4/2022. (IX. 30.) ÉBM utasítás

a személyes adatok védelméről és a közérdekű adatok megismerésének rendjéről

2022.10.01.

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában meghatározott jogkörömben eljárva – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 30. § (6) bekezdésében, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 24. cikk (2) bekezdésében foglaltak alapján –, az Építési és Beruházási Minisztérium által kezelt személyes adatok védelme és a közérdekű adatok megismerése érdekében a következő utasítást adom ki:

1. § A személyes adatok védelméről és az Építési és Beruházási Minisztérium kezelésében lévő közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének rendjéről szóló szabályzatot az 1. mellékletben foglaltak szerint állapítom meg.

2. § Ez az utasítás a közzétételét követő napon lép hatályba.

1. melléklet a 4/2022. (IX. 30.) ÉBM utasításhoz

I. Fejezet

Általános rendelkezések

1. § (1) A szabályzat célja, hogy az Építési és Beruházási Minisztérium (a továbbiakban: Minisztérium) tevékenysége során a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása, illetve a Minisztérium által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat, továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.), a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendeletben (a továbbiakban: Költségtérítési rendelet), valamint a vonatkozó egyéb jogszabályokban foglalt előírások figyelembevételével elősegítse a közérdekű és a közérdekből nyilvános adatok megismeréséhez való, Alaptörvényben rögzített jog érvényesülését azáltal, hogy meghatározza a közérdekű adatok megismerésére irányuló igények teljesítésének rendjét a Minisztériumban.

(2) A szabályzat hatálya a Minisztérium valamennyi szervezeti egységére, valamint foglalkoztatottjára kiterjed.

(3) A szabályzatban foglaltakat kell alkalmazni a Minisztérium szervezeti egységei által folytatott adatkezelési műveletekre – az adatok megjelenési formájától függetlenül – az adatok megszerzésétől vagy a minisztériumi szervnél történő keletkezésétől azok törléséig, illetve megsemmisítéséig, az adatkezelés teljes folyamatára kiterjedően, függetlenül attól, hogy az adatok valamely nyilvántartási rendszer vagy valamely ügyben keletkezett irat részét képezik-e.

(4) A szabályzat rendelkezéseit kell alkalmazni a Minisztérium kezelésében lévő közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények esetében, függetlenül attól, hogy az adatigénylő a kérelmét a Minisztériumhoz közvetlenül nyújtotta be, vagy más szerv a hozzá benyújtott igényt a Minisztériumhoz továbbította.

(5) A szabályzat nem vonatkozik a közhitelű nyilvántartásból történő, törvényben szabályozott adatszolgáltatásra.

(6) A minősített adatok kezelésére vonatkozó jogszabály eltérő rendelkezésének hiányában a szabályzatot kell alkalmazni a minősített adathordozóban szerepeltetett személyes adatok kezelése során.

1. Értelmező rendelkezések

2. § A szabályzat alkalmazásában

a) adatkezelő szerv: a Minisztérium;

b) adatbirtokos: a Minisztérium adatkör szerint érintett szervezeti egységének azon vezetője, aki – önállóan vagy másokkal együtt – az adat kezelésének célját meghatározza, az adatkezelésre – beleértve a felhasznált eszközt – vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;

c) érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;

d) közérdekű adat: az Infotv. szerinti közérdekű adat;

e) közérdekből nyilvános adat: az Infotv. szerinti közérdekből nyilvános adat;

f) nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

g) személyes adat: a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) szerinti személyes adat;

h) üzleti titok: az üzleti titok védelméről szóló 2018. évi LIV. törvény meghatározott üzleti titok.

II. Fejezet

A személyes adatok védelme

2. Az adatvédelmi tevékenység felügyelete, irányítása

3. § (1) Az adatvédelem felügyeletét a Minisztérium hivatali szervezetét vezető és igazgatási irányítását gyakorló közigazgatási államtitkár látja el, az adatvédelmi tisztviselő közreműködésével.

(2) A Minisztérium Szervezeti és Működési Szabályzatában foglaltaknak megfelelően a közigazgatási államtitkár közvetlenül irányítja az adatvédelmi tisztviselő tevékenységét az adatvédelmi tisztviselői feladatok ellátása tekintetében.

(3) A közigazgatási államtitkár az adatvédelemmel kapcsolatos feladatai körében

a) adatvédelemmel kapcsolatos vizsgálatot rendelhet el;

b) kiadja a Minisztérium adatvédelemmel kapcsolatos belső szabályait.

3. Az adatvédelmi tisztviselő

4. § (1) A Minisztérium adatvédelmi tisztviselője a közigazgatási államtitkár által az Infotv. 25/L. §-ának megfelelően kinevezett személy. Adatvédelmi tisztviselőnek csak olyan személy jelölhető ki, aki a GDPR-ban és az Infotv.-ben foglalt feltételeknek megfelel.

(2) Nem lehet olyan személyt kijelölni adatvédelmi tisztviselőnek, aki az adatkezelő szervnél adatkezeléssel kapcsolatos döntések meghozatalára jogosult személynek a Polgári Törvénykönyvről szóló 2013. évi V. törvény 8:1. § (1) bekezdés 2. pontja szerinti hozzátartozója.

(3) Az adatvédelmi tisztviselő nevéről és elérhetőségéről a Minisztérium foglalkoztatottjait tájékoztatni kell, valamint az adatvédelmi tisztviselő Infotv. 25/L. § (4) bekezdésében meghatározott adatait a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) nyilvántartásába be kell jelenteni.

(4) Az adatvédelmi tisztviselő feladatainak ellátása céljából, az ahhoz szükséges mértékben a minősítéssel védett iratokba betekinthet.

(5) A közigazgatási államtitkár biztosítja az adatvédelmi tisztviselő számára, meghatározott feladata kapcsán eljárva a hozzáférést a feladatai végrehajtásához szükséges elektronikus rendszerekhez, iratokhoz, egyéb adathordozókhoz, valamint a szakmai ismeretei naprakészen tartásához szükséges feltételeket, jogosultságokat és erőforrásokat rendelkezésére bocsátja.

(6) A Minisztériummal bármely jogszabály alapján foglalkoztatási jogviszonyban álló személyek a személyes adatai kezeléséhez és jogai gyakorlásához kapcsolódó valamennyi kérdésben a hivatali út betartása nélkül, közvetlenül fordulhatnak az adatvédelmi tisztviselőhöz.

(7) Az adatvédelmi tisztviselő a GDPR-ban és az Infotv.-ben rögzítettek túl, kizárólag a következő feladatokat látja el:

a) a közigazgatási államtitkár által jóváhagyott ellenőrzési tervet készít, a tervben foglaltak szerint ellenőrzi az adatkezelő szervnél az adatvédelmi és adatbiztonsági követelmények megtartását;

b) az adatkezeléssel kapcsolatos előírások megszegésének észlelése esetén az adatvédelmi tisztviselő felhív a jogszerű állapot haladéktalan helyreállítására, és a hiányosságokat – amennyiben emiatt adatvédelmi érdek sérelmet szenvedne, úgy közvetlenül – jelzi a közigazgatási államtitkárnak, indokolt esetben kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását;

c) közreműködik az adatvédelmi incidensek kivizsgálásában, vezeti a Minisztérium adatvédelmi incidens nyilvántartását, és a vizsgálat eredménye alapján a jogszabályi feltételek fennállása esetén bejelenti azt a Hatóság részére;

d) nyilvántartást vezet az érintettnek a személyes adatai kezelésével kapcsolatos hozzáférésre, helyesbítésre, törlésre, tiltakozásra, valamint korlátozásra vonatkozóan benyújtott és elutasított kérelméről, az elutasítás indokairól;

e) vezeti a személyes adat kezelésével összefüggő egyéb nyilvántartásokat;

f) részt vesz a Hatóság által szervezett képzéseken.

(8) A Minisztérium szervezeti egységei kötelesek együttműködni az adatvédelmi tisztviselővel.

4. Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya feladatai

5. § (1) A Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya észrevételezi azon jogszabálytervezeteket vagy más előterjesztés-tervezeteket (a továbbiakban együtt: előterjesztés), amelyek érintik a személyes adatok körét.

(2) A Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya az (1) bekezdésben meghatározott feladat ellátása körében vizsgálja, hogy az előterjesztések megfelelnek-e a személyes adatok kezelését szabályozó jogszabályoknak.

5. A személyes adatok kezelésére vonatkozó elvek

6. § A Minisztérium a személyes adatok kezelése során az alábbi elveket alkalmazza:

a) Jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelésére csak és kizárólag a megfelelő jogalap megléte esetén kerülhet sor. Az adatkezelésre vonatkozó jogszabályok betartásán túl, a Minisztérium az adatkezelés során tiszteletben tartja az érintettek személyes adataikhoz fűződő jogát és az emberi méltóságát. A Minisztérium az adatkezelést átláthatóan végzi, az adatkezelésről hatékony és teljes körű tájékoztatást nyújt az érintettek részére.

b) Célhoz kötöttség elve: a Minisztérium kizárólag előre meghatározott, jogszerű célból kezel adatokat, a céllal, célokkal összeegyeztethető módon.

c) Adattakarékosság elve: a Minisztérium kizárólag annyi és olyan személyes adatot kezel, mely a meghatározott cél teljesüléséhez szükséges. A Minisztérium az adatkezeléskor meghatározott cél megvalósulását követően – kivéve, ha jogszabály ezzel ellentétesen rendelkezik, vagy az adattárolás olyan adatkezelési cél elérése érdekében lehetséges, mely összeegyeztethető az eredeti adatkezelési céllal – a személyes adatokat töröli.

d) Pontosság elve: a Minisztérium az általa kezelt személyes adatok pontosságát az adatbirtokos folyamatos felülvizsgálata és az érintett helyesbítéséhez való joga gyakorlásának biztosításával garantálja.

e) Korlátozott tárolhatóság elve: a Minisztérium a személyes adatot tartalmazó dokumentumot az adatkezelési cél elérését vagy az adatkezelési idő leteltét követően – kivéve, ha jogszabály ezzel ellentétesen rendelkezik, vagy az adattárolás olyan adatkezelési cél elérése érdekében lehetséges, mely összeegyeztethető az eredeti adatkezelési céllal – törli vagy anonimizálja, amely révén az érintett a továbbiakban nem azonosítható.

f) Integritás és bizalmas jelleg elve: a Minisztérium biztosítja a jogosultak számára, hogy az adatokhoz hozzáférjenek, továbbá az adatbiztonságért felelős szervezeti egység felügyeletével gondoskodik a személyes adatok védelméről.

g) Elszámoltathatóság elve: a Minisztérium valamennyi személyes adat kezelésével összefüggő tevékenységét visszakövethető módon dokumentálja, és ezáltal biztosítja az adatkezeléssel kapcsolatosan megtett intézkedések átláthatóságát.

