United Consult

Adatkezelési szabályzat

1. Bevezetés:

A 2018. május 25-én érvénybe lépő új európai adatvédelmi rendelet (GDPR) értelmében minden cég számára kötelező az adatvédelmi szabályzat elkészítése, aki európai uniós polgár személyes adatát tárolja vagy dolgozza fel (függetlenül ezek helyétől). A dokumentum célja, hogy meghatározza a cég folyamatai kapcsán előforduló személyes adatok típusait, előfordulási helyét és funkcióját egy adatvagyonleltár formájában illetve az adatokhoz való hozzáférést szabályozza mind az adat gazdája mind az adat feldolgozója részéről. Szabályozza továbbá a hozzáférési jogot, helyesbítéshez és törléshez való jogot az adatkezelés és az adathordozhatsághoz való jogot.

Az adatvédelmi incidensek esetén szabályozza az eljárásrendet, szavatolja a személyes adatok elfolyásának megakadályozását, megszüntetését, felderítését.

A szabályozás célja, hogy:

• a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen,

• az adatkezelés jogszerűen és tisztességesen, valamint az érintett számára átlátható módon történjen,

• az adatkezelés olyan módon való kialakítása, hogy minimális mértékben kerüljön sor személyes adatok kezelésére,

• a személyes adatok tárolása pontos legyen,

• a kezelt adatok tárolását, hogy az érintettek azonosítását csak a személyes adatok kezelési céljainak eléréséhez szükséges ideig tegye lehetővé,

• biztosítsa a személyes adatok biztonságát,

• segít kialakítani és működtetni az adatrögzítési értesítési rendszert, amelyben rögzítésre kerül az összes ismert adatkezelési sérelem.

A szabályzat biztosítja, hogy a kezelt személyes adatok kizárólag az adatkezelő és az érintett között létrejött szerződés/elfogadott adatkezelési tájékoztató alapján lesz kezelve.

2. Definíciók:

Adatállomány: Az egy nyilvántartásban kezelt adatok összessége.

• Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik. Jelen Szabályzat értelmezésében adatfeldolgozás különösen minden olyan, érdemi döntést nem igénylő technikai adatkezelési művelet, amit az adatkezelő megbízása alapján az adatfeldolgozó végez.

• Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi.

• Adatgazda: Egy adott szervezeti egységnél kezelt személyes adatok tekintetében a szervezeti egységet irányító vezető, aki felelős a szervezeti egysége által kezelt valamennyi személyes adat jelen szabályzatnak megfelelő kezelésért (továbbiakban: adatgazda). Amennyiben IT rendszerben kezelt személyes adattal kapcsolatos döntés meghozatala szükséges, és az érinti az Információ Biztonsági Szabályzat szerinti adatgazda felelősségét, akkor a személyes adatgazda az Információ Biztonsági Szabályzat alapján kijelölt adatgazda egyetértésével hozza meg döntését.

• Adathordozó: Az adat fizikai megjelenési formája, tárolási helye, ide értve az iratokat is.

• Adatigénylő: Az a természetes, vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatai kezelésével, helyesbítésével, törlésével vagy zárolásával kapcsolatban kérelmet nyújt be a Szervezethez.

• Adatkezelés: Az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése. Jelen Szabályzat értelmezésében adatkezelés különösen az egyes adatkezelési műveletekkel kapcsolatos döntések meghozatala, utasítások kiadása.

• Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

• Személyes adat: Az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.

• Adatkezelési incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

3. Adatvagyonleltár

A United-Consult K2 Kft. azonosította az összes személyes adatot és osztályozta, amit a szervezet összegyűjt, feldolgoz és tárol. Azonosította az adatkezelési formákat, az egyes adatkezelési formákon belül számba vette, hogy milyen személyes adatok rögzítődnek, milyen eszközökön és adatbázisokban tárolódnak, mennyi ideig, kik férnek hozzá ezekhez az adatokhoz, kiknek kerül esetlegesen továbbításra további feldolgozás céljából. Az azonosítást és az osztályozást követően feltérképezte az adatgyűjtési éshasználati folyamatokat. Meghatározta és azonosította, hogy kik azok a partnerek (harmadik felek) akik a személyes adatokat feldolgozzák a szervezete nevében. Az adatok láthatósága és ellenőrzése kulcsfontosságú kérdés.

A United Consult Kft. adatvagyonleltára: ASZ_AV_ADATVAGYONLELTAR.XLSX

Az adatvagyonleltár tartalma:

• Topic: Milyen üzleti területhez tartozik

• Adatkör (üzleti folyamat / feldolgozás): Üzketi folyamat

• Rendszer/Rendszer modulja/Dokumentum: Hol tárolódik

• Formátum (Nyomtatott, PDF, Adatbázis, Email): Milyen formátumban érhető el az adat

• Ki fér hozzá

• Érintett személyek: Kinek a személyes adatai tárolódnak (Jelölt, Dolgozó, Beszállító, ..)

• adat típus*: Személyes/céges adat

• Kinyerhető információk: Pontosan milyen személyes adatok tárolódnak, mellyel egyedileg beazonosítható a személy

• Maximális tárolás ideje

• Milyen módon lesz egyedileg beazonosítható a természetes személy: Milyen kombinációval azonosítható egyedileg a személy.

• Milyen védelem van rajta: Az adattárolás módján milyen védelem van.

• Jogalap van-e a tárolásról: Mely jogalap alapján tároljuk az adatot.

• Jóváhagyás van-e róla a természetes személy részéről

• Hozzáférés célja: Milyen okból tároljuk az adatot.

• Kockázatok ismertetése: Milyen módon férhet hozzá illetéktelen személy az adatokhoz

• Archíválva van?

• Logolva van?

• Hogyan Csökkenthető a természetes személy azonosításának esélye?: Egyedi azonosítás csökkentéase

• Rendszer felelőse: A tároló rendszer kihez tartozik

• Adatkezelő (Adatgazda): Az adat kihez tartozik

• Adatfeldolgozó: Lásd definíciók..

• Megjegyzés

4. Személyes adatok felhasználása

A United-Consult K2 Kft. az alábbi tevékenységei mentén gyűjt személyes adatokat:

• HR

• • Dolgozói HR tevékenység

  • Dolgozói bérszámfejtési tevékenység

  • Lehetséges új munkavállalók keresése

  • Dolgozók kiajánlása projektekre

• Együttműködés

  • Együttműködés beszálítókkal, beszállítói adatok tárolása

• Marketing

  • Együttműködő partnerek felkutatása, kapcsolattartók keresése

A United-Consult K2 Kft. az alábbi természetes személyekkel kapcsolatban gyűjt személyes adatokat:

• Dolgozó

• Alvállalkozó

• Jelölt

• Céges kapcsolattartó

A összegyűjtött személyes adatok tárolási formái:

• Papír alapú: Zárt szekrényben

• Elektronikusan: Webszerveren vagy fájlszerveren vagy Email fiókban

A tárolt adatok megőrzési ideje:

• Dolgozók esetén jogszabályban rögzített

• Alvállalkozók esetén jogszabályban rögzített

• Jelölt esetén az adatkezelés céljának megszűnésével lejár

• Céges kapcsolattartó esetén az adatkezelés céljának megszűnésével lejár

5. Adatkezelés körülményei

United Consult K2 Kft., mint adatkezelő az adatokat biztonságosan és szabályosan kezeli. Az adatokhoz kizárólag az adatgazda és az adatfeldolgozók férhetnek hozzá, továbbá kötelezi magát, hogy gondoskodik a személyes adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt személyes adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását.

Az adatkezelés körülményeiről bővebben az adatvagyon leltár tartalmaz információkat.

6. Hozzáférési jog

United Consult K2 Kft., mint adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát ingyenesen az érintett rendelkezésére bocsátja, ha ezt a személyes adatok tulajdonosa személyesen vagy írásban kéri. Ha az érintett elektronikus úton nyújtotta be a kérelmet és a egyértelműen azonosítható a személyes adat tulajdonosaként (A United-Consult K2 Kft. által rendelkezésre álló adatok alapján), az információkat széles körben használt elektronikus formátumban bocsátja rendelkezésére. A személyes adat tárolásáról a természetes adat tulajdonosa minden esetben értesítést kap, így biztosítható, hogy a tárolással kapcsolatban információval rendelkezik.

7. Helyesbítéshez való jog

United Consult K2 Kft., mint adatkezelő befogad kérelmeket a személyes adatok megváltoztatásával kapcsolatban a személyes adatok tulajdonosaitól. A megváltoztatásra vonatkozó kérést azonnal rögzíti a megfelelő helyen (lásd adatkatalógus) sikeres beazonosítás után. A beazonosítás sikertelenségéről vagy a siekeres módosításról üzenetet küld a tulajdonosnak a tulajdonos által választott csatornán keresztül.

8. Törléshez való jog

A személyes adat tulajdonosa jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha

 a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték

• az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja

• az érintett tiltakozik az adatainak kezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre

• a személyes adatokat jogellenesen kezelte volna a United-Consult K2 Kft.

Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek a személyes adatokat bizonyos esetekben továbbítja vagy átadja, ugyancsak felszólítja ez irányú kötelezettségeinek teljesítésére.

9. Továbbadáshoz való jog

Az adatkezelő United-Consult csak abban a speciális esetben adhatja tovább a személyes adatokat más természetes vagy jogi személy számára, ha erről a személyes adat tulajdonosától egyértelmű beleegyező nyilatkozattal rendelkezik, melyben meghatározott:

• a személyes adat típusa

• a személyes adatot átvevő másik természetes vagy jogi személy adata

• az adat tárolhatóságának ideje a másik személy számára

• az adat felhasználásának célja a másik személy számára

Az adatátadást követően, ha az adat tulajdonosa változást, törlést jelent be az adataival kapcsolatban, akkor a United-Consult K2 Kft. feladata az átadott adatokkal kapcsolatban az változás, törlés bejelentésére.

10. Ügyfelek személyes adatainak kezelése

United-Consult K2 Kft. (UC) tevékenységéből fakadóan munkavállalói munkájuk során gyakran használják az UC ügyfelének/ügyfeleinek adatait. A UC feladata, hogy technikailag mindent kövessen el az ügyfelek adatainak biztonságos kezeléséhez. Abban az esetben, ha az adatkezelés magánál az ügyfélnél valósul meg, akkor az ügyfél adatkezelési szabályainak betartatása az UC feladata.

Adatkezelési incidens esetén – amennyiben az UC munkavállalója, alvállalkozója érintett az incidensben – az UC feladata az incidens kinyomozása, az adatvesztés csökkentése és a további esetek elkerülése végett megelőző tevékenységek kialakítása.

Az UC a munkavállalóival titoktartási szerződést, az alvállalkozóival adatkezelési szerződést köt.

11. Adatkezelési incidens

Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatvédelmi incidensről szóló bejelentésben az adatkezelő:

• ismerteti az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát

• közli az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét

• ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket

• ismerteti az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha az adatvédelmi incidens az UC ügyfelét érinti, akkor a megadott határidőn belül értesíti és számára adja át az említett adatokat.

Ha az adatvédelmi incidens egyedi magánszemélyt érint, akkor a megadott határidőn belül a magánszemélyt értesíti és egyeztet vele a további lépésekről.

Minden esetben az adatvédelmi incidens bekerül az adatvédelmi incidens jegyzőkönyvébe (ASZ_INCIDENS_JEGYZOKONYV.xlsx), melyet az adatvédelmi tisztviselő tart karban.

Az  adatvédelmi tisztviselő feladata az adatvédelmi incidensek nyomon követése, menedzselése és lezárása.

12. Adatkezelési rendszer felülvizsgálata

Az  adatvédelmi tisztviselő feladata az adatvédelmi rendszer felülvizsgálata negyedévente, de legkésőbb évente, melynek tartalmaznia kell az adatvédelmi szabályzat felülvizsgálatát és az adatvédelmi szabályzathoz kapcsolódó adatvagyonleltár felülvizsgálatát. A módosításokról röviden a Adatkezelési Rendszer felülvizsgálata pontban ír.

13. Adatkezelési rendszer ismertetése

• Az  adatkezelési rendszerrel kapcsolatban minden munkavállalónak és alvállalkozónak ismeretekkel kell rendelkeznie. Az új dolgozók belépése esetén az adatvédelmi tisztviselő és a HR feladata, hogy tájékoztatást nyújtson az adatkezelési rendszerről. Az új belépő titkotartási és adatvédelmi nyilatkozatot ír alá (ASZ_TITOKTARTASI_NYILATKOZAT.doc), illetve a saját személyes adatainak kezeléséről nyilatkozik (ASZ_SZEMELYES_ADATOK_KEZELESE_NYILATKOZAT.doc).

• Az alvállalkozók az UC és az alvállalkozó közötti szerződés megkötésekor kapnak tájékoztatást az adatkezelési rendszerről. Ekkor jön létre az alvállalkozó és az UC között a adatvédelmi megállapodás, melyet mindkét fél ellenjegyez. (ASZ_ADATVEDELMI_MEGALLAPODAS.doc).

• Céges kapcsolattartók személyes adatainak kezeléséről az adatvédelmi nyilatkozatban történik megállapodás az UC és a kapcsolattartók között (ASZ_ADATVEDELMI_NYILATKOZAT_BELSOS.doc). Az UC elektronikus formában küldi ki a megállapodást, melyet a kapcsolattartó elektronikus formában erősít meg.

• HR a lehetséges jelöltek adatainak kezelését (prospekt) hasonló módon oldja meg.

• Az UC az ügyféladatokkal kapcsolatban adatkezelési megállapodást köt az ügyféllel

2018.05.08.