Adatvédelmi és adatkezelési szabályzat

Az Adatvédelmi és adatkezelési szabályzat (P17) átfogó keretrendszert határoz meg a személyes adatok védelmére és a privacy-by-design elvek szervezeten belüli bevezetésére. A szabályzat rögzíti azokat a kötelező szervezeti és technikai követelményeket, amelyek szükségesek a nemzetközi szabványoknak és a folyamatosan változó szabályozási keretrendszereknek való megfeleléshez, biztosítva, hogy a személyes adatok kezelése a teljes életciklus során jogszerűen, biztonságosan és átláthatóan történjen. A lefedettség kiterjed valamennyi szervezeti egységre, munkatársra és rendszerre, amely személyes adatot kezel, akár fizikai, akár digitális adathordozón, és magában foglalja a felhőszolgáltatásokat, SaaS-platformokat és mobileszközöket. A szabályzat egyértelműen rögzíti a hatókört, tisztázva, hogy valamennyi munkavállaló, vállalkozó és harmadik fél a követelmények hatálya alá tartozik. Minden olyan környezet, ahol személyes adat található – éles környezet, fejlesztési, teszt- vagy biztonsági mentési rendszerek – a hatály része. A szabályzat nemcsak a személyes adatok gyűjtését, tárolását és felhasználását tárgyalja, hanem az adatmegőrzést, selejtezést, határokon átnyúló adattovábbításokat és az érintetti jogok kezelését is. A szabályzat központi célja a vezető szabályozásoknak és szabványoknak való megfelelés biztosítása: GDPR (5., 6., 12–23., 25., 28., 30., 32–34. cikk; 78. preambulumbekezdés), EU NIS2, EU DORA, ISO/IEC 27001:2022 (5.1, 6.1.3, 8.1, 10.1 záradékok), ISO/IEC 27002:2022 (5.34, 8.10, 8.11 kontrollok), NIST SP 800-53 Rev. 5 (különböző kontrollok) és COBIT 2019 (APO12, DSS01, DSS05, MEA). Ennek érdekében előírja a szerepkörök és elszámoltathatósági struktúrák kijelölését: a felső vezetés biztosítja a stratégiai felügyeletet; a DPO koordinálja a megfelelési folyamatokat, az érintetti jogok érvényesítését és a felügyeleti hatóságokkal való kapcsolattartást; a biztonság, a jogi és megfelelőség, az adattulajdonosok és az IT együttműködve valósítják meg a technikai és szervezeti védelmi intézkedéseket, fenntartják a nyilvántartásokat és kezelik az adatvédelmi incidenseket. A szabályzat megköveteli egy formális Privacy Governance Framework kialakítását, amely a szervezet információbiztonsági irányítási rendszerébe integráltan biztosítja a következetes érvényesítést. Meghatározza az adatvédelmi kockázati nyilvántartások fenntartásának folyamatait, a magas kockázatú adatkezelésekhez kapcsolódó DPIA-k elvégzését, valamint azt, hogy az adatvédelmi kontrollok (az adattakarékosságtól és pszeudonimizálástól az adatmegőrzési ütemezésen át a biztonságos selejtezésig) mélyen beágyazottan működjenek. A jogszerű információkezelés és a dokumentált jogalapok alapvetőek, a hozzájárulás, az adatleltárak és a határokon átnyúló adatáramlások kifejezett kezelésével. Az érintetti kérelmek meghatározott határidőkön belül kerülnek kezelésre és a nyomon követhetőség érdekében naplózásra kerülnek, továbbá a szabályzat részletesen ismerteti az adatvédelmi incidensek kezelésének, a kivételkezelésnek és a harmadik felek felügyeletének keretrendszereit. A rendszeres felülvizsgálatok, az auditnyomvonalak, valamint az éves (vagy eseti) belső auditok követelménye biztosítja, hogy a szabályzat hatékony maradjon és reagáljon a szabályozási változásokra, auditmegállapításokra vagy jelentős incidensekre. Minden jelentős frissítést a felső vezetésnek jóvá kell hagynia, és az információbiztonsági irányítási rendszerben dokumentálni kell. A szabályzat a szervezet tágabb információbiztonsági és kockázatkezelési rendszerének integráns része, szorosan kapcsolódva az incidensreagálásra, kockázatkezelésre, osztályozásra, adatmegőrzésre, adatmaszkolásra és auditnaplózásra vonatkozó kiegészítő szabályzatokhoz.