01 febr. 2024

Adatvédelmi szabályzat

Tartalom

Adatkezelési tevékenység nyilvántartása

BEVEZETÉS

GENERAL DATA PROTECTION REGULATION GDPR KAPCSOLATOS DEFINÍCIÓK

Mi számít személyes adatnak? 2 Adatkezelő 2 Adatfeldolgozó 3 Adatvédelmi incidens

MIT TESZ ACRM A SZEMÉLYES ADAT VÉDELMÉRE

SZEMÉLYES ADATOK TÁROLÁSÁRA VONATKOZÓ SZABÁLYOK

NYILVÁNTARTÁSOK

Nyilvántartás vezetése

Incidenskezelés szabályai

SALESFORCE SAJÁT SZABÁLYZATA

GYAKORLATI ÚTMUTATÓK

projekt adatmigráció

SABLONOK

jegyzőkönyv személyes adat törléséről

incidens riasztási email

Adatkezelési tevékenység nyilvántartása

BEVEZETÉS

Jelen dokumentum az Attention CRM Consulting Kft. (ACRM) adatkezelési, adatfeldolgozási folyamatára kiterjedő útmutató azzal, hogy a Társaság mindenkor hatályos szabályzataival együttesen értelmezendő.

A társaság által kijelölt adatvédelmi tisztviselő kíséri figyelemmel az adatkezelés folyamatát. Ez a személy belső tanácsadóként tájékoztatja és segíti a személyes adatok kezelését végző munkatársakat. Az adatvédelmi tisztviselő együttműködik továbbá az adatvédelmi hatósággal, vagyis közvetítőként jár el a hatóság és a magánszemélyek között.

GENERAL DATA PROTECTION REGULATION GDPR KAPCSOLATOS DEFINÍCIÓK

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=HU

Az általános adatvédelmi rendelet egyaránt vonatkozik az IT rendszerben és a papíron tárolt személyes adatokra és egyaránt vonatkozik az automatizált és manuális adatkezelésre

Mi számít személyes adatnak?

A személyes adat minden olyan információ, amely egy azonosított vagy azonosítható élő személlyel kapcsolatos. Ha az információk, melyek begyűjtésre kerültek egy bizonyos személy azonosításához vezethetnek, azok az információk szintén személyes adatnak minősülnek.

Ezek a személyes adatok különböző módon juthatnak a társaság tudomására, pld. weboldalon kitöltött formula, álláshirdetésre való jelentkezés, rendezvényen való során, vagy emailes, telefonos, chatüzenetben érkező megkeresés során.

Példák személyes adatra

vezetéknév és utónév; lakcím; vezetéknév.utónév@vállalkozás.com típusú e-mail-címek; személyazonosító igazolvány száma; helymeghatározó adatok (pl. mobiltelefon helymeghatározási funkciója); IP-cím; bizonyos esetekben a süti (cookie)-azonosító;

Példák nem személyes adatnak minősülő adatra
cégjegyzékszám; info@vállalkozás.com típusú e-mail-címek; anonimizált adatok.

Adatkezelő

Az adatkezelő, aki dönt a személyes adatkezelés céljáról és módjáról. Amennyiben ACRM határozza meg, hogy miért és milyen módon történik a személyes adatok kezelése, akkor a társaság adatkezelőnek minősül és a munkavállalói közül a személyes adatkezelést végzők az ACRM adatkezelői feladatainak teljesítése érdekében végzik ezt a feladatot.

ACRM adatkezelőként jár el a munkáltatói szerepkörében, illetve marketing tevékenysége során.

Adatfeldolgozó

Az adatfeldolgozó, aki kizárólag az adatkezelő megbízásából tárolja és dolgozza fel a személyes adatokat.

ACRM alaptevékenysége az IT-megoldások nyújtása, ami tipikusan adatfeldolgozó szerepkört jelent.

