Adatvédelmi incidens kezelési szabályzat

Az Adatkezelő, az Sicontact Korlátolt Felelősségű Társaság (a továbbiakban: Adatkezelő/ Társaság), Magyarország Alaptörvényében foglaltakkal és az információs önrendelkezési jogról és az információszabadságról szóló 2011. CXII. törvény (a továbbiakban: Info tv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 (2016. április 27.) számú általános adatvédelmi rendelete (a továbbiakban: „GDPR”) rendelkezéseivel összhangban, a személyes adatok védelmének biztosítása érdekében az alábbiak szerint alkotja meg adatvédelmi incidensekre vonatkozó szabályzatát.

I. Definíciók

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. (a továbbiakban: adatvédelmi jogsértés).

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat az érintetteknek, többek között:

  • a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását;
  • a hátrányos megkülönböztetést;
  • a személyazonosság-lopást vagy a személyazonossággal való visszaélést;
  • a pénzügyi veszteséget;
  • az álnevesítés engedély nélküli feloldását;
  • a jó hírnév sérelmét;
  • a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését;
  • a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

II. Bejelentés

Az Adatkezelő illetve Adatfeldolgozó által kezelt adatokkal kapcsolatos bármilyen adatvédelmi jogsértés bejelentésére az Adatkezelő az eszrevetel@sicontact.hu elektronikus elérhetőséget működteti, melyet a www.eset.com/hu/rolunk/kapcsolat/ weboldalon közzé tesz.

Az Adatkezelőként biztosítjuk, hogy a megadott elérhetőséget folyamatos ellenőrzés alatt tartjuk.

Az adatfeldolgozó a lehetséges adatvédelmi incidenst, az arról való tudomásszerzését követően 72 órán belül elektronikus módon köteles bejelenti az Adatkezelőnek.

Adatkezelő munkatársa a lehetséges adatvédelmi incidensről, az arról való tudomásszerzését követően azonnal elektronikus módon köteles tájékoztatni az IT üzletágvezetőt, IT vezetőt és a cégvezetőt. 

III. Adatkezelő által vállalt kötelezettségek

1. Társaságunk, mindenkori cégvezetője útján a GDPR rendelkezéseinek megfelelően nyilvántartást vezet az adatvédelmi jogsértésekről. Ezen nyilvántartás tartalmazza az egyes adatvédelmi incidensekhez kapcsolódó tényeket, azok hatásait és az orvoslásra tett intézkedéseket.

2. Cégvezetőnk az Adatfeldolgozó által megküldött adatvédelmi jogsértés bejelentést vagy belső rendszerében észlelt jogsértés gyanúját 72 órán belül megvizsgálja és dönt arról, hogy a lehetséges jogsértés kockázatot jelent-e az érintett jogaira és szabadságaira nézve.

3. Amennyiben a vizsgálat alapján bebizonyosodik, hogy nem történt adatvédelmi jogsértés, úgy az erről tájékoztatjuk az esetleges bejelentőt és lezárjuk az ügyet.

4. Abban az esetben, ha Társaságunk, mint Adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor az illetékes felügyeleti hatóság felé történő bejelentés mellőzhető.

Ide tartoznak azok az esetek, amikor megfelelő intézkedések – mint például titkosítás alkalmazása – a személyes adatokhoz való hozzáférés jogosulatlan személyek számára nem biztosított, így a személyes adatok nem értelmezhetőek a titkosításhoz használt kulcs nélkül. Ugyanakkor megfelelő titkosítás mellett is fennállhat a bejelentési kötelezettség olyan esetekben, ha az adatvédelmi incidenssel érintett személyes adatokról nem áll rendelkezésre megfelelő biztonsági mentés/backup.

5. Amennyiben a vizsgálat alapján bebizonyosodik, hogy jogsértés történt, azt

a. a tudomásszerzést követő 72 órán belül cégvezetőnk útján bejelentjük az illetékes felügyeleti hatóság felé

Az illetékes felügyeleti hatóság felé tett bejelentés tartalmazza:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és a hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; 
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; 
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • társaságunk által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. 
  • az adott adatvédelmi incidens sajátosságaira tekintettel Társaságunk fenntartja magának a jogot arra, hogy a bejelentésben további, az ügy szempontjából lényeges információkat tüntessen fel.

b. Ha a bejelentés 72 órán belül nem tehető meg, a megtett bejelentésben megjelöljük a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben közöljük.

c. Amennyiben a vizsgálat alapján bebizonyosodik, hogy nagy kockázattal járó jogsértés történt a természetes személyek jogaira és szabadságaira nézve, legkésőbb a tudomásszerzést követő 72 órán belül cégvezetőnk útján tájékoztatjuk az érintettet az adatvédelmi incidensről.

d. A bejelentésért felelős a mindenkori cégvezető, több cégvezető esetén a cégvezetők egyetemlegesen, külön-külön bejelentési kötelezettséggel és jogosultsággal. Az cégvezető(k) akadályoztatása esetén a bejelentésre köteles és jogosult: a Társaság mindenkori ügyvezetője.

Az érintett részére adott tájékoztatásban  világosan és közérthetően ismertetjük az adatvédelmi jogsértés jellegét és közöljük a felügyeleti hatóság felé kötelezően tett bejelentés adattartalmát és felvilágosítást adunk mindazon lépésekről, melyekkel az érintett megvédheti magát a jogsértés következményeitől. Az érintett részére adott tájékoztatást minden esetben külön üzenet formájában (e-mailen, ennek hiányában postai levél útján) továbbítjuk.

Felhívjuk az érintettek figyelmét, hogy nem szükséges az érintett adatvédelmi jogsértésről való tájékoztatása, ha:

  • megfelelő technikai és szervezési védelmi intézkedéseket hajtottunk végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmaztuk;
  • az adatvédelmi jogsértést követően olyan további intézkedéseket tettünk, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján (honlapunkon közlemény közzétételével vagy sajtóközlemény kibocsátásával) tájékoztatjuk, vagy hasonló intézkedést teszünk, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

IV. Záró rendelkezések

1. A jelen Szabályzatban nem szabályozott kérdésekben a mindenkor hatályos Adatkezelési Szabályzat rendelkezései az irányadók azzal, hogy a jelen Szabályzat és az Adatkezelési Szabályzat közötti bármely eltérés esetén az Adatkezelési Szabályzatban foglaltak az irányadók.

2. A jelen Szabályzattal kapcsolatosan felmerülő bármely kérdés vagy észrevétel esetén az alábbi elérhetőségeken állunk rendelkezésére:

3. Levelezési cím: Sicontact Kft. - 1106 Budapest, Örs vezér tér 25/C. 4. em.

4. Ügyfélszolgálat: info@sicontact.hu

5. Honlapunkon: https://www.eset.com/hu/rolunk/kapcsolat/

6. A jelen Adatvédelmi Incidens Kezelési Szabályzat a Társaságunk általi közzététellel (honlapunkon való elhelyezéstől) hatályosul és határozatlan időtartamra szól (visszavonásig vagy későbbi módosított Szabályzat közzétételével veszti hatályát).

7. Jelen Szabályzat elfogadásával Ön kifejezetten elfogadja, hogy Adatkezelőként bármikor jogosultak vagyunk a Szabályzat egyoldalú módosítására azzal, hogy a módosítást legkésőbb annak hatályba lépésének napján honlapunkon nyilvánosságra hozzuk  és az érintettek számára megismerhetővé tesszük.

Jelen szabályzat 2018. május 25 napjától hatályos.