Adatvédelmi Irányelvek Dokumentum és Procedúra

1. Cég adatai

Cég neve: Uniomedia Zrt. (a továbbiakban Cég, Cégünk) Székhely: 1026 Budapest, Torockó u. 10. 1.em/1.ajtó Cégjegyzékszám: 01-10-047506 Adószám: 24097129-2-41

Elérhetőségek (email): adatvedelem@uniomedia.com, privacy@rothmanroman.com

2. Bevezető

Ez az adatvédelmi irányelv a Cég által a hatályos magyar és Európai Uniós Általános Adatvédelmi Rendelet (GDPR) előírásainak való megfelelés biztosítására készült.

A GDPR (EU) 2016/679 rendelet 1. cikkének megfelelően célunk a természetes személyek alapvető jogainak és szabadságainak védelme, különös tekintettel a személyes adatok kezelésére.

A dokumentum az adatvédelmi szabályozás átlátható ismertetése mellett az adatkezelési elveinket és gyakorlati megoldásainkat is részletezi. Ennek érdekében különös hangsúlyt helyezünk az adatkezelés céljainak pontos meghatározására, a jogszerű adatkezelési gyakorlat alkalmazására, valamint a megfelelő technikai és szervezési intézkedések bevezetésére, amelyek biztosítják az adatok biztonságát és az érintettek jogainak érvényesítését.

A személyes adatok védelme kulcsfontosságú Cégünk számára, mivel elkötelezettek vagyunk az átlátható, etikus és biztonságos adatkezelési gyakorlatok iránt. Ennek érdekében megfelelünk nemcsak a GDPR rendelkezéseinek, hanem a magyar adatvédelmi törvényeknek is, különös tekintettel a 2011. évi CXII. törvényre (Információszabadságról szóló törvény).

Az irányelv célja, hogy:

  • Meghatározza az adatkezelés alapvető elveit és szabályait.
  • Biztosítsa, hogy a cég valamennyi munkavállalója és partnere tisztában legyen az adatkezelési kötelezettségekkel és jogokkal.
  • Támogassa az érintettek információs önrendelkezési jogának érvényesítését.


Az adatkezelés minden szakaszában elkötelezettek vagyunk a GDPR alapelveinek (GDPR 5. cikk) alkalmazása iránt, amelyek között szerepel az adatok jogszerűsége, tisztességes kezelése, célhoz kötöttsége, adattakarékossága, pontossága, korlátozott tárolhatósága és integritása.

3. Adatvédelmi tisztviselő elérhetőségei

Név: Király Renáta Elérhetőségek: uniomedia@uniomedia.com

Az adatvédelmi tisztviselőnk felelős Cégünknél az adatkezelési tevékenységek ellenőrzéséért, a belső adatvédelmi szabályok érvényesítéséért és az érintettek adatvédelemmel kapcsolatos kérdéseinek kezeléséért. Feladatait a GDPR 37–39. cikkei határozzák meg. A tisztviselő részt vesz a hatósági kommunikációban, valamint javaslatot tesz az adatkezelési gyakorlat folyamatos fejlesztésére.

4. Cégünknél Kezelt adatok

Cégünk által kezelt adatok köre a GDPR 4. cikkében meghatározott személyes adatokra terjed ki.

Az adatkezelés kiterjed:

  • Személyazonosításra alkalmas adatokra: ideértve a nevet, születési dátumot, lakcímet, anyja nevét, valamint személyi igazolványszámot. Ezek az adatok elengedhetetlenek a jogi kötelezettségek teljesítéséhez (GDPR 6. cikk (1) bekezdés c) pont).
  • Kapcsolattartási adatokra: például email címek és telefonszámok, amelyek szükségesek a kommunikáció fenntartásához az érintettekkel (GDPR 6. cikk (1) bekezdés f) pont).
  • Pénzügyi adatokra: például bankszámlaszámok és adószámok, amelyek a szerződéses kötelezettségek teljesítéséhez kapcsolódnak (GDPR 6. cikk (1) bekezdés b) pont).
  • Marketing célú adatokra: ideértve a hírlevél-feliratkozások adatait, amelyeket kizárólag az érintettek előzetes hozzájárulása alapján kezelünk (GDPR 6. cikk (1) bekezdés a) pont).

