48/2019. (VII. 18.) HM utasítás
48/2019. (VII. 18.) HM utasítás
a Honvédelmi Minisztérium adatvédelmi, adatbiztonsági és közérdekű adatok kezelésére vonatkozó szabályzatáról, valamint a személyes adatok védelmével és a közérdekű adatok nyilvánosságával összefüggő feladatok irányításáról és felügyeletéről, valamint az ezekhez kapcsolódó egyes tevékenységek eljárási rendjéről szóló 2/2019. (I. 24.) HM utasítás módosításáról1
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján a következő utasítást adom ki:
1. A Honvédelmi Minisztérium adatvédelmi, adatbiztonsági és közérdekű adatok kezelésére vonatkozó szabályzata
1. § Az utasítás hatálya kiterjed a Honvédelmi Minisztériumra (a továbbiakban: HM), a HM személyi állományára, valamint a HM adatkezelése során felhasznált minden tárgyi eszközre függetlenül annak üzemelési helyétől, továbbá azokra a helyiségekre és külső helyszínekre, ahol adatkezelés folyik.
2. § Az utasítást a HM tevékenysége során keletkező közérdekű adatokra, közérdekből nyilvános adatokra és a személyes vagy különleges adatokhoz kapcsolódó adatkezelésre – ideértve az adatfeldolgozást is – alkalmazni kell.
3. § Az utasítás rendelkezéseit a személyes adatok védelmével és a közérdekű adatok nyilvánosságával összefüggő feladatok irányításáról és felügyeletéről, valamint az ezekhez kapcsolódó egyes tevékenységek eljárási rendjéről szóló 2/2019. (I. 24.) HM utasításban (a továbbiakban: Adatvédelmi HM utasítás) foglaltakra figyelemmel kell alkalmazni azzal, hogy
a) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) hatálya alá tartozó honvédelmi célú adatkezelésekre (a továbbiakban: Infotv. hatálya alá tartozó adatkezelések) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelete (a továbbiakban: EU rendelet) 23. cikke szerinti korlátozásokra figyelemmel – az Infotv. rendelkezése,
b) az a) pont alá nem tartozó adatkezelésekre (a továbbiakban: az EU rendelet hatálya alá tartozó adatkezelések) az EU rendelet rendelkezése – az Infotv. 2. § (2) bekezdése szerinti kiegészítésekkel –
az irányadó.
4. § Az utasítást az adatkezelés körülményeiben beállt lényeges változás után, de legalább évente felül kell vizsgálni. A felülvizsgálatot a HM adatvédelmi és információszabadsággal összefüggő feladatokat ellátó szervezeti egysége (a továbbiakban: szakmai szerv) végzi el.
5. § (1) Az utasítás alkalmazása során az EU rendeletben, valamint az Infotv.-ben meghatározott fogalmakat kell alkalmazni.
(2) Az (1) bekezdésben meghatározottakon túl, az utasítás alkalmazásában
a) adatbiztonság: a személyes adatok jogosulatlan kezelése, elvesztése, megsemmisítése vagy károsodása elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége, valamint az adatkezelés azon állapota, amelyben a kockázati tényezőket – és ezáltal a fenyegetettséget – az alkalmazott védelmi intézkedések a minimálisra csökkentik,
b) HM adatközlő: az Adatvédelmi HM utasítás 3. § d) pontjában meghatározott szervezeti egység,
c) HM szervek: a HM szervezeti és működési szabályzatában meghatározott önálló szervezeti egységek,
d) statisztikai adat: a személyes adatok feldolgozása oly módon, hogy az adatnak az egyes személyekkel minden kapcsolata megszakad, és ez a kapcsolat nem is állítható helyre.
6. § Az utasítás célja, hogy
a) meghatározza azokat a megfelelő és célzott intézkedéseket, amelyek a személyes adatok kezelése során a természetes személyek jogainak és szabadságainak védelme érdekében szükségesek,
b) meghatározza a HM tevékenységéhez kapcsolódó személyes adatok kezelésének feltételeit és céljait, támogassa az érintettek magánszférájának tiszteletben tartását és az adatvédelmi tudatosságot,
c) biztosítsa a HM szervek feladatainak ellátása során keletkező közérdekű adatok nyilvánosságát, a közérdekű adatok megismeréséhez fűződő alapvető jog érvényre juttatását, ezen keresztül a jogszabályokban meghatározott valamennyi feltétel megteremtését és az adatigénylések gyors teljesítését.
7. § (1) Az adatkezelő
a) megnevezése: Honvédelmi Minisztérium,
b) székhelye: 1055 Budapest, Balaton utca 7–11.,
c) levelezési címe: 1885 Budapest, Pf. 25,
d) telefonszáma: 474-1111,
e) e-mail-címe: adatvedelem@hm.gov.hu,
f) jogállása: közfeladatot ellátó szerv.
(2) Ahol az utasítás adatkezelőt említ, ott a HM-et kell érteni.
8. § (1) Az adatkezelő vezetője a honvédelemért felelős miniszter (a továbbiakban: miniszter).
(2) Az adatkezelő biztosítja az adatvédelmi és az információszabadsággal kapcsolatos tevékenységhez szükséges erőforrásokat.
9. § (1) A miniszter adatvédelmi szakjogász végzettségű személyt jelöl ki a HM adatvédelmi tisztviselőjének.
(2) Az adatvédelmi tisztviselő szakmai feladatai tekintetében közvetlenül jelent a honvédelemért felelős miniszternek a HM közigazgatási államtitkár, a HM jogi és igazgatási ügyekért felelős helyettes államtitkár és a HM Jogi Főosztály főosztályvezető egyidejű tájékoztatása mellett.
(3) Az adatvédelmi tisztviselő feladatait az Adatvédelmi HM utasításban meghatározottak szerint látja el, és azokat a munkaköri leírásában vagy az álláshely leírásában kell rögzíteni. Az adatvédelmi tisztviselő távolléte esetén feladatait kijelölt helyettese végzi.
(4) Az adatvédelmi tisztviselőre vonatkozó összeférhetetlenségi szabályok, valamint a tevékenysége ellátását biztosító források tekintetében az Adatvédelmi HM utasításban foglaltak az irányadók.
(5) Az adatvédelmi tisztviselő nevét, elérhetőségeit a HM adatközlő közzéteszi a HM hivatalos honlapján, továbbá megküldi a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) részére is.
10. § (1) Az adatvédelmi tisztviselő az Adatvédelmi HM utasítás 1–8. mellékletében meghatározott nyilvántartásokat elektronikusan vezeti és aktualizálja.
(2) A HM szervek – a HM adatkezelési tevékenységek, valamint az adatkezelői nyilvántartás megalapozottsága és naprakészsége érdekében – a meglévő adatkezeléseiket áttekintik, és amennyiben az szükséges – az utasítás hatálybalépését követő 30 napon belül, az új adatkezeléseiket az adatkezelés megkezdését megelőzően – az Adatvédelmi HM utasítás 1. melléklete szerinti adatlapon bejelentik az adatvédelmi tisztviselő részére.
11. § (1) Az adatvédelmi tisztviselő minden év november 15-ig ellenőrzési tervet készít, amelyet a miniszter hagy jóvá.
(2) Az adatvédelmi tisztviselő ellenőrzéseit az éves tervnek megfelelően köteles végrehajtani, azok eredményéről, amennyiben elöljárói vagy hivatali felettesi intézkedésre okot adó körülményt észlel, jelentést készít a miniszter részére.
(3) Az ellenőrzéseket az Adatvédelmi HM utasítás 3. alcímében meghatározottak szerint, de a (2) bekezdésben szereplő eltérésekkel kell lefolytatni.
(4) Az adatvédelmi tisztviselő az éves jelentés részeként az ellenőrzések összegzett tapasztalatairól beszámol a miniszter részére.
(5) Az adatvédelmi tisztviselő legalább évente egyszer oktatást tart, amelyen a HM személyi állományának a részvétele kötelező. Az oktatást követően a HM személyi állománya vizsgát tesz.
12. § (1) A személyes adatra vonatkozó egyedi megkeresést meg kell küldeni az adatvédelmi tisztviselőnek. A kérelemre történő személyes adat kiadása előtt szükséges az adatvédelmi tisztviselőt értesíteni és vele egyeztetni.
(2) A HM személyi állományának tagját időbeli korlátozás nélkül titoktartási kötelezettség terheli, függetlenül attól, hogy az adatot közvetlenül az érintettől vagy – közvetett módon – az adatkezelő dokumentációiból vagy bármely más módon ismerte meg.
13. § (1) A HM szervek vezetői adatvédelmi kapcsolattartót, távollétük idejére eseti helyettest jelölnek ki a vezetésük alá tartozó HM szervnél, akik nem minősülnek adatvédelmi tisztviselőnek. Az adatvédelmi kapcsolattartó az Infotv. 25/M. § (1) bekezdés a) pontjában és az EU rendelet 39. cikk (1) bekezdés a) pontjában meghatározott feladatok ellátásához nyújt segítséget az adatvédelmi tisztviselőnek.
(2) Az adatvédelmi kapcsolattartó az (1) bekezdésben meghatározott feladatkörében eljárva, különösen
a) folyamatosan nyomon követi – a HM szerv vezetőjének előzetes tájékoztatását követően – az általa képviselt HM szerv adatkezeléseit,
b) előkészíti és átadja az adatvédelmi tisztviselőnek az adatkezelés dokumentálásához szükséges iratokat,
c) a tudomására jutott az érintetti jogokkal kapcsolatos kérelmek tekintetében összegyűjti a releváns információkat, és rendelkezésre bocsátja az adatvédelmi tisztviselő részére,
d) haladéktalanul tájékoztatja az adatvédelmi tisztviselőt a HM szervnél bekövetkezett, tudomására jutott incidensről,
e) összegyűjti a releváns információkat a HM szerv vezetője részére a HM szerv adatkezelését érintő kockázatelemzés elkészítéséhez, és
f) az adatvédelmi tisztviselő javaslata esetén részt vesz a HM szervet érintő hatásvizsgálat lefolytatásában.
(3) A HM – az adatvédelemmel összefüggő feladatai végrehajtásának elősegítése érdekében – adatvédelmi csoportot hoz létre, melynek tagjai az adatvédelmi tisztviselőn kívül
a) a HM szervek kapcsolattartói,
b) a HM Tervezési és Koordinációs Főosztály Informatikai Osztály vezetője vagy az általa kijelölt személy,
c) a HM elektronikus információs rendszer biztonságáért felelős személy és
d) az Adatvédelmi HM utasítás által meghatározott szakmai szerv tagjai.
(4) Az adatvédelmi csoport az adatvédelmi tisztviselő felhívására kéthavonta vagy szükség esetén ülésezik.
(5) Az adatvédelmi tisztviselő az adatvédelmi csoport tagjait felkérheti – az elöljárójuk vagy vezetőjük előzetes egyetértése esetén – az (1) bekezdésben meghatározott feladatokhoz tartozó részfeladatok ellátására.
14. § Adatkezelés
a) az EU rendelet hatálya alá tartozó adatkezelések esetében, – az Infotv. 4. § (5) bekezdésében meghatározott kiegészítéssel – az EU rendelet 5. cikkében és
b) az Infotv. hatálya alá tartozó adatkezelések esetében, az Infotv. 4. §-ában
meghatározott alapelvek fennállása esetén végezhető.
15. § (1) A személyes adat kezelésének feltétele, hogy annak célja egyértelműen és közérthetően meghatározásra kerüljön.