Adatvédelmi incidens

Amikor azokat a személyes adatokat, amikért ACRM felel biztonsági incidens éri – titoktartási kötelezettség, hozzáférhetőség sérül – , adatvédelmi incidens következik be. Ebben az esetben feltételezhető, hogy az érintett személyek jogai sérülhetnek, ezért a társaság azután, hogy az adatvédelmi incidens a tudomására jutott késedelem nélkül köteles jelentést tenni az esetről.

Amennyiben ACRM adatkezelő legkésőbb 72 órán belül köteles jelenti az esetet a felügyeleti hatóságnál.

Amennyiben ACRM adatfeldolgozó adatfeldolgozó, az adatvédelmi incidenst azt adatkezelőnek kell jelentenie.

MIT TESZ ACRM A SZEMÉLYES ADAT VÉDELMÉRE

Megvizsgálva a társaság üzleti területeit és üzletvezetési folyamatait ACRM a személyes adat védelmére a következő szükséges ellenőrzési lépéseket és folyamatokat biztosítja.

Adatvédelmi jelzések: Minden olyan felületen, ahol személyes adatokat gyűjt tájékoztatást kell adni a személyes adatgyűjtés tényéről, beleértve a weboldal cookie-jainak és címkéinek használatát is.

Felhasználási korlátozások: Adminisztratív vagy technológiai kontrollok használhatók arra, hogy az ACRM-hez került adatok felhasználását leszűkítsék azokra a célokra, amelyekre az adatokat összegyűjtötte.

Biztonság: Azoknak az adminisztratív, fizikai és technológiai biztonsági intézkedéseknek a megléte, melyek a személyes adatok illetéktelen hozzáférésének, felhasználásának, módosításának, nyilvánosságra hozatalának vagy törlésének a megakadályozásában biztosítékot nyújtanak.

Az érintettek jogai: A személyes adatok kapcsán érintettek beleegyezésének dokumentálásához és kezeléséhez szükséges mechanizmusok és eljárások fenntartása, melyek alapján a panaszokra, módosítási kérésekre és a törlésre vonatkozó kérelmekre a válaszadás lehetségessé válik.

Szállítók: A személyes adatokat gyűjtő és fogadó szállítók és más harmadik fél által végzett akár EU-n belüli, akár EU-n kívüli adattovábbítás legalizálása a megkötött adatkezelői szerződéseket, vagy szerződéses kitételek alapján.

Incidens menedzsment: A biztonsági jogsértések felderítésére és megválaszolására szolgáló folyamat biztosítja a jogsértés orvoslását és az összes szükséges fél értesítését.

Oktatás: Munkavállalóknak szóló képzések megtartása adatvédelmi irányelvek, folyamatok és követelmények témában, valamint figyelemfelhívás céljából az aggályokról és a gyanús adatkezelési tevékenységekről szóló tájékoztatók megosztása. Az oktatás évente kétszer történik február és szeptember utolsó hetében. A részvételről jelenléti ív formájában jegyzőkönyv készül.

Üzleti titok megtartása: A Társaság munkavállalói a munkaszerződés aláírásával kötelezettséget vállalnak arra, hogy a munkájuk során tudomásukra jutott valamennyi üzleti titkot, valamint a Társaságra, illetve tevékenységére vonatkozó alapvető fontosságú információkat megőrzik. Ezen túlmenően sem közölhetnek illetéktelen személyekkel olyan adatot, amely a munkakörük betöltésével kapcsolatosan jutott a tudomásukra, és amelynek közlése a Társaságra, vagy más személyre hátrányos következménnyel járna. Ezen titoktartási kötelezettség a munkaviszony megszűnése esetén időbeli korlátozás nélkül kötelezi a Munkavállalókat.

SZEMÉLYES ADATOK TÁROLÁSÁRA VONATKOZÓ SZABÁLYOK

A társaság akkor gyűjtheti be és használhatja fel személyes adatot, ha az adat tulajdonosa:

● szerződést kötött a társasággal – például szolgáltatások nyújtására vagy munkaviszony létesítésére (munkaszerződés);

● ezzel jogi kötelezettségének tesz eleget – tehát ha az adatkezelés jogi előíráson alapszik. Pld. mint munkáltató társadalombiztosítási célból közli az illetékes szervekkel a fizetése adatait

● a személyes adatok kezelése az adat tulajdonosának érdekeit szolgálja – például, ha az életének védelmében van szükség az adatkezelésre;

● ez az adatkezelő jogos érdekeinek érvényesítéséhez szükséges – például, ha mint Munkáltató szolgáltat adatot az adóhivatalnak.

Minden más esetben a társaságnak a tulajdonos az adat tulajdonosának előzetes hozzájárulását kell kérnie személyes adatainak gyűjtéséhez.

Szolgáltatási szerződés keretében kezelt adatok körét a szolgáltatási szerződésben meghatározottak szerint az a társaság adja meg, aki adatkezelőként szerepel.

Minden egyes adatkezelésre vonatkozóan át kell tekinteni, hogy az jogszerűen és célhoz kötötten történik-e. Meg kell határozni, hogy jogalap hiányában milyen adatkezelések nem folytathatók tovább. A jogalap, vagy indokolható célhoz kötöttség nélkül történő adatkezelések, adatbázisok, feljegyzések, listák megszüntetését, törlését (selejtezés, iratmegsemmisítés, fájltörlés) el kell végezni.

Elektronikus adat

Elektronikus formátumban rendelkezésre bocsátott adat, pld. emailben, űrlapon, elektronikus adathordozón átadott adat.

Papír alapú adat

A papíralapú dokumentumok papíralapú vagy elektronikus másolatainak létrehozását (ideértve a személyes adatok e-mailen történő továbbítását is) a feladat elvégzéséhez szükséges mértékben a minimálisra kell szorítani

Hozzáférés, jogosultság

A társaságnál felállításra került egy Center of Excellence csapat, melynek feladatai közé tartozik a társaság szolgáltatási körébe tartozó projektfeladatok dokumentálási rendjének folyamatos biztosítása, ideértve a hozzáférési jogosultságok operatív felügyeletét is.

A társaság által a munkavállalók részére a munkavégzéshez biztosított laptopok rendelkeznek a szükséges védelemmel, ahhoz, hogy megakadályozzák az illetéktelen hozzáférést. Biometrikus azonosító, kétlépcsős, jelszavas autentikáció, képernyővédelem, inaktivitás esetén automatikusan kizárás. Az Adatfeldolgozó munkatársai kizárólag saját céges gépről érhetik el a rendszert. A gépek folyamatosan automatikus operációs rendszer frissítésre vannak állítva. A szerverek hozzáférése szigorúan korlátozott és a Salesforce által kezelt. Az Attention CRM Consulting irodájának hozzáférését porta szolgálattal és beléptető kártyával biztosított.

Jelszó elvárások és autentikáció:

minimum 7 karakter, számot, nagybetűt tartalmazzon.
minden belső hálózati alkalmazás beléptetés 2 faktoros alapon valósul megÜgyféllel vagy belső munkatárssal a szolgáltatási folyamatok során tömörített, titkosított kommunikáció formájában folyik az információ átadás:
– ügyviteli tevékenység (Salesforce Enterprise Edition) – ebbe a rendszerbe feltöltve

– külső / belső kommunikáció (azonnali, azonosítással működő üzenetküldők) Google Workspace vagy ügyfél oldalon Microsoft Teams részeként és

– adattárolási folyamatok (Google Workspace vagy Microsoft Sharepoint)

A személyes adatok törlésének, továbbításának szabályai

A személyes adatokat meg kell védeni a jogosulatlan vagy jogellenes feldolgozás elleni, valamint meg kell akadályozni a személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, megváltoztatását vagy károsodását, illetéktelen közzétételét vagy az azokhoz való hozzáférést.

