2/2019. (I. 24.) HM utasítás

a személyes adatok védelmével és a közérdekű adatok nyilvánosságával összefüggő feladatok irányításáról és felügyeletéről, valamint az ezekhez kapcsolódó egyes tevékenységek eljárási rendjéről

Műveletek

2024.09.20.

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján a következő utasítást adom ki:

1. Általános rendelkezések

1. § (1) Az utasítás hatálya kiterjed

a) a Honvédelmi Minisztériumra (a továbbiakban: HM),

b) a honvédelmi miniszter (a továbbiakban: miniszter) közvetlen alárendeltségébe tartozó szervezetekre,

c) a Magyar Honvédség (a továbbiakban: MH) hadrendje szerinti szervezetekre, továbbá

d) az a)–c) pont szerinti szervezetek (a továbbiakban együtt: honvédelmi szervezetek) személyi állományára.

(2) Nemzetközi szerződés eltérő rendelkezése hiányában az utasítást alkalmazni kell a külföldön szolgálatot teljesítő honvédelmi szervezetek adatkezelésekkel kapcsolatos eljárására is.

(3) Az utasítás hatálya nem terjed ki

a) a minősített adatokra és

b) a közhitelű nyilvántartásból történő adatszolgáltatásra, valamint

c) a különleges jogrend ideje alatt folytatott adatkezelésekre.

2. § A HM adatvédelmi és információszabadsággal összefüggő feladatokat ellátó szervezeti egysége (a továbbiakban: szakmai szerv) az utasítást szükség szerint, de legalább évente felülvizsgálja.

3. § Az utasítás alkalmazásában

a)¹ adatvédelmi középirányító szerv: a Honvéd Vezérkar;

b)² általános közzétételi lista: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 1. mellékletében szereplő lista;

c) egyedi közzétételi lista: a miniszter által meghatározott egyéb közzéteendő adatok köre;

d) HM adatközlő: a HM sajtó, média és katonai kommunikációs feladatait ellátó szervezeti egység;

e) szakmai irányító: a HM jogi és igazgatási ügyekért felelős helyettes államtitkára.

2. A szakmai szerv feladata az adatvédelem irányításával kapcsolatban

4. § (1) A szakmai szerv

a) összeállítja, és a tárgyévet megelőző év november 15-ig jóváhagyásra felterjeszti a szakmai irányító részére az adatvédelmi ellenőrzési tervet,

b) összeállítja, és a tárgyévet követő február 28-ig felterjeszti a szakmai irányító részére az éves adatvédelmi összefoglaló jelentést,

c) összeállítja, és a tárgyévet követő március 31-ig felterjeszti a miniszter részére az összefoglaló jelentést az elektronikus közzététel helyzetéről,

d) a Honvédelmi Minisztérium Szervezeti és Működési Szabályzatáról szóló HM utasításban meghatározott körben jogi iránymutatást ad,

e) szakmai iránymutatást ad információs jogi kérdések, a honvédelmi szervezetek által kötendő adatfeldolgozási és együttes adatkezelési szerződések, valamint a honvédelmi szervezetek Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) részére küldendő konzultációs irat tervezetei tekintetében.

(2) A szakmai szerv adatvédelmi ellenőrzéseket és adatvédelmi vizsgálatokat folytat.

(3) A szakmai szerv – feladatai ellátása során – közvetlenül tart kapcsolatot az adatkezelő honvédelmi szervezetekkel.

5. § A szakmai szerv feladatainak végrehajtása érdekében folyamatosan kapcsolatot tart a NAIH-hal, a központi államigazgatási szervek adatvédelmi tisztviselőivel, valamint honvédelmi szervezetek adatvédelmi tisztviselőivel.

3. Adatvédelmi ellenőrzés

6. § (1) Az adatvédelmi ellenőrzés célja a (2) bekezdésben meghatározott szempontrendszer figyelembevételével annak megállapítása, hogy az ellenőrzött honvédelmi szervezet adatkezelése megfelel-e a jogszabályoknak és egyéb szabályozók előírásainak.

(2) Az adatvédelmi ellenőrzés főbb szempontjai:

a) az adatkezelés személyi feltételeinek megléte, az adatvédelmi tisztviselő kijelölésének vagy kinevezésének ténye, összeférhetetlenségének vizsgálata, az adatkezelést végző személyek felkészültsége, leterheltsége,

b) az adatkezelés tárgyi feltételeinek rendelkezésre állása,

c) az adatkezelési feladatok technikai lebonyolítása ügyfélforgalom mellett vagy anélkül,

d) az elektronikus és papíralapú adathordozók tárolása, fizikai biztonsága,

e) az adatkezelés módja,

f) a honvédelmi szervezetekhez érkezett adatvédelmi megkeresésekre adott válaszok jogszerűsége,

g) egyéb, adatvédelmet érintő rendszerek, különösen a beléptető, a zárt láncú kamera, valamint az elektronikus nyilvántartási rendszerek üzemeltetésének jogszerűsége,

h) az előírt nyilvántartások és vezetettségük,

i) a honvédelmi szervezet adatvédelmi, adatbiztonsági és közérdekű adatok kezelésére vonatkozó szabályzata (a továbbiakban: Szabályzat) megléte, aktualizáltsága.

(3) Az adatvédelmi ellenőrzést az éves adatvédelmi ellenőrzési terv szerint kell végrehajtani.

(4) Adatvédelmi ellenőrzést rendelhet el eseti jelleggel a miniszter, a közigazgatási államtitkár és a szakmai irányító. Az eseti adatvédelmi ellenőrzést írásban kell elrendelni, amelyben meg kell határozni különösen

a) az ellenőrzés alá vont honvédelmi szervezetet,

b) a 7. § (3) bekezdése szerint azt, aki az adatvédelmi ellenőrzés lefolytatására kötelezett,

c) az (5)–(6) bekezdésre figyelemmel az adatvédelmi ellenőrzésre nyitva álló időtartamot,

d) a (7) bekezdésre figyelemmel az adatvédelmi ellenőrzés tárgyát.

(5) Az adatvédelmi ellenőrzést az elrendeléstől számított 60 napon belül be kell fejezni. E határidőbe nem számít bele az az időtartam, amely alatt az ellenőrzés alá vont honvédelmi szervezet az adatvédelmi ellenőrzést végző felhívására a 8. § (1) bekezdés c) pontja szerinti írásbeli felvilágosítást készíti, feltéve, hogy enélkül az ellenőrzés nem folytatható. Az adatvédelmi ellenőrzést végző javaslatára az adatvédelmi ellenőrzés időtartamát, annak lejárta előtt, az azt elrendelő egy alkalommal, legfeljebb 30 nappal meghosszabbíthatja.

(6) Az (5) bekezdésben meghatározottaktól a miniszter az általa elrendelt eseti adatvédelmi ellenőrzés esetén eltérhet.

(7) Az adatvédelmi ellenőrzés – eltérő rendelkezés hiányában – kiterjed az ellenőrzés alá vont honvédelmi szervezet minden adatkezelésére.

(8) Az eseti adatvédelmi ellenőrzés megkezdését az ellenőrzés alá vont honvédelmi szervezetnek előzetesen nem kell bejelenteni.

7. § (1) Az éves adatvédelmi ellenőrzési terv szerinti adatvédelmi ellenőrzést a szakmai szerv végzi.

(2) A honvédelmi szervezetek adatvédelmi tisztviselői éves adatvédelmi ellenőrzési terv szerint hajtják végre a honvédelmi szervezet adatkezeléseire vonatkozó adatvédelmi ellenőrzést, amelynek elrendelésére vonatkozó rendelkezéseket a honvédelmi szervezetek Szabályzata tartalmazza.

(3) Eseti adatvédelmi ellenőrzést végezhet az adatvédelmi ellenőrzést elrendelő döntése alapján

a) az elrendelő által írásban kijelölt személy,

b) a szakmai szerv,

c) az adatkezelő honvédelmi szervezet adatvédelmi tisztviselője a honvédelmi szervezet vonatkozásában

(a továbbiakban együtt: adatvédelmi ellenőrzést végző).

(4) Az (1) bekezdés szerinti esetben, illetve amennyiben az adatvédelmi ellenőrzést a (3) bekezdés alapján a szakmai szerv folytatja le, a szakmai szerv állományából a konkrét adatvédelmi ellenőrzés elvégzésére kötelezett személyt a szakmai szerv vezetője jelöli ki. A szakmai szerv állományába tartozó, adatvédelmi ellenőrzést végző személy jogosultságát az ellenőrzés megkezdésekor az MH Katonai Igazgatási és Központi Nyilvántartó Parancsnokság által kiállított igazolvány felmutatásával igazolja. A (3) bekezdés a) és c) pontja szerinti adatvédelmi ellenőrzést végzőnek ezen jogköre igazolása érdekében írásbeli kijelölését fel kell mutatnia.

(5) A szakmai szerv állományába tartozó, adatvédelmi ellenőrzést végző személy adatvédelmi ellenőrzése során, e tevékenysége tekintetében nem utasítható. E rendelkezést megfelelően alkalmazni kell a (3) bekezdés a) és c) pontja szerint adatvédelmi ellenőrzést végző szolgálati elöljárójára és hivatali felettesére is.

8. § (1) Az adatvédelmi ellenőrzést végző a szükséges személyi biztonsági feltételek megléte esetén

a) az ellenőrzés alá vont honvédelmi szervezet kezelésében levő, a vizsgált üggyel összefüggésbe hozható összes iratba betekinthet, azokról másolatot kérhet,

b) az ellenőrzés során az üggyel összefüggésbe hozható adatkezelést megismerheti, az adatkezelés helyszínéül szolgáló helyiségbe beléphet, és

c) az ellenőrzés alá vont honvédelmi szervezet vezetőjétől, az adatkezelő bármely munkatársától írásbeli és szóbeli felvilágosítást kérhet, továbbá a vizsgált üggyel összefüggésbe hozható bármely honvédelmi szervezettől vagy személytől írásbeli felvilágosítást kérhet.

(2) Az adatvédelmi ellenőrzést úgy kell lefolytatni, hogy az az ellenőrzés alá vont honvédelmi szervezet feladatainak ellátását csak a szükséges mértékben korlátozza.

(3) Amennyiben az adatvédelmi ellenőrzés során az adatvédelmi ellenőrzést végző olyan szabálytalanságot észlel, amely a helyszínen orvosolható, javaslatot tesz annak rendezésére.

(4) Az ellenőrzés alá vont honvédelmi szervezet vezetője

a) az adatvédelmi ellenőrzés lefolytatását elősegíti, így különösen az adatvédelmi ellenőrzést végző megkereséseit határidőn belül teljesítenie kell azzal, hogy a határidő az (1) bekezdés c) pontja szerinti esetben tizenöt napnál nem lehet rövidebb,

b) tartózkodik minden olyan magatartástól és döntéstől, amely az adatvédelmi ellenőrzés indokolatlan elhúzódásával jár, vagy arra vezethet,

c) az adatvédelmi ellenőrzéssel kapcsolatban észrevételt, javaslatot tehet.

9. § (1) Az adatvédelmi ellenőrzést végző az adatvédelmi ellenőrzésről annak befejezését követő 30 napon belül jelentést készít, amely tartalmazza az adatvédelmi ellenőrzés (2) bekezdés szerinti megállapításait, ennek függvényében indokolt javaslatot a jogszerű állapot helyreállításához szükséges intézkedés megtételére, adatvédelmi vizsgálat lefolytatására, illetve felelősségre vonásra irányuló más eljárás megindítására.

(2) Az adatvédelmi ellenőrzést végző a jelentésben az adatvédelmi ellenőrzés során feltárt tényállás alapján megállapíthatja, hogy

a) az adatkezelés megfelel a jogszabályoknak és egyéb szabályozóknak, és ezért további intézkedés nem indokolt,

b) a 8. § (3) bekezdése szerinti szabálytalanságot az ellenőrzés alá vont honvédelmi szervezet a helyszínen orvosolta, és ezért további intézkedés nem indokolt, vagy

c) az adatkezelés nem felel meg a jogszabályoknak és egyéb szabályozóknak, a b) pont nem vagy csak részben alkalmazható, ezért a jogszerű állapot helyreállítása érdekében további intézkedés megtétele szükséges.

(3) Az adatvédelmi ellenőrzést végző a (2) bekezdés c) pontja esetén a jelentés tervezetét véleményezésre megküldi az ellenőrzés alá vont honvédelmi szervezet vezetőjének, aki írásbeli álláspontját elektronikus úton 5 napon belül köteles megküldeni. Az adatvédelmi ellenőrzést végző az ellenőrzés alá vont honvédelmi szervezet vezetőjének álláspontja alapján a jelentés tervezetét felülvizsgálja, és egyetértése esetén pontosítja azt.

(4) Az adatvédelmi ellenőrzést végző a jelentést jóváhagyásra – közvetlenül – felterjeszti az elrendelő, az éves terv alapján végrehajtott adatvédelmi ellenőrzés esetén a jóváhagyó részére.

(5) A jóváhagyott jelentés megküldésével az adatvédelmi ellenőrzést végző tájékoztatja az ellenőrzés alá vont honvédelmi szervezet vezetőjét az adatvédelmi ellenőrzés lezárásáról, és a (2) bekezdés függvényében

a) felhívja a jogszerű állapot helyreállításához szükséges intézkedés soron kívüli megtételére,

b) tájékoztatja az adatvédelmi vizsgálat elrendeléséről, illetve

c) felelősségre vonásra irányuló más eljárás megindításáról.

(6)³ A jóváhagyott jelentést a szakmai szerv megküldi az adatvédelmi ellenőrzés alá vont honvédelmi szervezet elöljárójának, az MH hadrendje szerinti szervezetek vonatkozásában a Honvéd Vezérkar Főnökének (a továbbiakban: HVKF).