(2) Az adatkezelés (1) bekezdés szerinti céljának jogszerűnek és az adatok gyűjtésének időpontjában már megfogalmazottnak kell lennie. Az adatkezelés megkezdése előtt meg kell vizsgálni, hogy a meghatározott cél adatkezelés nélkül megvalósulhat-e.
(3) Az adatkezelésre került személyes adatoknak alkalmasnak és szükségesnek kell lenniük a meghatározott adatkezelési cél eléréséhez. Kizárólag annyi adatot lehet kezelni, amennyi a cél eléréséhez szükséges.
(4) A személyes adatokat a lehető legrövidebb ideig lehet tárolni, ennek érdekében törlési vagy rendszeres felülvizsgálati határidőket kell megállapítani. A személyes adatokat az egyes adatkezelések esetében a cél megvalósulásáig, valamint azt követően az adott adatkörre vonatkozó jogszabályban meghatározott ideig lehet megőrizni.
16. § (1) Az EU rendelet hatálya alá tartozó adatkezelések az EU rendelet 6. cikk (1) bekezdésében meghatározott jogalapok valamelyikének fennállása esetén végezhetők. Az EU rendelet 6. cikk (1) bekezdés f) pontjában meghatározott jogalap a HM közhatalmi feladatai ellátása során történő adatkezelések tekintetében nem alkalmazható.
(2) Az Infotv. hatálya alá tartozó adatkezelések az Infotv. 5. §-ában meghatározott jogalapok valamelyikének fennállása esetén végezhetők el.
17. § (1) Az EU rendelet 6. cikk (1) bekezdés f) pontja alkalmazása esetén érdekmérlegelési teszt elkészítése szükséges, amelybe az adatvédelmi tisztviselőt be kell vonni.
(2) Az érdekmérlegelési teszt elkészítése az adatkezelési művelet végrehajtásáért felelős HM szerv vezetőjének felelősségi körébe tartozik. Az érintettet az érdekmérlegelés tényéről és a teszt eredményéről tájékoztatni kell. Az érdekmérlegeléssel összefüggő tevékenységet dokumentálni kell, és az ezzel kapcsolatos iratokat az adatvédelmi tisztviselő részére át kell adni.
(3) Az érdekmérlegelési teszt elvégzésének eljárási rendje a következő:
a) a HM vagy egy harmadik fél jogos érdekének beazonosítása és megfogalmazása,
b) az érintett érdekeinek, jogainak és szabadságainak beazonosítása és megfogalmazása,
c) a mérlegelés elvégzése, miszerint az a) és b) pontban azonosított érdekek közül melyik minősül erősebbnek, és
d) a HM vagy egy harmadik fél jogos érdekének az érintett személyek jogaira és szabadságaira vonatkozó arányos korlátozás meghatározása.
(4) A (3) bekezdés d) pontja szerinti meghatározás során vizsgálni kell különösen
a) az adatkezelés szükségességét, arányosságát és annak indokát,
b) a célhoz kötöttség elvének megvalósulását és annak módját,
c) az adatkezelés elveinek és az érintetti jogok érvényesülését.
18. § (1) Az adatvédelmi tisztviselő az érintett megkeresésére vonatkozó a válaszlevél-tervezetet – az EU rendelet hatálya alá tartozó adatkezelés esetén – a legrövidebb időn belül, de legkésőbb a beérkezést követő 20 napon belül felterjeszti jóváhagyás céljából a miniszter részére. A jóváhagyott válaszlevelet az adatvédelmi tisztviselő – távollétében a kijelölt helyettes – megküldi az érintett részére. Az ügyintézési határidő hosszabbítása esetén a felterjesztésre nyitva álló határidő nem lehet több, mint a kérelem beérkezésétől számított 80. nap.
(2) Az Infotv. hatálya alá tartozó adatkezelés esetén az (1) bekezdésben meghatározottak szerint kell eljárni azzal az eltéréssel, hogy a válaszlevél-tervezetet a kérelem beérkezésétől számított 15 napon belül kell felterjeszteni, és az ügyintézési határidő hosszabbítására nincs lehetőség.
(3) Az (1) bekezdés szerinti tájékoztatás megküldésének módjára és határidejére vonatkozó szabályokat az EU rendelet és az Infotv. határozza meg.
(4) Megalapozatlan vagy egy éven belüli azonos adatkörre vonatkozó kérelem esetén a HM díjat számíthat fel a kérelem teljesítésére tekintettel, vagy – kizárólag az EU rendelet hatálya alá tartozó adatkezelés esetén – a kérelmet elutasíthatja. A költségtérítés alapjául szolgáló díjak vonatkozásában az Adatvédelmi HM utasításban foglaltak az irányadók.
(5) A HM szerv adatvédelmi kapcsolattartója a megalapozatlanságra, a túlzó jellegre alapított megtagadás, illetve a költségfelszámolás okának bizonyítása érdekében az eljárásra vonatkozó dokumentumokat az adatvédelmi tisztviselő rendelkezésére bocsátja.
19. § (1) Az EU rendelet hatálya alá tartozó adatkezelések esetén, amennyiben a HM
a) az érintettől szerzi be az adatokat, az EU rendelet 13. cikke szerinti,
b) az a) pontban foglaltaktól eltérő adatszerzés során az EU rendelet 14. cikke szerinti
tájékoztatót kell az érintett részére rendelkezésre bocsátani.
(2) Az (1) bekezdés szerinti tájékoztatót tagoltan, közérthető módon kell megfogalmazni.
(3) Az Infotv. hatálya alá tartozó adatkezelések esetében a 20. §-ban foglalt rendelkezések szerint kell eljárni azzal az eltéréssel, hogy az érintetteket az Infotv. 16. §-ában meghatározottak szerint kell tájékoztatni.
20. § (1) A HM az EU rendelet hatálya alá tartozó adatkezelések tekintetében az EU rendelet 13. cikke vagy 14. cikke szerinti tájékoztatón túl – az EU rendeletben meghatározott feltételek fennállása esetén – biztosítja az érintettek
a) hozzáférési jogát,
b) helyesbítéshez való jogát,
c) törléshez való jogát,
d) adatkezelés korlátozásához való jogát,
e) adathordozhatósághoz való jogát,
f) tiltakozáshoz való jogát és
g) az EU rendelet 22. cikke szerinti jogát automatizált döntéshozatal, profilalkotás alkalmazása esetén.
(2) A HM az Infotv. hatálya alá tartozó adatkezelések esetében – az Infotv.-ben meghatározott feltételek fennállása esetén – biztosítja az érintettek (1) bekezdés a)–d) pontjában meghatározott és az előzetes tájékozódáshoz való jogát.
(3) Az (1) és (2) bekezdés alapján benyújtott kérelemben foglaltakat azonnal, de legkésőbb az EU rendeletben vagy az Infotv.-ben meghatározott határidőn belül kell teljesíteni.
21. § (1) Az adatvédelmi tisztviselő feladata, hogy haladéktalanul értesítse a helyesbítés, a korlátozás és a törlés végrehajtásáról az érintettet, továbbá minden olyan címzettet, akinek az adatok adatkezelés céljából továbbításra kerültek.
(2) Az érintett személyes adatai kezelésének megsértésével kapcsolatban indult bármely eljárásról az adatvédelmi kapcsolattartó értesíti az adatvédelmi tisztviselőt. A HM a bizonyítási eljáráshoz szükséges minden lényeges adatot, információt – különösen szabályzatot, naplóbejegyzést – a HM-et képviselő személy részére rendelkezésre bocsát. Az eljárással kapcsolatos feladatokat az adatvédelmi tisztviselő koordinálja.
22. § (1) A NAIH adatvédelmi incidens bejelentő rendszerébe a HM regisztrációja az adatvédelmi tisztviselő útján történik.
(2) Adatvédelmi incidens gyanúja esetén – a közvetlen elöljáró vagy hivatali felettes útján – haladéktalanul értesíteni kell az adatvédelmi tisztviselőt. Az értesítés során az incidensre vonatkozó releváns információkat részére át kell adni. Az adatvédelmi tisztviselő az összegyűjtött információt megküldi az adatvédelmi incidens munkacsoport (a továbbiakban: IMCS) számára, és eljárása során a HM elektronikus rendszert érintő incidens bekövetkeztének gyanúja esetén az Adatvédelmi HM utasítás 20. § (2) bekezdésében foglaltakat is figyelembe veszi.
(3) Az IMCS tagjai
a) az adatvédelmi tisztviselő,
b) az adatvédelmi incidenssel érintett adatkezelési művelet végrehajtásáért felelős szerv vezetője és
c) – elektronikus adatkezelés esetén – a HM elektronikus információs rendszer biztonságáért felelős személy.
23. § (1) Az adatvédelmi tisztviselő – az Adatvédelmi HM utasítás 20. §-ában meghatározott határidő figyelembevételével – észszerű határidőn belül összehívja az IMCS tagjait. Az IMCS munkájában történő részvételre a vezetők maguk helyett – akadályoztatásuk esetén – az állományukból más személyt is kijelölhetnek. Ha a HM adatfeldolgozót vett igénybe, és az adatvédelmi incidens az adatfeldolgozót is érinti, az adatvédelmi tisztviselőnek egyeztetnie szükséges az adatfeldolgozó képviselőjével a felmerülő kockázatokról és azok esélyeiről, vagy ellenkező esetben bevonja tagként az IMCS munkájába.
(2) Az IMCS megvizsgálja, hogy
a) a biztonság sérülése érinti-e a személyes adatok biztonságát,
b) kockázatos-e a biztonság sérülése az érintettek jogaira nézve, különös tekintettel az incidenssel érintett adatok típusára, mennyiségére,
c) milyen intézkedések tehetők a kockázatok csökkentésére,
d) szükséges-e az adatvédelmi incidens bejelentése a NAIH felé és
e) szükséges-e az érintettek értesítése.
(3) Az IMCS a rendelkezésére álló adatok és az adatkezelés helyszínén végzett elemzés alapján dönt
a) az esemény adatvédelmi incidensnek történő nyilvánításáról vagy
b) az adatvédelmi incidensnek nyilvánítás mellőzéséről.
(4) Amennyiben az IMCS az eseményt adatvédelmi incidensként értékeli, úgy dönt annak alacsony, közepes vagy magas kockázatáról. Az IMCS a döntéséről az adatvédelmi incidens bekövetkeztéről való tudomásszerzést követő 24 órán belül értesíti – az Adatvédelmi HM utasítás 5. mellékletében meghatározott nyomtatvány szerinti tartalommal – a szakmai szervet.
(5) Az adatvédelmi incidens kockázata
a) alacsony, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve,
b) közepes, ha az adatvédelmi incidens kockázata nem magas, de valószínűsíthetően kockázattal jár az érintettek jogaira nézve, és a negatív következményeket nem lehet intézkedésekkel hatékonyan elhárítani,
c) magas, ha az adatvédelmi incidens az érintettekre jelentős vagy akár visszafordíthatatlan következményekkel vagy komoly nehézségekkel jár vagy járhat.
(6) Alacsony kockázatú adatvédelmi incidenst kizárólag az adatvédelmi incidens nyilvántartásban szükséges rögzíteni.
(7) Ha az adatvédelmi incidens közepes vagy magas kockázatú, az IMCS javaslatot tesz az adatkezelő részére az adatvédelmi incidens következményeinek mérséklését célzó intézkedésekre. Ezekben az esetekben adatvédelmi incidenst az adatvédelmi tisztviselő – távollétében a kijelölt helyettese – az adatkezelő képviselőjének tudomásszerzésétől számított 72 órán belül bejelenti a NAIH részére az incidensbejelentő rendszerén keresztül. Magas kockázatú adatvédelmi incidens bekövetkeztéről az érintetteket – a megfelelő intézkedés megtétele céljából – tájékoztatni kell. A tájékoztatás megtételéről az adatvédelmi tisztviselő – távolléte esetén a helyettesítésére kijelölt személy – gondoskodik.
(8) Ha a közvetlen tájékoztatás lehetetlen, vagy aránytalan nehézségbe ütközik, a tájékoztatást egyéb módon kell megtenni, különösen az adatkezelő honlapján vagy a helyben szokásos hirdetményi úton.
(9) Az IMCS a tevékenységéről dokumentációt vezet, amelyben részletesen rögzítik a döntések alapjait, körülményeit.
24. § (1) Az adatkezelést megelőzően az érintett adatkezelési művelet végrehajtásáért felelős szerv a tervezett adatkezelés kockázatainak megállapítása érdekében előzetes kockázatértékelést végez, amelynek eredményéről tájékoztatja az adatvédelmi tisztviselőt.
(2) Az adatkezelést megelőzően hatásvizsgálatot kell végezni,
a) ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve,
b) ha új technológia kerül alkalmazásra és
c) a NAIH által közzétett esetekben.
(3) Vélelmezni kell az adatkezelés magas kockázatát abban az esetben, ha az a NAIH által magas kockázatúnak minősített és közzétett adatkezeléshez hasonló adatkezelés alkalmazásával jár. Az adatkezelés alacsony kockázatát abban az esetben kell vélelmezni, ha az a NAIH által alacsony kockázatúnak minősített, és közzétett adatkezeléshez hasonló adatkezelés alkalmazásával jár.
(4) A (2)–(3) bekezdés esetében az adatvédelmi tisztviselő munkacsoport létrehozására tesz javaslatot az érintett adatkezelési művelet végrehajtásáért felelős szerv részére.
(5) A munkacsoport vezetője az adatkezelési művelet végrehajtásáért felelős szerv vezetője. A munkacsoport munkájában való részvételre a vezetők az állományukból maguk helyett – akadályoztatásuk esetén – más személyt is kijelölhetnek. A munkacsoport tagjai:
a) az adatvédelmi tisztviselő,
b) a munkacsoport vezetője által az állományából kijelölt személy és
c) elektronikus adatkezelés esetén, a HM elektronikus információs rendszer biztonságáért felelős személy.
(6) A munkacsoport feladata az adatkezelés kockázatainak vizsgálata és értékelése. A hatásvizsgálat elvégzését a munkacsoport az adatkezelés minden elemének figyelembevételével, a szakmai szerv által rendelkezésre bocsátott hatásvizsgálati módszer alkalmazásával végzi el, és ennek alapján hozza meg döntését. A hatásvizsgálat lezárásáig az adatkezelést nem lehet megkezdeni.
(7) Az adatkezelő – a szakmai szervvel történt egyeztetést követően – előzetes konzultációt kezdeményez a NAIH-hal, amennyiben a munkacsoport az adatkezelés magas kockázatát állapítja meg, és a kockázatok csökkentése nem jár eredménnyel.
25. § (1) Az adatbiztonsági és kockázatkezelési előírások részletes meghatározását a honvédelmi tárca információbiztonság politikájáról szóló 94/2009. (XI. 27.) HM utasítás 15. és 16. §-a és a Magyar Honvédség Informatikai Szabályzatának kiadásáról szóló 39/2014. (V. 30.) HM utasítás tartalmazza.
(2) Az iratkezelésre vonatkozó egyes adatbiztonsági követelményekre a Magyar Honvédség Egységes Iratkezelési Szabályzatának kiadásáról, valamint a Honvédelmi Minisztérium és a Magyar Honvédség Titokvédelmi és Ügyviteli Szabályzata kiadásáról szóló HM utasításban foglaltak az irányadóak.
26. § (1) Az adatkezelő adatkezelései papír alapon és elektronikus formában is történhetnek.
(2) Az adatkezelő a személy azonosítására alkalmas jellegétől megfosztott újonnan képzett adatokat statisztikák, belső kimutatások és pályázati indikátorok készítésére használhatja fel. Az adatkezelő anonimizálást alkalmaz minden olyan esetben, amikor az anonim adatok is elégségesek – különösen a HM pályázati tevékenysége teljesítményének, hatékonyságának mérésére –, valamint ahol szerződés vagy jogszabály írja elő a statisztikai adatok szolgáltatását.
27. § (1) Az adatok megőrzési ideje adatkezelésenként kerül meghatározásra.
(2) Az adat törlését minden esetben az adatkezelési művelet végrehajtásáért felelős szervezeti egység vezetője köteles kezdeményezni, a törlésről, megsemmisítésről jegyzőkönyvet kell készíteni.
28. § (1) Az adatkezeléssel foglalkozó ügyintéző, a szervezeti egység vezetője és a segítők (a továbbiakban együtt: ügyintéző) munkaköri leírásának, álláshelyleírásának tartalmaznia kell az általa ellátandó adatkezelési tevékenységeket és a jogosultságait.
(2) A HM szervek ügymenetüket olyan módon kötelesek kialakítani, hogy személyes vagy különleges személyes adat kezelésére csak elengedhetetlenül szükséges esetben kerüljön sor, és az adott adatkezelési célból kezelt adatokat csak az adatkezeléssel foglalkozó ügyintézők ismerhessék meg.
(3) Az ügyintéző gondoskodik arról, hogy jogosulatlan személyek ne tekinthessenek be a személyes vagy különleges személyes adatokba, valamint a személyes vagy különleges személyes adat jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható és megsemmisíthető.
(4) Az ügyintéző a helyiséget, ahol adatkezelés vagy adatfeldolgozás folyik úgy hagyhatja el, hogy az adathordozókat elzárja vagy a helyiséget bezárja. A munkavégzés befejeztével gondoskodnia kell az adathordozó elzárásáról.
