Kötelező erejű vállalati szabályok (Binding Corporate Rules)


Kötelező erejű vállalati szabályok (Binding Corporate Rules)

Ezen dokumentum tartalmazza valamennyi, a Siemens vállalatcsoport és kapcsolt vállalkozásira irányadó vállalati adatvédelmi szabályokat a harmadik személyek (a továbbiakban: Érintett) személyes adatai kezelésére vonatkozóan.

Az evosoft Hungary Kft., mint a Siemens vállalatcsoport tagja, a személyes adatok kezelése vonatkozásában ezen szabályokhoz kötve van.

A BCR célja

A személyes adatok védelme fontos a Siemens számára. Ezért a Siemens valamennyi, általa kifejtett tevékenysége során betartja az adatvédelemre, különösen pedig a személyes adatok védelmére vonatkozó jogszabályi előírásokat.  A BCR a Siemens vállalatcsoport társaságaira (továbbiakban úgy is, mint résztvevő társaság) vonatkozó belső adatvédelmi szabályozás, amely annak érdekében került megalkotásra, hogy biztosítsa az érintett magánszférájának, alapjogainak és alapvető jogainak tiszteletben tartását, figyelemmel a mindenkor hatályos adatvédelmi szabályokra értve ezalatt különösen, de nem kizárólagosan  az EU által alkotott adatvédelmi szabályokat.

1. A BCR területi hatálya

A BCR rendelkezései érvényesek valamennyi, a Siemens vállalatcsoporthoz tartozó társaság adatkezelésére, amelyeknek a székhelye az

  • Európai Gazdasági Térség valamely államában van, vagy olyan országban honos, amely ország  vonatkozásában az Európai Bizottság a személyes adatok védelmének megfelelő szintjét elismerte, valamint
  • Európai Gazdasági Térségen kívüli államban található, ha az adat egy, az EGT-ben honos résztvevő társaságtól vagy olyan országban honos résztvevő társaságtól kerül továbbításra, ahol az Európai Bizottság a személyes adatok védelmének megfelelő szintjét elismerte,

2.     A személyes adatok feldolgozásának alapelvei

A résztvevő társaságok általi személyes adatkezelés során különösen az Európai Uniós és a személyes adatok és a magánszféra nemzetközi védelmének alapvető normáiról szóló Madridi Határozat rendelkezésein alaluló alapelvek érvényesülnek.

2.1.   Az adatfeldolgozás megengedhetősége és törvényessége

Személyes adatok kezelését jogszerűen, a vonatkozó jogszabályi előírások megfelelően és a jelen BCR-ben lefektetett elvekre figyelemmel kell végezni.

Az adatkezelés csak akkor megengedett, ha:

  •  az érintett ahhoz önként adta határozott, megfelelő tájékoztatáson alapuló, egyértelmű és kifejezett hozzájárulását;
  •  célja szerződéses vagy ahhoz hasonló bizalmi jogviszony létrehozása az érintettel;
  •  az adatkezelő jogos érdekeinek megóvásához szükséges ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll;
  •   az adatkezelőre kötelező jogszabály írja elő, vagy engedi meg;
  •  az, az adatkezelőre vonatkozó jogi kötelezettségek teljesítéséhez szükséges;
  •  az érintett életének, egészségének, testi épségének vagy biztonságának megóvásához szükséges.

Az adatkezelő köteles biztosítani az érintett számára személyes adatai kezeléséhez adott hozzájárulása egyszerű, gyors és hatékony visszavonásának lehetőségét.

2.2.   Célhoz kötöttség

Személyes adatok kizárólag meghatározott, egyértelmű és jogszerű célból kezelhetőek. Személyes adat nem kezelhető a rögzítés céljától eltérő célra. A résztvevő társaságok a számukra továbbított személyes adatokat kezelésük, illetve tárolásuk során kötelesek az érintett hozzájárulásában meghatározott , célból kezelni.

Az adatkezelés céljának módosítása kizárólag az érintett hozzájárulása esetén, illetve akkor megengedett, ha azt az adatot továbbító résztvevő társaság nemzeti jogszabályai lehetővé teszik. 

2.3.   Átláthatóság

A személyes adatok kezelésére csak átlátható módon és formában kerülhet sor. Az adatkezelést végző résztvevő társaság köteles az érintettet (adott esetben az adatközlővel való megegyezés alapján) a következőekről tájékoztatni:

  •   a felelős szervezeti egység és az adatközlő társaság adatairól;
  •  azon személyekről, akik részére az érintett személyes adatai továbbításra kerültek;
  •  az adatkezelés céljáról;
  •  mely forrásból került az adat beszerzésre (amennyiben az adatfelvételre nem közvetlen módon került sor);
  •  a személyes adat marketing célokra történő felhasználásával szembeni tiltakozási jog lehetőségéről és módjáról
  •  egyéb információk, amelyek közlése méltányossági okok miatt szükséges, pl.
  •  a nyilvántartott adat helyesbítése, zárolása, törlése iránti kérelem benyújtásának lehetőségéről, tájékoztatáshoz való jogról.

Amennyiben a személyes adat nem közvetlenül az érintettől került felvételre, úgy a fenti tájékoztatási kötelezettség  alól az adatkezelő csak akkor mentesül, ha (i) az intézkedésre az érintett, vagy más személy jogainak védelme érdekében került sor,  (ii) az érintett a fenti tájékoztatást már megkapta, (iii) vagy annak teljesítése aránytalan költséget, vagy terhet jelentene.

2.4.   Adatminőség és adattakarékosság

A személyi adatokat mindig pontosan, a legfrissebb állapot szerint kell nyilvántartani.  A helytelenül, nem pontosan, hiányosan nyilvántartott adatokat helyesbíteni, ha ez nem lehetséges, törölni kell.

Az adatkezelés során figyelemmel kell lenni az adattakarékosság alapelvére. Az alapelv szellemének megfelelően, a személyes adatok felvételét, feldolgozását, kezelését         az adott feladat ellátásához minimálisan szükséges mértékre kell szorítani.  Különösen akkor indokolt az anonimizálás és pszeudonimizálás alkalmazása, ha az ehhez szükséges ráfordítás arányban áll az elérni kívánt céllal. Az anonimizált, vagy pszeudonimizált adatokon alapuló statisztikai értékelések, jelentések, vizsgálatok adatvédelmi szempontból nem bírnak relevanciával, ha az érintettre vonatkozó következtetés már nem lehetséges.

Az üzleti célból felvett és tárolt, időközben feleslegessé vált személyes adatokat törölni kell. Amennyiben jogszabály ezen adatok vonatkozásában meghatározott ideig tartó megőrzési kötelezettséget ír elő, ezen adatokat törlés helyett zárolni kell.

2.5.   Személyes adatok továbbítása

Személyes adatot a BCR hatálya alá tartozó résztvevő társaság olyan személy részére, amely nem tartozik a BCR hatálya alá, csak akkor továbbíthat, ha:

  • elfogadta s aláírta az EU standard klauzulákat
  • USA-ban honos személy esetén EU/USA Privacy Shield által tanúsított
  •  amennyiben a fogadó fél adatfeldolgozó, úgy a fentieken az ez esetre irányadó rendelkezéseknek is érvényesülniük kell. 

2.6.   Különleges adat

Főszabály szerint tilos az faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat (különleges adat) kezelése.

A felsoroltak körébe tartozó személyes adat kezelésére az érintett kifejezett beleegyezése esetén kerülhet sor.

Nincs szükség az érintett hozzájárulására, ha

  •  az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, és az adatkezelés a saját vagy más személy létfontosságú érdekeinek védelméhez szükséges; vagy
  • az adatfeldolgozás megelőző egészségügyi, orvosi diagnosztikai célból, gondozás vagy egészségügyi szolgáltatások igénybevétele céljából szükséges, ha az adatokat szakmai titoktartási kötelezettség alá eső orvosi személyzet vagy azzal egyenértékű titoktartási kötelezettség alá eső más személyzet kezeli; vagy
  • az érintett az adatot már nyilvánosságra hozta; vagy
  • az adatkezelés az adatkezelő jogos érdekének érvényesítése, vagy igényérvényesítéssel szembeni védekezése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll; vagy
  • az alkalmazandó nemzeti jogszabályok az adatkezelést kifejezetten megengedik (pl. kisebbségek/ kisebbségi jogok védelme érdekében) és az adatkezelés során a személyes adatok védelmét megfelelően biztosító intézkedések biztosítottak

Különleges adat kezelését megelőzően az illetékes adatvédelmi megbízottal (DPO) való konzultáció kötelező.

2.7.   Automatizált adatfeldolgozással hozott döntés

Amennyiben a személyes adatok feldolgozására automatizált döntéshozatal céljából kerül sor, az érintett jogos érdekeinek érvényesülését megfelelő intézkedésekkel biztosítani kell.  Az érintett jogi helyzetét hátrányosan érintő döntés az kizárólag a személyiségjegyek kiértékelésén alapuló automatizált adatfeldolgozás – azaz kizárólag informatikai eszköz alkalmazása - útján nem hozható. Ez alól kivételt képez, ha a döntést

  • valamely szerződés megkötése vagy teljesítése során hozták, amely szerződés megkötését az érintett kezdeményezte, vagy jogos érdekének biztosítására megfelelő biztosítékok állnak rendelkezésre, mint például a véleményének kinyilvánítását lehetővé tevő intézkedések; vagy
  • olyan jogszabály teszi lehetővé, amely az érintett jogos érdekeit biztosító intézkedéseket is megállapítja

2.8.   Adatbiztonság

Az adatkezelő köteles minden szükséges műszaki és szervezeti intézkedést megtenni a személyes adatok jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás elleni védelme érdekében. A technika mindenkori állására és a végrehajtás során keletkező költségekre is figyelemmel, az ilyen intézkedéseknek a személyes adatok védelmének olyan szintjét kell biztosítaniuk, amely az adatkezelésből eredő kockázatokra és a védendő személyes adat fajtájára tekintettel megfelelő. A különleges személyes adatokat fokozottan kell védeni.

A bevezetésre kerülő biztonsági intézkedések különösen vonatkoznak számítógépekre, hálózatokra, kommunikációs összeköttetésekre, valamint alkalmazásokra.

A megfelelő szintű műszaki és szervezeti adatvédelmi intézkedések biztosítása érdekében a Siemens kötelezően alkalmazandó információbiztonsági szabályanyagot vezetett be. 

A személyes adatok megfelelő védelmét biztosító konkrét intézkedések közé tartozik a belépés ellenőrzése, a rendszerhez való hozzáférés ellenőrzése, az adatokhoz való hozzáférés ellenőrzése, az átviteli ellenőrzés, a bemeneti ellenőrzés, a feladatvezérlés, a rendelkezésre állás ellenőrzése és az elkülönítés ellenőrzése.

Valamennyi számítógép – ideértve a mobil eszközöket is - jelszóval védett. A Siemens - Intranet tűzfallal védett a belső információk külső, illetéktelen személyek általi hozzáférése ellen. A személyes adatok továbbítása a vállalat saját belső hálózatán keresztül – amennyiben azt a személyes adat természete vagy felhasználásának célja indokolja -  titkosítottan történik. 

2.9.   Az adatkezelés titkossága

Személyes adatok csak és kizárólag olyan munkavállaló gyűjthet, akinek ez munkaköri feladata és ebből adódóan szigorúbb adatvédelmi kötelezettség terheli, amelyre őt a munkáltató figyelmeztette. A munkavállalók személyes adatokhoz való hozzáférési jogait a tevékenységi területük, munkakörük által indokolt mértékre kell korlátozni.   Tilos a személyes adatokat magáncélra használni, jogosulatlan személynek továbbítani, vagy egyéb módon hozzáférhetővé tenni. Ezen rendelkezés értelmében jogosulatlannak tekintendő valamennyi munkavállaló, akiknek a személyes adathoz való hozzáférésre nem a munkakörükbe tartozó feladat ellátása érdekében szükséges.  A titoktartási kötelezettség a munkavállalót a munkaviszonyának megszűnését is követően terheli.

2.10. Megbízás alapján történő adatfeldolgozás

Amennyiben a résztvevő társaság (adatkezelő) a személyes adatok kezelésével jelen BCR keretében egy másik, társaságot bíz meg, a következőkre kell figyelemmel lenni:

  • Az adatfeldolgozót az adatkezelő a legnagyobb körültekintés és gondosság tanúsításával köteles kiválasztani. Csak olyan adatfeldolgozó választható, aki a személyes adatok védelme érdekében meghatározott műszaki és szervezeti intézkedéseket biztosítani tudja;
  •  Az adatkezelő köteles rendszeresen meggyőződni arról, hogy az adatfeldolgozó a megállapodott műszaki és szervezeti intézkedéseket maradéktalanul betartja;
  •  A megbízás alapján történő adatfeldolgozásról írásban, vagy egyéb módon dokumentált szerződésben kell megállapodni, amely megállapodás az adatfeldolgozó jogait és kötelezettségeit egyértelműen rögzíti;
  • Az adatfeldolgozó köteles az adatkezelőtől a megbízás keretében átvett adatokat a megbízó rendelkezései szerint kezelni; saját célú, illetve harmadik személy érdekében történő adatfeldolgozást az alapul szolgáló megállapodásban ki kell zárni; és
  • Az adatkezelés jogszerűségéért és az érintettel való kapcsolattartásért változatlanul az adatkezelő felel.

3.     Az érintett jogai

Az érintettet a BCR hatálya alá tartozó résztvevő társaság által feldolgozott személyes adatai vonatkozásában az alábbi jogok illetik meg:

  • Az érintettet megilleti a formakényszer nélküli tájékoztatáshoz való jog, különösen a tárolt személyes adataira, azok forrására, valamint az adatkezelés céljára vonatkozóan.  Az érintettet kérelmére tájékoztatni kell továbbá az adatkezelésért felelős szerv adatairól, - adattovábbítás esetén – azon szerv adatairól, amely felé az adattovábbítás történt. A tájékoztatáshoz való jog magában foglalja tovább az automatizált adatfeldolgozás működési mechanizmusára vonatkozó információkat is, automatizált adatfeldolgozáson alapuló döntéshozatal esetén.  Amennyiben a mindenkor irányadó jogszabályok szerint ezt lehetővé teszik, úgy az érintettet megillető tájékoztatási jog megszűnik, ha annak teljesítése üzleti érdeket jelentősen veszélyeztetne – pl. üzleti titok nyilvánosságra hozatala – és az üzleti titok megtartásához nagyobb érdek fűződik, mint az érintett tájékoztatáshoz való jogának teljesítéséhez. Nemzeti jogszabályok az érintettet megillető tájékoztatáshoz való jogot ezen túlmenően is korlátozhatják, ha azt az érintett rövid időn belül alapos ok nélkül, ismételten kívánja gyakorolni. A tájékoztatás megadása- amennyiben ezt az alapul fekvő nemzeti jogszabályok megengedik – megfelelő mértékű díjfizetés teljesítéséhez köthető.  
  •  Adatváltozás, hiányos adatállomány vagy téves adatrögzítés észlelése esetén az érintett kérheti személyes adatainak helyesbítését illetve kijavítását.
  • Az érintettnek joga van személyes adatainak zárolását kezdeményezni, amennyiben a kezelt adatok helyessége (illetve helytelensége) nem határozható meg egyértelműen.
  •  Ha az adatkezelés célja megszűnt, vagy az adatkezelése (ideértve magának az adatrögzítésnek a jogellenességét is) egyébként jogellenes, vagy időközben azzá vált, az érintett adatait törölni kell.  Az érintett személyes adata törlése vonatkozásában előterjesztett kérelmét megfelelő határidőn belül teljesíteni kell, feltéve, hogy az adat vonatkozásában jogszabály, vagy szerződés rendelkezése kötelező megőrzési (archiválási) időt nem ír elő. Amennyiben törvényi rendelkezés az érintett adatainak meghatározott időtartamra szóló megőrzését kötelezően előírja, úgy törlés helyett az adatok zárolására van lehetőség. Ugyanezen rendelkezés érvényes arra az esetre is, ha az adat törlésére nincs lehetőség.
  • Az érintett jogosult tiltakozni adatai kezelése ellen, amennyiben adatait kereskedelmi, illetve piac- és közvélemény-kutatási céllal kezelik.  Az érintettet ezen jogáról tájékoztatni kell.
  • Ezen túlmenően az érintettet általános tiltakozási jog illeti meg abban az esetben, ha különösen méltányolandó személyes helyzetére való tekintettel bizonyítást nyer, hogy személyes adatai védelméhez való jogának érvényesítéséhez nagyobb érdek fűződik, mint  az adatkezelő jogos érdeke.

Az érintett a fenti jogait a résztvevő társasá​g DPO-ja, avagy a Siemens AG központi Data Privacy részlege előtt, írásban érvényesítheti. Az érintett kérelmét a kérelmezett résztvevő társaság köteles megfelelő határidőn belül, írásban megválaszolni.  Az írásbeliség kritériumát az e-mail formájában történő megválaszolás kielégíti.

4.     Az érintettel szembeni kötelezettségek

A BCR jelen pontjaiban foglalt rendelkezései az érintettel szemben kötelezőek.

Az érintett, az ezen rendelkezések be nem tartásából származó igényét – választása szerint- a rendelkezést megszegő résztvevő társasággal, vagy a Siemens AG (LC CO DP) illetékes központi részlegével szemben érvényesítheti. 

Ezen túlmenően az érintett jogosult panaszával az illetékes adatvédelmi hatósághoz fordulni, avagy személyes adatai jogszerűtlen kezeléséből eredő kártérítési, vagy egyéb igényeit a résztvevő társággal szemben bírói úton érvényesíteni.  Az érintett kérelmének elbírálására tárgyában

  • annak a résztvevő társaságnak a székhelye szerinti bíróság, amely társaság a személyes adatot továbbította; vagy
  • a Siemens AG székhelye szerinti legfelsőbb bíróság; vagy
  • az illetékes adatvédelmi hatóság

jár el.

Következésképpen a BCR rendelkezéseinek az EGT-n kívüli országban székhellyel rendelkező résztvevő társaság általi megsértése esetén is az EGT-n belül található bíróság, illetve hatóság jár el. Az érintettet ugyanazon jogok illetik meg a felelősséget átvállaló résztvevő társasággal szemben, mint amik akkor illeték volna, ha a jogsértés egy, az EGT-n belül székhellyel rendelkező résztvevő társaság követte volna el.

A fentiekben foglaltakkal ellentétben nem áll fenn a felsorolt bíróságok és hatóságok illetékessége, ha bár az adatot fogadó társaság az EGT-n kívül rendelkezik székhellyel, de az Európai Bizottság döntése alapján a székhely szerinti országban a személyes adatok védelmének megfelelő szintje biztosított.

Azon országokban, ahol az érintettek jogai a BCR bevezetésével nem kielégítően biztosíthatóak, a Siemens AG – amennyiben szükséges – kiegészítő megállapodásokat köt az érintett résztevő társaságokkal.   A BCR-ben az érintettnek biztosított jogok érvényesíthetőségének és a BCR elfogadásának elismeréseként a résztvevő társaság Kötelezettségvállaló Nyilatkozatot ír alá. Ugyanez érvényes a Siemens AG és a vállalatcsoportba belépő társaság között létrejövő csatlakozási szerződések esetén is.

5.     Jogérvényesítés

Az érintett jogosult a BCR résztvevő társaság általi megsértése esetén, avagy személyes adatai kezelésére vonatkozó kérdésével a résztvevő társaság DPO-jához, vagy a Siemens AG központi Data Privacy részlegéhez fordulni.   A kérelmezett társaság köteles az érintett panaszát méltányos határidőn – főszabály szerint a panasz beérkezését követő három hónapon - belül feldolgozni és megválaszolni. A társaságnak fel nem róható késedelem esetén – pl. az érintett a panasz elbírálásához szükséges információkat nem állítja rendelkezésre – a határidő szükségszerűen meghosszabbodhat. 

A panaszok elbírálásával megbízott munkavállalók a függetlenség megfelelő          fokával rendelkeznek feladataik ellátásához.

Valamennyi résztvevő társaság és a Siemens AG illetékes részlege (LC CO DP) köteles együttműködni az adott ország adatvédelmi hatóságaival és azok állásfoglalását elfogadni.

6.     Egymás közötti és az adatvédelmi hatóságokkal való együttműködés

A Siemens AG és a résztvevő társaságok a BCR be nem tartásából eredő érintetti megkeresések és panaszok elintézése során egymást támogatva, kölcsönösen együttműködnek.

A Siemens AG és a résztvevő társaságok kötelesek továbbá a BCR implementálása során az illetékes adatvédelmi hatóságokkal együttműködni. E körben kötelesek az adatvédelmi hatóságok BCR-rel kapcsolatos megkereséseit megfelelő határidőben és módon megválaszolni, valamint a hatóság javaslatait és döntéseit a BCR implementálása során figyelembe venni.

7.     A BCR nemzeti jogszabályokhoz való viszonya

A személyes adatok kezelésének jogszerűségét minden esetben az irányadó nemzeti jogszabályok alapján kell megítélni. Amennyiben az alkalmazandó nemzeti jog a személyes adatok védelmének magasabb szintjét (szigorúbb szabályokat) biztosítja, az adatkezelésre ezen nemzeti jogszabályokat kell alkalmazni. Valamennyi résztvevő társaság (pl. DPO vagy a jogi részleg) köteles megvizsgálni az e körbe tartozó nemzeti jogszabályok létét és gondoskodni betartásukról. Amennyiben az alkalmazandó nemzeti jog a személyes adatok védelmének alacsonyabb szintjét biztosítja a BCR-ben meghatározottnál, úgy a BCR rendelkezéseit kell alkalmazni.

Amennyiben az irányadó nemzeti jog olyan kötelezettségeket ír elő, amelyek ellentmondanak a BCR rendelkezésinek, a résztvevő társaság köteles haladéktalanul értesíteni az LC C DP részleget, amelyet az LC C DP megfelelően dokumentál.

Az LC C DP részleg a bejelentésről informálja mindazon résztvevő társaságokat, akik a nemzeti jog és a BCR ellentmondását jelző társaságnak megelőzőleg személyes adatot továbbítottak. Az LC C DP részleg informálja továbbá az illetékes adatvédelmi hatóságot és együttműködik vele annak érdekében, hogy az ellentmondás egy, az alapul fekvő európai jog rendelkezéseinek megfelelő megoldással feloldásra kerüljön.

8.     Felelősség

A Siemens AG átvállal a BCR rendelkezéseinek az EGT-n kívüli székhellyel rendelkező résztvevő társaságok általi be nem tartásából eredő mindennemű felelősséget. A Siemens AG kötelezettséget vállal arra, hogy felügyeli a BCR rendelkezéseinek az EGT-n kívül székhellyel rendelkező résztvevő társaságok általi betartását és különös figyelmet fordít arra, hogy az EGT-n kívül székhellyel rendelkező résztvevő társaságok minden szükséges segítséget megkapjanak a BCR rendelkezései megszegésének elkerülése érdekében.

A Siemens AG kötelezettséget vállal továbbá arra, hogy a BCR bizonyított megszegése és az abból eredő jogsérelem esetén az érintettnek kártérítést fizet.

A bizonyítási teher a Siemens AG-t terheli. A Siemens AG-nak igazolnia kell, hogy a BCR rendelkezései nem kerültek megsértésre, vagy hogy a BCR megsértése, amelyre az érintett kárigényét alapítja, az EGT-n kívüli székhellyel rendelkező résztvevő társaságnak nem felróható. 

9.     Kontakt

Személyes adatok kezelésével kapcsolatos észrevételével, panaszával az evosoft Hungary Kft. Data Privacy Officeréhez (DPO), vagy a Siemens AG központi Data Privacy részlegéhez fordulhat:

Központi Data Privacy részleg:

Siemens AG LC CO DP
St.-Martin-Str. 76
D-81541 München
E-Mail: datenschutz@siemens.com
Internet: http://www.siemens.com