6. Az érintett jogai és az érintett jogainak érvényesítésével összefüggő feladatok

7. § Az érintettnek joga van írásban tájékoztatást kérni a Minisztérium által kezelt személyes adatai vonatkozásában

a) a személyes adatok köréről,

b) az adatkezelés jogalapjáról,

c) az adatkezelés céljáról,

d) a címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják,

e) az adattárolás időtartamáról,

f) az adatok forrására vonatkozó minden elérhető információról, ha az adat nem az érintettől származik.

8. § Az érintett írásban kérheti, hogy a Minisztérium

a) helyesbítse, illetve kiegészítse valamely kezelt személyes adatát,

b) korlátozza vagy törölje személyes adatait,

c) a rá vonatkozó, általa az adatkezelő szerv rendelkezésére bocsátott, bármilyen formában rögzített személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja.

9. § A Minisztérium a 7–8. §-ban foglalt kérelemnek az adatvédelmi tisztviselő útján, – a GDPR 12. cikk (3) és (4) bekezdésének figyelembevételével – indokolatlan késedelem nélkül, de legfeljebb egy hónapon belül eleget tesz.

10. § Az érintettet megillető jogok gyakorlására – az érintettek adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva – csak a kérelmező megfelelő azonosítása, illetve kérelme tartalmának hitelesítése esetén van lehetőség. Nem biztosítható ezen jogok gyakorlása különösen az elektronikus aláírással nem hitelesített vagy a kérelmező személyének azonosítását nem biztosító elektronikus levél, valamint telefax útján érkezett kérelmek esetén. Elektronikusan benyújtott kérelem esetén a megfelelő azonosítás az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 18. §-a szerint valósulhat meg.

11. § A Minisztérium az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti. A Minisztérium az információt írásban, elektronikus úton, illetve az érintett kérelmére szóban is megadhatja, amennyiben az érintett személyazonossága igazolt.

12. § Az érintett hozzáférési jogának gyakorlása során a tájékoztatást és az adatról kért első másolatot díjmentesen kell biztosítani, kivéve, ha az érintett kérelme – annak ismétlődő jellege vagy jogszabályban, illetve a Hatóság joggyakorlata értelmében – túlzó. Ez esetben – eltérő jogszabályi rendelkezés hiányában – az adatkezelő szerv jogosult észszerű, a Költségtérítési rendelet előírásai alapján költségtérítést megállapítani. Az érintett hozzáférési jogának gyakorlása során megküldött tájékoztatókról a szervezeti egységek anonim nyilvántartást vezetnek, amelyről minden év január 31-ig az 5. függelék kitöltésével jelentést küldenek az adatvédelmi tisztviselő részére.

7. Az adatkezelési tevékenységek nyilvántartása

13. § (1) Az adatkezelési tevékenységek nyilvántartását az adatvédelmi tisztviselő vezeti. Az adatkezelési tevékenységek nyilvántartásába az adatbirtokos az adatvédelmi tisztviselő által meghatározott módon és formában szolgáltat adatokat.

(2) Az adatkezelői nyilvántartásba és az adatkezelési tevékenységek nyilvántartásába az adatkezelő szervezeti egység vezetője a következő adatokat küldi meg:

a) az előkészített, megváltozott és megszűnt adatkezelések esetén a 2., 3., 4. függelékek szerinti adatokat,

b) hatásvizsgálat elvégzése esetén a 11. alcím szerinti adatokat,

c) a jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési tevékenységek hatásvizsgálatát, ha az adatkezelő a Minisztérium.

(3) A Minisztérium központi honlapján közzétett adatkezelési és adatvédelmi tájékoztatókkal kapcsolatban a közzététellel érintett szervezeti egység kikéri az adatvédelmi tisztviselő véleményét.

8. Adattovábbítás

14. § (1) A minisztériumi szervezeti egység az adattovábbítás feltételeinek meglétét minden egyes személyes adattal összefüggésben köteles ellenőrizni, így különösen azt, hogy az igényelt adatokra vonatkozóan az adatok kezelőjének minősül-e.

(2) Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adatot kezelő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig rendelkezik az adat kezeléséhez szükséges jogalappal vagy az érintett írásos – a vonatkozó jogszabályi elvárásoknak megfelelő tartalmú – hozzájárulásával és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.

(3) Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – törvényben kötelezően előírt adattovábbítás esetét kivéve – a Minisztérium hivatali szervezete vezetőjének vagy az általa kijelölt vezetőnek a hatáskörébe tartozik, amellyel kapcsolatban kikérheti az adatvédelmi tisztviselő véleményét. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza:

a) az adatigénylés célját, jogalapját;

b) a kért adatok körének pontos meghatározását;

c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.

(4) Az adattovábbítás történhet kérelem alapján egyedi adatszolgáltatással, továbbá – törvény ilyen tartalmú rendelkezése vagy erre vonatkozó megállapodás alapján – közvetlen hozzáférés biztosításával.

9. Adattovábbítási nyilvántartás

15. § (1) Ha olyan adat továbbítására kerül sor, amellyel kapcsolatban az adattovábbítást végző minisztériumi szervezeti egység – a GDPR vagy Infotv. által biztosított jogait érintő – adatkezelési korlátozást jelzett, az adatkezelési korlátozást szerepeltetni kell az adattovábbítási nyilvántartásban.

(2) Az olyan elektronikus információs rendszerek esetében, ahol a folyamatos és zárt rendszerben történő naplózás nem biztosított, valamint manuális adatkezelések esetén az adatkezelés célját, az érintett adatokat, illetve az adatkezelést folytató személy azonosítását lehetővé tevő adatokra és az elvégzett műveletekre vonatkozóan papíralapú adattovábbítási nyilvántartás vezetéséről kell gondoskodni.

10. Az adatvédelmi hatásvizsgálat lefolytatása és az előzetes konzultáció kezdeményezése

16. § (1) Az adatbirtokos abban az esetben végez előzetes hatásvizsgálatot tervezett vagy folyamatban lévő adatkezelésnél, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, vagy az adatkezelés kockázatának és lényeges körülmény – különösen az adatkezelés technológiájának – megváltoztatása esetén.

(2) Az adatbirtokos a kockázatelemzési feladata kapcsán kikérheti a tervezett, illetve megváltozott adatkezelés által érintett személyek véleményét.

(3) Az adatbirtokos a kockázatelemzési feladata kapcsán kikéri a döntés végrehajtásáért felelős szakterület, az elektronikus információs rendszer biztonságáért felelős szervezet vezetőjének vagy az elektronikus biztonságért felelős személynek és a rendszerek üzemeltetésében részt vevő szervezeteknek, valamint az adatvédelmi tisztviselőnek a véleményét. Ezt követően megválaszolja az 1. függelékben foglalt kérdéseket.

(4) Ha a tervezett adatkezelés annak körülményeire, így különösen céljára, az érintettek körére, az adatkezelési műveletek során alkalmazott technológiára tekintettel – az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve – valószínűsíthetően magas kockázatot nem azonosít, vagy megállapítást nyer, hogy az adatkezelés az adatvédelmi hatásvizsgálat lefolytatása alóli mentesítést tartalmazó valamely jogszabályban meghatározott kivételi körbe tartozik, úgy ennek tényét az adatbirtokos írásban rögzíti.

(5) Az adatbirtokos köteles a 2. függelék szerinti adatkezelési tevékenységek nyilvántartásról szóló dokumentumot, és a 3. és a 4. függelék szerinti adatbiztonsági és a felelősségi körökre vonatkozó adatlapot kitölteni, és azt az adatvédelmi tisztviselőnek megküldeni. Az adatvédelmi tisztviselő a megküldött dokumentumot az adatkezelési tevékenységek nyilvántartásába bejegyzi.

(6) Amennyiben az adatbirtokos az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve magas kockázatot azonosít, vagy jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési tevékenységek esete áll fenn, – a döntése alapjául szolgáló legfontosabb szempontokat írásban megjelölve – adatvédelmi hatásvizsgálat lefolytatását kezdeményezi a Minisztérium hivatali szervezetének vezetőjénél.

(7) A Minisztérium hivatali szervezetének vezetője az adatbirtokos javaslatára elrendeli az adatvédelmi hatásvizsgálat lefolytatását vagy írásban rögzíti mellőzésének okait, és az adatvédelmi tisztviselő kapcsolódó álláspontját. Az adatvédelmi hatásvizsgálat lefolytatásáig, vagy az annak elmaradásával kapcsolatos okok írásban történő rögzítéséig az adatkezelésről szóló döntés nem hozható meg.

(8) Az adatvédelmi hatásvizsgálat lefolytatásában az adatkezelés által érintett személyek vesznek részt. Az adatvédelmi hatásvizsgálat lefolytatását az adatvédelmi tisztviselő támogatja.

(9) Az adatvédelmi hatásvizsgálat során keletkezett iratok az adatkezelő szerv döntését előkészítő adatokat tartalmaznak, ezért azokon „Nem nyilvános!” jelzést kell elhelyezni. Ha a hatásvizsgálat során kezelt adatok egy részének esetében azok minősítésére vonatkozó jogszabályi feltételek fennállnak, akkor az adatkezelő szerv vezetője dönt a szükséges iratok minősítéssel történő védelméről és annak szintjéről. Az adatbirtokos az adatvédelmi hatásvizsgálat eredményeiről minősített adatot nem tartalmazó, „Nem nyilvános!” jelzéssel ellátott összefoglaló jelentést készít.

(10) Az adatvédelmi hatásvizsgálatról szóló összefoglaló jelentést a Minisztérium hivatali szervezetének vezetője hagyja jóvá.

(11) Az adatvédelmi tisztviselő a jelentés alapján az adatkezelést bevezeti az adatkezelési tevékenységek nyilvántartásába.

(12) Ha az adatvédelmi hatásvizsgálat arra az eredményre jut, hogy a tervezett adatkezelés jelentette kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon – vagy azt jogszabály kötelezően előírja –, akkor az adatkezelő szerv előzetes konzultációt kezdeményez a Hatóságnál.

11. Az adatvédelmi incidens észlelése és az adatvédelmi incidens kezelése

17. § (1) A Minisztérium adatkezelésében és az adatfeldolgozónál bekövetkezett adatvédelmi incidens gyanúját észlelő személynek haladéktalanul tájékoztatnia kell az adatvédelmi tisztviselőt, a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetőjét, és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetőjét. A tájékoztatásnak, amennyiben lehetséges, a 6. függelék szerinti adatokat kell tartalmaznia.

(2) A Minisztériumhoz külső észlelő személytől származó, a Minisztérium adatkezelésére vagy az adatfeldolgozóra vonatkozó adatvédelmi incidens gyanújának tárgyában érkezett tájékoztatást haladéktalanul továbbítani kell az adatvédelmi tisztviselőnek, a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetőjének és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetőjének.

(3) Ha a Minisztérium ellenőrzésre jogosult szervezeti egysége a feladata ellátása során adatvédelmi incidens gyanúját észleli, haladéktalanul értesíti az adatvédelmi tisztviselőt, a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetőjét és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetőjét.

(4) Az adatvédelmi tisztviselő, a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetője és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetője (a továbbiakban: munkacsoport) megvizsgálja, hogy

a) a tájékoztatás alapján fennáll-e a gyanúja az adatvédelmi incidens bekövetkezésének;

b) az adatvédelmi incidens az informatikai rendszert érintően következett-e be;

c) mely szervezeti egységeket kell bevonni az intézkedések megtételébe.

(5) A munkacsoport – amennyiben az incidens gyanúja felmerül – a döntés előkészítésére szolgáló anyagot megküldi az adatbirtokos számára. Ha az adatbirtokos nem állapítható meg, akkor az üzemeltetést végző szervezet az incidenskezelési eljárásnak megfelelően jár el.

(6) Ha nem állapítható meg adatvédelmi incidens, de egyéb incidens bekövetkezése igen, akkor a feladat- és hatáskört figyelembe véve kerül sor a további eljárás folytatására.

(7) Az adatbirtokos vizsgálja a feladat- és hatáskörébe tartozó nem informatikai rendszert érintő adatvédelmi incidens gyanújával érintett tájékoztatásokat.

18. § (1) Ha az adatvédelmi incidens a rendelkezésre álló adatok alapján egyértelműen megállapítható, az adatbirtokos a 6. függelék szerint bejelentett adatokat megküldi az adatvédelmi tisztviselőnek, aki 72 órán belül intézkedik a hatósági nyilvántartásba való bejelentésről.

(2) Ha a rendelkezésre álló adatok alapján az adatbirtokos egyértelműen nem tudja megállapítani az adatvédelmi incidens bekövetkezését, de feltételezhető, hogy az esemény magas kockázattal járt, az adatvédelmi tisztviselő véleményének megkérése mellett haladéktalanul összehívja a munkacsoportot.

(3) A vizsgálat az adatvédelmi tisztviselő véleményének, szakértői tanácsának kikérésével és annak figyelembevételével történik.

(4) A munkacsoport a tájékoztatást megvizsgálja, a tájékoztatótól, valamint az adatfeldolgozótól szükség esetén további adatszolgáltatást kér, amelyet az érintettek kötelesek haladéktalanul teljesíteni.

(5) A munkacsoport gondoskodik az elsődleges intézkedések megtételéről. Ha a vizsgálat során az érintettek jogaival és szabadságaival kapcsolatban a munkacsoport megállapítja a magas kockázat fennállását, akkor a 6. függelék szerinti adatokat – az adatvédelmi tisztviselő közreműködésével – 72 órán belül megküldi a Hatóság részére, az erre rendszeresített elektronikus felület igénybevételével.

(6) Az adatvédelmi incidens bekövetkezése esetén, a munkacsoport döntése alapján a Minisztérium tájékoztatja a 2. függelékben meghatározott adatokról az incidenssel érintetteket.

(7) Az adatvédelmi tisztviselő a munkacsoport vagy az adatbirtokos által megküldött 6. függelék szerinti adatvédelmi incidenst bevezeti a Minisztérium adatvédelmi incidensek 8. függelék szerinti nyilvántartásába.

12. Az adatfeldolgozás

19. § (1) A Minisztérium – adatkezelési tevékenységével összefüggésben – adatfeldolgozót vehet igénybe. Az adatfeldolgozó az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi, és e minőségében gyakorolja az adatkezelő Minisztérium által átruházott jogosultságokat, teljesíti kötelezettségeit.

(2) Az adatfeldolgozásra vonatkozó megállapodást írásba kell foglalni. Amennyiben az adatfeldolgozóként igénybe venni kívánt szervre vagy személyre az utasítás hatálya nem terjed ki, akkor a megállapodásban kell érvényesíteni az adatfeldolgozóval szemben e címben foglalt előírásokat.

(3) Adatfeldolgozó igénybevétele esetén az adatkezelés céljának meghatározására, az adatkezelésre vonatkozó érdemi döntések meghozatalára az adatkezelő jogosult.

(4) Az adatfeldolgozó a tevékenységi körén belül, illetve az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá minden olyan jogsértésért, amit az adatkezelő utasításának vagy az adatfeldolgozással összefüggésben kötött megbízási szerződésben foglaltak megszegésével okozott.

13. Adatbiztonsági előírások

20. § (1) Az adatkezelő szerv, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról.

(2) Az elektronikusan kezelt adatállományok tekintetében biztosítani kell, hogy a különböző nyilvántartásokban tárolt adatok – törvény eltérő rendelkezése hiányában – közvetlenül ne legyenek összekapcsolhatóak.

21. § Az informatikai adatbiztonsági előírások részletes meghatározását külön szabályzat tartalmazza.

III. Fejezet

A közérdekű adatok megismerésének rendjéről

14. A közérdekű adat megismerése iránti igény benyújtása

22. § (1) A Minisztérium a postai vagy elektronikus úton történő közérdekű adat megismerése iránti igényeket a honlapon megjelölt postacímen, illetve elektronikus postafiókcímen fogadja.

(2) Az (1) bekezdésen kívüli, a Minisztérium egyéb elérhetőségeire – bármilyen módon – benyújtott közérdekű adat megismerése iránti igényeket a címzett szervezeti egység haladéktalanul továbbítja a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztályára.

(3) A (2) bekezdés szerinti megkereséseket nem lehet elutasítani arra való hivatkozással, hogy azok nem az (1) bekezdésben meghatározott elérhetőségekre érkeztek.

15. A közérdekű adat megismerése iránti igény vizsgálata

23. § (1) A beérkezett adatigénylést a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetője vagy az általa az ügy intézésére kijelölt munkatárs (a továbbiakban: ügyintéző) megvizsgálja, és ellenőrzi, hogy az adatigénylő az igénylőlapot megfelelően töltötte-e ki, illetve, hogy a nem az igénylőlapon benyújtott igény a teljesíthetőséghez szükséges adatokat tartalmazza-e.

(2) Amennyiben az igény nem tartalmazza az igény teljesítéséhez, illetve a döntéshez szükséges adatokat – szükség esetén az adatkör szerint érintett szervezeti egység bevonásával – fel kell hívni az igénylőt az adatigénylés pontosítására. Amennyiben az adatigénylő a kérelem pontosítására irányuló felhívásra nem válaszol, a kérelmét visszavontnak kell tekinteni. Erre az adatigénylőt a felhívásban figyelmeztetni kell.

(3) Az Infotv. 33. §-a szerinti, elektronikusan kötelezően közzéteendő adatokra irányuló igény esetében az ügyintéző tájékoztatja az igénylőt a közzétett adat pontos fellelhetőségéről és arról, hogy az igényt ezáltal teljesítettnek kell tekinteni.

(4) Az adatigénylés elutasításának egyéb eseteit az Infotv. 29. § (1a) és (1b) bekezdései rögzítik.

16. Az igényelt adatok összeállítása, minősítése

24. § (1) A formai és tartalmi szempontból megfelelő igény benyújtása után az ügyintéző haladéktalanul megállapítja, hogy az igényben foglalt adatok pontosan mely szervezeti egységnél találhatóak, ezt követően az igényt a szervezeti egységhez továbbítja.

(2) A szervezeti egység az igényelt adatokat összegyűjti, és az igénylést, valamint az igényelt adatokat tartalmazó dokumentumokat 5 napon belül megküldi az ügyintézőnek.

(3) Amennyiben még az adatok összegyűjtését, összeállítását megelőzően alappal feltételezhető, hogy az igényelt adatok teljes köre az Infotv. 27. §-a szerint, illetve a (4) bekezdésben foglalt valamely ok miatt nem ismerhető meg, a szervezeti egység erről – az elutasítás indokát megjelölve – tájékoztatja az ügyintézőt, aki lefolytatja az (5) bekezdés szerinti eljárást.

(4) Az igényben foglalt adatokat tartalmazó dokumentumok teljes körű, hiánytalan összeállítása a szervezeti egység felelőssége. A szervezeti egység az adatok összegyűjtése során jelzi az ügyintézőnek, amennyiben megítélése szerint az igényelt adatok vagy azok egy része az (5) bekezdés a)–b) pontja szerinti valamely szempontnak nem felelnek meg, illetve az (5) bekezdés c)–d) pontja szerinti minősítés áll fenn.

(5) Az ügyintéző a (2) bekezdés szerinti adatok tekintetében állást foglal

a) a Minisztérium adatkezelői minőségéről,

b) az adatok Infotv. szerinti közérdekű, közérdekből nyilvános vagy döntés-előkészítő jellegéről,

c) arról, hogy az adatok a minősített adat védelméről szóló 2009. évi CLV. törvény 3. § 1. pontja szerint minősített adatnak vagy az Infotv. 27. § (2) és (4) bekezdése szerint korlátozott nyilvánosságú adatnak minősülnek-e, valamint

d) arról, hogy az adatok az igénylő által – a c) pontban foglaltakon túlmenő – meg nem ismerhető adatot – személyes adatot, üzleti titkot, a 25. § szerinti döntés megalapozását szolgáló adatot – tartalmaznak-e.

(6) Az ügyintéző állást foglal arról, hogy a (2) bekezdés szerinti, a szervezeti egység adatkezelője által megküldött adatok – a (3)–(5) bekezdésben foglalt szempontok alapján – az igénylő által megismerhetők-e. Az ügyintéző állásfoglalásának kialakítását követően a (2) bekezdés szerinti adatok megismerését a közigazgatási államtitkár

a) az igénylő számára a 17. alcímben foglaltak szerint lehetővé teszi, vagy

b) elutasítja, és a 19. alcímben foglaltak szerinti eljárást kezdeményezi.

17. A döntés megalapozását szolgáló adatok megismerésére irányuló igényekkel kapcsolatos különös szabályok

25. § (1) A döntés megalapozását szolgáló adat megismerésére irányuló igény esetén a (2)–(7) bekezdésben foglaltak szerint kell eljárni.

(2) Amennyiben az igény a Minisztérium feladat- és hatáskörébe tartozó döntés meghozatalára irányul, úgy az ebből keletkezett adat nyilvánosságára az Infotv. 27. § (5) bekezdését kell alkalmazni.

(3) A szervezeti egység a 24. § (6) bekezdése szerinti eljárás során – amennyiben megítélése szerint az igényelt adatok ilyennek minősülnek – nyilatkozik arról, hogy

a) az igényben szereplő adat döntés megalapozását szolgáló adat;

b) megítélése szerint a döntés megalapozását szolgáló adat megismerése – a (4)–(5) bekezdés szerinti eljárás keretében – engedélyezhető-e.

(4) A döntés megalapozását szolgáló adat megismerését – az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével – a közigazgatási államtitkár engedélyezheti.

(5) A szervezeti egység adatkezelőjével történő konzultációt követően, a döntés megalapozását szolgáló adat megismerésére irányuló igényt a jogi és koordinációs ügyekért felelős helyettes államtitkár terjeszti a közigazgatási államtitkár elé.

(6) A döntés megalapozását szolgáló adat megismerésére irányuló igény – a (2) bekezdésben meghatározott időtartamon belül – a döntés meghozatalát követően akkor utasítható el, ha az adat további jövőbeli döntés megalapozását is szolgálja, vagy az adat megismerése a Minisztérium törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné.

(7) Az (5)–(6) bekezdés szerinti eljárást a 26. § (1) bekezdésében foglalt határidőn belül kell lefolytatni.

18. Az igény teljesítésére vonatkozó határidők, az adatok átadása és a költségtérítés megállapítása

26. § (1) A Minisztérium az Infotv. 29. §-a szerint az igény beérkezését követő legrövidebb idő, de legfeljebb 15 napon belül dönt az adatigénylés teljesíthetőségéről.

(2) Az ügyintéző az (1) bekezdés szerinti közérdekű adat megismerésére irányuló igényt – a teljesítését megelőzően – megküldi a Parlamenti Főosztály részére észrevételezés céljából.

(3) Az Infotv. 29. § (2) bekezdésében meghatározott feltételek esetén az adatigénylés teljesítési határideje egy alkalommal 15 nappal meghosszabbítható, erről a közigazgatási államtitkár dönt az ügyintéző kérelme alapján. A válaszadás idejének meghosszabbításáról az igénylőt az Infotv. által meghatározott időn belül – 15 nap – kell tájékoztatni.

27. § (1) Az igénynek közérthető formában és – amennyiben ez aránytalan nehézség nélkül megoldható – az igénylő által kívánt eszközzel, illetve módon kell eleget tenni.

(2) Ha az igénylő az adatokat betekintés útján kívánja megismerni, vagy a másolatokat személyesen kívánja átvenni, az ügyintéző – a jogi és koordinációs ügyekért felelős helyettes államtitkár jóváhagyását követően – felveszi a kapcsolatot az igénylővel időpont egyeztetése céljából. Az igénylő – az ügyirat részét képező – a 11. függelékben meghatározott nyilatkozatban aláírásával kérelmezi, hogy az iratokba a helyszínen betekinthessen, illetve, hogy az igényelt másolatot megkapja. A nyilatkozat elmaradása esetén a dokumentumok tanulmányozását az igénylő nem kezdheti meg.

(3) Az adatok tanulmányozására – az erre a célra kijelölt helyiségben – megfelelő időt kell biztosítani. A bemutatott dokumentum tanulmányozása során az igénylő kérdéseire válaszolni és az adatok biztonságára, illetve változatlanságára felügyelni kell.

(4) Az igénylő jogosult a bemutatásra került dokumentumokról jegyzeteket készíteni.

(5) Az igényelt adatokat tartalmazó dokumentumról vagy dokumentumrészről annak tárolási módjától függetlenül az igénylő másolatot kaphat. A másolat készítéséért – az azzal kapcsolatban felmerült költség mértékéig terjedően, az Infotv. 29. § (3) bekezdésének megfelelően – költségtérítés állapítható meg. A költségtérítés mértékét a 29. §-ban foglaltak szabályok szerint kell megállapítani. A költségtérítés megfizetéséhez az igénylő a 10. függelék kitöltésével adja meg szükséges személyes adatait.

28. § Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, az igénylő által megtekintett dokumentumon, illetve a dokumentum másolatán a meg nem ismerhető adatot felismerhetetlenné kell tenni.

29. § (1) Ha az adatigénylés teljesítése a Minisztérium alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, vagy ha az a dokumentum vagy dokumentumrész, amelyről az igénylő másolatot igényelt, jelentős terjedelmű, illetve az Infotv. 29. § (5) bekezdése szerint számított költségtérítés mértéke meghaladja a Költségtérítési rendeletben meghatározott összeget, az adatigénylést a költségtérítésnek az igénylő általi megfizetését követő 15 napon belül kell teljesíteni, valamint intézkedni kell az előzetesen megállapított és befizetett összeg, valamint a ténylegesen jelentkező összeg közti esetleges különbözet visszatérítéséről.

(2) Az (1) bekezdésben foglalt költségtérítési okokról és a költségtérítés mértékéről, valamint az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségeiről az igénylőt az igény beérkezését követő 15 napon belül kell tájékoztatni.

(3) Az igénylő a (2) bekezdés alapján kapott tájékoztatás kézhezvételét követő 30 napon belül nyilatkozik arról, hogy az igénylését fenntartja-e. A tájékoztatás megtételétől az igénylő nyilatkozatának a beérkezéséig terjedő időtartam az adatigénylés teljesítésére rendelkezésre álló határidőbe nem számít bele.

(4) Amennyiben az adatigénylő határidőben nem nyilatkozik, vagy a költségtérítést nem vállalja, az adatigénylést visszavontnak kell tekinteni.

(5) Amennyiben az adatigénylő fenntartja az adatigénylését, és vállalja a költségtérítés megfizetését, az ügyintéző – a jogi és koordinációs ügyekért felelős helyettes államtitkár jóváhagyását követően – tájékoztatja a költségtérítés megfizetésének határidejéről, ami 15 napnál rövidebb határidő nem lehet, ezzel egyidejűleg értesíti a Gazdálkodási Főosztályt a költségtérítés megfizetésének nyomon követése érdekében.

(6) A Gazdálkodási Főosztály haladéktalanul tájékoztatja az ügyintézőt, ha a (4) bekezdés szerinti befizetés megtörtént.

(7) A költségtérítés mértékének megállapítása során figyelembe vehető költségelemeket és azok legmagasabb mértékét, valamint a másolatként igényelt dokumentum jelentős terjedelmének, valamint a munkaerőforrás aránytalan igénybevételének megállapítása során alkalmazandó szempontokat a Költségtérítési rendelet határozza meg. Figyelembe kell továbbá venni a Minisztérium Önköltségszámítási szabályzatának rendelkezéseit is. Az ügyintéző a 9. függelék szerint kimutatást készít az igényekkel kapcsolatos költség előzetes és utólagos, munkaidő-elszámolásához, melyet megküld a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztályának.

19. Az igény teljesítésének megtagadása

30. § (1) A Minisztérium az igény teljesítésének megtagadásáról – annak indokaival, valamint az Infotv. 31. §-a alapján az igénylőt megillető jogorvoslati lehetőségekről való tájékoztatással együtt – az igény beérkezését követő 15 napon belül értesíti az igénylőt.

(2) A jogorvoslati lehetőségekről szóló tájékoztatásnak az alábbiakat kell tartalmaznia:

a) a Hatóságnál az igénylő bejelentéssel vizsgálatot kezdeményezhet arra hivatkozással, hogy a közérdekű adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem érte, vagy ennek közvetlen veszélye fennáll;

b) az igénylő a közérdekű adat megismerésére vonatkozó igény elutasítása esetén bírósághoz fordulhat; a pert az igény elutasításának közlésétől számított harminc napon belül kell megindítani az igényt elutasító Minisztérium ellen;

c) ha az igény elutasítása, nem teljesítése vagy az adatigénylés teljesítéséért megállapított költségtérítés összege miatt az igénylő a Hatóság vizsgálatának kezdeményezése érdekében a Hatóságnál bejelentést tesz, a pert a bejelentés érdemi vizsgálatának elutasításáról, a vizsgálat megszüntetéséről, az Infotv. 55. § (1) bekezdés b) pontja szerinti lezárásáról szóló vagy az Infotv. 58. § (3) bekezdése szerinti értesítés kézhezvételét követő harminc napon belül lehet megindítani;

d) a perindításra rendelkezésre álló határidő elmulasztása esetén igazolásnak van helye.

(3) Az igény teljesítése nem tagadható meg azért, mert a nem magyar anyanyelvű igénylő az igényét anyanyelvén vagy az általa értett más nyelven fogalmazza meg.

20. Az igény teljesítésével vagy arra adott tájékoztatással összefüggő engedélyezési és kiadmányozási szabályok

31. § (1) Az igény teljesítését, vagy a megtagadásról, a pontosításra felhívásról és a betekintés útján történő megismeréséről, továbbá a teljesítési határidő meghosszabbításáról, valamint a költségtérítés megállapításáról szóló tájékoztatást (a továbbiakban: adatigénylésre adott válasz) a közigazgatási államtitkár jóváhagyását követően a jogi és koordinációs ügyekért felelős helyettes államtitkár kiadmányozza.

(2) Az igénylő jelen szabályzatban meghatározottak szerinti értesítése kizárólag írásban történhet, kivéve, ha az igénylő megfelelő elérhetőséget erre nem biztosított. Az írásbeli értesítés elektronikus levélben is történhet, amennyiben az igénylő ilyen elérhetőséget megadott.

(3) Amennyiben az adatigénylő az adatigénylésre adott választ elektronikus úton kérte, akkor azt a közigazgatási államtitkár jóváhagyását követően a jogi és koordinációs ügyekért felelős helyettes államtitkár – az ügyintéző útján – az erre létrehozott központi elektronikus postafiókcímről kiadmányozza.

21. Az eljárás lezárását követő intézkedések

32. § Az ügy lezárását, azaz az igény teljesítését, az igény jogerős elutasítását, illetve az esetlegesen felmerülő költségek megfizetését követően az igénylő személyes adatainak az ügyiratból felismerhetetlenné tételéről – anonimizálás útján – haladéktalanul intézkedni kell.

22. Nyilvántartás, adatszolgáltatás és tájékoztatás

33. § (1) A Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya az igényekről, az igények elintézésének módjáról, elutasító döntés esetében annak indokáról nyilvántartást vezet.

(2) A Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetője a nyilvántartásból teljesíti az Infotv. 30. § (3) bekezdésében meghatározott, valamint a honlapon történő éves adatszolgáltatást, az ott meghatározott módon és határidőben.

(3) Az igények intézésének rendjére vonatkozó, az Infotv. 34. § (3) bekezdése szerinti tájékoztatót az igények benyújtására biztosított minisztériumi elérhetőségekkel együtt, valamint az igénylőlapot a Minisztérium a „Közérdekű adatok” hivatkozás alatt elérhető oldalon, a honlapon közzéteszi.

IV. Fejezet

Záró rendelkezések

34. § A szervezeti egységek vezetői, a feladatkörükben a szabályzat hatálybalépését megelőzően elkészített adatfeldolgozói szerződésekről a jelen utasítás hatálybalépését követő 15 napon belül tájékoztatják a jogi és koordinációs ügyekért felelős helyettes államtitkárt.

35. § A szervezeti egységek vezetői a jelen utasítás hatálybalépését követő 15 napon belül kijelölik a szervezeti egység azon munkatársát, akinek feladatát képezi a benyújtott igények jelen utasításban meghatározottak szerinti intézése, és e személy nevét megküldik a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetője részére. Az igények intézésére több személy kijelölése is lehetséges. A változásról az Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetőjét haladéktalanul tájékoztatni kell.

1. függelék

Kérdőív az előzetes kockázatelemzéshez

Első rész: Szükséges-e a hatásvizsgálat lefolytatása? Előzetes adatvédelmi kockázatelemzés

1. Használ vagy fejleszt-e olyan informatikai rendszert, amely személyes adatokat kezel?

Igen  Nem 

2. Szükséges-e személyes adatokat gyűjteni a szolgáltatás működtetéséhez?

Igen  Nem 

3. Megvalósul-e a korábbiaktól eltérő célú adatkezelés már meglévő személyes adatokkal kapcsolatban?

Igen  Nem 

a) Alkalmaz új adatköröket gyűjtő technológiát, amely jelentős mértékben megváltoztatja az adatkezelést?

Igen  Nem 

b) Ha releváns szervezeti változás következik be:

– az egyesülés, beolvadás vagy egyéb szervezeti átalakulás hatással van-e az adatbázisokra?

Igen  Nem 

– ez a változás eredményezi új adatok kezelését vagy új nyilvánosságra hozatali eljárásokat?

Igen  Nem 

c) Ha ez az információ már korábban begyűjtésre került:

– érint-e új vagy nagy létszámú érintetti csoportot?

Igen  Nem 

– rögzít-e ezen felül további személyes adatot?

Igen  Nem 

4. A szolgáltatás korlátozza-e az érintettek személyes adataikhoz való hozzáféréséhez fűződő jogait?

Igen  Nem 

5. Tervezi-e egymást követő 12 hónapból álló időszak során nagyszámú érintettre vonatkozó személyes adatok kezelését?

Igen  Nem 

6. Megvalósul-e különleges adatok, tartózkodási helyre utaló adatok, illetve gyermekekre vagy munkavállalókra vonatkozó, széles körű nyilvántartási rendszerekben tárolt adatok kezelése?

Igen  Nem 

7. Megvalósul-e profilalkotás, amelyre az érintett személy tekintetében joghatással bíró vagy az egyént hasonlóan jelentős mértékben érintő intézkedések épülnek?

Igen  Nem 

8. Megvalósul-e egészségügyi ellátás nyújtására, járványügyi kutatásokra, mentális vagy fertőző betegségekre irányuló felmérésekre vonatkozó személyes adatok kezelése, amennyiben az adatok feldolgozására meghatározott egyénekre széles körben vonatkozó intézkedések vagy döntések meghozatala érdekében kerül sor?

Igen  Nem 

9. Megvalósul-e nyilvánosság számára hozzáférhető területek (közterületek) nagyarányú, automatizált nyomon követése?

Igen  Nem 

10. Megvalósul-e olyan adatkezelés, amely során a személyes adatok megsértése várhatóan hátrányosan érintené az érintett személyes adatainak, magánéletének, jogainak vagy jogos érdekeinek védelmét?

Igen  Nem 

11. Az adatkezelő vagy adatfeldolgozó fő tevékenységei olyan eljárásokat foglalnak-e magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerű megfigyelését igénylik?

Igen  Nem 

12. A személyes adatokat olyan jelentős számú személy számára teszi-e hozzáférhetővé, amely észszerűen elvárható módon nem korlátozható?

Igen  Nem 

13. Létrejön-e új azonosító vagy hozzáférési jogosultságot ellenőrző rendszer, például biometrikus azonosítás?

Igen  Nem 

14. Megfigyelés alatt állnak-e az érintettek helyváltoztatás, másokkal való kommunikáció vagy egyéb magatartás tanúsítása közben?

Igen  Nem 

15. Megvalósul-e automatizált adatfeldolgozás?

Igen  Nem 

16. Személyes adatok védelmének növelése érdekében előír-e (ha volt ilyen) a korábbinál magasabb szintű adatbiztonsági követelményeket?

Igen  Nem 

17. Személyes adatokkal való visszaélés megelőzése érdekében bevezetésre kerülnek-e új vagy módosított előírások?

Igen  Nem 

18. Személyes adatok tárolásával kapcsolatban bevezetésre kerülnek-e új vagy módosított előírások?

Igen  Nem 

19. Megvalósul-e tudományos kutatási vagy statisztikai célból történő adatkezelés?

Igen  Nem 

20. Az adatkezelés kiterjed-e különleges adatokra?

Igen  Nem 

21. Megvalósul-e bármilyen más, magánszférát érintő magatartás?

Igen  Nem 

22. Végeztek-e már korábban hatásvizsgálatot? Ha a válasz igen, csatolja a dokumentumot!

Igen  Nem 

Második rész: Előzetes hatásvizsgálat

1. Ki a tájékoztatásra kötelezett személy (név, telefonszám, e-mail-cím)? (Ha van adatvédelmi tisztviselő, akkor az ő adatai.)

2. Mutassa be a szolgáltatás működését, felépítését!

3. Ki az adatkezelő (név, telefonszám, e-mail-cím, postai cím)?

4. Mi az adatkezelés pontos címe/helye/webhelye? (Csak akkor töltse ki, ha az eltér az adatkezelő címétől!)

5. Mi az adatkezelés célja, módja és jogalapja?

6. Mi az adatkezelés időtartama?

7. Kíván-e adatfeldolgozót igénybe venni? Ha igen, mutassa be részletesen az adatfeldolgozó személyét (kapcsolattartó, adatkezeléssel összefüggő tevékenység, adatfeldolgozó címe, adatfeldolgozás helye, technológiája stb.)!

8. Melyek a kezelni kívánt adatkörök?

9. Határozza meg a gyűjteni kívánt adatok mennyiségét, illetve az érintett személyek számát (legalább hozzávetőlegesen)!

10. Melyek az adatfelvétel formái? Megvalósulhat az adatgyűjtés személy azonosítására alkalmas igazolvány segítségével is? Ha igen, fejtse ki!

11. Az adatszolgáltatás önkéntes? Ha igen, az érintettek megfelelő mértékben tájékoztatva vannak-e a kezelt adatok köréről, illetve jogaikról?

12. Az érintetteknek van-e lehetőségük arra, hogy adataik kizárólag meghatározott célokra történő felhasználásához nyújtsanak hozzájárulást? Ha igen, hogyan?

13. Megvalósul-e harmadik országba irányuló adattovábbítás? Ha igen, írja le a továbbítandó adatok fajtáit, a továbbítás címzettjének adatait, valamint az adattovábbítás jogalapját!

14. Fejtse ki, milyen lépéseket tesz az adatok biztonságának megőrzése érdekében!

15. Ha megfelelő szintűnek vélt az adatok biztonsága, milyen eszközök óvják az azonosítatlan hozzáféréstől?

16. A megfelelő védelmi eszközöket használja azonosítatlan hozzáférés megakadályozása érdekében? Fejtse ki álláspontját!

17. Van egyéb közlendő információja?

Harmadik rész: További analízis

18. Hogyan biztosítja az érintettek jogainak érvényesítését?

19. Fejtse ki azokat az Ön által is ismert, alternatív megoldásokat, amelyek az eredeti eljáráshoz képest a cél elérése mellett kisebb mértékben érintenék a magánszférát!

20. Milyen módszerekkel kívánja csökkenteni az azonosított kockázati tényezőket?

21. Hogyan ellenőrzi az adatok teljességét?

22. Megfelelően naprakészek-e a gyűjtött adatok? Ha igen, támassza alá válaszát!

23. Kifejtett és részletezett az adatok természete?

24. Kinek van hozzáférési joga (lehetősége) a személyes adatokhoz?

25. Mi alapján kerülnek kiválasztásra azok a személyek, akik rendelkeznek ezzel a joggal?

26. A személyes adatokhoz való hozzáférés feltételei, módja, korlátai rögzítve vannak?

27. Milyen eszközök biztosítják az adatkezelés céljától eltérő felhasználás megakadályozását?

28. Hozzáférhet-e más rendszer a saját rendszerben kezelt adatokhoz? Ha igen, fejtse ki!

29. Az adatkezelés idejének lejárta után milyen módon kerülnek törlésre az adatok? Hogyan lesz dokumentálva az adattörlés?

2. függelék

Adatkezelési és adatfeldolgozói tevékenységek nyilvántartása

I. Adatkezelési tevékenységek nyilvántartása
1. Az adatkezelés megnevezése:
2. Az adatkezelő szerv neve és elérhetősége:	Építési és Beruházási Minisztérium Cím:
3. A közös adatkezelő és az adatkezelő szervezeti egység megnevezése
4. Az adatvédelmi tisztviselő neve és elérhetősége:
5. Az adatkezelés célja:
6. Az adatkezelés jogalapja:
7. Az érintettek személyek köre:
8. A személyes adatok kategóriái:
9. A címzettek kategóriái:
10. Harmadik országba történő adattovábbítás – harmadik ország vagy nemzetközi szervezet megnevezése:
11. Az adatkategóriák törlési határideje:
12. Az adatok forrása:
13. Az adatbiztonsággal összefüggő szervezeti és technikai intézkedések általános leírása:	Ennél a pontnál a következő jogszabályok alkalmazandók: 1. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, 2. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet.
14. NAIH szám:
15. Adatkezelési tájékoztató van-e? (Ha hozzájárulás a jogalap, feltétlenül szükséges készíteni.)	Lehetséges válaszok: 1. Nincs rá szükség, mert jogszabályi tájékoztatás van. 2. Nincs, azonban feltétlenül szükséges lenne. (Indoklás) 3. Igen, van.
16. Elsődleges adattárolási hely: (ideértve az adatbiztonsági kockázatokat, javaslatokat is, ha vannak)
17. Vannak-e együtt tárolt adatok?	Igen/Nem.
18. A célhoz kötöttség elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)	1. Igen, az 5. pontnak megfelelően. 2. Nem vagy csak részben. (Nem válasz esetén indoklás, javaslat szükséges.)
19. Az adattakarékosság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)	1. Igen, a személyes adatok az adatkezelés céljának megfelelnek, relevánsak és szükségesek. 2. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
20. A pontosság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)	1. Igen, a személyes adatok pontosak, naprakészek. 2. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
21. A korlátozott tárolhatóság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)	1. Igen, a személyes adatok kezelésére csak a cél eléréséhez szükséges ideig kerül sor, amelyet jogszabály állapít meg. 2. Igen, a személyes adatok kezelésére csak a cél eléréséhez szükséges ideig kerül sor, amelyet az adatkezelő határoz meg. (Hozzájárulás esetén.) 3. A személyes adatok kezelésére közérdekű archiválás, tudományos és történelmi kutatás vagy statisztikai célból az eredeti adatkezelési céltól eltérő ideig kerül sor. (Az első kettővel is alkalmazható.) 4. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
22. Az adatbiztonság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)	1. Igen, a személyes adatok megfelelő biztonsága biztosított. 2. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
23. A tájékoztatás megfelelő-e, tartalmazza-e valamennyi kötelező elemet? (Indoklással, szükség esetén javaslattal!)	1. A tájékoztatás a törvényi előírásnak megfelelő. 2. Az adatkezelés hozzájáruláson alapul. A tájékoztatás megfelelő. 3. Az adatkezelés nem az érintett hozzájárulásán alapul. A tájékoztatás megfelelő. 4. Az adatkezelés .................. alapul, tájékoztatás nincs/nem megfelelő. (Nem válasz esetén indoklás, javaslat szükséges.)
24. A törlés, elfeledtetés joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)	Ezek a jogok nem gyakorolhatóak, ha a jogalap jogi kötelezettség teljesítése, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlás keretében végzett feladat végrehajtása. 1. Igen, gyakorolható. 2. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
25. A korlátozás joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)	Az érintett ezzel a jogával a kötelező és a hozzájáruláson alapuló adatkezelések esetében is élhet. A kötelező esetében csak akkor, ha az adatok pontosságát vitatja, a GDPR-ban szereplő felsorolás többi pontja szerint nem. 1. Igen. 2. Igen, de mivel az adatkezelés jogalapja jogszabályon alapul, csak az adatok pontosságát vitathatja. 3. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
26. Az adathordozhatóság joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)	Csak a hozzájáruláson vagy szerződésen alapuló adatkezelések esetén alkalmazható. További feltétel, hogy az adatkezelés automatizált módon történjen. Nem alkalmazható a közérdekű és a közhatalmi feladatok keretében végzett adatkezeléseknél! 1. Igen. 2. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
27. A tiltakozás joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)	Az érintett csak kivételes esetben, a közérdekű és a közhatalmi feladatok keretében végzett adatkezelések, és a jogos érdeken alapuló adatkezelések esetén élhet ezzel a joggal. [GDPR 6. cikk (1) e) és f) pont] 1. Igen, mert a jogalap ..................! 2. Nem. (Nem válasz esetén indoklás, javaslat szükséges.)
28. Van-e adatfeldolgozási megállapodás az adatfeldolgozóval?

Gyakorlati útmutató

1. Az adatkezelés megnevezése: a nyilvántartásban történő keresés lehetővé tétele céljából röviden kell megnevezni. A nyilvántartásnak az adatkezelést létrehozó törvény által meghatározott elnevezését kell megjelölni, amennyiben azonban rendelkezik egy általánosan használt fantázianévvel, akkor ezt az elnevezést is fel kell tüntetni. Az azonos adattartalommal rendelkező adatkezeléseket egységes elnevezéssel kell szerepeltetni.

2. Az adatkezelő nevét, címét, székhelyét, telefonszámát, e-mail-címét kell beírni.

3. Csak akkor kell kitölteni, ha van közös adatkezelő, illetve van az adatkezelőnek képviselője.

4. Értelemszerűen kitöltendő.

5. Az adatkezelés céljának rövid megfogalmazása.

6. Hozzájárulás vagy GDPR 6. cikk (1) bekezdésében foglalt jogalapok valamelyike.

Pontosan meg kell jelölni a fentieken kívül azt is, hogy milyen jogszabály (jogszabályhelyet is kérjük feltüntetni!) által meghatározott feladat teljesítése érdekében van erre szükség. Ilyen esetben a feladatmeghatározást tartalmazó ágazati jogszabály megfelelő hivatkozási alapnak tekinthető.

7. Az érintettek kategóriái lehetnek: azon csoportok, amelyek tagjainak személyes adataival a Minisztérium adatkezelést végez. (Pl. az adatkezeléssel érintett személyek / nagykorú állampolgárok / gyermekek, egyéni vállalkozók, gépjármű üzemben tartói stb.)

8. Például: személyes adat, különleges adat, bűnügyi személyes adat, nemzeti adatvagyon, minősített adat.

9. Címzettek: akikkel a személyes adatot közölték vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket.

10. Harmadik ország: minden olyan ország, ami nem EU- és EGT-tag.

11. Ha jogszabály másképp nem rendelkezik, az adatokat az adatkezelés céljának elérésével, illetve az érintett kérésére törölni kell.

12. A kezelt adatok forrásának megjelölése (pl. érintett hozzájárulása, más adatkezelőtől adatátvétel).

Más adatkezelőtől történő adatátvétel esetén az adatokat továbbító adatkezelő adatvédelmi nyilvántartási számát is meg kell jelölni.

13. Lásd GDPR 32. cikk (1) bekezdése.

14. Ha az adatkezelés a NAIH részére már bejelentésre került.

II. Adatfeldolgozói tevékenységek nyilvántartása
1. Az adatkezelés megnevezése:
2. Az adatfeldolgozó(k) szervezeti egység megnevezése és elérhetősége(i):
3. Az adatkezelési tevékenységek kategóriái:
4. Adatvédelmi tisztviselő neve és elérhetősége:
5. Harmadik országba történő adattovábbítás – harmadik ország vagy nemzetközi szervezet megnevezése:
6. Az adatbiztonsággal összefüggő szervezeti és technikai intézkedések általános leírása:
7. Elsődleges adattárolási hely: (ideértve az adatbiztonsági kockázatokat, javaslatokat is, ha vannak)
8. Vannak-e együtt tárolt adatok?
9. A célhoz kötöttség elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)
10. Az adattakarékosság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)
11. A pontosság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)
12. A korlátozott tárolhatóság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)
13. Az adatbiztonság elve érvényesül-e? (Indoklással, szükség esetén javaslattal!)
14. A tájékoztatás megfelelő-e, tartalmazza-e valamennyi kötelező elemet? (Indoklással, szükség esetén javaslattal!)
15. A törlés, elfeledtetés joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)
16. A korlátozás joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)
17. Az adathordozhatóság joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)
18. A tiltakozás joga gyakorolható-e? (Indoklással, szükség esetén javaslattal!)
19. Ha adatfeldolgozók vagyunk, van-e adatfeldolgozási megállapodás az adatkezelővel?

3. függelék

Felelősségi és feladatkörök meghatározása

	Nyilvántartás neve:	Név	Telefonszám	E-mail
1.	Döntéshozó személy az adatkezelő (államtitkárság, helyettes államtitkárság) részéről:
	Kapcsolattartó személy az adatkezelő részéről:
2.	Döntéshozó személy az adatbirtokos (főosztály) részéről:
	Kapcsolattartó személy az adatbirtokos részéről:
3.	Döntéshozó személy az adatfeldolgozó részéről:
	Kapcsolattartó személy az adatfeldolgozó részéről:

4. függelék

A személyes adatokat kezelő nyilvántartások adatbiztonsági felmérése

(ADATLAP)

Az adatlap fókuszában a GDPR szerinti személyes adatokat kezelő nyilvántartások felmérése és a hatásvizsgálat elvégzésével összefüggésben a magas kockázatú adatkezelés megállapítása áll, a GDPR 29. cikke alapján létrehozott adatvédelmi munkacsoport (17/HU WP 248 rev.01) iránymutatásai alapján.

A személyes adatokat kezelő nyilvántartások adatbiztonsági felmérésének súlyponti kérdései a nyilvántartások bizalmassága sértetlensége és rendelkezésre állása oly módon, hogy a felmérés eredményei alapján megállapítható legyen, hogy az adatkezelés a GDPR alkalmazásában „valószínűsíthetően magas kockázattal jár”-e, valamint a kockázatok kezelését célzó alkalmazott védelmi intézkedések és mechanizmusok (szervezeti intézkedések) biztosítják-e az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat.

A felmérés során számba vesszük, hogy az „adatkezelések” során jelenleg milyen személyi, adminisztratív, fizikai és elektronikus védelmi intézkedéseket alkalmaznak az adatbiztonsági kockázatok csökkentése érdekében.

Készült: 202……………………-n a(z) (adatkezelő szerv megnevezése) hivatalos helyiségében.

Adatkezelő szerv megnevezése:

Ikt. szám:

Jelen vannak:

…………………………………………

nyilvántartást kezelő szervezeti egység vezetője

…………………………………………

felmérést végző bizottság tagja

…………………………………………

felmérést végző bizottság tagja

A NYILVÁNTARTÁS MEGNEVEZÉSE: …………………………………………

I. A NYILVÁNTARTÁS JELLEGÉNEK FELMÉRÉSE
Felmérési kérdés	Igen/Van	Nem/Nincs	Megjegyzés
1. A nyilvántartás papíralapú.
2. A nyilvántartás elektronikus.
3. A nyilvántartáshoz kapcsolódik papíralapú adathordozó, amely személyes adatokat tartalmaz.
4. A nyilvántartás alapja irodai alkalmazás (office-termékek).
5. A nyilvántartás alapja célszoftver (erre a célra fejlesztett speciális alkalmazás).
II. A NYILVÁNTARTÁS SZEMÉLYI FELTÉTELEI
Felmérési kérdés	Igen/Van	Nem/Nincs	Megjegyzés
6. A nyilvántartás kezelését az adatkezelővel (adatfeldolgozóval) munkaviszonyban álló személy(ek) kezeli(k).
7. A nyilvántartásokat kezelő személy(ek) rendelkezik/nek egyéb, személyi biztonságot fokozó ellenőrzéssel (erkölcsi bizonyítvány, nemzetbiztonsági ellenőrzés).
8. A nyilvántartást kezelő személy(ek) rendszeresen részt vesz(nek) a nyilvántartások kezelésével összefüggő adatvédelmi és adatbiztonsági szabályokat feldolgozó továbbképzéseken.
9. A nyilvántartást kezelő személy(ek) rendszeresen részt vesz(nek)-e a nyilvántartások kezelésével összefüggő adminisztratív (nyilvántartó rendszer) kezelési (iratkezelési) szabályok betartásával összefüggő képzéseken.
III. A NYILVÁNTARTÁS FIZIKAI BIZTONSÁGI FELTÉTELEI
Felmérési kérdés	Igen/Van	Nem/Nincs	Megjegyzés
10. A nyilvántartás és az azokhoz kapcsolódó személyes adatokat tartalmazó adathordozókhoz való illetéktelen (jogellenes) hozzáférést késleltető fizikai biztonsági eszközöket (beléptető rendszer, riasztó rendszer, biztonsági rács, biztonsági ajtó, páncélszekrény, zárható irodabútor) használnak.
11. A nyilvántartás és az azokhoz kapcsolódó személyes adatokat tartalmazó adathordozók fizikai megsemmisülését megakadályozó biztonságtechnikai (tűzjelző, tűzálló páncélszekrény) rendszereket használnak.
12. A nyilvántartást kezelő szervezeti egység objektumába a beléptetés ellenőrzött (beléptető rendszer, vendégnyilvántartás, csomagátvizsgálás) a portaszolgálatnál.
13. A nyilvántartást kezelő szervezeti egységnél az objektumőrség (portaszolgálat) 24 órás rendelkezésre állású.
14. A nyilvántartást kezelő szervezeti egység irodái munkaidő után zártak, a kulcsdobozokat munkaidőn túl a portaszolgálatnál tárolják.
15. A nyilvántartást kezelő szervezeti egység irodáiban a takarítás ellenőrzött körülmények között (személyes felügyelet mellett) történik.
16. A nyilvántartást kezelő szervezeti egység nyilvántartásokat kezelő rendszerének perifériái (fénymásoló, nyomtató) munkaidőn túl nem elérhetőek (nem a folyosón vannak elhelyezve) az illetéktelenek és a jogellenes tevékenység végrehajtására készülő személyek számára.
17. A nyilvántartást kezelő szervezeti egység feldolgozó helyiségébe a belépés ellenőrzött, és illetéktelen személyek csak kísérettel (felügyelet mellett) tartózkodhatnak a helyiségben.
IV. A NYILVÁNTARTÁS ADMINISZTRATÍV BIZTONSÁGI FELTÉTELEI
Felmérési kérdés	Igen/Van	Nem/Nincs	Megjegyzés
18. A nyilvántartást kezelő szervezeti egységek (papíralapú vagy elektronikus) nyilvántartási rendszere alkalmas a személyes adatok nyomon követhető nyilvántartására.
19. A nyilvántartás rekordjai, adategységei egyedi azonosítóval rendelkeznek.
20. Az adatokhoz való hozzáférés (gyűjtés, módosítás, továbbítás) naplózott és a hiteles nyomon követés utólag is biztosított.
21. A nyilvántartásból történő adatszolgáltatások (belső és külső átadások) naplózottak, utólag is hitelesen nyomon követhetőek.
22. A nyilvántartás vezetésére használt (papír, elektronikus) rendszer/alkalmazás iratkezelési vagy egyéb tanúsítvánnyal rendelkezik.
V. A NYILVÁNTARTÁS ELEKTRONIKUS BIZTONSÁGI FELTÉTELEI
Felmérési kérdés	Igen/Van	Nem/Nincs	Megjegyzés
23. A nyilvántartás elektronikus kezelését végző szervezet biztonsági szintbe (1–5) történő besorolása megtörtént.
24. Az elektronikus nyilvántartás (elektronikus információs rendszer) legalább 3-as biztonsági osztályba történő besorolása megtörtént.
25. A nyilvántartást biztosító elektronikus információs rendszer adatainak és naplóinak biztonsági mentése és a mentések biztonságos tárolása megoldott.
26. A nyilvántartást biztosító elektronikus információs rendszer rendelkezésre állása 24/7-es (folyamatos).
27. A nyilvántartást biztosító elektronikus információs rendszer rendelkezésre állása napi 8 órában, munkaidőben biztosított.
28. A nyilvántartást biztosító elektronikus információs rendszer redundáns adattárolása, rendszerüzemeltetési környezete biztosított.
29. A nyilvántartást biztosító elektronikus információs rendszer redundáns (szünetmentes) tápellátása biztosított.
30. A nyilvántartás alapját képező elektronikus információs rendszerrel összefüggő hitelesítés és jogosultság-ellenőrzés (autentikáció és autorizáció) biztosított.
31. A nyilvántartást biztosító elektronikus információs rendszerben történő tranzakciók (felhasználói tevékenység) naplózottak.
32. A nyilvántartást biztosító elektronikus információs rendszer biztonsági eseményei naplózottak.
33. A naplófájlokat a biztonsági mentés tartalmazza.
34. A nyilvántartást biztosító elektronikus információs rendszer biztonságos üzemeltetése hálózatvédelmi szoftverrel biztosított.
35. A nyilvántartást biztosító elektronikus információs rendszer biztonságos üzemeltetése adatlopás elleni védelemmel (szoftverrel) biztosított.
36. A nyilvántartást biztosító elektronikus információs rendszer biztonságos üzemeltetése tűzfalvédelemmel biztosított.
37. A nyilvántartások adatainak kezelése titkosított adathordozón (pl. BitLocker meghajtó titkosítás) történik.

Kmf.

…………………………………………
nyilvántartást kezelő szervezeti egység vezetője

………………………………………… …………………………………………
felmérést végző bizottság tagja felmérést végző bizottság tagja

Készült: …… példány/…… lap

Kapják:

5. függelék

Adatlap a szervezeti egységek részére az érintett jogainak gyakorlására vonatkozó kimutatáshoz

A kitöltő szervezeti egység:
Az érintett saját adataira vonatkozó kérelmek:
A kérelem jellege	Teljesített	Részben teljesített	Elutasított
Tájékoztatás iránti kérelem saját nyilvántartott személyes adatról
Tájékoztatás iránti kérelem arról, hogy az érintett személyes adatát kinek továbbították
Helyesbítés iránti kérelem
Törlés iránti kérelem
Az érintett személyes adatára vonatkozó részben teljesített, illetve elutasított kérelmek indokolása:
A közérdekű adatok megismerésére vonatkozó kérelmek:
Teljesített	Részben teljesített	Elutasított

A közérdekű adatok megismerésére vonatkozó részben elutasított kérelmek indokolása:

6. függelék

Bejelentőlap az adatkezelő részére adatvédelmi incidens esetén

1. Az adatvédelmi incidenst bejelentő tájékoztató adatai:

Név: .............................................................................................................................................................................................................................................................

E-mail-cím: ...................................................................................................................................................................................................................................................

Cím: ..............................................................................................................................................................................................................................................................

Telefonszám: .................................................................................................................................................................................................................................................

Kapcsolattartó megnevezése, elérhetősége (telefonszám, e-mail):

.......................................................................................................................................................................................................................................................................

1.1. Az adatkezelőn kívüli felek részvétele az adatvédelmi incidenssel érintett szolgáltatásban.

1.2. Részt vesz-e az adatkezelőn kívül más az adatvédelmi incidenssel érintett szolgáltatásban:

1.3. Az adatkezelőn kívüli fél megnevezése és minősége:

2. Az adatvédelmi incidenssel kapcsolatos időpontok:

Kezdő időpont: ...............................................................................................................................................................................................................................................

Záró időpont: ..................................................................................................................................................................................................................................................

Az adatvédelmi incidens továbbra is fennáll: .................................................................................................................................................................................................

Az incidensről való tudomásszerzés időpontja: .............................................................................................................................................................................................

Az incidens észlelésének módja: ...................................................................................................................................................................................................................

Az adatfeldolgozó általi értesítés időpontja: ...................................................................................................................................................................................................

A késedelmes tájékoztatás indokai:

Egyéb megjegyzések az incidens időpontját illetően:

3. Az adatvédelmi incidens adatai (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

3.1. Sérülés jellege:

– bizalmas jelleg:

– integritás:

– rendelkezésre állás:

3.2. Az adatvédelmi incidens jellege (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– eszköz elvesztése vagy ellopása:

– informatikai rendszer feltörése (hackelés):

– papíralapú dokumentum nem megfelelő módon történő megsemmisítése:

– papíralapú dokumentum elvesztése, ellopása vagy olyan helyen hagyása, amely nem minősül biztonságosnak:

– rosszindulatú számítógépes programok (pl. zsarolóprogram):

– elektronikus hulladék (a személyes adatok rajta maradnak az elavult eszközön):

– személyes adatok téves címzett részére történő küldése:

– levél elvesztése vagy jogosulatlan felnyitása:

– adathalászat:

– személyes adatok nagy nyilvánosság előtti jogellenes közzététele:

– személyes adatok jogosulatlan szóbeli közlése:

– egyéb: ........................................................................................................................................................................................................................................................

4. Az adatvédelmi incidens okai (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– szervezeten belüli, rosszhiszeműnek nem minősülő cselekmény (belső szabályzat megsértése által):

– szervezeten belüli, rosszhiszemű cselekmény:

– külső, rosszhiszeműnek nem minősülő cselekmény:

– külső, rosszhiszemű cselekmény:

5. Az adatvédelmi incidenssel érintett személyes adatok köre:

5.1. Személyes adatok (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– személyazonossághoz kapcsolódó adatok:

– elérhetőségi adatok:

– azonosító adatok:

– személyi szám:

– hivatalos okmányok:

– helymeghatározó adatok:

– gazdasági, pénzügyi adatok:

– büntetett előélettel, bűncselekményekkel vagy büntetéssel, intézkedéssel kapcsolatos adatok:

– különleges adatok:

5.2. Különleges adatok (legalább egy kiválasztása kötelező):

– faji eredetre, nemzetiséghez tartozásra vonatkozó adatok:

– politikai véleményre vonatkozó adatok:

– vallásos vagy más világnézeti meggyőződésre vonatkozó adatok:

– érdekképviseleti szervezeti tagságra vonatkozó adatok:

– szexuális életre vonatkozó adatok:

– egészségügyi adatok:

– genetikai adatok:

– biometrikus adatok:

– még nem ismert:

5.3. Az adatvédelmi incidenssel érintett személyes adatok becsült száma: .................................................................................................................................................

6. Az érintettek jellege (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– alkalmazottak:

– felhasználók:

– feliratkozók:

– hatósági eljárás vagy intézkedés alá vont, vagy azok által érintett személyek:

– még nem ismert:

6.1. Az incidenssel érintett adatalanyok részletes leírása (pl. adatbázisokban szereplő munkavállalók leírása):

6.2. Az adatvédelmi incidenssel érintettek becsült száma: ...........................................................................................................................................................................

7. Az incidens előtt alkalmazott intézkedések leírása (pl. tűzfal, vírusellenőrzés, adatszivárgás elleni védelmi rendszer):

8. Következmények:

8.1. Bizalmas jelleg sérülése (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– Szélesebb körű hozzáférés, mint ami szükséges, vagy amihez az érintett hozzájárult:

– Az adat összekapcsolhatóvá vált az érintett egyéb adatával:

– Az adatot más célokból történő, tisztességtelen módon történő kezelése lehetséges:

8.2. Integritás sérülése (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– Az adat módosíthatóvá vált annak ellenére, hogy archivált vagy elavult volt:

– Az adatot valószínűsíthetően módosították egyébként pontos adatokra, és azokat eltérő célokra használhatták:

8.3. Rendelkezésre állás sérülése (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– Az érintettek számára történő kritikus szolgáltatásnyújtás képességének módosulása:

8.4. Az érintetteket ért fizikai, anyagi vagy nem vagyoni károk, vagy egyéb jelentős következmények:

8.5. Az incidens valószínűsíthető hatásai az érintettekre (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– személyes adatok feletti rendelkezés elvesztése:

– érintett jogainak korlátozása:

– hátrányos megkülönböztetés:

– személyazonosság-lopás:

– személyazonossággal való visszaélés:

– pénzügyi veszteség:

– álnevesítés engedély nélküli feloldása:

– jó hírnév sérelme:

– szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése:

8.6. A valószínűsíthető következmények súlyossága (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– elhanyagolható:

– korlátozott:

– jelentős:

– maximális:

9. Az incidens orvoslására megtett intézkedések:

9.1. Megtett intézkedések (az adatvédelmi tisztviselő vagy a bizottság tölti ki). A megtett védelmi intézkedések leírása:

9.2. Az érintettek tájékoztatása (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

A tájékoztatás tervezett időpontja:

– még nincsen eldöntve:

– a tájékoztatás hiányának indokai:

– tényleges ideje, tartalma:

– érintetteknek javasolt intézkedések:

– intézkedések leírása, amelyek alapján az érintettek tájékoztatására nem került sor:

– tájékoztatott érintettek száma:

– az érintett tájékoztatásának formája:

– az érintetteknek szóló tájékoztatás tartalma:

– nyilvánosan közzétett információk vagy hasonló intézkedés:

10. Egyéb:

11. Egyéb bejelentések:

Más hatóságoknak (EU tagállami) vagy tagállamnak bejelentette-e az adatvédelmi incidenst?

7. függelék

Az érintett tájékoztatása az adatvédelmi incidensről

(GDPR 34. cikk)

1. Az adatvédelmi incidens időpontja: ………………………………………………………………………………………....................................................................................

2. Jellege:

3. Az adatvédelmi tisztviselő/kapcsolattartó neve:

Elérhetősége:

4. Az adatvédelmi incidensből eredő valószínűsíthető következmény(ek):

5. Az adatvédelmi incidens kezelésével kapcsolatban tervezett, illetve megtett intézkedések (ideértve a hátrányos következmények enyhítését célzó intézkedéseket):

6. Az érintett számára javasolt intézkedések megtétele a bekövetkezett kár enyhítése érdekében:

8. függelék

Az adatvédelmi incidensek nyilvántartása és bejelentése

(GDPR 33. cikk)

1. Az adatkezelő (bejelentő adatai)

Ország: ..........................................................................................................................................................................................................................................................

Irányítószám és hely:

Utcanév és házszám:

2. Az adatvédelmi tisztviselő/kapcsolattartó neve:

Elérhetősége: ................................................................................................................................................................................................................................................

3. Az incidens időpontja

Kezdete: ........................................................................................................................................................................................................................................................

Tudomásra jutás időpontja:

4. Az incidens jellege

Az incidens leírása (nem jár kockázattal, kockázattal jár, magas kockázattal jár):

5. Az incidensben érintett adatok

Az adatok kategóriáinak leírása (különleges, bűnügyi adatok kiemelése):

6. Az incidensben érintett személyek kategóriái

Az érintettek csoportjának leírása:

7. A megelőzésre tett védelmi intézkedések

Az incidens megelőzésére tett védelmi intézkedések rögzítése:

8. Az incidens következményei

Az érintettre gyakorolt bekövetkezett hatások leírása (fizikai, vagyoni, nem vagyoni):

9. Az incidens valószínűsíthető következményei

Az érintettre gyakorolt lehetséges hatások leírása (fizikai, vagyoni, nem vagyoni):

10. Megtett intézkedések

A megtett védelmi intézkedések leírása:

Az érintettek tájékoztatása (tájékoztatás ideje, tartalma, érintetteknek javasolt intézkedések):

Egyéb:

9. függelék

KIMUTATÁS

A közérdekű adat megismerésére vonatkozó igénnyel kapcsolatos költség előzetes és utólagos elszámolásához, munkaidő-elszámoláshoz az ÉBM/............-....../20.../ számú ügyirathoz

1. Adatszolgáltatás előkalkulációhoz:

Az adatszolgáltatásért felelős vezető megnevezése:
Feladatvégzésre kijelölt neve:
Feladatvégzésre kijelölt beosztása:
A feladat megérkezésének időpontja:

Feladatvégzés tervezett munkaidőigénye: …… óra

Feladatvégzés tervezett anyagköltsége:

			adatok lapban
		színes	fekete-fehér
Fénymásolatok száma	A/4
	A/3

Feladatvégzéshez szükséges adathordozók száma: …… db

Az adatszolgáltatásért felelős vezető aláírása: ……………………………………

2. Adatszolgáltatás várható költsége:

Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztálya vezetőjének nyilatkozata az adatigénylés várható költségéről:

Dologi költség: …………………

Személyi költség: …………………

Összesen: …………………

4 munkaórát meghaladja: igen/nem

Az összeghatár mértéke az 5000 Ft-ot meghaladja: igen/nem

Számviteli bizonylat kiállítható: igen/nem

………………………………………
aláírás/dátum

3. Munkalap:

	Kezdés	Befejezés

	Összesen: …………………… óra

Feladatvégzés anyagköltsége:

			adatok lapban
		színes	fekete-fehér
Fénymásolatok száma	A/4
	A/3

Feladatvégzéshez igénybe vett adathordozók száma: …… db

A feladat elvégzését követően az ügyintéző aláírása:
A feladat elvégzését igazoló vezető aláírása:

4. Tényleges költségek kimutatása

Pénzügyi/személyügyi szervezeti egység bérkimutatása (óra/Ft) Dologi költség: ………………… Személyi költség: ………………… Összesen: ………………… Pénzügyi vezető aláírása:

Minden ügyintéző külön munkaidő-elszámolást tölt ki.
A kitöltött és aláírt elszámolást a Perképviseleti, Adatvédelmi és Szerződéses Ügyek Főosztályára kell elektronikusan megküldeni.

10. függelék

Az Infotv. 28. § (2) bekezdése alapján az igénylő személyes adatai a költségtérítés megfizetése érdekében

A közérdekű adat megismerésére vonatkozó igény tárgya: .........................................................................................................................................................................

Az igénylő

Neve: .............................................................................................................................................................................................................................................................

Címe: .............................................................................................................................................................................................................................................................

Adóazonosító jele/adószáma: .......................................................................................................................................................................................................................

Számlázásra vonatkozó adatok

Számlázási név: .............................................................................................................................................................................................................................................

Számlázási cím: .............................................................................................................................................................................................................................................

Kelt …………………………, …… év ………… hó …… nap

…………………………………………
aláírás

Az Ön személyes adatait az Építési és Beruházási Minisztérium mint adatkezelő a számviteli bizonylat kiállításához használja fel. Az adatkezelés idejére és az adatok átadásának szabályaira a pénzügyi bizonylatok megőrzésére és ellenőrzésére vonatkozó törvényi előírások az irányadóak. Az Építési és Beruházási Minisztérium a személyes adatokat harmadik fél számára csak külön törvényben foglaltak alapján, megfelelő jogalap fennállása esetén adja át.

11. függelék

IRATBETEKINTÉSI NYILATKOZAT

Alulírott (igénylő megnevezése) …………………………………… az alábbiakról nyilatkozom:

1. Kérem, hogy a mai napon az alább felsorolt iratokba (megtekintett anyagok megjelölése) betekinthessek, melyekről másolatot kérek/nem kérek.

2. Az általam az iratbetekintés során tudomásomra jutott személyes adatokat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletben, továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben meghatározottak szerint használom fel és kezelem, figyelemmel egyúttal a magyar jognak a személyhez fűződő jogok, valamint a szellemi alkotások védelmére vonatkozó szabályaira is.

Budapest, …………………………………

…………………………………………
aláírás

Másolás a vágólapra
Nyomtatás

Hatályos
Már nem hatályos
Még nem hatályos
Módosulni fog
Időállapotok
Adott napon hatályos
Közlönyállapot
Indokolás

Jelmagyarázat Lap tetejére

Műveletek