3/2022. (IV. 14.) KKM utasítás
3/2022. (IV. 14.) KKM utasítás
a Külgazdasági és Külügyminisztérium adatvédelmi és adatbiztonsági szabályzatáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában meghatározott hatáskörömben eljárva – figyelemmel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 25/M. § (1) bekezdés f) pontjában és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 24. cikk (2) bekezdésében foglaltakra –, a Külgazdasági és Külügyminisztérium által kezelt személyes adatok védelme érdekében a következő utasítást adom ki:
1. Általános rendelkezések
1. § Az utasítás célja a Külgazdasági és Külügyminisztérium (a továbbiakban: Minisztérium) tevékenysége során a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása, továbbá a Minisztérium által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírások meghatározása.
2. § (1) Az utasítás hatálya kiterjed
a) a Minisztérium szervezeti egységeire,
b) a Minisztérium szervezeti egységeinek kezelésében lévő személyes adatokra,
c) a Minisztériumban foglalkoztatott valamennyi kormánytisztviselőre, munkavállalóra (a továbbiakban: foglalkoztatott),
d) a Minisztérium feladat- és hatáskörébe tartozó valamennyi ügy intézésére,
e) a Minisztérium rendelkezésére álló adatokra,
f) a Minisztérium foglalkoztatottjait érintő személyi nyilvántartások adatvédelmére.
(2) A Minisztérium adatkezelési tevékenységében állandó vagy eseti jelleggel részt vevő vagy abban közreműködő, a Minisztérium érdekkörében adatfeldolgozóként vagy közös adatkezelőként eljáró természetes és jogi személyekkel, jogi személyiséggel nem rendelkező szervezetekkel kötendő szerződésekben, megállapodásokban érvényesíteni kell a személyes adatok kezelésére vonatkozóan a jelen utasításban meghatározott követelményeket.
(3) Az utasításban foglaltakat kell alkalmazni a Minisztérium szervezeti egységei által folytatott adatkezelési műveletekre az adatok megjelenési formájától függetlenül, az adatkezelés teljes folyamatára kiterjedően – az adatok megszerzésétől vagy a minisztériumi szervnél történő keletkezésétől azok törléséig, illetve megsemmisítéséig –, függetlenül attól, hogy az adatok valamely nyilvántartási rendszer, vagy valamely ügyben keletkezett irat részét képezik-e.
3. § Az utasítás alkalmazásában
a) adatgazda: aki az adott adatkezelésre vonatkozó döntési jogosultsággal rendelkezik, elsődlegesen az érintett adatkezelő önálló szervezeti egységének vezetője;
b) adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
c) adatkezelő szerv: a Minisztérium;
d) adatkezelő szerv vezetője: a külgazdasági és külügyminiszter;
e) adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
f) egységes elektronikus adatvédelmi nyilvántartás: a minisztériumi adatkezelő szervek által végzett adatkezelési tevékenységeket összesítő egységes nyilvántartás;
g) személyes adat: azonosított vagy azonosítható természetes személyre (érintettre) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
h) tájékoztatás: adatvédelmi incidens gyanújáról szóló bejelentés a Minisztérium valamely szervezeti egysége részére, amely bárkitől származhat.
2. Az adatkezelés alapelvei
4. § Az adatkezelés teljes életciklusa során meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének jogszerűnek kell lennie, az érintettek jogait az adatkezelés során biztosítani kell.
5. § Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
6. § (1) A Minisztérium személyi állománya feladatai ellátása során személyes adatot csak jogszabály – így különösen a Minisztérium feladat- és hatáskörét érintő ágazati jogszabályok és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR), valamint közjogi szervezetszabályozó eszköz előírásainak figyelembevételével, az adatkezelésre vonatkozó alapelvek tiszteletben tartásával kezelhet.
(2) Az (1) bekezdésben meghatározott kötelezettség kiterjed a Minisztérium megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, valamint jogi személyiséggel nem rendelkező személyekre is, mely kötelezettséget a Minisztérium az adatfeldolgozóval kötött írásbeli megbízási szerződés útján érvényesít.
3. Az adatvédelem szervezete
7. § Az adatkezelő szerv vezetője az általa vezetett adatkezelő szerv vonatkozásában felel
a) az adatvédelmi és adatbiztonsági intézményrendszer kiépítéséért és működtetéséért;
b) a személyes adatok védelméhez kapcsolódó követelmények érvényesüléséhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések meghozataláért;
c) a foglalkoztatottak adatvédelmi oktatásáért és rendszeres továbbképzéséért az adatvédelmi tisztviselő bevonásával;
d) a rendszeres adatvédelmi ellenőrzésért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, ennek érdekében a hatáskörébe tartozó eljárások lefolytatásáért;
e) az érintett jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételek biztosításáért;
f) az adatvédelmi hatásvizsgálatok lefolytatásáért és rendszeres felülvizsgálatáért, valamint az ahhoz szükséges feltételek biztosításáért;
g) az adatvédelmi feladatok ellátására alkalmas adatvédelmi tisztviselő kijelöléséért, nevének és elérhetőségének a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) részére történő bejelentéséért;
h) az adatvédelmi tisztviselő feladatainak végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges feltételek és források biztosításáért;
i) a Minisztérium adatkezelési tájékoztatójának és adatvagyonleltárának naprakészen tartásáért.
8. § (1) Az adatvédelmi tisztviselőt írásban jelöli ki az adatkezelő szerv vezetője.
(2) Adatvédelmi tisztviselőnek csak olyan személy jelölhető ki, aki a releváns adatvédelmi jogi ismeretekkel és gyakorlattal rendelkezik, továbbá a GDPR 39. cikkében foglalt feladatok ellátására alkalmas.
(3) Nem lehet olyan személyt kijelölni adatvédelmi tisztviselőnek, aki az adatkezelő szervnél adatkezeléssel kapcsolatos döntések meghozatalára jogosult személynek a Polgári Törvénykönyvről szóló 2013. évi V. törvény 8:1. § (1) bekezdés 2. pontja szerinti hozzátartozója.
(4) Az adatvédelmi tisztviselő nevéről és elérhetőségéről a minisztériumi foglalkoztatottakat tájékoztatni kell, valamint a Hatóság nyilvántartásába be kell jelenteni.
(5) Az adatvédelmi tisztviselő feladatainak ellátása céljából, az ahhoz szükséges mértékben a minősítéssel védett iratokba, valamint – az integritás tanácsadó felügyelete mellett – az integritás bejelentésekkel, illetve a szervezeti integritást sértő eseményekkel kapcsolatos iratokba betekinthet.
(6) Az adatkezelő szerv vezetője biztosítja az adatvédelmi tisztviselő számára meghatározott feladata kapcsán eljárva a hozzáférést a feladatai végrehajtásához szükséges elektronikus rendszerekhez, iratokhoz, egyéb adathordozókhoz, valamint a szakmai ismeretei naprakészen tartásához szükséges feltételeket, jogosultságokat és erőforrásokat rendelkezésére bocsátja.
(7) A Minisztériummal bármely jogszabály alapján foglalkoztatási jogviszonyban álló személyek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben a hivatali út betartása nélkül, közvetlenül és egyszerű módon fordulhatnak az adatvédelmi tisztviselőhöz.
9. § Az adatvédelmi tisztviselő
a) tájékoztat és szakmai tanácsot ad a Minisztérium valamennyi szervezeti egysége részére az adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
b) ellenőrzi az adatvédelmi szabályoknak való megfelelést;
c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
d) együttműködik a Hatósággal;
e) kapcsolattartó pontként szolgál a Hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele;
f) vezeti a Minisztérium adatvagyonleltárát;
g) nyilvántartja az adatkezelési műveleteket;
h) részt vesz a Hatóság által szervezett képzéseken;
i) adatvédelmi ellenőrzési tervet készít, amelyet az adatkezelő szerv vezetője hagy jóvá;
j) az adatvédelmi ellenőrzési terv alapján, valamint azon kívül szükség szerint, különösen adatvédelmi incidens esetén, ellenőrzi az adatkezelő szervnél az adatvédelmi és adatbiztonsági követelmények teljesítését;
k) az adatkezelési előírások megsértőjét felhívja a jogszerű állapot haladéktalan helyreállítására, és – adatvédelmi érdek sérelme esetén – a hiányosságokat közvetlenül jelzi az adatkezelő szerv vezetőjének, indokolt esetben kezdeményezi a felelősség megállapításához szükséges eljárást;
l) közreműködik az adatvédelmi incidens kivizsgálásában, és a vizsgálat eredménye alapján – a jogszabályi feltételek fennállása esetén – a közigazgatási államtitkár jóváhagyásával az adatvédelmi incidenst bejelenti a Hatóság részére;
m) vezeti a Minisztérium adatvédelmi incidens-nyilvántartását;
n) a konzuli felkészítő tanfolyam keretében rendszeresen, a többi szervezeti egység részére szükség szerint adatvédelmi oktatást tart.
10. § Valamennyi szervezeti egység köteles
a) az adatvédelmi tisztviselő felhívására soron kívül, az általa megjelölt időpontig tájékoztatást, felvilágosítást adni, adatot szolgáltatni,
b) az adatvédelmi tisztviselő közreműködésével folyatott ellenőrzéseket elősegíteni,
c) az adatvédelmi tisztviselő által szervezett oktatáson részt venni,
d) az adatvédelmi incidens megalapozott gyanúja esetén az incidenst és bekövetkezésének körülményeit haladéktalanul bejelenteni.
4. Az adatkezelési tevékenységek nyilvántartása
11. § (1) A Minisztérium az adatkezelői nyilvántartást és az adatkezelési tevékenységek nyilvántartását elektronikusan az arra létrehozott elkülönített rendszerben kezeli.
(2) Az adatkezelői nyilvántartást és az adatkezelési tevékenységek nyilvántartását az adatvédelmi tisztviselő vezeti.
(3) Az adatszolgáltatással érintett szervezeti egységek kötelesek az adatkezelésük összefoglaló adatait az adatvédelmi tisztviselőnek megküldeni, adatot szolgáltatni.
(4) A Minisztérium központi honlapján közzétett adatkezelési és adatvédelmi tájékoztatókkal kapcsolatban a közzététellel érintett szervezeti egység kikéri az adatvédelmi tisztviselő véleményét, szükség esetén segítségét azok elkészítésében.
5. Adattovábbítás és az adattovábbítási nyilvántartás
12. § (1) A Minisztérium adattovábbítással érintett minden szervezeti egysége az adattovábbítás feltételeinek meglétét minden egyes személyes adattal összefüggésben köteles ellenőrizni.
(2) Az adattovábbítás akkor minősül jogszerűnek, ha a személyes adatot kezelő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig rendelkezik az adat kezeléséhez szükséges jogalappal, vagy az érintett írásos – a vonatkozó jogszabályi elvárásoknak megfelelő tartalmú – hozzájárulásával, és az adatkérés célja mindezzel összhangban van.
(3) Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – törvényben kötelezően előírt adattovábbítás esetét kivéve – az adatkezelő szerv vezetőjének vagy az általa kijelölt vezetőnek a hatáskörébe tartozik, amellyel kapcsolatban kikérheti az adatvédelmi tisztviselő véleményét.
13. § (1) A Minisztérium által kezelt személyes adatok továbbításáról az adattovábbítással érintett szervezeti egységnél adattovábbítási nyilvántartást kell vezetni, mely rögzíti
a) az érintett nevét,
b) az adattovábbítás időpontját,
c) az adattovábbítás célját és jogalapját,
d) az adatigénylő nevét vagy megnevezését,
e) a továbbított adatok fajtáit.
(2) Az adattovábbítással érintett szervezeti egység a szolgáltatott adatokat nem vezeti fel az adattovábbítási nyilvántartásba.
(3) Az adattovábbítással érintett szervezeti egység vezetője az adattovábbítási nyilvántartás adatait, és az abban bekövetkező változásokat továbbítja az adatvédelmi tisztviselőnek.
6. Az adatvédelmi hatásvizsgálat lefolytatása és az előzetes konzultáció kezdeményezése
14. § (1) Az adatgazda abban az esetben végez előzetes hatásvizsgálatot tervezett vagy folyamatban lévő adatkezelésnél, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, vagy az adatkezelés kockázatának és lényeges körülménynek – különösen az adatkezelés technológiájának – megváltoztatása esetén.
(2) Amennyiben az adatgazda az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve magas kockázatot azonosít, vagy jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési tevékenységek esete áll fenn, – a döntése alapjául szolgáló legfontosabb szempontokat írásban megjelölve – adatvédelmi hatásvizsgálat lefolytatását kezdeményezi az adatkezelő szerv vezetőjénél.
