Adatvédelmi incidens szabályzat

Belatiny Sörmanufaktúra, Pezsgőkészítő és Szeszipari Korlátolt Felelősségű Társaság 

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

1. Az adatvédelmi incidens bejelentése

Amennyiben a Társaság dolgozója a Társaság által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst észlel, azt köteles haladéktanul jelenteni a cég vezetőjének.

Ilyen incidens, amennyiben:

  • személyes adathoz jogosulatlan hozzáférést,
  • személyes adat jogosulatlan megváltoztatását,
  • személyes adat jogosulatlan továbbítását,
  • személyes adat jogosulatlan nyilvánosságra hozatalát,
  • személyes adat jogosulatlan törlését vagy megsemmisítését, vagy
  • véletlen megsemmisülését vagy sérülését észleli.

Amennyiben az adatvédelmi incidens érinti az informatikai rendszert, úgy a Társaság vezetőjén kívül az informatikai rendszerért felelős vezetőt is tájékoztatni kell. A Társaság vezetője intézkedik az eset kivizsgálására.
Ha az adatfeldolgozó cégnél történik adatvédelmi incidens, abban az esetben az adatfeldolgozó haladéktalanul köteles jelenteni az incidenst az adatkezelő Társaságnak.

2. A bejelentés megvizsgálása és az incidens kezeléseA Társaság vezetője, illetve az általa a vizsgálattal megbízott személy a bejelentést megvizsgálja. A vizsgálat során a bejelentőtől az incidenssel kapcsolatban adatszolgáltatást kér, amelyet a bejelentő köteles haladéktalanul, de legkésőbb 2 munkanapon belül teljesíteni.

A bejelentő adatszolgáltatásának tartalmaznia kell:

  • az incidens bekövetkezésének időpontját és helyét,
  • az incidens leírását, körülményeit és hatásait,
  • az incidens során kompromittálódott adatok körét és számosságát,
  • a kompromittálódott adatokkal érintett személyek körét,
  • az incidens elhárítása érdekében tett intézkedések leírását,
  • a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

Amennyiben az adatszolgáltatás alapján az adatvédelmi incidens vizsgálatot igényel, annak végrehajtása a Társaság vezetőjének a felelőssége. A vizsgálat elvégzésével a Társaság vezetője felelős személyt bízhat meg.

Az adatszolgáltatás alapján a Társaság vezetője – illetve az általa a vizsgálattal megbízott személy – javaslatot tesz azadatvédelmi incidens elhárításához szükséges intézkedésekre az adatok kezelését vagy feldolgozását végző szakterületnek, illetve személyeknek.A javaslat alapján a megvalósítandó további intézkedésekről a Társaság vezetője dönt szükség esetén az illetékes adatkezelő vagy feldolgozó szakterület vezetőjének bevonásával.

Adatvédelmi incidens esetén a Társaság késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig részletekben is közölni lehet.

3. Az érintettek tájékoztatása

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Társaságnak indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről.

A tájékoztatásban az érintett részére világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az alábbiakat:

  • az incidensről további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit,
  • az adatvédelmi incidensből eredő valószínűsíthető következményeket, valamint
  • a cég által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

a Társaság megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre és ezeket az intézkedéseket azadatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,

a Társaság az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg,

a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket a cégnek nyilvánosanközzétett információk útján kell tájékoztatnia vagy olyan hasonló intézkedést kell hoznia, amely biztosítja azérintettek hasonlóan hatékony tájékoztatását.
Amennyiben a Társaság még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság – miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e – elrendelheti az érintett tájékoztatását.

4. Az incidens nyilvántartása

Az adatvédelmi incidensekről a Társaságnak nyilvántartást kell vezetnie, az abban szereplő adatokat:

  • személyes adatokat érintő incidens esetében 5 évig,
  • különleges adatokat érintő incidens esetében 20 évig meg kell őrizni.

4. Főbb irányadó jogszabályok

A természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679rendelete (GDPR)
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)

Shopping Cart