USB – Személyes adatokat tartalmazó adatbázisok off-line adathordozóinak tárolására zárható szekrényt kell alkalmazni. Az USB eszköz inaktiválására egyedi technikai környezet kialakítása szükséges. USB meghajtón ügyfél adatot csak egyértelmű kérésre kezelünk és tartunk nyilván – egyeztetett törlési idővel és kezelési módon.

A személyes adatok törlésekor, papír alapú dokumentumok esetén iratmegsemmisítőt kell használni, míg számítógépes adatbázisok esetén a programnyelv fizikai törlés utasítását és/vagy a tárterület többszörös felülírását kell alkalmazni a mindenkori informatikai biztonsági szabályoknak megfelelően. A személyes adat törlése olyan módon történik, hogy helyreállítása többé ne legyen lehetséges.

Az elektronikus adatokat tartalmazó eszközök selejtezési rendszere a külső könyvelési szolgáltató által támogatott rendszerben valósul meg. A végleges megsemmisítésig egyedi elzárt depo-ban kerül tárolása az adat illetve az adathordozóval felszerelt eszköz.

NYILVÁNTARTÁSOK

Adatmentés

A társaság rendszeres adatmentést végez, melynek során automatizált Synology NAS eszköz biztosítja az éjszakai mentéseket.

Nyilvántartás vezetése

A társaságnak bizonyítani kell tudnia, hogy adatkezelőként az általános adatvédelmi rendelettel összhangban jár el, és eleget tesz az összes kötelezettségének. Ennek az egyik módja a részletes nyilvántartást vezetése egyebek mellett az alábbiakról:

● az adatkezelést végző személyek neve és elérhetőségi adatai,

● a személyes adatok kezelésének oka(i),

● a személyes adatok egy másik országba vagy másik szervezet részére történő továbbítására

vonatkozó információk,

● a személyes adatok tárolásának időtartama,

● a személyes adatok kezelése során alkalmazott biztonsági intézkedések leírása.

Az adatkezelésre vonatkozó eljárások és iránymutatások rendszeres ellenőrzéséről és a munkavállalókkal való megismertetésükről az adatvédelmi tisztviselő gondoskodik.

Amennyiben ACRM által nyújtott szolgáltatás feladatainak egy részét egy harmadik féllel között szerződés szerint adatfeldolgozóként teljesíti, a személyes adatok a cég lokális tárolóhelyein való tárolását a minimumra kell csökkenteni.

Incidenskezelés szabályai

Minden Munkavállaló köteles késedelem nélkül, lehetőleg írásban a közvetlen felettesének, valamint a kijelölt adatvédelmi tisztviselőnek jelenteni, amennyiben a fenti szabályzatokban a szabályozás hiánya folytán az adatvédelmet és adatbiztonságot veszélyeztető esemény bekövetkezése, vagy bekövetkezésének lehetősége tudomására jut. Bejelentési folyamat a társaság belső Salesforce rendszerében történik. Incidens riasztási értesítés megy az adatvédelmi tisztviselő számára. A bejelentésekre az adatvédelmi tisztviselő kivizsgálást kezdeményez. A kivizsgálással egyidőben az ügyfél oldali DPO és/vagy kapcsolattartó személy(eke)t megkeresi, vele egyeztet, hatásokat felméri, végrehajtandó lépéseket egyezteti, azokat koordinálja, illetve ellenőrzi végrehajtásukat. Ügyféllel egyeztetéseket végez.

A bejelentés és kapcsolódó feljegyzések megőrzési ideje az adott adatkezelési célhoz kapcsolódó adatok megőrzésére előírt időtartam de minum 2 év.

A részletes szabályok a GDPR-03.01_Adatfeldolgozói incidens dokumentumban nyilvántartottak.