Az adatkezelési folyamat során kiemelten ügyelünk az adatok pontosságára, relevanciájára és aktualitására, a GDPR 5. cikkében rögzített alapelvek szerint. Az adatok pontossága érdekében:

  • Rendszeres ellenőrzéseket végzünk, hogy az általunk kezelt adatok megfeleljenek az aktuális valóságnak. Például a munkavállalók személyes adatait évente frissítjük, és felhívjuk a figyelmet a változások bejelentésének fontosságára.
  • Az ügyfelek adatait a szerződéses kapcsolat fenntartása érdekében rendszeresen frissítjük, és biztosítjuk számukra a lehetőséget, hogy bármikor jelezhessék az adataikban bekövetkezett változásokat.
  • manuális folyamatokat alkalmazunk annak érdekében, hogy a tárolt adatok teljesek és pontosak legyenek (releváns automatikus folyamataink nincsenek)

5. Beépített adatvédelmi elv alkalmazása

A GDPR 25. cikke által meghatározott beépített adatvédelem elvét Cégünk minden adatkezelési és technológiai folyamatában érvényesíti.

Ez magában foglalja:

  • Adatminimalizálás: Az adatgyűjtési folyamatokat úgy alakítjuk ki, hogy azok csak a konkrét célhoz szükséges adatokat érintsék. Az adatminimalizálás során különösen figyelünk arra, hogy csak olyan információkat tároljunk, amelyek nélkülözhetetlenek az adott feladat vagy jogi kötelezettség teljesítéséhez. Például marketing tevékenységek esetén csak az érintett hozzájárulása alapján kezeljük az email címeket és nem tárolunk felesleges adatokat
  • Hozzáférés korlátozása: Csak azok az alkalmazottak és partnerek férhetnek hozzá a személyes adatokhoz, akiknek munkájuk során erre kifejezetten szükségük van. A hozzáférési jogosultságokat rendszeresen felülvizsgáljuk, és biztosítjuk, hogy azok mindig az aktuális igényekhez igazodjanak.
  • Szigorú jogosultságkezelés: Céges rendszereinkhez való hozzáférés jelszavas védelemmel és Microsoft kétfaktoros hitelesítéssel van ellátva, amely megfelel a GDPR 32. cikkében előírt biztonsági követelményeknek.
  • Adattovábbítás korlátozása: Az adatokat harmadik fél részére kizárólag az érintett előzetes hozzájárulással vagy jogszabályi kötelezettség alapján adjuk át, és csak azokat az információkat osztjuk meg, amelyek az adott cél teljesítéséhez feltétlenül szükségesek.
  • Rendszeres ellenőrzések: Az adatvédelmi megfelelőség biztosítása érdekében rendszeresen (évente) felülvizsgáljuk az adatkezelési folyamatainkat.
    Utolsó felülvizsgálat: 2024. December, verzió 2024.1.1 --> 2024. 1.2.

6. Adatvédelmi hatásvizsgálat

Cégünk nem kezel nagy mennyiségű , vagy magas kockázattal járó személyes adatot, ezért tevékenységeink nem tartoznak a magas kockázatú adatkezelési tevékenységek körébe. Ezért egyelőre nem végzünk előzetes adatvédelmi hatásvizsgálatot.

Ez összhangban van a GDPR 35. és a 2011. évi CXII. törvény 25. §-ával, amely meghatározza, hogy az adatkezelőknek mérlegelniük kell az adatkezelési tevékenységek természetét, terjedelmét és kockázatát a hatásvizsgálatok szükségességének eldöntésekor.

7. Beépített adatvédelem

A beépített adatvédelem a GDPR alapelveit követi, így biztosítja, hogy az adatkezelési folyamataink megfeleljenek az alábbi elveknek:

  • Jogosultságok elkülönítése: Az adatkezelési rendszereinkben szigorúan szabályozzuk az adatokhoz való hozzáférést.
  • Rendszertervezési elvek: Már a rendszerek/folyamatok tervezésekor biztosítjuk, hogy azok az adatvédelem elveinek megfelelően működjenek (pl. adatminimalizálás).

8. Személyes adatok anonimizálása

Cégünk adat anonimizálási folyamattal nem rendelkezik, a jogszabályi kötelezettségünk lejáratakor a személyes adatokat az adott hónap végén töröljük. Microsoft AZURE archiválási rendszerünk hozzáférése rendkívül korlátozott, ezért nem látjuk jelenleg szükségesnek az ott tárolt adatok anonimizálását.

9. Adatvédelmi incidensek kezelése

Az adatvédelmi incidens a GDPR 4. cikkének 12. pontja szerint minden olyan biztonsági eseményt jelent, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy hozzáférését eredményezi. Ezek közé tartozik például egy elveszett adatbázis, egy rossz címzettnek küldött email, vagy egy rosszindulatú támadás következtében bekövetkezett adatlopás.

Az esetleges adatvédelmi incidensek kezelése a GDPR 33. és 34. cikkének megfelelően cégünknél az alábbi lépésekből áll:

  1. Incidens azonosítása és rögzítése

    Az incidens észlelését követően azonnal jelenteni kell az adatvédelmi tisztviselőnek, aki rögzíti az eseményt. A rögzítés tartalmazza az incidens időpontját, típusát, az érintett adatok körét, valamint az észlelés módját.
  2. Értékelés és kockázatfelmérés

    Az adatvédelmi tisztviselő értékeli az incidens lehetséges hatásait az érintettek jogaira.

    Ennek során figyelembe veszi:

    • az érintett személyes adatok jellegét (pl. érzékeny adatok esetén magasabb a kockázat),
    • az érintettek számát,
    • az incidens lehetséges következményeit (pl. személyazonosság-lopás, diszkrimináció, pénzügyi kár).
  3. Hatósági értesítés

    Amennyiben az incidens kockázatot jelent az érintettek jogaira, a GDPR 33. cikke szerint 72 órán belül értesíteni kell az illetékes adatvédelmi hatóságot.

    Az értesítésnek tartalmaznia kell:

    • az incidens jellegét és körülményeit,
    • az érintettek számát és az érintett adatok típusát,
    • az incidens kezelése érdekében tett vagy tervezett intézkedéseket,
    • az adatvédelmi tisztviselő elérhetőségét.
  4. Érintettek tájékoztatása

    Ha az incidens magas kockázatot jelent az érintettek jogaira és szabadságaira, a GDPR 34. cikke alapján közvetlenül értesíteni kell az érintetteket.

    A tájékoztatásnak érthető és részletes formában kell bemutatnia:

    • az incidens lényegét,
    • a személyes adatok érintettségét,
    • az incidens kockázatainak mérséklésére tett lépéseket,
    • az érintettek teendőit (pl. jelszóváltoztatás, figyelmeztetés adathalász kísérletekre).
  5. Intézkedések és helyreállítás

    Az incidens forrásának megszüntetése érdekében a következő lépések szükségesek

    Cégünk IT szolgáltatójával történő szoros együttműködés keretében:

    • Az érintett rendszerek zárolása vagy izolálása.
    • Az informatikai biztonsági protokollok frissítése és ellenőrzése.
    • Az érintettek adatainak visszaállítása biztonsági mentésekből, ha lehetséges.
  6. Incidens elemzése és dokumentálása

    Az incidens kezelése után részletes elemzést végzünk annak okairól, és a jövőbeni hasonló események megelőzése érdekében intézkedési tervet készítünk, jelen dokumentumban kiegészítést, bővítést végzünk, annak verziószámát növeljük. Az esemény dokumentációját legalább 5 évig megőrizzük, a GDPR átláthatósági és felelősségi elvei alapján.

10. Formalizált felülvizsgálati eljárás

Éves szinten formalizált felülvizsgálati eljárást hajtunk végre a GDPR 32. cikkének követelményeivel összhangban.

Ez magában foglalja:

  • Az adatkezelési gyakorlat és jelen dokumentum részletes áttekintését.
  • Szükség esetén az adatbiztonságot érintő rendszerek állapotának elemzését.
  • Az észlelt hiányosságok kijavítására irányuló javaslatok megfogalmazását, amennyiben lehetséges, azok bevezetését

11. Adatok megőrzése/archiválása és törlése

  • Adatok törlése:
    Az adatokat a GDPR 5. cikk (1) bekezdés e) pontja szerint kizárólag addig őrizzük meg, amíg azok az adatkezelés céljának megvalósításához szükségesek. Az adattörlés vagy az adatok anonimizálása az adatkezelési cél megszűnését követően az adott hónap végéig megtörténik. Az adattörlési folyamat során figyelembe vesszük a GDPR 17. cikkében foglaltakat, amelyek az érintettek törlési jogára vonatkoznak.
  • Archiválás:
    Az archiválás során az adatok biztonságos módon kerülnek tárolásra, különös tekintettel a felhőalapú adattárolásunkra, amelyet a Microsoft Azure és más, magas szintű adatbiztonsági tanúsítvánnyal rendelkező szolgáltatóink biztosítanak.

    Az archivált adatokhoz való hozzáférést szigorú jogosultságkezeléssel korlátozzuk, és csak jogszabályi kötelezettség alapján őrizzük meg azokat a törvényben előírt időtartamra.

12. Adatkezelési tevékenységek nyilvántartása

A GDPR 30. cikkében foglaltaknak megfelelően nyilvántartást vezetünk az adatkezelési tevékenységekről, ideértve:

  • Az adatkezelési célokat és jogalapokat.
  • Az érintettek körét és az adatfajtákat.
  • Az adattárolás helyét és időtartamát.
  • Az adatvédelmi incidensek dokumentálását.

    E tevékenység/nyilvántartás jelen dokumentumban kerül rögzítésre.

13. IT rendszeradminisztrátorokra vonatkozó irányelvek

Mivel cégünk nem rendelkezik saját IT-munkatárssal, a rendszergazdai feladatokat teljeskörűen külső szolgáltatónk, a Zomputer Kft. (Székhely: 1221 Budapest, Kocsola u 17. Cégjegyzék szám: 01-09-672375) látja el.

A külső szolgáltató a GDPR 28. cikkének megfelelő adatfeldolgozói szerződés keretében biztosítja a megfelelő adatbiztonságot.

A szolgáltató kötelezettsége:

  • Időbeni kommunikáció biztosítása: Adatvesztés vagy incidens esetén haladéktalanul értesíti a cég erre kijelölt munkatársát.
  • Technikai megoldások alkalmazása: Az adatvesztés megelőzése érdekében a szolgáltató folyamatos monitorozást és karbantartást végez.

14. Felhő alapú adattárolás

A cégünk adattárolása a Microsoft SharePoint, Microsoft Azure és Cloudbase Solutions szolgáltatásain keresztül valósul meg. Ezen szolgáltatók megfelelnek a GDPR által előírt magas szintű adatbiztonsági követelményeknek, és biztosítják az adattárolás titkosítását, valamint az adatok földrajzi redundanciáját. A felhő alapú tárhelyekhez való hozzáférés jogosultág-kiosztás alapon történik, az Archív tárhelyhez cégünknél az IT szolgáltató kijelölt munkatársán kívül csak 2 munkatárs rendelkezik hozzáféréssel.

Záró rendelkezések

Cégünk számára az adatvédelem nem csupán törvényi kötelezettség, hanem alapvető érték, amely meghatározza működésünk valamennyi aspektusát. Az adatvédelmi irányelveink kidolgozásánál és alkalmazásánál a legmagasabb szintű átláthatóságra, biztonságra és jogszerűségre törekszünk.

Az érintettek tájékoztatását, jogaik biztosítását és adatbiztonságuk garantálását folyamatosan figyelemmel kísérjük és fejlesztjük, hogy adatkezelési tevékenységünk minden szempontból megfeleljen a hatályos jogszabályoknak, valamint a bizalom és együttműködés elveinek.

Kérdés vagy panasz esetén az érintettek bármikor felvehetik velünk a kapcsolatot a fent megadott elérhetőségeken, vagy közvetlenül fordulhatnak az illetékes adatvédelmi hatósághoz.