A Fesztnet Kft (továbbiakban: Társaság) ADATKEZELÉSI SZABÁLYZATA
A dokumentum célja
Az adatkezelés és adatbiztonság nagyon fontos szerepet játszik a feladataink ellátása során. Az Európai Parlament és Tanács 2016/679 rendelete (ún. GDPR rendelet) szabályozza az érintett természetes személyek adataira vonatkozó adatkezelési szabályokat. Társaságunknak kötelezettsége a rendelkezésére álló személyes adatok minden tőle telhető módon történő védelme és jogszabályok szerinti kezelése.
Ahhoz, hogy Társaságunk működése zavartalan és eredményes legyen, minden érintett személynek be kell tartani a rendelkezésre álló adatok biztonságára vonatkozó előírásokat is.
Ebben a szabályzatban a Társaságnál üzemeltetett számítógépes rendszerek és berendezések használatára vonatozó rendelkezések kerülnek előírásra. Az utasítás rendelkezései azért kerültek összeállításra, hogy biztosítsák a számítógépes berendezések felhasználójának a hatékony, eredményes valamint az etikai alapelvekkel és a jogszabály előírásaival összhangban való tevékenységét a Társaságnál rendelkezésre álló adatok védelme mellett.
Hatály
A Társaság összes foglalkoztatottjára kiterjed.
A bizalmas adatok kezelése
A bizalmas információkat és adatokat olyan módon kell előállítani, feldolgozni és tárolni, hogy a nem megengedett hozzáférés vagy nem szabályos használat kizárható legyen.
A Társaságnál biztonsági megbízott kerül kinevezésre, aki a jelen és az Adatkezelési Szabályzatban rábízott feladatokat látja el.
Biztonsági megbízott megnevezése:
Név: Gräfl Mónika
E-mail: grafl.monika@wingmix.com
Telefonszám: + 361 249 2748
- A Társaság által beállított fizikai védelmi intézkedések és szabályzatok megakadályozzák, hogy a hardvereken és a szoftvereken meg nem engedett változtatások történjenek. A felhasználó nem próbálhat biztonsági korlátozásokat megkerülni vagy védett adatokhoz hozzájutni vagy hálózatok vagy számítógépek védett területeikhez hozzáférni.
- A munkavállalók a személyes fiókjukat és hozzáféréseiket harmadik felhasználóval együttesen nem használhatják. Felelősek azért, hogy a Társaság fiókjain használt, illetve tárolt adatokat arra jogosulatlan személyek ne ismerhessék meg.
- A Társaság hálózata, továbbá a hozzátartozó hardver és szoftver üzletileg kizárólag a Társaság érdekében használható. Bármilyen egyéb üzleti és különösen magán használat tilos.
- A hardvereken és szoftvereken történő módosításokra csak az erre feljogosított személyek jogosultak.
- A felhasználók nem készíthetnek másolatot semmilyen szerzői jogilag védett szoftverről, képről vagy iratról.
- A javításokat kizárólag képzett és erre feljogosított személyek végezhetik el. Figyelmemmel kell lenni arra, hogy jótállásra és fenntartási feltételekre vonatkozó jogok ne kerüljenek megsértésre.
- Különösen a külső szolgáltatók esetében biztosítani kell, hogy a nem engedélyezett betekintés bizalmas adatokba ne történhessen.
- A felhasználók sem saját használatra, sem harmadik személy részére nem készíthetnek a rendszer konfigurációs adatokról másolatot.
- Az üzleti feladatok végrehajtása érdekében kizárólag a Társaság által engedélyezettként megnevezett szoftverek és hardverek használhatók. Saját források (Notebook, E-mail account stb.) alapvetően nem engedélyezettek.
Ez alól a szabályozás alól kivételek csak a biztonsági megbízott engedélyezhet.
- A Társaság eszközeinek és rendszereinek olyan tevékenységre irányuló használata, amely alkalmas arra, hogy a számítástechnikai rendszereket károsítsa, a felhasználók számára tilos.
- A felhasználók nem használhatják a Társaság eszközeit olyan adatok tárolására és továbbítására, amelyek sértő és nem megfelelő tartalmúak. Ilyennek minősülnek például szexuális irányú, gyűlöletkeltő vagy rasszista tartalmak.
- A munkavállalók kötelesek a biztonsági megbízottat a következő eseményekről értesíteni:
- A biztonsági utasítás megsértését és a biztonságot veszélyeztető minden olyan esemény, amely előtte ismertté válik.
- A biztonsági utasítás olyan irányú megsértése és veszélyeztetése, amely a Társaság rendszerének megváltoztatásával összefüggésben lép fel vagy léphet fel.
- Bármilyen olyan kérdés vagy esemény, amely a Társaság vagy a munkavállalói biztonságát veszélyeztetheti.
- Az összes munkavállaló és a külső szolgáltatók is kötelesek a munka megkezdése előtt egy titoktartási nyilatkozatot aláírni. A munkavállalók esetében ez része a munkaszerződésnek.
- Az összes tényleges vagy feltételezett biztonsággal kapcsolatos eseményt bizalmas információként kell kezelni. Abban az esetben, ha a munkavállalótól kérik az információ továbbadását, ezt a kérést a biztonsági megbízott részére kell továbbítani.
- Mindegyik munkavállaló felelős a Társaságnál a bizalmas információk megvédéséért.
- Abban az esetben, ha egy személy nem engedélyezett továbbadást feltételez vagy ilyen tapasztal, késedelem nélkül köteles a biztonsági megbízottat értesíteni.
- Dokumentumok továbbítása
- A bizalmas információk továbbítása nagy körültekintést igényel, minden személy köteles a bizalmas információk továbbítása során a biztonságot garantálni és biztosítani, annak érdekében, hogy az információkat kizárólag csak a címzett személy kaphassa meg. Minden munkavállaló köteles a bizalmas információk küldése során az összes szükséges intézkedést megtenni annak érdekében, hogy az esetleges nyilvánosságra kerülés vagy a küldemény elvesztése elkerülhető legyen. Tilos a bizalmas információkat repülőgépen, éttermekben, tömegközlekedési járműveken vagy egyéb nyilvános helyen olvasni, megvitatni vagy egyéb módon nyilvánosságra hozni.
- A bizalmas információkat, amelyek postai úton kerülnek továbbításra, ajánlottan kell küldeni.
- A bizalmas dokumentumok összes példányát meg kell semmisíteni, ha azokra már nincs szükség. A bizalmas dokumentumok (pl. ügyfélakták, személyes adatok, kamerafelvételek, stb.) egy megbízható módszer vagy megbízott vállalkozó segítségével kerülnek megsemmisítésre. A dokumentumok megsemmisítéséhez szükséges berendezések rendelkezésre állnak illetve ilyen iratmegsemmisítésre vonatkozó szerződéssel a Társaság már rendelkezik.
- A kinyomtatott, szigorúan bizalmas dokumentumokat minden esetben egy biztonságos, erre kijelölt helyen kell őrizni, ahova csak a kijelölt és arra jogosult személyek (munkavállalók és harmadik személyek) juthatnak be.
- A személyzeti, pénzügyi, könyvelési dokumentumokat, illetve ügyfélszerződéseket, számításokat kivétel nélkül elzárva kell őrizni.
- nternethasználat
a) A Társaság internethasználatra vonatkozó utasításának érvényes rendelkezései szabályozzák a Társaság által biztosított internet hozzáférést. Az internet az egyik legfontosabb média az információk összegyűjtésére, amely bizonyos munkák elvégzéséhez szükséges. Az internet használata bizonyos veszélyeket is hordoz.
b) A Társaság engedélyezi a felhasználók részére az internet hozzáférést, annak érdekében, hogy a feladatok teljesítését támogassa. A saját felelősségre történő magánhasználat a következők szerinti korlátozásokkal a munkaidőn kívül engedélyezett. Minden felhasználónak tisztában kell lennie a kockázatokkal, amelyek az internet használatával együtt járnak.
A Társaság érdekeinek védelmében a felhasználók részére a következők tilosak:
- Software-ek letöltése illetve installálása vagy futtatása az internetről. Kivételt képeznek a felhatalmazással rendelkező személyek ilyen tevékenységei.
- A nem titkosított bizalmas információk átadása interneten keresztül.
A kivételeket, amelyek a munka elvégzéséhez szükségesek, a biztonsági megbízott engedélyezi.
A felhasználók a Társaság részéről rendelkezésre bocsátott internet hozzáférést nem használhatják hirdetésekre, letöltésre, másolásra, és sértő vagy nem megfelelő tartalmak tárolására, továbbítására. Ilyennek minősülnek például szexuális, gyűlöletkeltő és rasszista tartalmak.
A Társaság vezetése fenntartja a jogot arra, hogy internet oldalakat blokkoljon. Ez történhet üzleti és technikai okokból is (pl. internet sávszélesség).
A felhasználóknak tilos a Társaság vagy ügyfelei bizalmas adatait titkosítás nélkül az interneten kiküldeni.
A felhasználóknak nem engedélyezett, hogy a Társaság által biztosított internet hozzáférést egyéb társaságok üzleti tevékenységéhez használja.
Az összes felhasználó felelős azért, hogy e-mail jelszavát és egyéb fiókjával kapcsolatos információit titokban tartsa, és teljes felelősséget visel azért, ami ezen a fiókon történik.
A felhasználóknak tisztában kell lenniük a speciális biztonsági kockázatokkal, amelyek az e-mail-ek használatával együtt járnak, pl.: vírusok vagy egyéb veszélyes kódok, amelyek az e-mail üzeneteken keresztül terjedhetnek. Ebből az okból minden felhasználónak különös intézkedéseket kell tennie, hogy az ilyen károkozók terjedését megakadályozza:
- e-mail üzenetek, amelyek bizonyíthatóan vagy gyaníthatóan vírusokat vagy egyéb olyan tartalmat foglalnak magukban, amelyek a Társaság számára károkhoz vezethetnek, nem szabad kinyitni. A felhasználónak a számítástechnikai help deskkel kapcsolatba kell lépnie annak érdekében, hogy a megkapott vagy meglévő vírusokra vonatkozó utasításokat be tudja tartani.
- A felhasználók nem válaszolhatnak meg ismeretlen feladótól származó lényegtelennek tűnő üzeneteket.
- A felhasználó sem a személyes fiókját sem az e-mailjét nem használhatja egyéb felhasználókkal együtt.
- A munkavállalók nem jogosultak a számítógépen jogszerűtlen anyagok tárolására vagy e-mail-ben történő továbbítására.
- A munkavállalók számára nem engedélyezett, hogy a Társaság e-mailjét egy harmadik társaság üzleti céljaira használják.
- A felhasználók nem jogosultak a Társaság e-mailjét nem hivatalos személyek nagyobb csoportjainak szánt üzenetekre felhasználni.
- A szolgálati célú e-mailek automatikus továbbítása magán e-mail-ekre nem megengedett, mivel ezen keresztül akaratlanul is bizalmas információk kerülhetnek az Interneten hozzáférhetővé.
- zoftverhasználat
A szoftver használatra vonatkozó utasítások előírják, hogy a Társaságnál az összes rendelkezést be kell tartani annak érdekében, hogy a szerzői jogok és a vonatkozó előírások betartásra kerüljenek. Kizárólag csak jogszerű és licensszel rendelkező szoftverprogramok használhatók azért, hogy ezen az úton a számítógépes vírusok jelentette veszély minimális szintre kerüljön és a jogszerűtlen szoftverek okozta lehetséges felelősség kizárásra kerüljön.
16. Adatvédelmi incidensek kezelése
a) Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (GDPR Rendelet 4. cikk 12.)
b) A leggyakoribb jelentett incidensek: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása, adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.
c) Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartatása a biztonsági megbízott feladata.
d) Az informatikai rendszereken naplózni kell a hozzáféréseket és hozzáférési kísérleteket, és ezeket folyamatosan elemezni kell.
e) Amennyiben a társaság ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a Biztonsági megbízottat.
f) A Társaság munkavállalói kötelesek jelenteni a biztonsági megbízottnak, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.
g) Adatvédelmi incidens bejelentése esetén a biztonsági megbízott – az informatikai, pénzügyi és működési vezető – szakértő bevonásával – haladéktalanul megvizsgálja a bejelentést. Ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. Meg kell vizsgálni és meg kell állapítani:
a. az incidens bekövetkezésének időpontját és helyét,
b. az incidens leírását, körülményeit, hatásait,
c. az incidens során sérült adatok körét, számosságát,
d. a kompromittálódott adatokkal érintett személyek körét,
e. az incidens elhárítása érdekében tett intézkedések leírását,
f. a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
h) Adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.
17. Adatvédelmi incidensek nyilvántartása
Az adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:
a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni.
18. Adatvédelmi hatásvizsgálat és előzetes konzultáció
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetők.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.