29. § (1) A HM az adatkezelési tevékenységeihez adatfeldolgozót vehet igénybe. Az adatfeldolgozó tevékenységet szerződésben kell rögzíteni. Az adatfeldolgozásra vonatkozó szerződés előkészítésébe az adatvédelmi tisztviselőt be kell vonni.
(2) Az adatfeldolgozásra vonatkozó szerződésnek tartalmaznia kell különösen
a) az adatkezelő és az adatfeldolgozó megnevezését, elérhetőségét,
b) az adatvédelmi tisztviselő nevét, elérhetőségét, ha az adatfeldolgozó rendelkezik adatvédelmi tisztviselővel,
c) az adatkezelés célját,
d) az adatfeldolgozás jellegét, célját, műveleteinek meghatározását, időtartamát,
e) az adatfeldolgozással érintett adatalanyok kategóriáit, a személyes adatok típusát, körét, mennyiségét,
f) az adatfeldolgozó jogainak és kötelezettségeinek meghatározását, valamint annak rögzítését, hogy az adatfeldolgozó az adatkezelő kifejezett írásos utasításai alapján végezhet adatkezelési műveleteket, valamint az esetlegesen bekövetkező adatvédelmi incidensek esetén követendő szabályok meghatározását,
g) az elvégzett technikai műveletek megnevezését, módját,
h) a feldolgozott személyes adatok további sorsát,
i) annak rögzítését, hogy az adatfeldolgozó igénybe vehet-e további adatfeldolgozót,
j) az adatkezelőt és az adatfeldolgozót terhelő technikai és szervezési intézkedések meghatározását, valamint a megfelelő garanciák igazolását az adatfeldolgozó részéről,
k) az adatfeldolgozó azon alkalmazottai titoktartására vonatkozó rendelkezéseket, akik az adatfeldolgozásban részt vesznek,
l) annak szabályozását, hogy az adatfeldolgozó milyen módon, eljárási rendet követve nyújt segítséget az érintettek jogait érintő kérelmek megválaszolásában,
m) a HM ellenőrzési jogkörének biztosítását és
n) az adatkezelő utasításadási rendjének meghatározását, ideértve az adatfeldolgozó azon kötelezettségét, hogy tájékoztassa az adatkezelőt, ha az adatkezelő által adott utasítás az EU rendeletbe vagy egyéb jogszabályba ütközik, vagy ha megítélése szerint az adatfeldolgozással érintett személyes adatok tekintetében adatvédelmi incidens következett be.
30. § (1) Az érintettek személyes adatainak közlésére, továbbítására az EU rendeletben, az Infotv.-ben meghatározottak szerint és a feltételek megvalósulása esetén kerülhet sor.
(2) Az adatvédelmi tisztviselő szakmai véleményét ki kell kérni az adatközlést, adattovábbítást megelőzően, kivéve azokat az adatközléseket, adattovábbításokat, amelyeket jogszabály kötelezően előír.
31. § (1) A HM-nek a közadatkereső rendszerrel kapcsolatos feladatait az Adatvédelemi HM utasítás 29. §-a tartalmazza.
(2) A HM a hivatalos honlapján – http://www.kormany.hu/hu/honvedelmi-miniszterium – közzéteszi az Adatvédelmi HM utasítás 9. mellékletében szereplő általános közzétételi listában szereplő adatokat.
(3) Az Adatvédelmi HM utasítás 9. mellékletében szereplő általános közzétételi listában az adott adatkör vonatkozásában meghatározott adatfelelős figyelemmel kíséri a feltöltött adatok pontosságát, naprakészségét és az adatokban történt változások esetén – az általános közzétételi lista szerint, az ott meghatározott gyakorisággal – frissíti az adatokat. Az adatfelelős a frissített adatokat a szakmai szerv részére megküldi, és azok információs jogi megfelelősége esetén a szakmai szerv továbbítja a HM adatközlő részére közzététel céljából.
32. § (1) A közpénzekből nyújtott támogatások átláthatóságáról szóló 2007. évi CLXXXI. törvény (a továbbiakban: Knytv.) 6. és 8. §-a szerinti érintettségről (a továbbiakban: érintettség) a pályázói nyilatkozat mintáját az 1. melléklet, az érintettséget megalapozó körülmények közzétételének kezdeményezésére szolgáló kérelemmintát a 2. melléklet tartalmazza.
(2) A pályázatot befogadó HM szerv – a www.kozpenzpalyazat.gov.hu honlapon – közzétételi eljárást kezdeményez
a) a pályázat befogadásától számított 5 munkanapon belül a 3. melléklet szerinti adatlap elektronikus úton történő megküldésével,
b) a pályázat elbírálását követően haladéktalanul és
c) a pályázat megvalósításáról készített elszámolásról, annak kézhezvételétől számított 15 napon belül.
(3) A pályázatot befogadó HM szerv felelős
a) a közzétételi eljárás kezdeményezése esetén a Knytv.-ben meghatározott adatok közzétételéért, törléséért és
b) a pályázatban benyújtott adatok, valamint a közzétételre megküldött adatok tartalmának egyezéséért.
(4) A pályázatot befogadó HM szerv által kijelölt személyek jogosultak a Knytv. szerinti adatok közzétételében való közreműködésre. A kijelölt személyek nevéről, hivatali elérhetőségéről, elektronikus levélcíméről a HM adatvédelmi tisztviselőjét kell tájékoztatni.
(5) A pályázatot befogadó HM szerv vezetője gondoskodik az állományában lévő kijelölt személyek Knytv.-ben foglalt közzétételi kötelezettséggel összefüggő tárcaszintű feladatainak munkaköri leírásában, álláshelyleírásában történő rögzítéséről.
33. § (1) A jogszabályok előkészítésében való társadalmi részvételről szóló 2010. évi CXXXI. törvény és a jogszabálytervezetek és szabályozási koncepciók közzétételéről és véleményezéséről szóló 301/2010. (XII. 23.) Korm. rendelet szerinti tevékenységet a HM Jogi Főosztály (a továbbiakban: HM JF) végzi, a közzétételről a HM adatközlő gondoskodik.
(2) A HM JF a jogszabálytervezet szakmai kidolgozójával együttműködésben a nyilvánosság részéről megfogalmazott észrevételeket mérlegeli, és az észrevételekről, valamint az elutasított észrevételek esetében – a névtelenül beérkezettek kivételével – az elutasítás indokairól összefoglalót készít, amelyet – törvény esetén az Országgyűléshez történő benyújtást, kormányrendelet és miniszteri rendelet esetén a kihirdetést követően – a jogszabályi feltételek fennállása esetén megküld a HM adatközlő részére közzététel céljából.
34. § A HM-hez érkező közérdekű adatigénylések teljesítése során az Adatvédelmi HM utasítás 41–47. §-ában foglaltakra figyelemmel kell eljárni.
35. § (1) A HM kommunikációs szerv feladata a HM-hez a sajtó képviselőjétől érkező közérdekű adatigénylés teljesítése vagy megtagadása. Abban az esetben, ha a közérdekű adatigénylés nem a HM kommunikációjáért felelős szervhez érkezik, azt részére haladéktalanul meg kell küldeni. A HM kommunikációjáért felelős szerv az adatigénylés elektronikus úton történő megküldésével tájékoztatja a szakmai szervet a közérdekű adatigénylésről.
(2) Az (1) bekezdéstől eltérő közérdekű adatigénylés teljesítése vagy megtagadása a szakmai szerv feladata. Ha a közérdekű adatigénylés nem a szakmai szervhez érkezik, részére az adatigénylést haladéktalanul meg kell küldeni. A szakmai szerv az adatigénylés elektronikus úton történő megküldésével tájékoztatja a HM kommunikációjáért felelős szervet a közérdekű adatigénylésről.
(3) Az (1)–(2) bekezdések szerinti válaszadásra kötelezett (a továbbiakban: válaszadásra kötelezett) a közérdekű adatigénylést a választervezet szakmai kidolgozása, annak összeállítása céljából haladéktalanul megküldi a közérdekű adatigénylés tárgya szerinti illetékes HM szerv (a továbbiakban: választervezetet kidolgozó) részére.
(4) A választervezetet kidolgozó 2 munkanapon belül megküldi az előkészített szakmai bedolgozását a válaszadásra kötelezettnek.
(5) Az (1) bekezdésben meghatározott válaszadásra kötelezett a beérkezést követő 3 munkanapon belül megküldi a szakmai szerv részére a megkeresésre írt választervezetét, amely szerv a választervezettel kapcsolatos álláspontjáról haladéktalanul tájékoztatja a megküldőt.
(6) A (2) bekezdésben meghatározott válaszadásra kötelezett a beérkezést követő 3 munkanapon belül megküldi a HM kommunikációjáért felelős szerv részére a megkeresésre írt válasz tervezetét, amely szerv a választervezettel kapcsolatos álláspontjáról haladéktalanul tájékoztatja a megküldőt.
(7) A válaszadásra kötelezett a szakmai bedolgozás alapján haladéktalanul előkészíti a válaszlevél-tervezetet, amelyet az Adatvédelmi HM utasításban szabályozottak szerint jóváhagyásra felterjeszt. A jóváhagyott válaszlevél-tervezetet a válaszadásra kötelezett – az Infotv.-ben meghatározott határidőn belül – megküldi a közérdekű adatigénylő részére.
36. § (1) A válaszadásra kötelezett az adatigénylés teljesítéséért az Infotv. 29. § (3) és (4) bekezdésében, valamint a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendeletben (a továbbiakban: Korm. rendelet) meghatározott feltételek fennállása esetén, az abban meghatározott mértékig költségtérítést állapíthat meg.
(2) A választervezetet kidolgozó előzetesen megbecsüli a munkára fordítandó munkaidőt és a felmerülő dologi kiadások összegét, ezt követően a 4. mellékletben meghatározott elszámoló ívet haladéktalanul megküldi a válaszadásra kötelezett részére.
37. § (1) Költségtérítés fennállása esetén a válaszadásra kötelezett tájékoztatja az adatigénylőt, hogy a fizetendő költségtérítés összege a Korm. rendeletben meghatározott összeget
a) eléri, és ezzel egyidejűleg kéri, hogy nyilatkozzon adatigénylésének fenntartásáról, vagy
b) nem éri el, valamint – az igény beérkezését követő 15 napon belül – felvilágosítja arról, hogy az adatigénylés
ba) teljesítése a közfeladatot ellátó szerv alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, illetve
bb) teljesítéséhez szükséges dokumentum vagy dokumentumrész, amelyről az adatigénylő másolatot igényelt, jelentős terjedelmű, valamint
bc) személyi és dologi költsége meghaladja a Korm. rendeletben megállapított összeghatárt és
bd) teljesítésének másolatkészítést nem igénylő lehetőségeiről.
(2) Az (1) bekezdés a) pontjában meghatározott esetben az adatigénylő a tájékoztatás kézhezvételétől számított 30 napon belül nyilatkozik adatigénylésének fenntartásáról. Az igénylés fenntartása esetén a válaszadásra kötelezett legalább 15 napos határidőt határoz meg a költségtérítés megfizetésére. A közérdekű adatigénylést a költségtérítés megfizetésétől függetlenül – az Infotv. 29. § (1) és (2) bekezdésében meghatározott határidőn belül – teljesíteni kell.
(3) Az (1) bekezdés b) pontjában meghatározott esetben a válaszadásra kötelezett az adatigénylést a költségtérítésnek az adatigénylő általi megfizetését követő 15 napon belül teljesíti.
