Incidenskezelési szabályzat
Incidenskezelési szabályzat
| ADATKEZELŐ ADATAI | |
| Név: Székhely: Kapcsolati adatok: Cégjegyzékszám: Adószám: Bankszámlaszám: Nyilvántartásba vételt elrendelő hatóság | Simon-Tóth Olívia E.V. 6328 Dunapataj, Arany János utca 2/a info@beleszsiraf.hu 58926130 49158575-2-23 Kecskeméti Törvényszék Cégbírósága |
összhangban az adatbiztonsági és adatvédelmi rendelkezésekkel, megalkotta az alábbi Incidenskezelési Szabályzatot (a továbbiakban: Incidenskezelési Szabályzat).
- Adatvédelmi incidens fogalma
Az általános adatvédelmi rendelete 4. cikk 12. pontja szerint: „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
- Az Incidenskezelési Szabályzat célja
A jelen Incidenskezelési Szabályzat elsődleges célja, hogy a szabályokat hozzon az esetlegesen bekövetkező adatvédelmi incidensek kezelésére, elhárítására, illetve adatvédelmi incidensek esetén teendő intézkedésekre.
- Az Incidenskezelési Szabályzat hatálya
Az Incidenskezelési Szabályzat időbeli hatálya: a hatálybalépésétől számított határozatlan ideig, illetve visszavonásig érvényes.
Személyi hatálya kiterjed mindenkire, akinek jogát vagy jogos érdekét az adatvédelmi incidens érinti.
Tárgyi hatálya kiterjed az Adatkezelőnél bekövetkezett minden adatvédelmi incidensre.
- Adatkezelő kötelezettségei
Az Adatkezelő az adatvédelmi incidenseket kockázati besorolás szerint értékeli. A kockázati besorolások az alábbiak:
- alacsony kockázat
- közepes kockázat
- magas kockázat
Az Adatkezelő a fenti kockázati besorolásokhoz az alábbi kötelezettségeket rendeli:
Adatkezelő a kockázati besorolások mérlegeléséhez az alábbi lehetséges eseteket azonosította:
Ezen lehetséges eseteken kívüli egyéb esetek felmerülése esetén az Adatkezelő az adott eset körülményeire tekintettel egyedileg azonosítja a kockázat mértékét, és ennek megfelelő kockázati besorolást alkalmaz.
- Bejelentési kötelezettség
Amennyiben a 4. pont alapján Adatkezelő a bejelentési kötelezettség mellett dönt, azt az alábbiak szerint kell teljesíteni:
Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az Adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az Adatkezelőnek.
4.1.2.A bejelentés tartalma
Az adatvédelmi incidens bejelentésnek tartalmaznia kell az alábbiakat:
- ismertetni kell az adatvédelmi incidens jellegét, ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
- Az incidens nyilvántartás
Az Adatkezelő az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.
Az Incidens Nyilvántartás megőrzése az alábbiak szerint történik:
- személyes adatokat érintő incidens esetében 5 évig,
- különleges adatokat érintő incidens esetében 20 évig kell megőrizni.
Az Incidens Nyilvántartás nem tartalmazhat érintetti személyes adatokat.
Az Incidens Nyilvántartás a jelen Incidenskezelési Szabályzat mellékletét képezi.
- Az érintett tájékoztatása
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, valamint az incidensből eredő következményeket, és azok orvoslására tett intézkedéseket.
A tájékoztatás mellőzhető, ha:
- ha az Adatkezelő megfelelő technikai és szervezési intézkedéseket hajtott végre, melyeket ténylegesen alkalmaztak is,
- ha az Adatkezelő olyan technikai és szervezési intézkedéseket tett, melyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban nem valósul meg,
- az érintettek tájékoztatása aránytalan erőfeszítést tenne szükségessé. Ez esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy az érintettek hatékony tájékoztatását biztosító más hasonló intézkedést kell hozni.
- Incidens kezelésével megbízott személyek
Az adatvédelmi incidenst külön erre felhatalmazott személy, az adatvédelmi feladatkört ellátó megbízott jelenti be. Ő felelős az incidens kezelésével kapcsolatos adminisztratív intézkedések megtételéért is.
Az adatvédelmi incidensről és a megtett intézkedésekről a cégvezetőt, illetve az ügyvezetőt haladéktalanul értesíteni kell.
Informatikai rendszert érintő incidens esetén az informatikai vezetőt és a rendszegazdát is értesíteni kell, illetve a lehetséges elhárító intézkedéseket velük koordinálva kell teljesíteni.
Amennyiben az incidens elhárítása érdekében más, további szakterület bevonása is szükséges, az incidens kezelésével megbízott személy erről gondoskodik és az ügyvezetőt (cégvezetőt) erről értesíti. Indokolt esetben incidenskezelési csapat felállítására is szükség lehet. Az incidenskezelési csapat vezetője a jelen pont szerint az adatvédelmi incidens kezelésére felhatalmazott személy.
- Incidens riport
Az Adatkezelőnél felmerült minden incidensről incidens riport készül. Az incidens riport tartalmazza az incidenssel kapcsolatos valamennyi lényeges körülményt, így:
- az incidens bekövetkeztének ideje, helye
- érintett személyes adatok köre, darabszáma
- incidenssel érintettek száma
- incidens leírása
- incidens oka
- incidens következményeinek értékelése
- döntés a bejelentésről, vagy annak mellőzéséről, és a döntés indokai
- az incidens elhárítása érdekében tett intézkedések értékelése, tanulságok kimondása
Fizetés
Az online bankkártyás fizetések a Barion rendszerén keresztül valósulnak meg. A bankkártya adatok a kereskedőhöz nem jutnak el. A szolgáltatást nyújtó Barion Payment Zrt. a Magyar Nemzeti Bank felügyelete alatt álló intézmény, engedélyének száma: H-EN-I-1064/2013.
- Az ÁSZF megfelel a törvényi szabályozás előírásainak.
Az Adatkezelő fenntartja a jogot, hogy a jogszabályi változások tükrében a jelen Incidenskezelési Szabályzatot egyoldalúan módosítsa a jogszabályi megfelelés biztosítása érdekében.
Budapest, 2024.05.18.