ADATVÉDELMI INCIDENS SZABÁLYZAT

Hatályos: 2018. május 25. napjától visszavonásig

1. Bevezetés

A CGP Europe Korlátolt Felelősségű Társaság (székhely: 1024 Budapest, Ady Endre út 19..; cégjegyzékszám: 01-09-965048; adószám: 23425026-2-41; adatkezelési nyilvántartási azonosítója: NAIH-78299/2014.; (a továbbiakban: „Adatkezelő”) a jelen Adatvédelmi Szabályzatot (továbbiakban: „Szabályzat”) alkotja.

2. Definíciók

Személyes adat: azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Személyazonosító adat: a családi és utónév, születési név, a nem, a születési hely és idő, az anya születési családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel együttesen vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására. Különleges adat:a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,valamint az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat. Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. Adatkezelő az a természetes vagy jogi személy, jogi személyiség nélküli szervezet is, aki vagy amely a törvény szerinti adatkezelési célból személyes vagy személyazonosító adat, valamint esetenként Különleges, illetve Egészségügyi adat kezelésére jogosult. Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

3. Adatvédelmi jogszabályok

A Szabályzat szempontjából kiemelt jelentőséggel bíró jogszabályok:

  1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU) 2016/679 Rendelete – „általános adatvédelmi rendelet” (GDPR)
  2. Magyarország Alaptörvénye;
  3. A Polgári Törvénykönyvről szóló 2013. évi V. törvény 2:42. §;
  4. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.);
  5. Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény;
  6. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény;
  7. A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. Törvény;
  8. A Rendelet mindkori módosításai, valamint a Rendelet alapján az Európai Bizottság valamint az Adatkezelő székhelye szerinti felügyeleti hatóság által kimunkált jogalkalmazói gyakorlat és ajánlások.

4. Az adatvédelmi incidens bejelentése

Az Adatvédelmi incidenstaz Adatkezelőindokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az Adatvédelmi incidensa tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha azAdatvédelmi incidensvalószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az Adatfeldolgozóaz Adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az Adatkezelőnek.

Az Adatvédelmi incidens bejelentésének tartalmaznia kell a következőket:

  1. ismertetni kell az Adatvédelmi incidens jellegét, amennyiben lehetséges az érintettek kategóriáinak ismertetésével, kitérve a hozzávetőleges számukra. Valamint az Adatvédelmi incidenssel érintett adatok kategóriáit és hozzávetőleges számukat;
  2. az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  3. az Adatvédelmi incidensből eredő, valószínűsíthető következmények ismertetését;
  4. az Adatkezelőáltal az Adatvédelmi incidens orvoslására tett, vagy annak orvoslására tervezett intézkedések ismertetését, kitérve az Adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedések ismertetésére.

Amennyiben nem lehetséges a fenti információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők. Az Adatkezelőnyilvántartja az Adatvédelmi incidenseket, feltüntetve az Adatvédelmi incidenshezkapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

5. Az érintettek tájékoztatása az Adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelőindokolatlan késedelem nélkül tájékoztatja az érintettet az Adatvédelmi incidensről. Az érintett részére adott tájékoztatásban az Adatkezelővilágosan és közérthetően ismerteti az Adatvédelmi incidens jellegét és közli legalább a tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, ismerteti az Adatvédelmi incidensből eredő, valószínűsíthető következményeket, valamint ismerteti azAdatvédelmi incidens orvoslására tett, vagy annak orvoslására tervezett intézkedéseket, kitérve az abbóleredő esetleges hátrányos következmények enyhítését célzó intézkedések ismertetésére.

Az érintettet nem kell jelen Szabályzat 5. pontjában megjelölt módon tájékoztatni, amennyiben a következők bármelyike fennáll:

  1. Adatkezelőmegfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az Adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – például titkosítás – amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmetlenné teszik az adatokat;
  2. Adatkezelő az Adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett természetes személy jogaira és szabadságára jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségesség. Ilyen esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha az Adatkezelőmég nem értesítette az érintettet az Adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja, hogy az érintett tájékoztatása mellőzhető.

6. Egyéb rendelkezések

Jelen Szabályzatösszhangban Adatkezelő Adatkezelési Szabályzatával, valamint az Európai Parlament és a Tanács (EU) 2016/679 Rendeletével (GDPR) a következő egyéb rendelkezéseket hozza meg:
Az Adatkezeléstszintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó Adatkezelésegyéb jogalapon nem végezhető. A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség.
Az uniós és a tagállami jog olyan mértékig korlátozhat bizonyos elveket, a tájékoztatáshoz való jogot, a hozzáférési, helyesbítési és törlési jogot, az adathordozhatósághoz való jogot, a tiltakozáshoz való jogot, a profilalkotáson alapuló döntéseket és az Adatvédelmi incidens érintettel történő közlését, valamint az Adatkezelőkbizonyos kapcsolódó kötelezettségeit, amilyen mértékig ez egy demokratikus társadalomban szükségesnek és arányosnak tekinthető a közbiztonság védelme érdekében – beleértve az emberi élet védelmét különösen a természeti vagy ember okozta katasztrófákkal szemben, valamint a bűncselekményeknek vagy a szabályozott szakmák etikai szabályai megsértésének a megelőzését, kivizsgálását és a megfelelő büntető- vagy fegyelmi eljárás lefolytatását, illetve a büntetőjogi szankciók végrehajtását és ezen belül többek között a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is –, továbbá valamely egyéb uniós vagy tagállami közérdek jelentős céljai, így különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdekének védelme, általános közérdeket szolgáló nyilvántartások vezetése, archivált személyes adatoknak a volt totalitárius államrendszerek alatt tanúsított politikai magatartáshoz kapcsolódó konkrét információk szolgáltatása érdekében történő további kezelése, illetve az érintett vagy mások jogainak és szabadságainak a védelme érdekében, ideértve a szociális védelmet, a népegészségügyet és a humanitárius okokat is. E korlátozásoknak tiszteletben kell tartaniuk a Charta, valamint az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény rendelkezéseit.

7. Záró rendelkezések

Jelen Szabályzataz aláírása napján lép hatályba.
Jelen Szabályzatrendelkezéseit a hatályba lépését követő adatkezelésre kell alkalmazni. 
Jelen Szabályzatrendelkezéseit kell alkalmazni a hatályba lépésekor folyamatban lévő adatkezelésekre is.
Jelen Szabályzatbannem szabályozott kérdések tekintetében a 3. pontban megjelölt jogszabályok rendelkezési irányadóak.
Jelen Szabályzathatálybalépésével az Adatkezelőnélhatályban lévő korábbi adatvédelmi incidens szabályzatok hatályukat vesztik. 


Budapest, 2018. május 25.