(3) Az adatgazda a kockázatelemzési feladata kapcsán kikéri a döntés végrehajtásáért felelős szakterület, az elektronikus információs rendszer biztonságáért felelős szervezet vezetőjének vagy az elektronikus biztonságért felelős személynek és a rendszerek üzemeltetésében részt vevő szervezeteknek, valamint az adatvédelmi tisztviselőnek a véleményét.
(4) Ha a tervezett adatkezelés annak körülményeire, így különösen céljára, az érintettek körére, az adatkezelési műveletek során alkalmazott technológiára tekintettel – az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve – valószínűsíthetően magas kockázatot nem azonosít, vagy megállapítást nyer, hogy az adatkezelés az adatvédelmi hatásvizsgálat lefolytatása alóli mentesítést tartalmazó valamely jogszabályban meghatározott kivételi körbe tartozik, úgy ennek tényét az adatgazda írásban rögzíti.
(5) Az adatvédelmi hatásvizsgálatról szóló összefoglaló jelentést az adatkezelő szervezeti egység vezetője hagyja jóvá, továbbítja a Minisztérium közigazgatási államtitkára, valamint az adatvédelmi tisztviselő felé. Az adatvédelmi tisztviselő a megküldött dokumentumokat az adatkezelési tevékenységek nyilvántartásába bejegyzi.
(6) Ha az adatvédelmi hatásvizsgálat arra az eredményre jut, hogy a tervezett adatkezelés jelentette kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, vagy azt jogszabály kötelezően előírja, akkor az adatkezelő szerv előzetes konzultációt kezdeményez a Hatóságnál.
(7) Az adatvédelmi hatásvizsgálat módszertanát az 1. melléklet tartalmazza.
7. Az adatvédelmi incidens kezelésének eljárásrendje
15. § (1) Adatvédelmi incidens bekövetkeztének gyanúja esetén az adatvédelmi incidenssel érintett szervezeti egység vezetője haladéktalanul tájékoztatja a közigazgatási államtitkárt és az adatvédelmi tisztviselőt.
(2) Az (1) bekezdés szerinti bejelentésnek legalább az alábbiakat kell tartalmaznia:
a) az incidenssel érintett szervezeti egység megnevezése;
b) az incidensről való tudomásszerzés időpontja;
c) az incidens bekövetkezésének időpontja;
d) az érintett természetes személyek száma;
e) az érintett személyes adatok típusa, számossága;
f) személyes adatok különleges kategóriái érintettek-e;
g) a sérülés jellege (bizalmas jelleg, integritás, rendelkezésre állás);
h) az incidens rövid leírása;
i) megtörtént-e az érintettek tájékoztatása;
j) várható következmények.
16. § (1) Ha az adatvédelmi incidens a rendelkezésre álló adatok alapján egyértelműen megállapítható, az adatvédelmi tisztviselő a közigazgatási államtitkár egyetértésével 72 órán belül intézkedik a hatósági nyilvántartásba való bejelentésről, és gondoskodik az elsődleges intézkedések megtételéről.
(2) Ha megállapítást nyer az érintettek jogaival és szabadságaival kapcsolatban a magas kockázat fennállása, az adatvédelmi tisztviselő az incidenst bejelenti a Hatóság részére 72 órán belül az erre rendszeresített elektronikus felület igénybevételével.
(3) Az adatvédelmi tisztviselőt adatvédelmi incidens eljárása során minden általa megkeresett szervezeti egység köteles támogatni, részére minden információt, felvilágosítást megadni.
8. Záró rendelkezések
17. § Ez az utasítás a közzétételét követő napon lép hatályba.
18. § (1) Az utasítás rendelkezéseit a hatálybalépésekor folyamatban lévő ügyekben is alkalmazni kell.
(2) Jelen utasítás hatálybalépésétől számított 30 napon belül a szervezeti egységek vezetői kötelesek intézkedni az irányításuk alá tartozó szervezeti egység adatkezelési gyakorlatának felülvizsgálatáról, és szükség esetén az utasítás rendelkezéseinek megfelelő eljárások kialakításáról, mely vizsgálat eredményéről tájékoztatják az adatvédelmi tisztviselőt.
19. §1
1. melléklet a 3/2022. (IV. 14.) KKM utasításhoz
A 19. § a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás