3. Adatbiztonsági intézkedés

3.1 Adatbiztonság, munkavállalói kötelezettségek:

Az Adatkezelő és a nevében eljáró adatfeldolgozó(k) a tudomány és a technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint az érintettek jogainak megfelelő technikai és szervezési intézkedéseket hajt végre, melynek alapját az alábbiak képezik.

Az Adatkezelő felelőssége és kötelessége a megfelelő technikai biztonságot nyújtó informatikai háttér biztosítása és ennek folyamatos karbantartása, a szükséges szakértő(k) bevonásával.

Az Adatkezelő a munkavállalói számára előírt és az alábbiakban részletezett adatkezelési szabályok betartását jogosult bármikor ellenőrizni.

A személyes adatokat tartalmazó iratokat kezelő munkavállaló a nála lévő iratokat köteles munkaidőn túl – és amelyeket lehetséges munkaidőben is – elzárt helyen tartani. Munkaidőben iratok csak a munkavégzés céljából és a munkavégzéshez szükséges időtartamban lehetnek a munkavállalónál.

A személyes adatokat tartalmazó iratokat kezelő munkavállalók irodai helyiségüket és az irat és adattárolásra használt berendezéseket munkaidőben fokozott gondossággal kötelesek őrizni. E munkavállaló köteles a számítógépét és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg. Köteles továbbá a munkaidő végeztével a számítógépet kikapcsolni és az Ügyvédi Iroda ajtaját becsukni, illetve bezárni.

A személyes adatokat tartalmazó iratok elektronikus úton, illetve az abban foglalt adatok telefonon csak kellő körültekintéssel továbbíthatók.

Akár a személyes adatokat tartalmazó iratokat kezelő munkavállalónál, vagy egyéb az Ügyvédi Iroda bármely helyiségében lévő iratba az érintett munkavállalókon kívül más személy – a vonatkozó jogi szabályok szerint – csak akkor tekinthet be, ha ezt jogszabály lehetővé teszi. A betekintési jog gyakorlása során úgy kell eljárni, hogy ez által mások személyes adatainak védelméhez fűződő jogai, illetve személyiségi jogai ne sérülhessenek. Ezen rendelkezést kell alkalmazni a másolat, kivonat készítésekor is.

Az Adatkezelő és az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető - így különösen az érintettek különleges adatainak kezelésével járó - kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz.

Az intézkedések kialakítása és végrehajtása során az Adatkezelő és az adatfeldolgozó figyelembe veszi az adatkezelés összes körülményét, így különösen a tudomány és a technológia mindenkori állását, az intézkedések megvalósításának költségeit, az adatkezelés jellegét, hatókörét és céljait, továbbá az érintettek jogainak érvényesülésére az adatkezelés által jelentett változó valószínűségű és súlyosságú kockázatokat.

Az Adatkezelő és – tevékenységi körében – az adatfeldolgozó az adatvédelmi intézkedésekkel biztosítja

- az adatkezeléshez használt eszközök (a továbbiakban: Adatkezelő rendszer) jogosulatlan személyek általi hozzáférésének megtagadását;
- az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását;
- az Adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását;
- az Adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását;
- azt, hogy az Adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá;
- azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére;
- azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az Adatkezelő rendszerbe;
- a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását;
- azt, hogy üzemzavar esetén az Adatkezelő rendszer helyreállítható legyen; valamint
- azt, hogy az Adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével se lehessen megváltoztatni.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az Adatkezelő, illetve tevékenységi körében az adatfeldolgozó megfelelő műszaki megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok - kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

3.2 Adattovábbítás

A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz kifejezetten hozzájárult, illetve azt kifejezetten kérte, vagy a Rendelet, illetve vonatkozó magyar jogszabály azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.

Személyes adat (beleértve a különleges adatot is) az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére kizárólag a Rendelet V. fejezetében meghatározott feltételek teljesülése esetén, az érintett folyamatos tájékoztatása mellett továbbítható.

Az Info tv. rendelkezéseit – az adattovábbítás tekintetében – az alábbiak szerint alkalmazzuk:

1. Az adattovábbítást megelőzően az Adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó megvizsgálja a továbbítandó személyes adatok pontosságát, teljességét és naprakészségét és azokat kizárólag abban az esetben továbbíthatja, ha az az adattovábbítás céljának megvalósulásához elengedhetetlenül szükséges, és az adattovábbítással egyidejűleg tájékoztatja a címzettet az adatok pontosságával, teljességével és naprakészségével összefüggésben rendelkezésére álló információkról.

2. Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az Adatkezelő vagy az adatfeldolgozó személyes adatot akként vesz át, hogy az adattovábbító Adatkezelő vagy adatfeldolgozó az adattovábbítással egyidejűleg jelzi a személyes adat kezelésének lehetséges célját, kezelésének lehetséges időtartamát, továbbításának lehetséges címzettjeit, érintettje e törvényben biztosított jogainak korlátozását, vagy kezelésének egyéb feltételeit [adatkezelési feltételek].

3. A személyes adatokat átvevő Adatkezelő és adatfeldolgozó (a továbbiakban: adatátvevő) a személyes adatot az adatkezelési feltételeknek megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési feltételeknek megfelelően biztosítja.

4. Az adatátvevő az adatkezelési feltételekre tekintet nélkül is kezelheti a személyes adatot és biztosíthatja az érintett jogait, ha ahhoz az adattovábbító Adatkezelő előzetes jóváhagyását adta.

5. Az adattovábbító Adatkezelőt - kérelmére - az adatátvevő tájékoztatja az átvett személyes adatok felhasználásáról.

6. Az EGT-államba, valamint az Európai Unió működéséről szóló szerződés V. címének 4. és 5. fejezete szerint létrehozott ügynökségek, hivatalok és szervek részére irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

7. Nemzetközi adattovábbítás az általános adatvédelmi rendelet 96. cikkében, valamint a 2016/680 (EU) irányelv 61. cikkében meghatározott nemzetközi szerződések alapján az azokban meghatározott célokból, feltételekkel és adatkörben - azok módosításáig, megszüntetéséig, megszűnéséig vagy alkalmazásuk felfüggesztéséig - az e törvényben meghatározott feltételek hiányában is végezhető.

8. Személyes adatot az e törvény hatálya alá tartozó Adatkezelő vagy adatfeldolgozó harmadik országban, továbbá nemzetközi szervezet keretein belül adatkezelést folytató Adatkezelő vagy adatfeldolgozó részére - a közvetett adattovábbítást is ideértve - akkor továbbíthat (a továbbiakban együtt: nemzetközi adattovábbítás), ha ahhoz az érintett kifejezetten hozzájárult, vagy az az adatkezelés céljának eléréséhez szükséges, valamint annak során az adatkezelésnek az Info. tv. 5. §-ban előírt feltételei teljesülnek, és a harmadik országban, illetve a nemzetközi szervezet keretein belül adatkezelést folytató Adatkezelő vagy adatfeldolgozó tekintetében a továbbított személyes adatok megfelelő szintű védelme biztosított, vagy a nemzetközi adattovábbítás az Info tv. 11. §-ban meghatározott kivételes esetekben szükséges.

3.3 Adattörlés

A célhoz nem kötött, továbbá az olyan adatokat, amelyekre nézve az adatkezelés célja megszűnt vagy módosult haladéktalanul, illetve az adatkezelés alapjául szolgáló jogalap megszűnésével egyidejűleg meg kell semmisíteni.

Az adattörlésre irányadó határidő az egyes jogalapokhoz kapcsolódóan:
a) az érintetti hozzájárulás visszavonása;
b) a szerződés megszűnése, illetve az abból fakadó jogok érvényesítésének, illetve kötelezettségek teljesítésének határideje;
c) a jogi kötelezettség teljesítésére nyitva álló határidő.

A személyes adatokat tartalmazó egyéb iratanyagok megsemmisítéséről szintén a szükséges biztonsági intézkedések mellett kell gondoskodni.

Az elektronikus úton rögzített adatokat, ha céljukat betöltötték további felhasználásuk megakadályozása érdekében felismerhetetlenné, hozzáférhetetlenné kell tenni

Személyes adatokat is tartalmazó iratot vagy más adathordozót (a továbbiakban együtt: irat) az Ügyvédi Irodából kivinni – lmunkaköri feladat ellátásának kivételével – csak indokolt esetben, az Irodavezető ügyvéd előzetes tájékoztatásával és egyetértésével lehet.

Az adatokat tartalmazó iratot az Ügyvédi Iroda területéről kivivő munkavállaló ez esetben is köteles gondoskodni arról, hogy az irat ne vesszen el, ne rongálódjon, vagy semmisüljön meg, és tartalma illetéktelen személy tudomására ne jusson.