatok kezelése 31

5.20 A Társaság üzemi célú gépjárműveibe épített GPS alapú gépjárműkövető rendszer használatával keletkezett útvonal adatok kezelése. 32

5.21 A mobil hálózatok telephelyei szerződéseinek kezelése körében megvalósuló adatkezelés 33

5.22 Információs és kommunikációs technológiákkal (IKT) kapcsolatos adatkezelés 34

5.22.1. ICTS_1.1 Adathálózati kapcsolat 34

5.22.2. ICTS_1.2 Intézményi wifi hozzáférés 35

5.22.3. ICTS_1.2 Intézményi wifi hozzáférés (Vendég wifi) 35

5.22.4. Kiegészítő hálózati szolgáltatások – ICTS_1.3.3 eduID 36

5.22.5. Kiegészítő hálózati szolgáltatások – eduID menedzselt IDP szolgáltatás 37

5.22.6. EduID VHO 37

5.22.7. Kiegészítő hálózati szolgáltatások – EduID IdP (eduID szolgáltatás a Társaságnak) 38

5.22.8. Kiegészítő hálózati szolgáltatások – EduID szolgáltatás intézményként 38

5.22.9. Kiegészítő hálózati szolgáltatások – EduID HEXAA 39

5.22.10. ICTS_1.3.4 eduroam 39

5.22.11. eduroam menedzselt IDP szolgáltatás 40

5.22.12. Biztonságos tanúsítvány szolgáltatás (TCS) nyújtásával kapcsolatos adatkezelés 40

5.22.14. IP alapú hangszolgáltatás (VOIP) 41

6 A Társaság adatkezelésének, adatfeldolgozásának szabályai 42

7 Az adatvédelmi tisztviselő 43

7.1 Adatvédelmi tisztviselő kijelölése, jogállása 43

7.2 Összeférhetetlenségi szabályok 43

7.3 Adatvédelmi tisztviselő feladata: 44

7.4 Az adatkezelési, adatfeldolgozási tevékenységet közvetlenül irányító vezetők az irányítási területükön felelősek 44

7.5 Az adatkezelésben, adatfeldolgozásban résztvevők felelősek 45

8 A személyes adatok kezelésével összefüggő általános elvek 45

9 A személyes adatok kezelésének szabályaival összefüggő ellenőrzések 45

10 Az adatvédelmi szabályok oktatása 46

11 Adatkezelési tevékenységek nyilvántartása 46

12 Adatvédelmi incidens kezelése 46

12.1 Adatvédelmi incidens észlelése 46

12.2 Az adatvédelmi incidens lehetséges következményei 47

12.3 Adatvédelmi incidensek megelőzése érdekében teendő intézkedések 47

12.4. Adatvédelmi hatásvizsgálat 47

12.5 Az érintettek jogai 48

12.5.1 Az érintett hozzáférési joga 48

12.5.2 Helyesbítéshez való jog 49

12.5.3 Törléshez való jog 49

12.5.4 Az adatkezelés korlátozásához való jog 50

12.5.5 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség 50

12.5.6 Az adathordozhatósághoz való jog 50

12.5.7 A tiltakozáshoz való jog 51

12.5.8 A hozzájárulás visszavonása 51

12.5.9 Az érintett jogorvoslati joga bíróság előtt, felügyeleti hatósághoz címzett panasz 51

12.6 Az érintetti jogérvényesítés rendje: 52

13 Záró rendelkezések 53

14 Mellékletek 54

1 Cél

A szabályzat célja, hogy a Pro-M Professzionális Mobilszolgáltató Zrt. (továbbiakban:Társaság) a személyes adatokat érintő adatkezelői és adatfeldolgozói tevékenységgel összefüggésben határozza meg a személyes adatok kezelésének, feldolgozásának rendjét; biztosítsa az adatvédelem elveinek, az adatbiztonság követelményeinek érvényesülését, megfelelve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben foglaltaknak, valamint az Európai Parlament és a Tanács által elfogadott, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679 számú rendeletének (továbbiakban: GDPR).

2 Alkalmazási terület

Jelen szabályzat személyi hatálya kiterjed a Társaság valamennyi munkavállalójára, valamint a Társasággal üzleti, illetve szerződéses kapcsolatba kerülő és üzleti információkat megismerő természetes és jogi személyekre, jogi személyiség nélküli gazdasági társaságokra (továbbiakban: külső partnerek) a velük kötött szerződés alapján.

A szabályzat tárgyi hatályában kiterjed a személyes adatok kezelését, feldolgozását megvalósító rendszerekre, folyamatokra.

3 Fogalommeghatározások

Adatfeldolgozó:

az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Az adatfeldolgozó az adatkezelő rendelkezése szerint vehet igénybe további adatfeldolgozót.

Adatkezelés:

a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Adatkezelő:

az a természetes, vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely

a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Adattovábbítás:

az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.

Adattörlés:

az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé ne legyen lehetséges.

Adatvédelmi incidens (esemény):

a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

BI:

Biztonsági Igazgatóság

Biometrikus adat:

egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását.

BVI:

Beszerzési és Vagyongazdálkodási Igazgatóság

BFIVO:

Fizikai Infrastruktúravédelmi Osztály

DMÜ Zrt.:

Digitális Magyarország Ügynökség Zrt.

Érdekmérlegelési teszt:

a Pro-M Zrt. szervezeti egységeinél kezelt személyes adatok kezelésének jogos érdekre való hivatkozása esetén a társaság adatvédelmi tisztviselője által az érintett szervezeti egység vezetőjének közreműködésével elkészített dokumentum, melynek célja az adatkezelés indokoltságának alátámasztása.

Érintett:

bármely információ alapján azonosított vagy azonosítható természetes személy.

Azonosítható természetes személy:

az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Érintettek jogai:

a GDPR 12-22. cikkben szabályozott jogok.

Felhasználó:

az EDR kormányzati célú hírközlési szolgáltatást használó vagy igénybe vevő jogi személy, valamint

más szervezet /346/2010. (XII.28.) Korm. rendelet 3. számú melléklet/.

Felhasználói szerződés:

a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendelet 14.§ f) pontja szerinti, az EDR használatához megkötni előírt szerződés.

GVIGH:

Gazdasági vezérigazgató-helyettes

GVIGH irányítási területe:

a Gazdasági vezérigazgató-helyettes irányítási területe

Harmadik fél:

az a természetes, vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, vagy az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

Hatóság:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

Hozzájárulás:

az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

HRI:

HR Igazgatóság

JMI:

Jogi és Megfelelési Igazgatóság

KHÜVIGH:

Közigazgatási Hálózatok Üzletág Vezérigazgató-helyettes

KHÜVIGH irányítási területe:

Közigazgatási Hálózatok Üzletág Vezérigazgató-helyettes irányítási területe

Közszolgáltatási Szerződés:

a Digitális Magyarország Ügynökség Zrt. (DMÜ) és a Pro-M Zrt. között létrejött, az Egységes Digitális Rádiótávközlő Rendszer működtetéséről rendelkező szerződés.

Különleges adat:

a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

MNOC:

Mobil Hálózatirányítási Osztály

MÜVIGH:

Mobil Üzletág Vezérigazgató-helyettes

SZTO:

Szakrendszeri Támogató Osztály

Nemzetbiztonsági ellenőrzés:

a nemzetbiztonsági szolgálatok által végzett nemzetbiztonsági ellenőrzés célja annak vizsgálata, hogy fontos és bizalmas munkakörre jelölt, illetve az ilyen munkakört betöltő személyek megfelelnek- e az állami élet és a nemzetgazdaság jogszerű működéséhez szükséges, valamint – amennyiben szükséges – a nemzetközi kötelezettségvállalásokból fakadó biztonsági feltételeknek.

Nyilvánosságra hozatal:

az adat bárki számára történő hozzáférhetővé tétele.

OHÜVIGH:

Oktatási Hálózatok Üzletág Vezérigazgató-helyettes

OHÜVIGH irányítási területe:

Oktatási Hálózatok Üzletág Vezérigazgató-helyettes iránytási területe

Összeférhetetlenség:

érdekkonfliktus, mely olyan, a Társaság vezérigazgatójának 51. számú utasításában foglalt előírásokba ütköző munkavállalói tevékenység folyatása, illetve magatartás tanúsítása folytán keletkezik, amely a Társaság, mint munkáltató jogos gazdasági érdekeit veszélyezteti vagy sérti és ezáltal en az nem összeegyeztethető a munkáltató, illetve a munkavállaló által végzett tevékenységgel.

SZPI:

Számviteli és Pénzügyi Igazgatóság Személyes adat:

azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

TBO:

Telephely Bérleménykezelési Osztály

Vagyonnyilatkozat-tételi kötelezettség:

Az egyes vagyonnyilatkozat-tételi kötelezettségekről szóló 2007. évi CLII. törvény rendelkezéseire is figyelemmel a Társasággal munkaviszonyban vagy egyéb jogviszonyban álló egyes személyeknek vagyonnyilatkozat-tételi kötelezettsége áll fenn. A vagyonnyilatkozatok megtételének részletes eljárásrendjét a vonatkozó vezérigazgatói utasítás szabályozza.

VK:

Vezérigazgatói Kabinet

4 Személyes adatok kezelésének szabályai

a) A Társaság, a 2011. évi CXII. az információs önrendelkezési jogról és az információszabadságról szóló törvényben és a GDPR-ban foglaltaknak megfelelően (az adatok megjelenési formájától függetlenül) betartja az adatkezelés törvényes elveit, megőrzi a személyes adatok bizalmasságát. Gondoskodik azok biztonságáról, valamint megteszi a szükséges technikai és szervezési intézkedéseket, kialakítja a megfelelő eljárási szabályokat.

b) A személyes adatok védelmére papír alapon a mindenkor hatályos iratkezelési szabályok, elektronikus formában az informatikai rendszerekhez, az információvédelemhez kapcsolódó információ biztonsági szabályok, eljárások, módszerek az irányadóak.

c) A Társaság valamennyi vezetője és munkavállalója köteles a Társaság által végzett adatkezelés során a személyes adatokat bizalmasan, a vonatkozó jogszabályoknak, valamint a belső szabályoknak megfelelően kezelni és védeni.

d) A személyes adatok bizalmas kezelésére vonatkozó kötelezettség megszegéséért a Társaság vezetői és munkavállalói a jogszabályok és belső utasítások szerinti felelősséggel tartoznak.

e) Ugyancsak a személyes adatok bizalmas kezelésére vonatkozó kötelezettség terheli a szerződéses együttműködő partnereket és azok kapcsolódó vállalkozásait a velük kötött szerződések szerint a személyes adatok kezeléséről szóló megállapodásnak megfelelően.

f) A Társaság, mint adatkezelő, olyan személyes adatokat kezel, amelyek szerződés teljesítéséhez, a Társaság jogos érdekeinek érvényesítéséhez, közérdekű feladat ellátásához, jogi kötelezettség teljesítéséhez szükségesek, vagy amelyek kezeléséhez az érintett hozzájárult.

g) Különleges adat csak külön jogszabályban előírt kötelező adatkezelési esetekben kezelhető.

h) A Társaság a Közszolgáltatási Szerződésben, illetve a Felhasználóval kötött Felhasználói szerződésben, továbbá a feladatellátásával összefüggésben megkötött egyéb adatfeldolgozói, illetve közös adatkezelői megállapodásokban meghatározottak szerint adatfeldolgozói feladatokat lát el. Az adatfeldolgozás során a Társaság biztosítja a folyamat átláthatóságát, valamint azt, hogy az adat felhasználása konkrét cél érdekében történjen. Az

adatkezelés jogszerűségének és az érintettek jogainak védelme érdekében megfelelő technikai és szervezési intézkedéseket hajt végre.

5 A Társaság által kezelt, vagy feldolgozott személyes adatok köre

5.1 A munkaviszonyhoz kapcsolódó adatok kezelése

5.1.1. A Társaság a meghirdetett üres állások betöltésére irányuló eljárások során az alábbi szabályokat alkalmazza:

a) A kezelt adatok köre: név, állandó lakcím, tartózkodási hely, telefonszám, e-mail cím, születési hely, idő, valamint az elküldött fényképek, kísérőlevelek, önéletrajzok, pályázatok, valamint az azokban megadott egyéb személyes adatok.

b) Az adatkezelés célja: a Társaságnál betöltendő állásra történő jelentkezés, a kiválasztási eljárásban való részvétel.

c) Adatkezelő: a Társaság

d) Adatfeldolgozó: –

e) Az adatkezelés/adatfeldolgozás jogalapja: az érintett önkéntes hozzájárulása

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: a pályázat benyújtásától

számított hat hónap.

A munkaadó, mint adatkezelő a kiválasztási folyamat során, és azt követően legfeljebb egy évig munkaerő kiválasztási célból kezeli a megadott személyes adatokat. A meghirdetett állásokra történő jelentkezés során megadott személyes adatokat a Társaság, mint adatkezelő az arra rendszeresített jelöltkezelő alkalmazásban a pályázat benyújtásától számított 6 (azaz hat) hónapig tárolja. Ezen időtartam lejártát követően a tárolt adatok automatikusan törlésre kerülnek a Társaság nyilvántartásából, kivéve, amennyiben az érintett a Társaság által a 6 hónapos határidő lejártát megelőzően tett megkeresésre írásban hozzájárulását adja adatai további kezeléséhez az adatkezelés eredeti határidejétől számított további 6 (azaz hat) hónap időtartamra.

g) Hozzáférés az adatokhoz: A tárolt adatokhoz a HRI megbízott munkatársai férnek hozzá.

A vezérigazgató és az igazgatók, valamint az álláspályázattal érintett szakterületek vezetői (szakmai terület illetékességét figyelembe véve) elektronikusan kapják meg az adatokat, egyéb személynek hozzáférési jogosultsága nincs.

h) Adattovábbítás, adatszolgáltatás: –

Az adatszolgáltatás elmaradásának lehetséges következményei: az érintett nem tud jelentkezni a

Társaság által meghirdetett állásajánlatokra.

5.1.2. A Társaság a munkavállalói vonatkozásában végzett adatkezelése:

A Társaság szervezeti keretein belül a munkavállalókkal, azok munkaviszonyával összefüggő adminisztratív feladatok végzéséért felelős szervezeti egység a HRI. Ezen feladatokat a HRI mellett részben a NEXON Vállalkozási és Kereskedelmi Kft. (NEXON Kft.) végzi a Társaság és a NEXON Kft. között e tárgyban létrejött szolgáltatási szerződés keretében, mely szerződések teljesítése során a NEXON Kft. adatfeldolgozói tevékenységet is végez. A munkáltató, mint adatkezelő a munkaviszonnyal összefüggő személyes adataikat, valamint az azokat tartalmazó dokumentumokat a NEXON Kft. részére, mint adatfeldolgozónak átadja a munkáltató munkabér-fizetéssel kapcsolatos kötelezettségei teljesítéséhez, valamint a NEXON Kft. által a Társaság részére nyújtott HR támogató tevékenység ellátásához.

a) A kezelt adatok köre

1. a munkavállalók munkaszerződésben szereplő azonosító és kapcsolattartási adatai (teljes név, szültési név, anyja neve, születési hely és idő, lakcím, értesítési cím, adóazonosító jel, TAJ szám);

2. a munkavállalók társadalombiztosítási ellátások igénybe vételére és járulékfizetésre vonatkozó adatai;

3. a személyi jövedelemadó megfizetésére és az ahhoz kapcsolódó adókedvezményekre vonatkozó adatok (az adókedvezményre jogosító gyermekek vonatkozásában a gyermek neve, születési helye és ideje, anyja neve, adóazonosító jele, valamint TAJ-száma kerül kezelésre),

4. a munkavállalók munkaszerződésben vagy munkaköri leírásban szereplő egyéb személyes adatai (munkakör, beosztás, béradatok, végzettség)

5. tanulmányi szerződésekben és azok végrehajtása körében rögzített személyes

adatok;

6. munkáltatói hitelszerződésekben és azok végrehajtása körében rögzített személyes adatok;

7. a munkavállaló egyészségügyi alkalmassági vizsgálatával kapcsolatosan az érintett neve, születési helye, születési ideje, anyja neve, lakcíme, TAJ száma, munkaköre továbbá a munkavállaló egészségi alkalmasságára, munkabalesetére, foglalkozási megbetegedésére vonatkozó adatok;

8. a munkavállaló személyi nyilvántartásának részeként kezelt, a munkavállaló által szolgáltatott további adatok (a munkavállaló telefonszáma, e-mail címe, bankszámlaszáma, továbbá önéletrajzok, munkaviszonnyal összefüggő egyéb nyilatkozatok);

b) Az adatkezelés célja

A munkáltatói jogkör gyakorlásával, a munkavállalókkal, munkaviszonnyal, megbízási jogviszonnyal és azok keretében végzett feladatokkal, valamint a munkaviszonyból származó jogok gyakorlásával és kötelezettségek teljesítésével – ide értve a NEXON Kft. általi HR támogató tevékenység ellátását és a bérszámfejtési feladatokat is -, személyhez rendelhető eszközök nyilvántartásához kapcsolódó, továbbá speciális esetekkel (pl. EU forrásokból finanszírozott oktatások, projektek elszámolási kötelezettsége) összefüggő ügyintézéshez szükséges és elégséges mértékű és terjedelmű személyes és pénzügyi adatok kezelése.

c) Adatkezelő A Társaság.

A Társaság szervezetén belül a kapcsolódó HR jellegű feladatokat a HRI megbízott munkatársa, eszköznyilvántartáshoz kapcsolódóan tematikusan a BVI megbízott munkatársai végzik.

d) Adatfeldolgozó:

 egyes munkaügyi, bérszámfejtési, HR támogató tevékenységekhez kapcsolódóan a hatályos megbízási szerződés alapján a NEXON Kft. (székhelye: 1138 Budapest, Váci út 185; cégjegyzékszáma: 01 09 062647; telefon: (06 1) 465 5100; e-mail: on@nexon.hu.)

e) Az adatkezelés/adatfeldolgozás jogalapja

Az adatkezelés a GDPR 6. cikk (1) bekezdés e) pontja alapján közérdekű feladat ellátásához szükséges.

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A Társaság az a) pontban meghatározott adatokat a munkaviszony megszűnését követő 3 (azaz három) évig kezeli, ide nem értve i) az adó megállapításához, illetve a társadalombiztosítási ellátásokhoz kapcsolódó, ii) a személyi jövedelemadó megfizetésére és az ahhoz kapcsolódó

adókedvezményekre vonatkozó adatokat, melyeket a Társaság a munkaviszony megszűnését követő 5 (azaz öt) évig kezel. .

g) A nyilvántartás módja

A hivatkozott adatok nyilvántartása a Társaságnál elsősorban Excel állományok kezelésével valósul meg. Az állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett fájlszerveren tárolódnak, dedikált könyvtárban, a Microsoft Windows operációs rendszer jogosultsági rendszerével, valamint jelszóval védetten. A fájlszerver tartalma rendszeresen mentésre kerül, a mentett állományok a TÜK helyiségben, illetve földrajzilag elkülönült tárolást biztosító adattárolóban kerülnek elhelyezésre.

