Adatvédelmi Szabályzat
I./
PREAMBULUM
A Credit Control Menedzsment Korlátolt Felelősségű Társaság (székhely: 1138 Budapest, Madarász Viktor utca 47-49.; nyilvántartást vezető hatóság: Fővárosi Törvényszék Cégbírósága; cégjegyzékszám: 01-09-562111; adószám: 12177705-2-41) jelen szabályzat megalkotásával eleget tesz a szolgáltatásai nyújtása során felmerülő egyik legalapvetőbb célkitűzésének, nevezetesen a társasággal kapcsolatba kerülő természetes személyekkel összefüggésbe hozható személyes adatok védelmének. Kiemelten fontosnak tartja e személyi kör információs önrendelkezési jogának tiszteletben tartását és a személyes adatokhoz kapcsolódó, Magyarország Alaptörvényében is rögzített alkotmányos alapjogát. Mindezek magas szintű megvalósítása érdekében a működése során tudomására jutott személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és jogi intézkedést, amely az adatok védelmét szolgálja.
II./
BEVEZETŐ RENDELKEZÉSEK
1./ A szabályzat hatálya
1.1./ A szabályzat személyi hatálya a társaság valamennyi szervezeti egységére, minden alkalmazottjára és a vele szerződéses vagy egyéb kapcsolatban álló, személyes adatkezelést végző személyekre.
1.2./ A szabályzat 2018. május 25. napján lép hatályba, amellyel egyidejűleg a 2015. november 30. napján kelt adatvédelmi szabályzat hatályát veszti.
1.3./ A szabályzat tárgyi hatálya a társaság által kezelt valamennyi személyes adatra, a rajtuk végzett adatkezelési műveletekre, keletkezésük, kezelésük és feldolgozásuk helyétől, valamint megjelenési formájuktól függetlenül.
2./ Értelmező rendelkezések
2.1./ A szabályzat alkalmazásakor a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelet (a továbbiakban: GDPR) 4. cikkében, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infó törvény) 3. §-ában meghatározott fogalmak az irányadók.
3./ Az adatkezelés elvei
3.1./ Az adatvédelmi szabályok betartásáért a társaság a felelős.
3.2./ A társaság adatkezelést végző alkalmazottja kártérítési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, a társaság nyilvántartásaihoz a rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.
3.3./ A társaságnak a személyes adatok kezelését jogszerűen – azaz megfelelő jogalappal és céllal, tisztességesen – az érintett információs önrendelkezési jogának tiszteletben tartásával kell végeznie.
3.4./ A társaságnak az érintett számára átlátható módon kell végeznie a személyes adatok kezelését. Az átláthatóság elve azt jelenti, hogy az érintettnek egyértelműen látnia kell, hogy a társaság honnan szerzi meg az adatokat, hogyan használja fel, miként tekint bele vagy végez rajta egyéb adatkezelési műveletet és végül, milyen mértékben és meddig tart az adatkezelés. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint, hogy azt a társaság világosan és egyszerű nyelvezettel fogalmazza meg. Az elv vonatkozik különösen az érintetteknek a társaság kilétéről és az adatkezelés céljáról történő tájékoztatására, valamint arra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a társaságtól a róluk kezelt adatokról.
3.5./ A társaság által a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, a társaság törlési, illetve rendszeres felülvizsgálati határidőket állapít meg.
3.6./ Ha a társaság tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni.
3.7./ A társaságnak a személyes adatokat olyan módon kell kezelnie, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és az adatkezelés során használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.
3.8./ A társaság a tudomány és a technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, különösen:
- a személyes adatok álnevesítése és titkosítása,
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képessége,
- fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani,
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás alkalmazása.
3.9./ A társaság intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag a társaság utasításainak megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől eltérő adatkezelésre a tagállami vagy az uniós jog kötelezi őket.
3.10./ A társaság felelős a személyes adatok kezelésére vonatkozó elvek betartásáért, továbbá képesnek kell lennie e megfelelés igazolására is.
3.11./ A társaság elszámoltathatósági intézkedései különösen:
- adatvédelmi tájékoztatók közzététele
- adattérkép elkészítése, az adatkezelési tevékenység nyilvántartása
- képzés és oktatás
- belső panaszkezelés
- adatvédelmi hatásvizsgálat elvégzése
- audit
- adatminimalizálás, álnevesítés és egyéb adatbiztonsági intézkedések
- a megfelelő adatfeldolgozók kiválasztása és igénybevétele
- adatvédelmi incidensek megfelelő kezelése
- adatvédelmi tisztviselő kijelölése.
III./
AZ ADATKEZELÉS JOGALAPJAI
1./ Általános szabályok
1.1./ A személyes adatok társaság általi kezelése akkor jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- szerződés: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges,
- jogi kötelezettség: az adatkezelés a társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges,
- jogos érdek: az adatkezelés a társaság jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek a személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek,
- hozzájárulás: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
1.2./ Az adatkezelés megfelelően kiválasztott jogalapja meghatározza az érintett rendelkezésére álló jogok gyakorolhatóságát:
|
Törléshez való jog |
Adathordozhatósághoz való jog |
Tiltakozáshoz való jog |
Szerződés |
van |
van |
nincs |
Jogi kötelezettség |
nincs |
nincs |
nincs |
Jogos érdek |
van |
nincs |
van |
Hozzájárulás |
van |
van |
nincs, de visszavonhatja |
2./ Az egyes jogalapok
2.1./ A szerződéses jogalap kellő jogalapul szolgál a szerződés teljesítésének elmulasztása esetére igénybe vett jogi lépésekhez (különösen az igénynek a szerződés biztosítékaiból történő közvetlen kielégítése, engedményezés, perindítás, végrehajtás kezdeményezése) szükséges adatok kezelésére. A szóban forgó adatkezelés az igényt érvényesítő fél jogszabályban biztosított és egyoldalúan gyakorolható jogai érvényesítéséhez szükséges.
2.2./ A társaság részére jogi kötelezettség teljesítését célzó adatkezelést írnak elő különösen az alábbi jogszabályok:
- a központi hitelinformációs rendszerről szóló 2011. évi CXXII. törvény 6. § (3) bekezdése, 8-9. §, 11-13/A.§
- a számvitelről szóló 2000. évi C. törvény 12. § (1) bekezdése, 169. § (2) bekezdése
- a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény 161. § (2) bekezdése, 288. § (2) – (3) bekezdése
- a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet 3. § (2) bekezdése
- a Munka törvénykönyvéről szóló 2012. évi I. törvény 81. § (1) bekezdése
- az adózás rendjéről szóló 2017. évi CL. törvény 50. § (1) – (2) bekezdése, 78. § (4) bekezdése, 1. melléklet 3. pont
- a személyi jövedelemadóról szóló 1995. évi CXVII. törvény 48. § (1) bekezdése és (3) – (3a) bekezdése
- a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény 46. § (2) bekezdése, 47. § (1) bekezdése
- a pénzügyi szervezetek panaszkezelésére vonatkozó szabályokról szóló 28/2014. (VII. 23.) MNB rendelet 5. § (1) bekezdése, 1. melléklet II.1.3, II.1.7, III.1, V.1-2.
- a befektetési vállalkozások, a pénzforgalmi intézmények, az elektronikus pénz-kibocsátó intézmények, az utalványkibocsátók, a pénzügyi intézmények és a független pénzügyi szolgáltatás közvetítők panaszkezelésének eljárásával, valamint panaszkezelési szabályzatával kapcsolatos részletes szabályokról szóló 435/2016. (XII. 16.) Korm. rendelet 3. § (3) bekezdése.
2.3./ Jogos érdekről lehet szó, amikor lényeges, jogilag szabályozott kapcsolat áll fenn az érintett és az adatkezelő között, különösen olyan esetben, amikor az érintett a társaság ügyfele vagy alkalmazottja.
2.4./ A társaság érdekének jogossága akkor állapítható meg, ha
- az törvényes,
- pontosan megfogalmazott annak érdekében, hogy az érdekmérlegelési teszt során összemérhető legyen az érintett érdekeivel és alapvető jogaival,
- valós érdeket képvisel (azaz nem elméleti jellegű).
2.5./ A jogos érdek meglétének, az adatkezelés szükségességének, valamint az érintett jogkorlátozása arányosságának vizsgálata az érdekmérlegelési teszt elvégzésével vizsgálható, illetve igazolható. Az érdekmérlegelési teszt lépései a következők:
- első lépés: annak meghatározása, hogy mi az adatkezelés célja
- második lépés: annak meghatározása, hogy az adatkezelés feltétlenül szükséges-e a cél eléréséhez
- harmadik lépés: a társaság jogos érdekének meghatározása, az érdek jogszerűségének megállapítása
- negyedik lépés: milyen személyes adatok meddig történő kezelését igényli a jogos érdek
- ötödik lépés: az érintett lehetséges érdekeinek meghatározása (azok a szempontok, amelyeket felhozhat az adatkezeléssel szemben)
- hatodik lépés: annak meghatározása, hogy miért korlátozza arányosan a társaság érdeke az érintett alapvető jogait és szabadságait.
2.6./ A hozzájáruláson alapuló adatkezelés csak akkor lehetséges, ha az érintett egyértelmű megerősítő cselekedettel (például írásbeli vagy szóbeli nyilatkozattal) önkéntes, konkrét, érthető tájékoztatáson alapuló és egyértelmű hozzájárulását adja az adatkezeléshez.
2.7./ A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.
2.8./ Ha az adatkezelés hozzájáruláson alapul, akkor a társaságnak képesnek kell lennie annak igazolására, hogy az érintett az adatkezeléshez hozzájárult.
2.9./ Hozzájáruláson alapuló adatkezelés esetén a társaság törekszik arra, hogy előre megfogalmazott hozzájárulási nyilatkozatot biztosítson az érintett részére, amelyet érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel bocsát a rendelkezésére.
2.10./ Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek tisztában kell lennie legalább a társaság kilétével és az adatkezelés céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós és szabad választási lehetőséggel és nem áll módjában a hozzájárulás anélkül történő megtagadása, hogy ez kárára válna. A hozzájárulás nem tekinthető önkéntesnek továbbá akkor, ha nem tesz lehetővé külön-külön hozzájárulást a különböző adatkezelési műveletekhez.
2.11./ Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintett erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
3./ A személyes adatok különleges kategóriáinak kezelése
3.1./ Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Különleges adatnak minősül a faji vagy etnikai származásra utaló-, a politikai véleményre utaló-, a vallási vagy világnézeti meggyőződésre utaló-, a szakszervezeti tagságra utaló-, a genetikai és biometrikus, az egészségügyi, valamint a szexuális életre vagy szexuális irányultságra vonatkozó személyes adat.
3.2./ Különleges adat a társaság által nem kezelhető, kivéve, ha az érintett hozzájárulását adta a különleges adat egy vagy több célból történő kezeléséhez (például megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése céljából).
IV./
AZ ÉRINTETT JOGAI
1./ Általános rendelkezések
1.1./ Az érintett jogosult arra, hogy a társaság által kezelt személyes adatai vonatkozásában
a) az adatkezeléssel összefüggő tényekről – az adatkezelés megkezdését megelőzően – tájékoztatást kapjon („előzetes tájékoztatáshoz való jog”)
b) kérelmére személyes adatait és az azok kezelésével összefüggő információkat a társaság a rendelkezésére bocsássa („hozzáféréshez való jog”)
c) kérelmére, valamint jogszabályban meghatározott további esetekben személyes adatait a társaság helyesbítse, illetve kiegészítse („helyesbítéshez való jog”)
d) kérelmére, valamint jogszabályban meghatározott további esetekben személyes adatai kezelését a társaság korlátozza („adatkezelés korlátozásához való jog”)
e) kérelmére, valamint jogszabályban meghatározott további esetekben személyes adatait a társaság törölje („törléshez való jog”)
f) kérelmére, a rá vonatkozó, általa a társaság rendelkezésére bocsátott személyes adatokat, tagolt, széles körben használt, géppel olvasható formátumban megkapja („adathordozhatósághoz való jog”)
g) a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatai kezelése ellen („tiltakozáshoz való jog”)
h) a Nemzeti Adatvédelmi- és Információszabadság Hatóság vagy a bíróság eljárását kezdeményezze („jogorvoslathoz való jog”).
2./ Különös rendelkezések
Tájékoztatáshoz való jog
2.1./ A társaság köteles tájékoztatni az érintettet az adatkezelés tényéről és céljairól. Ha a személyes adatokat a társaság az érintettől szerzi, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint, hogy az adatszolgáltatás elmaradása milyen jogkövetkezményekkel jár. A tájékoztatást, ha az adatokat az érintettől szerzi az adatrögzítés időpontjában kell az érintettel közölni, míg ha az adatok nem az érintettől származnak, úgy a személyes adat megszerzését követő ésszerű határidőn, de legfeljebb egy hónapon belül, ha pedig az adatokat az érintettel való kapcsolattartásra használják, úgy az első kapcsolatfelvétel alkalmával.
2.2./ A tájékoztatás azonban nem szükséges, ha
a) az érintettnek ez az információ már a birtokában van,
b) a személyes adat rögzítését vagy közlését jogszabály írja elő, vagy
c) az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne.
2.3./ Az alábbi információkról kell tájékoztatni az érintettet:
Milyen információt kell megadni? |
Érintettől származó adat |
Nem az érintettől származó adat |
az adatkezelő kiléte és elérhetőségei |
igen |
igen |
az adatvédelmi tisztviselő kiléte és elérhetőségei |
igen |
igen |
az adatkezelés jogalapja és célja |
igen |
igen |
jogos érdeken alapuló adatkezelés esetén az adatkezelő jogos érdeke |
igen |
igen |
az érintett személyes adatok kategóriái |
nem |
igen |
a személyes adatok címzettei |
igen |
igen |
adattovábbítás külföldre |
igen |
igen |
az adatkezelés időtartama |
igen |
igen |
az érintett jogai |
igen |
igen |
hozzájáruláson alapuló adatkezelés esetén a visszavonás joga |
igen |
igen |
a személyes adatok forrása |
nem |
igen |
a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul, az érintett köteles-e megadni a személyes adatokat, illetve ennek elmaradása milyen következményekkel jár |
igen |
nem |
automatizált döntéshozatal ténye |
igen |
igen |
2.4./ Az érintettnek nyújtott tájékoztatásnak tömörnek, könnyen hozzáférhetőnek és érthetőnek kell lennie, valamint azt világos és közérthető nyelvezettel kell megfogalmazni.
Hozzáféréshez való jog
2.5./ A társaság az érintettet kérelemre tájékoztatja arról, hogy személyes adatait maga a társaság vagy adatfeldolgozó kezeli-e, továbbá a 2.3. pontban felsorolt információkról.
2.6./ A társaság a tájékoztatást díjmentesen, indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 25 napon belül írásban (postai úton vagy e-mailben) köteles megadni.
2.7./ A társaság megtagadhatja a tájékoztatást, ha
a) a tájékoztatást kérő személy nem a saját adataira vonatkozóan kér felvilágosítást,
b) a tájékoztatást kérő személy nem tudja hitelt érdemlően igazolni, hogy ő az adatkezeléssel érintett személy.
2.8./ Ha a társaság az érintett kérelmét visszautasítja, tájékoztatja a kérelmezőt az elutasítás indokairól és a jogorvoslati lehetőségeiről.
Helyesbítéshez való jog
2.9./ A társaság, ha az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat – különösen az érintett kérelmére – haladéktalanul pontosítja vagy helyesbíti, illetve ha az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a személyes adatok kezeléséhez fűzött nyilatkozattal kiegészíti. A valóságnak nem megfelelő adatot a társaság, ha a szükséges adatok rendelkezésre állnak (például közhiteles nyilvántartásból) köteles helyesbíteni.
2.10./ Mentesül a helyesbítési kötelezettség alól a társaság, ha
a) a pontos, helytálló és hiánytalan személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja rendelkezésére, vagy
b) az érintett által rendelkezésére bocsátott adatok valódiságához nyomatékos kétség fér.
2.11./ Ha a társaság az érintett kérelmét visszautasítja, akkor legkésőbb a kérelem beérkezését követő 25 napon belül tájékoztatja a kérelmezőt az elutasítás indokairól és a jogorvoslati lehetőségeiről.
Törléshez való jog
2.12./ A társaság indokolatlan késedelem nélkül törli az érintett személyes adatait, ha
a) az adatkezelés jogellenes,
b) az érintett az adatkezeléshez adott hozzájárulását visszavonja és az adatkezelésnek nincs más jogalapja,
c) az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy bíróság elrendelte,
d) a személyes adatokat a társaságra alkalmazandó uniós vagy nemzeti jogban előírt jogi kötelezettség teljesítéséhez törölni kell, vagy
e) az érintett tiltakozik az adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az adatkezelésre.
2.13./ A 2.12. pont nem alkalmazandó, ha az adatkezelés valamely jogi kötelezettségnek való megfelelés miatt, illetve jogi igények előterjesztéséhez, érvényesítéséhez, továbbá védelméhez szükséges.
2.14./ Ha a társaság az érintett kérelmét visszautasítja,akkor legkésőbb a kérelem beérkezését követő 25 napon belül tájékoztatja a kérelmezőt az elutasítás indokairól és a jogorvoslati lehetőségeiről.
Az adatkezelés korlátozásához való jog
2.15./ A társaság korlátozza az adatkezelést, ha
a) az érintett vitatja a társaság, illetve a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát és a kezelt személyes adatok pontossága, helytállósága kétséget kizáróan nem állapítható meg, a tényállás tisztázásának időtartamára,
b) az adatkezelés jogellenes és az érintett ellenzi a személyes adatok törlését és kéri azok felhasználásának korlátozását a törlés mellőzését megalapozó jogos érdek (például jogi igény előterjesztése) időtartamára,
c) az érintett tiltakozik az adatkezelés ellen, ebben az esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a társaság jogos érdekei elsőbbséget élveznek-e az érintett jogos érdekeivel.
2.16./ Az adatkezelés korlátozásának időtartama alatt a korlátozással érintett személyes adatokkal a társaság és a megbízásából eljáró adatfeldolgozó a tároláson kívül egyéb adatkezelési műveletet kizárólag az érintett hozzájárulásával, az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint végezhet.
2.17./ A társaság a kérelmezőt az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.
2.18./ A személyes adatok kezelésének korlátozására alkalmazott módszer az, ha a társaság időlegesen megszünteti a felhasználók számára a hozzáférhetőséget azzal, hogy az informatikai rendszerben egyértelműen jelezni kell az adatkezelés korlátozásának tényét.
2.19./ Ha a társaság az érintett kérelmét visszautasítja, akkor legkésőbb a kérelem beérkezését követő 25 napon belül tájékoztatja a kérelmezőt az elutasítás indokairól és a jogorvoslati lehetőségeiről.
Az adathordozhatósághoz való jog
2.20./ Ha a személyes adatok kezelése automatizált módon történik, az érintettek számára lehetővé kell tenni, hogy az általuk a társaság rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapják és azokat egy másik adatkezelő részére továbbítsák. Ez a jog akkor gyakorolható, ha az adatkezelés az érintett hozzájárulásán alapul vagy szerződés teljesítéséhez szükséges.
2.21./ Ha a társaság az érintett kérelmét visszautasítja, akkor legkésőbb a kérelem beérkezését követő 25 napon belül tájékoztatja a kérelmezőt az elutasítás indokairól és a jogorvoslati lehetőségeiről.
A tiltakozáshoz való jog
2.22./ A társaság bármely érintett számára biztosítja, hogy az egyedi helyzetére vonatkozó adatok kezelése ellen tiltakozzon, akkor is, ha az adatkezelés egyébként jogszerű. Ebben az esetben a társaság nem kezelheti tovább a személyes adatokat, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett jogos érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükségesek.
2.23./ A társaság köteles a tiltakozáshoz való jogról az érintettet legkésőbb az első kapcsolatfelvétel alkalmával tájékoztatni.
2.24./ Ha a társaság az érintett kérelmét visszautasítja, akkor legkésőbb a kérelem beérkezését követő 25 napon belül tájékoztatja a kérelmezőt az elutasítás indokairól és a jogorvoslati lehetőségeiről.
Jogorvoslathoz való jog
2.25./ Az érintett jogai megsértése esetén panaszával a hatósághoz fordulhat, amelynek elérhetőségei következők: Nemzeti Adatvédelmi- és Információszabadság Hatóság – 1225 Budapest, Szilágyi Erzsébet fasor 22/c.
2.26./ A hatóság döntésétől függetlenül az érintett jogai megsértése esetén a társaság ellen a székhely szerint illetékes bírósághoz fordulhat.
V./
ADATFELDOLGOZÓ IGÉNYBEVÉTELE
1.1./ Ha a társaság adatfeldolgozót bíz meg az adatkezelési tevékenységek elvégzésével, csakis olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy a GDPR követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.
1.2./ Az adatfeldolgozó a társaság előzetesen írásban tett felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.
1.3./ Az adatkezelés adatfeldolgozó általi elvégzését uniós vagy tagállami jog alapján létrejött szerződés vagy egyéb jogi aktus szabályozza, amely köti az adatfeldolgozót az adatkezelővel szemben, meghatározza az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és céljait, a személyes adatok típusát és az érintettek kategóriáit, figyelembe véve az adatfeldolgozóra az elvégzendő adatkezelés kapcsán háruló konkrét feladatokat és felelősségeket, valamint az érintettek jogait és szabadságait érintő kockázatot is.
1.4./ Az adatfeldolgozói szerződésben rögzíteni kell az alábbiakat:
Kötelezően feltüntetendő adatok |
az adatfeldolgozás tárgya és időtartama |
az adatfeldolgozás jellege és célja |
|
az adatfeldolgozással érintett személyes adatok típusa, az érintettek kategóriái |
|
az adatkezelő jogai és kötelezettségei |
|
Kötelező szerződési feltételek |
az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai szerint kezeli |
az adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak |
|
az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja |
|
az adatfeldolgozó kizárólag az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása alapján vehet igénybe további adatfeldolgozót |
|
az adatfeldolgozó köteles együttműködni az adatkezelővel az érintettek jogainak gyakorlásához kapcsolódó kérelmek megválaszolásában |
|
az adatfeldolgozó köteles segíteni az adatkezelőt kötelezettségeinek teljesítésében |
|
az adatfeldolgozó az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek és törli a meglévő másolatokat |
|
az adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR 28. cikkében foglaltak teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is |
|
Adatfeldolgozó közvetlen felelőssége |
az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli |
az adatfeldolgozó kizárólag az adatkezelő előzetes írásbeli eseti vagy általános felhatalmazása alapján vehet igénybe további adatfeldolgozót |
|
az adatfeldolgozó feladatai végrehajtása során együttműködik a felügyeleti hatósággal |
|
az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja |
|
az adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról |
|
az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek |
|
az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki a GDPR-ben meghatározott esetekben |
|
ha az adatfeldolgozó a GDPR 28. cikkét megsértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni |
|
Egyéb szerződéses feltételek |
az adatfeldolgozó alanya lehet a felügyeleti hatóság eljárásának |
az adatfeldolgozó közigazgatási bírsággal sújtható, ha megsérti a GDPR rendelkezéseit |
|
az adatfeldolgozóval szemben a GDPR megsértése esetén további szankciók is alkalmazhatók |
|
az adatfeldolgozó felelősséggel tartozik az adatkezelés során okozott károkért, ha nem tartotta be a GDPR adatfeldolgozókra vonatkozó szabályait vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyva vagy azokkal ellentétesen járt el |
|
a GDPR megszegéséből eredő felelősségi és kártalanítási szabályokat is a szerződésben kell rögzíteni |
1.5./ Az adatfeldolgozó az adatkezelés elvégzését követően a társaság döntése szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog előírja azok tárolását.
VI./
AZ ADATKEZELÉSI TEVÉKENYSÉG NYILVÁNTARTÁSA
1.1./ A társaság a GDPR-nek való megfelelés bizonyítása érdekében nyilvántartást vezet az általa végzett adatkezelési tevékenységekről.
1.2./ Az adatkezelési nyilvántartásban a társaság rögzíti:
a) az adatkezelő és az adatvédelmi tisztviselő nevét és elérhetőségeit,
b) az adatkezelés céljait,
c) az érintettek és a kezelt adatok körét,
d) személyes adatok továbbítása esetén a címzettek körét,
e) nemzetközi adattovábbítást esetén a továbbított személyes adatok körét és a megfelelő garanciák leírását,
f) profilalkotás esetén ennek tényét,
g) az adatkezelési műveletek jogalapjait,
h) a kezelt személyes adatok törlésének időpontját,
i) a végrehajtott műszaki és szervezési intézkedések általános leírását.
1.3./ A társaság köteles a hatósággal együttműködni és a nyilvántartásokat kérésre hozzáférhetővé tenni az adatkezelési műveletek ellenőrzése céljából.
VII./
ADATVÉDELMI HATÁSVIZSGÁLAT
1.1./ Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával.
1.2./ Adatvédelmi hatásvizsgálatot akkor kell lefolytatni, ha az adatkezelés valamely fajtája valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ehhez a társaságnak folyamatosan értékelnie kell az adatkezelési tevékenységéből eredő kockázatokat.
1.3./ Ha a társaság úgy ítéli meg, hogy nem szükséges az adatvédelmi hatásvizsgálat lefolytatása az adott adatkezelési tevékenység vonatkozásában, azt dokumentáltan indokolnia kell.
1.4./ Nincs szükség adatvédelmi hatásvizsgálat elvégzésére, ha:
a) az adatkezelés valószínűsíthetően nem jár magas kockázattal a természetes személyek jogaira és szabadságaira nézve,
b) az adatkezelés a jellegét, a hatókörét, körülményét és céljait tekintve nagyon hasonlít olyan adatkezelésre, amelyről már készült adatvédelmi hatásvizsgálat,
c) az adatkezelési műveleteket a hatóság – változatlan feltételek mellett – a GDPR hatálybalépése előtt ellenőrizte,
d) az adatkezelési művelet jogalappal rendelkezik, a jog szabályozza az adott adatkezelési műveletet és az adott jogalap vonatkozásában már készült adatvédelmi hatásvizsgálat,
e) az adatkezelés szerepel azoknak az adatkezelési műveleteknek a hatóság által összeállított – nem kötelező erejű – jegyzékében, amelyre nem kell adatvédelmi hatásvizsgálatot végezni.
1.5./ Az adatvédelmi hatásvizsgálatot a társaság évente felülvizsgálja és újraértékeli.
1.6./ A társaság az adatvédelmi hatásvizsgálatot az adatkezelést megelőzően köteles elvégezni, kivéve a folyamatban lévő adatkezelést, amelynél akkor indokolt az elvégzése, ha a megváltozott körülményekre tekintettel az adatkezelés folytatása az érintettek jogaira és szabadságaira nézve magas kockázattal járhat.
1.7./ Az adatvédelmi hatásvizsgálatot a társaság vagy az általa megbízott auditor folytatja le.
1.8./ Az adatvédelmi hatásvizsgálat folyamata:
- a tervezet adatkezelés leírása
- a szükségesség és az arányosság vizsgálata
- már tervezett intézkedések vizsgálata
- a jogokat és szabadságokat érintő kockázatok vizsgálata
- a kockázatok kezelésére irányuló intézkedések
- dokumentáció
- nyomon követés és felülvizsgálat.
1.9./ A hatásvizsgálat kiterjed legalább:
- a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére,
- az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára,
- az érintett jogait és szabadságait érintő kockázatok vizsgálatára,
- a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a GDPR-rel való összhang igazolását szolgáló , az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
1.10./ Ha a társaság nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére, akkor köteles konzultálni a hatósággal.
VIII./
ADATVÉDELMI INCIDENS
1.1./ Az adatvédelmi incidens a társaságnál előforduló olyan biztonsági incidens, amely a személyes adatok sérelmével jár. A körülményektől függően a személyes adatok megsértése a titkossággal, az adatok hozzáférhetőségével, valamint a sértetlenségével is kapcsolatos lehet egyidejűleg, illetve előfordulhat ezek tetszőleges kombinációja is.
1.2./ Ha az adatvédelmi incidens a társaság tudomására jut, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb a tudomásra jutást követő 72 órán belül, köteles bejelentést tenni a hatóságnál. A bejelentés tartalmazza legalább az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az érintett adatok kategóriáit és számát, az adatvédelmi tisztviselő nevét és elérhetőségeit, ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket, végül ismertetni kell a társaság által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket. Nem szükséges a bejelentés, ha a társaság bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem tehető meg 72 órán belül, abban meg kell jelölni a késedelem okát, a szükséges információkat pedig ekkor akár a részletekben is közölni lehet a hatósággal.
1.3./ Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a társaság indokolatlan késedelem nélkül tájékoztatja az érintettet. A tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintettnek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat, a társaság által megtett óvintézkedéseket, az incidens várható következményeit és az adatvédelmi tisztviselő nevét és elérhetőségét. Az érintettek tájékoztatásáról az ésszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a hatósággal és betartva az általa és más hivatalos szervek (például a bűnüldöző szervek) által adott útmutatásokat. Az érintetteket nem kell tájékoztatni, ha az aránytalan erőfeszítést tenne szükségessé, ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.
1.4./ Az adatvédelmi incidens kezelésének folyamata:
- a biztonsági incidens észlelése
- ezután az adatvédelmi incidens azonosítása
- valószínűsíthetően jár-e kockázattal a természetes személyek jogaira és szabadságaira nézve? (ha nem, akkor nincs bejelentési kötelezettség, csupán fel kell tüntetni az adatvédelmi incidensek nyilvántartásában)
- ha igen, valószínűsíthetően magas kockázattal jár-e az érintett természetes személyek jogaira és szabadságaira nézve? (ha nem, akkor nem kell értesíteni az érintetteket, csupán fel kell tüntetni az adatvédelmi incidensek nyilvántartásában)
- ha igen, külön értesíteni kell az érintetteket, végül
- a fenti folyamatot dokumentálni kell az adatvédelmi incidensek nyilvántartásában.
1.5./ A társaság nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
IX./
ADATVÉDELMI TISZTVISELŐ
1.1./ A társaság részére az adatvédelmi tisztviselő kijelölése kötelező, figyelemmel arra, hogy a személyes adatok kezelése nagyobb mértékű.
1.2./ Az adatvédelmi tisztviselő lehet a társaság alkalmazottja, de elláthatja e tevékenységet szerződéssel foglalkoztatott megbízott is.
1.3./ Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a vezetői feladatokra való alkalmasság alapján kell kijelölni.
1.4./ A társaság közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségeit, illetve ezt a hatóság felé is bejelenti.
1.5./ A társaság adatvédelmi tisztviselőjének neve és elérhetőségi adatai: Dr. Belcsák Róbert ügyvéd, 1138 Budapest, Madarász Viktor utca 47-49.; [email protected]
1.6./ A társaság biztosítja, hogy
a) az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon,
b) az adatvédelmi tisztviselő véleményét mindig kellő súllyal figyelembe vegyék az adatvédelmi tárgyú döntések meghozatala során,
c) minden releváns információt időben átad az adatvédelmi tisztviselőnek annak érdekében, hogy megfelelő tanácsot adhasson,
d) haladéktalanul konzultál az adatvédelmi tisztviselővel az adatvédelmi incidens észlelése esetén.
1.7./ A társaság támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat a forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
1.8./ A társaság biztosítja, hogy az adatvédelmi tisztviselő a feladataival összefüggésben utasításokat senkitől ne fogadjon el. A társaság az adatvédelmi feladataival összefüggésben álló ok miatt az adatvédelmi tisztviselőt nem szankcionálhatja, és nem bocsáthatja el. Az adatvédelmi tisztviselő a társaság ügyvezetőjének tartozik felelősséggel.
1.9./ Az adatvédelmi tisztviselőt a feladataival összefüggésben titoktartási kötelezettség terheli.
1.10./ Az adatvédelmi tisztviselő más feladatokat is elláthat, de nem tölthet be olyan pozíciót a társaságon belül, amelynek keretében ő határozza meg a személyes adatok kezelésének célját és eszközeit.
1.11./ Az adatvédelmi tisztviselő feladatai:
a) tájékoztat és szakmai tanácsot ad az adatkezelő, továbbá az adatkezelési tevékenységet végző alkalmazottak részére a jogszabályok szerinti kötelezettségeikkel kapcsolatban,
b) ellenőrzi a jogszabályoknak és a társaság belső szabályzatainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosságnövelését és képzését, valamint a kapcsolódó auditokat is,
c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi annak elvégzését,
d) együttműködik a hatósággal,
e) az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a hatóság felé.
1.12./ Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
X./
FELELŐSSÉG
1.1./ Jelen szabályzatot a társaság ügyvezetője hagyja jóvá.
1.2./ Jelen szabályzat végrehajtásáért saját szervezeti egységeiken belül a részlegvezetők felelősek.
1.3./ Minden munkavállalónak kötelezettsége annak bejelentése, ha a szabályzat megsértéséről szerez tudomást vagy ennek akár a gyanúja merül fel. A bejelentés a részlegvezető vagy az adatvédelmi tisztviselő felé tehető.
1.4./ A tényleges adatkezelést végző munkavállaló köteles:
a) megőrizni a birtokába került személyes adatokat,
b) ügyelni a személyes adatokat tartalmazó nyilvántartások biztonságos kezelésére és tárolására,
c) gondoskodni arról, hogy az általuk kezelt személyes adatokhoz illetéktelen személy ne férhessen hozzá,
d) betartani az adatkezelésre vonatkozó jogszabályokat és belső szabályzatokat,
e) indokolatlan késedelem nélkül jelezni, ha a részlegvezető vagy az adatvédelmi tisztviselő segítségére szorul adatvédelmi ügyben.
XI./
ADATTOVÁBBÍTÁS
1.1./ A társaság nem továbbít személyes adatokat az Európai Unión kívüli harmadik országokba vagy nemzetközi szervezetekre részére.
XII./
ADATBIZTONSÁG
1.1./ A társaság biztosítja különösen:
- az adatkezeléshez használt eszközök jogosulatlan személyek általi hozzáférésének megtagadását,
- az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását,
- az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását,
- az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását,
- azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá,
- azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére,
- azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe,
- a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását,
- azt, hogy üzemzavar esetén az adatkezelő rendszer helyreállítható legyen, valamint
- azt, hogy az adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével se lehessen megváltoztatni.
1.2./ Adatbiztonsági kontroll-mechanizmusok:
|
Megelőző |
Észlelő |
Reagáló |
Szervezeti/adminisztratív |
szabályozás, felelősök kijelölése, tudatosítás |
compliance |
szabálytalanságok kezelése |
Fizikai |
hozzáférések korlátozása (végpont, hálózat, adathordozó), kontrollált beléptetés |
fizikai őrzés, monitoring, víz- és tűzjelzés |
oltóberendezések, tartalék áramforrás |
Határvédelem |
tűzfal, IPS, VPN, malware (kémprogram) védelem, redundáns architektúra, tartalomszűrés |
malware védelem, sérülékenységi vizsgálat |
incidenskezelés |
Hálózat |
titkosított továbbítás, zónázás, redundáns architektúra |
SIEM (naplóinformációk, logmenedzsment) |
tartalékútvonal |
Végpont |
felhasználó hitelesítés, malware védelem |
integritásvédelem, malware védelem |
tartalék eszközök, biztonsági javítások telepítése |
Alkalmazás |
biztonságos fejlesztése, biztonságos konfiguráció |
SIEM, sérülékenység-vizsgálat |
biztonsági javítások telepítése |
Adat |
biztonsági mentés, jogosultságkezelés, adatvagyon-leltár |
hozzáférés, monitorozás |
helyreállítás mentésből, incidenskezelés |
XIII./
ZÁRÓ RENDELKEZÉS
1.1./ Jelen szabályzat hatálybalépésével a korábban kiadott szabályzat hatályát veszti.