Adatkezelési tájékoztató

Adatvédelmi nyilvántartási szám: 0009259

Az SC CHOCOLATE BROWN SRL (a továbbiakban: adatkezelő) személyes adatok feldolgozásával kapcsolatos minimális adatbiztonsági követelményei a következőkből állnak:

1. A felhasználó azonosítása és hitelesítése
Az azonosítás az azonosító kód (egy karaktersor) billentyűzettel való bevezetésével, egy saját azonosító kóddal történik.
A hosszabb ideig nem használt azonosító kódokat (vagy felhasználói adatlapokat) egy előzetes belső ellenőrzés után az adatkezelő letiltja és törli. A kódok letiltására és törlésére 30 nap után kerül sor.
A felhasználói adatlap egy hitelesítési móddal rendelkezik.
A hitelesítés egy jelszó bevezetésével történik. A jelszavak karakterek sorai. Minél hosszabb a karakterek sora, annál nehezebben lehet a jelszót feltörni. A jelszavak bevezetésükkor nem olvashatóak a képernyőn. A jelszavak rendszeresen megváltoznak. A rendszeres jelszóváltoztatásokat kizárólag az adatkezelő által erre jogosított felhasználok bonyolíthatják le.
Az adatkezelő egy olyan információs rendszert hozott létre, mely ötszöri hibás jelszó megadása esetén automatikusan letiltja a felhasználó belépését.
Bármely felhasználó, aki azonosító kódot és hitelesítési módot kap, köteles ezeket titokban tartani, és ezért felelősséggel tartozik az adatkezelővel szemben.
Az SC CHOCOLATE BROWN SRL saját eljárásrendet dolgozott ki a felhasználói adatlapok nyilvántartására és kezelésére vonatkozóan.
Az adatkezelő visszavonja vagy felfüggeszti az azonosító kódot, ha ennek felhasználója beadta a lemondását vagy elbocsátották állásából, megszünt a munkaviszonya, áthelyezték más állásba, és új feladatai nem követelik meg a személyes adatokhoz való hozzáférést, visszaélt a kapott kódokkal, vagy ha a szervezet által megszabott, hosszabb ideig hiányzik munkahelyéről.
A felhasználók manuálisan létrehozott személyes adatbázisokhoz való hozzáférése a szervezet vezetősége által jóváhagyott lista alapján történik.

2. Hozzáférés típusa
A felhasználok csak azokhoz a személyes adatokhoz nyernek hozzáférést, amelyek munkaköri feladataik ellátásához szükségesek. Ennek érdekében az adatkezelő különböző hozzáférési típusokat hozott létre funkcionalitás (például: kezelés, betáplálás, feldolgozás, mentés stb.) és a személyes adatokon végzett műveletek szerint (például: írás, olvasás, törlés), és leszögezte az ezekkel kapcsolatos eljárásokat is.
Személyes adatokat feldolgozó rendszerek programozói nem férnek hozzá személyes adatokhoz. Az adatkezelő kizárólag akkor engedélyezi a programozók személyes adatokhoz való hozzáférését, ha ezeket névtelen adatokká változtatta.
A műszaki segítségnyújtást végző részleg hozzáférhet személyes adatokhoz kivételes esetek megoldása érdekében.
A felhasználók kiképzéséhez használt adatok névtelen adatok.
Az adatkezelő szigorú eljárásrendet dolgozott ki a személyes adatok megsemmisítésére vonatkozóan. Személyes adatok ilyen típusú feldolgozására egyetlen felhasználó jogosult.

3. Adatgyűjtés
Az adatkezelő jogosított felhasználókat jelöl ki a személyes adatok információs rendszerbe való begyűjtésére és bevezetésére.
Személyes adatokon bármilyen módosítást kizárólag az adatkezelő által erre jogosított felhasználók végezhetnek.
Az adatkezelő intézkedett, hogy az információs rendszer nyilvántartsa ki, milyen dátumon és hány órakor végezte a módosítást. A könnyen kezelhetőség érdekében az adatkezelő intézkedett, hogy az információs rendszer tárolja a törölt vagy módosított adatokat.

4. Biztonsági másolatok készítése
Az adatkezelő megszabja, hogy milyen időközönként kell a személyes adatokat tartalmazó adatbázisokról, valamint az automatizált adatfeldolgozó programokról biztonsági másolatokat készíteni. A másolatokat készítő felhasználokat az adatkezelő jelöli meg, kis számban. A biztonsági másolatok más termekben tárolandók.
Az adatkezelő intézkedik, hogy a biztonsági másolatokhoz való hozzáférést felügyelet alatt tartsa.

5. Számítógépek és hozzáférési pontok
A számítógépek korlátozott hozzáférést biztosító, zárható termekben vannak berendezve.
Ha a képernyőn személyes adatok láthatóak, és ezekkel egy bizonyos – az adatkezelő által megszabott – ideig nem dolgoznak, a munkafolyamat automatikusan bezárul. Ezen időtartamot az elvégzendő műveletektől függően szabja meg az adatkezelő.

6. Hozzáférési napló
Az adatkezelő intézkedett, hogy a személyes adatokat tartalmazó adatbázisokhoz való minden hozzáférés feljegyzésre kerüljön egy hozzáférési naplóba (automatikus feldolzozások esetében ú.n. „log”-ba) vagy az adatkezelő által megjelölt manuális adatfeldolgozásokat rögzítő nyilvántartásba.
A hozzáférési naplóba vagy nyilvántartásba bejegyzett információ:

az azonosító kód (a felhasználó neve manuális adatbázisok esetén);
a megtekintett fájl (lap) neve;
a bejegyzések száma;
a hozzáférés típusa;
a végrehajtott művelet kódja vagy a használt program;
a hozzáférés ideje (év, hónap, nap);
az időpont (óra, perc, másodperc).
Automatikus adatfeldolgozások esetén ezek az információk egy általános hozzáférési naplóba vagy minden felhasználó részére külön naplóba rögzülnek. Bármely jogosulatlan belépési kísérlet is feljegyzésre kerül.
Az adatkezelő köteles legalább 2 évig megőrizni a hozzáférési naplókat, hogy az esetleges vizsgálati eljárások során bizonyítékként lehessen felhasználni őket. Amennyiben a vizsgálat ideje meghosszabbodik, a naplókat az adatkezelő annyi ideig őrzi, ameddig szükséges.
A hozzáférési naplók lehetővé kell tegyék, hogy az adatkezelő vagy a felhatalmazott személy indok nélkül azonosítani tudja a személyes adatokhoz hozzáfért személyeket, hogy fegyelmi büntetéseket tudjon kiróni vagy az illetékes szerveket értesíteni tudja.

7. Telekommunikációs rendszerek
Az adatkezelő köteles időnként a hitelesítéseket és hozzáférési típusokat ellenőrizni a telekommunikációs rendszerek használatával kapcsolatos meghibásodások felismerése érdekében.
Az adatkezelő vállalja, hogy olyan telekommunikációs rendszert alakít ki, mely nem teszi lehetővé a személyes adatok bárhonnan való továbbítását vagy megszerzését.
Amennyiben a telekommunikációs rendszert nem lehet ilyen értelemben biztonságossá tenni, az adatkezelő köteles a személyes adatok védelmét garantáló titkosítási módszert alkalmazni.
A telekommunikációs rendszereken keresztűl az adatkezelő csak az elengedhetetlenül szükséges adatokat továbbítja.

8. A személyzet kiképzése
A kiképzés ideje alatt az adatkezelő köteles a felhasználókat tájékoztatni a személyes adatok feldolgozásáról és ezek szabad forgalmáról szóló 677/2001. számú törvény előírásairól, a személyes adatok feldolgozásával kapcsolatos minimális adatbiztonsági követelményekről, valamint a személyes adatfeldolgozással együttjáró kockázatról, a felhasználó munkakörének megfelelően.
Az adatkezelő tájékoztatja a személyes adatokhoz hozzáférő felhasználókat ezen adatok titkosságáról, és a képernyőn megjelenő üzenetekkel figyelmezteti őket munkavégzés közben. A felhasználók kötelesek munkafolyamataikat bezárni, mikor elhagyják munkahelyüket.

9. Számítógépek használata
A személyes adatok védelmének biztosítása érdekében (különösképpen a számítógépes vírusokkal szemben) az adatkezelő a köveztkező intézkedéseket tette:

megtiltotta a felhasználóknak, hogy külső vagy gyanús forrásból származó programokat használjanak;
tájékoztatta a felhasználókat a számítógépes vírusok veszélyéről;
automatikus vírusölő és biztonsági programokat telepített fel az információs rendszerek védelme érdekében;
letiltotta a „Print screen” gomb működését, mikor a képernyőn személyes adatok láthatóak, így megakadályozva ezek kinyomtatását.

10. Adatok kinyomtatása
Az adatokat kizárólag az adatkezelő által erre felhatalmazott felhasználók nyomtathatják ki. Az adatkezelők kötelesek az ilyen anyagok felhasználására és megsemmisítésére vonatkozóan belső eljárásrendeket jóváhagyni.
Az SC CHOCOLATE BROWN SRL jóváhagyja a saját védelmi rendszerét, figyelembe véve jelen személyes adatok feldolgozásával kapcsolatos minimális adatbiztonsági követelményeket, és az adatok fontosságának megfelelően további biztonsági intézkedéseket vezet be.