Adatvédelmi és adatbiztonsági szabályzat
A MULTISOFT Számítástechnikai Korlátolt Felelősségű Társaság (székhelye: 1115 Budapest, Bartók Béla út 105-113.; nyilvántartja a Fővárosi Törvényszék Cégbírósága Cg. 01-09-161858 szám alatt) – a továbbiakban: társaság – a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. tv. 6. §. (1) bekezdésnek megfelelően, továbbá szoftverfejlesztési tevékenysége során birtokába kerülő ügyféladatok védelmének és biztonságának garantálása céljából az alábbi belső adatvédelmi és adatbiztonsági szabályzatot – a továbbiakban: adatvédelmi szabályzat – alkotja, amely elválaszthatatlan, 1. sz. mellékletét képezi a társaság Adatkezelési szabályzatának (a továbbiakban: Adatkezelési szabályzat).
ÁLTALÁNOS RENDELKEZÉSEK
1. A társaság tevékenysége keretében – egyebek mellett – közvetlen üzletszerzési, illetve direkt marketing tevékenységet – ideértve a promóciós tevékenységet (hírlevél, illetve reklám-hírlevél küldését, ajándékakciókon való részvételre történő felhívást, termékek/szolgáltatások ajánlását) és telemarketing/telesales tevékenységet is – folytat, melynek érdekében a társaság név- és címadatokat (elérhetési adatokat), illetve személyes adatokat kezel.
2. A társaság tevékenységét képezi továbbá számítógépes programozás (szoftverfejlesztés), melynek során a tevékenység végzéséhez kapcsolódóan ügyféladatok kerülhetnek a társaság birtokába.
3. Az adatkezelés Európai Parlament és a Tanács (EU) 2016/679. számú általános adatvédelmi rendelete, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), valamint a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény rendelkezéseinek, továbbá az ezen jogszabályok keretei között megalkotott jelen adatvédelmi szabályzat és az Adatkezelési szabályzat rendelkezéseinek megfelelően történik.
4. Az adatvédelmi szabályzatban adat alatt kizárólagosan személyes adat, ügyféladat alatt pedig olyan adat értendő, amelyet a társaság szerződéses partnerei a társaság által részükre végzett szoftverfejlesztési tevékenység során és a szoftverfejlesztési tevékenység ellátása érdekében továbbítanak a társaságnak. Az adatvédelmi szabályzatban nem definiált kifejezéseket a fenti 1./3. pontban hivatkozott jogszabályok rendelkezései szerint kell értelmezni.
5. A társaság gondoskodik arról, hogy az adatok felvétele és kezelése tisztességes és törvényes módon történjen.
6. A társaság az adatokat
a) az Adatkezelési szabályzatában meghatározott célból, így a közvetlen üzletszerzési, illetve direkt marketing tevékenységei végzése,
b) az ügyféladatokat pedig szerződéses partnerei részére végzett szoftverfejlesztési tevékenysége során és és kizárólag a szoftverfejlesztési tevékenység ellátása
(a továbbiakban együtt: tevékenység vagy tevékenységek) érdekében azokkal szigorú összhangban dolgozza fel, továbbá csak olyan adatot dolgozhat fel, amely a vonatkozó tevékenység végzéséhez szükséges és alkalmas. Az adatfeldolgozás kizárólag a vonatkozó tevékenység végzéséhez szükséges mértékben, célból és az Adatkezelési szabályzatban meghatározott, ügyféladat esetében pedig a vonatkozó szerződés szerinti szoftverfejlesztési tevékenység elvégzéséhez szükséges ideig történhet.
7. A társaság biztosítja, hogy az adatokhoz illetéktelen személy ne férhessen hozzá. A társaság az adatokat továbbá bizalmasan kezeli, harmadik személy részére – ügyféladatok esetében ide nem értve szoftverfejlesztési tevékenység tárgyában kötött vonatkozó szerződés szerinti szerződéses partnert – azokról információt nem adhat, illetve azokba betekintést nem biztosíthat, továbbá azokról kizárólag jelen adatvédelmi szabályzat rendelkezéseinek keretei között készíthet másolatot.
8. A társaság az adatokhoz történő hozzáférést kizárólag azoknak a munkavállalóinak, valamint a munkavégzésre irányuló egyéb jogviszony keretében foglalkoztatottaknak biztosítja, akik munkaköri kötelezettségükből eredően jogosultak és kötelesek
a) a vonatkozó tevékenység végzésére, illetve
b) az adatokat tároló szerver üzemeltetésére.
9. Az adatkezelés folyamán ügyelni kell az adatok pontosságára.
10. Amennyiben a tevékenységek végzésének folyamata megváltozik vagy egyéb, a tevékenységek végzését érintő körülmény ezt indokolja, a társaság – szükség szerint – jelen adatvédelmi szabályzatot, illetve az Adatkezelési szabályzatot megfelelően módosítja.
AZ ADATVÉDELMET BIZTOSÍTÓ TECHNIKAI INTÉZKEDÉSEK
1. A társaság az adatokat jelszóval védett szervereken vagy szintén jelszóval védett adatbázisokban tárolja és gondoskodik arról, hogy azok megjelenítése csak jelszóval védett eszközökön történhessen.
2.a, A társaság a telephelyén tárolt adatokat tároló szerverek fizikai védelmét biztonsági zárral felszerelt helyiséggel (szerverszoba) biztosítja. A szerver őrzésére kialakított helyiség (szerverszoba) bejárata csak a társaság székhelyét biztosító épületbe történt belépés után közelíthető meg, egyéb nyílászárói az erőszakos behatolást az általában elvárható módon akadályozzák. A társaság székhelye 24 órás portaszolgálattal biztosított és riasztóberendezéssel felszerelt irodaházban található. A társaságnál egy kijelölt személy jogosult a szerverszoba kulcsait kezelni. A társaság egyúttal helyettest nevez meg a kulcsok kezelőjének arra az esetre, amennyiben a kulcsok kezelője bármilyen oknál fogva feladatát nem tudja ellátni. A kulcsok kizárólag ez utóbbi esetben, a megnevezett helyettes részére adhatók át a kulcsok kezelése céljából.
2.b, A társaság emellett igénybe vesz felhőszolgáltatásokat is az adatok tárolásához, amelyek hozzáférése jelszóval védett.
3. A mindenkor rendelkezésre álló számítástechnikai/informatikai eszközök felhasználásával gondoskodni kell annak megakadályozásáról, hogy az adatokat tároló, hálózaton keresztül elérhető informatikai eszközökhöz illetéktelen személy hozzáférjen.
4. Az adatok a jelen adatvédelmi szabályzat fenti I./8. a) pontjában meghatározott személyek részéről csak a társaság által részükre személyes használatra biztosított számítástechnikai/informatikai eszközökkel érhetőek el, illetve csak ezeken az eszközökön jeleníthetők meg.
5. A társaság biztosítja a jelen adatvédelmi szabályzat fenti II./4. pontjában írt számítástechnikai/informatikai eszközök vírusvédelmének feltételeit. A jelen adatvédelmi szabályzat fenti I./8. a) pontjában meghatározott személyek kötelesek folyamatosan gondoskodni a személyes használatukban lévő számítástechnikai/informatikai eszközök vírusmentesítéséről.
6. A társaság a mindenkor rendelkezésére álló számítástechnikai/informatikai eszközparkjának fenntartásával és karbantartásával biztosítja azoknak a vonatkozó szerződés szerinti szoftverfejlesztési tevékenységének elvégzéséhez szükséges rendelkezésre állását és terhelhetőségét.
7. Az elektronikus formában tárolt adatok megsemmisítése végleges törléssel történik.
AZ ADATVÉDELMET ÉS ADATBIZTONSÁGOT BIZTOSÍTÓ SZERVEZÉSI INTÉZKEDÉSEK
1. A társaság az adatokhoz történő hozzáférést csak azoknak a munkavállalóinak, valamint a munkavégzésre irányuló egyéb jogviszony keretében foglalkoztatottaknak engedélyezi, akik munkaköri, illetve a társasággal kötött, munkavégzésre irányuló szerződésük szerinti munkavégzési kötelezettségükből eredően jogosultak és kötelesek
a) a vonatkozó tevékenységek végzésére és ehhez szükséges az adott tevékenységnek megfelelő adathoz történő hozzáférésük, illetve
b) az adatokat tároló szerver üzemeltetésére.
2. Jelen adatvédelmi szabályzat fenti I./8. pontjában meghatározott személyek kötelesek minden tőlük elvárható intézkedést megtenni az adatok biztonsága érdekében
3. Jelen adatvédelmi szabályzat fenti I./8. a) pontjában meghatározott személyek kötelesek minden tőlük elvárható intézkedést megtenni annak érdekében, hogy a fenti II./4. pont alatt meghatározott eszközökhöz illetéktelen személyek ne férjenek hozzá. Ennek keretében kötelesek különösen ezeknek az eszközöknek használatát jelszóval védeni, továbbá ezeket az eszközöket biztonságos, zárt helyen tárolni. Kifejezetten tilos ezeknek az eszközöknek gépjárműben való felügyelet nélkül hagyása még a gépjármű lezárása esetén is.
4. Az adatok megjelenítése, feldolgozása csak a vonatkozó tevékenység ellátásával kapcsolatos munkavégzés során és annak céljából, csak az adott tevékenység ellátásához feltétlenül szükséges ideig megengedett.
5. Kifejezetten tilos továbbá az adatoknak a vonatkozó tevékenység rendeltetésszerű végzésétől eltérő célból történő kinyomtatása, vagy egyéb módon való fizikai (papíralapú) megjelenítése, valamint az adatot tartalmazó fizikai (papíralapú) dokumentumnak a munkavégzésre kijelölt helyről történő kivitele. Az adatok fizikai megjelenítése során is gondoskodni kell arról, hogy azok ne vesszenek el, ne rongálódjanak vagy ne semmisüljenek meg és tartalmuk illetéktelen személy tudomására ne jusson, illetve azokhoz illetéktelen személy hozzá ne férhessen. Amennyiben a fizikailag megjelenített adatok tárolása elkerülhetetlen, úgy azokat csak a vonatkozó tevékenység rendeltetésszerű végzéséhez feltétlenül szükséges ideig és csak zárható helyiségben, zárható iratszekrényekben szabad őrizni A fizikailag megjelenített olyan adatokat, amelyekre nézve fizikai megjelenítés célja megszűnt, haladéktalanul meg kell semmisíteni.
6. Jelen adatvédelmi szabályzatban fent előírtak betartása mellett is, egyéb szempontokon túl adatvédelmi megfontolásból azokat a szobákat, helyiségeket, ahol az adatok tárolására, megjelenítésére alkalmas számítástechnikai/informatikai eszköz (számítógép, munkaállomás, stb.) üzemel, úgy kell használni, hogy az megfeleljen az adatvédelmi és informatikai biztonsági követelményeknek.
7. Ügyféladat csak a szoftverfejlesztési tevékenység tárgyában létrejött vonatkozó szerződés rendelkezéseinek keretei között, azokkal szigorú összhangban továbbítható, a vonatkozó szerződés ellenkező rendelkezésének hiányában kizárólag a társaság vonatkozó szerződés szerinti szerződéses partnere részére.
8. A társaság a jelen adatvédelmi szabályzat fenti I./8. pontjában meghatározott személyek rendelkezésre állásával biztosítja a vonatkozó szerződés szerinti szoftverfejlesztési tevékenységének elvégzéséhez szükséges szolgáltatások elvégzését.
9. A jelen adatvédelmi szabályzat fenti I./8. pontjában meghatározott személyek kötelesek haladéktalanul tájékoztatni felettesüket a feladatkörükben felmerült bármely adatvédelmi problémáról, különösen a biztonság olyan sérüléséről, amely a továbbított, tárolt vagy más módon kezelt adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (adatvédelmi incidens).
10. A társaság az általa kezelt adatokról nyilvántartást vezet, amely biztosítja az adatkezelés, továbbá az adatvédelmet és adatbiztonságot szolgáló rendelkezések ellenőrzését és követhetővé teszi az adatállomány útját. A nyilvántartás tartalmazza az adatállomány megnevezését, az adatkezelés szakaszainak, befejezésének dátumát, továbbá az adatkezelő személyek, illetve hivatali felettesük nevét és aláírását.
EGYÉB RENDELKEZÉSEK
1. A társaság az adatkezelésben résztvevő munkavállalóival, valamint a munkavégzésre irányuló egyéb jogviszony keretében foglalkoztatottakkal – azok adatkezelést érintő tevékenységének megkezdése előtt – ismerteti jelen adatvédelmi szabályzatot és az Adatkezelési szabályzatot, felhívja továbbá a figyelmüket a vonatkozó jogszabályi következményekre és a mindezekben foglalt rendelkezések szerinti eljárásokra, illetve ezek betartásának kötelezettségére.
2. A jelen adatvédelmi szabályzat hatálya kiterjed a társaság valamennyi munkavállalójára, valamint a munkavégzésre irányuló egyéb jogviszony keretében foglalkoztatottakra.
3. A társaság fenntartja a jogot, hogy jelen adatvédelmi szabályzatot egyoldalúan módosítsa.
Budapest, 2019. november 29.
MULTISOFT Számítástechnikai Korlátolt Felelősségű Társaság