GYAKORLATI ÚTMUTATÓK

projekt adatmigráció

Az alábbi biztonsági irányelvek és eljárások alkalmazandók ACRM által, szolgáltatási szerződés keretében nyújtott adatmigrációs feladatok teljesítése során:

Ügyfél jelszavak tárolására one-way salted hash algoritmus alkalmazott használatos

Rendszer szintű user hozzáférési napló bejegyzések vezetése, melyek tartalmazzák: a dátumot, az időt, a felhasználói azonosítót, a végrehajtott URL-t vagy entity ID-T, az elvégzett műveletet (létrehozás, frissítés, törlés) és a forrás IP-címet (amennyiben elérhető)

Jelszavak naplózása tiltott.

Nyilvános felhőszolgáltatóink felelősek a megfelelő fizikai biztonsági intézkedések biztosításáért.

Az adatmigrációhoz szükséges adatokhoz való hozzáférést, csak a kijelölt ACRM munkavállalóknak biztosított. Az adatmigráció során lokálisan lementett adatokat a legszükségesebb adatokra kell szűkíteni és csak a szükséges ideig tárolhatók lokálisan.

Minden olyan munkavállalónak, akinek szüksége van hozzáférésre az adatokhoz, először kérnie kell a hozzáférést, és érvényes üzleti indoklást kell megadnia a projekt vagy evolúciós konzultációban az adott ügyfélhez rendelt vezetőhöz / ügyfélmenedzserhez.

A hozzáférések a legszükségesebb és legkevesebb jogosultság elvén kerülnek kiadásra, így a kért idő lejárta után ezt visszavonják.

munkáltatói feladatok

ACRM alapértelmezett adatvédelem alatt azt érti, hogy a társaság mindig a személyes adatok védelmét legmagasabb fokon biztosító beállítást alkalmazza alapértelmezett beállításként.

Munkáltatóként az adatok kezelésével jogi kötelezettségének tesz eleget és követi az illetékes hatóságok és szervek útmutatásait.

Munkaerőtoborzáshoz igénybe vett partner cégekkel kötött szerződések minden esetben tartalmazzák az adatvédelmi pontokat, melyek biztosítják, hogy a partner cég a törvényi előírásoknak megfelelően kezeli a jelöltek anyagait.

marketing tevékenység

A reklám tartalmú közvetlen üzletszerzési, illetve marketing célú megkeresés küldése során ACRM adatkezelőként jár el az személyes adatokat (pld. Név, telefonszám, e-mail cím) visszavonásig kezeli. Ezeket az adatokat nem továbbítja harmadik személyek részére.

Ez a fajta üzleti célú adatszerzés jellemzően a weboldal használat, facebook, linkedin oldalakon megjelenő kommunikáció, email hírlevél és rendezvényszervezés kapcsán keletkezik.

Adatvédelmi eljárások

Laptop védelem
Adatátküldési védelem
USB védelem
Használaton kívül zárható szekrény
Irat, eszkök zárható Fizikai védelem
kulcsszéf
Képernyővédelem
Jelszó védelem
Belső rendszerek jelszó kezelés

10. Magánutazásra használat

MELLÉKLET – SABLONOK

Az adatmegsemmisítésért felelős munkavállaló neve:
anyja neve:
születési helye és ideje

A megsemmisítést engedélyező
neve:
beosztása:
Az adatmegsemmisítés helye és időpontja: év/hó/nap/óra/perc

Az adathordozók formája és darabszáma:

pld. nyomtatott önéletrajz, dokumentum, elektronikus file

Az adatmegsemmisítés módja:

iratmegsemmisítő
elektronikustörlés
egyéb

Jegyzőkönyv személyes adat törléséről

incidens riasztási email tartalma

időpont, amikor az incidens kezdődött, amikor észlelték/felfedezték, Incidens forrása/oka (amennyiben ismert)
Incidens leírása (pl.: hogyan vették észre, mit tapasztaltak);
Érintett erőforrás(ok) megnevezése;

Milyen válaszlépéseket hajtottak végre (pl.: leválasztása a hálózatról Általános megjegyzések.