Az adatfeldolgozási szerződésben érintett NEXON Kft. az adatokat az általa üzemeltetett adatbázisban tárolja és a rendszeresített adatbázis kezelő rendszerrel, feldolgozó szoftverrel kezeli. Az eszközgazdálkodási nyilvántartáshoz kapcsolóan, az adatokat SAP rendszerben tematikusan az BVI munkatársai kezelik.

h) Hozzáférés az adatokhoz

A tárolt adatokhoz a HRI megbízott munkatársa fér hozzá.

A vezérigazgató és az igazgatók, valamint a Belső Ellenőrzési Osztály vezetője (szakmai terület illetékességét figyelembe véve) elektronikusan kapják meg az adatokat.

Az SZTO kijelölt rendszergazdája részére az üzemszerű mentések és archiválások végrehajtása érdekében a fájlszerveren tárolt adatokhoz hozzáférés biztosított. A hozzáférés minden esetben naplózásra kerül.

Az SAP rendszerben az adatokhoz a Társaság 6. számú vezérigazgatói utasítása (továbbiakban: IBSZ) jogosultság beállításával kapcsolatos szabályainak megfelelően beállított jogosultak férnek hozzá.

i) Adattovábbítás, adatszolgáltatás

Az adatok továbbítására sor kerülhet az adatfeldolgozó részére, illetve az adatok megismerésére jogszabály által feljogosított szervek (pl büntető ügyben eljáró hatóság, bűnüldöző szervezetek, vagy nemzetbiztonsági szolgálatok) részére, továbbá az alább felsorolt egyéb személyek és szervezetek részére a feladat elvégzéséhez szükséges terjedelemben és ideig.

A munkavállaló foglalkoztatásának egyik alapfeltétele az előírt alkalmazást megelőző, valamint kötelező időszakos munka alkalmassági orvosi vizsgálaton való megfelelés. Az ehhez kapcsolódó feladatokat az érintett szerződéses partner végzi.

Adatátadás kizárólag az alkalmazást megelőző orvosi vizsgálat előtt történik, melyek keretében az érintett neve, születési helye, születési ideje, anyja neve, lakcíme, TAJ száma, munkaköre kerül átadásra.

5.2 Szolgálati mobiltelefon használattal összefüggő adatkezelés

A Társaság, a munkavállalók számára szolgálati mobiltelefont biztosít, alapvetően munkavégzéssel kapcsolatos kommunikációra.

A Társaság a magántitkot védi, a beszélgetések tartalmának megismerését tiltja. (A vonatkozó szabályokat a „Pro-M Zrt. szolgálati mobiltelefon használati rendjéről” szóló 94. számú vezérigazgatói utasítás tartalmazza.)

A munkavállaló rendelkezésére bocsátott szolgálati mobiltelefon készülékről bonyolított hívások adataihoz, illetve bármely, a szolgálati mobiltelefon használattal összefüggő munkavállalói személyi adathoz, amely nem szükséges a munkavállaló elérhetőségének biztosításához, a munkáltató nevében eljáró személy csak akkor jogosult hozzáférni, ha erre jogszabályi felhatalmazással bír és ehhez az érintett munkavállaló a hozzájárulását előzetesen megadta.

a) A kezelt adatok köre

Az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.) 154. §-a és 157.§-a szerinti személyes,

forgalmi és számlázási adatok, valamint a A Pro-M Zrt. szolgálati mobiltelefon használati rendjéről

szóló 94. számú VIG utasítás 1. számú mellékete szerinti költségtérítéssel kapcsolatos adatok (név,

törszszám, lakcím).

b) Az adatkezelés célja

A társaság munkavállalóinak mobiltelefonon történő elérhetőségének biztosítása, valamint a

magánhasználattal kapcsolatos elszámolás.

c) Adatkezelő

A Társaság és a Magyar Telekom Nyrt.

A Társaság tekintetében az adatkezeléssel összefüggő egyes feladatok elvégzéséért a GVIGH irányítási területének megbízott munkatársa felelős.

d) Adatfeldolgozó: –

e) Az adatkezelés/adatfeldolgozás jogalapja

Az adatok kezelésének jogszabályi alapja a használat során keletkezett költségkeret túllépéseknek, valamint kifejezetten magán használat miatti térítéseknek a munkavállaló munkabérből történő levonásával összefüggésben keletkezett, a 94. számú VIG utasítás 1. számú melléklete szerinti adatok tekintetében a munkavállaló hozzájárulása. A szolgálati mobiltelefon használatával összefüggésben kezelt további, az Eht 154. § és 157. § szerinti adatok tekintetében az adatkezelés GDPR 6. cikk (1) bekezdés e) pontja alapján közérdekű feladat végrehajtásához szükséges.

Nyilvánosan elérhető mobiltelefon szolgáltatás esetén az elektronikus hírközlési szolgáltató (MT Nyrt.) is adatkezelőnek minősül törvényi felhatalmazás alapján, az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.) 154. § alapján kezelhet személyes adatot, az Eht. 157.§ alapján forgalmi és számlázási adatot.

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A tárolt adatok a hivatkozott törvényben (Eht.) meghatározott határidő (elévülési idő) eltelte után azonnal törlésre kerülnek az elektronikus hírközlési szolgáltató részéről, illetve a munkavállaló munkaviszonyának megszűnését követően a Társaság részéről.

g) A nyilvántartás módja

A hivatkozott adatok nyilvántartása a társaságnál elsősorban Excel állományok kezelésével valósul meg. Az állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett fájlszerveren tárolódnak, dedikált könyvtárban, a Windows jogosultsági rendszerével, valamint jelszóval védetten. A fájlszerver rendszeresen mentésre kerül, a mentett állományok a TÜK helyiségben, illetve földrajzilag elkülönült tárolást biztosító adattárolóban kerülnek elhelyezésre.

h) Hozzáférés az adatokhoz

Az adatokhoz a GVIGH irányítási területének illetékes munkatársai férnek hozzá, a szükséges mértékben.

i) Adattovábbítás, adatszolgáltatás

Az érintett adatok vonatkozásában adattovábbítás kizárólag a számlák elkészítése érdekében a

Magyar Telekom Nyrt. felé az ehhez szükséges mértékben történik.

5.3 Munkavállalói Internet használattal összefüggő adatkezelés

Az IBSZ 6. számú melléklete tartalmazza az Internethasználattal kapcsolatos szabályokat, valamint

az IBSZ tartalmazza a munkavállalói tájékoztatást.

Munkavállaló által használt Internet hozzáférés során látogatott oldal, az ebből levonható következtetés az érintett személyes adatának tekintendő, melyet – mivel az adatkezeléshez a hatályos törvényi rendelkezések nem teremtenek jogalapot – csak akkor ismerheti meg a munkáltatói jogkört gyakorló személy, ha ahhoz az érintett hozzájárult. Ebben az esetben az adatokhoz az

ellenőrzésre jogosult vezető juthat hozzá, az adatokat pedig csak az előre meghatározott célból és ideig kezelheti.

a) A kezelt adatok köre:

a munkavállalók internethasználata során keletkező naplóadatok

b) Az adatkezelés célja

A társaság munkavállalóinak internet használat jogosságával összefüggő ellenőrzése, valamint a

közérdekű feladatellátás hatékonyságának biztosítása.

c) Adatkezelő

A Társaság.

Az egyes adatkezelésekkel összefüggő feladatok elvégzéséért a BI megbízott munkatársa felel.

d) Adatfeldolgozó: –

e) Az adatkezelés/adatfeldolgozás jogalapja

Az adatkezelés a GDPR 6. cikk (1) bekezdés e) pontja alapján a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendelet 3. § (3) bekezdés szerinti közérdekű feladat ellátásához szükséges.

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A tárolt adatok a munkaviszonyból származó igények elévülési idejének elteltét követően azonnal

törlésre kerülnek.

g) A nyilvántartás módja

Az állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett fájl szerveren tárolódnak. A fájl szerver rendszeresen mentésre kerül, a mentett állományok a TÜK-ben, illetve földrajzilag elkülönült tárolást biztosító adattárolóban kerülnek elhelyezésre.

h) Hozzáférés az adatokhoz

Az adatokhoz a BI és az MÜVIGH illetékes munkatársai férnek hozzá, a szükséges mértékben.

i) Adattovábbítás, adatszolgáltatás

Az érintett adatok vonatkozásában adattovábbítás nem történik.

5.4 A munkavállalónak nem munkavégzésével összefüggő, vállalati informatikai rendszerben kezelt személyes adataival, magánlevelezésével összefüggő adatkezelés

A Társaság a szakmai munka végzéséhez számítástechnikai eszközöket bocsát a munkavállaló rendelkezésére, illetve informatikai rendszerek, alkalmazások használatát vezeti be, üzemeltetését biztosítja.

Mindezek alapvetően a vállalat érdekében használhatóak, ugyanakkor nem kerülhető el esetenként, bizonyos feltételrendszerben, a lehető legkisebb mértékű magánhasználat.

Ennek szabályait és a számítástechnikai eszközön tárolt adatokhoz a Társaság érdekében, kijelölt személy által történő eseti hozzáférés feltételeit az IBSZ 6. számú melléklete vonatkozó fejezetei tartalmazzák.

A munkavállaló a személyes adatok tárolásával és az ahhoz történő hozzáférés szabályainak megismerésével kapcsolatos nyilatkozatát az IBSZ 6. számú melléklet 1. számú függeléke tartalmazza.

a) A kezelt adatok köre:

a munkavállaló által nem a munkavégzésével összefüggésben a vállalati informatikai rendszerben kezelt adatok

b) Az adatkezelés célja

A Társaság által végzett adatkezelés az informatikai rendszer biztonságának fokozása és az adatbiztonság elvének biztosítása érdekében történik.

c) Adatkezelő

A Társaság és a munkavállaló.

Az adatkezeléssel kapcsolatos feladatokat személyesen az MÜVIGH megbízott munkatársa végzi.

d) Adatfeldolgozó:-

e) Az adatkezelés/adatfeldolgozás jogalapja

Az adatkezelés a GDPR 6. cikk (1) bekezdés e) pontja alapján a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendelet 3. § (3) bekezdése szerinti közérdekű feladat ellátásához szükséges.

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A tárolt adatok a munkaviszonyból származó igények elévülési idejének elteltét követően törlésre kerülnek.

g) A nyilvántartás módja

Az érintett adatokat a Társaság az általa üzemeltetett adatbázisban tárolja és a rendszeresített

adatbázis kezelő rendszerrel, feldolgozó szoftverrel kezeli.

h) Hozzáférés az adatokhoz

Az adatokhoz az MÜVIGH kijelölt munkatársa fér hozzá.

i) Adattovábbítás, adatszolgáltatás

A nyilvántartott adatok körében adattovábbításra nem kerül sor.

A vállalati levelezőrendszer használatához a munkavállaló rendelkezésére bocsátott e-mail címet a munkaviszony megszűnése után az informatikai rendszerben használt account zárolásával fel kell függeszteni, ezzel az alkalmazásokba bejelentkezés magakadályozása megtörténik. A megszűnt e- mail címre érkező levél küldőjét automatikus válaszlevélben kell tájékoztatni az e-mail cím megszűnéséről. (Abban az esetben, ha arra mód van, tájékoztatni kell a küldőt arról is, hogy amennyiben magánjellegű levelet kívánt eljuttatni a címzettnek, azt más módon kell megtennie, ha pedig a levél hivatalos jellegű volt, akkor azt mely más címre továbbítsa.) Az automatikus válasz beállíttatása, és meglétének ellenőrzése a távozó dolgozó felettesének feladata.

5.5 A kép, illetve hangfelvételekkel kapcsolatos adatkezelés (a biztonsági videó megfigyelő, illetve beléptető rendszer kivételével)

Kezelt adatok köre:

– Társasági rendezvényeken készült kép és hangfelvételek

– A Társaság levelezőrendszerében és informatikai rendszerében dolgozók azonosítására szolgáló fényképfelvételek

a) Az adatkezelés célja

– Társasági rendezvényeken készült felvételek esetében a munkavállalók, illetve a nyilvánosság tájékoztatása a Társaságot érintő eseményekről, PR tevékenység.

– A Társaság levelezőrendszerében és informatikai rendszerében rögzített, munkavállalókat ábrázoló egyéb fényképek esetében a munkavállalók azonosíthatósága.

b) Adatkezelő

A Társaság.

c) Adatfeldolgozó –

d) Az adatkezelés/adatfeldolgozás jogalapja

Fénykép, videofelvétel készítésére csak az érintett hozzájárulásával kerülhet sor.(GDPR 6. cikk (1) bekezéds a) pont.

A nyilvános munkahelyi rendezvényein készült tömegfelvételek (ide értve a videofelvételt is) esetében a Társaság a rendezvényen való részvételt ráutaló magatartással történő hozzájárulásnak értelmezi, és ennek megfelelően kezeli az ott keletkezett adatokat.

Egyedi ábrázolású felvételek (ide értve a videofelvételt is) esetében az érintett kifejezett hozzájárulása alapján kerülhet sor adatkezelésre.

A társaság levelezőrendszerében és informatikai rendszerében dolgozók azonosítására szolgáló fényképfelvételek esetében a Társaság a munkavállalók azonosíthatósága céljából, a kormányzati célú hálózatokról szóló 346/2010 (XII. 28.) Korm. rendelet 3 § (3) bekezdése szerinti közérdekű feladatellátás végrehajtása érdekében kezeli az adatokat (GDPR 6. cikk. (1) bekezdés e) pont).

e) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A rendezvényen készült felvételek esetében az érintett hozzájárulásának visszavonásáig, a levelezőrendszerében és informatikai rendszerében dolgozók azonosítására szolgáló fényképfelvételek esetében a munkaviszonyból származó igények elévüléséig.

f) A nyilvántartás módja

Az állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett fájl szerveren tárolódnak dedikált könyvtárban, a Windows jogosultsági rendszerével, valamint jelszóval védetten. A fájl szerver rendszeresen mentésre kerül, a mentett állományok a TÜK-ben, illetve földrajzilag elkülönült tárolást biztosító adattárolóban kerülnek elhelyezésre.

g) Hozzáférés az adatokhoz

A Pro-M Zrt alkalmazásában álló természetes személyek férnek az adatokhoz, a szükséges mértékben. A Társasági rendezvényeken készült felvételek esetében adatkezeléssel összefüggő feladatokat az ÜFKI megbízott munkatársa végzi.

A Társaság levelezőrendszerében és informatikai rendszerében rögzített, munkavállalókat ábrázoló egyéb fényképek esetében az adatkezeléssel összefüggő feladatokat a HRI, a BI és az SZTO munkatársai végzik.

h) Adattovábbítás, adatszolgáltatás

A jelzett adatok tekintetében adattovábbításra a Társaság részéről nem kerül sor.

5.6 A nemzetbiztonsági ellenőrzéssel összefüggő személyes adatok kezelése

A nemzetbiztonsági ellenőrzés keretében érintett munkavállalók személyes adatainak kezelését érintő előírásokat a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény vonatkozó rendelkezései, valamint a Társaság vezérigazgatójának 22. számú utasítása tartalmazza.

a) A kezelt adatok köre:

A nemzetbiztonsági ellenőrzések kezdeményezéséről, a biztonsági kérdőívek átadásáról és visszavételéről, a nemzetbiztonsági szakvéleményekről, a nemzetbiztonsági ellenőrzések érvényességi dátumára vonatkozó adatok, a Személyi Biztonsági Tanúsítványban (SZBT) megjelölt adatok (név, születési hely, születési idő, állampolgársága); a titoktartási nyilatkozatban megjelölt adatok (név, születési hely, idő és anyja neve) továbbá a biztonsági szakvéleményben szereplő adatok:

– a nemzetbiztonsági ellenőrzés alá eső személy neve, anyja neve, születési hely, idő,

– a nemzetbiztonsági ellenőrzés kezdő időpontja,

– a nemzetbiztonsági kockázat hiányának megállapítása vagy a nemzetbiztonsági kockázat megállapítása és megállapításának indokai.

b) Az adatkezelés célja

A nemzetbiztonsági ellenőrzéshez kötött jogviszony létrehozása, fenntartása, 1995. évi CXXV. törvény vonatkozó rendelkezéseinek történő megfelelés.

c) Adatkezelő

A Társaság.

Az adatkezeléssel összefüggő feladatokat a VK és a BI kijelölt munkatársai végzik.

A nemzetbiztonsági szolgálatok (Nemzeti Biztonsági Felügyelet, Alkotmányvédelmi Hivatal) az 1995. évi CXXV. törvényben meghatározott feladataik ellátása keretében szintén adatkezelőnek minősülnek.

d) Adatfeldolgozó: –

e) Az adatkezelés/adatfeldolgozás jogalapja

A nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény és a 90/2010. (III. 26.) Korm. rendelet vonatkozó rendelkezései alapján jogi kötelezettség teljesítése (GDPR rendelet 6. cikk (1) bekezdés c) pont).

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvényben meghatározott időtartam elteltével kerülnek törlésre az adatok a nemzetbiztonsági szolgálatok részéről.

Kitöltött adatlap: elküldést követően azonnal; Ellenőrzés eredménye: munkaviszony fennállásáig+30 nap; Alapadatok: munkaviszony fennállásáig + 8 év. Az SZBT megsemmisítése lejárat vagy kilépést követő 1 éven belül megtörténik. A titoktartási nyilatkozatot 8 évig kell megőrizni kilépést követően.

g) A nyilvántartás módja

Azadatok nyilvántartása a társaságnál elsősorban Excel állományok kezelésével valósul meg. Az állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett fájl szerveren tárolódnak dedikált könyvtárban, a Windows jogosultsági rendszerével, valamint jelszóval védetten. A fájl szerver rendszeresen mentésre kerül, a mentett állományok a TÜK-ben, illetve földrajzilag elkülönült tárolást biztosító adattárolóban kerülnek elhelyezésre.

h) Hozzáférés az adatokhoz:

Az adatokhoz a VK és a BI kijelölt munkatársai férnek hozzá.

i) Adattovábbítás, adatszolgáltatás:

Adattovábbítás nem történik.

5.7 Összeférhetetlenségi nyilatkozat

A Társaság munkavállalóinak összeférhetetlenségi nyilatkozatainak kezelését, a személyes adatokat megismerők körét a Társaság vezérigazgatójának 51. számú vezérigazgatói utasítása szabályozza.

a) A kezelt adatok köre

Az 51. számú vezérigazgatói utasítás mellékleteiben meghatározott adatok.

b) Az adatkezelés célja

A társaságnál nyilatkozattételre köteles személyek esetleges összeférhetetlenségének megállapítása, a nyilatkozatok nyilvántartása.

c) Adatkezelő

A Társaság.

d) Adatfeldolgozó:-

e) Az adatkezelés/adatfeldolgozás jogalapja

Az adatkezelés a GDPR 6. cikk (1) bekezdés e) pontja alapján a kormányzati célú hálózatokról szóló 346/2010 (XII. 28.) Korm. rendelet 3. § (3) bekezdése szerinti közérdekű feladat ellátásához szükséges.