4. Szakmai szerv vizsgálata

10. § (1) Vizsgálat folytatható le a 11. § szerinti bejelentés alapján, adatvédelmi incidens bekövetkezte miatt vagy az adatvédelmi ellenőrzést követően, a 9. § (4) bekezdése szerint jóváhagyott jelentésnek megfelelően, ha a személyes adatok kezelésére vonatkozó szabályok, a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlása megsértésének gyanúja merül fel.

(2) A vizsgálat elrendelésére a szakmai irányító jogosult. A vizsgálatot a szakmai szerv az elrendelésétől számított 60 napon belül köteles befejezni. A határidőt indokolt esetben a szakmai irányító egy alkalommal, legfeljebb 30 nappal meghosszabbíthatja.

11. § (1) A vizsgálat alapjául szolgáló bejelentés megtehető közvetlenül a szakmai szervnél. Amennyiben a bejelentő a honvédelmi szervezet vezetőjénél teszi meg bejelentését, úgy a honvédelmi szervezet vezetője azt a beérkezését követő 5 napon belül átteszi a szakmai szervhez.

(2) A szakmai szerv megvizsgálja a bejelentést, és azt a beérkezésétől számított 5 munkanapon belül a vizsgálat elrendelésére vagy elutasítására vonatkozó indokolt javaslatával közvetlenül felterjeszti a szakmai irányító részére.

(3) A szakmai irányító a szakmai szerv felterjesztése alapján határozatban dönt a vizsgálat elrendeléséről vagy elutasításáról. A döntésről a szakmai szerv írásban vagy elektronikus úton 5 munkanapon belül értesíti a bejelentőt.

12. § (1) Az adatvédelmi vizsgálatra az utasítás 7. § (3) és (4) bekezdését és a 8. §-át megfelelően alkalmazni kell.

(2) A szakmai szerv a vizsgálat befejezésének tényéről feljegyzést, az adatvédelmi vizsgálatról annak befejezését követő 30 napon belül jelentést készít. A jelentés tartalmazza a vizsgálat megállapításait, továbbá jogsérelem vagy annak közvetlen veszélye esetén a szakmai szerv indokolt javaslatát annak megszüntetésére, illetve felelősségre vonásra irányuló más eljárás megindítására.

13. § (1) A szakmai szerv a jelentést jóváhagyásra – közvetlenül – felterjeszti a szakmai irányító részére.

(2) A szakmai irányító – egyetértése esetén – jóváhagyja a jelentést, és hatáskörébe tartozóan feladatot szab, megteszi a szükséges intézkedéseket, illetve kezdeményezi a hatáskörébe nem tartozó intézkedéseket.

(3) Amennyiben a szakmai irányító adatvédelmi vizsgálat továbbfolytatását tartja szükségesnek, elrendeli a jelentés kiegészítését. A jelentés kiegészítésére és a kiegészített jelentés felterjesztésére a 12–13. § rendelkezéseit azzal az eltéréssel kell alkalmazni, hogy a vizsgálat határidejéről és meghosszabbításáról a szakmai irányító dönt.

(4) A szakmai szerv a vizsgálat befejezéséről a bejelentőt a szakmai irányító döntését követő 10 napon belül értesíti.

5. Az adatvédelmi tisztviselő, adatvédelmi csoport

14. § (1)⁴ A honvédelmi szervezet vezetője adatvédelmi tisztviselőt köteles kijelölni vagy kinevezni. A kijelölést vagy kinevezést megelőzően a honvédelmi szervezet vezetője előzetes szakmai véleményt kér a szakmai irányítótól, amelyben megküldi a jelöltnek vagy a kinevezésre tervezett személynek a honvédelmi adatkezelésekről szóló törvény szakállomány nyilvántartás szerinti adatait.

(2) A kijelölés során a honvédelmi szervezet vezetője vegye figyelembe különösen a következőket:

a) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (a továbbiakban: EU rendelet) és az Infotv. szerinti összeférhetetlenségi szabályokat (a továbbiakban: összeférhetetlenségi szabályok),

b) a kijelölendő személy szakértelmét, szakmai képességét és képességet a szakmai feladatok ellátására,

c) a kijelölendő személy ismeretét a honvédelmi szervezet adatkezelési műveletei, valamint az információs rendszerei adatbiztonsági és adatvédelmi igényei tekintetében,

d) a kijelölendő személy ismeretét a honvédelmi szervezet igazgatási és eljárási szabályait illetően.

(3) Az összeférhetetlenségi szabályokra tekintettel nem láthat el adatvédelmi tisztviselői tisztséget vagy feladatot a honvédelmi szervezet vezetője, helyettesei, személyügyi szerv vezetője, pénzügyi vezető, informatikai vezető, a rendszergazda. A felsorolt beosztásokon túl azon beosztást ellátó sem lehet adatvédelmi tisztviselő, aki adatkezelési művelet végrehajtásáért felelős szerv vezetője. Az összeférhetetlenségi szabályok alapján a honvédelmi szervezet Szabályzatában meg kell határozni azon beosztásokat, melyek összeegyeztethetetlenek az adatvédelmi tisztviselő tevékenységével.

(4) A honvédelmi szervezet méretére és szerkezetére tekintettel adatvédelmi csoport hozható létre. Az adatvédelmi csoport az adatvédelmi tisztviselőből és legalább egy tagból áll.

(5) Kötelező létrehozni adatvédelmi csoportot olyan honvédelmi szervezet esetében, ahol

a) kikülönített szervezeti egység található, melynek létszáma meghaladja a 250 főt, és a két elhelyezési objektum közötti távolság a 150 km-t meghaladja, amelynek legalább egy tagja a kikülönített alegységnél és legalább egy tagja a honvédelmi szervezet vezetője mellett teljesítsen szolgálatot,

b) országos nyilvántartás vezetésére kerül sor.

(6) Az adatvédelmi csoport működésének belső struktúráját, az egyes tagok feladatait és felelősségét a honvédelmi szervezet Szabályzata tartalmazza. Az adatvédelmi csoport vezetője a honvédelmi szervezet adatvédelmi tisztviselője, aki egy személyben felel a 17. §-ban meghatározott feladatok végrehajtásáért.

(7) Az adatvédelmi középirányító szerv állománytáblában rendszeresített beosztásban foglalkoztathat adatvédelmi referenst, aki kapcsolatot tart

a) az alárendelt honvédelmi szervezetek adatvédelmi tisztviselőivel, és szakmai segítséget nyújt részükre adatvédelmi és információszabadsággal összefüggő kérdések vonatkozásában,

b) a szakmai szervvel.

(8) Az adatvédelmi referens kijelölhető egyúttal az adatvédelmi középirányító szerv adatvédelmi tisztviselőjének is. Kijelölés hiányában az adatvédelmi referens nem láthat el az adatvédelmi középirányító szervben adatvédelmi tisztviselői feladatokat.

15. § (1) Az adatvédelmi tisztviselő e tevékenysége ellátása során közvetlenül az adatkezelő honvédelmi szervezet vezetőjének van alárendelve. Az adatvédelmi tisztviselő munkaköri leírását kijelölését vagy kinevezését követően haladéktalanul módosítani kell.

(2) Az adatvédelmi tisztviselőt a lehető legkorábbi szakaszban be kell vonni az adatvédelemmel kapcsolatos ügyekbe, az ezekkel kapcsolatban létrehozott munkacsoport munkájába, valamint a honvédelmi szervezet vezetője köteles kikérni az adatvédelmi tisztviselő tanácsát, különösen az adatvédelmi hatásvizsgálatok elkészítése során.

(3) Lehetőséget kell biztosítani az adatvédelmi tisztviselőnek arra, hogy amennyiben véleménye szerint az adatkezelő döntése nem összeegyeztethető a hatályos adatvédelmi jogszabályokkal, külön véleményt fogalmazzon meg a honvédelmi szervezet vezetője részére, ebben az esetben rögzíteni kell a döntés okait.

(4) A honvédelmi szervezet adatvédelmi feladataira történő teljes körű rálátás biztosítása érdekében az adatvédelmi tisztviselőt a vezetői értekezletekre meg kell hívni, különösen abban az esetben, amikor adatvédelmi vonatkozású döntéseket hoznak. Az értekezletre történő felkészüléshez – kellő időben – meg kell adni minden lényeges információt az adatvédelmi tisztviselőnek a megfelelő javaslat megfogalmazása céljából.

(5) Az adatvédelmi tisztviselő feladatellátása során nem utasítható, különösen a következők tekintetében:

a) adatvédelmi joggal kapcsolatos valamely ügyben egy bizonyos álláspont képviselésére,

b) arra, hogy hogyan kell kivizsgálni egy panaszt, vagy kell-e konzultálni a NAIH-hal.

(6) Az adatvédelmi tisztviselő önállósága nem jelenti azt, hogy a döntéshozatali jogköre meghaladja a 17. §-ban meghatározott feladatait.

(7) Az adatvédelmi tisztviselő szakmai elöljárója vagy hivatali felettese a szakmai irányító.

16. § Az adatvédelmi tisztviselő személyéről és elérhetőségeiről – postai és elektronikus levélcím – a kijelölést vagy kinevezést követő 5 napon belül értesíteni kell a NAIH-ot. Ezzel egyidejűleg az adatvédelmi tisztviselő kijelöléséről vagy kinevezéséről a szakmai szervet is értesíteni kell.

17. § (1) Az adatvédelmi tisztviselő Infotv. hatálya alá tartozó adatkezelések tekintetében az Infotv. 25/M. §-ában foglalt, az EU rendelet hatálya alá tartozó adatkezelések vonatkozásában az EU rendelet 39. cikkében meghatározott feladatokat látja el.

(2) Az adatvédelmi tisztviselő az (1) bekezdésben meghatározott feladatain túl

a) részt vesz az adatvédelmet érintő jogszabályok, közjogi szervezetszabályozó eszközök, belső rendelkezések tervezeteinek kidolgozásában, és annak koordinációja során képviseli szervezete álláspontját,

b) kapcsolatot tart a szakmai szervvel, a részére küldött adatvédelmi jellegű iratait véleményével ellátja,

c) folyamatosan figyeli az adatvédelemmel és az információszabadsággal kapcsolatos jogszabályváltozásokat,

d) a 11. melléklet alapján éves jelentést készít a honvédelmi szervezet adatvédelmi helyzetéről a honvédelmi szervezet vezetője részére, melyet jóváhagyás esetén a tárgyévet követő január 15-ig közvetlenül megküld a szakmai szerv részére, valamint

e) ellátja az a)–d) pontokban foglaltakon túl az utasításban meghatározott további információszabadsággal kapcsolatos feladatokat.

18. § (1) A honvédelmi szervezet vezetője biztosítja mindazokat a szervezési, technikai és anyagi feltételeket, melyek az adatvédelemmel és információszabadsággal kapcsolatos feladatok végrehajtásához szükségesek, különösen

a) adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges tanfolyami, valamint szakirányú felnőttképzés támogatását,

b) adatvédelmi tisztviselő tevékenység aktív támogatásait, különös tekintettel a tanfolyami, valamint szakirányú felnőttképzésen elsajátított ismeretek önképzés keretében történő elmélyítéséhez szükséges idő biztosítását,

c) elegendő idő biztosítását az adatvédelmi feladatok ellátására, kiemelten azon adatvédelmi tisztviselőknek, akik adatvédelemmel nem összefüggő munkaköri feladatokat is ellátnak,

d) megfelelő infrastruktúra kialakítását,

e) a feladatok ellátásához szükséges személyzeti, jogi, informatikai, biztonsági szolgáltatásokhoz való hozzáférés biztosítását.

(2) Az (1) bekezdésben foglalt feltételek biztosítása érdekében a honvédelmi szervezet éves költségvetésének tervezése során az ezzel összefüggő költségeket figyelembe veszi.

(3) A honvédelmi szervezet vezetője gondoskodik róla, hogy az adatvédelmi tisztviselő személyét a honvédelmi szervezet állománya megismerje.

6. Adatvédelmi nyilvántartások

19. § (1) A honvédelmi szervezet az adatkezeléseiről az 1–8. mellékletben meghatározott nyilvántartásokat vezet.

(2) Az (1) bekezdésben meghatározott nyilvántartásokat a NAIH és a szakmai szerv kérésére be kell mutatni.

7. Az adatvédelmi incidens

20. § (1)⁵ A honvédelmi szervezet az EU Rendelet 33. cikk (1) bekezdésében és az Infotv. 25/J. § (1) bekezdésében meghatározottakat megelőzően, a bekövetkeztéről való tudomásszerzést követő legfeljebb 24 órán belül köteles az adatvédelmi incidenst bejelenteni a szakmai szerv részére, az utasítás 5. melléklete szerinti tartalommal.

(2)⁶ A honvédelmi szervezet az elektronikus rendszert érintő adatvédelmi incidens bekövetkezésének gyanúja esetén haladéktalanul értesíti a Honvédelmi Ágazati Elektronikus Információbiztonsági Eseménykezelő Központot, annak megállapítása érdekében, hogy az adatvédelmi incidens elektronikus információbiztonsági eseményhez kapcsolódik-e.

(3)⁷ Ha az elektronikus információbiztonsági esemény kezelését végző elektronikus eseménykezelő központ az eseménykezelés során adatvédelmi incidens bekövetkezésének gyanúját észleli, erről haladéktalanul értesíti a honvédelmi szervezetet és a szakmai szervet.

(4) Az incidens bejelentés megtételéhez szükséges NAIH regisztrációt, továbbá az incidens bejelentését – az (1) bekezdésben meghatározottakra figyelemmel – a honvédelmi szerv önállóan a szakmai szerv szakmai iránymutatása alapján köteles végrehajtani.

(5) A honvédelmi szervezet vezetője a Szabályzatban határozza meg az adatvédelmi incidens kezelésével, vizsgálatával és bejelentésével kapcsolatos eljárási szabályokat. Az adatvédelmi incidens feltárásában, annak hatásainak megállapításában, valamint az orvoslására teendő intézkedések kialakításában az adatvédelmi tisztviselőnek részt kell venni.

(6) A honvédelmi szervezet az adatvédelmi incidensekről az 5. melléklet szerinti formában nyilvántartást vezet.

8. Az adatvédelmi hatásvizsgálat

21. § (1) A honvédelmi szervezet vezetője a tervezett adatkezelés megkezdése előtt köteles kockázatelemzést készíteni arra vonatkozóan, hogy a tervezett adatkezelés magas kockázattal jár-e a természetes személyek jogaira és szabadságaira nézve.

(2) Az adatkezelés nem kezdhető meg, ha az előzetes kockázatelemzés során kiderül, hogy az adatkezelés célja vagy jogalapja nem megállapítható. Az adatkezelés abban az esetben sem kezdhető meg, ha a szükségessége, arányossága nincs összhangban egymással.

(3) Amennyiben a megállapított kockázat

a) magas, úgy adatvédelmi hatásvizsgálatot kell lefolytatni,

b) alacsony, úgy hatásvizsgálatot nem kell lefolytatni, azonban annak elmaradásának okait dokumentálni szükséges.

(4) A honvédelmi szervezet vezetője a kockázatelemzés és – amennyiben ez szükséges – a hatásvizsgálat lefolytatására munkacsoportot hoz létre. A munkacsoport munkájában való részvételre a tervezett adatkezelésben résztvevő szervezeti egység kijelölt szakemberei, valamint a honvédelmi szervezet adatvédelmi tisztviselője és – részben vagy egészben elektronikus adatkezelés esetén – informatikai szakembere kerüljön kijelölésre.

(5) A hatásvizsgálat elmaradásáról és annak indokairól, valamint a lefolytatott hatásvizsgálat eredményéről a szakmai szervet a döntést megelőzően tájékoztatni kell.

(6) Amennyiben a honvédelmi szervezet a hatásvizsgálat során feltárt kockázatokat nem tudja megfelelő intézkedésekkel csökkenteni, a fennmaradó kockázatok továbbra is jelentősek, úgy a NAIH-hal történő konzultációt megelőzően, a szakmai szervvel egyeztetést kell kezdeményeznie.

(7) A hatásvizsgálat megfelelő lezárásáig az adatkezelést nem lehet megkezdeni.

(8) A honvédelmi szervezet a kockázatelemzésekről, a hatásvizsgálatokról a 8. melléklet szerinti formában nyilvántartást vezet.

9. Oktatás, képzés

22. § (1) A honvédelmi szervezet adatvédelmi tisztviselője évente adatvédelem és információszabadság témakörben oktatást tart a honvédelmi szervezet személyi állománya részére.

(2) A honvédelmi szervezet személyi állománya az oktatáson és az oktatást követő vizsgán köteles részt venni.

(3) A szakmai szerv évente legalább egy alkalommal továbbképzést vagy konferenciát szervez a honvédelmi szervezetek adatvédelmi tisztviselői, a középirányító honvédelmi szervezet adatvédelmi referense részére.

(4) Az adatvédelmi tisztviselőknek részt kell venniük a NAIH által megrendezésre kerülő éves adatvédelmi tisztviselők konferenciáján.

10. Az adatfeldolgozás, adatközlés, adattovábbítás szabályai

23. § (1) Az adatfeldolgozási szerződés megkötésére

a) a HM tekintetében a szakmai irányító,

b) az a) pont alá nem tartozó adatkezelő honvédelmi szervezet esetén annak vezetője

jogosult.

(2) Az adatfeldolgozási szerződések előkészítése vonatkozásában – kérésre – a szakmai szerv szakmai iránymutatást nyújt.

(3) A honvédelmi szervezet a szervezetet érintő adatfeldolgozási tevékenységekről a 3. és a 4. melléklet szerinti nyilvántartást vezet.

24. § (1) Az adatközlés feltételeinek meglétét, a döntést megelőzően, az adatot közlő honvédelmi szervezet minden egyes személyes adattal összefüggésben ellenőrizni köteles.

(2) Az adat címzetthez történő megküldését megelőzően a honvédelmi szervezet köteles a szakmai szerv szakmai iránymutatását kikérni, kivéve azokat az eseteket, melyekben kötelező a címzettek részére az adatközlés.

25. § Harmadik országba történő adattovábbítás esetén a 24. § alapján köteles a honvédelmi szervezet eljárni.

26. § A honvédelmi szervezet adatközlési, adattovábbítási tevékenységéről a 6. melléklet szerinti nyilvántartást is vezet.

11. Az érintett jogainak érvényesítésével összefüggő feladatok

27. § (1) A honvédelmi szervezet vezetője az Infotv. hatálya alá tartozó adatkezelés esetén az Infotv., az EU rendelet hatálya alá tartozó adatkezelés esetén az EU rendelet szerinti, az érintett jogai gyakorlására irányuló kérelmek tekintetében az Infotv.-ben vagy az EU rendeletben meghatározott határidőn belül a vonatkozó szabályok alapján jár el, melyhez – kérésre – a szakmai szerv szakmai iránymutatást nyújt.

(2)⁸ Amennyiben az (1) bekezdésben foglalt érintetti jogok gyakorlásának teljesítéséért az EU rendelet vagy az Infotv. szerint költség számítható fel, a költségtérítés mértékét a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendelet alapján kell meghatározni.

(3) A honvédelmi szervezet az (1) bekezdésben meghatározott kérelmekről a 7. melléklet szerint nyilvántartást vezet.

(4)⁹ A honvédelmi szervezet 2 hónappal az adatkezelés megkezdését megelőzően az előkészített adatvédelmi dokumentációt megküldi véleményezésre a szakmai irányító részére, amennyiben olyan adatkezelési műveletet kíván megvalósítani, amely országos illetékességű, és az adatkezelés valószínűsíthetően több, mint 500 főt érint, illetve amely a NAIH hivatalos honlapján hatásvizsgálat elvégzésére köteles adatkezelésként definiált adatkezelésre irányul.

12. Az elektronikus közzététel szabályai

28. § Az általános és az egyedi közzétételi listában meghatározott adatok közzétételére a honvédelmi szervezetek saját, ennek hiányában a HM hivatalos honlapján (ht tp :/ /w ww .kor many . h u/h u/hon vedel mi-minis zterium) digitális formában kerül sor úgy, hogy az bárki számára személyazonosítás nélkül, korlátozástól mentesen, díjmentesen hozzáférhető legyen.

29. § (1) Az adatkezelő honvédelmi szervezet köteles csatlakozni az egységes közadatkereső rendszerhez, melybe feltölti az Infotv. 37/B. §-ában meghatározott adatokat.

(2) Az egységes közadatkereső rendszerhez csatlakozáskor kapcsolattartónak – a HM kivételével – a honvédelmi szervezet tekintetében az adatvédelmi tisztviselő, a HM tekintetében a HM adatközlő kijelölt ügyintézője minősül.

(3) Az egységes közadatkereső rendszerbe adatok feltöltésére akkor kerülhet sor, ha a szakmai szerv azok feltöltésével előzetesen egyetértett.

29/A. §¹⁰ (1) A Központi Információs Közadat-nyilvántartással kapcsolatos, jogszabályban meghatározott feladatok tekintetében, az Infotv. 37/C. § (2) bekezdésében meghatározott adatokat, az Infotv. 37/C. § (3) bekezdésében meghatározott bontásban, a honvédelmi szervezet a Központi Információs Közadat-nyilvántartásról szóló kormányrendelet alapján teszi közzé, tekintettel a 30. § rendelkezéseire is.

(2) A honvédelmi szervezet vezetője jelöli ki az adatszolgáltatást jóváhagyó személyt és helyettesét.

30. § Az adatkezelő az általános közzétételi listában meghatározott, a felelősségi körébe tartozó adatokat, illetve azok változását a változás elrendelésének vagy megtörténtének napján, elektronikus úton, a szakmai szervnek megküldi, mely a szakmai vizsgálatot követően a HM adatközlőnek, vagy saját honlappal rendelkező honvédelmi szervezet esetén az adatvédelmi tisztviselőnek továbbítja közzétételre.

31. § Az adatkezelő az adatot

a) dokumentum (pdf, doc, docx, xls, xlsx, rtf),

b) hangfájl (wav, wma, mp3),

c) videofájl (mp4),

d) kép (jpg) vagy

e) tömörített (zip)

formátumokban készítheti elő közzétételre.

32. § Az adatkezelő a 31. §-ban szereplő formátumok helyett más formátumot csak akkor alkalmazhat, ha azok egyike sem alkalmas vagy jelentősen hátrányosabb feltételek (méret, sebesség) mellett alkalmas ugyanazon információ megjelenítésére.

33. § Az Infotv.-ben meghatározottakon túl az adatkezelő honvédelmi szervezet vezetője felel a közzétételre javasolt adatok tartalmának valódiságáért, valamint azért, hogy az adatok nem minősítettek vagy egyéb okból megismerhetőségük nem korlátozott. Az adatok közzétehetőségét a szakmai szerv vizsgálja és állapítja meg.

34. § A HM adatközlő, valamint a saját honlappal rendelkező honvédelmi szervezet az adatokat a közzétételi listákon szereplő adatok közzétételéhez szükséges közzétételi mintákról szóló 18/2005. (XII. 27.) IHM rendelet 2. mellékletében előírt minta alapján az adatok kézhezvételét követő 24 órán belül teszi közzé.

35. § A közzétételre megküldött és a közzétett adatokról biztonsági mentést szükséges készíteni.

36. § Ha az adatkezelő honvédelmi szervezet vezetője tudomást szerez arról, hogy a kezelésébe tartozó közzétett adat pontatlan, illetve téves, frissítésre szorul, haladéktalanul gondoskodik a hiba javításáról és a megfelelő adatok fentiek szerinti közzétételéről.

37. § (1) Amennyiben az adatkezelő honvédelmi szervezet vezetője észrevételezi, hogy az adatok közzétételének oka megszűnt vagy a közzététel más okból nem kívánatos, a szakmai szerv egyetértésével, megteszi a szükséges intézkedéseket az adatok eltávolítására vagy archiválására.

(2) Abban az esetben, ha az (1) bekezdésben meghatározott okot a szakmai szerv észrevételezi, úgy arról értesíti az érintett honvédelmi szervezet vezetőjét a szükséges intézkedések megtétele érdekében.

38. § Az ezen alcímben rögzített feladatokat – a HM kivételével – az adatkezelő honvédelmi szervezet esetében az adatvédelmi tisztviselő, a HM adatközlő tekintetében a kijelölt személyek, a szakmai szerv vonatkozásában pedig a szakmai szerv vezetője által kijelölt személyek végzik el.

39. § A szakmai szerv a HM adatközlővel együttműködve a közérdekű adatok elektronikus közzététele esetében folyamatosan vizsgálja az Infotv. végrehajtásával kapcsolatos kötelezettségek teljesülését, és végzi a 4. § (1) bekezdés c) pontjában foglaltakat.

40. §¹¹ Amennyiben az adatkezelő honvédelmi szervezet egyedi közzétételi listát kíván kiadni, abban az esetben kikéri a NAIH véleményét. Az egyedi közzétételi listára az ezen alcímben foglaltakat megfelelően alkalmazni kell.

13.¹² Közérdekű adatok igénylésének és teljesítésének rendje

41. § A közérdekű adat megismerése iránt szóban bejelentett igényt – tartalmának pontos rögzítésével – az adatvédelmi tisztviselőnek a szóbeli bejelentéskor írásba kell foglalnia.

42. § Amennyiben a honvédelmi szervezethez (a továbbiakban: címzett) közérdekű adatigénylés érkezik, annak teljesítése vagy megtagadása a címzett parancsnokának vagy vezetőjének feladata. A címzett a közérdekű adatigénylésről annak elektronikus úton történő megküldésével a szakmai szervet és a HM kommunikációért felelős szervet haladéktalanul értesíti.

43. § A címzett megvizsgálja, hogy fennállnak-e az igényelt adat megismerhetőségének feltételei. A vizsgálatnak ki kell terjednie arra, hogy az igényelt adat, illetve az adathordozó tartalmaz-e minősített adatot, egyéb korlátozás alá eső adatot.

44. §¹³ Az 1. § (1) bekezdés c) pontja szerinti szervezetek a megkeresésre írt válasz tervezetét a beérkezést követő 3 munkanapon belül megküldik a szakmai szerv, a HM kommunikációjáért felelős szerv és a HVKF részére, melyek a választervezettel kapcsolatos álláspontjukról haladéktalanul tájékoztatják a megküldőt.

45. §¹⁴ A címzett a választervezetet, továbbá a szakmai szerv és a HM kommunikációjáért felelős szerv álláspontját a szolgálati elöljárók egyidejű tájékoztatása mellett – a beérkezést követő 5 munkanapon belül – jóváhagyás céljából, a HM kabinetfőnök részére küldi meg. Az 1. § (1) bekezdés c) pontja szerinti szervezetek esetében a HM kabinetfőnök részére a HVKF álláspontját is meg kell küldeni. A HM kabinetfőnök a fenti §-okban meghatározott határidők figyelembevételével az Infotv. által meghatározott még rendelkezésre álló határidőn belül hozza meg a tervezetre vonatkozó döntését.

46. § A jóváhagyott választervezetet a címzett küldi meg az Infotv.-ben meghatározott határidőn belül az igénylő részére.

47. § A címzett a kiküldött választ a szakmai szerv részére megküldi.

48. § A közérdekű adat megismerése iránti igény teljesítése során a honvédelmi szervezetek kölcsönösen együttműködve kötelesek eljárni, ennek érdekében egymás rendelkezésére bocsátják az igény teljesítéséhez szükséges adatokat.

49. §¹⁵ Amennyiben a közérdekű adat megismerése iránti igény olyan adatra vonatkozik, amely a honvédelemről és a Magyar Honvédségről szóló 2021. évi CXL. törvény (a továbbiakban: Hvt.) 15. § (1) bekezdése, valamint (3) bekezdése alapján nem nyilvános, az igényt el kell utasítani. Az elutasítással egyidejűleg az igénylőt tájékoztatni kell arról, hogy a nem nyilvános adattartalom megismerhetőségét a Hvt. hivatkozott rendelkezései szerinti személy külön kérelemre engedélyezheti. Amennyiben a Hvt. 15. § (1) bekezdése, valamint (3) bekezdése alapján nem nyilvános adatra vonatkozóan az engedélyező személy jóváhagyta a megismerhetőséget, akkor ezen igényelt adatok a 41–48. §-ban foglalt eljárásrend betartásával a továbbiakban kiadhatók.

50. §¹⁶ Nem kell alkalmazni a 41–48. §-ban meghatározott eljárási rendet a Hvt. 15. § (1) és (3) bekezdésében meghatározott nem nyilvános adatok továbbítása esetén, amennyiben

a) azok magyar állami szervek részére jogszabály alapján kötelező adatszolgáltatások,

b) az adattovábbítás más országok állami szervei – ideértve a Magyarországon akkreditált diplomáciai testületeket is – részére történik, ha azok honvédelmi vagy nemzetbiztonsági érdeket nem sértenek,

c) az adattovábbítás nemzetközi szerződésen alapul, vagy nemzetközi szervezetben viselt tagságunkból eredő adatszolgáltatási kötelezettség alapján történik.

51. § Az 50. § a) és b) pontjaiban részletezett adatszolgáltatások esetén az iratokon a „Nem nyilvános” kezelési jelzést magyar és az 50. § b) pontja esetén az érintett ország hivatalos nyelvén is fel kell tüntetni. Az adatszolgáltatás címzettjét tájékoztatni szükséges arról, hogy az átadott adatok engedély nélkül nem hozhatóak nyilvánosságra és harmadik félnek nem adhatóak át.

52. § Az adatigénylő neve és egyéb rendelkezésre álló személyes adatai az Infotv. 28. § (2) bekezdésében meghatározottak szerint kezelhetők.

53. §¹⁷ Az Infotv. 29. § (3)–(6) bekezdésében, valamint a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendelet alapján a költségtérítésre vonatkozó eljárási rendet a honvédelmi szervezet Szabályzata tartalmazza.

54. § A honvédelmi szervezetnek a beérkezett közérdekű adatigénylésekről a 10. mellékletben meghatározott nyilvántartást kell vezetni, úgy, hogy az adatigénylő nevét és további személyes adatait az igény beérkezését követő egy évig meg kell őrizni, ezt követően törölni kell. Amennyiben az adatigénylő költségtérítést fizetett be a honvédelmi szervezet részére, az ezzel összefüggő adatokat a számviteli szabályoknak megfelelő idő elteltével lehet törölni.

55. §¹⁸ Az adatkezelő honvédelmi szervezet a tárgyévet követő év január 31-ig adatot szolgáltat a NAIH-nak az Infotv. 71/D. § (4) bekezdésében meghatározott tartalommal.

14. Egyéb korlátozás alá eső adatokra vonatkozó adatigénylés

56. § A honvédelmi szervezet kezelésében lévő, UNCLASSIFIED, a CONTROLLED és a LIMITED vagy az egyéb megismerést, valamint továbbítást korlátozó kezelési jelzéssel ellátott adathordozók, valamint a minősített adat védelméről szóló 2009. évi CLV. törvény hatálya alá nem tartozó, de más jogszabály, két vagy többoldalú megállapodás által védendő adat, így különösen üzleti, bank-, orvosi, ügyvédi és egyéb szakmai titok, a posta és a távközlési törvény által védett adatok megismerésére az utasítás közérdekű adatra vonatkozó rendelkezéseit kell alkalmazni azzal, hogy az adat kizárólag az arra jogosult hozzájárulásával ismerhető meg.

15. Adatvédelmi, adatbiztonsági és közérdekű adatok kezelésére vonatkozó szabályzat

57. § Az adatkezelő honvédelmi szervezetek Szabályzatot adnak ki, amely tartalmazza különösen

a) azokat a megfelelő és célzott intézkedéseket, melyek a személyes adatok kezelése során a természetes személyek jogainak és szabadságainak védelme érdekében szükségesek,

b) a honvédelmi szervezet tevékenységéhez kapcsolódó személyes adatok kezelésének feltételeit és céljait, mely támogatja az érintettek magánszférájának tiszteletben tartását és az adatvédelmi tudatosságot,

c) a közérdekű adatok megismerésére irányuló igény teljesítésének és a közzététel rendjére vonatkozó szabályokat.

16. Záró rendelkezések

58. § Ez az utasítás 2019. február 1-jén lép hatályba.

59. §¹⁹

1. melléklet a 2/2019. (I. 24.) HM utasításhoz

Adatkezelési tevékenységek nyilvántartása (EU rendelet)*/Adatkezelői nyilvántartás (Infotv.)*

1. Az adatkezelés megnevezése: ……………………………………………………………………………………………

1.1. Az adatkezelés sorszáma:

1.2. Az adatkezelés az

a) EU rendelet*

b) Infotv.*

hatálya alá tartozik.

2. Adatkezelő

2.1. Az adatkezelő megnevezése:

2.2. Címe:

2.3. Telefonszáma:

2.4. Az adatkezelő képviselőjének neve, elérhetősége (ha van ilyen):

2.5. A közös adatkezelő megnevezése (ha van ilyen):

2.6. Címe:

2.7. Telefonszáma:

2.8. A közös adatkezelő képviselőjének neve, elérhetősége (ha van ilyen):

2.9. Adatvédelmi tisztviselő neve, elérhetőségei:

3. Adatkezelés

3.1. Az adatkezelés célja vagy céljai:

3.2. A személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – köre:

3.3. Az érintettek köre:

____________________

* A megfelelő rész aláhúzandó!

3.4. A kezelt személyes adatok köre:

3.5. Profilalkotás alkalmazása esetén annak ténye:

3.6. Nemzetközi (harmadik ország, nemzetközi szervezet) adattovábbítás esetén a továbbított adatok köre, a továbbításra vonatkozó információk (EU rendelet 49. cikk (1) bekezdés második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása):

3.7. Az adatkezelési műveletek – ideértve az adattovábbítást is – jogalapjai:

3.8. A kezelt személyes adatok törlésének időpontja:

3.9. Az adatkezeléssel kapcsolatos műszaki és szervezési biztonsági intézkedések általános leírása:

3.10. Az adatkezelés során felmerült adatvédelmi incidensek bekövetkezésének körülményei, azok hatásai és a kezelésükre tett intézkedések (kizárólag bekövetkezett adatvédelmi incidens(ek) esetén kell kitölteni):

3.11. Az érintett hozzáférési jogának érvényesítését korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokai (kizárólag abban az esetben kell kitölteni, ha történt korlátozó vagy megtagadó intézkedés):

2. melléklet a 2/2019. (I. 24.) HM utasításhoz

Adatkezelési tevékenységek összesítő nyilvántartása
Sorszám	Megnevezése	Érintettek köre	Kezelt adatok köre	Célja	Jogalapja	Megőrzés idő	Automatizált döntéshozatal	Adatközlés, adattovábbítás
A/1.
A/2.

3. melléklet a 2/2019. (I. 24.) HM utasításhoz

Adatfeldolgozói nyilvántartás

1. Adatfeldolgozói tevékenység megnevezése:

1.1. Adatfeldolgozói tevékenység sorszáma:

1.2. Az adatfeldolgozás alapjául szolgáló adatkezelés az

a) EU rendelet*

b) Infotv.*

hatálya alá tartozik.

2. Adatfeldolgozó, Adatkezelő

2.1. Az adatfeldolgozó megnevezése:

2.2. Címe:

2.3. Telefonszáma:

2.4. A feldolgozó képviselőjének neve, elérhetősége (ha van ilyen):

________________

* A megfelelő rész aláhúzandó!

2.5. Az adatfeldolgozó adatvédelmi tisztviselőjének neve, elérhetőségei:

2.6. Az adatkezelő megnevezése:

2.7. Címe:

2.8. Telefonszáma:

2.9. A adatkezelő képviselőjének neve, elérhetősége (ha van ilyen):

2.10. Az adatkezelő adatvédelmi tisztviselőjének neve, elérhetőségei:

3. Adatkezelés

3.1. Az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái:

3.2. Adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdés második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása:

3.3. Az adatkezeléssel kapcsolatos műszaki és szervezési biztonsági intézkedések általános leírása:

4. melléklet a 2/2019. (I. 24.) HM utasításhoz

Adatfeldolgozói tevékenységek összesítő nyilvántartása
Sorszám	Adatkezelés sorszáma*¹	Adatkezelő megnevezése	Adatfeldolgozó megnevezése	Tevékenység	Szerződés tárgya	Indok	Megjegyzés
F/1.
F/2.

*¹ Adatfeldolgozó igénybevétele esetén töltendő ki ez az oszlop!

5. melléklet a 2/2019. (I. 24.) HM utasításhoz

Incidensek nyilvántartása
Sorszám	Adatkezelés/ Adatfeldolgozás sorszáma*² (A/ vagy F/)	Incidens ideje	Incidens megnevezése	Érintettek köre	Érintett személyes adatok	Incidens hatása	Intézkedések
1.
2.

*² A/ vagy F/ jelölés alkalmazandó, attól függően, hogy a honvédelmi szervezet adatkezelést vagy adatfeldolgozást végez.

6. melléklet a 2/2019. (I. 24.) HM utasításhoz

7. melléklet a 2/2019. (I. 24.) HM utasításhoz

8. melléklet a 2/2019. (I. 24.) HM utasításhoz

Kockázatelemzések, hatásvizsgálatok nyilvántartása
Sorszám	Adatkezelés sorszáma	Adatkezelés megnevezése	Előzetes kockázatelemzés dátuma	Hatásvizsgálat dátuma	Megjegyzés (pl. előzetes konzultáció)

9. melléklet a 2/2019. (I. 24.) HM utasításhoz²⁰

10. melléklet a 2/2019. (I. 24.) HM utasításhoz

11. melléklet a 2/2019. (I. 24.) HM utasításhoz

A honvédelmi szervezet adatvédelmi helyzetéről szóló éves jelentés kötelező tartalmi elemei

1. Adatvédelmi tisztviselő

2. Adatvédelmi oktatás

3. Adatvédelmi vizsgálat

4. Adatvédelmi ellenőrzés

5. Érintetti jogok érvényesítésével kapcsolatos megkeresések

6. Adatközlések, adattovábbítások (kötelező adatközlések kivételével)

7. Incidensek

8. Hatásvizsgálatok

9. Honlap helyzete (amennyiben rendelkeznek honlappal)

10. A beérkezett, megválaszolt vagy elutasított közérdekű adatigénylések (elutasítások okai)

11. Közzétételek, közadattár

12. Adatvédelmi, adatbiztonsági és közérdekű adatok kezelésére vonatkozó szabályzat

A 3. § a) pontja a 34/2024. (IX. 19.) HM utasítás 6. § a) pontja szerint módosított szöveg.

A 3. § b) pontja a 34/2024. (IX. 19.) HM utasítás 7. § a) pontja szerint módosított szöveg.

A 9. § (6) bekezdése a 34/2024. (IX. 19.) HM utasítás 6. § b) pontja szerint módosított szöveg.

⁴

A 14. § (1) bekezdése a 34/2024. (IX. 19.) HM utasítás 1. §-ával megállapított szöveg.

⁵

A 20. § (1) bekezdése a 48/2019. (VII. 18.) HM utasítás 40. §-ával megállapított szöveg.

⁶

A 20. § (2) bekezdése a 48/2019. (VII. 18.) HM utasítás 40. §-ával megállapított szöveg.

⁷

A 20. § (3) bekezdése a 48/2019. (VII. 18.) HM utasítás 40. §-ával megállapított szöveg.

⁸

A 27. § (2) bekezdése a 34/2024. (IX. 19.) HM utasítás 2. § (1) bekezdésével megállapított szöveg.

⁹

A 27. § (4) bekezdését a 34/2024. (IX. 19.) HM utasítás 2. § (2) bekezdése iktatta be.

¹⁰

A 29/A. §-t a 34/2024. (IX. 19.) HM utasítás 3. §-a iktatta be.

¹¹

A 40. § a 34/2024. (IX. 19.) HM utasítás 6. § c) pontja szerint módosított szöveg.

¹²

A 13. alcím címe a 34/2024. (IX. 19.) HM utasítás 6. § d) pontja szerint módosított szöveg.

¹³

A 44. § a 34/2024. (IX. 19.) HM utasítás 6. § e) pontja szerint módosított szöveg.

¹⁴

A 45. § a 34/2024. (IX. 19.) HM utasítás 6. § e) pontja szerint módosított szöveg.

¹⁵

A 49. § a 34/2024. (IX. 19.) HM utasítás 4. §-ával megállapított szöveg.

¹⁶

Az 50. § nyitó szövegrésze a 34/2024. (IX. 19.) HM utasítás 6. § f) pontja szerint módosított szöveg.

¹⁷

Az 53. § a 34/2024. (IX. 19.) HM utasítás 6. § g) pontja és 7. § b) pontja szerint módosított szöveg.

¹⁸

Az 55. § a 34/2024. (IX. 19.) HM utasítás 5. §-ával megállapított szöveg.

¹⁹

Az 59. § a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

²⁰

A 9. mellékletet a 34/2024. (IX. 19.) HM utasítás 7. § c) pontja hatályon kívül helyezte.

Másolás a vágólapra
Nyomtatás

Hatályos
Már nem hatályos
Még nem hatályos
Módosulni fog
Időállapotok
Adott napon hatályos
Közlönyállapot
Indokolás

Jelmagyarázat Lap tetejére

Adatközlési, adattovábbítási nyilvántartás

Adatkezelés sorszáma

Személyes adatok köre

Jogszabályban meghatározott egyéb adatok

Megjegyzés