Adatvédelmi tájékoztatás

Adatvédelmi és Adatbiztonsági Szabályzat

1 Bevezető rendelkezések

1.1 Az Adatvédelmi és Adatbiztonsági Szabályzat célja, hatálya

  • Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. § (3) bekezdésében meghatározott törvényi kötelezettségét a NetLib Kft. jelen Szabályzat megalkotásával teljesíti.
  • Az Adatvédelmi és Adatbiztonsági Szabályzat célja, hogy meghatározza a NetLib Kft.-nél mint Adatkezelőnél zajló adatkezelések törvényes kereteit, biztosítsa az adatvédelem alkotmányos elveinek és az információs önrendelkezési jognak az érvényesítését, elősegítse az adatbiztonság követelményeinek való megfelelést, továbbá megakadályozza a jogosulatlan adatkezelést. Az Adatvédelmi és Adatbiztonsági Szabályzat kialakítja az adatvédelem szempontjából fontos feladatokat, felelősségi viszonyokat, különös tekintettel a munkavállalók szerepére az adatbiztonságban.
  • Jelen Szabályzat hatálya kiterjed a NetLib Kft. egyes szervezeti egységei közötti, az Adatkezelő által igénybevett adatfeldolgozók felé irányuló adatáramlásra, valamint az Adatkezelő és más adatkezelőkkel való személyes adatokat érintő kommunikációra.
  • Jelen Szabályzat hatálya kiterjed a NetLib Kft. székhelyén folyó valamennyi adatkezelésre, adattovábbításra, információ átadásra, az ezen adatkezelés, információátadás tárgyát képező adat, jelen Szabályzatban meghatározottak szerinti, üzleti titokkénti és személyes adatkénti kezelésével és védelmével kapcsolatos tevékenységekre.
  • A Szabályzat személyi hatálya kiterjed a NetLib Kft. valamennyi szervezeti egységére, minden alkalmazottjára, valamint a vele szerződéses vagy egyéb kapcsolatban álló, személyes adatkezelést végző személyekre.
  • A Szabályzat tárgyi hatálya kiterjed a NetLib Kft. szervezeti egységei által kezelt valamennyi személyes adatra, a rajtuk végzett adatkezelési műveletek teljes körére, keletkezésük, kezelésük, feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.

1.2 Jogszabályi hivatkozás, kapcsolat az adatkezelő belső szabályzataival

Jelen Adatvédelmi és Adatbiztonsági Szabályzat jogszabályi alapját a következő törvények jelentik:

  • Magyarország Alaptörvénye;
  • 2011. évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban Infotv.);
  • 2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);
  • Az Európai Parlament és a Tanács 2016/679 Rendelete („Általános Adatvédelmi Rendelet” vagy „GDPR”)
  • 2012. évi I. törvény – a munka törvénykönyvéről (Mt.)
  • a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Grtv.”)

Jelen Adatvédelmi és Adatbiztonsági Szabályzat az Adatkezelő alábbi belső szabályzataihoz kapcsolódik, azokkal együttesen értelmezendő:

  • Biztonsági Szabályzat;
  • Szerződés- és dokumentumkezelési Szabályzat;
  • Iratkezelési Szabályzat;
  • a NetLib Kft. mindenkori Üzletszabályzatai.

2 Értelmező rendelkezések

  • Adatkezelés: az alkalmazott eljárástól függetlenül a Személyes adatokon végzett bármely művelet vagy a műveletek összessége, így különösen a Személyes adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása, megváltoztatása, felhasználása, lekérdezése, betekintése, felhasználása, közlése, továbbítása, terjesztése vagy egyéb módon hozzáférhetővé tétele, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, korlátozása, törlése és megsemmisítése.
  • érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;
  • hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
  • tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri;
  • adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
  • adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
  • adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;
  • adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
  • harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;
  • harmadik ország: minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek;
  • EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;
  • üzleti titok: a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult - ide nem értve a magyar államot - jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette;
  • adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés (pl. az adatkezelésekről szóló részletes tájékoztatás elmaradása, az adatok megfelelő jogalap nélküli gyűjtése, az adatok jogosulatlan tárolása, valamint a tűz- és vízkár, áramkimaradás, villámcsapás okozta megsemmisülés és sérülés, stb.).

3 Az adatkezelő adatai:

Név: NetLib Kft.

Székhely: 1141 Budapest, Jeszenák János u. 1. I. em. 5.

Cégjegyzékszám: 01-09-721741

Adószám: 13162979-2-42

Adatvédelmi tisztviselő neve: Bata-Király Edina

Elérhetőségei: edina@netlib.hu +36 20 217 5515

4 Adatvédelem

4.1 Adatkezelőre és adatkezelésre vonatkozó szabályok, alapelvek

  • Az adatvédelmi szabályok betartásáért az Adatkezelő a felelős. Az Adatkezelő szervezet dolgozója az adatvédelmi és adatbiztonsági szabályok betartásáért személyes felelősséggel tartozik.
  • Az Adatkezelő személyes adatokat csak a következő jogalapokon kezel:
    • az érintett hozzájárulásával, vagy
    • ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél

Személyes adat akkor is kezelhető, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az Adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek.

Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az Adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában 

  • a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
  • az Adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll

további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

  • Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
  • Az érintett kérelmére indult eljárásban, az annak lefolytatásához szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.
  • Az érintett az adatkezeléshez való hozzájárulását kizárólag részletes és egyértelmű tájékoztatás birtokában adhatja meg, melyről az Adatkezelő feladata gondoskodni.
  • Az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. Az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az Infotv. 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Kötelező adatkezelés esetén a tájékoztatás megtörténhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:

az adatgyűjtés ténye, az érintettek köre, az adatgyűjtés célja, az adatkezelés időtartama, az adatok megismerésére jogosult lehetséges adatkezelők személye, az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma.

  • Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e kritériumoknak, továbbá az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
  • Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.
  • Az Adatkezelő köteles gondoskodni a kezelésében lévő adatok minőségéről, így különösen azok pontosságáról, teljességéről és naprakészségéről.
  • Az Adatkezelő adatvédelmi incidens felmerülése esetén tájékoztatja az adatvédelmi tisztviselőt.

4.1.1 Szervezeten belüli feladatok és felelősségek

4.1.1.1 Adatvédelmi Tisztviselő

Az ügyvezető igazgató a jelen Adatvédelmi és Adatbiztonsági Szabályzat érvényesítése érdekében kinevezi az adatvédelmi tisztviselőt.

Az adatvédelmi tisztviselő

  • elkészíti az Adatvédelmi és Adatbiztonsági Szabályzatot és összehangolja más szabályozásokkal;
  • felelős a személyes adatokkal összefüggő feladatok végrehajtásáért;
  • szakmai segítséget nyújt az ügyvezető igazgatónak az adatok biztonságához szükséges szervezési intézkedések meghozatalában, eljárási szabályok kialakításában;
  • a szabályozásokat kiadás előtt – szükség esetén – véleményezi adatvédelmi szempontból;
  • az adatvédelmi ellenőrzések során ellenőrzi az Adatvédelmi és Adatbiztonsági Szabályzat betartását;
  • fogadja és kivizsgálja a bejelentéseket, és intézkedéseket kezdeményez az ügyvezető igazgatónál;
  • vezeti a belső adatvédelmi nyilvántartást;
  • oktatást tart az adatvédelmi ismeretekről;
  • külső és belső ellenőrzések adatvédelmet érintő megállapításait értékeli és szükséges esetén intézkedéseket kezdeményez az ügyvezető igazgatónál;
  • tevékenységét dokumentálja, megőrzi a feljegyzéseket, jelentéseket;
  • kialakítja az adatosztályozási rendszert, és ellenőrzi az osztályozás végrehajtását;
  • ellenőrzi az adatvédelmi incidenssel kapcsolatos intézkedéseket, valamint nyilvántartást vezet az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Az adatvédelmi tisztviselő az ügyvezető igazgatónak tartozik jelentési kötelezettséggel.

A belső adatvédelmi nyilvántartás a NetLib Kft. egyes személyes adatkezeléseinek központi nyilvántartása. A nyilvántartásban haladéktalanul rögzíteni kell a meglévő és új adatkezeléseket, és a korábbi adatkezelések változásait, míg a megszűnt adatkezeléseket törölni kell a nyilvántartásból.

A belső adatvédelmi nyilvántartást a következő tartalommal kell vezetni: a) adatkezelés megnevezése, b) adatkezelés célja, c) az adatkezelés jogalapja, d) a kezelt adatok köre, e) az adatkezelés időtartama.

A belső adatvédelmi nyilvántartás részét képezik az Infotv. 20. §-a alapján elkészített, az egyes adatkezeléseket részletesen ismertető adatkezelési tájékoztatók.

4.1.1.2 Az adatkezelést végző személy

A NetLib Kft. szervezetén belül adatkezelést végző személy a tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, valamint az adatok pontos, követhető dokumentálásáért. 

Az adatkezelést végző személy tevékenysége során:

  • kezeli és megőrzi a feladata ellátása során birtokába került adatokat;
  • ügyel a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására;
  • gondoskodik arról, hogy az általa kezelt adatokhoz illetéktelen személy ne férhessen hozzá;
  • betartja az adatkezelésre vonatkozó jogszabályokat és belső utasításokat;
  • haladéktalanul jelzi vezetője felé, amennyiben az adatvédelmi ügyben a felettes vagy az adatvédelmi tisztviselő segítségére szorul;
  • haladéktalanul jelzi vezetője felé, amennyiben adatbiztonsági vagy az adatok kezelésére vonatkozó jogi szabályokat érintő incidens merül fel;
  • részt vesz az adatkezeléssel, adatvédelemmel összefüggő oktatásokon.

Aki üzleti titok illetve személyes adat birtokába jut, köteles a titkot időbeli korlátozás nélkül megtartani.

Üzleti titkot, személyes adatot nem lehet visszaélésszerűen felhasználni, így különösen tilos a NetLib Kft. feladatkörén kívül a munkavállaló saját vagy más személyes illetve üzleti céljainak, közvetlen vagy közvetett előnyök elérésére, valamint a cég vagy ügyfeleinek megkárosítására használni.

4.1.2 Az adatok tárolása

  • A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek – ide értve azon munkavállalókat is, akik nem jogosultak ezen adatok megismerésére, kezelésére – ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattározás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával.
  • Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak és ellenőrizhetőnek kell lennie.
  • A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott vállalkozó igénybevételével kell a személyes adatoktól megfosztani. Elektronikus adathordozók (merevlemezek, optikai adathordozók, mágneses adathordozók, nyomtatók, multifunkciós gépek háttértárai, flash (NAND) adathordozók, SIM kártyák, mobileszközök, telefonok, PDA-k, Tablet-ek, laptopok, stb.) esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve előzetesen az adatok biztonságos és visszaállíthatatlan törléséről. Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt a mindenkor hatályos Iratkezelési Adatbiztonság Szabályzatnak megfelelően kell kezelni, megőrizni.

4.1.3 Az adatok felhasználása

  • A NetLib Kft. által kezelt adatok kizárólag a vonatkozó jogszabályok rendelkezéseinek megfelelően, illetve az aktuális Adatkezelési Tájékoztatóban meghatározott célokra használhatók fel.
  • Számítástechnikai, távközlési eszközök és programok helyességének ellenőrzésére, felhasználók betanítására, illetve oktatási célra valós személyi adatokat felhasználni nem lehet. Informatikai (funkcionális, integrációs) tesztkörnyezetekben gondoskodni kell arról, hogy az éles rendszerben kezelt személyes adatok és a tesztkörnyezetben használt és anonimizált adatok közötti kapcsolat technikai úton ne legyen visszaállítható.
  • A NetLib Kft. által kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha azt törvény rendeli el.
  • Az előző pontban foglalt tilalom nem érinti az Adatkezelőről szóló statisztikai adatokat, melyek korlátozás nélkül nyilvánosságra hozhatók.

4.1.4 Az adatok feldolgozása

  • A személyes adatokon technikai műveletet az Adatkezelő alvállalkozója adatfeldolgozóként az érintett hozzájárulása nélkül is végrehajthat, amennyiben tevékenysége során önálló érdemi döntést nem hoz.
  • A NetLib Kft. harmadik személy kezelésében lévő személyes adatokon – amennyiben e tevékenysége során érdemi döntési jogkörrel nem rendelkezik – adatfeldolgozóként az érintett hozzájárulása nélkül is végezhet technikai műveleteket.
  • Az Adatkezelő köteles az érintetteket tájékoztatni az igénybe vett adatfeldolgozók személyéről.
  • Az adatfeldolgozó köteles a felmerülő adatvédelmi incidensekről nyilvántartást vezetni és a nyilvántartásba történő bejegyzés esetén az Adatkezelőt erről haladéktalanul értesíteni. A nyilvántartásnak tartalmaznia kell az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
  • Az adatfeldolgozásra vonatkozó megbízást írásba kell foglalni. A szerződésnek a következő elemeket kell tartalmaznia:
    • az adatkezelő és az adatfeldolgozó megnevezését; o az adatfeldolgozási tevékenység megnevezését;
    • az átadandó személyes adatok körét;
    • automatizált adatfeldolgozás esetén az alkalmazott módszert és lényegét; o az adatkezelő szavatolását az adatbázis, az átadott személyes adatok jogszerű kezeléséért;
    • az adatfeldolgozó nyilatkozatát, hogy kizárólag az adatkezelő utasítása alapján végzi az adatok feldolgozását;
    • az adatfeldolgozónak a saját és a szerződésben foglaltaktól eltérő célú adatfelhasználásának tilalmát;
    • azt az előírást, hogy az adatfeldolgozó tevékenysége ellátása során – a többes adatkezelés esetét kivéve – más adatfeldolgozót nem vehet igénybe;
    • az adatfeldolgozó kötelezettségvállalását az adatbiztonsági szabályok megtartására; o az adatok sorsára vonatkozó rendelkezést a szerződés megszűnésének eseteire; o az adatfeldolgozó nyilvántartás-vezetési és értesítési kötelezettségét a nála – és ha ilyet vesz igénybe – az alvállalkozójánál felmerülő esetleges adatvédelmi incidensekről;
    • mindezekért való anyagi felelősségvállalást.
  • Az adatfeldolgozó részére csak olyan személyes adatok adhatók át, amelyek szerepelnek o az adatfeldolgozói szerződésben,
    • és az Adatkezelési Tájékoztatóban vagy a konkrét adatkezelésre vonatkozó egyéb tájékoztatásban.
  • Az adatfeldolgozói feladat teljesítését követően, illetve a szerződés megszűnésekor az adatfeldolgozó a birtokában lévő személyes adatokat vissza kell, hogy szolgáltassa az Adatkezelőnek. Az átadott adatok adatfeldolgozó számítástechnikai rendszerében található másolatait pedig visszavonhatatlan módon töröltetni kell, melynek megtörténtéről az adatfeldolgozónak nyilatkoznia kell.

4.1.5 Adattovábbítás, hatósági adatszolgáltatás

  • Személyes adatot Magyarországon belül, illetve EGT-államba továbbítani csak valamely hivatkozott jogalap (hozzájárulás, szerződéses viszony, jogszabályi kötelezettség) alapján lehet.
  • EGT-államba történő adattovábbítást úgy kell tekinteni, mintha az adattovábbításra Magyarország területén került volna sor.
  • EGT-államon kívüli országban lévő adatkezelő vagy adatfeldolgozó részére személyes adatot átadni, hozzáférhetővé tenni csak akkor lehet, ha o ahhoz az érintett kifejezetten hozzájárult; vagy
    • az adatkezelés jogalapja biztosított, és a harmadik országban az adatok kezelése és feldolgozása során garantált a személyes adatok megfelelő szintű védelme.
  • A személyes adatok megfelelő szintű védelme akkor garantált a célországban, ha o az Európai Unió kötelező jogi aktusa azt megállapítja (különösen, ha a célországban lévő adatkezelő vagy adatfeldolgozó szerepel az ún. Safe Harbor listán), vagy
    • a harmadik ország és Magyarország között az adatkezelés, illetve az adatfeldolgozás garanciális szabályait tartalmazó nemzetközi szerződés van hatályban.
  • Nem lehet üzleti titokra hivatkozással visszatartani az információt a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettség esetén.

4.1.6 Adattovábbítási nyilvántartás

  • Az Adatkezelő a kezelt személyes adat továbbításáról nyilvántartást vezet, amely tartalmazza:
    • az adattovábbítás célját, jogalapját, időpontját; o az adatigénylő és az érintett azonosításához szükséges adatokat; o a továbbított adatfajták megnevezését.
  • Az adattovábbítási nyilvántartásba betekinthet, abból adatot igényelhet:
    • az adatvédelmi hatóság, a bíróság, nyomozó hatóság, a nemzetbiztonsági szerv, törvényben meghatározott feladatai ellátásához;
    • az Adatkezelő szervezet vezetője, vagy az általa meghatalmazott személy, továbbá az adatvédelmi tisztviselő;
    • saját adatai tekintetében az érintett, ha a tájékoztatás jogát törvény nem zárja ki.
  • Az adattovábbítási nyilvántartásba való betekintést, az abból történő adattovábbítást dokumentálni kell.
  • Az adattovábbítási nyilvántartás vezetési kötelezettségének a következő módokon is eleget lehet tenni: a) elektronikus úton történt adattovábbítás naplózásával, b) postai úton történt feladás dokumentálásával. Megkeresésre ekkor is tájékoztatást kell adni az IT Kézikönyv vonatkozó pontjában foglalt információkról.
  • Az adattovábbítási nyilvántartást és a betekintési nyilvántartást 5 évig, különleges adat továbbítása esetében 20 évig kell visszakereshető módon megőrizni.

4.1.7 A személyes adatok törlése, helyesbítése, zárolása

  • Az adatokat törölni - manuális nyilvántartás esetén megsemmisíteni - kell, ha
    • az adatkezelésre a tájékoztatóban, illetve jogszabályban előírt határidő eltelt (ez a NetLib Kft. ügyeinek túlnyomó részében a szerződés mindkét fél általi teljesítését követő 10 év);
    • az adatkezelés jogszerűtlensége megállapítást nyert;
    • az érintett hozzájárulását visszavonta, kivéve, ha törvény az adatok további kezelését lehetővé teszi;
    • az adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható – feltéve hogy törvény a törlést nem zárja ki;
    • az adatkezelés célja megszűnt; o az adatvédelmi hatóság, vagy bíróság jogerős határozattal elrendelte.
  • Törlés helyett zárolni kell az adatot, ha az érintett ezt kéri, vagy ha a törlés sértené az érintett jogos érdekeit. Amennyiben az adatkezelés célja megszűnt, a zárolt adat törlendő. A zárolást oly módon kell megvalósítani, hogy az adatkezelést egyébként munkaköri kötelezettségeként végző személy, illetve az ugyanezen célból hozzáféréssel rendelkező személy ne férhessen hozzá a zárolt személyes adatokhoz. A zárolt személyes adatokhoz kizárólag az adatok technikai tárolását végző személy férhessen hozzá, a zárolás feloldása vagy a zárolt adat törlése céljából.
  • Az érintett bejelentése vagy az Adatkezelő által észlelt hibás adat esetén – a rendelkezésre álló dokumentumok vagy közhiteles nyilvántartás alapján, illetve az érintettel történt egyeztetést követően – az Adatkezelő a hibás adatot helyesbíti.
  • Ha a hibás adat nem helyesbíthető, akkor törölni kell. Amennyiben a törlés vagy a helyesbítés az adatok tárolási módja miatt nem lehetséges, akkor az adatot megfelelő helyesbítő vagy figyelemfelhívó feljegyzés hozzáfűzésével véglegesen zárolni kell.
  • Az Adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
  • Ha az adat hibás volta annak továbbítása után derül ki, akkor ennek tényéről, illetve - amennyiben a hibás adatot az Adatkezelő kijavította - a helyes adatról mindazokat tájékoztatni kell, akiknek az adatot továbbították. A tájékoztatási kötelezettség az adatok zárolása és törlése esetén is fennáll.
  • A tájékoztatás mellőzhető, ha ez az adat jellegére, az adatkezelés céljára, az időmúlásra, illetve az adatkezeléssel összefüggő más körülményeire tekintettel az érintett, illetve a korábbi adattovábbítás címzettjének jogos érdekét nem sérti.
  • Az érintett e fejezetben tárgyalt jogainak gyakorlása esetén az Adatkezelő 30 napon belül köteles az ügyet elintézni.

4.1.8 Az érintett tájékoztatáshoz való joga

  • Az érintett az adatkezelés ideje alatt az Adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, valamint azokba betekintést nyerhet. E jogát oly módon kell biztosítani, hogy az érintett más személy adatait ne ismerhesse meg.
  • Az érintett kérelmére az Adatkezelő – amennyiben ez más jogszabályba nem ütközik – tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésre, valamint az adatfeldolgozásra jogosult személyéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá arról, hogy kik és milyen célból ismerhetik, ismerték meg az adatokat. Az érintett rá vonatkozó kivonatot kaphat az Adattovábbítási nyilvántartásból.
  • Amennyiben az érintett a rá vonatkozó, vele kapcsolatos, az ő személyes adatait tartalmazó bármilyen formátumú adathordozóról kér másolatot, úgy ezt a tájékoztatáshoz való joga gyakorlásaként kell értékelni, és az adatairól a másolatot számára ki kell adni.
  • A tájékoztatást (a másolat kiadását) a kérelem benyújtásától számított legrövidebb idő alatt, de legfeljebb 30 napon belül, közérthető formában kell teljesíteni. Amennyiben az érintett úgy rendelkezik, a tájékoztatást írásban kell megadni.
  • A tájékoztatás megadása, a másolat készítése, és ezek továbbítása ingyenes, ha folyó évben azonos adatkörre vonatkozóan az érintett még nem nyújtott be tájékoztatási kérelmet. Egyéb esetben költségtérítés kérhető, melynek összegéről a felek szerződésben is rendelkezhetnek.
  • A tájékoztatást az Adatkezelő a következő esetekben tagadhatja meg:
    • az érintett nem a saját adataira vonatkozóan kér tájékoztatást;
    • a tájékoztatást kérő személy nem tudja hitelt érdemlő módon igazolni, hogy ő lenne az adatkezeléssel érintett személy;
    • amennyiben törvény a tájékoztatást kizárja;
    • ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa rendelkezése alapján az Adatkezelő az adatokat egy másik adatkezelőtől akként veszi át, hogy az adatokat átadó adatkezelő jelezte az érintett tájékoztatási jogának korlátozását.
  • A felvilágosítás megtagadása esetén tájékoztatni kell az érintettet a bírósághoz és az adatvédelmi hatósághoz fordulás jogáról. Ezen felül a folyó évet követő január 31-éig tájékoztatni kell a Nemzeti Adatvédelmi és Információszabadság Hatóságot az elutasított kérelmekről.