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A jelzett adatok törlésének időpontja a hatályos iratkezelési szabályzatban meghatározott időtartam

eltelte után.

g) A nyilvántartás módja

Papír alapon kezelt iratokat digitalizálás után az érintett személyügyi anyagában kerülnek elhelyezésre. Az informatikai rendszerben tárolt állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett fájl szerveren tárolódnak dedikált könyvtárban, a Windows jogosultsági rendszerével, valamint jelszóval védetten. A fájl szerver rendszeresen mentésre kerül, a mentett állományok a TÜK helyiségben, illetve földrajzilag elkülönült tárolást biztosító adattárolóban kerülnek elhelyezésre.

h) Hozzáférés az adatokhoz

Az érintett adatokhoz a munkakör szerint illetékes vezető, illetve a vezérigazgató és az általa

felhatalmazott egyéb személyek, továbbá a HRI munkatársai férnek hozzá.

i) Adattovábbítás, adatszolgáltatás

Az érintett adatok vonatkozásában adattovábbítás nem történik.

5.8 Vagyonnyilatkozat

A vagyonnyilatkozat tételre kötelezett személyek által tett vagyonnyilatkozatok kezelésének, védelmének és megismerésének szabályait és eljárásrendjét a Társaság vezérigazgatójának 66. számú utasítása tartalmazza.

a) A kezelt adatok köre

Egyes vagyonnyilatkozat-tételi kötelezettségekről szóló 2007. évi CLII. törvényben meghatározott adatok.

b) Az adatkezelés célja:

Az egyes vagyonnyilatkozat-tételi kötelezettségekről szóló 2007. évi CLII. törvény rendelkezéseinek történő megfelelés

c) Adatkezelő:

Társaság, illetve törvény 3.§ (3) bekezdésének c) pontjának hatálya alá tartozó kötelezettek esetében a DMÜ Zrt. (A vagyonnyilatkozattételi-kötelezettség teljesítésével összefüggő egyes adminisztratív feladatok – őrzés, továbbítás, nyilvántartás- elvégzéséért a JMI felelős.)

d) Adatfeldolgozó:-

e) Az adatkezelés/adatfeldolgozás jogalapja:

Az egyes vagyonnyilatkozat-tételi kötelezettségekről 2007. évi CLII. törvény 3.§-ában foglalt jogi kötelezettség teljesítése.

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja:

Amennyiben a vagyonnyilatkozat-tételi kötelezettség megszűnt, vagy a kötelezett új vagyonnyilatkozatot tett, a JMI tájékoztatja a kötelezettet, hogy a zárt borítékban elhelyezett vagyonnyilatkozat mikor, hol és milyen módon vehető át. A vagyonnyilatkozat-tételi kötelezettséget megalapozó jogviszony, beosztás, munka- vagy feladatkör megszűnése esetén, a JMI-nak a megszűnéstől számított három évig kell őrznie a vagyonnyilatkozat általa addig őrzött példányát, valamint a jogviszony, beosztás, munka- vagy feladatkör megszűnése alapján tett vagyonnyilatkozatot (ún. záró vagyonnyilatkozatot).

g) A nyilvántartás módja:

A vagyonnyilatkozatokat tartalmazó borítékokat, valamint a vagyonnyilatkozattételi eljárás és az ellenőrzési eljárás során keletkezett iratokat páncélszekrényben, elkülönítetten kell megőrizni, a keletkezett dokumentumok és adatok védelmének biztosítása a JMI feladata.

A DMÜ Zrt. részére megküldött dokumentumok nyilvántartásáról a DMÜ Zrt. gondoskodik.

h) Hozzáférés az adatokhoz:

A vezérigazgató kizárólagos joga – a 2007. évi CLII. törvény 3.§ (3) bekezdésének c) pontjának hatálya alá tartozó kötelezettek kivételével a vagyonnyilatkozat tartalmának megismerése (megismerésre jogosult továbbá – a feltétlenül szükséges mértékben – a meghallgatás során eljáró jegyzőkönyvvezető).

A vagyonnyilatkozatokkal kapcsolatban a JMI adattovábbítási, nyilvántartási, megőrzési feladatokat végez az adatok megismerése nélkül.

Vagyongyarapodási vizsgálat lefolytatása esetén az adóhatóság fér hozzá az adatokhoz.

i) Adattovábbítás, adatszolgáltatás:

A 2007. évi CLII. törvény 3.§ (3) bekezdésének c) pontjának hatálya alá tartozó kötelezettek esetében a DMÜ Zrt. részére kerülnek a vagyonnyilatkozatok továbbításra, vagyongyarapodási vizsgálat lefolytatása feltételeinek fennállása esetén pedig az adóhatósághoz.

5.9 a TETRA bázisállomások felügyeleti rendszere (TPNM) használata során keletkező

adatok kezelése

a) A kezelt adatok köre:

A Társaság által üzemeltetett EDR rendszer berendezéseinek egy része a Magyar Telekom Nyrt. (MT Nyrt.) telephelyein található, ahová a bejutás az MT beléptető rendszerein, illetve a TETRA bázisállomások felügyeleti rendszerén (TPNM) keresztül történik. A nem MT Nyrt. telephelyeken található TETRA bázisállomásokhoz a beléptetés a TPNM rendszeren keresztül MT belépőkártya használatával történik.

Az MT belépőkártya biztosítása érdekében személyes adatok kerülnek továbbításra az MT Nyrt-hez. Az átadott adatok köre: név, születési név, anyja neve, születési helye, ideje, személyi igazolvány szám, e-mail cím, arckép másolat, munkahely.

Az MT objektumaiba történő gépjárműves belépési engedély kiadása érdekében a jármű egyedi azonosító jele és az a szervezet kerül átadásra, ahol az érintett személy dolgozik. Ezzel kapcsolatban az MT részére más adat nem kerül átadásra. A gépjárművek használóinak azonosítására szolgáló nyilvántartás (mely tartalmazza az érintett nevét, munkahelyét, elérhetőségét) a Pro-M Zrt.-nél a BFIVO helyiségében tárolandó.

A nyilvántartásban bekövetkezett változást az érintett haladéktalanul, de a változás bekövetkezését követő 5 napon belül köteles írásban jelezni a BFIVO osztályvezetője felé, aki intézkedik a nyilvántartás módosításáról.

A nyilvántartásban szereplő adatok minden év január 31-ig érvényesek, és minden évben aktualizálásra kerülnek. Az aktualizált nyilvántartás megküldését követően az előző évben keletkezett adatokat a Pro-M Zrt. egy évig őrzi, utána törli.

b) Az adatkezelés célja:

Az MT Nyrt. telephelyei igénybe vételének, a telephelyekre történő bejutás biztosítása.

c) Adatkezelő:

A Társaság és a Magyar Telekom Nyrt.

Az adatkezeléssel összefüggő egyes feladatokat a Társaság oldaláról személyesen a BFIVO és az MNOC kijelölt munkatársa látja el.

d) Adatfeldolgozó:-

e) Az adatkezelés/adatfeldolgozás jogalapja:

Az adatkezelés jogalapja az MT Nyrt. oldaláról a belépéssel összefüggő biztonsági célú azonosításhoz fűződő jogos érdek, a Társaság oldaláról a GDPR 6. cikk (1) bekezdésének e) pontja, figyelemmel arra, hogy az adatkezelés a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendelet 3. § (3) bekezdése szerinti közérdekű feladat ellátásához szükséges.

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A jelzett adatok 6 hónap elteltével anonimizálásra kerülnek.

g) A nyilvántartás módja:

A Társaság részéről adattárolásra nem kerül sor, az adatokhoz a Társaság a TETRA bázisállomások felügyeleti rendszere alkalmazásával fér hozzá.

h) Hozzáférés az adatokhoz:

A BI kijelölt munkatársa, illetve a Magyar Telekom Nyrt. fér hozzá az adatokhoz.

i) Adattovábbítás, adatszolgáltatás:

Adattovábbítás a jelzett adatok körében kizárólag a Magyar Telekom Nyrt. részére történik.

5.10 Ügyfelekkel, partnerekkel történő kapcsolattartás, rendezvényszervezés és ügyfélszolgálati támogatás során megvalósuló adatkezelés

a) A kezelt adatok köre

A kapcsolattartókra, illetve az ügyfélszolgálati támogatást igénybe vevő személyekre vonatkozó személyes adatok (név, beosztás, elérhetőség).

b) Az adatkezelés célja:

A Társaság és az ügyfelei, kapcsolatai között megvalósuló együttműködés elősegítése a Társaság szerződéses jogviszonyaival összefüggésben, továbbá az EDR rendszer üzemvitelével kapcsolatos kérdések, a rádióterminálok javításával, cseréjével, a diszpécser munkahelyek javításával, hibaelhárításával összefüggő bejelentések fogadása, a Társaság által tartott rendezvényekről történő tájékoztatás.

c) Az adatkezelés jogalapja:

Az adatkezelés a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendelet 3. § (3) bekezdése szerinti közérdekű feladat ellátásához szükséges, így az adatkezelés jogalapja a GDPR

6. cikk (1) bekezdésének e) pontja, azaz közérdekű feladat ellátása.

d) Adatkezelő:

A Társaság.

A kapcsolattartási adatokra vonatkozó adatkezelési feladatokat az ügyfelekkel történő kapcsolattartás és ügyfélszolgálati támogatás tárgyú szerződések esetén Ügyfélkapcsolati Igazgatóság (továbbiakban: ÜFKI), a BI Hálózatbiztonsági osztály, VPN Központi Menedzser Szervezete, a VK, látja el. A vezérigazgató kapcsolati rendszerének nyilvántartását az ÜFKI erre a feladatra kijelölt munkavállalója végzi. A rendezvényszervezés tárgyú szerződések esetén a kapcsolattartási adatokra vonatkozó adatkezelési feladatokat az ÜFKI.

Az egyéb partnerekkel kötött szerződések esetén a GVIGH irányítási területe a VK, valamint a

szerződéskötést igénylő szakterületi szervezeti egyég kijelölt munkatársai végzik.

e) Adatfeldolgozó: Pápay Ügyvédi Iroda (székhely: 1055 Budapest, Szent István krt. 9. III-em. 5., képviseli: Dr. Pápay Szabolcs ügyvéd, telefon: /06 1/ 769 0150)

f) Az adatkezelés határideje / a kezelt adatok törlésének időpontja:

A kapcsolattartók tekintetében az adott szerződésből származó igények elévülésének időpontjáig, de legkésőbb az érintett munkaviszonyának, illetve beosztásának megszűnéséig (ügyfél által megadott kapcsolattartó esetén az új kapcsolattartó kijelöléséig) tart.

Az ügyfélszolgálati bejelentésekhez kapcsolódó személyes adatok megőrzésének határideje – a felhasználás (panasz, vizsgálat, stb.) esetét kivéve – a Közszolgáltatási Szerződés, illetve a Felhasználói Szerződés érvényességét követő 1 év. Az egyes hibalapokat a 2003. évi C. törvény

141. § (1) rendelkezésének figyelembe vételével a hiba elhárítását követő egy év után törölni kell.

Valamely vizsgálat és a hozzá kapcsolódó eljárás érdekében felhasznált személyes adatot a vizsgálat és a hozzá kapcsolódó eljárás befejezését követő 2 napon belül kell törölni.

g) A nyilvántartás módja:

A kapcsolattartói adatok a Társaság és szerződéses partnere között létrejött szerződésekben, ajánlatokban, megrendelésekben kerülnek rögzítésre, nyilvántartásuk Excel táblázatban történik.

Az ügyfélszolgálati bejelentések adatbázisa a kiemelt biztonsági osztályba tartozó informatikai teremben elhelyezett szerveren található.

Az adatbázisról és a benne végzett műveletek naplóállományairól az általános mentési eljárások szerint 2 példányban mentés, illetve archiválás készül, ami a TÜK-ben, illetve földrajzilag elkülönült tárolást biztosító adattárolóban kerül elhelyezésre.

h) Hozzáférés az adatokhoz:

Az ügyfélszolgálati támogatást igénybe vevő személyek vonatkozásában a hozzáférés az IBSZ vonatkozó mellékletében meghatározott jogosultságok birtokában, a 24 órás ügyfélszolgálati tevékenységet végrehajtó munkatársak jogosultsága. Rendszeradminisztrátori feladatokat az SZTO munkatársa lát el.

A rendszertámogatást nyújtó szerződéses partner munkatársak szükséges mértékű rendszerszintű hozzáférési jogosultsága az IBSZ-ben rögzített követelményekhez igazítottan biztosított. A jogosultság birtokában a szolgáltatási szerződésben rögzített feladatokat a Társaság munkavállalójának felügyelete mellett ellenőrzött körülmények között végzik.

A hozzáférésre jogosultak a Közszolgáltatási Szerződés titoktartási szabályai betartására kötelezettek.

A kapcsolattartói adatokhoz hozzáférni a Társaságnak a szerződések előkészítésében, teljesítésének figyelemmel kísérésében részt vevő szervezeti egységei (ÜFKI, a GVIGH irányítási területe, az MÜVIGH irányítási területe, a BI munkatársai, a VK, továbbá a szerződéskötést igénylő szakterületi szervezeti egyég kijelölt munkatársai a munkavégzéshez megfelelő mértékben), a Pro- M Zrt. vezérigazgatójának közvetlen kapcsolatai esetében a vezérigazgató és a VK kijelölt munkavállalói jogosultak.

Adattovábbítás, adatszolgáltatás:

A Pro-M Zrt. vezérigazgatójának közvetlen kapcsolatai esetében adattovábbítás harmadik fél

irányába nem megengedett.

A kormányzati célú hálózat tervezését a kormányzati célú hálózat előkészítését, létesítését, bővítését, fejlesztését, valamint fenntartását, működtetését és üzemeltetését célzó szolgáltatásokra a kormányzati célú hírközlési szolgáltatás igénybevételéhez szükséges szerződések megkötésére irányuló ajánlatok, valamint az annak alapján megkötésre kerülő szerződéses jogviszonyok kapcsán kezelt ügyféladatok (név, beosztás, elérhetőség) tekintetében adattovábbításra kerül sor a megbízott jogi képviselő (Dr. Pápay Ügyvédi Iroda: székhely: 1055 Budapest, Szent István krt. 9. III-em. 5., képviseli: Dr. Pápay Szabolcs ügyvéd, telefon: /06 1/ 769 0150) részére.

Egyéb partnerek kapcsolattartóinak adatai (név, beosztás, elérhetőség) tekinetében a jogviszonnyal összefüggő jogi szolgáltatás igénybevétele esetén kerül sor adattovábbításra a Pápay Ügyvédi Iroda részére a jogi szolgáltatás igénybevételéhez szükséges adatszolgáltatás érdekében.

5.11 A rádióhálózatban keletkezett hívásforgalmi adatok

Figyelemmel arra, hogy a jelen pont szerinti adatok vonatkozásában a Társaság az EDR felhasználók megbízásából és utasítása szerint adatfeldolgozási tevékenységet végez, a jelen pontban foglalt előírások kizárólag abban az esetben irányadóak – a Társaság 346/2010 (XII.28.) Korm. rendelet 3. melléklet I. táblázat 13.1. pontja szerinti saját VPN-jét a Társaság munkavállalóihoz kapcsolódó adatok tekintetében ide nem értve – amennyiben az adott felhasználó másképp nem rendelkezik.

A rádióhálózatban keletkezett hívásforgalmi adatokat érintően a Társaság részéről nem lehet a személyes jelleget, a személyes adat tartalmat a felhasználó neve és a rádiókészülék azonosítója összepárosíthatóságának hiányában megállapítani, a Társaság által feldolgozott adatok érintetthez történő hozzárendelésére kizárólag a felhasználó képes.

Kivételt képez ez alól a Társaság által használt, a 346/2010 (XII. 28.) Korm. rendelet 3. melléklet I. táblázat 13.1. pontja szerinti saját VPN a Társaság munkavállalóihoz kapcsolódó adatok tekintetében, amelyeknek az adatkezelését a Társaság végzi.

A hívásforgalmi adatok alatt itt a CDR szerveren rögzített és az automatikus helymeghatározással (AVL) kapcsolatos adatok értendők.

a) A kezelt adatok köre

A hívásforgalmi adatok kezelése során kezelt adatok: a rádiókészülékek hívásazonosítója, valamint helymeghatározási adatai. Továbbá rendelkezésre áll a Társaság saját VPN-jében üzemelő rádiók használóinak neve.

b) Az adatok feldolgozásának célja:

A felhasználó érdekében az EDR hálózat közszolgáltatási szerződésben rögzített szolgáltatási szintnek megfelelő működőképességének fenntartása.

c) Az adatfeldolgozás jogalapja

Az adatfeldolgozás a 346/2010. Korm. rendelet 15.§ (9) bekezdésén, valamint a felhasználó és a Társaság által megkötendő – az Általános EDR használati szabályzat által létrehozni előírt – adatfeldolgozási megállapodáson alapul. A Társaság által használt, a 346/2010 (XII.28.) Korm. rendelet 3. melléklet I. táblázat 13.1. pontja szerinti saját VPN a Társaság munkavállalóihoz kapcsolódó adatok tekintetében az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdésének e) pontja.

d) Adatkezelő:

A Pro-M Zrt. a 346/2010 (XII. 28.) Korm. rendelet 3. melléklet I. táblázat 13. pontja szerinti saját VPN kapcsán, a Társaság munkavállalóihoz kapcsolódó adatok tekintetében.

Egyéb esetben a felhasználó.

e) Adatfeldolgozó:

A Társaság.

f) Az adatfeldolgozás határideje a kezelt adatok törlésének időpontja

A tárolt hívásforgalmi adatok megőrzésére az Adatkezelő által meghatározott ideig kerül sor.

A törlés olyan módon valósul meg, hogy az Adatkezelő a nála kezelt adatbázisokat – melyek lehetővé teszik a hívásforgalmi adatok érintetthez történő hozzárendelését – az általa meghatározott időben törli, így a Társaságnál kezelt forgalmi adatok a továbbiakban személyes adatnak nem minősülnek.

g) A nyilvántartás módja

A hívásforgalmi adatok központi adatbázisban helyezkednek el, az állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett szerveren rendezetlen módon kerülnek tárolásra.

h) Hozzáférés az adatokhoz

A saját hívásforgalmi adataihoz hozzáférni jogosult az EDR felhasználó.

A rendszerben lévő hívásforgalmi adatokhoz rendszerszintű jogosultsággal – a feladatuk elvégzéséhez szükséges meghatározott, specifikus jogosultsági elemekkel – a Társaság szervezeti egységei (MÜVIGH irányítási területe, BI, ÜFKI) rendelkeznek. A legfelső szintű rendszerjogosultságot jelszómegosztás elvén a Társaság arra feljogosított munkatársai együttesen, dokumentáltan tudják használni.

A hozzáférésre jogosultak a Közszolgáltatási Szerződés titoktartási szabályainak betartására kötelezettek.

A hívásforgalmi adatokhoz a BI kijelölt munkatársai az adatszolgáltatás végzéséhez szükséges mértékű hozzáférési jogosultsággal rendelkeznek.

Az egyéb hozzáférések (pl. adminisztrátori jogosultságok, stb.) az SZTO által készített dokumentum alapján.

i) Adattovábbítás, adatszolgáltatás

A Pro-M Zrt. adattovábbítást az érintett területen a 346/2010 (XII. 28.) Korm. rendelet 3. melléklet I. táblázat 13. pontja szerinti saját VPN kapcsán, a Társaság munkavállalóihoz kapcsolódó adatok tekintetében nem végez.

A Társaság az EDR felhasználó részére – kérelemre – adatszolgáltatást biztosít.

5.12 A központi hangarchiválás

Figyelemmel arra, hogy a jelen pont szerinti adatok vonatkozásában a Társaság az EDR felhasználók megbízásából és utasítása szerint adatfeldolgozási tevékenységet végez, a jelen pontban foglalt előírások kizárólag abban az esetben irányadóak – a Társaság 346/2010 (XII. 28.) Korm. rendelet 3. melléklet I. táblázat 13.1. pontja szerinti saját VPN-jét a Társaság munkavállalóihoz kapcsolódó adatok tekintetében ide nem értve – amennyiben az adott felhasználó másképp nem rendelkezik.

a) A kezelt adatok köre:

Az érintett végfelhasználó rádióforgalmazás során rögzített hangja.

b) Az adatok feldolgozásának célja:

a Közszolgáltatási Szerződésben meghatározott szolgáltatások teljesítése, illetve a felhasználók részéről a saját VPN-jében történő forgalmazás rekonstrukciója

c) Az adatfeldolgozás jogalapja

Az adatfeldolgozás a 346/2010. Korm. rendelet 15.§ (9) bekezdésén, valamint a felhasználó és a Társaság által megkötendő – az Általános EDR Használati Szabályzat által létrehozni előírt – adatfeldolgozási megállapodáson alapul.

d) Adatkezelő:

a Pro-M Zrt. a 346/2010 (XII. 28.) Korm. rendelet 3. melléklet I. táblázat 13. pontja szerinti saját VPN kapcsán, a Társaság munkavállalóihoz kapcsolódó adatok tekintetében.

Egyéb esetben a felhasználó.

e) Adatfeldolgozó:

a Társaság.

f) Az adatfeldolgozás határideje a / kezelt adatok törlésének időpontja

A központi hangarchívumban tárolt adatok megőrzésére a felhasználó által meghatározott ideig kerül

sor.

g) A nyilvántartás módja

Az AR (Archive Recording rendszer) amely a Társaság szerver-termében van elhelyezve.

h) Hozzáférés az adatokhoz

Az adatokhoz hozzáférni jogosult az EDR felhasználó.

Az AR rendszerhez az SZTO részéről a rendszeradminisztrátori jogosultsággal rendelkezők férnek hozzá a jogosultsági táblában foglaltak szerint.

Az AR rendszerhez a BI kijelölt munkatársai az adatszolgáltatás végzéséhez szükséges jogosultsággal rendelkeznek.

Az AR rendszerben tárolt adatokhoz kizárólag az illetékes felhasználó fér hozzá.

i) Adattovábbítás, adatszolgáltatás

5.13 E-learning támogatással kapcsolatos adatok

Figyelemmel arra, hogy a jelen pont szerinti adatok vonatkozásában a Társaság az EDR felhasználók megbízásából és utasítása szerint adatfeldolgozási tevékenységet végez, a jelen pontban foglalt előírások kizárólag abban az esetben irányadóak – a Társaság 346/2010 (XII. 28.) Korm. rendelet 3. melléklet I. táblázat 13. pontja szerinti saját VPN-jét a Társaság munkavállalóihoz kapcsolódó adatok tekintetében ide nem értve – amennyiben az adott felhasználó másképp nem rendelkezik.

a) A kezelt adatok köre:

a regisztrált végfelhasználó tekintetében: név, születési név, anyja neve, születési helye, ideje, e- mail cím, telefonszám; munkahely.

b) Az adatok feldolgozásának célja:

a Közszolgáltatási Szerződésben meghatározott felhasználói képzések, oktatások megszervezése, megtartása, nyilvántartása, valamint az elvégzett oktatásról, a jogosult kérésére, igazolás kiállítása.

c) Az adatfeldolgozás jogalapja

Az adatfeldolgozás a 346/2010. Korm. rendelet 15.§ (9) bekezdésén, valamint a felhasználó és a Társaság által megkötendő – az általános EDR használati szabályzat által létrehozni előírt – adatfeldolgozási megállapodáson alapul.

d) Adatkezelő:

a Pro-M Zrt. a 346/2010 (XII. 28.) Korm. rendelet 3. melléklet I. táblázat 13. pontja szerinti saját VPN kapcsán, a Társaság munkavállalóihoz kapcsolódó adatok tekintetében.

Egyéb esetben a felhasználó.

e) Adatfeldolgozó

A Társaság.

f) Az adatfeldolgozás határideje / a kezelt adatok törlésének időpontja: a hozzájárulás visszavonását követően haladéktalanul.

g) A nyilvántartás módja

A jogosultak nyilvántartása (az igénylés dátuma, a kiadott user nevek, a hozzáférési időszak és az igénylő szervezet neve) a kijelölt rendszeradminisztrátor desktopján, valamint az általános mentési folyamatoknak megfelelően mentési szerveren történik. A rendszerbe belépett Felhasználók részéről elvégzett kurzusok igazolására szolgáló oklevél kiállításához szükséges adatok (név, születési hely és születési idő – ezek felhasználási szabályairól az e-learning rendszer a Felhasználót tájékoztatja) az e-learning szerveren tárolódnak.

h) Hozzáférés az adatokhoz

Az adatokhoz hozzáférni jogosult az EDR felhasználó.

A tárolt adatokhoz való hozzáférés a Felhasználó szervezet kijelölt kapcsolattartójától érkező igény alapján biztosított.

Rendszergazdai támogatást az SZTO kijelölt munkatársa ad.

A helyi hozzáférést külső személy esetén a rendszergazda felügyeli.

i) Adattovábbítás, adatszolgáltatás

A vonatkozó oklevél kiállítását és azon a jogosult személyes adatai (név, születési hely és születési idő) megjelenítését kivéve kizárólag az EDR felhasználó kérelmére történik.

5.14 Biztonsági rendszerek és nyilvántartásai

Beléptető rendszer

a) Az adatok kezelésének célja, a kezelt adatok köre:

a belépések, benntartózkodások felügyelete, ellenőrzése az elektronikus beléptető rendszer használata során keletkezett adatok alapján. Meghatározott területeken a Társaság objektumaiba történő belépés rendjéről szóló 14. számú vezérigazgatói utasítás mellékletei szerinti nyilvántartások, papír alapú belépési naplók, látogató könyv vezetése a belépések, benntartózkodások rögzítése érdekében, az egyes mellékletekben feltűntetett adattartalommal.

A Társaság, mint adatkezelő az alábbi adatokat kezeli:

– a belépő természetes személy neve és születési neve, születési helye és ideje, anyja születési neve, lakcíme, személyazonosító okmány száma, állampolgársága, képmása, mozgásadatai;

– a beléptetést kérő gazdasági társaság kapcsolattartójának neve, beosztása, telefonszáma,

e-mail címe.

b) Az adatkezelés alapja

A beléptető rendszer által rögzített mozgásadatok és a belépési jogosultsággal rendelkezők egyéb nyilvántartású adatai személyes adatnak minősülnek.

c) Adatkezelő

A mozgásadatokat, a belépésre engedéllyel rendelkezők nyilvántartását, az állami telephelyekre történő belépéshez előírt ellenőrzések kezdeményezését és az ellenőrzöttek listájának kijelölt ellenőrzési pontokra történő eljuttatását, valamint az eseti belépésre vonatkozó kérelmeket érintően a Társaság.

d) Adatfeldolgozó Adatfeldolgozó igénybevétel nincs.

e) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A beléptető rendszer működése során keletkezett mozgásadatok a belépésre szóló jogosultság megszűnésekor, de legkésőbb az adatkeletkezés idejétől számított öt hónap elteltével, 30 napon belül kerülnek törlésre – ide értve az eseti belépési kérelmekkel kapcsolatban keletkezett írásbeli anyagot is – melyről az adatkezelést végző osztály vezetője gondoskodik. Valamely vizsgálat érdekében felhasznált adatot a vizsgálat befejezését, illetve annak tudomásra jutását követő 2 napon belül kell törölni.

A beléptető rendszerből a belépésre jogosultakról nyilvántartott azonosító adatokat – egyéb indok (vizsgálat, stb.) hiányában – a jogosultság megszűnését és a belépőkártya visszavonását, az érvényességi idő lejártát, továbbá a munkaviszony megszűnését, illetve azok tudomásra jutásának

idejétől számított hat hónap elteltével, de legkésőbb a hozzájárulás visszavonását követően melyről az adatkezelést végző osztály vezetője gondoskodik.

A papíralapú nyilvántartások megőrzési ideje a beléptető rendszerben tárolt adatok megőrzési idejéhez igazodik. A nyilvántartások megőrzésére az adatkezelés határidejének figyelembe vételével az iratkezelési szabályok szerint a TÜK helyiségben kerül sor.

Az adattörlést a BFIVO diszpécser végzi.

A rendszer működése során keletkezett mozgásadatok a belépésre szóló jogosultság megszűnésekor, de legkésőbb az adatkeletkezés idejétől számított hat hónap elteltével, 30 napon belül kerülnek törlésre. Valamely vizsgálat érdekében felhasznált adatot a vizsgálat befejezését, annak tudomásra jutását követő 2 napon belül kell törölni.

f) A nyilvántartás módja

A beléptető rendszer által rögzített mozgásadatok az elektronikus felügyeleti rendszer központi egységében tárolódnak.

A papíralapú nyilvántartáshoz a nyilvántartási okmányokat a BI készíti el és adja át a nyilvántartás vezetésére kötelezett területeknek.

Az állami telephelyen belépési jogosultságot kérők engedélykérő lapján szereplő adataik (név, születési név, állampolgárság, szig. szám vagy útlevélszám, születési hely, idő, anyja neve, lakcím; kapcsolattartó neve, beosztása, telefonszáma; e-mail címe, munkahely) nyilvántartása papíralapon történik.

g) Hozzáférés az adatokhoz

A beléptető rendszerben tárolt adatokat a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás, vagy törlés, illetőleg sérülés, továbbá a megsemmisülés ellen védeni kell.

Hozzáférési, kezelési jogosultság a beléptető rendszerben tárolt adatokhoz a BFIVO diszpécser számára biztosított.

A BFIVO diszpécserek végzik a belépésre jogosultak fényképét, beosztását, szervezeti hovatartozását és egyedi azonosítóját, az érvényességi időt vizuálisan látható módon tartalmazó belépőkártyák feljogosítását is a vonatkozó vezérigazgatói utasításban foglaltak szerint. Az ehhez szükséges berendezések és eszközök, kellékek védelme biztosított.

Külön engedély nélkül megtekintheti az adatokat a rendszer kezelésével megbízott, a biztonsági esemény kivizsgálásában résztvevő, a biztonsági ellenőrzést végző munkatárs és vezetője, a Társaság igazgatói, és a munkáltatói jogkört gyakorló vezérigazgató.

Ennek során csak annyi és olyan terjedelmű adat ismerhető meg, ami az adatmegismerés céljához elengedhetetlen, egyben a megismert adatokat csak a megjelölt cél teljesülése érdekében lehet felhasználni.

A tárolt adatokhoz a rendszerek karbantartásában érintett telepítő munkatársak felügyelet mellett férhetnek hozzá.

A tárolt adatok tartalmának megismerése, felhasználása, elemzése, valamilyen biztonsági eseményhez (Társasági normatívák megsértése, törvénysértés stb.) kötődő ellenőrzése és /vagy bizonyítási okból történő felhasználása a BI jogosultsága.

A belépési jogosultságok számítógépes nyilvántartásához hozzáféréssel a BFIVO kijelölt munkatársa rendelkezik.

A Társaság székhelyére történő belépéssel és kilépéssel kapcsolatos mozgásadatok tekintetében hozzáférésre jogosult a munkavállaló szervezeti vezetője is a munkavállaló székhelyre történő belépésének és kilépésének ellenőrzése érdekében.

h) Adattovábbítás, adatszolgáltatás

A beléptető rendszerben tárolt adatokból adatszolgáltatás külső fél számára csak jogszabály által előírt esetben, vagy az érintett dolgozó hozzájárulásával történhet a biztonsági igazgató engedélyével.

A társasági belépőkártyákhoz kapcsolódó belépési jogosultság beállításához az adatok továbbításra kerülnek a BFIVO -ra. A Társaság, a beszállító, az együttműködő partnerek nem állami telephelyre történő belépéséhez szükséges belépőkártya elkészítéséhez a telephely szerinti szervezet illetékes területére történik adattovábbítás a BFIVO kijelölt munkatársa részéről.

Az állami telephelyeken lévő EDR objektumokba történő belépés érdekében, a belépési jogosultság engedélyezéséhez szükséges ellenőrzés és a beléptetés biztosítása céljából kerül sor a Felhasználó szervezetek képviselőihez, az állami telephelyek beléptetési pontjaira adattovábbításra a BFIVO kijelölt munkatársa részéről.

Társaságon belüli felhasználásra – kellően megalapozott indoklással, kizárólag a Társaságot érintő biztonsági, műszaki üzemeltetési okok, események és káresemények vizsgálatához – adatot kérhet a szakmai terület vezetője az adott területet érintően és a vezérigazgató általánosan, a Társaság munkatársát érintően.

Az írásos adatkérésre a kért adatokat a BI adja ki dokumentáltan, a keletkezett anyagok az iratkezelés szabályai figyelembe vételével 5 évig kerülnek megőrzésre.

5.15 Videó megfigyelő rendszer

A szabályzat 2. számú mellékletében kerül szabályozásra.

5.16 Ügyeleti távbeszélőkön folytatott beszélgetéseket rögzítő rendszer

A Társaság azon szakmai egységei kijelölt IP (vezetékes) telefonjainak forgalma kerül rögzítésre, amelyek a Felhasználóval való kapcsolattartásban, az ügyfélszolgálati tevékenységben, a hálózat és a biztonsági rendszerek felügyeletében érintettek. Ezek: az ÜFO ügyfélszolgálat, az MNOC hálózatfelügyelet, a BHBO VPN Központi Menedzsment Szervezet és a BFIVO ügyelet. A megjelölt területen dolgozók a vezetékes telefonokon folytatott forgalom hanganyagának rögzítéséről tudomással rendelkeznek, számukra a visszahallgatás lehetősége biztosított.

A beszélgetés kezdetén a hívót a rögzítés tényéről hangbemondással kell tájékoztatni.

a) Az adatkezelés célja

A rögzítés célja a jogszabályi és társasági előírásokban meghatározottaknak való megfelelőség igazolása, reklamációk és bejelentések hiteles dokumentálása, a hivatkozott tevékenység során a szolgáltatás teljesítésének dokumentálása, a problémás esetek vizsgálatának támogatása, felhasználói elégedettség kapcsán minőségi értékelés segítése.

b) Adatkezelő

A Társaság. Az adatkezeléssel kapcsolatos egyes feladatokat az ÜFO osztályvezető és ügyeletvezetője, az MNOC osztályvezetője, a BFIVO osztályvezetője, a BHBO osztályvezetője, a senior VPN menedzser, az ÜFKI ÜFO ügyfélszolgálati ügyeletese, MNOC szolgáltatás- hálózatirányító mérnöke, az BFIVO diszpécsere és a VPN felügyeleti operátor végzi.

c) Adatfeldolgozó:-

d) Az adatkezelés alapja

A GDPR 6. cikk (1) bekezdésének e) pontja, figyelemmel arra, hogy az adatkezelés a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendelet 3. § (3) bekezdése szerinti közérdekű feladat ellátásához szükséges.

e) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A hangfelvételek az EHT 141. § (1) értelmében a telefonbeszélgetést követő egy évig kezelhetők. Ezen belül legalább 3 hónap a hangrögzítő rendszeren tárolódik és legalább 9 hónap archiválva, nyilvántartásba vett adathordozón, folyamatosan felülírva, a TÜK helyiségben tárolva kerül elhelyezésre. További intézkedés hiányában, a telefonbeszélgetést a befejezését követő egy év hat hónap elteltével törölni kell.

Jelen szabály érvényes a hozzáféréseket naplózó log-fájlok kezelésére is.

Amennyiben valamely biztonsági esemény kapcsán indokolt az ettől eltérő megőrzés, akkor a vizsgálat befejezését követő 2 napon belül kell a törlést elvégezni.

f) A nyilvántartás módja

A hangrögzítés a kiemelt biztonsági osztály besorolású IT gépteremben elhelyezett IP telefon alközponthoz illesztett hangrögzítő szerveren valósul meg.

g) Hozzáférés az adatokhoz

Hangfelvételekhez a hangrögzítés során érintett munkatársak férhetnek hozzá. A hangfelvételek megismerésére ezt meghaladóan az ÜFO, a MNOC, a BFIVO és a BHBO VPN Központi menedzsment felügyelet esetében az illetékes vezető jogosult.

A BI vezetője, a BBFO osztályvezető és a biztonságfelügyeleti menedzser minden felvétel visszahallgatására jogosult a Közszolgáltatási Szerződésben foglaltak teljesítése, valamint a Társaság SZMSZ-ében foglaltak megvalósulása, támogatása érdekében.

A rögzített telefonbeszélgetés visszahallgatására a Társaság jogosult munkatársa jelenlétében az érintett ügyfél képviselője, illetve az érintett munkavállalója is jogosult. A megismerési igény indokoltságát az adatkezelő nem vizsgálhatja.

A visszahallgatás a jogosultak számítógépére telepített szoftver segítségével történik.

A hangfelvétel meghallgatására a Társaság hivatali helyiségében kerülhet sor egy esemény bejelentésének, a tett intézkedések pontosítására, ellenőrzésére normál munkamenet során, illetve bizottságilag, jegyzőkönyvezve rendkívüli esemény, biztonsági esemény vizsgálatakor.

Hanganyag olyan terjedelemben ismerhető meg, ami a megismerés céljához elengedhetetlen,

egyben a megismert anyagot csak a megjelölt cél elérése érdekében lehet felhasználni.

h) Adattovábbítás, adatszolgáltatás

Hanganyag Társaságon belüli belső kiadása, illetve a jogosultak körén túli körben történő meghallgatása kizárólag írásban, az adatkezelő közreműködésével, a biztonsági igazgatótól kérhető, megjelölve annak okát és célját.

A hangfelvételről a rögzített telefonbeszélgetésben érintett ügyfél kérésére az adatkezelőnek másolatot kell készíteni és átadni az érintettnek.

Harmadik fél részéről felmerülő adatszolgáltatási igény esetén a hangfelvételben érintett munkatárs neve, csak beleegyezésével adható ki, melyről az érintettet írásban kell nyilatkoztatni. Ennek hiányában a nevét ki kell hagyni az írásos tájékoztatásból, illetve törölni kell a továbbításra kerülő hangfájlból és az adathordozóról, valamint a személyes meghallgatásnál sem hangozhat el.

Egyéb esetben hangfelvétel csak hatósági eljárás keretében, hivatalos megkeresésre adható ki.

A hanganyagot, abban az esetben, ha azt a fentiek szerint ki kell adni, arra alkalmas adathordozóra kell menteni.

A hanganyag mentését a BI kijelölt munkatársa végezheti el.

Az adathordozóra mentett hanganyagot az iratkezelési előírások szerint kell kezelni.

5.17 Kulcs- és pecsétkezelés

a) Az adatok kezelésének célja, a kezelt adatok köre

A Társaság tulajdonvédelmének fokozása, az egyéni felelősség megteremtése és számon kérhetősége érdekében a tárolt és használt kulcsok, pecsétek azonosításához, nyilvántartásához, és használatához kapcsolódó adatok (jogosultságok) rögzítésre kerülnek.

A kulcsnyilvántartási napló esetén a kulcshasználó neve, a kulcskiadási napló esetén a kulcsfelvevő neve, a pecsétnyomó nyilvántartás esetén a jogosult pecsétbirtokos neve.

b) Adatkezelő

A Társaság.

c) Adatfeldolgozó Adatfeldolgozó igénybevétel nincs.

d) Az adatkezelés jogalapja

e) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A kulcsnyilvántartási napló adatai a munkaviszonyból származó igények elévüléséig, a kulcskiadási napló adatai a lezárás után 6 hónapig, a pecsétnyomó nyilvántartás adatai a munkaviszonyból származó igények elévüléséig kerülnek megőrzésre.

f) A nyilvántartás módja

Papír alapú nyilvántartás, melyhez kapcsolódó nyilvántartási okmányokat (kulcsnyilvántartási napló, kulcskiadási napló, pecsétnyomó nyilvántartás) a BI készíti el és adja át a BFIVO -nak. A kulcs nyilvántartás és a kulcskiadási füzet vezetése a BFIVO diszpécsereinek feladata. A pecsétnyilvántartás vezetése a VK feladata. A kulcs- és pecsétkezelés szabályait a 14. számú vezérigazgatói utasítás „Kulcskezelés rendje” fejezet tartalmazza.

A nyilvántartások megőrzésére az adatkezelés határidejének figyelembe vételével az érvényes

iratkezelési szabályok szerint a TÜK helyiségben kerül sor.

g) Hozzáférés az adatokhoz

A nyilvántartást kezelők és azok szakmai vezetői az adatokhoz hozzáférhetnek.

h) Adattovábbítás, adatszolgáltatás

Adatszolgáltatásra jogszabályban meghatározott esetben kerülhet sor.

5.18 A Társaság honlapjának adatkezelése

a) A kezelt adatok köre és az adatkezelés célja

A Társaság a honlap technikai üzemeltetése érdekében a következő automatikusan keletkező információkat kezeli rosszindulatú informatikai támadások vagy próbálkozások beazonosítása céljából:

 a számítógép internetprotokoll-címe (IP-címe),

 az ügyfél file lekérés (filenév és URL),

 annak a weboldalnak az adatai, ahonnan a lekérés történt,

 a látogatás alatt forgalmazott bájtok mennyisége,

 a látogatás időpontja,

 a megtekintett oldalak adatai,

 a használt böngészőprogram neve, illetve

 extranet hozzáféréssel rendelkezők esetében (név, e-mail cím).

b) Az adatkezelés alapja

c) Adatkezelő

A Társaság.

d) Adatfeldolgozó

Sense/Net Kft. (1117 Budapest, Infopark sétány 1.)

e) A nyilvántartás módja A Sense/Net Kft. szerverén.

f) Az adatkezelés határideje:

A Társaság az adatokat a munkaviszonyból származó igények elévüléséig kezeli.

g) Hozzáférés az adatokhoz

A Sense/Net Kft rendszergazdája, MÜVIGH irányítási területének kijelölt munkatársa.

h) Adattovábbítás, adatszolgáltatás

Adattovábbítás az adatfeldolgozó részére történik.

5.19 A Mobiliron szolgáltatás által rögzített lokációs adatok kezelése

a) Az adatkezelés célja:

A Társaság tulajdonát képező, és a Társaság munkavállalója hasznlálatában álló szolgálati mobiltelefon helyzetének – szükség szerinti – azonosíthatóságát biztosító lokációs adatok megismerhetőségének megteremtése a szolgálati mobiltelefon esetleges elveszítése, eltűnése esetére a mobiltelefon ismételt megtalálásának megkönnyítése érdekében. Az adatkezelés további célja a szolgálati mobiltelefonon tárolt adatokkal kapcsolatos adatvédelmi incidensek megelőzéséhez szükséges információbiztonsági intézkedések hatékonyságának előmozdítása.

b) Az adatkezelés jogalapja:

A GDPR 6. cikk (1) bekezdésének a) pontja alapján az érintett hozzájárulása. A munkavállaló, mint érintett a munkaviszonya fennállása alatt a Társaság Informatikai Biztonsági Szabályzatáról szóló 6. számú VIG utasítás (IBSZ) 4. számú melléklete szerint a Társaság vezérigazgatójához intézett egyedi, írásbeli kérelemben kérelmezheti a Társaság levelező rendszerében lévő postafiókja Társasági tulajdonú szolgálati telefononon titkosított

kapcsolaton keresztüli elérését, melyben nyilatkozik az IBSZ 4. számú melléklet 3.7. pontja szerinti, a Mobiliron szolgáltatás igénybevételéhez szükséges rendelkezések megismeréséról és tudomásulvételéről.

c) A kezelt adatok köre: a mobiltorony (Cell Tower) által meghatározott, legutolsó szinkronizált lokalizációs adat.

d) Adatkezelő: a Társaság

e) Adatfeldolgozó: —

f) Az adatkezelés határideje: a szinkronizálást követő 4 óra

g) Hozzáférés az adatokhoz: Az MÜVIGH irányítási területének belépésre jogosult munkatársai rendelkeznek hozzáféréssel legutolsó szinkronizált lokalizációs adathoz, amely egy beépített térképes ablakban (MapQuest) megjeleníthető. A fenti lokációs adat lekérdezése az audit naplóban megjelenik. Az audit naplóban látható, hogy mely munkavállaló lokációs adata került lekérdezésre. A lokációs adatok lekérdezésére az adatkezelés céljának megfelelő okból, tehát kifejezetten csak a szolgálati mobiltelefon elveszítése, eltűnése esetén, kizárólag az eszköz ismételt megtalálásának elősegítése, továbbá az elveszés, eltűnés okán bekövetkező esetleges adatvédelmi incidens megelőzéséhez szükséges információbiztonsági intézkedések megtétele céljából kerülhet sor. Az SZTO munkatársa a lekérdezésre csak a Biztonsági Igazgató előzetes, írásbeli hozzájárulása alapján jogosult. A Biztonsági Igazgató a szolgálati mobiltelefont használó munkavállalót a lekérdezés szükségeségéről a hozzájárulás tárgyában az SZTO részére tett nyilatkozatával egyidejűleg, majd a lekérdezés eredményéről utólagosan, írásban tájékoztatja.

h) A nyilvántartás módja: Az állományok a kiemelt biztonsági osztályba tartozó informatikai szerverteremben elhelyezett fájl szerveren tárolódnak.

5.20 A Társaság üzemi célú gépjárműveibe épített GPS alapú gépjárműkövető rendszer

használatával keletkezett útvonal adatok kezelése.

a) Az adatkezelés célja:

A Társaság tulajdonát képező üzemi célú gépjárművek a Pro-M Zrt. gépjárművei használatának rendjéről szóló 120. számú VIG utasításban foglaltak szerinti használatának ellenőrzése.

b) Az adatkezelés jogalapja:

c) A kezelt adatok köre:

A Társaság üzemi célú gépjárműveibe épített GPS alapú gépjárműkövető rendszer használatával keletkezett útvonal adatok.

d) Adatkezelő: a Társaság

e) Adatfeldolgozó: —

f) hozzáférés az adatokhoz: a BVI gépjármű ügyintézéssel megbízott munkatársa továbbá az

érintett szervezeti egység vezetője

g) Az adatkezelés határide: A Társaság az adatokat az elektronikus menetlevél elkészültét követő 5 évig kezeli.

h) a nyilvántartás módja: a GPS alapú nyomkövető rendszer adatai alapján havonta elektronikus menetlevél készül. Az elektronikus menetlevél tartalmazza a gépjármű és a gépjármű vezető azonosításához szükséges adatokat valamint a gépjármű mozgás adatait. Az elektronikus menetlevelet a BVI gépjármű ügyintézéssel megbízott munkatársa igazolás végett e-mailben megküldi az érinett szervezeti egység vezetőjének.

5.21 A mobil hálózatok telephelyei szerződéseinek kezelése körében megvalósuló

adatkezelés

a.) A kezelt adatok köre

A Pro-M Zrt.-vel szerződéses jogviszonyban álló magánszemély bérbeadók esetén a jelen szabályzat mellékletét képező nyilatkozatban meghatározott személyes adatok, továbbá egyéb szerződéses partnerek kapcsolattartói vonatkozásában a kapcsolattartó neve, beosztása és elérhetősége.

A nyilatkozatban meghatározott adattartalom módosítása nem igényli jelen szabályzat formális módosítását. Ebben az esetben a melléklet aktualizálását a TBO vezetője vezérigazgatói jóváhagyás mellett a szabályzat módosítása nélkül végzi. Az aktualizált melléklet közzétételéről a TBO vezetője a VK közreműködésével gondoskodik.

b.) Az adatkezelés célja:

A Társaság és a vele szerződéses kapcsolatban álló természetes személyek és jogi személyek közötti együttműködés elősegítése.

c.) Az adatkezelés jogalapja:

A GDPR 6. cikk (1) bekezdés e) pontja alapján közérdekű feladat ellátása, figyelemmel arra, hogy a Társaság a 346/2010. (XII. 28.) Korm. rendelet 3 § (3) bekezdése szerinti kormányzati célú hírközlési szolgáltatóként a Korm. rendelet 6. § (1) bekezdése alapján kizárólagos jog alapján látja el a kormányzati célú hálózat tervezését, a kormányzati célú hálózat előkészítését, létesítését, bővítését, fejlesztését, valamint fenntartására, működtetésére és üzemeltetésére irányuló szolgáltatásokat valamint a kormányzati célú hírközlési szolgáltatás igénybevételéhez szükséges szerződések megkötését.

d.) Adatkezelő: a Társaság

e.) Adatfeldolgozó: a BDO Magyarország Könyvvizsgáló Kft. (székhely: 1103 Budapest, Kőér utca 2/A C. ép, képviseli: Baumgartner Ferenc ügyvezető, telefon: /06 1/ 235 3010) és az adatokat érintő jogi szolgáltatás igénybevétele esetén a Pápay Ügyvédi Iroda.

f.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja:

A kapcsolattartók tekintetében az adott szerződésből származó igények elévülésének időpontjáig, de legkésőbb az érintett munkaviszonyának, illetve beosztásának megszűnéséig, természetes személy bérbeadók esetében a szerződésből származó igények elévüléséig tart.

g.) A nyilvántartás módja:

A kezelt adatok a Társaság SAP rendszerében, a Társaság fájl szerverén lévő adattárolóban, valamint a BDO Magyarország Könyvvizsgáló Kft. szerverén kerülnek elhelyezésre.

h.) Hozzáférés az adatokhoz:

Az adatokhoz hozzáférni a Társaságnak a szerződések előkészítésében, teljesítésének figyelemmel kísérésében részt vevő munkatársai valamint az e) pont szerinti adatfeldolgozók kijelölt munkatársai jogosultak.

Adattovábbítás, adatszolgáltatás:

Adattovábbításra az e) pont szerinti adatfeldolgozók részére kerül sor.

Információs és kommunikációs technológiákkal (IKT) kapcsolatos adatkezelés

5.22.1. ICTS_1.1 Adathálózati kapcsolat

A hálózati szolgáltatások az intézmények számára nyújtott alap infrastruktúra, amely összeköttetést biztosít a kiépíthető adatátviteli technológián a DJG-vel és ezáltal a Társaság szolgáltatásaival, melyhez Igénybevevő saját helyi hálózatával (LAN) vagy közvetlenül arra alkalmas eszközével csatlakozhat.

a.) A kezelt adatok köre

A KIFÜ NIIF Program partnerek kapcsolattartóinak adatai: név, e-mail cím, telefonszám,

intézmény neve

b.) az érintettek kategóriái

A KIFÜ NIIF Program partnerek kapcsolattartói. A kijelölt kapcsolattartók a szolgáltatás jellegéhez igazodóan lehetnek: informatikai, műszaki, technikai, pénzügyi, vagy általános szerződéses kapcsolattartók.

c.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága, kapcsolattartás.

d.) Az adatkezelés jogalapja: Az adatkezelésre a GDPR 6. cikk e) pontja szerinti közérdekű feladatellátás érdekében kerül sor.

e.) Adatkezelő: A Társaság

f.) Adatfeldolgozó: MVM NET Zrt.

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja:

Az adatkezelésre a szolgáltatás nyújtásának idejéig, új kapcsolattartó kijelölése esetén az átvezetés idejéig kerül sor

h.) nyilvántartás módja:

Az adatok nyilvántartására elektronikus úton kerül sor. Az adatok rögzítésre kerülnek az igénybevevő intézmények és a nyújtott szolgáltatások nyilvántartására szolgáló Intézeti In- formációs Rendszerben (IIR). A Dashboard online adminisztratív felületen a köznevelési ügy- félkör hozzáféréssel rendelkező felhasználói regisztrálhatják az intézmény adatait, illetve a kapcsolattartói adatokat, valamint jelezhetik adatmódosítási igényeiket. A szerződésekben megjelenő kapcsolattartói adatok a Társaság elektronikus iktatórendszerében is elmentésre kerülnek, összhangban a vonatkozó jogszabályi rendelkezésekkel.

i.) hozzáférés az adatokhoz

Az adatokhoz az OHÜVIGH irányítási területének munkatársai, valamint Oktatási Hálózati Ügyféltámogató Osztály munkatársai férnek hozzá.

j.) Az adatok forrása: A partner intézmény.

5.22.2. ICTS_1.2 Intézményi wifi hozzáférés

Menedzselt vezeték nélküi helyi hálózat (WLAN) hozzáférési pontokon keresztüli elérése.

a.) A kezelt adatok köre

A KIFÜ NIIF Program partnerek kapcsolattartóinak adatai: név, e-mail cím, telefonszám,

intézmény neve.

b.) Az érintettek kategóriái:

c.) Az adatkezelés célja

A szolgáltatás nyújtásának zavartalansága, kapcsolattartás.

d.) Az adatkezelés jogalapja:

Az adatkezelésre a GDPR 6. cikk e) pontja szerinti közérdekű feladatellátás érdekében kerül

sor.

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: –

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja:

Az adatkezelésre a szolgáltatás nyújtásának idejéig, új kapcsolattartó kijelölése esetén az átvezetés idejéig kerül sor

h.) nyilvántartás módja: Az adatok nyilvántartására elektronikus úton kerül sor. Az adatok rög- zítésre kerülnek az igénybevevő intézmények és a nyújtott szolgáltatások nyilvántartására szolgáló Intézeti Információs Rendszerben (IIR). A Dashboard online adminisztratív felületen a köznevelési ügyfélkör hozzáféréssel rendelkező felhasználói regisztrálhatják az intézmény adatait, illetve a kapcsolattartói adatokat, valamint jelezhetik adatmódosítási igényeiket. A szerződésekben megjelenő kapcsolattartói adatok a Társaság elektronikus iktatórendszeré- ben is elmentésre kerülnek, összhangban a vonatkozó jogszabályi rendelkezésekkel.

i.) hozzáférés az adatokhoz:

Az adatokhoz az OHÜVIGH irányítási területének munkatársai, valamint Oktatási Hálózati Ügyféltámogató Osztály munkatársai férnek hozzá.

j.) Az adatok forrása: A partner intézmény.

5.22.3. ICTS_1.2 Intézményi wifi hozzáférés (Vendég wifi)

a.) A kezelt adatok köre:

A felhasználó eszközének MAC azonosítója, DHCP szerinti IP címe, Szolgáltatás során hasz- nált Access point adatai (létesítési címe és típusa), Felhasználó eszközéhez köthető hálózati tevékenység paraméterei (kommunikáció dátuma, kezdő és záró időpontja)

b.) Az érintettek kategóriái: az intézménybe látogató, eduroammal nem rendelkező személyek

c.) Az adatkezelés célja: A Társaság a Nemzeti Információs Infrastruktúra Fejlesztési Program-

ról szóló 5/2011. (II. 3.) Korm. rendelet szerinti feladatainak ellátása.

d.) Az adatkezelés jogalapja

Az adatkezelésre a GDPR 6. cikk e) pontja szerinti közérdekű feladatellátás érdekében kerül

sor

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: –

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A Társaság az adatokat az adatkezelési tevékenység megkezdésétől számított egy évig kezeli.

h.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

i.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

5.22.4. Kiegészítő hálózati szolgáltatások – ICTS_1.3.3 eduID

Világszintű szövetségi azonosítási rendszer intézményi tagságának biztosítása elsősorban webes alkalmazásokhoz

a.) A kezelt adatok köre: kapcsolattartási adatok, név, e-mailcím, intézményi adatok

b.) Az érintettek kategóriái: Az intézmények által kijelölt technikai, adminisztratív és támogató

(support) kapcsolatartók;

c.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága, kapcsolattartás.

d.) Az adatkezelés jogalapja: Az adatkezelésre a GDPR 6. cikk e) pontja szerinti közérdekű fel- adatellátása érdekében kerül sor.

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: –

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A szolgáltatás nyújtásának időtartama, kapcsolattartó adatának változásáig

h.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulajdonú szerverein tárolja

i.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

j.) Adattovábbítás: Az EduGain szövettség tagjai (http://technical.edugean.org/status)

5.22.5. Kiegészítő hálózati szolgáltatások – eduID menedzselt IDP szolgáltatás

Technikai rendszer biztosítása a felhasználókezeléshez az igénybevevő kör számára

a.) A kezelt adatok köre: felhasználónév, azonosító, intézményhez tartozás ténye, e-mail cím

b.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága.

c.) Az adatkezelés jogalapja: Az adatkezelésre a GDPR 6. cikk e) pontja szerinti közérdekű fel-

adatellátás érdekében kerül sor.

d.) Adatkezelő: Társaság

e.) Adatfeldolgozó: –

f.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A szolgáltatás nyújtásának időtartama.

g.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

h.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

i.) Adattovábbítás: Az EduGain szövetség tagjai (http://technical.edugean.org/status)

5.22.6. EduID VHO

Technikai rendszer biztosítása azon egyedi felhasználóknak akiknek az intézménye nem tagja az eduID szövetségnek, de van egy “szponzoráló” intézménye aki kezeli az adatait.

a.) A kezelt adatok köre: felhasználónév, azonosító, e-mail cím

b.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága.

c.) Az adatkezelés jogalapja: Az adatkezelésre a GDPR 6. cikk e) pontja szerinti közérdekű fel- adatellátása érdekében kerül sor.

d.) Adatkezelő: Társaság

e.) Adatfeldolgozó: –

f.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: jogviszony fennálltáig, tá- vozás esetén megszűntetésre kerül az account a Társaság adatbázisól.

g.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

h.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

i.) Adattovábbítás: –

5.22.7. Kiegészítő hálózati szolgáltatások – EduID IdP (eduID szolgáltatás a Társaságnak)

Világszintű szövetségi azonosítási rendszer intézményi felhasználók kezelése.

a.) A kezelt adatok köre: felhasználónév, azonosító, intézményhez tartozás ténye

b.) Az érintettek kategóriái: a Társaságnál foglalkoztatottak, kijelölt ITM munkatársak

c.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága.

d.) Az adatkezelés jogalapja: Az adatkezelésre a GDPR 6. cikk e) pontja szerinti közérdekű feladatellátás érdekében kerül sor.

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: –

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

h.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

i.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

j.) Adattovábbítás: Az EduGain szövetség tagjai (http://technical.edugean.org/status)

5.22.8. Kiegészítő hálózati szolgáltatások – EduID szolgáltatás intézményként

Világszintű eduroam rendszer intézményi felhasználók kezelése.

a.) A kezelt adatok köre: felhasználónév, azonosító, intézményhez tartozás ténye

b.) Az érintettek kategóriái: a Társaság munkavállalói, ITM munkatársak

c.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága.

d.) Az adatkezelés jogalapja: A GDPR 6. cikk (1) e) pontja szerinti, az adatkezelő közfeladata ellátása érdekében történő adatkezelés.

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: –

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: jogviszony fennálltáig, távozás esetén megszűntetésre kerül az account a Társaság adatbázisból.

h.) a nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

i.) hozzáférés az adatokhoz: Az adatokhoz OHÜVIGH irányítási területének munkatársai fér- nek hozzá.

j.) Adattovábbítás: –

5.22.9. Kiegészítő hálózati szolgáltatások – EduID HEXAA

a.) A kezelt adatok köre: felhasználónév, azonosító, intézményhez tartozás ténye, e-mail cím, csoporthoz tartozás ténye, csoporton belüli szerep

b.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága.

c.) Az adatkezelés jogalapja: A GDPR 6. cikk (1) e) pontja szerinti, az adatkezelő közfeladata

ellátása érdekében történő adatkezelés

d.) Adatkezelő: Társaság

e.) Adatfeldolgozó: –

f.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A szolgáltatás nyújtásának időtartama.

g.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

h.) hozzáférés az adatokhoz: Az adatokhoz OHÜVIGH irányítási területének munkatársai fér- nek hozzá

i.) Adattovábbítás: Az EduGain szövetség tagjai (http://technical.edugean.org/status)

5.22.10. ICTS_1.3.4 eduroam

Globális föderatív felhasználó azonosítási rendszer wifi kapcsolaton keresztül

a.) A kezelt adatok köre: kapcsolattartási adatok, név, telefonszám, e-mail cím, továbbá a szol-

gáltatás igénybe vevő intézmények tanárainak és diákjainak felhasználóneve és jelszava.

b.) Az érintettek kategóriái: Az intézmények által kijelölt technikai kapcsolattartók és adminiszt- ratív kapcsolatartók, továbbá a szolgáltatás igénybe vevő intézmények tanárai és diákjai

c.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága.

d.) Az adatkezelés jogalapja: A GDPR 6. cikk (1) e) pontja szerinti, az adatkezelő közfeladata ellátása érdekében történő adatkezelés

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: Elme Projekt Kft.(székhely: 5000 Szolnok, Törteli utca 7. A. ép. 6. ajtó; Cg.: 16-09-022446; adószám: 11701925-2-16, e-mail: info@elmeprojekt.hu) – az adatfeldol- gozó feladata a regisztrációs felület továbbfejlesztése vállalkozási szerződés alapján.

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A szolgáltatás nyújtásának időtartama.

h.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

i.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá

j.) Adattovábbítás: –

5.22.11. eduroam menedzselt IDP szolgáltatás

Technikai rendszer biztosítása a felhasználókezeléshez az igénybevevő kör számára

a.) A kezelt adatok köre: felhasználónév, azonosító, intézményhez tartozás ténye, e-mail cím

b.) Az adatkezelés célja: A szolgáltatás biztosítása.

c.) Az adatkezelés jogalapja: A GDPR 6. cikk (1) e) pontja szerinti, az adatkezelő közfeladata ellátása érdekében történő adatkezelés.

d.) Adatkezelő: Társaság

e.) Adatfeldolgozó. –

f.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: Az adatokat a Társaság az érintett jogviszonyának fennállásig kezeli.

g.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja.

h.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

i.) Adattovábbítás: –

5.22.12. Biztonságos tanúsítvány szolgáltatás (TCS) nyújtásával kapcsolatos adatkezelés

A Társaság a Nemzeti Információs Infrastruktúra Fejlesztési Programról szóló 5/2011. (II. 3.) Korm. rendelet alapján a Nemzeti Információs Infrastruktúra Fejlesztési Program Információs hálózatához csatlakozó szervezet részére információs szolgáltatásokat nyújt csatlakozási szerződés alapján. Csatlakozási szerződést bármely felsőoktatási intézmény és köznevelési intézmény (fenntartóján keresztül), kutató-fejlesztő hely, közgyűjtemény és más oktatási, tu- dományos és kulturális szervezet, valamint a kormányzati célú hírközlési szolgáltató köthet.

A Társaság a csatlakozási szerződésben a szerződő fél által kijelölt adminisztrátorok adatai- val kapcsolatosan végez adatkezelést.

a.) A kezelt adatok köre: név, e-mailcím, telefonszám, kijelölt személy jogállása (szerződő fél munkavállalója/közalkalmazottja/ egyéb jogviszonyban áll a szerződő féllel).

b.) Az érintettek kategóriái: A szerződő fél által kijelölt adminisztrátorok

c.) Az adatkezelés célja: A Sectigo Limited Ltd., a tanúsítást végző szervezet által biztosított felületen a tanúsítás igénylés lehetőségének biztosítása

d.) Az adatkezelés jogalapja: A GDPR 6. cikk (1) e) pontja szerinti, az adatkezelő közfeladata ellátása érdekében történő adatkezelés.

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: –

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A Társaság az adatokat a szolgáltatás nyújtásának idejére, valamint azt követően az elszámolást alátámasztó do- kumentumok megőrzési idejére vonatkozó időtartamig kezeli. Új adminisztrátor kijelölése esetén az adatok törlésre kerülnek.

h.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein, a papír alapon rendelkezésre bocsátott adatokat a mindenkor hatályos iratkezelési, adatvédelmi, biztonsági és egyéb szabályzataiban foglaltaknak megfelelően biztonságosan tárolja

i.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

j.) Adattovábbítás: A Tanúsító szervezet az Sectigo Limited Ltd. (26 Office Village, 3rd Floor, Exchange Quay, Trafford Road, Salford, Manchester M5 3EQ, Nagy-Britannia) A Sectigo az adatkezelés vonatkozásában önálló adatkezelőnek minősül, aki a személyes adatok kezelését a GDPR-nak megfelelően, valamint az alábbi linken elérhető adatkezelési tájé- koztatójában foglaltak szerint végzi: https://sectigo.com/privacy-policy.

k.) Az adatok forrása: A szerződő fél a szerződéskötési folyamat részeként jelöli ki. A fő ad- minisztrátorok rögzíthetnek további al-adminisztrátorokat is.

5.22.14. IP alapú hangszolgáltatás (VOIP)

a.) A kezelt adatok köre: kapcsolattartási adatok, név, telefonszám, e-mailcím

b.) Az érintettek kategóriái: Az intézmények által kijelölt technikai kapcsolattartók és műszaki kapcsolatartók

c.) Az adatkezelés célja: A szolgáltatás nyújtásának zavartalansága.

d.) Az adatkezelés jogalapja: A GDPR 6. cikk (1) e) pontja szerinti, az adatkezelő közfeladata ellátása érdekében történő adatkezelés. A Társaság ezen feladatát a Nemzeti Információs Infrastruktúra Fejlesztési Programról szóló 5/2011. (II. 3.) Korm.rendelet szerinti feladatai ellátása érdekében kezeli.

e.) Adatkezelő: Társaság

f.) Adatfeldolgozó: –

g.) Az adatkezelés határideje / a kezelt adatok törlésének időpontja: A szolgáltatás nyújtásának időtartama.

h.) nyilvántartás módja: az adatokat a Társaság elektronikus formában, kizárólag saját tulaj- donú szerverein tárolja

i.) hozzáférés az adatokhoz: Az adatokhoz az OHÜVIGH irányítási területének munkatársai férnek hozzá.

j.) Adattovábbítás: –

6 A Társaság adatkezelésének, adatfeldolgozásának szabályai

A Társaság az adatbiztonság követelményeinek érvényesülése érdekében az alkalmazott rendszereket, az eszközök üzemeltetését úgy alakítja ki, hogy biztosított legyen:

 a kezelt adatok hozzáférhetősége – beleértve a megsemmisítés elleni védelmet – az

arra feljogosítottak számára (rendelkezésre állás),

 az adatok hitelessége és a hitelesítés (adatkezelés hitelessége),

 az adatok változatlansága (adatintegritás),

 az adatok jogosulatlan hozzáférés ellen védettsége (adat bizalmassága).

a) A Társaság biztosítja, hogy az általa kezelt, feldolgozott személyes adatok az arra jogszabályban feljogosított szervek kivételével harmadik fél részére jogosulatlanul nem hozzáférhetőek, meg nem ismerhetőek, nem tárolhatóak. A jogosult hozzáférés is csak olyan mértékű és időtartamú, ami az adott munkavégzés szempontjából szükséges és elégséges, egyben a legkevesebb kockázattal jár.

A Társaság biztosítja az adatkezelést megelőzően – amennyiben jogszabályi korlátozás nem áll fenn – az érintett tájékoztatását az általa kezelt, illetve az általa, vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról; az adatkezelő és az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi tisztviselő elérhetőségeiről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Egyben biztosítja az érintett részére a hozzáférést a rá vonatkozó személyes adatokhoz, továbbá biztosítja, hogy azokban az érintett helyesbítést, módosítást, illetve az alapelvek sérülése esetén a kezelt adatok kezelésének korlátozását, törlését, hordozását kérhesse, az adatkezeléshez történő hozzájárulását visszavonhassa, továbbá tiltakozhasson a személyes adatai kezelése ellen. A személyes adatokat, azok kezelését érintően az adat tulajdonosát a panaszjog is megilleti, mely alapján jogai érvényesítése érdekében a Hatósághoz fordulhat. Amennyiben az érintett kérelme nem teljesíthető, az adatkezelő az érintettet írásban, haladéktalanul tájékoztatja:

 az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint

 az érintettet a törvény alapján megillető jogairól, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát a Hatóság közreműködésével is gyakorolhatja.

b) Adatszolgáltatás nem teljesíthető, ha az adatot törvény alapján az arra jogosult szerv minősített adattá nyilvánította, továbbá az adatmegismeréshez való jogot a törvény honvédelmi, nemzetbiztonsági, bűnüldözési, vagy bírósági eljárásra tekintettel korlátozza.

c) A Társaságnál a személyes adatok biztonságát:

 személyi biztonsági intézkedések (munkatársak kiválasztása, munkaköri leírások, szabályozott eljárások, amelyek során a differenciált biztonsági vizsgálat hatálya alatt álló dolgozók jogosultságai személyre szólóan kerülnek meghatározásra);

 fizikai biztonsági intézkedések (informatikai rendszerek elhelyezését védő, a gyártók által javasolt környezet; épületek és helyiségek fizikai biztonságát szavatoló őrzés- védelem; kulcskezelés, belépési és benntartózkodási szabályozások; biztonsági videó, behatolás-jelző, beléptető-, tűzjelző- és oltórendszerek, a befogadó infrastruktúra működés biztonsága, vészhelyzet esetén rendelkezésre állása);

 dokumentum biztonsági intézkedések (adathordozók kezelése, az azokkal végzett műveletek szabályozott intézkedései) rendszerével biztosítják.

d) Az adatkezeléssel, adatfeldolgozással kapcsolatos felelősségek

Az adatvédelmi előírások alkalmazása során az adatkezelő, vagy adatfeldolgozó szerv vezetője a Társaság vezérigazgatója.

A Társaság adatvédelemmel összefüggő feladatait a vezérigazgató által kinevezett

adatvédelmi tisztviselő látja el.

e) Adatfeldolgozói/adatkezelői nyilvántartás vezetésének szabályai

A társaság adatfeldolgozói/adatkezelői nyilvántartást olyan módon vezet, hogy azt igazgatóságonként, ügykörönként szétbontott formában, megfelelő adattartalommal, informatikai rendszeren létrehozott nyilvántartásban rögzíti.

A nyilvántartásban rögzítésre kerülnek a 2011. CXII. törvényben meghatározott adatkörök. A nyilvántartás vezetéséért az adott igazgatóság vezetője a felelős, aki a végrehajtást delegálja az általa kijelölt személy részére.

A kijelölt személy folyamatosan együttműködik a Társaság adatvédelmi tisztviselőjével, minden a nyilvántartást érintő kérdésben.

Az adatfeldolgozói/adatkezelői nyilvántartás vezetését az adatvédelmi tisztviselő évente egy

alkalommal dokumentáltan ellenőrzi.

7 Az adatvédelmi tisztviselő

7.1 Adatvédelmi tisztviselő kijelölése, jogállása

Az adatvédelmi tisztviselőt a vezérigazgató jelöli ki, akinek felelősséggel tartozik. A vezérigazgató által kijelölt mindenkori adatvédelmi tisztviselő nevét és elérhetőségét a 3. számú melléklet tartalmazza.

A Társaság adatvédelmi tisztviselőt, feladatai ellátásával összefüggésben nem bocsáthatja el, és szankcióval nem sújthatja.

Az adatvédelmi tisztviselő feladatai ellátása körében nem utasítható. Nem kaphat instrukciót arra vonatkozóan, hogy a feladatait hogyan végezze, milyen eredményt kell elérnie, hogyan vizsgáljon meg egy panaszt, mikor kell konzultálnia a hatósággal, valamint nem lehet rá hatást gyakorolni arra vonatkozóan, hogy egy bizonyos adatvédelmi problémát hogyan értelmezzen.

Biztosítani kell, hogy különvéleményét a Társaság vezetésének kifejthesse. Adatvédelmi tisztviselőnek kijelölhető az a személy, aki:

Szakmai rátermettsége, különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, alkalmassá teszik.

Az adatvédelmi tisztviselő lehet a Társaság munkavállalója vagy szolgáltatási szerződés keretében az előző bekezdésben meghatározott szakértelemmel rendelkező személy.

A Társaság közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét és azokat a felügyeleti hatósággal közli.

7.2 Összeférhetetlenségi szabályok

Nem lehet adatvédelmi tisztviselő az a személy, akinek a szervezeten belüli egyéb feladatai végrehajtása során saját maga ellenőrzését kell ellátnia.

Az adatvédelmi tisztviselő nem tölthet be a szervezeten belül olyan pozíciót, amelyben az adatkezeléssel kapcsolatban döntéseket hozhat, különösen, ha meghatározhatja az adatkezelés célját és eszközeit.

Megfelelő garanciák nélkül az adatvédelmi tisztviselői funkcióval összeférhetetlenséget eredményeznek, vezérigazgatói, igazgatói pozíciók, valamint a szervezet alacsonyabb szintjein elhelyezkedő olyan pozíciók is, amelyek az adatkezelési folyamatok meghatározásában szerepet kapnak.

7.3 Adatvédelmi tisztviselő feladata:

a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az adatvédelmi rendelet szerinti kötelezettségeikkel kapcsolatban;

b) ellenőrzi az általános adatvédelmi rendeletnek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését, valamint a kapcsolódó auditokat is;

c) szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

d) az adatkezeléssel összefüggő ügyekben kapcsolattartóként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele;

e) a jelen szabályzásban foglalt általános közreműködés, koordináció, véleményezés, valamint az ellenőrzés, továbbá az adatvédelemmel kapcsolatos ismeretek továbbadása és a szabályzat naprakészen tartása;

f) figyelemmel kíséri, ellenőrzi a személyes adatok védelmére vonatkozó jogszabályok, a jelen szabályzat, valamint a kapcsolódó belső normatív adatvédelmi szabályok érvényesülését, naprakészségét;

g) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetése érdekében kapcsolatba lép az adatkezelésben érintett illetékes vezetővel;

h) végrehajtja az érintett, személyes adatkezeléssel összefüggő kérelméhez kapcsolódó intézkedést, a törvényben meghatározott eseteket kivéve az érintett tájékoztatását, a jogorvoslati lehetőségekről felvilágosítást ad;

i) igény szerint adatvédelmi szempontból véleményezi az új termékekkel, vagy szolgáltatásokkal kapcsolatos koncepciókat, terveket, normatív utasításokat;

j) közreműködik a publikus honlap és a felhasználói bejelentkezéssel védett felület frissítés információtartalma adatvédelmi szempontú véleményezésében;

k) kezdeményezi és végrehajtja az adatvédelmi ismeretek társasági oktatását;

l) az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából vezeti a belső adatvédelmi nyilvántartást, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat;

m) az adatvédelmi tisztviselő a szakmai felügyeletet ellátó minisztérium tájékoztatásán felül az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 16. § (3) bekezdése alapján az elutasított kérelmekről a Nemzeti Adatvédelmi és Információszabadság Hatóságot évente a tárgyévet követő év január 31-éig értesíti.

7.4 Az adatkezelési, adatfeldolgozási tevékenységet közvetlenül irányító vezetők az irányítási területükön felelősek:

a) a tevékenységben érintett rendszerekhez történő indokolt, a vonatkozó szabályozás szerinti hozzáférési jogosultságok engedélyezéséért, visszavonásáért és a jogosultságok előírtak szerinti gyakorlásának ellenőrzéséért;

b) a hozzáférési jogokkal történő visszaélés veszélye, vagy gyanúja esetén azok megvonásáéért, vagy felfüggesztéséért;

c) a meghatározott, különösen a jelen szabályzatban előírt adatvédelmi szabályok betartásáért és annak ellenőrzéséért;

d) a tudomásukra jutott, adatkezelést és adatfeldolgozást érintő biztonsági események kivizsgálásának kezdeményezéséért, az adatvédelmi tisztviselő és a felettes vezető tájékoztatásáért;

e) a felelősségébe tartozó adatkezelési tevékenység esetében az adatkezelési nyilvántartásban megadott adatok évenkénti felülvizsgálatáért a 11. pontban megadottak szerint.

7.5 Az adatkezelésben, adatfeldolgozásban résztvevők felelősek:

a) a számukra biztosított hozzáférési jogosultságnak megfelelő munkavégzésért;

b) a munkafolyamatok adatvédelmi szabályok szerinti végzéséért;

c) az adatok bizalmassága sérelmét jelentő, vagy azt veszélyeztető biztonsági események jelentéséért;

d) a közvetlen vezetője útján haladéktalanul az adatvédelmi tisztviselőnek bejelenteni, ha a Társaság által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst, azaz személyes adat jogellenes kezelését vagy feldolgozását, így különösen jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést vagy megsemmisítést, valamint véletlen megsemmisülést és sérülést észlel.

8 A személyes adatok kezelésével összefüggő általános elvek

a) az érintettek személyes adatait lehetőleg egy helyen kell tárolni;

b) a személyes adatokat tartalmazó tároló helyhez való hozzáférés kizárólag annak legyen

biztosítva, akinek a feladatellátásához az ott tárolt adatok kezelése szükséges;

c) a személyes adatok többszörözésének elkerülése érdekében és az adatminimalizálás elvét követve, a személyes adatok lehetőség szerint a szükséges mértéknél nagyobb számban ne kerüljenek sokszorosításra (pl. nyomtatás, e-mailen továbbítás, stb.);

d) amennyiben a feladat ellátása érdekében szükséges papír alapon sokszorosítani, akkor a feladat befejezése után haladéktalanul iratmegsemmisítő alkalmazásával meg kell semmisíteni a másolati példányt;

e) a papír alapon kezelt személyes adatokból a szükségesnél több másolati példány nem keletkezhet;

f) e-mailen továbbított személyes adat esetében, a feladat elvégzését követően az e-mailt haladéktalanul törölni szükséges;

g) a személyes adatot tartalmazó dokumentum zárható szekrényben kerüljön tárolásra, melyhez hozzáférést kizárólag az adatkezelésére jogosultsággal rendelkező személy kap.

A felelősségi körben megfogalmazottak teljesülése érdekében a Társaság munkatársai kötelesek az adatvédelmi tisztviselővel együttműködni, tevékenységét segíteni, a feladatokban részt venni. Kötelesek továbbá az adatkezeléshez, adatfeldolgozáshoz kapcsolódó szabályokat betartani, a rájuk kötelező adatvédelmi ismereteket kötelesek elsajátítani és a rendelkezésre álló keretek között fejleszteni.

9 A személyes adatok kezelésének szabályaival összefüggő ellenőrzések

a) Az adatvédelmi tisztviselő az éves biztonsági ellenőrzési terv szerinti, az adatvédelmet érintő rendszeres vagy eseti ellenőrzéseket végez. Az adatvédelmi tisztviselő az ellenőrzésről készített jelentést a vezérigazgató részére készíti el a biztonsági ellenőrzési szabályzatról szóló 21. számú vezérigazgatói utasítás szerint.

b) Az ellenőrzések során feltárt hiányosságok esetén a BI vizsgálatot indít, melynek tényéről és eredményéről az érintetteket, a vezérigazgatót és a szakmai felügyeletet ellátó minisztérium illetékes szakértőjét tájékoztatja.

10 Az adatvédelmi szabályok oktatása

A Társaság adatvédelmi tisztviselője rendszeresen, az éves biztonsági oktatási tervben foglaltaknak megfelelően köteles az adatvédelmi szabályokban bekövetkező változásokat a Társaság munkavállalói részére oktatni. Ezen belül, az adatvédelmi szabályok elsajátítását, az azoknak való megfelelőség mérését célzó ellenőrzések során tapasztaltakról az oktatásban résztvevőknek visszacsatolást kell adni.

11 Adatkezelési tevékenységek nyilvántartása

A Társaság az adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza.

a) az adatkezelő neve, elérhetősége, valamint az adatvédelmi tisztviselőnek a neve és elérhetősége;

b) az adatkezelés célja;

c) az érintettek kategóriái, valamint a személyes adatok kategóriáinak ismertetése;

d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják;

e) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

f) ha lehetséges, az adatkezelés biztonsága érdekében végrehajtott technikai és szervezési intézkedések általános leírása.

A nyilvántartásba kizárólag olyan adatkezelés kerül rögzítésre, amely nem alkalmi jellegű.

Az adatkezelési nyilvántartást az adatvédelmi tisztviselő kezeli az igazgatóságoktól valamint a

Társasági Kabinettől kapott adatok alapján.

A Társaság szakmai igazgatói továbbá a Vezérigazgatói Kabinet és az Akvizíciós Iroda vezetője a szükséges gyakorisággal, de legalább évente egy alkalommal, legfeljebb október 31-ig ellenőrzik, hogy a saját területükhöz tartozó, az adatkezelési nyilvántartásban megadott adatokban történt-e változás, azok megfelelnek a valóságnak. Ennek tényéről írásban értesítik az adatvédelmi tisztviselőt ezen határidőben.

Amennyiben év közben változás történik, az ellenőrzési kötelezettségtől függetlenül a társaság szakmai igazgatói továbbá a Vezérigazgatói Kabinet vezetője és az Akvizíciós Iroda vezetője a tudomásra jutástól számított 10 napon belül írásban jelzik az adatvédelmi tisztviselőnek, aki a változást rögzíti.

A felügyeleti hatóság megkeresése alapján a Társaság a hatóság részére rendelkezésre bocsátja a

nyilvántartást.

12 Adatvédelmi incidens kezelése

12.1 Adatvédelmi incidens észlelése

Adatvédelmi incidens észlelése esetén az adatvédelmi tisztviselő a tudomására jutott esemény kapcsán az alábbi intézkedéseket teszi:

a) Amennyiben a Társaság adatkezelő:

 felveszi az 1. számú mellékletnek megfelelő jegyzőkönyvet

 késedelem nélkül, és ha lehetséges, legkésőbb 72 órával a tudomásszerzést követően be kell jelenteni a hatóságnál, a NAIH honlapján létrehozott felületen, illetve annak működésképtelensége esetén, ezen az oldalon közzétett papír alapú dokumentáció kitöltésével és megküldésével;

 ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről;

 amennyiben a bejelentési kötelezettséget akadályoztatása miatt határidőben nem teljesíti, azt az akadály megszűnését követően haladéktalanul megteszi és a bejelentéshez mellékeli a késedelem okait feltáró nyilatkozatát is;

 nyilvántartja az adatvédelmi incidenseket.

b) Amennyiben a Társaság adatfeldolgozó:

felveszi az 1. számú mellékletnek megfelelő jegyzőkönyvet

tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

Nem kell bejelenteni az adatvédelmi incidenst a Hatóságnak, illetve a bejelentés mellőzhető, továbbá nem kell az érintetteket közvetlenül értesíteni, ha az adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

c) Az érintettet nem kell az adatvédelmi incidensről tájékoztatni, ha

 az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták (különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat);

 az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

 a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

A Hatóság bármikor utasíthatja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről.

12.2 Az adatvédelmi incidens lehetséges következményei:

a. a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását,

b. a hátrányos megkülönböztetést,

c. a személyazonosság-lopást vagy a személyazonossággal való visszaélést,

d. a pénzügyi veszteséget,

e. az álnevesítés engedély nélküli feloldását,

f. a jó hírnév sérelmét,

g. a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve

h. a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

12.3 Adatvédelmi incidensek megelőzése érdekében teendő intézkedések

a. adatvédelmi incidensek kezelésével kapcsolatos teendők, felelősségi körök meghatározása;

b. adatfeldolgozókkal kötött szerződések áttekintése, szükség esetén módosítása annak érdekében, hogy az adatkezelő haladéktalanul értesüljön az adatfeldolgozónál történt incidensről;

c. incidensek belső nyilvántartási rendjének kialakítása.

12.4. Adatvédelmi hatásvizsgálat

Amennyiben az adatkezelés a természetes személyek jogaira és szabadságaira valószínűsíthetően magas kockázatot jelent, annak megkezdése előtt az adatvédelmi tisztviselő megvizsgálja az

adatkezelés körülményeit és nyilatkozik az adatvédelmi hatásvizsgálat szükségességéről. A kockázatok értékelése során különös tekintettel kell lenni az adatkezelés céljára, jellegére, hatókörére és körülményeire, az alkalmazott technológiai megoldásokra.

Amennyiben a hatásvizsgálat lefolytatásának GDPR 35. cikkében foglalt feltételei fennállnak, az adatvédelmi tisztviselő írásban kezdeményezi annak lefolytatását vezérigazgatónál.

A hatásvizsgálat szükségességéről szóló a Társaság vezérigazgatója részére megküldendő feljegyzés tartalmazza:

a) az adatvédelmi hatásvizsgálat lefolytatására okot adó legfontosabb szempontokat;

b) a tervezett adatkezelést kezdeményező önálló szervezeti egység megkeresésében foglaltakat;

c) az alkalmazni javasolt módszertan megjelölését;

d) az adatvédelmi hatásvizsgálat lefolytatásába bevonni tervezett szervezeti egységek és személyek megjelölését;

e) a tervezett adatkezelés érintettjei véleményének kikérése kapcsán javasolt megoldást, vagy annak mellőzésére okot adó körülményeket;

f) a hatásvizsgálat lefolytatásának tervezett időrendjét;

g) valamint azt, hogy szükséges-e külső szakértelem igénybevétele a hatásvizsgálat elvégzéséhez.

A vezérigazgató elrendeli az adatvédelmi hatásvizsgálat lefolytatását, vagy írásban rögzíti mellőzésének okait az adatvédelmi tisztviselő javaslata alapján. A tervezett hatásvizsgálat lefolytatásához az adatkezeléssel érintett önálló szervezeti egység(ek) köteles(ek) résztvevőt kijelölni.

Az adatvédelmi hatásvizsgálat lefolytatását az adatvédelmi tisztviselő koordinálja.

A hatásvizsgálat lefolytatásának eredményét követően az adatvédelmi tisztviselő a megállapításait és javaslatait is tartalmazó jelentésben megküldi a vezérigazgató részére.

A hatásvizsgálat elvégzése kapcsán keletkezett dokumentumok, a jelentés kivételével döntés-

előkészítő iratnak minősülnek.

A tervezett adatkezelés abban az esetben kezdhető meg, ha a vezérigazgató elfogadja az

adatvédelmi hatásvizsgálatról szóló jelentést.

12.5 Az érintettek jogai

12.5.1 Az érintett hozzáférési joga

A GDPR 15. cikke alapján az érintett kérelmezheti a rá vonatkozó személyes adatokhoz való hozzáférést az alábbiak szerint:

(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h) az automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

(2) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. A másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

12.5.2 Helyesbítéshez való jog

A GDPR 16. cikke alapján az érintett jogosult az adatkezelőtől a rá vonatkozó személyes adat helyesbítését kérni.

Az érintett erre vonatkozó kérése esetén az adatkezelő köteles indokolatlan késedelem nélkül helyesbíteni a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

12.5.3 Törléshez való jog

A GDPR 17. cikke alapján az érintett jogosult az adatkezelőtől a rá vonatkozó személyes adat törését

kérni az alábbiak szerint:

(1) Az érintett jogosult arra, hogy az adatkezelőtől a rá vonatkozó személyes adatok törlését kérje, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett tiltakozik a közérdekből, közhatalmi jogosítvány gyakorlása érdekében vagy az adatkezelő (harmadik fél) jogos érdekében történő adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a tiltakozik a közvetlen üzletszerzés érdekében történő adatkezelés ellen;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban (magyar jogban) előírt jogi kötelezettség teljesítéséhez törölni kell;

f) a személyes adatok gyűjtésére az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

(3) Az érintett törlési jogának korlátozására csak a GDPR-ban írt alábbi kivételek fennállása esetén kerülhet sor, azaz a fenti indokok fennállása esetén a személyes adatok további megőrzése jogszerűnek tekinthető:

a) ha a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, vagy

b) ha valamely jogi kötelezettségnek való megfelelés, vagy

c) ha közérdekből végzett feladat végrehajtása, vagy

d) ha az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása miatt, vagy

e) ha népegészségügy területén érintő közérdekből,

f) ha közérdekű archiválás céljából, vagy

g) ha tudományos és történelmi kutatás céljából vagy statisztikai célból, vagy

h) ha jogi igények előterjesztéséhez, érvényesítéséhez illetve védelméhez szükséges.

12.5.4 Az adatkezelés korlátozásához való jog

A GDPR 18. cikke alapján az érintett jogosult az adatkezelőtől a rá vonatkozó személyes adat kezelésének korlátozását kérni az alábbiak szerint:

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett tiltakozott a közérdekből, közhatalmi jogosítvány gyakorlása érdekében vagy az adatkezelő (harmadik fél) jogos érdekében történő adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

(2) Ha az adatkezelés a fentiek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

(3) Az adatkezelő az érintettet, akinek a kérésére az (1) bekezdés alapján korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

12.5.5 A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

12.5.6 Az adathordozhatósághoz való jog

(1) Az érintett a GDPR 20. cikke alapján jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a) az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pontja vagy a GDPR 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és

b) az adatkezelés automatizált módon történik.

(2) Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

(3) A jelen pont (1) bekezdésében említett jog gyakorlása nem sértheti a12.4.3. pontban foglaltakat. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.

(4) Az (1) bekezdésben említett jog nem érintheti hátrányosan mások jogait és szabadságait.

12.5.7 A tiltakozáshoz való jog

A GDPR 21. cikke alapján az érintett jogosult az adatkezelőtől a rá vonatkozó személyes adat kezelése ellen tiltakozni az alábbiak szerint:

(1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekből, közhatalmi jogosítvány gyakorlása érdekében vagy az adatkezelő (harmadik fél) jogos érdekében történő kezelése ellen, ideértve az ezen alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

(3) A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

(4) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokonalapuló automatizált eszközökkel is gyakorolhatja.

(5) Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

12.5.8 A hozzájárulás visszavonása

A GDPR 7. cikk (3) bekezdése alapján az érintett jogosult a személyes adatainak kezeléséhez adott hozzájárulást bármely időpontban visszavonni az alábbiak szerint:

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás visszavonását ugyanolyan egyszerű módon jogosult megtenni, mint annak megadását.

Amennyiben a jelen szabályzat értelmében valamely adat kezeléséhez az érintett hozzájárulása szükséges, úgy e hozzájárulást az érintett megtagadni jogosult, azonban a Társaság felhívja rá az érintettek figyelmét, hogy a hozzájárulás megtagadása az adatkezelés céljának, illetve a hozzájáruláshoz kötött szolgáltatás nyújtásának, továbbá a hozzájárulással érintett jogviszonyok létrehozásának vagy fenntartásának meghiúsulását eredményezheti.

12.5.9 Az érintett jogorvoslati joga bíróság előtt, felügyeleti hatósághoz címzett panasz

Az érintett által tapasztalt jogellenes adatkezelés esetén polgári pert kezdeményezhet a Társaság ellen. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – a lakóhelye szerinti törvényszék előtt is megindítható (a törvényszékek felsorolását és elérhetőségét az alábbi linken keresztül tekintheti meg: http://birosag.hu/torvenyszekek

Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR-t.

A Hatóság elérhetőségei:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) cím: 1055 Budapest, Falk Miksa utca 9-11.

postacím: 1363 Budapest, Pf.: 9. e-mail: ugyfelszolgalat@naih.hu telefon: +36 (1) 391-1400

fax.: +36 (1) 391-1410

honlap: www.naih.hu

12.6 Az érintetti jogérvényesítés rendje:

A Társaság által kezelt személyes adatok érintettje

a) tájékoztatást kérhet személyes adatai kezeléséről (az érintett hozzáférési joga),

b) kérheti személyes adatainak helyesbítését (helyesbítéshez való jog),

c) a jogszabály által elrendelt adatkezelések kivételével adatainak törlését, (törléshez való jog)

d) vagy kezelésük korlátozását, (adatkezelés korlátozásához való jog)

e) tiltakozhat a személyes adatainak kezelése ellen (tiltakozáshoz való jog)

a GDPR 13-22. cikkében foglaltaknak megfelelően.

Az érintetti jogérvényesítés minden esetben az érintett természetes személy kezdeményezésére, kérelemmel indul. Kérelemnek minősül minden, a Társaság felé érkező érintetti megkeresés, amely valamely érintetti jog érvényesítésére irányul.

Az érintetti jogérvényesítésre irányuló kérelem szóban és írásban (postai úton, és elektronikusan) is előterjeszthető. Szóban előterjesztett jogérvényesítésre irányuló igény esetén csak akkor befogadható, amennyiben az előterjesztő személyazonossága személyazonosító okmány felmutatásával igazolható. A személyazonosító okmányok másolása tilos. Szóban előterjesztett jogérvényesítésre irányuló igény esetén jegyzőkönyvet kell felvenni.

Telefonos ügyfélszolgálati tevékenység ellátása során a Társaság rendszereiből személyes adatot továbbítani, valamint érintetti jogérvényesítésre irányuló kérelmet teljesíteni tilos, tekintettel arra, hogy a hívó fél minden kétséget kizáró módon történő azonosítása nem lehetséges. A kérelem tartalmi megfelelőségét elősegítendő a Társaság központi honlapján az érintetti joggyakorlás bejelentő űrlapot (5. számú melléklet) tesz elérhetővé. Az űrlap formai és tartalmi frissítéséért a adatvédelmi tisztviselője, a Társaság honlapján történő közzétételéért pedig a VK felelős.

A Társaság honlapján közzétett formanyomtatvány kitöltésétől el lehet tekinteni és a kérelem teljesítésének folyamatát meg lehet indítani, ha a kérelmező által benyújtott adatigénylés tartalmazza

a) a kérelmező beazonosításához szükséges információkat,

b) az adatkezeléssel közvetlenül összefüggő, az érintett és a Társaság között létrejött jogviszony, vagy az érintett áltat igénybe vett szolgáltatás megnevezését,

c) a kérelmező elérhetőségét (értesítési cím, telefonszám, e-mail cím),

d) a személyes adatok kezelésével kapcsolatban érvényesíteni kívánt jog pontos meghatározását,

e) a kérelmező nyilatkozatát arra, hogy a választ milyen formában szeretné és melyik elérhetőségére megkapni (elektronikus, postai, egyéb).

Az érintetti joggyakorlásra irányuló kérelem elintézésébe az adatvédelmi tisztviselőt be kell vonni. A Társaság részére bármely módon, formában és tartalommal előterjesztett, érintetti joggyakorlásra irányuló kérelmet köteles az azt fogadó szervezeti egység foglalkoztatottja megvizsgálni, hogy a kérelem előterjesztője a kérelem alapján egyértelműen beazonosítható-e, valamint a kérelmet a beazonosíthatóságra vonatkozó információkkal soron kívül az adatvédelmi tisztviselő részére is továbbítani.

Amennyiben a benyújtott kérelem alapján a kérelmező érintett kétséget kizáróan nem beazonosítható, az adatvédelmi tisztviselővel egyeztetett további adat is bekérhető.

A kérelmet a Társaság adatvédelmi tisztviselője megvizsgálja, hogy annak formai és tartalmi elemei elégségesek-e az adatszolgáltatási folyamat megindításához.

Amennyiben a kérelem a 12.6. pont első bekezdésében foglalt elemek valamelyikét egyáltalán nem, vagy hiányosan tartalmazza, és ennek okán az érvényesíteni kívánt jog tartalma nem válik egyértelművé, a Társaság adatvédelmi tisztviselője az abban megjelölt elérhetőségen felhívja az érintettet a kérelem pontosítására.

A kérelem formai és tartalmi megfelelősége esetén a Társaság adatvédelmi tisztviselője az érintett szervezeti egységek bevonásával vizsgálatot folytat le. A vizsgálat során az adatvédelmi tisztviselő felkéri az érintett szervezeti egységek vezetőit, hogy szolgáltassanak adatot a kérelemmel összefüggésben, különös tekintettel az érintett szakrendszerekben történt keresés időpontja, helye és eredményei, egyéb, vagy manuális nyilvántartásokban történt keresés időpontja, helye és eredményei, az esetleges költségtérítési díj meghatározásának szükségessége, valamint a kérelem haladéktalan teljesítését befolyásoló egyéb tényezőkről.

Az érintett szervezeti egység vezetője ezt követően 5 munkanapon belül megküldi az adatvédelmi tisztviselőnek a rendelkezésre álló információkat, valamint jelzi, ha az igény érvényesítésének haladéktalan teljesítését akadályozó körülmények merültek fel. A kérelem összetettségére való tekintettel az adatgazda a GDPR 12. cikk (3) bekezdés szerint a teljesítés határidejének további, legfeljebb 2 hónappal történő meghosszabbítását javasolhatja az adatvédelmi tisztviselő felé.

Amennyiben az adatgazda a kérelem összetettségére (vagy a kérelmek mennyiségére) való tekintettel a teljesítés határidejének meghosszabbítását javasolja, az adatvédelmi tisztviselő a kérelem beérkezésétől számított egy hónapon belül az érintettnek címzett, a meghosszabbítás tényéről és indokairól, valamint az esetlegesen felmerülő költségekről szóló tájékoztató levelet készít, amelyet a VK megküld a kérelmező által megadott elérhetőségre.

Amennyiben a kérelem egyértelműen megalapozatlan, vagy különösen ismétlődő jellege miatt túlzó, teljesítésének költségei vonatkozásában ésszerű összegű díj állapítható meg, vagy a kérelemben foglaltak teljesítése megtagadható. Az ésszerű összegű díj mértékéről és a megtagadás javasolt indokairól az adatgazda tételes kimutatást (a továbbiakban: költségkimutatás-tervezet) készít, amelyet szintén megküld az adatvédelmi tisztviselőnek.

Az illetékes szervezeti egységekkel történt egyeztetést követően az adatvédelmi tisztviselő a jogszabályi előírások alapján megállapítja, hogy a kérelemben foglaltak teljesíthetők-e. A vizsgálat eredményéről az adatvédelmi tisztviselő jegyzőkönyvet készít (6. számú melléklet).

A jegyzőkönyvben megállapított intézkedés végrehajtása az érintett szervezeti egységek feladata, az adatgazda 5 munkanapon belül intézkedik a kérelemben foglaltak teljesítésére, és ennek megtörténtéről az adatvédelmi tisztviselőt elektronikus levélben értesíti. Az intézkedések végrehajtását az adatvédelmi tisztviselő ellenőrzi.

Amennyiben a kérelem nem teljesíthető, az adatvédelmi tisztviselő jogszabályi indokolást és a jogorvoslati lehetőségekről való tájékoztatást is tartalmazó válaszlevelet készít, amelyet – a vezérigazgató általi aláírás és az érintettnek történő továbbítás céljából – haladéktalanul megküld a VK részére az érintett felé történő továbbítás céljából.

13 Záró rendelkezések

A szabályzat jelen verziója 2025. január 1. napján lép hatályba.

14 Mellékletek

1. számú melléklet: Jegyzőkönyv adatvédelmi incidensről

2. számú melléklet: A munkahelyi kamerarendszer üzemeltetésére vonatkozó szabályok

3. számú melléklet: Adatvédelmi tisztviselő neve, elérhetősége

4. számú melléklet: Magánszemély adategyeztető

5. számú melléklet: Kérelem érintetti joggyakorlás bejelentéséhez

6. számú melléklet: Jegyzőkönyv érintetti joggyakorlás vizsgálatának lefolytatásához

1. számú melléklet:

JEGYZŐKÖNYV ADATVÉDELMI INCIDENSRŐL

Készült 202 napján, a Pro-M Zrt.

1107. Budapest, Száva u. 3. cím alatt található hivatalos helyiségében.

Jelen vannak:

adatvédelmi incidenst észlelő (jelző) személy: (név) ……………………….. (beosztás) …………… érintett adatkezelés felelős vezetője: (név) ……………………….. (beosztás) …………………….. adatvédelmi tisztviselő: (név) ……………………….. (beosztás)……………………………………………..

Az adatvédelmi incidens leírása:

Az érintett személyes adatok köre, bemutatása és mennyisége:

Érintettek kategóriái:

Az érintett személyek köre és száma:

Az incidens előtt alkalmazott

intézkedések:

Adatvédelmi incidens

időpontja:

körülményei:

jellege

valószínű hatása az érintettekre, valamint ezek súlyossága:

Elhárítása érdekében megtett intézkedések, ideértve az érintettek tájékoztatását is:

Következmények megjelölése:

Egyéb mondandó, megjegyzés:

………………………………… ……………………………………..

észlelő adatvédelmi tisztviselő

2. számú melléklet:

A munkahelyi kamerarendszer üzemeltetésére vonatkozó szabályok

A Pro-M Zrt. (továbbiakban Társaság) területén zárt láncú elektronikus megfigyelőrendszert üzemeltet, mely kialakításánál és működtetésénél figyelembe vette a munka törvénykönyvéről szóló 2012. évi I. törvényt (a továbbiakban: Mt.), az információs önrendelkezési jogról és az információszabadáságról szóló 2011. évi CXII. törvényt (a továbbiakban: Infotv.), a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvényt (a továbbiakban Szvtv. ), az Európai Parlament és a Tanács (EU) 2016/679 rendeletét a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet), valamint a minősített adatok védelméről szóló 2009. évi CLV. törvényt (a továbbiakban Mavtv.).

A jelen szabályzat célja, hogy a munkavállalókat tájékoztassa a megfigyelőrendszer működéséről és annak szabályozásáról. Az új munkavállalókat a munkáltató tájékoztatja a megfigyelő rendszerekről, melyet munkavállalók a munkaszerződés aláírásával tudomásul vesznek.

A videó rendszer működéséről az érintett objektumokba belépőket, a „Figyelem! Az épületben (helyiségben) biztonsági videó kamerás megfigyelő rendszer működik.” felirattal kell tájékoztatni és a működtetés tényét a kapcsolódó szabályzatokban rögzíteni kell.

A kamerarendszer üzemeltetésének részletes szabályai

a) Az adatkezelés célja és a kezelt adatok köre:

A Közszolgáltatási Szerződésben meghatározott magas fokú biztonság teljesítése.

A rendszer üzemeltetésének célja a fontosabb EDR objektumok (társasági központ, kapcsolóközpontok, kiemelt bázisállomások) behatolás-védelmének fokozása, valamint a kiemelten védett területek egyedi beléptetésének biztosítása.

A videó megfigyelő rendszernek nem feladata a munkatársak tevékenységének figyelemmel kísérése. Nem alkalmazható továbbá videó megfigyelő rendszer olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti.

A helyi vezérlőegységeken tárolt képi anyagnak a központi vezérlőbe töltése csak indokolt esetben, biztonsági esemény bekövetkeztekor valósul meg.

A kezelt adatok köre: A Társaság ingatlanjának és bérleményeinek területére belépők képmása és

mozgásadatai.

b) Adatkezelő:

a Társaság, az adatkezeléssel kapcsolatos feladatokat a BFIVO végzi.

c) Adatfeldolgozó Adatfeldolgozó igénybevétel nincs.

d) Az adatkezelés alapja

A Társaság az adatokat közérdekű feladat ellátása érdekében kezeli (GDPR 6. cikk (1) bekezdés e) pont.

e) Az adatkezelés határideje / a kezelt adatok törlésének időpontja

A videó rendszer által rögzített adatok szoftver beállítás szerint automatikusan törlésre kerülnek. A videó rendszer által rögzített adatok megőrzési ideje az EDR hálózat kiemelten bizalmas jellegéből adódóan legfeljebb 30 nap Amennyiben valamely biztonsági esemény kapcsán indokolt az ettől eltérő megőrzés, abban az esetben a vizsgálat befejezését követő 2 napon belül kell a törlést elvégezni.

f) A nyilvántartás módja

A rögzített képi információ tárolása elektronikus felügyeleti rendszerben valósul meg.

g) Hozzáférés az adatokhoz

A rendszer képeit automatikusan rögzítő videokamerás megfigyelő rendszert az BFIVO diszpécserei kezelik. A felvételek visszanézésére a Biztonsági Igazgató utasítása esetén van lehetőség, melynek keretében az adatokhoz a h) pontban meghatározott személyek férnek hozzá.

A videó megfigyelő rendszer által rögzített felvételt külön engedély nélkül megtekintheti a rendszer kezelésével megbízott, a biztonsági esemény kivizsgálásában résztvevő, a biztonsági ellenőrzést végző munkatárs és vezetője, a biztonsági igazgató és a vezérigazgató.

A tárolt adatokhoz a rendszerek karbantartásában érintett szállító munkatársai felügyelet mellett férhetnek hozzá.

h) Adattovábbítás, adatszolgáltatás

Adatszolgáltatást teljesíteni csak írásos kérésre, a biztonsági igazgató engedélyével, az adatkezelő közreműködésével lehet.

Felvételeket kimásolni kizárólag a biztonsági igazgató engedélyével lehet, az csak a BFIVO

diszpécserek jogosultsága, azokat a megjelölt célon kívül másra használni nem lehet. Az adathordozóra mentett képanyagot az iratkezelési előírások szerint kell kezelni.

Másolat készítése és annak felhasználása törvényben meghatározott esetekben, illetve biztonsági esemény kapcsán lehetséges.

Kihelyezett kamerák helye:

„A-F” épület bejárat

„A-F” épület lépcsőház

„B” földszint folyosó bejárat

„B” földszint folyosó

„B” I. emelet folyosó bejárat

„B” I. emelet folyosó

„F” I. emelet folyosó bejárat

„F” I. emelet folyosó

„A” és „B” folyosó közötti terület

A Társaság székhelyén felszerelt kültéri kamerák.

Biztonsági területek zsiliprendszerrel védett területeinek bejárata Kapcsolóközpontok külső belépési pontjai és belső területei.

A munkáltató elsősorban emberi élet, testi épség, személyi szabadság védelme, vagyonvédelem céljából, illetve minősített adatok védelme céljából alkalmazza a megfigyelő rendszert.

A kamera képek megfigyelését a BFIVO ügyeletese 24 órában on-line láthatja.

A felvételek visszanézésére a biztonsági igazgató utasítása esetén van lehetőség, az alább felsorolt munkakörben dolgozó személyek számára:

BI igazgató BFIVO vezetője

BFIVO szenior biztonsági menedzser BFIVO ügyeletese

Biztonsági esemény kivizsgálásával kapcsolatban a BI igazgatója által kijelölt személy, személyek Megtekintések célja: biztonsági esemény kivizsgálása

Mivel a munkavállalókon kívül egyéb személyek is a megfigyelt területre lépnek, a kamerarendszer működésére figyelmeztető táblák kerültek kihelyezésre azokon a belépési pontoknál, ahol az érintett

a Pro-M Zrt. területére léphet. Az átlépési ponton szereplő felirat úgy került elhelyezésre, hogy a kamerák csak a mögötte lévő területen történő mozgást ellenőrzik, rögzítik. Az ügyfelek, a vendégek a munkáltató területére való belépéssel elismerik és tudomásul veszik a kamerás megfigyelés tényét, hogy róluk felvétel készül, a keletkezett adatokat a Pro-M Zrt. közfeladat ellátása érdekében kezeli az adatkezelési szabályzatban meghatározottak szerint.

3. számú melléklet:

ADATVÉDELMI TISZTVISELŐ

Neve: dr. Jarjabka Tünde

Kijelölésének időbeli hatálya: 2022. 01. 03. napjától kezdődően visszavonásig Elérhetősége: adatvedelem@pro-m.hu

4. számú melléklet:

MAGÁNSZEMÉLY ADATEGYEZTETŐ

Előnév: Vezetéknév: Utónév/utónevek:

Születési vezetéknév: Születési utónév/utónevek:

Adóazonosító jel: Adószám:

Születés országa: Születés helye: Születés dátuma:

Anyja neve: Állampolgárság:

Irányítószám: Helyiség: Kerület:

Közterület neve: Közterület típusa:

Házszám: Épület: Lépcsőház:

Emelet: Ajtó: Telefonszám:

+36

Bankszámlaszám:

Állomáskód: E-mail cím:

Ingatlan bérbeadási tevékenységemet egyéni vállalkozó- ként végzem:

IGEN / NEM (megfelelő aláhúzandó) Egyéni vállalkozói nyilván- tartási szám:

Az általános forgalmi adóról szóló 2007. évi CXXVII. törvény (Áfa törvény) 88. § (1) bekez- dése alapján az általam, mint adószámos magánszemély által bérbeadott ingatlan (ingat- lanrész) tekintetében a Nemzeti Adó- és Vámhivatal részére adókötelessé tételről szóló döntésemet bejelentettem:

IGEN / NEM (megfelelő aláhúzandó)

A személyi jövedelemadóról szóló 1995. évi CXVII. törvény 47. § (2) a) aa) és a 48. § 1. pontja alapján nyilatkozom, hogy a 2023. évi önálló tevékenységből származó bevétel adó- előlegének megállapítása során

10%-os költséghányad vagy %-os felmerülő, elismert

alkalmazását kérem költség levonását kérem (megfelelő aláhúzandó és/vagy kitöltendő)

Kötelezettséget vállalok arra vonatkozóan, hogy amennyiben adataimban változás következik be, arról a Pro-M Professzionális Mobilszolgáltató Zrt.-t (1107 Budapest, Száva u. 3.) a változást követő 5 munkanapon belül írásban tájékoztatom.

A Pro-M Professzionális Mobilszolgáltató Zrt. adatvédelmi szabályzata a www.pro-m.hu/Kozer- deku_adatok oldalon érhető el.

Dátum:

………………………………… aláírás

5. számú melléklet:

KÉRELEM

ÉRINTETTI JOGGYAKORLÁS BEJELENTÉSÉHEZ

Alulírott, név:

Születési hely, idő:

anyja neve:

állandó lakcím:

Adatalany beazonosításához szükséges további adatok:

A tájékoztatást az alábbi formában, az itt megjelölt elérhetőségemre kérem megküldeni:

A megfelelő rész aláhúzandó, vagy egyéb módon jelölendő!

a) A hozzáférési jog keretében visszajelzést kérek arról, hogy személyes adataimnak a ke-

zelése a Pro-M Zrt.-nél folyamatban van-e.

Lehetséges szakterület, szolgáltatás, projekt megjelölése, adatkezelés kezdő időpontja (ha van):

b) Kérem, a Pro-M Zrt.-nél kezelt alábbi pontatlan személyes adataim helyesbítését.

Kezelt adat:

Helyes adat:

c) Kérem a Pro-M Zrt.-nél kezelt alábbi személyes adataim törlését:

d) Kérem a Pro-M Zrt.-nél kezelt alábbi személyes adataim korlátozását:

e) Tiltakozom a Pro-M Zrt. által kezelt alábbi személyes adataim kezelése ellen, saját helyze- temmel kapcsolatos okból:

Kérelem indokai:

Csatolt dokumentumok:

Kelt:…………………………………………………….

…………………………………………………….

 Online adatkezelés esetén pl. e-mail cím, felhasználónév; Az adatkezeléssel közvetlenül összefüggő, az érintett és a Pro- M Zrt. között létrejött jogviszony, vagy az érintett által igénybe vett szolgáltatás megnevezése; Egyéb esetben az azonosí- táshoz szükséges további, az adatkezelő által kezelt személyes adat pl. lakcím, születési idő, stb.

6. számú melléklet:

JEGYZŐKÖNYV

érintetti joggyakorlás vizsgálatának lefolytatásához

1. Érintett adatai: Név:

Érintett beazonosításához megadott további adatok:

Kapcsolattartásra megadott levelezési cím, e-mailcím:

2. A kérelem benyújtásának időpontja, módja (a kérelem másolata jegyzőkönyvhöz csatolva):

3. Az érintetti joggyakorlásra irányuló kérelem tárgya:

4. A vizsgálatba bevont szervezeti egységek:

5. Szakrendszerekben történt keresés időpontja, helye és eredményei:

6. Egyéb, vagy manuális nyilvántartásokban történt keresés időpontja, helye és eredményei:

7. A vizsgálat megállapításai:

8. A kérelem teljesítésének van-e jogszabályi akadálya:

9. A kérelem teljesítésének van-e fizikai/technikai akadálya:

10. A szükséges intézkedések:

Feladat Felelős szervezeti egység Végrehajtás határideje

Vizsgálatban résztvevők aláírásai:

11. Záradék:

Az intézkedések végrehajtásra kerültek, ellenőrzése megtörtént:

Az érintett értesítése megtörtént:

atkezelő székhelye szerint a perre a Fővárosi Törvényszék rendelkezik illetékességgel.

Adatkezelési tájékoztató – Mobil hálózat üzemeltetési szolgáltatások igénybevételével összefüggésben megvalósuló adatkezeléséről