AZ  INVEST AND TRADE KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG ADATVÉDELMI SZABÁLYZATA

1. Bevezetés

Jelen Szabályzat célja, hogy meghatározza a személyes adat Invest and Trade Kft. (továbbiakban Társaság) működése során keletkező üzleti titkot jelentő, illetve egyéb adatok kezelésére, kiadhatóságára, és megsemmisítésére, továbbá a belső információk védelmére vonatkozó szabályokat. Jelen Szabályzat célja továbbá, hogy meghatározza a Társaság által vezetett adatnyilvántartások rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak, és az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását, valamint biztosítsa a 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.) rendelkezéseinek való megfelelést.

2. A szabályzat hatálya

A szabályzat hatálya kiterjed a szervezet összes dolgozójára, valamint egyéb munkavégzésre irányuló jogviszony keretében munkát végző személyre, aki a munkavégzés kapcsán használja a Társaság eszközeit. A szabályzat hatálya kiterjed a Társaság valamennyi szervezeti egységére.
A Szabályzat a Társaság előzetes adatvédelmi tájékoztatójával és a Tiltólista szabályzattal együtt érvényes és hatályos

2.1. Tárgyi hatály

A szabályzat tárgyi hatálya kiterjed a Társaság által kezelt valamennyi adatra.
A személyes adat, a banktitok, és a belső információ a törvény erejénél fogva védett adatnak minősül, ezért az ezekkel kapcsolatos titokvédelmi szabályokat akkor is alkalmazni kell, ha az adatvédelmi minősítés nincs az adathordozón megjelölve, vagy a Védett adat birtokába kerülő személy figyelmét az adatvédelmi szabályok alkalmazásának kötelezettségére az adat átadásakor külön nem hívták fel. A Védett adat kiadhatósága kérdésében az Adatvédelmi Felelős szakvéleménye az irányadó.

A Társaság valamennyi munkatársa jelen Szabályzatot a munkaviszony kezdetének napján, de legkésőbb az első munkában töltött napon köteles megismerni, és egyben a Szabályzat megismerését és tudomásul vételét aláírásával igazolni.
A tudomásul vétel igazolását az Adatvédelmi Felelős őrzi.

3. Fogalom-meghatározások
3.1. Általános fogalmak az Infotv. alapján

Adat” jelenti a jelen Szabályzat alapján Üzleti titoknak, vagy Publikusnak minősített adatot.

Adatkezelő” jelenti a Társaságot. Az adatkezelő meghatározza az adatkezelés célját, valamint az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

Adatvédelmi Felelős” jelenti az Ügyvezető által kijelölt azon személyt, aki munkakörének részeként az adatkezelésre vonatkozó jogszabályok és jelen Szabályzat rendelkezéseinek megtartásáért felelős.

Adatkezelés” jelenti az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összességét, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is.
Jelen szabályzat szempontjából adatkezelésnek minősül az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése is, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.

Adattörlés” jelenti az adatok felismerhetetlenné tételét oly módon, hogy a helyreállításuk többé nem lehetséges.

Adatmegsemmisítés” jelenti az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítését.

Hozzájárulás” jelenti az érintett kívánságának önkéntes és határozott kinyilvánítását, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.

Tiltakozás” jelenti az érintett nyilatkozatát, amellyel Személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.

Érintett” bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy

3.2. A Védett adatok köre

A Személyes adat

Személyes adat az Infotv. megfogalmazása szerintaz érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.

A Különleges adat

Olyan adat, amely a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozik, valamint a bűnügyi személyes adat (a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat).

A Társaság nem kezel különleges adatot.

Az Üzleti titok

Üzleti titok a gazdasági tevékenységhez kapcsolódó minden nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a jogosult jogos pénzügyi, gazdasági vagy piaci érdekét sértené vagy veszélyeztetné, feltéve, hogy a titok megőrzésével kapcsolatban a vele jogszerűen rendelkező jogosultat felróhatóság nem terheli.
4. Adatvédelmi Felelős

Az Adatvédelmi Felelős folyamatosan ellenőrzi az adatkezelésre vonatkozó jogszabályok és az Adatvédelmi Szabályzat rendelkezéseinek megtartását. Amennyiben a tevékenysége során jogszabálysértést, vagy jogosulatlan adatkezelést észlel, annak megszüntetésére szólítja fel az adatkezelőt, adatfeldolgozót, vagy az adattal kapcsolatba került egyéb személyt.

Amennyiben adatkezeléssel kapcsolatos panasz érkezik, a panaszt haladéktalanul továbbítani kell az Adatvédelmi Felelősnek. Az Adatvédelmi Felelős a panasszal kapcsolatban a jelen szabályzat 11. pontjában foglaltak szerint jár el.

Amennyiben nem egyértelmű, hogy egy adat tekintetében a jelen szabályzat mely rendelkezéseit kell alkalmazni, e kérdésben az Adatvédelmi Felelős állásfoglalása az irányadó.

5. Általános szabályok
5.1. Személyes adat kezelése

Személyes adat a Társaságnál akkor kezelhető, ha

  • ahhoz az Érintett írásban hozzájárult, vagy
  • azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés)

Az Infotv. szerint; az érintett kérésére induló eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Erre a tényre az érintett figyelmét fel kell hívni.

5.2. Titoktartási kötelezettség

Üzleti titkot időkorlátozás nélkül köteles minden az adathoz hozzáférő személy titokban tartani és biztosítani azt, hogy Védett adatot törvényben, valamint a jelen Szabályzatban foglalt esetek kivételével harmadik személy ne ismerhesse meg, és az adat ne váljon hozzáférhetővé.
A Társaság a rendelkezésére bocsátott személyes adatot – az adatkezelést elrendelő jogszabályban vagy eltérő rendelkezés hiányában – az adatkezelés alapjául szolgáló jogviszony megszűnésétől vagy ilyen jogviszony hiányában az adatkezeléshez adott hozzájárulás megadásától számított legfeljebb 10 évig kezeli.
A Társaság az adatokat haladéktalanul törli, amennyiben nyilvánvaló, hogy az adatok jövőbeli kezelésére nem kerül sor, vagyis az adatkezelés célja megszűnt.

5.3. Az adatok kezelése papíralapú adathordozó esetében

Üzleti titkot és személyes adatot tartalmazó iratokat oly módon kell kezelni, mely biztosítja, hogy illetéktelen azokhoz nem férhet hozzá. Az adatokat tartalmazó iratokat elzárás nélkül őrizetlenül hagyni nem szabad.

A Üzleti titkot, személyes adatot tartalmazó irat kézbesítése csak zárt borítékban vagy olyan irattartó használatával történhet, amely alkalmas arra, hogy az iratot teljes terjedelmében takarja, és az irattartó illetéketlen kinyitása felismerhető. A zárt boríték, illetve az irattartó csak a címzettnek, vagy írásbeli megbízottjának adható át. Az Adatvédelmi Felelőst értesíteni kell, ha a borítékot, illetve az irattartót az átvételt megelőzően felnyitották.

5.4. Az adatok kezelése elektronikus adathordozó esetében

Üzleti titkot, személyes adatot a Társaság rendszerén belül– a feladat elvégzéséhez szükséges mértékben és ideig –továbbíthatók, azon személyek részére, akik az adatok kezelésében és feldolgozásában részt vesznek.

Elektronikus úton a Társaságon kívüli címzetthez Üzleti titkot, személyes adatot csak titkosított csatornán, vagy az adatok titkosítását követően szabad továbbítani, feltéve, hogy az adat megismerésére jelen szabályzat illetve az Infotv. rendelkezései szerint jogosult.

5.5. Az adatokat tartalmazó adathordozó megsemmisítése

Üzleti titok, vagy a Társasághoz bármilyen módon köthető adatokat tartalmazó adathordozót oly módon kell selejtezni, hogy az eljárás eredményeképpen az adathordozó adattartalma semmilyen módon ne legyen helyreállítható (fizikai megsemmisítése, bezúzás, mágneses vagy optikai adathordozó esetén többszörös felülírás stb.). A megsemmisítés csak akkor lehetséges, ha az adat tárolására vonatkozó, jogszabályok által meghatározott kötelező megőrzési idő lejárt.

Az adatokat tartalmazó irat előkészítése során keletkezett olyan papírhulladékot, amelyből az adatok kinyerhetőek, a használatot követően haladéktalanul iratmegsemmisítővel kell megsemmisíteni.

5.6. Külföldre irányuló adattovábbítás

Olyan adatkezelés esetén, amelynél számolni kell külföldre irányuló adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele előtt fel kell hívni. Az érintettek írásbeli felhatalmazása nélkül személyes adat külföldre nem továbbítható, kivéve ha ezt törvény lehetővé teszi. Az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor. Harmadik országban adatkezelést folytató adatkezelő részére akkor továbbítható adat, vagy harmadik országban adatfeldolgozást végző adatfeldolgozó részére akkor adható át, ha az érintett írésban hozzájárul vagy az Infotv. 8.§-ban foglalt feltételek fennállnak és a továbbított adat feeldolgozása során biztosított a személyes adatok megfelelő szintű védelme.

6. Adatnyilvántartás

Az Adatgazdáknak nyilvántartást kell vezetniük az adatkezelés megkezdése előtt a nyilvántartásra kötelezett adatokról. Nyilvántartásra kötelezett adatoknak minősülnek azok az adatok amelyeket a mindenkori jogszabályok nyilvántartásra kötelezett adatoknak minősítenek.

A nyilvántartásnak az alábbi adatokat kell tartalmaznia:
a) az adatkezelés célját;
b) az adatok fajtáját és kezelésük jogalapját;
c) az érintettek körét;
d) az adatok forrását;
e) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját;
f) az egyes adatfajták törlési határidejét;
g) az adatok kezelőjét (szervezeti egység, annak vezetője, illetve az adatfeldolgozást végző felelős személy neve, beosztása, elérhetősége)

Az adatkezelés megszűnése után a nyilvántartást archiválni kell. Az archivált nyilvántartás öt év elteltével megsemmisíthető.

7. Adattovábbítás megkeresés alapján
7.1. A Védett adatok kiadása

Védett adat csak akkor adható ki harmadik személynek, ha arra a törvény felhatalmazást vagy az érintett hozzájárulását adja. Védett adat kiadására csak az ügyvezető vagy meghatalmazottja jogosult. A kiadó az adatkiadásért felelősséggel tartozik.

7.2. Hatósági megkeresések teljesítése

Hatósági, bírósági megkeresés alapján Védett adatot az Ügyvezető , vagy meghatalmazottja jogosult kiszolgáltatni, csak akkor, ha

  • a) a megkeresés írásban érkezett, a feladó és annak jogosultsága egyértelműen megállapítható, és
  • b) a megkereső szerv a megkeresésben megjelölte azt az ügyfelet, vagy ügyfélkört amelyről a Védett adat kiadását kéri, valamint a kért adatok fajtáját és az adatkérés célját (Kivétel ez alól, ha a feladatkörében eljáró NAV, vagy MNB vagy más hatóság (helyszíni) ellenőrzést folytat.).

Az adatot kiadó az adatkiadásért felelősséggel tartozik.

Kivételesen (különösen indokolt esetben) akkor is teljesíthető a hatósági, bírósági megkeresés, ha nem áll rendelkezésre a megkeresés eredeti példánya (például, mert a megkeresés a nyomozati cselekmények sürgőssége miatt telefaxon érkezett). Ilyen esetben a megkeresés eredeti példányát haladéktalanul be kell szerezni.

Az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából a Társaság adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. A nyilvántartás illetve a tájékoztatási kötelezettség ideje személyes adatok esetében öt év, különleges adatok esetében pedig húsz év.

8. Tiltakozási, panasztételi jog

A tiltakozás az érintett azon nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. Az érintett tiltakozhat személyes adatának kezelése ellen, a) ha a személyes adatok kezelése vagy továbbítása kizárólag a Társaságra vonatkozó jogi kötelezettség teljesítéséhez vagy a Társaság, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;

  • b) ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
  • c) törvényben meghatározott egyéb esetben.

A Társaság a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottságáról döntést hoz, és a kérelmezőt írásban tájékoztatja.
Ha a Társaság az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
Ha az érintett a Társaságnak a tiltakozás nyomán hozott döntésével nem ért egyet, illetve ha a Társaság a rendelkezésére álló határidőt elmulasztja, az érintett – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – bírósághoz fordulhat.
A Társaság az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha a Társaság egyetértett a tiltakozással, vagy a bíróság a tiltakozás jogosságát megállapította..
Az Adatvédelmi Felelős az adatkezeléssel kapcsolatos panaszokról nyilvántartást vezet.

A Társaság munkavállalói, illetve egyéb szerződéses jogviszony alapján a Társaságnál munkát végző személyek az Adatvédelmi Felelős eljárása során kötelesek annak utasítása szerint eljárni.

Jogorvoslati lehetőségek

– A Társaság minden munkavállalója, személyes adatokkal való visszaélés észlelése, vagy jelen Szabályzatban foglalt alapelvek megsértése esetén köteles tájékoztatni arról közvetlen felettesét, aki az ügyet megvizsgálva köteles azt előterjeszteni a Társaság ügyvezetője elé. Az előterjesztett jogorvoslati kérelemről az ügyvezető saját hatáskörben dönt.
– Az érintett a jogainak megsértése valamint az Infotv. 21.§-ban részletezett adatkezelést érintő tiltakozási jogkörében a Társasággal szemben bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
– A Nemzeti Adatvédelmi és Információszabadság Hatósághoz történő bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy a személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.

Kártérítés, sérelemdíj

Ha a Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni.
Ha a Társaság az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.
Az érintettel szemben a Társaság felel az adatfeldolgozó által okozott kárért és a Társaság köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. A Társaság mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.

9. Ellenőrzés

Az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseinek betartását, az Adatvédelmi Felelős folyamatosan ellenőrzi.
Az Adatvédelmi Felelős a tudomására jutott törvénysértés esetén ennek megszüntetésére szólítja fel az adatkezelőt, adatfeldolgozót. Különösen súlyos törvénysértés esetén tájékoztatja az ügyvezetőt, aki az eset körülményeit mérlegelve írásbeli figyelmeztetést adhat.