Adatvédelmi megállapodás

Adatkezelési szabályzat

1. Bevezetés:

A 2018. május 25-én érvénybe lépő új európai adatvédelmi rendelet (GDPR) értelmében minden cég számára kötelező az adatvédelmi szabályzat elkészítése, aki európai uniós polgár személyes adatát tárolja vagy dolgozza fel (függetlenül ezek helyétől). A dokumentum célja, hogy meghatározza a cég folyamatai kapcsán előforduló személyes adatok típusait, előfordulási helyét és funkcióját egy adatvagyonleltár formájában illetve az adatokhoz való hozzáférést szabályozza mind az adat gazdája mind az adat feldolgozója részéről. Szabályozza továbbá a hozzáférési jogot, helyesbítéshez és törléshez való jogot az adatkezelés és az adathordozhatsághoz való jogot.

Az adatvédelmi incidensek esetén szabályozza az eljárásrendet, szavatolja a személyes adatok elfolyásának megakadályozását, megszüntetését, felderítését.

A szabályozás célja, hogy:

A szabályzat biztosítja, hogy a kezelt személyes adatok kizárólag az adatkezelő és az érintett között létrejött szerződés/elfogadott adatkezelési tájékoztató alapján lesz kezelve.

2. Definíciók:

Adatállomány: Az egy nyilvántartásban kezelt adatok összessége.

3. Adatvagyonleltár

A United-Consult Zrt. azonosította az összes személyes adatot és osztályozta, amit a szervezet összegyűjt, feldolgoz és tárol. Azonosította az adatkezelési formákat, az egyes adatkezelési formákon belül számba vette, hogy milyen személyes adatok rögzítődnek, milyen eszközökön és adatbázisokban tárolódnak, mennyi ideig, kik férnek hozzá ezekhez az adatokhoz, kiknek kerül esetlegesen továbbításra további feldolgozás céljából. Az azonosítást és az osztályozást követően feltérképezte az adatgyűjtési éshasználati folyamatokat. Meghatározta és azonosította, hogy kik azok a partnerek (harmadik felek) akik a személyes adatokat feldolgozzák a szervezete nevében. Az adatok láthatósága és ellenőrzése kulcsfontosságú kérdés.

A United Consult Zrt. adatvagyonleltára: ASZ_AV_ADATVAGYONLELTAR.XLSX

Az adatvagyonleltár tartalma:

4. Személyes adatok felhasználása

A United-Consult Zrt. az alábbi tevékenységei mentén gyűjt személyes adatokat:

A United-Consult Zrt. az alábbi természetes személyekkel kapcsolatban gyűjt személyes adatokat:

A összegyűjtött személyes adatok tárolási formái:

A tárolt adatok megőrzési ideje:

5. Adatkezelés körülményei

United Consult Zrt., mint adatkezelő az adatokat biztonságosan és szabályosan kezeli. Az adatokhoz kizárólag az adatgazda és az adatfeldolgozók férhetnek hozzá, továbbá kötelezi magát, hogy gondoskodik a személyes adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt személyes adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását.

Az adatkezelés körülményeiről bővebben az adatvagyon leltár tartalmaz információkat.

6. Hozzáférési jog

United Consult Zrt., mint adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát ingyenesen az érintett rendelkezésére bocsátja, ha ezt a személyes adatok tulajdonosa személyesen vagy írásban kéri. Ha az érintett elektronikus úton nyújtotta be a kérelmet és a egyértelműen azonosítható a személyes adat tulajdonosaként (A United-Consult Zrt. által rendelkezésre álló adatok alapján), az információkat széles körben használt elektronikus formátumban bocsátja rendelkezésére. A személyes adat tárolásáról a természetes adat tulajdonosa minden esetben értesítést kap, így biztosítható, hogy a tárolással kapcsolatban információval rendelkezik.

7. Helyesbítéshez való jog

United Consult Zrt., mint adatkezelő befogad kérelmeket a személyes adatok megváltoztatásával kapcsolatban a személyes adatok tulajdonosaitól. A megváltoztatásra vonatkozó kérést azonnal rögzíti a megfelelő helyen (lásd adatkatalógus) sikeres beazonosítás után. A beazonosítás sikertelenségéről vagy a siekeres módosításról üzenetet küld a tulajdonosnak a tulajdonos által választott csatornán keresztül.

8. Törléshez való jog

A személyes adat tulajdonosa jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha

 a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték

Kötelezi magát arra is, hogy minden olyan harmadik felet, akiknek a személyes adatokat bizonyos esetekben továbbítja vagy átadja, ugyancsak felszólítja ez irányú kötelezettségeinek teljesítésére.

9. Továbbadáshoz való jog

Az adatkezelő United-Consult csak abban a speciális esetben adhatja tovább a személyes adatokat más természetes vagy jogi személy számára, ha erről a személyes adat tulajdonosától egyértelmű beleegyező nyilatkozattal rendelkezik, melyben meghatározott:

Az adatátadást követően, ha az adat tulajdonosa változást, törlést jelent be az adataival kapcsolatban, akkor a United-Consult Zrt. feladata az átadott adatokkal kapcsolatban az változás, törlés bejelentésére.

10. Ügyfelek személyes adatainak kezelése

United-Consult Zrt. (UC) tevékenységéből fakadóan munkavállalói munkájuk során gyakran használják az UC ügyfelének/ügyfeleinek adatait. Az UC feladata, hogy technikailag mindent kövessen el az ügyfelek adatainak biztonságos kezeléséhez. Abban az esetben, ha az adatkezelés magánál az ügyfélnél valósul meg, akkor az ügyfél adatkezelési szabályainak betartatása az UC feladata.

Adatkezelési incidens esetén – amennyiben az UC munkavállalója, alvállalkozója érintett az incidensben – az UC feladata az incidens kinyomozása, az adatvesztés csökkentése és a további esetek elkerülése végett megelőző tevékenységek kialakítása.

Az UC a munkavállalóival titoktartási szerződést, az alvállalkozóival adatkezelési szerződést köt.

11. Adatkezelési incidens

Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatvédelmi incidensről szóló bejelentésben az adatkezelő:

Ha az adatvédelmi incidens az UC ügyfelét érinti, akkor a megadott határidőn belül értesíti és számára adja át az említett adatokat.

Ha az adatvédelmi incidens egyedi magánszemélyt érint, akkor a megadott határidőn belül a magánszemélyt értesíti és egyeztet vele a további lépésekről.

Minden esetben az adatvédelmi incidens bekerül az adatvédelmi incidens jegyzőkönyvébe (ASZ_INCIDENS_JEGYZOKONYV.xlsx), melyet az adatvédelmi tisztviselő tart karban.

Az  adatvédelmi tisztviselő feladata az adatvédelmi incidensek nyomon követése, menedzselése és lezárása.

12. Adatkezelési rendszer felülvizsgálata

Az  adatvédelmi tisztviselő feladata az adatvédelmi rendszer felülvizsgálata negyedévente, de legkésőbb évente, melynek tartalmaznia kell az adatvédelmi szabályzat felülvizsgálatát és az adatvédelmi szabályzathoz kapcsolódó adatvagyonleltár felülvizsgálatát. A módosításokról röviden a Adatkezelési Rendszer felülvizsgálata pontban ír.

13. Adatkezelési rendszer ismertetése

United Consult Zrt.

Érdeklődöm