38. § (1) Az utasítás 37. §-a szerinti tájékoztatáshoz csatolni kell az 5. mellékletben meghatározott formanyomtatványt, és az adatigénylőt fel kell kérni arra, hogy a tájékoztatást követő igénylésének fenntartása esetén a formanyomtatványt kitöltve küldje vissza.
(2) A felszámítható költségek mértékét a http://www.kormany.hu/hu/honvedelmi-miniszterium dokumentumtárban közzétett hirdetmény tartalmazza. A költségtérítéssel kapcsolatos számla kibocsátása a HM pénzügyi ellátásért felelős szervének a feladata. A HM védelemgazdaságért felelős helyettes államtitkára a költségtérítés megállapítását mellőzheti. A költség adatigénylő általi megfizetésének tényét a HM pénzügyi ellátásért felelős szerve haladéktalanul jelzi a válaszadásra kötelezettnek.
(3) Az utasításban nem szabályozott esetekben a Korm. rendeletben meghatározottak szerint kell eljárni, figyelembe véve a HM fejezet egységes számviteli politikájáról és számlarendjéről szóló 9/2017. (HK 5.) HM VGHÁT szakutasítás rendelkezéseit.
2. Záró rendelkezések
39. § Ez az utasítás a közzétételét követő napon lép hatályba.
3. Az Adatvédelmi HM utasítás módosítása
40. §2
41. §3
1. melléklet a 48/2019. (VII. 18.) HM utasításhoz
…………………………………………………………………………………………………………………………………….. |
…………………………………………………………………………………………………………………………………….. |
…………………………………………………………………………………………………………………………………….. |
…………………………………………………………………………………………………………………………………….. |
…………………………………………………………………………………………………………………………………….. |
…………………………………………………………………………………………………………………………………….. |
2. melléklet a 48/2019. (VII. 18.) HM utasításhoz
………………………………………………………………………………………………………………………… |
………………………………………………………………………………………………………………………… |
…………………………………………………………………………………………………………………………… |
…………………………………………………………………………………………………………………………… |
………………………………………………………………………………………………………………………… |
………………………………………………………………………………………………………………………… |
3. melléklet a 48/2019. (VII. 18.) HM utasításhoz
A D A T L A P |
||||
[A kitöltött adatlapot a pályázatokat vagy az egyedi támogatási kérelmet befogadó szerv – a közpénzekből nyújtott támogatások átláthatóságáról szóló 2007. évi CLXXXI. törvény (a továbbiakban: Knytv.) szerint – a pályázat befogadásától számított öt munkanapon belül köteles elektronikus úton, a kozpenzpalyazat@nisz.hu címre megküldeni a Nemzeti Infokommunikációs Szolgáltató Zrt.-nek, az általa üzemeltetett honlapon történő közzététel céljából. Ugyanennek az adatlapnak az alkalmazásával, ugyanilyen módon történik – a pályázat elbírálását követő 15 napon belül – a nyertesekről, valamint a kizárásról történő adatszolgáltatás is.] |
||||
Pályázat vagy egyedi támogatási kérelem: |
||||
I. Az adatszolgáltató (pályázatot vagy egyedi támogatási kérelmet befogadó) adatai |
||||
1. A befogadó szerv neve1: |
||||
2. A befogadó szerv székhelye |
Irányítószám: |
Település: |
||
Közterület neve, típusa: |
Házszám: |
|||
3. A befogadó szerv elérhetőségei |
Telefonszám: |
E-mail-cím: |
||
II. A pályázatkiíró és a pályázati felhívás adatai2 |
||||
1. A pályázatkiíró szerv neve1: |
||||
2. A pályázatkiíró szerv székhelye |
Irányítószám: |
Település: |
||
Közterület neve, típusa: |
Házszám: |
|||
3. A pályázati felhívás megnevezése (tárgya): |
||||
4. A pályázati felhívás azonosítója: |
||||
III. A döntéshozó(k)4 |
||||
Név, beosztás: |
Sor- |
Pályázat vagy egyéni támogatási kérelem egyedi azonosítója5 |
Pályázat státusza6 |
Pályázat tárgya (címe) |
Pályázó7 |
Igényelt összeg |
Érintettség |
Pályázat elbírálás dátuma3 |
Pályázat- |
Nyertes pályázat |
Elszámolás adatai |
|||||||||||||
neve1 |
irányító- szám |
település neve |
közterület neve, típusa, házszám |
születési adatok (természetes személy) |
nyilvántartása (gazdasági társaság vagy egyéb szervezet) |
Elnyert támogatás összege |
Szerződés összege |
Lezárás időpontja3 |
Lezárás összege |
||||||||||||||
helye |
ideje |
nyilván- |
nyilván- |
||||||||||||||||||||
nettó |
bruttó |
nettó |
bruttó |
nettó |
bruttó |
nettó |
bruttó |
||||||||||||||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
|
1. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
6. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
9. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
10. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. melléklet a 48/2019. (VII. 18.) HM utasításhoz
Ráfordított munkaidő |
|
ebből |
|
ügyintéző1 1/óra2 |
|
személyügyi törzsszám |
|
ügyintéző1 2/óra2 |
|
személyügyi törzsszám |
|
ügyintéző1 3/óra2 |
|
személyügyi törzsszám |
|
db |
|||
Másolat |
színes |
A/4 |
|
A/3 |
|
||
fekete-fehér |
A/4 |
|
|
A/3 |
|
||
optikai hordozó |
|
|
|
egyéb adathordozó |
|
|
Adatigénylő részére postai úton, belföldre |
Ft |
Adatigénylő részére postai úton, külföldre |
Ft |
5. melléklet a 48/2019. (VII. 18.) HM utasításhoz
Az utasítást a 27/2021. (VII. 8) HM utasítás 41. §-a hatályon kívül helyezte 2021. július 9. napjával.
A 40. § a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
A 41. § a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás