Adatvédelmi szabályzat

Adatvédelmi szabályzat

Felelős: Karrier Job vezetőség

Tartalomjegyzék

1. Cél
2. Hatáskör
3. Általános iránymutatások.
4. Fogalommeghatározások.
5. Kapcsolat az alkalmazandó jogszabályokkal
5.1. Az alkalmazandó jogszabályoknak való ellentmondás esetén alkalmazandó eljárás.
6. A személyes adatok kezelésére vonatkozó általános alapelvek.
6.1. Az érintettek jogai
6.2. Átlátható tájékoztatás az adatkezelés céljáról
6.2.1. Az adatkezelés minimalizálása.
6.3. Az érintett hozzájárulása.
6.4. Adatvédelmi hatásvizsgálat
7. Adatbiztonság.
7.1. A személyes adatok különleges kategóriái
8. A személyes adatok továbbítása.
9. Az illetékes adatvédelmi hatóságokkal való együttműködés.
10. Megfelelőség.

A dokumentum tervezett felülvizsgálatai

E dokumentum felülvizsgálatára és frissítésére a következők szerint kerül sor:

Éves felülvizsgálat

A szervezetnél bekövetkezett bármely jelentősebb változás esetén

1. Cél

A Karrier Job szervezetei, a személyes adatok kezelésének céljait és módszereit meghatározó szervezetekként („adatkezelőkként”) kötelesek biztosítani a jelen Adatvédelmi Szabályzatban foglalt alapelvek betartását. Ebben a tekintetben a Karrier Job vezető beosztású alkalmazottai kötelesek gondoskodni a jelen Adatvédelmi Szabályzat bevezetéséről, különös tekintettel az alkalmazottak ezzel kapcsolatos tájékoztatására. A Karrier Job adatkezelői kötelesek az ezen szabályokra, valamint a magánélet védelmét érintő és adatvédelmi kötelezettségekre vonatkozó, megfelelő képzésben részesíteni az olyan munkatársakat, akik a személyes adatok gyűjtésben vagy a személyes adatok kezelésére használt eszközök fejlesztésében érintett személyes adatokhoz állandó vagy rendszeres hozzáféréssel rendelkeznek.

A Karrier Job és tagvállalatai komolyan veszik a személyes adatok védelmét, és napi munkájuk során mindent megtesznek, hogy biztosítsák a jogszerű, tisztességes és átlátható adatkezelést. Jelen Adatvédelmi Szabályzat iránymutatásokat és alapelveket fogalmaz meg a személyes adatok Karrier Jobon belüli kezelésére vonatkozóan, az üzleti partnerek, megbízók, álláspályázók, alkalmazottak és egyéb érintettek személyes adatok kezelésével kapcsolatos védelmének biztosítása céljából.

2. Hatáskör

Ez az Adatvédelmi Szabályzat az alábbiakra vonatkozik:

A Karrier Job minden szervezete: A Karrier Job kiegészítheti ezeket az alapelveket olyan további szabályzatok és nyilatkozatok kiadásával, melyek összhangban vannak a jelen Adatvédelmi Szabályzattal. Abban az esetben, ha jelen Adatvédelmi Szabályzat érvényét veszti, a jelen Adatvédelmi Szabályzat rendelkezései továbbra is kötelező erejűek a Karrier Job minden szervezetére az olyan személyes adatok tekintetében, amelyeket az érvényesség elvesztése előtt bocsátottak a rendelkezésükre, tekintet nélkül az érvénytelenné válás okaira;

A személyes adatok Karrier Job általi vagy annak megbízásából történő kezelése: Alkalmazottak, megbízók, szolgáltatók, egyéb szerződött partnerek, jogalanyok és egyéb felek kezelhetik a személyes adatokat a Karrier Job nevében, tekintet nélkül ezen adatok származására. Csak az arra jogosult munkatársak vehetnek részt a személyes adatok kezelésében, akik kötelezettséget vállaltak az adatokkal kapcsolatos titoktartási követelmények betartására. Tilos számukra ezen adatok magáncélú felhasználása, vagy azok jogosulatlan személyek/szervezetek rendelkezésére bocsátása. Ebben az összefüggésben „jogosulatlan hozzáférésnek” minősül az is, ha a személyes adatokat olyan munkatársak használják, akiknek munkaköri kötelezettségeik teljesítése céljából nincsen szükségük az ezekhez való hozzáférésre.

Az adatfeldolgozó köteles betartani jelen Adatvédelmi Szabályzat általános irányelveit. A Karrier Job valamely szervezetének (mint adatkezelő) nevében végrehajtott adatkezelés vonatkozásában a jelen Adatvédelmi Szabályzat követelményeinek való megfelelést biztosítandó, egy adatfeldolgozó kezelési tevékenységgel való megbízásakor az adatkezelőnek csak olyan adatfeldolgozó szolgáltatását szabad igénybe vennie, aki kellő mértékben garantálni tudja a jelen Adatvédelmi Szabályzat követelményeinek (beleértve az adatkezelés biztonságára vonatkozó követelményeket is) megfelelő technikai és szervezeti intézkedések életbe léptetését, különös tekintettel a szaktudásra, megbízhatóságra és erőforrásokra.

3. Általános iránymutatások

Ez a szakasz a Szabályzat megállapításainak értelmezésére és végrehajtására vonatkozó általános iránymutatásokat tartalmaz.

Ez egy általános érvényű Szabályzat, amely a Karrier Jobnak a Szabályzat hatálya alá tartozó helyszínein megvalósítandó és betartandó minimális, alapvető adatbiztonsági követelményeket írja le.

A Szabályzatban foglalt követelményeknek való megfelelés érdekében a Karrier Job helyszínei dönthetnek egyes előírásoknak a testre szabása mellett a helyi jogszabályoknak vagy követelményeknek való megfelelés céljából, létre hozva ezzel egy helyszínspecifikus Szabályzatot.

Ha egy adott Karrier Job-helyszínre érvényes adatbiztonsági és személyesadat-védelmi törvények és rendeletek ellentétesek a jelen Szabályzat követelményeivel, illetve annál magasabb szintű követelményeket írnak elő, a helyi jogszabályok vagy követelmények a jelen Szabályzat megállapításainak helyébe lépnek.

E Szabályzat megállapításai kötelezően betartandó követelményeknek tekintendők. Annak érdekében, hogy fel lehessen tüntetni bármely további, e témakörben alkalmazandó kontrollokat, a Szabályzat egyes rendelkezései magukban foglalják az „adott esetben/amennyiben alkalmazható” vagy „a technikai megvalósíthatóságnak megfelelően” kifejezéseket. A Karrier Job felhasználói számára ajánlott a jelen Szabályzat hatálya alá tartozó rendszereik esetében megfontolni ezen kontrollokat egy üzleti/technikai megvalósíthatósági elemzés révén.

E Szabályzat a hatálya alá tartozó rendszerek összes felhasználójára vonatkozik. A megfelelő informatikai biztonsági csoportok hivatkozhatnak e Szabályzatra, és jogukban áll annak betartatása.

E Szabályzat „Kapcsolódó eljárások és iránymutatások” című szakaszában megtalálhatóak azok az ajánlott eljárások, melyek dokumentálása elősegítheti a Szabályzat bevezetését.

A „Szerepkörök és felelősségi körök” című szakasz csak a szerepkörök és felelősségi körök tájékoztató jellegű listáját tartalmazza. Az egyes csoportok összetétele a Karrier Job helyi csapatának szervezeti felépítésétől függően változhat.

4. Fogalommeghatározások

Az alábbi táblázat tartalmazza a jelen Szabályzatban gyakran előforduló kifejezések és rövidítések meghatározását.

Kifejezés vagy rövidítés
Meghatározás
Bizalmas kezelés

Adatokhoz való engedélyezett hozzáférés vagy engedélyezett adatközlés. A bizalmas kezelés értelmében az adatokat tilos jogosulatlan személyek, szervezetek vagy folyamatok rendelkezésére bocsátani vagy azok számára felfedni.

Adatkezelő

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

Adatfeldolgozó

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Adatvédelmi hatásvizsgálat (DPIA)

Az adatvédelmi hatásvizsgálat olyan eljárás, melynek célja az adatkezelés leírása, a kezelés szükségességének és arányosságának felmérése, valamint a természetes személyek jogait és szabadságait érintő, személyes adatok kezeléséből származó kockázatok kezelése (azok felmérése és a kezelésükhöz szükséges intézkedések meghatározása révén).

Adatvédelmi tisztviselő (DPO)

Az adatkezelő vagy adatfeldolgozó által kijelölt személy, aki az általános adatvédelmi rendelet megvalósításával kapcsolatos tanácsadói szolgáltatásokat nyújt.

Érintett

Az érintett olyan személy, aki a személyes adatok tárgyát képezi. Másképpen kifejezve az érintett az a személy, akire a személyes adatok vonatkoznak.

Általános adatvédelmi rendelet (GDPR)

Az általános adatvédelmi rendelet (GDPR) révén az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság az Európai Unióban (EU) tartózkodó összes személyre vonatkozó adatvédelmet kívánja megerősíteni és egységessé tenni.

Adatvédelmi incidens

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Személyes azonosításra alkalmas adatok

Olyan adatok, amelyek önmagukban vagy más adatokkal együtt alkalmasak egy adott személy azonosítására, a vele való kapcsolatfelvételre vagy a tartózkodási helyének meghatározására, illetve egy adott személy valamilyen összefüggésben való azonosítására. Személyes azonosításra alkalmas adatnak minősül például a teljes név (ha az nem gyakori), a lakcím, a telefonszám, a születési dátum, a tartózkodási cím, stb.

Személyes adat

A személyes adat azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Különleges személyes adatok

A különleges személyes adatok meghatározásuk szerint olyan adatok, amelyek elvesztése, sérülése vagy közzététele az érintett személynek jelentős kárt, szégyent, kellemetlenséget vagy méltánytalanságot okozhat. Különleges személyes adatnak minősülnek többek között az egészségügyi dokumentációk, a nemi identitás, stb.

Felügyeleti hatóság

A felügyeleti hatóság egy tagállam által az általános adatvédelmi rendelet 51. cikkének megfelelően létrehozott független közhatalmi szerv.

5. Kapcsolat az alkalmazandó jogszabályokkal

Az érvényben lévő nemzeti és nemzetközi jogi kötelezettségek az irányadóak a jelen Adatvédelmi Szabályzat rendelkezéseivel szemben.

Ebből kifolyólag a személyes adatok minden címzettje köteles ellenőrizni, hogy vannak-e érvényben az ő felelősségi körére vonatkozó ilyen szabályozások, és gondoskodni azok betartásáról. Az olyan országokban azonban, ahol a személyes adatok kezelésére vonatkozó, nemzeti vagy nemzetközi jogszabályok értelmében meglévő adatvédelmi követelmények a jelen Adatvédelmi Szabályzat követelményeinél kevésbé szigorúak, e Szabályzat az irányadó. Egyes országokban az adatvédelmi hatóságok előírják az adatkezelő általi értesítést és/vagy regisztrációt a személyes adatok bármilyen részben vagy teljesen automatizált kezelésének végrehajtását megelőzően. A Karrier Job szervezeteinek felelőssége az adott országban érvényes értesítési és regisztrációs kötelezettségeknek való megfelelés. A személyes adatok kormányzati hatóságoknak vagy ügynökségeknek való továbbítása csak a vonatkozó nemzeti jogszabályok betartása mellett megengedhető.

5.1. Az alkalmazandó jogszabályoknak való ellentmondás esetén alkalmazandó eljárás

Ha a Karrier Job valamely szervezete okkal feltételezi, hogy jogi kötelezettségei megakadályozzák a jelen Adatvédelmi Szabályzat szerint fennálló kötelezettségei teljesítésében, azonnal értesítenie kell a jogi részleget kivéve, ha ezt a nemzeti jog értelmében valamely bűnüldöző szerv tiltja. A Karrier Job szervezeteinek:

a részleggel való egyeztetést követően felelős döntést kell hozniuk az érintett ügyben, valamint ha szükséges, ennek megfelelően értesíteniük kell a nemzeti adatvédelmi hatóságot;

a jelen Adatvédelmi Szabályzat irányelveinek való megfelelést biztosító szabályzatokat és eljárásokat kell megalkotniuk és bevezetniük.

6. A személyes adatok kezelésére vonatkozó általános alapelvek

6.1. Az érintettek jogai

A Karrier Job szervezetei az érintett szempontjából jogszerű, méltányos és átlátható módon kezelik a személyes adatokat. A kezelés jogszerűsége csak az érintett alábbi jogainak biztosításáig terjed: az érintett hozzáférési joga, a helyesbítéshez való jog, a törléshez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog, a tiltakozáshoz való jog és az automatizált döntéshozatal egyedi ügyekben.

6.2. Átlátható tájékoztatás az adatkezelés céljáról

Az érintettet előzetesen tájékoztatni kell az adatkezelés céljáról. A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.

6.2.1. Az adatkezelés minimalizálása

A személyes adatok kezelésének az adott cél eléréshez szükségszerűnek kell lennie. A személyes adatok kezelésének időtartama nem lehet hosszabb az adott cél eléréséhez feltétlenül szükséges időtartamnál. Ha van lehetőség a személyes adatok anonimizálására, azt a folyamat korai szakaszában végre kell hajtani, amennyiben ez lehetséges, és a művelet költsége arányban áll a védelmi céllal.

6.3. Az érintett hozzájárulás

A személyes adatok kezelése csak akkor engedélyezett, ha az érintett ehhez hozzájárulását adta, vagy pedig ha a kezelés helyén érvényes jogszabályok értelmében ez megengedhető. Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a rá vonatkozó személyes adatok kezeléséhez. A hozzájárulási nyilatkozatot ki kell emelni, amennyiben más nyilatkozatok részét képezi, ezáltal egyértelművé téve a jelenlétét az érintett előtt.

6.4. Adatvédelmi hatásvizsgálat

Az általános adatvédelmi rendelet nagy hangsúlyt helyez az adatkezelő elszámoltathatóságára. Ebből kifolyólag az adatkezelőt és az adatfeldolgozót nagyobb fokú felelősség terheli a személyes adatok védelmét illetően. Ennek érdekében szükséges egy, a személyes adatok védelmét veszélyeztető kockázatokon alapuló megközelítés alkalmazása a személyes adatok védelmét szolgáló intézkedések alkalmasságának megítélésekor.

Az általános adatvédelmi rendelet 35. cikke határozza meg a személyes adatok védelmére gyakorolt hatások adatvédelmi hatásvizsgálat révén történő elemzését, ezen megközelítés támogatása céljából.

Az adatvédelmi hatásvizsgálat célja a személyes adatok kezeléséből származó kockázati kitettségi szint azonosítása, valamint az adatkezelés szükségességének és arányosságának elemzése.

Az általános adatvédelmi rendelet értelmében a hatásvizsgálatnak legalább az alábbi elemekből kell állnia:

az előre látható adatkezelési műveletek és az adatkezelés céljainak leírása;

az adatkezelési műveletek szükségességi és arányossági vizsgálata az adatkezelés céljainak tekintetében;

az érintett alapvető jogait és szabadságait érintő kockázatok vizsgálata;

az előre látható, kockázatok kezelését célzó intézkedések és a személyes adatok védelmére szolgáló mechanizmusok.

Az adatvédelmi hatásvizsgálat vonatkozhat egyetlen eljárásra, vagy több megegyező művelet elemzésére az adatkezelés jellegének, hatókörének, körülményeinek, céljainak és kockázatainak tekintetében.

Az adatvédelmi hatásvizsgálatot az adatkezelés megkezdése előtt kell elvégezni! Emellett szükség van az adatvédelmi hatásvizsgálat folyamatos felülvizsgálatára is, ami a vizsgálat rendszeres időközönkénti megismétlését jelenti.

A Karrier Job fogja meghatározni az alábbiak esetében alkalmazandó hivatalos folyamatokat és eljárásokat:

az adatvédelmi hatásvizsgálat szükségességének megítélése;

annak megítélése, hogy szükség van-e az adatvédelmi tisztviselő (ha van kinevezve) bevonására;

annak eldöntése, hogy mely részlegek vesznek részt a folyamatban;

az adatvédelmi hatásvizsgálatnak a teljes szervezetre kiterjedő, megfelelő végrehajtásához szükséges eszközök biztosítása;

az előre látható kockázatok kezelését célzó intézkedések meghatározása;

a felügyeleti hatóság bevonási módjának meghatározása olyan esetben, ha a vizsgálat eredménye alapján az adatkezelés magas kockázattal járna az érintett jogaira és szabadságaira nézve.

7. Adatbiztonság

A Karrier Job szervezeteinek megfelelő technikai és szervezeti intézkedéseket kell bevezetniük a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése, és a hozzájuk való jogosulatlan hozzáférés elleni védelem céljából. Ezen intézkedéseknek elsődlegesen az IKT-rendszerekre (azaz szerverekre, kliensekre, munkaállomásokra, hálózatokra, kommunikációs kapcsolatokra, operációs rendszerekre, adatbázisokra és alkalmazásokra) kell vonatkozniuk. A Karrier Job által a személyes adatok jogosulatlan kezelésének elkerülése céljából bevezetett intézkedések közé tartoznak többek között az alábbiakra vonatkozó kontrollok: információbiztonsági kontrollok (fizikai és logikai hozzáférések), az adatok adatkezelő rendszerekbe való bevitele, az adatok adatkezelő rendszereken belüli kezelése, az adatok adatkezelő rendszerekből történő kinyerése, valamint az adatok különböző adatkezelő rendszerek közötti továbbítása.

7.1. A személyes adatok különleges kategóriái

A személyes adatok különleges kategóriái (avagy „különleges adatok” vagy „érzékeny adatok”) magasabb fokú védelmet igényelnek: gyűjtésük és kezelésük általánosságban tilalom alatt áll. A különleges adatok kategóriájának és a tervezett felhasználásukkal járó kockázatoknak megfelelő biztonsági intézkedéseket kell tenni az ilyen adatok kezelésekor (pl. álnevesítés, műszaki biztonsági eszközök használata, titkosítás és a fizikai hozzáférhetőség korlátozása).

8. A személyes adatok továbbítása

A személyes adatok nemzeti határokon átnyúló továbbítása csak akkor megengedhető, ha az adatok megfelelő védelem alatt állnak, vagy a Karrier Jobnak az adatok kezelését végző szervezete megfelelő garanciát képes nyújtani a továbbított adatok érintettjei magánszférájának védelme tekintetében. Jelen Adatvédelmi Szabályzat biztosítja, hogy a Karrier Job minden szervezete megfeleljen ezen követelménynek, az alábbi esetek valamelyikében:

az Európai Unióból (EU) harmadik országba (minden EU-n kívüli ország) történő adattovábbítás: Ha a címzett nem a Karrier Job szervezete, biztosítani kell, hogy a jelen Adatvédelmi Szabályzat a címzettre is megfelelően érvényes legyen. A Karrier Job személyes adatok továbbítását végző szervezetének a címzett által elkövetett esetleges szabálysértés esetén meg kell tennie a megfelelő intézkedéseket;

harmadik országon belüli vagy harmadik országok közötti adattovábbítás: Az EU-ból harmadik országban található címzettnek továbbított személyes adatok ismételt, az adott harmadik országon belüli vagy más harmadik országba történő továbbítása csak akkor engedélyezett, ha a harmadik ország megfelelő adatvédelmi normákkal rendelkezik. Azt az EU-ban található székhelyű Karrier Job-szervezetet, amely a személyes adatokat továbbította, minden esetben értesíteni kell a személyes adatok ismételt, az adott harmadik országon belüli vagy más harmadik országba történő továbbítása előtt.

9. Az illetékes adatvédelmi hatóságokkal való együttműködés

A helyi adatvédelmi hatóságoktól érkező adatközlési megkeresésekre a helyi Karrier Job-szervezet – valamint az egyéb kapcsolt vállalkozások, amelyek számára a szervezet adatokat továbbít az EU-n kívülre – kötelesek válaszolni, amennyiben ezen megkeresések megfelelnek az alkalmazandó törvényeknek és rendeleteknek, és az ezen Adatvédelmi Szabályzatnak való, adott országon belüli megfelelőséghez vagy a szervezet által átadott személyes adatokhoz kapcsolódnak.

A Karrier Job szervezete köteles együttműködni egymással és segíteni egymást a magánszemélyektől érkező megkeresések vagy panaszok, illetve az adatvédelmi hatóságok által elrendelt vizsgálatok vagy nyomozások kezelésében.

10. Megfelelőség

A Karrier Job adatkezelők jelen Adatvédelmi Szabályzat előírásainak való megfelelését a Karrier Job értékeli és vizsgálja, valamint jelentéseket készít arról. Ezt az auditot a belső audit csoportnak, illetve egy akkreditált külső audit csoportnak rendszeresen el kell végeznie. Minden audit eredményét továbbítani kell az illetékes igazgatóságnak. Ha az audit során a jelen Adatvédelmi Szabályzat előírásainak be nem tartására derül fény, az illetékes üzleti vezetőnek ezek orvoslására irányuló intézkedéseket kell terveznie és bevezetnie.

Az érintettek a személyes adatok kezelésével kapcsolatos bármely kérdésükkel vagy panaszukkal bármikor fordulhatnak a Karrier Jobhoz vagy a helyi képviselőjükhöz. Ezen megkeresések és panaszok kezelése bizalmas módon történik.

Ha valamely érintett által benyújtott kérdés vagy panasz az Adatvédelmi Szabályzat feltételezett, az érintett tartózkodási helyétől eltérő országban található székhelyű Karrier Job-szervezet általi megsértésével kapcsolatos, az érintettnek módjában áll azzal a Karrier Job-szervezettel kapcsolatba lépni, amely az adatokat továbbította. Amennyiben a feltételezett szabálysértés valósnak bizonyul, az ügyben érintett Karrier Job-szervezetek kötelesek együttműködni a megfelelő felekkel (pl. adatvédelmi hatóságok, egyéb szervezetek) a szabálysértés orvoslása érdekében, jelen Adatvédelmi Szabályzatnak megfelelően. Ezen alapelveknek az érintettek számára elérhetővé tétele céljából jelen Adatvédelmi Szabályzat aktuális változatát megfelelő módon elérhetővé kell tenni minden érintett számára, pl. az intraneten vagy az interneten keresztül.