4.1.9 Tiltakozás a személyes adatok kezelése ellen

  • Az érintett személy tiltakozhat a személyes adatai kezelése ellen, o ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
    • ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés,
    • közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
    • törvényben meghatározott egyéb esetben.
  • Tiltakozását szóban, írásban és elektronikus úton is kifejezheti.
  • A tiltakozási kérelmet haladéktalanul, de legfeljebb 15 napon belül ki kell vizsgálni. Az Adatkezelő döntéséről a kérelmezőt írásban tájékoztatja.
  • Ha az Adatkezelő egyetért a tiltakozási kérelemmel, az adatkezelést megszünteti, az adatokat zárolja, és a tiltakozásról illetve intézkedéséről értesíti mindazokat, akik részére korábban az adatokat továbbította, és egyben intézkedésre kötelesek a tiltakozási jog érvényesítése érdekében.

4.2 Adatbiztonság

4.2.1 A NetLib Kft. által kezelt adatok biztonsága

  • Az Adatvédelmi és Adatbiztonsági Szabályzat alapvető rendeltetése a személyes adatok megismerhetőségének korlátozására vonatkozó szabályok kialakítása, illetve ezen adatok illetéktelen személyek általi megismerhetőségének megakadályozása.
  • A fenti cél elérése érdekében az adatkezelések során - az adatkezelés jellegétől függően - az információ-rendszerek következő védelmi módszereit kell alkalmazni:
    • Ügyviteli védelem: az adatkezelő rendszerek felelőseinek és az adatkezeléssel kapcsolatos tevékenységnek szervezési és adminisztratív módon történő nyomon követése, a felelősség körülhatárolása. Kiterjed az informatikai és más adatkezelő rendszerekre és azok szolgáltatásaira, valamint az adathordozók kezelésére, beleértve a hozzáférési jogosultság és a betekintés dokumentálását is.
    • Fizikai védelem: olyan eszközök alkalmazása, amelyekkel azok a helyiségek védhetők, ahol számítástechnikai erőforrásokat használnak, vagy az adatmegőrzés szempontjából fontosak. Az információs rendszer minősítésétől függő védelemben kell részesíteni az adathordozókat is.
    • Algoritmikus védelem: matematikai algoritmusok alapján működő védelem, amely az egyedi számítógépen és a hálózaton is lehetővé teszi a használó azonosítását, a jogosultság ellenőrzését.
  • Az Adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az biztosítsa az érintettek magánszférájának védelmét.
  • Mind az Adatkezelő, mind az általa igénybevett adatfeldolgozó köteles gondoskodni az adatok biztonságáról, és megtenni azokat a technikai és szervezési intézkedéseket, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az Adatkezelőnek és adatfeldolgozójának a fenti szabályok érvényesülését kell szem előtt tartaniuk az eljárási szabályok kialakítása során is.
  • Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
  • A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében biztosítani kell, hogy e külön nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

4.2.2 Automatizált adatfeldolgozás

  • A személyes adatok automatizált feldolgozása során biztosítani kell:
    • a jogosulatlan adatbevitel megakadályozását;
    • a rendszerek jogosulatlan személyek általi használatának megakadályozását;

annak ellenőrizhetőségét és megállapíthatóságát 8 évre visszamenőleg, 

  • hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
  • hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
  • a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát; o azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
  • Az Adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, amennyiben ez nem jelent aránytalan nehézséget az Adatkezelőnek.
  • A fizikai biztonság megteremtéséhez az alábbi intézkedéseket szükséges megtenni:
    • Az adathordozó eszközök elhelyezésére szolgáló helyiségeket (épületeket, épületrészeket) úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen.
    • Azokba a helyiségekbe, ahol adatkezelés folyik, a személyek belépését - a minősítéstől függően - korlátozni és ellenőrizni kell. A belépésre adott felhatalmazásnak összhangban kell lennie az adott személy hivatalos feladataival, illetőleg az ott kezelt adatokhoz történő hozzáférési jogosultságával.
    • A számítástechnikai eszközzel olvasható és a manuális adathordozók tárolását, hozzáférését és felhasználását ellenőrizni kell. Különös figyelmet kell fordítani arra, hogy a biztonságos területről kivitt eszközök maradványadatokat ne tartalmazzanak.
    • Az adathordozókról és mozgásukról, azok tartalmáról és felhasználásáról nyilvántartást kell vezetni.
    • A kezelt adatokat a NetLib Kft. szempontjából vett értékükkel és érzékenységükkel kifejezve kell differenciálni, osztályokba sorolni. Minden egyes osztályba sorolási eljáráshoz információkezelési eljárást is meg kell határozni annak érdekében, hogy azok a következő információfeldolgozási tevékenységfajtákat lefedjék:
      • a másolást;
      • a tárolást;
      • a továbbítást postai úton, faxon és elektronikus levelezéssel;
      • a beszélt szavakkal való átvitelt, beleértve a mobil telefont, a hangüzenet szolgáltatást, valamint az üzenetrögzítést; ▪ a megsemmisítést.
    • Annak érdekében, hogy lecsökkenjen a jogosulatlan hozzáférés, az információvesztés és információrongálás kockázata, mind a rendes munkaidőben, mind azon kívül, bevezetésre kerül az „üres asztal” szabály a papíralapú anyagokra és a hordozható adattárolókra, valamint a „tiszta képernyő” szabály az információfeldolgozó eszközökre. E szabályok részletesen:
      • a papíranyagokat és a számítógépek adathordozóit megfelelő, lehetőleg zárható szekrényben vagy más, hasonlóan biztonságos bútorban kell tárolni, amikor éppen nincsenek használatban, különösen a munkaidőn kívüli időszakokban;
      • személyi számítógépeket, munkaállomásokat, nyomtatókat és fénymásolókat nem szabad „bejelentkeztetni”, amikor felügyelet nélkül maradnak, és használaton kívül kulcsreteszekkel, jelszavakkal vagy más óvintézkedésekkel legyenek védve;
      • a bejövő és kimenő levelező eszközöket, a felügyeletlen faxgépeket és telexgépeket védeni kell;
      • a személyes adat és az üzleti titok kategóriájába sorolt információt kinyomtatás vagy sokszorosítás után azonnal el kell távolítani a nyomtatóról és a fénymásolóból.
    • Az üzemeltetési biztonság kialakítására az alábbi intézkedéseket szükséges megtenni:

Az adatkezelő eszközöket üzemeltető személyek feladatait egyértelműen meg kell határozni. Egyéb, a feladatoktól eltérő tevékenységet csak külön, erre irányuló egyedi vezetői felhatalmazás alapján lehet végezni.

  • Az adatkezelő eszközök előre nem látható üzemzavara esetére olyan tervet kell kidolgozni, amellyel annak hatása ellensúlyozható.
  • Az adatkezelést végző eszközök felhasználói kötelesek
    • az aktív keresési folyamatok lezárására, ha a munka befejeződött, hacsak alkalmas reteszelő mechanizmussal nem tehetők biztonságossá, például jelszóval védett képernyővédővel;
    • az adathordozó eszközöket a jogosulatlan használattal szemben biztonságossá tenni úgy, hogy kulcsra zárják, vagy ezzel egyenértékű védőintézkedést tesznek, például jelszavas hozzáférést használnak.
  • A technikai biztonság érdekében szükséges intézkedések:
    • Az adatok és programok véletlen vagy szándékos megrongálását meg kell akadályozni.
    • Az adatállományok tartalmát képező adattételek számát folyamatosan ellenőrizni kell.
    • Az adatállományok kezelését úgy kell megszervezni, hogy részleges vagy teljes megsemmisülésük esetén tartalmuk rekonstruálható legyen, ennek érdekében az adatállományokról rendszeresen biztonsági másolatot kell készíteni, és azt az eredeti adatállománytól lehetőleg földrajzilag is eltérő helyen, biztonságosan kell tárolni. o Az adatbevitel során a bevitt adatok helyességét ellenőrizni kell. o Közvetlen adathozzáférés kezdeményezésének jogosultságát ellenőrizni kell.
    • Pontosan meg kell határozni (munkakörönként, ill. személyenként) az egyes adatokhoz való hozzáférést.

4.2.3 Manuális kezelésű adatok

  • A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani:
  • Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni.
  • A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá.
  • A manuális kezelésű iratok archiválását az Iratkezelési szabályzatban meghatározott időközönként el kell végezni, és az Iratkezelési szabályzatnak megfelelően azokat irattárazni kell. Az irattári kezelésbe vett iratokat a tekintetükben az Iratkezelési szabályzat által meghatározott adatkezelési határidő elteltével haladéktalanul át kell adni megsemmisítésre.

4.2.4 Munkavállalói adatbiztonsági kötelezettségek

  • Aki a személyes adat, üzleti titkot képező adat megismerésére jogosult:
    • köteles az személyes adatok és üzleti titok védelmére vonatkozó rendelkezéseket, valamint a jelen Szabályzatban meghatározott előírásokat megismerni, valamint ezen előírásokat alkalmazni;
    • a tudomására jutott személyes adatot és üzleti titkot az érvényességi időn belül illetéktelen személynek át nem adhatja, illetve nem hozhatja illetéktelen tudomására vagy nyilvánosságra (titoktartási kötelezettség);
    • köteles a hozzáférési jog megszűnésekor – ideértve a munkaviszony megszűnésének eseteit is – az üzleti titokká minősített adatot és a személyes adatot tartalmazó minden nála lévő adathordozót a NetLib Kft.-nek, mint az adattal rendelkező jogosultnak, illetve Adatkezelőnek haladéktalanul átadni.
  • Üzleti titok tisztességtelen módon való megszerzésének minősül az is, ha az üzleti titkot a jogosult hozzájárulása nélkül, a vele - a titok megszerzése idején vagy azt megelőzően – bizalmi viszonyban (így különösen a munkaviszony és a munkavégzésre irányuló egyéb jogviszony) vagy üzleti kapcsolatban álló személy közreműködésével szerezték meg [1996. évi LVII. tv. a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról].
  • A NetLib Kft. valamennyi munkavállalója munkavégzése során köteles saját szakterületén jelen Szabályzat rendelkezéseinek, előírásainak érvényt szerezni.

4.2.5 Titoktartási kötelezettség

  • A NetLib Kft.-vel munkavégzésre irányuló jogviszonyban lévő személyek kötelesek jelen Adatvédelmi és Adatbiztonsági Szabályzat, továbbá a hatályos jogszabályok szerint a rájuk bízott, illetve tudomásukra jutott személyes adatokat és üzleti titkokat időbeli korlátozás nélkül megőrizni. A munkavállalók kizárólag a munkaköri leírásban meghatározott feladatkörükön belül ismerhetik meg az ilyen adatokat. E titoktartás nem terjed ki a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó, külön törvényben meghatározott adatszolgáltatási és tájékoztatási kötelezettségre.
  • Az adatbiztonság személyi feltételeinek kialakítása tekintetében a szervezeti rendszer minden tagját, aki feladatai ellátása során személyes adatot vagy üzleti titkot kezel, megfelelő felkészítésben, oktatásban kell részesíteni.
  • Minden személyes adatot tartalmazó rendszerhez való hozzáférésre feljogosított munkavállaló köteles teljes bizonyító erejű magánokiratba foglalt titoktartási kötelezettség vállalást tenni. A kötelezettség vállalásban nyilatkozni kell arról, hogy a munkavállaló jelen Adatvédelmi és Adatbiztonsági Szabályzat rendelkezéseit megismerte, azokat magára nézve kötelezőként elismeri, a szükséges titokvédelmi ismereteket elsajátította, valamint a személyes adatok védelméhez fűződő jog és az üzleti titok megsértésének mind büntetőjogi, mind polgári jogi következményeivel tisztában van.

5 ZsebLib applikáció (kiegészítés)

Ez az alkalmazás a könyvtári rendszerben már meglévő felhasználói adatokat jeleníti meg a felhasználói élmény biztosítása érdekében. Az alkalmazás nem gyűjt új személyes adatokat, nem tárolja azokat hosszú távon, és nem osztja meg harmadik féllel.

Milyen adatokat használ az alkalmazás:

  • Felhasználói név és azonosító, a könyvtári rendszerben tárolt olvasói adatok
  • Kölcsönzések (aktuális és korábbi), előjegyzések, foglalások, hosszabbítási lehetőség
  • Polc funkcióhoz szükséges információk

Fiók kezelése:
Az alkalmazásban létrehozott fiók nincs; a felhasználói adatok a könyvtári rendszerben léteznek, és azok törlése a könyvtári beiratkozás megszüntetésével történik.

Gyermekek:
Az alkalmazás gyerekek számára is ajánlott, és nem gyűjt gyermekek személyes adatait az alkalmazáson kívül. Az adatok feldolgozása kizárólag a könyvtári rendszerben történik.