15/2010. (XI. 16.) BM utasítás
15/2010. (XI. 16.) BM utasítás
a Belügyminisztérium Adatvédelmi és Adatbiztonsági Szabályzatának kiadásáról1
2010.11.17.
A központi államigazgatási szervekről, valamint a Kormány tagjai és az államtitkárok jogállásáról szóló 2010. évi XLIII. törvény 34. § (2) bekezdésében meghatározott feladatkörömben eljárva, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 31/A. § (3) bekezdésére, 20. § (8) bekezdésére, a Belügyminisztérium által kezelt közérdekű adatok megismerésére irányuló igények teljesítésére vonatkozó szabályokra, az elektronikus információszabadságról szóló 2005. évi XC. törvény 4. § (3) bekezdésére figyelemmel a Belügyminisztérium Adatvédelmi és Adatbiztonsági Szabályzataként a következő utasítást adom ki:
1. § A Belügyminisztérium Adatvédelmi és Adatbiztonsági Szabályzatát ezen utasítás 1. számú mellékletében foglaltak szerint határozom meg.
2. § Ez az utasítás a közzétételét követő napon lép hatályba.
1. számú melléklet a 15/2010. (XI. 16.) BM utasításhoz
A Belügyminisztérium Adatvédelmi és Adatbiztonsági Szabályzata
Általános rendelkezések
1. A Szabályzat célja
A Belügyminisztérium Adatvédelmi és Adatbiztonsági Szabályzatának (a továbbiakban: Szabályzat) célja, hogy a Belügyminisztérium (a továbbiakban: Minisztérium) tevékenysége során a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása, illetve a Minisztérium által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat.
A Szabályzat célja továbbá a Minisztérium kezelésében lévő közérdekű adatok nyilvánosságának biztosítása. Ennek érdekében meghatározza a közérdekű adatok megismerésére irányuló igények elbírálása során irányadó eljárási szabályokat, valamint az elektronikus formában közzéteendő adatok megismerésére irányuló igények elbírálása során irányadó eljárási szabályokat, illetve az elektronikus formában közzéteendő adatok nyilvánosságra hozatalával összefüggő feladatokat.
2. A Szabályzat hatálya
A Szabályzat hatálya kiterjed a Minisztérium teljes működési területére, a Minisztérium adatkezeléseire, valamint a Minisztérium állományára és a Minisztériummal kapcsolatban álló valamennyi természetes és jogi személyre, valamint jogi személyiség nélküli szervezetre.
A Szabályzat hatálya nem terjed ki a minősített adatokra, valamint a személyügyi nyilvántartás és az informatikai biztonság részletes szabályaira.
3. A Szabályzat érvényesítése
3.1. A Szabályzat elkészítése és szükség szerinti módosítása a belső adatvédelmi felelős (a továbbiakban: adatvédelmi felelős) feladata.
3.2. A Szabályzatban előírtak betartatásáért hatás- és jogosultsági körében minden érintett önálló szervezeti egység vezetője felelős.
3.3. A Minisztérium dolgozói feladataik ellátása közben személyes adatot csak a vonatkozó jogszabályok és belső normák – így különösen a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.), az elektronikus információszabadságról szóló 2005. évi XC. törvény (a továbbiakban: Eitv.), és jelen Szabályzat – előírásainak figyelembevételével, az adatvédelemre vonatkozó alapelvek tiszteletben tartásával kezelhetnek. Ez a kötelezettség megfelelően vonatkozik a Minisztérium megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre, amit az adatfeldolgozóval kötött írásbeli megbízási szerződésben a szerződést megkötő szervezeti egység kifejezésre juttat és ennek figyelembevételével határozza meg a szerződés feltételeit.
4. Értelmező rendelkezések
Jelen Szabályzat alkalmazásában:
a) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége, az adatkezelés azon állapota, amelyben a kockázati tényezőket a szervezési, műszaki megoldások és intézkedések a minimálisra csökkentik;
b) adatfeldolgozás: Avtv. 2. § 15. pont;
c) adatfeldolgozó: Avtv. 2. § 16. pont;
d) adatkezelés: Avtv. 2. § 9. pont;
e) adatkezelő: Avtv. 2. § 8. pont;
f) adatkezelő szerv és vezetője: az adatvédelmi előírások alkalmazása során adatkezelő szervnek a Minisztériumot, az adatkezelő szerv vezetőjének a Minisztérium vezetőjét, a minisztert kell tekinteni;
g) adattovábbítás: Avtv. 2. § 10. pont;
h) közérdekből nyilvános adat: Avtv. 2. § 5. pont;
i) közérdekű adat: Avtv. 2. § 4. pont;
j) különleges adat: Avtv. 2. § 2. pont;
k) személyes adat: Avtv. 2. § 1. pont;
l) érintett: bármely meghatározott (azonosított vagy azonosítható) természetes személy, akivel kapcsolatba hozható az adat, az adatból levonható az érintettre vonatkozó következtetés.
Az adatvédelem szervezeti rendszere a Minisztériumban
1. Az adatkezelő szerv vezetője
Az adatkezelő szerv vezetője felelős
a) a Minisztérium adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a Minisztérium által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtételéért;
b) az alárendelt személyi állomány adatvédelmi oktatásáért és továbbképzéséért az adatvédelmi felelős bevonásával;
c) az irányítása alá tartozó szerv tevékenységének rendszeres adatvédelmi ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
d) az érintett törvényben meghatározott jogainak gyakorolásához szükséges feltételek biztosításáért.
2. A Minisztérium önálló szervezeti egységei
2.1. A minisztériumi önálló szervezeti egységei (a továbbiakban: szervezeti egységek) vezetői minden év április 15-ig felterjesztik az Iratkezelési és Adatvédelmi Főosztályra az adatvédelmi felelősnek az adatvédelmi és adatbiztonsági helyzetről az irányítása alá tartozó szervezeti egységekre vonatkozóan elkészített összesített jelentést, valamint az 1. számú függelékben meghatározott adatlapokat az adatvédelmi biztoshoz történő továbbítás céljából. A jelentési kötelezettség a II. fejezet 4. pontjában meghatározott esetekben terheli a szervezeti egységet.
2.2. A szervezeti egységek véleményezésre megküldik az Avtv. 4/A. § (4) bekezdés alapján megkötött adatfeldolgozói megbízási szerződések tervezetét az adatvédelmi felelősnek.
2.3. Amennyiben a szervezeti egységekhez az Avtv. 12. § (1) bekezdés szerint tájékoztatás iránti kérelemmel, valamint az Avtv. 20. § (1) bekezdés szerinti igénnyel fordul az érintett, a szervezeti egység a tájékoztatás, illetve a válaszlevél tervezetét véleményezésre megküldi az adatvédelmi felelősnek.
2.4. A szervezeti egységek vezetői gondoskodnak arról, hogy az irányításuk alá tartozó személyi állomány megismerje a rá vonatkozó adatvédelmi szabályokat.
2.5 A beszerzésekkel foglalkozó szervezeti egység az adatvédelmet érintő beszerzések lefolytatása esetén köteles az eljárásba az adatvédelmi felelőst is bevonni.
3. Az adatvédelmi felelős
A Minisztérium adatvédelmi felelőse a Szabályozási és Koordinációs Helyettes Államtitkárság állományába kinevezett kormánytisztviselő.
Az adatvédelmi felelős ellátja a Minisztérium adatvédelmi tevékenységének szakirányítását, ennek keretében:
a) részt vesz az adatvédelmet érintő jogszabály-tervezetek kidolgozásában és annak koordinációja során képviseli a Minisztérium álláspontját;
b) elkészíti az adatvédelem tárgyában kiadandó normák tervezetét, közreműködik az adatvédelmet érintő egyéb belső normák kidolgozásában;
c) a Minisztérium szervezeti egységének megkeresése esetén közreműködik az érintett állomány oktatásában;
d) egyedi ügyekben kidolgozott állásfoglalásával segíti az adatvédelmi tevékenységet, az egységes gyakorlat kialakítását;
e) a Minisztérium adatkezelési tevékenységét érintő ügyekben közreműködik a Minisztérium álláspontjának kialakításában, kapcsolatot tart az Adatvédelmi Biztos Irodájával és a társszervek adatvédelmi felelőseivel, közreműködik az adatvédelmi biztos Minisztériumot érintő vizsgálatainak lefolytatásában és az ezekkel összefüggő megkeresések megválaszolásában;
f) kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel a szervezeti egységet vagy az adatfeldolgozót, indokolt esetben vizsgálat lefolytatására tesz javaslatot;
g) vezeti a belső adatvédelmi nyilvántartást, végzi az adatvédelmi biztos adatvédelmi nyilvántartásába történő bejelentésekkel összefüggő feladatokat;
h) a Minisztérium főosztályai éves jelentései alapján elkészíti a Minisztérium adatvédelmi helyzetéről szóló éves jelentést;
i) közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
j) ellenőrzi az Avtv. és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a betartását;
k) elkészíti az adatvédelmi és adatbiztonsági szabályzatot, valamint szükség esetén és a Minisztérium szervezeti egységeinek kezdeményezésére indokolt esetben elkészíti annak módosítását, illetve hivatalból aktualizálja azt;
l) az Avtv. 13. § (3) bekezdése alapján az érintett személyes adatai kezelésére vonatkozó tájékoztatás megtagadásáról, valamint az Avtv. 20. § (1) bekezdés szerint a közérdekű adatok megismerése iránti elutasított igényekről évente értesíti az adatvédelmi biztost a hivatali út betartásával;
m) részt vesz a miniszter személyes adatok védelmével és közérdekű adatok nyilvánosságával kapcsolatos feladatainak ellátásában, ennek során évente jelentést tesz október 1. napjáig a miniszternek az adatkezeléssel kapcsolatosan az adatvédelmi feladatok végrehajtásának tapasztalatairól és a közérdekű adatok nyilvánosságának helyzetéről;
n) közreműködik a Minisztérium állományának adatvédelmi tárgyú, valamint a közérdekű adatok nyilvánosságával kapcsolatos képzésében és továbbképzésében.
4. A Minisztérium főosztályainak adatvédelmi jelentése
A II. fejezet 2.1. pontjában meghatározott jelentés tartalmazza különösen:
a) az adott szervezeti egységnél végzett adatvédelmi tárgyú ellenőrzések megjelölését, azok fontosabb megállapításait, a feltárt lényeges szabálytalanságokat, hiányosságokat, a megszüntetésükre tett intézkedéseket;
b) a szervezeti egység állományába tartozók ellen az adatvédelmi előírások megsértése miatt indított fegyelmi, szabálysértési és büntetőeljárásokra vonatkozó adatokat (az érintettek megjelölése nélkül);
c) az adatvédelmi biztos által végzett helyszíni vizsgálatokat, megkereséseket, azok fontosabb megállapításait;
d) a közérdekű adatok nyilvánosságának helyzetét az adott szervezeti egységnél a 2. számú függelék kitöltésével.
Adatállományok (nyilvántartások) létrehozatala, ügyviteli és nyilvántartási célú adatkezelés
1. Az adatkezelés alapja
1.1. A személyes adatok kezelése törvényi felhatalmazáson vagy az érintett beleegyezésén alapulhat. Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez történő hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét az eljárás kezdetén fel kell hívni.
1.2. Kötelező adatszolgáltatáson alapuló adatkezelést csak közérdekből, törvény rendelhet el. Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatszolgáltatást elrendelő jogszabályt is.
1.3. Törvényi felhatalmazás hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott – különleges adat esetén írásbeli – hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás beszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére. A hozzájárulást – későbbi igazolhatósága érdekében – különleges adatnak nem minősülő személyes adatok esetén is célszerű írásban rögzíteni.
1.4. Az érintettet az adatkezeléshez történő hozzájárulásának beszerzése előtt tájékoztatni kell arról, hogy
a) milyen adatait, milyen célból, mennyi ideig kívánja kezelni a Minisztérium;
b) mely szerv és hol végzi az adatkezelést, illetve az adatfeldolgozást;
c) az adatok továbbítására milyen célból és mely szervek részére kerülhet sor;
d) az adatkezeléssel kapcsolatban milyen jogokkal rendelkezik (tájékoztatáskérési, helyesbítési és törléskezdeményezési, valamint tiltakozási jog);
e) milyen jogorvoslati lehetőséggel rendelkezik (bírósági jogérvényesítés útja).
1.5. Kivételesen az Avt. 3. § (8) bekezdésében felsorolt esetekben az érintett hozzájárulása, valamint törvényi felhatalmazás hiányában is sor kerülhet az adatok kezelésére.
1.6. A Minisztérium kezelésében lévő személyes adatok nyilvánosságra hozatalát törvény – az adatok körének meghatározásával – közérdekből rendelheti el. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett – különleges adat esetében írásbeli – hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
2. Az adatkezelés fajtája
2.1. A Minisztérium – az adatkezelés eltérő célja alapján – ügyviteli, illetve nyilvántartási célú (adatállomány kialakítására irányuló) adatkezelést végez.
2.2. Az ügyvitelhez kapcsolódó adatkezelés szorosan az ügy feldolgozásához kapcsolódik, alapvető célja az adott ügyhöz kapcsolódó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek, kezelésükre ezen célból csak az alapul szolgáló irat selejtezéséig van lehetőség.
2.3. A nyilvántartási célú adatkezelés az előre meghatározott szempontok alapján gyűjtött személyes adatfajtákból strukturált adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, automatizált nyilvántartások esetében a lekérdezhetőségét. Az egyes ügyekkel összefüggésben gyűjtött adatok kezelése ebben az esetben elválik az alapeljárástól, az adatok kezelésének időtartamát az adatok kezelésére felhatalmazást adó törvény, vagy az érintett beleegyezésében foglaltak határozzák meg.
2.4. A nyilvántartási célú adatállomány kialakítását az adatvédelmi felelős állásfoglalásának birtokában a miniszter írásban rendeli el, amennyiben törvény azt elrendeli.
2.5. Az adatkezelés megkezdése előtt a nyilvántartási célú adatállomány létrehozataláról az érintett szervezeti egység – az utasítás 1. számú függelékben meghatározott adatlap kitöltésével – az adatvédelmi felelőst tájékoztatja.
3. A belső adatvédelmi nyilvántartás
3.1. A nyilvántartási célú adatállományt kezelő szervezeti egységek a kialakított adatállományt jelen szabályzat hatálybalépését követő 45 napon belül, a szabályzat hatálybalépését követő új adatállomány kialakítását e tevékenység megkezdése előtt 15 nappal – az utasítás 1. számú függelékben meghatározott adatlap megküldésével – kötelesek bejelenteni az adatvédelmi felelős által vezetett belső adatvédelmi nyilvántartásba.
3.2. Az új adatállomány feldolgozására irányuló vagy új adatfeldolgozási technológia alkalmazásával járó adatállományok kialakítását az erre irányuló tevékenység megkezdését megelőző 45 nappal kell bejelenteni, figyelemmel arra, hogy az Avtv. 31. § (2) bekezdése alapján előzetes ellenőrzési jogkörrel rendelkező adatvédelmi biztos részére az adatlapokat még a tényleges adatkezelés megkezdése előtt 15 nappal kell megküldeni.
3.3. Az adatvédelmi felelős az adatlapokat az adatvédelmi biztosnak történő bejelentés érdekében a közigazgatási államtitkár útján terjeszti fel.
3.4. Az adatkezelésnek az adatvédelmi biztos nyilvántartásába vételekor adott nyilvántartási számot az adatvédelmi felelős közli az érintett szervezeti egységekkel. A nyilvántartási számot az adatok harmadik személy részére történő továbbításánál, nyilvánosságra hozatalánál és az érintettnek történő kiadásánál fel kell tüntetni.
3.5. Nem kell bejelenteni az Avtv. 30. §-ában meghatározott adatkezeléseket.
3.6. A belső adatvédelmi nyilvántartásba bejelentett adatok változását vagy az adatkezelés megszüntetését a bejelentésre kötelezett szervezeti egység köteles 8 napon belül bejelenteni az adatvédelmi felelősnek, aki ennek megfelelően módosítja a Minisztérium belső adatvédelmi nyilvántartásának adatait és a közigazgatási államtitkár útján tájékoztatja az adatvédelmi biztost a változásokról.
Az adatfeldolgozás szabályai
1. A Minisztérium – a vonatkozó jogszabályok és belső normák betartásával – adatfeldolgozót vehet igénybe. Az adatfeldolgozó az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi, és e minőségében gyakorolja az adatkezelő által átruházott jogosultságokat, teljesíti kötelezettségeit.
2. Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Amennyiben az adatfeldolgozóként igénybe venni kívánt szervre vagy személyre jelen utasítás hatálya nem terjed ki, akkor az írásba foglalt megbízási szerződésben kell érvényesíteni az adatfeldolgozóval szemben jelen cím alatt megfogalmazott előírásokat. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
3. Adatfeldolgozó igénybevétele esetén az adatkezelés céljának meghatározására, az adatkezelésre vonatkozó érdemi döntések meghozatalára az adatkezelő jogosult. Ennek megfelelően az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelésre vonatkozó törvény keretei között a Minisztérium határozza meg, valamint felel az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért.
4. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Minisztérium rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. Az adat megismerésére vagy továbbítására vonatkozó kérelem esetén az érdemi döntést a Minisztérium köteles, illetve jogosult meghozni.
5. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá minden olyan jogsértésért, amit az adatkezelő utasításának vagy az adatfeldolgozással összefüggésben kötött megbízási szerződésben foglaltak megszegése okozott. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe.
6. A Minisztérium – esetleges kártérítésre történő kötelezése esetén – az adatfeldolgozó felelősségének megállapítását kezdeményezi, amennyiben a kár bekövetkezését az okozta, hogy az adatfeldolgozó nem tartotta be a megbízási szerződésben foglaltakat, vagy az adatkezelő utasításától eltért.
Az érintett jogainak érvényesítésével összefüggő feladatok
1. Az érintett tájékoztatása, az adat helyesbítése, vagy törlése
1.1. Az érintett tájékoztatást kérhet a Minisztériumtól személyes adatai kezeléséről és kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – azok törlését, valamint ha arra törvény felhatalmazza, tiltakozhat személyes adatának kezelése ellen.
1.2. Az érintett személyes adatának kezelésével összefüggő kérelmére legkésőbb harminc – tiltakozási jog gyakorlása esetén 15 – napon belül írásban, közérthető formában választ kell adni.
1.3. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkezelésre vonatkozó tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg, a már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. A költségtérítés mértékéről a Pénzügyi Erőforrás-gazdálkodási Főosztály intézkedik.
1.4. Amennyiben törvény alapján az érintett tájékoztatása nem tagadható meg, a tájékoztatás kiterjed a kezelt adatok megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
1.5. Az érintett elutasított tájékoztatás iránti kérelmeiről, illetve az elutasítás indokairól évente egy alkalommal az adatvédelmi biztost az adatkezelő tájékoztatja. A jelen szabályzat 2. számú függelékét képező, kitöltött formanyomtatványokat minden év április 15. napjáig a szervezeti egységek az adatvédelmi biztos részére történő továbbítás érdekében az adatvédelmi felelősnek megküldik. Amennyiben ilyen kérelem az adott szervezeti egységhez tárgyévben nem érkezett, a formanyomtatványt nem kell az adatvédelmi felelősnek megküldeni.
1.6. A valóságnak nem megfelelő adatot az adatkezelő – amennyiben a szükséges adatok rendelkezésre állnak – köteles helyesbíteni. Amennyiben a hibás adat nem helyesbíthető, akkor azt – törvény eltérő kifejezett rendelkezésének hiányában – törölni kell. A hibás adatot a kijavításig, vagy a törlésig jelzéssel kell ellátni.
1.7. A kezelt adatot az Avtv. 14. § (2) bekezdésében meghatározott esetekben törölni kell.
1.8. Az adat helyesbítéséről vagy törléséről az érintetten kívül mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti. Ezen tájékoztatást a szervezeti egységek közvetlenül végzik, az adatvédelmi felelőst pedig a levél másolatának megküldésével tájékoztatják.
2. A tiltakozási jog gyakorlása
2.1. Az érintett az Avtv. 16/A. § (1) bekezdésében meghatározott esetekben tiltakozhat személyes adatának kezelése ellen.
2.2. Az érintett tiltakozása elbírálásának időtartamára az adatkezelést az adott szervezeti egység felfüggeszti, és erről az adatvédelmi felelőst tájékoztatja. A felfüggesztés időtartama alatt az adat a tiltakozási jog elbírásával összefüggő eljáráson kívül nem használható fel, nem továbbítható, a tárolásán kívül egyéb adatkezelési művelet nem végezhető. Amennyiben a tiltakozás indokolt, az adott szervezeti egység köteles az adatkezelést megszüntetni és az adatokat – a tiltakozási jog miatt történt felfüggesztésre utaló jelölés elhelyezése mellett – zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította.
2.3. Ha az adatzárolás közlésétől számított 15 napon belül az adatokhoz történő hozzájutás érdekében az értesített(ek) nem fordulnak bírósághoz a Minisztérium ellen, vagy a bíróság az adatátadást kezdeményező harmadik fél kérelmét elutasítja, az érintett szervezeti egység köteles az érintett személyes adatát a határidő lejártától, illetve az ítélet közlésétől számított 3 napon belül törölni.
2.4. Az érintett adata nem törölhető, ha az adatkezelést törvény rendelte el. Ha azonban a Minisztérium egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította, az adat nem továbbítható az adatátadást kezdeményező harmadik fél részére. Ennek érdekében az adat mellett erre utaló jelölést kell elhelyezni.
Az adatvédelmi biztos vizsgálatában történő közreműködés szabályai
1. A vizsgálattal érintett szervezeti egység köteles az adatvédelmi biztos részére:
– minden szükséges felvilágosítást megadni,
– az összes olyan iratba való betekintést lehetővé tenni, amely személyes adatokkal, közérdekű adatokkal, vagy közérdekből nyilvános adatokkal összefügghet;
– biztosítani azokba a helyiségekbe való belépést, ahol adatkezelés folyik;
– a minősített adatok megismerését elősegíteni.
2. A fenti kötelezettségek a szervezeti egységekre akkor is vonatkoznak, ha az adatvédelmi biztos jogait munkatársai útján kívánja gyakorolni. Ebben az esetben a szervezeti egység vezetője köteles meggyőződni, hogy az eljáró személy rendelkezik-e a vizsgálathoz szükséges felhatalmazással. A felhatalmazásról egy másolatot a vizsgálat iratai között el kell helyezni.
3. Ha az adatkezelő szervezeti egységhez az adatvédelmi biztostól megkeresés érkezik, arról a megkeresés, a válasz, az esetleges viszonválasz, valamint az adatvédelmi biztos vizsgálatának eredményét tartalmazó jelentés egy példányának megküldésével 5 napon belül tájékoztatni kell az adatvédelmi felelőst.
4. Amennyiben az adatvédelmi biztos a jogellenes adatkezelés észlelése esetén a Minisztériumot az adatkezelés megszüntetésére szólítja fel, az érintett szervezeti egység haladéktalanul köteles megtenni az általa szükségesnek tartott intézkedéseket, és erről az adatvédelmi felelős véleményének kikérését követően, 30 napon belül írásban tájékoztatni az adatvédelmi biztost. A Minisztérium köteles a részére kibocsátott ajánlásra 30 napon belül érdemben válaszolni.
5. Ha az adatvédelmi biztos a Minisztérium válaszát, illetve intézkedését nem fogadja el, és határozatban elrendeli a kezelt adatok zárolását, törlését, megsemmisítését, vagy felfüggeszti az adatok külföldre továbbítását, azt a Minisztérium köteles haladéktalanul végrehajtani.
6. A Minisztérium – az adatvédelmi felelős és az érintett szervezeti egység véleményének kikérését követően – az adatvédelmi biztos határozatának felülvizsgálatát – annak kézhezvételét követő 30 napon belül – jogszabálysértésre hivatkozással kérheti a bíróságtól. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban az adatvédelmi biztos határozatának kézhezvételekor fel kell függeszteni és az adatokat zárolni kell.
Adattovábbítás és adatigénylés
1. Általános szabályok
1.1. A Minisztérium által kezelt adatokból személyes adatot továbbítani az érintett beleegyezésének hiányában csak törvényben meghatározott szerv vagy személy részére, törvényben meghatározott körben lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével.
1.2. Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adat birtokában lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett hozzájárulásával rendelkezik az adat kezeléséhez, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
1.3. Az adattovábbítás feltételeinek meglétét az adatot továbbító szervezeti egység minden egyes személyes adattal összefüggésben ellenőrizni köteles és kérelemre – ha törvény másként nem rendelkezik – tájékoztatnia kell arról, ki(k)nek és milyen célból adta, vagy adja tovább az adatokat.
1.4. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt adattovábbítás esetét kivéve – az érintett szervezeti egység vezetőjének hatáskörébe tartozik. Kérdéses esetben a szervezeti egység vezetője kikéri az adatvédelmi felelős állásfoglalását. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza:
a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését);
b) a kért adatok körének pontos meghatározását;
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
1.5. A Minisztérium – törvény eltérő rendelkezése hiányában – csak olyan személyes adatokat továbbíthat, amelyeknek a Minisztérium a törvényben meghatározott adatkezelője. Amennyiben más szerv az adatkezelő, az adatkérést – törvény eltérő rendelkezése hiányában – el kell utasítani és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely szervtől igényelheti.
1.6. Az adattovábbítás történhet kérelemre vagy törvény ilyen tartalmú rendelkezése alapján automatikusan, illetve a hozzáférés biztosítható kérelem alapján történő egyedi adatszolgáltatással, vagy számítógépes (on-line) lekérdezés lehetővé tételével.
1.7. A külföldre történő adatátadás során a személyes adatok megfelelő szintű védelme akkor biztosított, ha érvényesülnek az Avtv. 9. § (2) bekezdésében foglaltak.
2. Adattovábbítási nyilvántartás
2.1. A Minisztérium által kezelt személyes adatok továbbításáról az érintett szervezeti egységnél adattovábbítási nyilvántartást kell vezetni, amelyben rögzíteni kell:
a) az érintett nevét;
b) az adattovábbítás időpontját;
c) az adattovábbítás célját és jogalapját;
d) az adatigénylő nevét vagy megnevezését;
e) a továbbított adatok fajtáját (maguk a szolgáltatott adatok nem képezik az adattovábbítási nyilvántartás részét).
2.2. Számítógépes adatállomány rendszerbe állítása esetén az adattovábbítás naplózását programtechnikailag kell biztosítani. A már működő adatállományok esetében a technikai és költségvetési lehetőségek függvényében szintén kezdeményezni kell az adattovábbítás céljának naplózásához szükséges technikai feltételek megteremtését. Manuális adatkezelések esetében – vagy ha a számítógépes adatkezeléseknél a naplózás nem biztosítható – manuális módon (például betekintő lap vezetésével) kell gondoskodni az adattovábbítási nyilvántartás vezetéséről.
2.3. Az adattovábbítási nyilvántartás adatait az adattovábbítástól számított öt – különleges adatok esetén húsz – évig meg kell őrizni. A nyilvántartásba kizárólag az alábbi személyek tekinthetnek be:
a) az adatvédelmi biztos, a bíróság, a nyomozó hatóság, a nemzetbiztonsági szerv törvényben meghatározott feladatai ellátásához;
b) a Minisztérium adatvédelmi ellenőrzést végző munkatársa.
3. Az adatigénylés során irányadó szabályok
3.1. A minisztériumi adatállományokból kizárólag a Minisztérium feladat- és hatáskörének gyakorlása érdekében a célhoz kötöttség elvének szigorú érvényre juttatása mellett igényelhető és használható fel személyes adat. A más adatkezelők által kezelt olyan adatállományokból, amelyekből történő adatigénylésre a Minisztériumot az érintett adatkezelésre irányadó törvény felhatalmazza, csak az adott törvényben meghatározott feladat ellátása érdekében végezhető adatlekérdezés, azok harmadik személynek vagy szervnek nem továbbíthatók.
3.2. Az egyes eljárások során a különböző adattárakból lekért, de az ügy szempontjából érdektelenné vált, fel nem használt személyes adatokat az ügy előadója az ügyirat továbbítását, illetve irattárba helyezését megelőzően köteles megsemmisíteni. A megsemmisítés tényét és időpontját az iratborítón, az előadói íven vagy az ügyiratban elhelyezett külön iraton rögzíteni és aláírással igazolni kell. Az adatlekérdezés, illetve a megsemmisítéssel érintett adatok későbbi azonosíthatósága érdekében a lekérdezés időpontját, az érintett személy(ek) nevét és az igénybe vett nyilvántartás megjelölését rögzíteni kell, a lekérdezett személyes adatok azonban nem szerepeltethetők.
Adatbiztonsági előírások
1. Biztonsági fokozatba történő besorolás
1.1 Az adatbiztonsági intézkedések meghatározása érdekében a Minisztérium kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából értékelni kell, majd a lenti biztonsági fokozatba kell sorolni. Az értékelést és besorolást az a szervezeti egység vezetője készíti, ahol az adat keletkezik.
a) Alapbiztonsági fokozat: azon adatkezelések tartoznak ebbe a fokozatba, amelyekben feldolgozott személyes adatokat törvény nyilvánossá minősítette, valamint amelyek egyedi azonosításra alkalmas személyes adatokat nem tartalmaznak és ezen adatok illetéktelen személy által történő megismerése, megváltoztatása, vagy törlése alapvetően nem veszélyezteti a szerv feladatainak végrehajtását és az érintett személyiségi jogainak érvényesülését. A megsérült vagy megsemmisült adatok helyreállítása viszonylag kis ráfordítással, jelentős érdeksérelem nélkül elvégezhető.
b) Fokozott biztonsági fokozat: azon adatkezelések tartoznak ebbe a fokozatba, amelyekben feldolgozott adatok illetéktelen személy által történő megismerése, megváltoztatása, vagy megsemmisítése veszélyezteti a Minisztérium feladatainak végrehajtását, illetve az érintett személyiségi jogainak érvényesülését, a várható kár hatása túlmutat a minisztériumi érdekeken, hátrányosan befolyásolhatja a Minisztérium adatszolgáltatási tevékenységét. A megsérült vagy megsemmisült adatok helyreállítása nem, vagy csak jelentős anyagi, technikai ráfordítással valósítható meg.
c) Kiemelt biztonsági fokozat: ebbe a fokozatba tartoznak azon adatkezelések, amelyek illetéktelen személy által történő megismerése, nyilvánosságra hozatala, illetve az adatok megváltoztatása, megsemmisülése a Minisztérium – illetve más együttműködő szerv – feladatainak ellátását lehetetlenné teszi, a nemzetközi kapcsolatokat, esetleg az érintett személyét veszélyeztetheti. A megsérült vagy megsemmisült adatok helyreállítása nem, vagy csak aránytalan anyagi, technikai ráfordítással valósítható meg.
1.2. Az egyes adatkezelések biztonsági fokozatának megállapításához elemezni kell:
a) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a várható kárt, figyelemmel arra, hogy az adatkezelés hiánya vagy az abban bekövetkezett sérülés milyen mértékben akadályozza a Minisztérium feladatainak végrehajtását, beleértve a nemzetközi kapcsolatokból adódó kötelezettségek teljesítését is;
b) lehetséges-e a sérült adatállomány helyreállítása, az milyen ráfordítást igényel, a személyes adatok reprodukálásához az adatforrások rendelkezésre állnak-e, illetve manuális háttérnyilvántartásból az elvesztett adatok pótolhatók-e;
c) a kezelt személyes adatok jellege (például: különleges adat, a magántitok körébe tartozó adat stb.) alapján indokolt-e alkalmazni megkülönböztetett biztonsági előírásokat, az adatok illetéktelen személy általi hozzáférése nem jelent-e veszélyt az érintett életére, testi épségére vagy egzisztenciájára;
d) az utasítás 3. számú függelékében meghatározott, adatbiztonságot veszélyeztető kockázati elemeket;
e) a védelemhez szükséges feltételrendszer megteremtéséhez és fenntartásához biztosítottak-e a szükséges erőforrások.
2. Infrastruktúrához és a minisztériumi épülethez kapcsolódó adatbiztonsági intézkedések
2.1. Az adatbiztonsági intézkedéseket – a vonatkozó jogszabályok és ezen utasítás keretei között – valamennyi minisztériumi szervezeti egységnél a biztonságos adatkezeléshez szükséges legmagasabb biztonsági fokozatokhoz és a helyi adottságokhoz igazodva kell meghatározni és végrehajtani.
2.2. Szabályozni kell a minisztériumi objektumokba történő be- és kilépés rendjét, beleértve a számítógépek és adathordozók ellenőrzött és dokumentált szállítását.
2.3. Az informatikai eszközök elhelyezésére szolgáló épületeket, helyiségeket úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak az erőszakos behatolás, tűz vagy természeti csapás ellen (különösen megfelelő teljesítményű elektromos hálózat kialakítása, épület ellátása villámhárítóval, megelőző intézkedések a vízbetörés ellen).
2.4. A lokális számítógépes hálózat központi részét tartalmazó helyiséget tervszerűen, biztonsági szempontok alapján kell kiválasztani, lehetőség szerint az épület közterülettől távolabb eső részében.
2.5. Megelőző intézkedésként gondoskodni kell a nyílászárók védelméről (például: rács, áttörést nehezítő üvegezés, speciális zár).
2.6. Azokban a helyiségekben, ahol külső személyek is jogszerűen tartózkodhatnak, kerülni kell az adatkezelések helyére, módjára történő utalást, jelzést. A számítógépet úgy kell elhelyezni, hogy a képernyőn megjelenített adatok a helyiségbe belépő, illetve a helyiségben tartózkodó személyek elől védve legyen. A bejelentkezésnél, a jelszó begépelésénél kerülni kell az illetéktelen személyek jelenlétét.
2.7. A személyi állomány tagja a minisztériumi objektumban nem a Minisztérium tulajdonát képező, adattárolásra alkalmas hardvereszközt csak vezetőjének engedélyével és informatikai szakember által végzett ellenőrzést követően használhat. Hardvereszköz különösen a CD, DVD, HDD, pendrive, memóriakártya.
2.8. A Minisztérium számítástechnikai eszközei csak minisztériumi objektumon belül használhatók, kivéve a külön engedély alapján használt hordozható eszközöket (laptop, winchesterek).
3. A hardver eszközök védelmét szolgáló adatbiztonsági intézkedések
3.1. Az informatikai eszközök objektumon belüli telepítését, illetve annak irányítását az informatikával foglalkozó szervezeti egység vezetője által megbízott személy végezze, akinek szakmai véleményét ki kell kérni az eszközök beszerzésének előkészítése során is.
3.2. Az eszközök elhelyezését, a számítógépes munkahelyek kialakítását a biztonsági szempontokra is figyelemmel kell tervezni.
3.3. Nem kereskedelmi forgalomban beszerzett (például: alapítványi támogatásból származó, adományozott) hardvereszközök csak előzetes ellenőrzést és engedélyezést követően vehetők alkalmazásba és kapcsolhatók lokális hálózatba.
3.4. Külső személy – például karbantartás, javítás, fejlesztés stb. céljából – a hardver eszközhöz úgy férhet hozzá, hogy a kezelt adat megismerése elkerülhető legyen. A fokozott és kiemelt biztonsági fokozatba sorolt adatállományok kezeléséhez igénybe vett hardvereszközök javítása, karbantartása csak állandó felügyelet mellett végezhető.
3.5. A hardver eszközök, illetve azok szolgáltatásainak igénybevétele csak a felhasználó azonosítását követően lehetséges.
4. Az adathordozók védelmét szolgáló adatbiztonsági intézkedések
4.1. Minden önálló szervezeti egység köteles gondoskodni a személyes adatot tartalmazó adathordozók tárolásához szükséges környezeti feltételek (hőmérséklet, páratartalom stb.) megteremtéséről.
4.2. Szabályozni kell a személyes adatokat tartalmazó adathordozókkal kapcsolatos adminisztrációs folyamatot, a felhasználás, a nyilvántartás, az átadás-átvétel rendjét.
4.3. A Minisztérium által működtetett számítástechnikai rendszerekben csak vírusmentesség szempontjából ellenőrzött adathordozók alkalmazhatók.
4.4. A felhasználók részére az adathordozók rongálás elleni védelmét szolgáló előírásokat kell meghatározni a külső jelölés módjára, a jogosulatlan hozzáférés, másolás, törlés megelőzésére.
4.5. A személyes adatokat tartalmazó meghibásodott winchester – az azon rögzített adatok védelme, különösen a korábban rögzített adatok helyreállításának kizárása érdekében – külső szervnek, személynek javítás vagy csere érdekében csak akkor adható át, ha adatfeldolgozásra megbízási szerződéssel rendelkezik az Avtv. szabályainak megfelelően.
5. Az adatkezelés dokumentációjának védelmére vonatkozó, illetve az informatikai rendszerben tárolt adatok védelméhez kapcsolódó adatbiztonsági intézkedések
5.1. A személyes adatokat tartalmazó adatállományok dokumentációit nyilvántartásba kell venni és gondoskodni kell azok aktualizálásáról. Szabályozni kell a dokumentációk tárolásának, másolásának rendjét.
5.2. A fokozott és kiemelt biztonsági fokozatba sorolt adatkezelések dokumentációit páncélszekrényben, vagy biztonsági zárral és falakattal ellátott lemezszekrényben, vagy biztonsági zárral, vasráccsal és falakattal, illetve elektronikus védelemmel ellátott helyiségben kell őrizni.
5.3. A Minisztérium alkalmazásában csak jogtiszta, vírusellenőrzött szoftver működtethető, amit csak az arra felhatalmazott személyek telepíthetnek. A személyi állomány saját szoftvert munkavégzés céljára nem használhat.
5.4. Az informatikai rendszerben tárolt adatok védelme érdekében többszintű hozzáférési rendszert, és korszerű vírusvédelmi módszereket kell alkalmazni.
5.5. A számítógépeken a jelszavas képernyőkímélő alkalmazását az alkalmazói állomány részére kötelezővé kell tenni.
5.6. Biztosítani kell a rendkívüli eseményekre, katasztrófa-elhárításra, valamint a minősített időszaki kötelezettségekre történő adatvédelemmel kapcsolatos felkészülést, illetve bekövetkezésük esetén a Minisztérium működőképességét. Az adatkezelési rendszer sérülése, illetve rendkívüli események bekövetkezése esetén követendő eljárásokat a katasztrófaterv tartalmazza. Az informatikai rendszerre vonatkozó előírásokat az informatikai terület készíti el.
5.7. A tartalék működési helye(ke)n, továbbá a mobil vezetési pontról, illetve helyről történő működéshez az informatikai szakterület biztosítja a számítógépes adatfeldolgozáshoz és összeköttetéshez (hardver; szoftver; elektromos tápegység) szükséges feltételeket.
5.8. A Minisztérium üzembiztonságának fenntartásához biztosítani kell az alkalmazások, programok, valamint a feldolgozott adatállományok reprodukálhatóságát. Az informatikai adatok meghatározott időszakonkénti mentése a rendkívüli események, üzemzavar, természeti csapás, katasztrófa, vagy szándékos külső behatás esetére a Minisztérium üzembiztonságának folyamatos biztosítására szolgál.
5.9. A mentéseket az adott rendszerre vonatkozó utasításokban meghatározott módon és időben kell elvégezni. A mentéseket legalább két példányban kell elkészíteni:
– az egyik példányt az esetleges elemi csapás, tűz, vagy robbanás következtében történő megsemmisülés elleni védelem érdekében a számítógépes rendszertől fizikailag elkülönülten, területileg távol eső helyen kell tárolni,
– a másik példányt a számítógépes rendszert üzemeltető számára szükség esetén azonnal elérhető módon kell tárolni.
5.10. A mentett adatokat tűzbiztos páncélszekrényben kell őrizni. A mentések dátumát az erre a célra felfektetett naplóban kell regisztrálni a mentett állomány nevének bejegyzésével és a mentést végző személy megnevezésével.
5.11. A saját számítógépek helyi merevlemezeinek mentése (az egyes munkatársak által saját számítógépük merevlemezén létrehozott adatállományok) központilag nem oldható meg, ezért a szükséges adatállományok mentéséről az illetékes felhasználónak kell biztonsági másolatot készítenie. A másolat biztonságos tárolása az illetékes dolgozó felelőssége.
6. A személyhez fűződő és az alkalmazói tevékenységgel összefüggő intézkedések
6.1. Valamennyi adatbázisba teljes betekintési joggal a miniszter és az informatikai vezető rendelkezik.
6.2. A pénzügyi és számviteli, továbbá a szabályozási és fejlesztési, valamint az informatikai rendszer adatbázisaiba az államtitkárok és a helyettes államtitkárok is teljes betekintési joggal rendelkeznek.
6.3. Valamennyi szervezeti egységnél a hardver- és szoftvertelepítésre, illetve -módosításra kizárólag az informatikai szakterület szakemberei jogosultak. Az informatikai szakterület munkatársai az adatbázisokba csak a feladatukhoz szükséges és elengedhetetlen mértékben, az illetékes ügyintéző jelenlétében tekinthetnek be.
6.4. A szervezeti egységek vezetői a Szervezeti és Működési Szabályzatban biztosított hatáskörük alapján, az alájuk tartozó szervezeti egységek adatbázisaiba tekinthetnek be és végezhetnek műveleteket.
6.5. A személyzeti anyagokhoz a hatáskörileg illetékes vezetők beosztott munkatársaikra vonatkozóan férhetnek hozzá, valamint hozzáférhet a munkáltatói jogkör gyakorlója, a fegyelmi ügyekben eljáró személy, a személyügyi munkatársak feladataik ellátása során.
6.6. Az alkalmazottak a munkaköri leírásukban meghatározott adatbázisokhoz és nyilvántartásokhoz férhetnek hozzá.
6.7. Az informatikai rendszerekbe a belépési jogosultságokat az informatikai szakterület a munkaköri leírásokban rögzített jogkörben, a dolgozó vezetőjének igénye alapján adja meg.
6.8. A hozzáférési jogosultság és a jelszóadás alapkövetelménye:
– minden felhasználónak egyedi felhasználói névvel és egyedi felhasználói jelszóval kell rendelkeznie,
– a Windows-alapú rendszerben a felhasználó azonosítására a dolgozó keresztnevének kezdőbetűjét és a vezetéknevét kell alkalmazni,
– azonos név esetén kiegészítő karaktert kell alkalmazni,
– egyéb rendszereknél, ahol a Windows-rendszernél meghatározott azonosítási mód nem alkalmazható, az adott rendszer lehetőségei szerint kell eljárni,
– a jelszavaknak legalább 6 karakteresnek kell lenniük, nem tartalmazhatnak ékezetes karaktereket, a jelszavak havonta történő változtatása kötelező,
– a jelszavak csak három hónap után ismételhetőek.
6.9. Az új belépő dolgozót megfelelő csoportba sorolással minden általa használt szerveralkalmazás felhasználói közé fel kell venni. A dolgozó saját névvel lép a hálózatba, majd a belépési jelszavát (jelszavait) önállóan rögzíti a gépben.
6.10. A dolgozók tájékoztatása a hálózat használatával kapcsolatos kötelességeikről, jogaikról és lehetőségeikről, az informatikai szakterület feladata, melyet írásban dokumentálni kell.
6.11. Amennyiben a jogosultság megállapítására alapot adó körülményben változás történik, haladéktalanul intézkedni kell a jogosultság módosítására vagy visszavonására. A kilépő alkalmazottak felhasználóneveit a rendszerekből törölni kell a kilépési dokumentáció aláírását követően, és a Minisztérium számára a további feladatok ellátásához szükséges adatállományokat a meghatározott helyre az informatikai terület igénybevételével át kell mozgatni.
7. A kommunikációhoz kapcsolódó védelmi intézkedések
7.1. Az informatikai vezető kezdeményezésével szabályozni és ellenőrizni kell a számítógépes hálózathoz történő hozzáférés rendjét.
7.2. A számítógépes hálózatot az illetéktelen behatolás ellen – az anyagi, technikai lehetőségek függvényében – védeni kell a felhasználókat ellenőrző szoftver- és hardvereszközökkel, az adatok és az adatforgalom titkosításával.
7.3. Számítógépes hálózat esetében különösen a hálózatra történő bejelentkezésnél, a hálózat alapbeállításainak megváltoztatásánál, a felhasználói jogosultságok beállításánál, illetve a más hálózatokkal történő kapcsolatteremtésnél jelszóvédelmet kell alkalmazni.
A közérdekű adatok megismerésével összefüggő szabályok
1. A közérdekű adatok nyilvánosságának tartalma
1.1. A Minisztérium szervezeti egységeinek a feladatkörébe tartozó ügyekben kötelessége elősegíteni a közvélemény pontos és gyors tájékoztatását. Ez a kötelezettség kiterjed különösen:
a) az állami költségvetésre és annak végrehajtására;
b) az állami vagyon kezelésére;
c) a közpénzek felhasználására és az erre kötött szerződésekre;
d) a piaci szereplők, a magánszervezetek és – személyek részére különleges vagy kizárólagos jogok biztosítására vonatkozó szerződésekre.
1.2. A közérdekű adatok nyilvánosságával összefüggő alkotmányos alapjog biztosítása érdekében hozzáférhetővé kell tenni a Minisztérium tevékenységével kapcsolatos legfontosabb adatokat. Ez a kötelezettség kiterjed különösen az érintett szervek:
a) hatáskörére, illetékességére;
b) szervezeti felépítésére;
c) szakmai tevékenységére, annak eredményességére is kiterjedő értékelésére;
d) a birtokukban lévő adatfajtákra;
e) a működésükről szóló jogszabályokra;
f) a gazdálkodásukra vonatkozó adatokra.
1.3. Ha törvény másként nem rendelkezik, közérdekből nyilvános adat a Minisztérium feladat- és hatáskörében eljáró személy feladat és hatáskörével összefüggő személyes adata (így különösen neve, beosztása, esetleges rendfokozata, munkaköre, feladat- és hatásköre, elismerésére, kitüntetésére vonatkozó adatok), továbbá egyéb, a közfeladatot ellátó személy e feladatkörével összefüggő személyes adata. Ezen adatok megismerésére a közérdekű adatok megismerésére vonatkozó rendelkezéseket kell alkalmazni.
1.4. A közérdekű adatokhoz történő hozzáférés biztosítható közzététellel (különösen elektronikus formában, a közérdekű adatokat kezelő szerv honlapján), vagy erre irányuló egyedi igény megválaszolásával. Jogszabály, vagy jogerős bírósági határozat erre irányuló rendelkezése esetén a közérdekű adatok ott megjelölt körét az előírt módon külön erre irányuló kérelem hiányában is – nyilvánosságra kell hozni.
2. A közérdekű adatok nyilvánosságának korlátozása
2.1. A közérdekű adatok nyilvánosságának korlátozására –figyelemmel a Büntető Törvénykönyvről szóló 1978. évi IV. törvényben (a továbbiakban: Btk.) meghatározott tényállásra is – csak az alábbi esetekben és feltételekkel van lehetőség:
a) az adatot az arra jogosult személy a minősítéshez szükséges anyagi és eljárási szabályoknak megfelelően minősítette;
b) törvény a közérdekű adatok nyilvánosságához való jogot – az adatfajták meghatározásával – honvédelmi, nemzetbiztonsági, bűnüldözési vagy bűnmegelőzési, központi pénzügyi vagy devizapolitikai érdekből, illetve a külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, bírósági vagy közigazgatási hatósági eljárásra tekintettel korlátozza;
c) a közfeladatot ellátó szerv feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat esetében a keletkezésétől számított tíz évig („Nem nyilvános!” adat);
d) az Európai Unió jogforrása alapján.
2.2. A közérdekű adat megismerésére irányuló igény elutasítását az adatkezelő szervezeti egység vezetője minden esetben köteles írásban indokolni.
2.3. A közérdekű adat megismeréséhez való jogot kizárólag csak a fenti pontokban meghatározott feltételek figyelembevételével lehet korlátozni, különös tekintettel arra, hogy a Btk. 177/B. § (1) bekezdése szabályozza a visszaélést közérdekű adattal.
3. A „Nem nyilvános!” adat kezelésére vonatkozó különös szabályok
3.1. Az Avtv. 19/A. § (1) bekezdésének hatálya alá tartozó adathordozón – fedőlapján, vagy az első oldalának jobb felső sarkán – fel kell tüntetni a „Nem nyilvános!” jelölést, és a nyilvánosság korlátozásának időtartamát (ez jogszabály eltérő rendelkezése hiányában tíz év). A „Nem nyilvános!” jelölés alkalmazását a kiadmányozási jogkör gyakorlója a kiadmányozással hagyja jóvá.
3.2. A Minisztériumban „Nem nyilvános!” jelöléssel ellátott adat megismerésére és kezelésére kizárólag az a személy jogosult, akinek az feladat- és hatáskörének gyakorlásához szükséges.
3.3. A „Nem nyilvános!” jelöléssel ellátott adatot a korlátozás időtartama alatt a jelölést alkalmazó közfeladatot ellátó szerv vezetőjének engedélyével lehet nyilvánosságra hozni, vagy a közérdekű adat megismerésére irányuló igény előterjesztőjével közölni.
3.4. A döntés megalapozását szolgáló, „Nem nyilvános!” jelöléssel ellátott adat megismerésére irányuló igény az adathordozón feltüntetett korlátozási időtartamon belül – a döntés meghozatalát követően akkor utasítható el, ha az adat megismerése a szerv törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen, külső befolyástól mentes ellátását veszélyeztetné.
4. A közérdekű adatok megismerésére irányuló igény elintézésének eljárási szabályai
4.1. A közérdekű adat megismerése iránt bárki szóban, írásban, vagy elektronikus úton terjeszthet elő kérelmet. A közérdekű adat megismerésére irányuló igényt soron kívül be kell mutatni az adatot kezelő szervezeti egység vezetőjének, aki köteles gondoskodni a megkeresés határidőben történő megválaszolásáról.
4.2. A közérdekű adat megismerése iránti igénynek az adatot kezelő szerv az igény tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül köteles eleget tenni.
4.3. Ha a közérdekű adatot kezelő szerv az igény teljesítését megtagadja, arról annak indokaival együtt, 8 napon belül írásban vagy – amennyiben elektronikus levelezési címét közölte – elektronikus úton értesíteni kell az igénylőt.
4.4. Amennyiben az igényelt adat kezelője nem a megkeresett szerv, úgy azt haladéktalanul köteles továbbítani a közérdekű adatot kezelő szervnek. Az igény áttételéről egyidejűleg tájékoztatni kell az igénylőt.
4.5. Amennyiben az igény 15 nap alatt elháríthatatlan okból nem teljesíthető (például az adatok az igényelt csoportosításban nem állnak rendelkezésre és azok kigyűjtése a határidőn belül objektív okból nem lehetséges, vagy a kért adatok a Minisztériumnál nem állnak rendelkezésre), az igénylőt a határidő lejárta előtt tájékoztatni kell a késedelem okáról és a válasz várható időpontjáról.
4.6. Az adatigénylésnek közérthető formában és – amennyiben az aránytalan költséggel nem jár – az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni.
4.7. Ha az igénylő az adatokat tartalmazó dokumentumról, vagy dokumentumrészről másolatot kíván kérni, a másolat készítésével felmerült anyagi és személyi költségek (így különösen a másoláshoz igénybe vett papír és festék költsége, a másológép amortizációs költsége, illetve a másolást végző személy érintett időszakra eső bér- és járulékköltsége) az igénylővel szemben érvényesíthetők. A költség várható összegét az igénylő kérésére előre közölni kell.
4.8. Az igény teljesítése során kiemelt figyelmet kell fordítani arra, hogy a közérdekű adatok közlése ne járjon mások jogainak, vagy törvény alapján korlátozottan megismerhető adatok bizalmasságának sérelmével. Különös figyelmet kell fordítani arra, hogy az adatszolgáltatással ne kerüljenek nyilvánosságra személyes adatok, minősített adatok, törvény által nyilvánosságában korlátozott, vagy – ha az adatkezelő szerv vezetője másként nem döntött -„Nem nyilvános!” jelöléssel ellátott adatok.
4.9. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni, olyan módon, hogy a korlátozottan megismerhető adatok tartalmára megalapozott következtetést ne lehessen levonni.
4.10. A közérdekű adatok megismerése személyazonosító adatok közléséhez nem köthető. Az elektronikusan közzétett közérdekű adatokhoz történő hozzáférés biztosításához személyes adat csak annyiban kezelhető, amennyiben az technikailag elengedhetetlenül szükséges, törvény eltérő rendelkezése hiányában a személyes adatokat ezt követően haladéktalanul törölni kell.
4.11. Az igénylés alapján történő adatszolgáltatás esetén az adatigénylő személyazonosító adatai csak annyiban kezelhetők, amennyiben az az igény teljesítéséhez – beleértve az esetleges költségek megfizetését is – elengedhetetlenül szükséges. Az igény teljesítését, illetőleg a költségek megfizetését követően az igénylő személyes adatait – törvény eltérő rendelkezése hiányában – haladéktalanul törölni kell. Ezzel összefüggésben a keletkezett iratok kezelésére az Iratkezelési Szabályzatban meghatározott megőrzési idők irányadók, azonban az igény teljesítéséhez, illetve a költségek megfizetéséhez szükséges időtartam lejártát követően az igénylő személyes adatait felismerhetetlenné kell tenni.
5. A közérdekű adatok elektronikus úton történő közzététele
5.1. Az elektronikus információszabadság elvének megfelelően a Minisztérium külön erre irányuló kérelem nélkül honlapján nyilvánosságra hozza:
a) a közérdekű adatok egyedi adatigénylési szabályait;
b) az Eitv. mellékletében meghatározott általános közzétételi listában (a továbbiakban: általános közzétételi lista);
c) a miniszter által kötelezően közzéteendő adatkört;
d) az Eitv. 9. §-ban, valamint a közbeszerzésekről szóló 2003. évi CXXIX. törvényben meghatározott adatokat.
5.2. A közzétett adatok a közzétételt követő egy évig a honlapról nem távolíthatók el.
5.3. Az általános közzétételi listán megjelölt adatok összegyűjtése, a honlap üzemeltetője részére történő továbbítása, illetve az adatok folyamatos karbantartása az alábbi személyek feladat- és hatáskörébe tartozik (a továbbiakban együtt: adatfelelős):
a) az általános közzétételi lista I. fejezetében megjelölt „Szervezeti, személyzeti adatok” esetében a személyügyi szervezeti egység vezetője,
b) az általános közzétételi lista II. fejezetében megjelölt „Tevékenységre, működésre vonatkozó adatok” az érintett szervezeti egységek vezetői;
c) az általános közzétételi lista III. fejezetében megjelölt „Gazdálkodási adatok” esetében a gazdasági szervezeti egység vezetője.
5.4. Az adatfelelősök gondoskodnak a közreműködésükkel közzétett adatok naprakészségének figyelemmel kíséréséről, és szükséges esetben a közzétételi listán adott adatfajtára meghatározott időközönként – azonnali adatfrissítést előíró rendelkezés esetén a változást követő munkanapon – történő frissítéséről.
5.5. Az adatfelelősök a meghatározott adatokat a Minisztérium internetes honlapja tartalmának feltöltésére a Minisztérium kommunikációval foglalkozó szervezeti egységének küldik meg, amely gondoskodik a továbbított közérdekű adatok honlapon történő nyilvánosságra hozataláról.
5.6. Külön jogszabály előírhatja a közzétételi listákon nem szereplő adatok nyilvánosságra hozatalát. Ezen közérdekű, vagy közérdekből nyilvános adatok esetében jelen utasítás rendelkezéseit megfelelően alkalmazni kell.
Ellenőrzés
1. Az ellenőrzésre jogosultak:
a) a miniszter vagy az általa írásban kijelölt személy;
b) az adatvédelmi felelős;
c) az érintett szervezeti egység vezetője az irányítása alá tartozó egység vonatkozásában, illetve az általa ellenőrzésre írásban kijelölt személy;
d) az ellenőrzési feladatot ellátó szervezeti egység állományának erre írásban felhatalmazott tagja;
e) a jogszabályban erre felhatalmazott személy (például adatvédelmi biztos, illetve munkatársai).
2. Az ellenőrzésre feljogosított az ellenőrzés céljára figyelemmel az ellenőrzés érdekében minden olyan helyiségbe beléphet, ahol adatkezelés folyik, az adatkezelést végzőktől minden olyan kérdésben felvilágosítást kérhet, minden olyan adatkezelést megismerhet, vagy abba betekinthet, amely az adatkezelési tevékenységgel összefügg.
3. Az egyes szervek, szakterületek szakmai tevékenységét érintő átfogó ellenőrzéseknek ki kell terjedniük a szakmai feladatellátáshoz szükséges adatkezelések törvényességének ellenőrzésére is.
4. A naplózási kötelezettség teljesítését a naplót vezető szervezeti egység vezetője legalább három havonta ellenőrizni köteles.
5. Az informatikai szervezeti egység vezetője minden félévben köteles ellenőrizni a Minisztériumban kiosztott hozzáférési jogosultságok aktualizálását. Az ellenőrzésbe az adatvédelmi felelőst bevonhatja, annak lefolytatása során a jelszavak meghatározott időszakonkénti megváltoztatására vonatkozó kötelezettség teljesítését is ellenőrizni kell, melyre az informatikai szervezeti egység vezetője teljes körben jogosult.
6. Az ellenőrzés során feltárt hiányosságokról, esetleges jogszabály- vagy normasértésekről az ellenőrzést végző az ellenőrzés befejezését követően írásban köteles tájékoztatni az adatvédelmi felelőst és a közigazgatási államtitkárt, aki köteles haladéktalanul megtenni a jogszerű állapot helyreállításához szükséges intézkedéseket, illetve indokolt esetben elrendeli vagy kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását.
Záró rendelkezések
Ezen szabályzat hatálybalépésétől számított 60 napon belül a szervezeti egységek vezetői kötelesek intézkedni irányításuk alá tartozó szervezeti egység adatvédelmi gyakorlatának felülvizsgálatáról és szükség esetén a jelen szabályzat rendelkezéseinek megfelelő eljárások kialakításáról.
1. számú függelék
Adatlap
a Minisztérium adatkezeléseinek az adatvédelmi nyilvántartásba történő
bejelentéséhez
a Minisztérium adatkezeléseinek az adatvédelmi nyilvántartásba történő
bejelentéséhez
1. Adatkezelő
1.1. Az adatkezelő megnevezése: |
1.2. Címe: |
1.3. Telefonszáma: |
1.4. Kapcsolattartó: |
|
Adatkezelés |
|
1.5. Előző adatkezelés |
1.5.1. Az adatkezelő megváltozásának jogcíme: |
1.5.2. Előző nyilvántartási azonosító: |
1.6. Az adatkezelés megnevezése: |
1.7. Az adatkezelés célja: |
|
1.8. Jogalapja |
1.8.1. Jogszabályhely vagy más jogalap: |
1.8.2. Jogszabály címe: |
1.9. A tényleges adatkezelés helye: |
1.10. Az adatkezelés automatizáltsága: |
2. Adatfeldolgozás
2.1. Az adatfeldolgozó megnevezése: |
2.2. Címe: |
2.3. Telefonszáma: |
2.4. Kapcsolattartó: |
3. Az adatok forrása
3.1. Adatfajta megnevezése: |
3.2. Adatforrás megnevezése: |
3.3. Adatfelvétel (átvétel) jogalapja |
3.3.1. Jogszabályhely vagy más jogalap: |
3.3.2. Jogszabály címe: |
3.4. Adatfelvétel (átvétel) módja: |
3.5. Az adat törlési határideje: |
4. Adattovábbítás(ok)
4.1. Adatfajta megnevezése: |
4.2. Címzett neve: |
4.3. Az adattovábbítás jogalapja |
4.3.1. Jogszabályhely vagy más jogalap: |
4.3.2. Jogszabály címe: |
4.4. Az adattovábbítás módja: |
4.5. Időpontja: |
5. Az érintettek csoportja(i)
5.1 A csoport leírása: |
5.2 Érintettek száma: |
6. Egyéb közlendők:
Dátum: ……………………………………… |
|
Aláírás: ……………………………… |
Kitöltési útmutató
Az adatvédelmi nyilvántartás vezetésének kötelezettségét az Avtv. 24. § c) pontja az adatvédelmi biztos részére írta elő. Az adatvédelmi nyilvántartás szerepe, hogy hozzájáruljon az állampolgárok Alkotmányban biztosított információs önrendelkezési jogának érvényesítéséhez, valamint ahhoz, hogy átfogó ismereteket szerezzenek a magyarországi adatkezelésekről. A nyilvántartásba történő bejelentés az Avtv. 28. § (1) bekezdése alapján – az Avtv. 30. §-ában felsoroltak kivételével – minden személyes adatot kezelő szerv számára kötelező. Nem kell bejelenteni továbbá az olyan nyilvántartásokat, amelyek nem tartalmaznak személyes adatokat, illetőleg olyan statisztikai adatokat tartalmaznak, amelyek személyes jellege amiatt nem állapítható meg, mert azokat nem lehet egy meghatározott természetes személlyel kapcsolatba hozni.
Az adatlap kitöltése
1. Adatkezelő
1.1. Adatkezelő megnevezése:
A rovatba a Minisztérium hivatalos nevét kell beírni.
1.2. Adatkezelő címe:
A Minisztérium székhelye.
1.3.Telefonszáma:
1.4. Kapcsolattartó:
A rovat kitöltése nem kötelező. Elégséges a belső adatvédelmi felelőst feltüntetni.
Adatkezelés
1.5. Előző adatkezelés
Csak abban az esetben kell kitölteni, ha a Minisztérium vagy jogelődje korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba.
1.5.1. Az adatkezelő megváltozásának jogcíme:
Csak abban az esetben kell kitölteni, ha a konkrét adatkezelést előzőleg más adatkezelő végezte, vagy az adatkezelő személyében változás történt.
(pl. jogutódlás, átalakulás, névváltozás, jogszabályváltozás)
1.5.2. előző nyilvántartási azonosító:
Csak abban az esetben kell kitölteni, ha a Minisztérium korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba.
1.6. Az adatkezelés megnevezése:
A bejelenteni kívánt adatkezelést – a nyilvántartásban történő keresés lehetővé tétele céljából – röviden kell megnevezni. A nyilvántartásnak az adatkezelést létrehozó törvény által meghatározott elnevezését kell megjelölni, amennyiben azonban rendelkezik egy általánosan használt fantázianévvel, akkor ezt az elnevezést is fel kell tüntetni. Az azonos adattartalommal rendelkező adatkezeléseket egységes elnevezéssel kell szerepeltetni.
1.7. Az adatkezelés célja:
Az adatkezelés céljának – figyelemmel az Avtv. 5. §-ára – rövid megfogalmazás. Pontosan meg kell jelölni, hogy milyen jogszabály által meghatározott feladat teljesítése érdekében van erre szükség. Ilyen esetben a feladatmeghatározást tartalmazó ágazati jogszabály megfelelő hivatkozási alapnak tekinthető.
1.8. Az adatkezelés jogalapja:
Az adatkezelés jogalapja vagy az érintett hozzájárulása, vagy törvényi rendelkezés lehet. A törvénynél alacsonyabb szintű jogszabályra történő hivatkozás nem fogadható el, ugyanis a jogalap meglétét csak törvényi előírás garantálhatja. Olyan megoldás alkalmazása azonban helyes, és a pontosítás érdekében kívánatos is, mely szerint a törvény mellett végrehajtási rendeletei megfelelő szakaszaira is történik hivatkozás. Nemcsak a vonatkozó törvény megjelölését kell szerepeltetni, hanem a pontos törvényi rendelkezés(eke)t is meg kell jelölni. Nem fogadható el az adatkezelés jogalapjaként az olyan törvényi rendelkezésre történő hivatkozás, amely a Minisztériumot csupán adatigénylésre hatalmazza fel, ugyanis ez nem azt jelenti, hogy ezen adatokról a Minisztérium külön nyilvántartást vezethet.
1.8.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése.
1.8.2. Jogszabály címe.
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
1.9. A tényleges adatkezelés helye:
Nem szükségképpen azonos az adatkezelő címével, csak akkor kell kitölteni, ha nem azonos az adatkezelő címével.
1.10. Az adatkezelés automatizáltsága:
kézi, gépi, részben gépesített, párhuzamos (nem kötelezően kitöltendő elem)
2. Adatfeldolgozás:
Csak akkor kell kitölteni, ha van adatfeldolgozó.
2.1. Adatfeldolgozó megnevezése:
A rovatba az adatfeldolgozó szerv vagy személy hivatalos nevét kell beírni.
2.2. Az adatfeldolgozó címe:
Az adatkezelő szerv székhelye, a természetes személy lakóhelye.
2.3. Telefonszáma:
2.4. Kapcsolattartó:
A rovat kitöltése nem kötelező.
3. Az adatok forrása:
3.1. Adatfajta megnevezése:
Az egyes adatfajtákat külön-külön pontosan meg kell jelölni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”. Az adatlap ezen pontjában összefoglaló néven kell szerepeltetni a személyes adatokat, valamilyen jellemzők szerint csoportosítva azokat [pl. természetes személyazonosító adatok; gépjármű azonosító adatai stb.].
3.2. Adatforrás megnevezése:
A kezelt adatok forrásának megjelölése. (pl. érintett, más adatkezelőtől adatátvétellel)
Más adatkezelőtől történő adatátvétel esetén az adatokat továbbító adatkezelő adatvédelmi nyilvántartási számát is meg kell jelölni.
3.3. Adatfelvétel (átvétel) jogalapja:
3.3.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése.
3.3.2. Jogszabály címe:
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
3.4. Adatfelvétel (átvétel) módja:
Meg kell jelölni az adatok gyűjtésének, felvételének, átvételének konkrét módját (pl. kérdőív, címlista átvétele).
3.5. Az adat törlési határideje:
Ha jogszabály másképp nem rendelkezik, az adatokat az adatkezelés céljának elérésével, illetve az érintett kérésére törölni kell.
4. Adattovábbítások:
4.1. Adatfajta megnevezése:
Az egyes adatfajtákat külön-külön pontosan meg kell jelölni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”.
4.2. Címzett neve:
A rovatba az adattovábbítás címzettjének hivatalos nevét kell beírni.
Ebben a rovatban kell megjelölni azt is, ha az adatkezelő az adatokat nyilvánosságra hozza.
4.3. Az adattovábbítás jogalapja
4.3.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése.
4.3.2. Jogszabály címe.
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
4.4. Az adattovábbítás módja:
(pl. online kapcsolat)
4.5. Időpontja:
Meg kell jelölni az adattovábbítás határnapját, határidejét, valamint az adattovábbítás gyakoriságát is.
5. Az érintettek csoportja(i):
5.1. A csoport leírása:
Azoknak a csoportoknak a meghatározása, amelyek tagjainak személyes adataival a Minisztérium adatkezelést végez.
5.2. Érintettek száma:
A rovat kitöltése nem kötelező.
6. Egyéb közlendők:
(pl. hiánypótlás, korábbi bejelentés)
___________________________________________________________________________
Kiegészítő lapok
Az adatlaphoz tartozó kiegészítő lapokra csak bonyolult adatkezeléseknél van szükség.
Kiegészítő lap (adatfeldolgozás):
Csak abban az esetben kell kitölteni, ha a bejelenteni kívánt adatkezelő párhuzamosan több adatfeldolgozót vesz igénybe. Ekkor az egyes adatfeldolgozókat külön kiegészítő lapon kell megjelölni.
Kiegészítő lap (adatok forrása):
Csak abban az esetben kell kitölteni, ha az egyes adatokat több különböző forrásból gyűjti a Minisztérium, vagy az egyes adatokat különböző módon gyűjti, vagy az egyes adatoknak különböző a törlési határideje. Ekkor a különböző adatforrások megjelölésére külön kiegészítő lapot kell kitölteni.
Kiegészítő lap (adattovábbítás):
Csak abban az esetben kell kitölteni, ha a Minisztérium több szervnek, vagy személynek továbbít adatot, vagy ha az adatoknak csak egy részét továbbítja, vagy ha az adatokat különböző módon és időben továbbítja. Ekkor az egyes adattovábbításokat külön kiegészítő lapon kell megjelölni.
Kiegészítő lap (érintettek csoportjai):
Csak abban az esetben kell kitölteni, ha az adatkezelő – az érintett személyek szempontjából – több szempontú adatkezelést végez.
2. számú függelék
Adatlap a szervezeti egységek részére az érintett jogainak gyakorlására vonatkozó kimutatáshoz
A kitöltő szervezeti egység: |
|||
Az érintett saját adataira vonatkozó kérelmek: |
|||
A kérelem jellege |
Teljesített |
Részben teljesített |
Elutasított |
Tájékoztatás iránti kérelem saját nyilvántartott személyes adatról |
|
|
|
Tájékoztatás iránti kérelem arról, hogy az érintett személyes adatát kinek továbbították |
|
|
|
Helyesbítés iránti kérelem |
|
|
|
Törlés iránti kérelem |
|
|
|
Az érintett személyes adatára vonatkozó részben teljesített, illetve elutasított kérelmek indokolása: |
|||
A közérdekű adatok megismerésére vonatkozó kérelmek: |
||
Teljesített |
Részben teljesített |
Elutasított |
|
|
|
A közérdekű adatok megismerésére vonatkozó részben elutasított, elutasított kérelmek indokolása: |
||
3. számú függelék
Az adatbiztonságot veszélyeztető főbb kockázati elemek
1. A külső fenyegető tényezők:
a) természeti katasztrófa;
b) külső személy által elkövetett erőszakos cselekmény;
c) közműellátási zavarok;
d) külső személy tartózkodása a minisztériumi objektumban;
e) védelmi berendezések technikai hibája, vészhelyzet (pl. rövidzárlat, tűz, csőtörés).
2. A hardvereszközök fenyegetettsége:
a) műszaki jellegű hibák, rendellenességek;
b) káros környezeti hatás (feszültségingadozás, szennyeződés, elektromágneses sugárzás, elektrosztatikus
feltöltődés);
c) a berendezések kezelésével, karbantartásával kapcsolatos hibák;
d) perifériákhoz való illetéktelen hozzáférés;
e) a berendezések manipulálása, rongálása, lopás;
f) az eszköz elhelyezésére szolgáló helyiség, vagy munkahely helytelen kiválasztása.
3. Az adathordozók veszélyeztetettsége:
a) gyártási hiba;
b) károsodás nem szabályszerű tárolás vagy kezelés miatt;
c) ismeretlen, vagy kétes eredetű adathordozó alkalmazása;
d) kontroll nélküli hozzáférés az adathordozókhoz, másolás;
e) saját adathordozó ellenőrzés nélküli alkalmazása szolgálati vagy magáncélra (vírusveszély, illegális másolás).
4. Az iratokhoz, informatikai dokumentációkhoz kapcsolódó kockázati elemek:
a) a rendszerdokumentáció teljes vagy részleges hiánya;
b) az iratok követhető rendszerezettségének hiánya;
c) az aktualitás hiánya;
d) jogosulatlan, hibás, ismeretlen eredetű változtatás;
e) kontroll nélküli hozzáférés, sokszorosítás.
5. A szoftverekhez kapcsolódó veszélyforrások:
a) nem jogtiszta, ismeretlen szoftver alkalmazása;
b) szoftverhiba;
c) jogosulatlan hozzáférés, másolás lehetősége;
d) szoftver ellenőrizetlen bevitele az informatikai rendszerbe;
e) vírusveszély;
f) szándékos vagy gondatlan kezelési, karbantartási hiba;
g) a szoftver sérülése, károsodása hardverhiba miatt;
h) dokumentációk hiánya, sérülése.
6. Az alkalmazói tevékenységgel, adatokkal összefüggő kockázati elemek:
a) adatvesztés, károsodás hardver- vagy szoftverhiba miatt;
b) teljes vagy részleges adatvesztés hibás adathordozó miatt;
c) a jogosult adatkezelő által szándékosan vagy tévedésből végzett adattörlés, -módosítás;
d) jogosulatlan adatkezelő által végzett másolás, törlés, módosítás;
e) hibás adatkezelés ismerethiány miatt;
f) kezelési előírások, oktatás hiánya.
7. Fenyegető tényezők a kommunikáció területén:
a) jogosulatlanok bejutása a hálózatba nem ellenőrizhető csatlakozás révén;
b) hálózati hardverek és szoftverek szándékos vagy gondatlan manipulálása;
c) adatforgalom lehallgatása;
d) váratlan forgalmazási akadályok, az átvitelt zavaró befolyások;
e) üzenetvesztés, üzenet megváltoztatása;
f) az adatátviteli eszközök sérülése, károsodása.
8. Személyhez fűződő veszélyforrások:
a) hibás adatkezelés ismerethiány vagy fáradtság, figyelmetlenség miatt;
b) az adatkezelésre vonatkozó előírások figyelmen kívül hagyása hiányos „biztonságtudat” miatt, a fenyegetettség lebecsülése;
c) szándékosan hibás adatkezelés belső késztetés vagy külső ráhatás következményeként;
d) jogosulatlan hozzáférés;
e) az ellenőrzés hiánya.
1
Az utasítást a 38/2011. (XII. 30.) BM utasítás 1. mellékletének 109. pontja hatályon kívül helyezte 2012. január 1. napjával.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás