• Tartalom

11/2023. (XI. 30.) KIM utasítás

11/2023. (XI. 30.) KIM utasítás

a Kulturális és Innovációs Minisztérium kezelésében lévő közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének és a személyes adatok védelmének rendjéről

2023.12.02.

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában meghatározott feladatkörömben eljárva – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 25/M. § (1) bekezdés f) pontjában és 30. § (6) bekezdésében, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 24. cikk (2) bekezdésében foglaltak alapján – a Kulturális és Innovációs Minisztérium által kezelt személyes adatok védelme érdekében a következő utasítást adom ki:

1. § A Kulturális és Innovációs Minisztérium kezelésében lévő közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények teljesítésének és a személyes adatok védelmének rendjéről szóló szabályzatot az 1. mellékletben foglaltak szerint állapítom meg.

2. § Ez az utasítás a közzétételét követő napon lép hatályba.

3. §1

1. melléklet a 11/2023. (XI. 30.) KIM utasításhoz

I. Fejezet

ÁLTALÁNOS RENDELKEZÉSEK

1. § (1) A szabályzat célja, hogy a Kulturális és Innovációs Minisztérium (a továbbiakban: Minisztérium) tevékenysége során a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása, illetve a Minisztérium által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat, továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.), a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendelet (a továbbiakban: Költségtérítési rendelet), valamint a vonatkozó egyéb jogszabályokban foglalt előírások figyelembevételével elősegítse a közérdekű és a közérdekből nyilvános adatok megismeréséhez való, Alaptörvényben rögzített jog érvényesülését azáltal, hogy meghatározza a közérdekű adatok megismerésére irányuló igények teljesítésének rendjét a Minisztériumban.

(2) A szabályzat hatálya a Minisztérium valamennyi szervezeti egységére, valamint foglalkoztatottjára kiterjed.

(3) A szabályzatban foglaltakat kell alkalmazni a Minisztérium szervezeti egységei által folytatott adatkezelési műveletekre az adatok megjelenési formájától függetlenül, az adatkezelés teljes folyamatára kiterjedően – az adatok megszerzésétől vagy a minisztériumi szervnél történő keletkezésétől azok törléséig, illetve megsemmisítéséig –, függetlenül attól, hogy az adatok valamely nyilvántartási rendszer vagy valamely ügyben keletkezett irat részét képezik-e.

(4) A szabályzat rendelkezéseit a Minisztérium kezelésében lévő közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények esetében kell alkalmazni, függetlenül attól, hogy az adatigénylő a kérelmét a Minisztériumhoz közvetlenül nyújtotta be, vagy a Minisztérium háttérintézménye vagy gazdasági társasága a hozzá benyújtott igényt a Minisztériumhoz továbbította.

(5) A szabályzat nem vonatkozik a közhitelű nyilvántartásból történő, törvényben szabályozott adatszolgáltatásra.

(6) A minősített adatok kezelésére vonatkozó jogszabály eltérő rendelkezésének hiányában e szabályzatot kell alkalmazni a minősített adathordozóban szerepeltetett személyes adatok kezelése során.

1. Értelmező rendelkezések

2. § A szabályzat alkalmazásában

a) adatkezelés: az Infotv. 3. § 10. pontja szerinti adatkezelés;

b) adatfeldolgozó: az Infotv. 3. § 18. pontja szerinti adatfeldolgozó;

c) adatigénylés: a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) benyújtott, közérdekű vagy közérdekből nyilvános adat megismerésére irányuló kérelem;

d) adatigénylő: az adatigénylést benyújtó személy vagy szerv;

e) személyes adat: az Infotv. 3. § 2. pontja szerint meghatározott fogalom;

f) közérdekű adat: az Infotv. 3. § 5. pontja szerint meghatározott fogalom;

g) közérdekből nyilvános adat: az Infotv. 3. § 6. pontja szerint meghatározott fogalom;

h) üzleti titok: az üzleti titok védelméről szóló 2018. évi LIV. törvény által meghatározott üzleti titok;

i) nyilvánosságra hozatal: az Infotv. 3. § 12. pontja szerint meghatározott fogalom;

j) érintett: az Infotv. 3. § 1. pontja szerint meghatározott fogalom;

k) adatvédelmi incidens: az Infotv. 3. § 26. pontja szerint meghatározott fogalom;

l) elektronikus közzététel: a kötelezően közzéteendő közérdekű adatoknak internetes honlapon, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, kinyomtatható és részleteiben is adatvesztés és torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatátvitel szempontjából is díjmentesen történő hozzáférhetővé tétele.

II. Fejezet

A SZEMÉLYES ADATOK VÉDELME

2. A Minisztérium hivatali szervezetének vezetője

3. § A Minisztérium hivatali szervezetének vezetője a közigazgatási államtitkár, aki

a) felelős a Minisztérium által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtételéért;

b) felelős a Minisztérium személyi állományának adatvédelmi oktatásáért az adatvédelmi tisztviselő bevonásával;

c) felelős a Minisztérium irányítása és felügyelete alá tartozó szerv tevékenységének rendszeres adatvédelmi ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;

d) felelős az érintett jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételek biztosításáért;

e) felelős az adatvédelmi hatásvizsgálatok lefolytatásáért és rendszeres felülvizsgálatáért, valamint az ahhoz szükséges feltételek biztosításáért;

f) felelős az adatvédelmi feladatok ellátására alkalmas adatvédelmi tisztviselő kijelöléséért, nevének és elérhetőségének Hatóság részére történő bejelentéséért;

g) felelős az adatvédelmi tisztviselő feladatainak végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges feltételek és források biztosításáért;

h) felelős az adatvédelmi tevékenységgel kapcsolatos közzétételi kötelezettség teljesítéséért;

i) felelős a közérdekű adatokra és közérdekből nyilvános adatokra irányuló adatigénylések határidőben történő megválaszolásáért;

j) biztosítja, hogy az adatvédelmi tisztviselő – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (a továbbiakban: általános adatvédelmi rendelet vagy GDPR) a GDPR 38. cikk (3) bekezdése alapján – a Minisztérium szervezeti egységeitől függetlenül működhessen, a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el;

k) gyakorolja az adatvédelmi tisztviselő felett a GDPR 39. cikk (1) bekezdésében meghatározott feladatokkal kapcsolatos felügyeleti jogokat.

3. Az adatvédelmi tisztviselő

4. § (1) Az adatvédelmi tisztviselőt írásban jelöli ki a közigazgatási államtitkár. Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a GDPR 39. cikkében említett feladatok ellátására való alkalmasság alapján kell kijelölni. Az adatvédelmi tisztviselő közvetlenül a közigazgatási államtitkárnak tartozik felelősséggel.

(2) Nem lehet olyan személyt kijelölni adatvédelmi tisztviselőnek, aki az adatkezelő szervnél adatkezeléssel kapcsolatos döntések meghozatalára jogosult személynek a Polgári Törvénykönyvről szóló 2013. évi V. törvény 8:1. § 2. pontja szerinti hozzátartozója.

(3) Az adatvédelmi tisztviselő nevéről és elérhetőségéről a minisztériumi foglalkoztatottakat tájékoztatni kell, valamint a Hatóság nyilvántartásába be kell jelenteni.

(4) Az adatvédelmi tisztviselő feladatainak ellátása céljából, az ahhoz szükséges mértékben a minősítéssel védett iratokba betekinthet.

(5) A közigazgatási államtitkár biztosítja az adatvédelmi tisztviselő számára meghatározott feladata kapcsán eljárva a hozzáférést a feladatai végrehajtásához szükséges elektronikus rendszerekhez, iratokhoz, egyéb adathordozókhoz, valamint a szakmai ismeretei naprakészen tartásához szükséges feltételeket, jogosultságokat és erőforrásokat rendelkezésére bocsátja.

(6) A Minisztériummal bármely jogszabály alapján foglalkoztatási jogviszonyban álló személyek személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben a hivatali út betartása nélkül, közvetlenül fordulhatnak az adatvédelmi tisztviselőhöz.

(7) Az adatvédelmi tisztviselő az általános adatvédelmi rendeletben és az Infotv.-ben rögzítetteken túl, kizárólag a következő feladatokat látja el:

a) a közigazgatási államtitkár által jóváhagyott ellenőrzési tervet készít, a tervben foglaltak szerint ellenőrzi az adatkezelő szervnél az adatvédelmi és adatbiztonsági követelmények megtartását;

b) az adatkezeléssel kapcsolatos előírások megszegésének észlelése esetén az adatvédelmi tisztviselő felhív a jogszerű állapot haladéktalan helyreállítására, és a hiányosságokat – amennyiben emiatt adatvédelmi érdek sérelmet szenvedne, úgy közvetlenül – jelzi a közigazgatási államtitkárnak, indokolt esetben kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását;

c) közreműködik az adatvédelmi incidensek kivizsgálásában, vezeti a Minisztérium adatvédelmi incidens nyilvántartását, és a vizsgálat eredménye alapján a jogszabályi feltételek fennállása esetén bejelenti azt a Hatóság részére;

d) nyilvántartást vezet az érintettnek a személyes adatai kezelésével kapcsolatos hozzáférésre, helyesbítésre, törlésre, tiltakozásra, valamint korlátozásra vonatkozóan benyújtott és elutasított kérelméről, az elutasítás indokairól;

e) a d) pont szerinti nyilvántartás alapján személyes adatot nem tartalmazó kimutatást vezet;

f) vezeti a személyes adat kezelésével összefüggő egyéb nyilvántartásokat;

g) részt vesz a Hatóság által szervezett képzéseken.

(8) A Minisztérium szervezeti egységei kötelesek együttműködni az adatvédelmi tisztviselővel.

4. Adatvédelmi szakterület

5. § (1) Az Adatvédelmi Osztály észrevételezi azon jogszabálytervezeteket vagy más előterjesztés-tervezeteket (a továbbiakban együtt: előterjesztés), amelyek érintik a személyes adatok körét.

(2) Az Adatvédelmi Osztály az (1) bekezdésben meghatározottak ellátása körében vizsgálja, hogy az előterjesztések megfelelnek-e a személyes adatok kezelését szabályozó jogszabályoknak.

(3) Az Adatvédelmi Osztály kezeli a Minisztérium részére érkezett közérdekű adatigényléseket.

5. A személyes adatok kezelésére vonatkozó elvek

6. § A Minisztérium a személyes adatok kezelése során az alábbi elveket alkalmazza:

a) jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelésére csak és kizárólag a megfelelő jogalap megléte esetén kerülhet sor. Az adatkezelésre vonatkozó jogszabályok betartásán túl, a Minisztérium tiszteletben tartja az érintettek személyes adataikhoz fűződő jogát és emberi méltóságát az adatkezelés során. A Minisztérium az adatkezelést átláthatóan végzi, az adatkezelésről hatékony és teljes körű tájékoztatást nyújt az érintettek részére;

b) célhoz kötöttség elve: a Minisztérium kizárólag előre meghatározott, jogszerű célból kezel adatokat, a céllal, célokkal összeegyeztethető módon;

c) adattakarékosság elve: A Minisztérium kizárólag annyi és olyan személyes adatot kezel, mely a meghatározott cél teljesüléséhez szükséges. A Minisztérium az adatkezeléskor meghatározott cél megvalósulását követően – kivéve, ha jogszabály ezzel ellentétesen rendelkezik, vagy az adattárolás olyan adatkezelési cél elérése érdekében lehetséges, mely összeegyeztethető az eredeti adatkezelési céllal – a személyes adatokat törli;

d) pontosság elve: a Minisztérium az általa kezelt személyes adatok pontosságát az adatbirtokos folyamatos felülvizsgálata és az érintett helyesbítéséhez való jogának gyakorlásának biztosításával garantálja;

e) korlátozott tárolhatóság elve: a Minisztérium a személyes adatot tartalmazó dokumentumot az adatkezelési cél elérését vagy az adatkezelési idő leteltét követően – kivéve, ha jogszabály ezzel ellentétesen rendelkezik, vagy az adattárolás olyan adatkezelési cél elérése érdekében lehetséges, mely összeegyeztethető az eredeti adatkezelési céllal – törli vagy anonimizálja, amely révén az érintett a továbbiakban nem azonosítható;

f) integritás és bizalmas jelleg elve: a Minisztérium biztosítja a jogosultak számára, hogy az adatokhoz hozzáférjenek, továbbá az adatbiztonságért felelős szervezeti egység felügyeletével gondoskodik a személyes adatok védelméről;

g) elszámoltathatóság elve: a Minisztérium valamennyi személyes adat kezelésével összefüggő tevékenységét visszakövethető módon dokumentálja, és ezáltal biztosítja az adatkezeléssel kapcsolatosan megtett intézkedések átláthatóságát.

6. Az érintett jogai és az érintett jogainak érvényesítésével összefüggő feladatok

7. § Az érintettnek joga van írásban tájékoztatást kérni a Minisztérium által kezelt személyes adatai vonatkozásában

a) a személyes adatok köréről,

b) az adatkezelés jogalapjáról,

c) az adatkezelés céljáról,

d) a címzettek vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják,

e) az adattárolás időtartamáról,

f) az adatok forrására vonatkozó minden elérhető információról, ha az adat nem az érintettől származik.

8. § Az érintett írásban kérheti, hogy a Minisztérium

a) módosítsa valamely kezelt személyes adatát,

b) törölje személyes adatait,

c) a rá vonatkozó, általa az adatkezelő szerv rendelkezésére bocsátott, bármilyen formában rögzített személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja.

9. § A Minisztérium – az adatvédelmi tisztviselő útján – a 7–8. §-ban foglalt kérelemnek, ha jogszabály ellentétesen nem rendelkezik, legfeljebb 30 napon belül eleget tesz. A kérelem teljesítéséről vagy annak elutasításáról 30 napon belül köteles tájékoztatni az érintettet.

10. § Az érintettet megillető jogok gyakorlására az érintettek adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva csak a kérelmező megfelelő azonosítása, illetve kérelme tartalmának hitelesítése esetén van lehetőség. Nem biztosítható ezen jogok gyakorlása különösen az elektronikus aláírással nem hitelesített, vagy a kérelmező személyének azonosítását nem biztosító elektronikus levél, valamint telefax útján érkezett kérelmek esetén. Elektronikusan benyújtott kérelem esetén a megfelelő azonosítás az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 18. §-a szerint valósulhat meg.

11. § A Minisztérium az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti. A Minisztérium az információt írásban, elektronikus úton, illetve az érintett kérelmére szóban is megadhatja, amennyiben az érintett személyazonossága igazolt.

12. § Az érintett hozzáférési jogának gyakorlása során a tájékoztatást és az adatról kért első másolatot díjmenetesen kell biztosítani, kivéve, ha az érintett kérelme – annak ismétlődő jellege vagy jogszabályban, illetve a Hatóság joggyakorlata értelmében – túlzó. Ez esetben – eltérő jogszabályi rendelkezés hiányában – az adatkezelő szerv jogosult észszerű, a Költségtérítési rendelet előírásai alapján költségtérítést megállapítani.

7. Az adatkezelési tevékenységek nyilvántartása

13. § Az adatkezelési tevékenységek nyilvántartását az adatvédelmi tisztviselő vezeti. Az adatkezelési tevékenységek nyilvántartásába az adatbirtokos az adatvédelmi tisztviselő által meghatározott módon és formában szolgáltat adatokat.

8. Adattovábbítás

14. § (1) A Minisztérium szervezeti egysége az adattovábbítás feltételeinek meglétét minden egyes személyes adattal összefüggésben köteles ellenőrizni, így különösen azt, hogy az igényelt adatokra vonatkozóan az adatok kezelőjének minősül-e.

(2) Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adatot kezelő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig rendelkezik az adat kezeléséhez szükséges jogalappal vagy az érintett írásos – a vonatkozó jogszabályi elvárásoknak megfelelő tartalmú – hozzájárulásával, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.

(3) Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – törvényben kötelezően előírt adattovábbítás esetét kivéve – a Minisztérium hivatali szervezete vezetőjének vagy az általa kijelölt vezetőnek a hatáskörébe tartozik, amellyel kapcsolatban kikérheti az adatvédelmi tisztviselő véleményét. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza

a) az adatigénylés célját, jogalapját;

b) a kért adatok körének pontos meghatározását;

c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.

(4) Az adattovábbítás történhet kérelem alapján egyedi adatszolgáltatással, továbbá – törvény ilyen tartalmú rendelkezése vagy erre vonatkozó megállapodás alapján – közvetlen hozzáférés biztosításával.

9. Adattovábbítási nyilvántartás

15. § (1) Ha olyan adat továbbítására kerül sor, amellyel kapcsolatban az adattovábbítást végző minisztériumi szervezeti egység – az általános adatvédelmi rendelet vagy az Infotv. által biztosított jogait érintő – adatkezelési korlátozást jelzett, az adatkezelési korlátozást szerepeltetni kell az adattovábbítási nyilvántartásban.

(2) Az olyan elektronikus információs rendszerek esetében, ahol a folyamatos és zárt rendszerben történő naplózás nem biztosított, valamint manuális adatkezelések esetén az adatkezelés célját, az érintett adatokat, illetve az adatkezelést folytató személy azonosítását lehetővé tevő adatokra és az elvégzett műveletekre vonatkozóan papíralapú adattovábbítási nyilvántartás vezetéséről kell gondoskodni.

10. Az adatvédelmi hatásvizsgálat lefolytatása és az előzetes konzultáció kezdeményezése

16. § (1) Az adatbirtokos abban az esetben végez hatásvizsgálatot tervezett vagy folyamatban lévő adatkezelésnél, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, vagy az adatkezelés kockázatának és lényeges körülmény – különösen az adatkezelés technológiájának – megváltoztatása esetén.

(2) Az adatbirtokos a kockázatelemzési feladata kapcsán kikérheti a tervezett, illetve megváltozott adatkezelés által érintett személyek véleményét.

(3) Az adatbirtokos a kockázatelemzési feladata kapcsán kikéri a döntés végrehajtásáért felelős szakterület, az elektronikus információs rendszer biztonságáért felelős szervezet vezetőjének vagy az elektronikus biztonságért felelős személynek és a rendszerek üzemeltetésében részt vevő szervezeteknek, valamint az adatvédelmi tisztviselőnek a véleményét.

(4) Ha a tervezett adatkezelés annak körülményeire, így különösen céljára, az érintettek körére, az adatkezelési műveletek során alkalmazott technológiára tekintettel – az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve – valószínűsíthetően magas kockázatot nem azonosít, vagy megállapítást nyer, hogy az adatkezelés az adatvédelmi hatásvizsgálat lefolytatása alóli mentesítést tartalmazó valamely jogszabályban meghatározott kivételi körbe tartozik, úgy ennek tényét az adatbirtokos írásban rögzíti.

(5) Az adatbirtokos köteles az előkészített adatkezelés esetén az adatkezelési tevékenységek nyilvántartásáról szóló dokumentumot kitölteni, és azt az adatvédelmi tisztviselőnek megküldeni. Az adatvédelmi tisztviselő a megküldött dokumentumot az adatkezelési tevékenységek nyilvántartásába bejegyzi.

(6) Amennyiben az adatbirtokos az adatkezeléssel várhatóan érintett személyek jogaira és szabadságaira nézve magas kockázatot azonosít, vagy jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési tevékenységek esete áll fenn – a döntése alapjául szolgáló legfontosabb szempontokat írásban megjelölve –, adatvédelmi hatásvizsgálat lefolytatását kezdeményezi a Minisztérium hivatali szervezetének vezetőjénél.

(7) A Minisztérium hivatali szervezetének vezetője az adatbirtokos javaslatára elrendeli az adatvédelmi hatásvizsgálat lefolytatását, vagy írásban rögzíti mellőzésének okait és az adatvédelmi tisztviselő kapcsolódó álláspontját. Az adatvédelmi hatásvizsgálat lefolytatásáig vagy az annak elmaradásával kapcsolatos okok írásban történő rögzítéséig az adatkezelésről szóló döntés nem hozható meg.

(8) Az adatvédelmi hatásvizsgálat lefolytatásában az adatkezelés által érintett személyek vesznek részt. Az adatvédelmi hatásvizsgálat lefolytatását az adatvédelmi tisztviselő támogatja. Az adatvédelmi hatásvizsgálat során keletkezett iratok az adatkezelő szerv döntését előkészítő adatokat tartalmaznak, ezért azokon a „Nem nyilvános!” jelzést kell elhelyezni. Ha a hatásvizsgálat során kezelt adatok egy részének esetében azok minősítésére vonatkozó jogszabályi feltételek fennállnak, akkor az adatkezelő szerv vezetője dönt a szükséges iratok minősítéssel történő védelméről és annak szintjéről.

(9) Az adatbirtokos és az adatkezelés által érintett személyek az adatvédelmi hatásvizsgálat eredményeiről minősített adatot nem tartalmazó, „Nem nyilvános!” jelzéssel ellátott összefoglaló jelentést készítenek.

(10) Az adatvédelmi hatásvizsgálatról szóló összefoglaló jelentést a Minisztérium hivatali szervezetének vezetője hagyja jóvá.

(11) Az adatvédelmi tisztviselő a jelentés alapján az adatkezelést bevezeti az adatkezelési tevékenységek nyilvántartásába.

(12) Ha az adatvédelmi hatásvizsgálat arra az eredményre jut, hogy a tervezett adatkezelés jelentette kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, vagy azt jogszabály kötelezően előírja, akkor az adatkezelő szerv előzetes konzultációt kezdeményez a Hatóságnál.

11. Az adatvédelmi incidens észlelése és az adatvédelmi incidens kezelése

17. § (1) A Minisztérium adatkezelésében és az adatfeldolgozónál bekövetkezett adatvédelmi incidenst észlelő személynek a tájékoztatást haladéktalanul az adatvédelmi tisztviselőhöz, az Adatvédelmi Osztály vezetőjéhez és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetőjéhez kell megtenni. A tájékoztatásnak az 1. függelék szerinti adatokat kell tartalmaznia.

(2) A Minisztériumhoz külső észlelő személytől származó, a minisztérium adatkezelésére vagy az adatfeldolgozóra vonatkozó adatvédelmi incidens gyanújának tárgyában érkezett tájékoztatást haladéktalanul továbbítani kell az adatvédelmi tisztviselőnek, az Adatvédelmi Osztály vezetőjének és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetőjének.

(3) Ha a Minisztérium ellenőrzésre jogosult szervezeti egysége a feladata ellátása során adatvédelmi incidens bekövetkezését feltételezi, haladéktalanul értesíti az adatvédelmi tisztviselőt, az Adatvédelmi Osztály vezetőjét és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetőjét.

(4) Az adatvédelmi tisztviselő, az Adatvédelmi Osztály vezetője és az informatikai rendszerek informatikai biztonságáért felelős szervezeti egység vezetője (a továbbiakban: munkacsoport) megvizsgálja, hogy

a) a tájékoztatás alapján fennáll-e az adatvédelmi incidens,

b) az adatvédelmi incidens az informatikai rendszert érintően következett-e be,

c) mely szervezeti egységeket kell bevonni, illetve szükséges-e közös intézkedések megtétele.

(5) Adatvédelmi incidens különösen:

a) a személyes adatokat tároló informatikai rendszerhez vagy szoftverhez történő jogosulatlan hozzáférés,

b) a személyes adatok jogosulatlan titkosítása, amelynek következtében a személyes adatokhoz – akár átmenetileg – nem lehet hozzáférni, vagy a Minisztérium által végzett adatkezelések során felhasználni,

c) a Minisztérium foglalkoztatottjának jogosulatlan vagy a jogosultsági szintjét meghaladó hozzáférése a személyes adatokhoz, vagy a foglalkoztatott által jogosulatlanul végrehajtott adatkezelési művelet,

d) személyes adatok vétlen vagy szándékos, felhatalmazás nélküli nyilvánosságra hozatala,

e) személyes adatokat tartalmazó dokumentum más számára történő hozzáférhetővé tétele,

f) személyes adatokat tartalmazó postai küldemény téves címzetthez történő elpostázása,

g) személyes adatokat tartalmazó e-mail téves címzettnek történő kiküldése,

h) személyes adatokat tartalmazó adathordozó vagy informatikai eszköz elvesztése,

i) a személyes adatokat tároló informatikai eszköz vagy az ilyen adatokat tartalmazó dokumentumok sérülése, megsemmisülése, amelynek következtében a személyes adatokhoz – akár átmenetileg – nem lehet hozzáférni vagy felhasználni.

(6) A munkacsoport – amennyiben az incidens megállapítható – a döntés előkészítésére szolgáló anyagot megküldi az adatbirtokos számára. Ha az adatbirtokos nem állapítható meg, akkor az üzemeltetést végző szervezet az incidenskezelési eljárásnak megfelelően jár el.

(7) Ha nem állapítható meg adatvédelmi incidens, de egyéb incidens bekövetkezése igen, akkor a feladat- és hatáskört figyelembe véve kerül sor a további eljárás folytatására.

(8) Az adatbirtokos vizsgálja a feladat- és hatáskörébe tartozó, nem informatikai rendszert érintő adatvédelmi incidens gyanújával érintett tájékoztatásokat.

18. § (1) Ha az adatvédelmi incidens a rendelkezésre álló adatok alapján egyértelműen megállapítható, az adatbirtokos az 1. függelék szerint bejelentett adatokat megküldi az adatvédelmi tisztviselőnek, aki 72 órán belül intézkedik – munkacsoport bevonásával – az erre rendszeresített elektronikus felületen a hatósági nyilvántartásba való bejelentésről.

(2) Ha a rendelkezésre álló adatok alapján az adatbirtokos egyértelműen nem tudja megállapítani az adatvédelmi incidens bekövetkezését, de feltételezhető, hogy az esemény magas kockázattal járt, az adatvédelmi tisztviselő véleményének kikérése mellett haladéktalanul összehívja a munkacsoportot.

(3) A vizsgálat az adatvédelmi tisztviselő véleményének, szakértői tanácsának kikérésével és annak figyelembevételével történik.

(4) A munkacsoport a tájékoztatást megvizsgálja, a tájékoztatótól, valamint az adatfeldolgozótól szükség esetén további adatszolgáltatást kér, amelyet az érintettek kötelesek haladéktalanul teljesíteni.

(5) A munkacsoport gondoskodik az elsődleges intézkedések megtételéről. Ha a vizsgálat során a munkacsoport megállapítja az érintettek jogaival és szabadságaival kapcsolatban a magas kockázat fennállását, akkor az 1. függelék szerinti adatokat az adatvédelmi tisztviselő a munkacsoport közreműködésével a Hatóság részére 72 órán belül megküldi az erre rendszeresített elektronikus felület igénybevételével.

(6) Az adatvédelmi incidens bekövetkezése esetén a munkacsoport döntése alapján a Minisztérium tájékoztatja a 2. függelékben meghatározott adatokról az incidenssel érintetteket.

(7) Az adatvédelmi tisztviselő a munkacsoport vagy az adatbirtokos által megküldött 2. függelék szerinti adatvédelmi incidenst bevezeti a Minisztérium adatvédelmi incidens nyilvántartásába.

12. Az adatfeldolgozás

19. § (1) A Minisztérium adatfeldolgozót vehet igénybe. Az adatfeldolgozó az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi, és e minőségében gyakorolja az adatkezelő Minisztérium által átruházott jogosultságokat, teljesíti kötelezettségeit.

(2) Az adatfeldolgozásra vonatkozó megállapodást írásba kell foglalni. A megállapodásra a GDPR előírásai alkalmazandóak.

(3) Adatfeldolgozó igénybevétele esetén az adatkezelés céljának meghatározására, az adatkezelésre vonatkozó érdemi döntések meghozatalára az adatkezelő jogosult.

(4) Az adatfeldolgozó tevékenységi körén belül, illetve az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá minden olyan jogsértésért, amit az adatkezelő utasításának vagy az adatfeldolgozással összefüggésben kötött megbízási szerződésben foglaltak megszegésével okozott.

13. Adatbiztonsági előírások

20. § (1) Az adatkezelő szerv, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról.

(2) Az elektronikusan kezelt adatállományok tekintetében biztosítani kell, hogy a különböző nyilvántartásokban tárolt adatok – törvény eltérő rendelkezése hiányában – közvetlenül ne legyenek összekapcsolhatóak.

21. § Az informatikai adatbiztonsági előírások részletes meghatározását külön szabályzat tartalmazza.

III. Fejezet

A KÖZÉRDEKŰ ADATOK MEGISMERÉSÉNEK RENDJÉRŐL

14. A közérdekű adat megismerése iránti igény benyújtása

22. § (1) A közérdekű adat megismerésére irányuló – az Infotv. 28. § (1) bekezdése szerinti – igényt a Minisztérium honlapján közzétett, erre a célra rendszeresített, 1. függelék szerinti igénybejelentő lap alkalmazása mellett, a honlapon megjelölt postacímen, illetve elektronikus postafiókcímen (adatvedelmi.tisztviselo@kim.gov.hu) fogadja.

(2) A személyesen megjelenő igénylő esetén a szóban előterjesztett igényt az Adatvédelmi Osztály vagy az adatvédelmi tisztviselő az igénybejelentő lap kitöltésével vagy azzal megegyező adattartalmú igénylés írásba foglalásával véglegesíti.

(3) Az (1)–(2) bekezdésen kívüli, a Minisztérium egyéb elérhetőségeire – bármilyen módon – benyújtott közérdekű adat megismerése iránti igényeket a címzett szervezeti egység haladéktalanul, de legfeljebb 3 munkanapon belül továbbítja az Adatvédelmi Osztályra.

(4) A (3) bekezdés szerinti megkereséseket nem lehet elutasítani arra való hivatkozással, hogy azok nem az (1) bekezdésben meghatározott elérhetőségekre érkeztek.

(5) Amennyiben az igényt nem magyar nyelven nyújtották be, az Adatvédelmi Osztály az adatigénylés lefordítása iránt haladéktalanul intézkedik.

(6) A fordítást elsősorban az ahhoz szükséges nyelvismerettel rendelkező, a Minisztérium alkalmazásában álló kormánytisztviselő végzi. Amennyiben ilyen kormánytisztviselő nem áll a Minisztérium alkalmazásában, a fordításra hiteles fordítói jogosultsággal rendelkező vállalkozást kell felkérni.

15. A közérdekű adat megismerése iránti igény vizsgálata

23. § (1) A beérkezett adatigénylést az Adatvédelmi Osztály vezetője vagy az általa az ügy intézésére kijelölt munkatárs (a továbbiakban: ügyintéző) megvizsgálja, és ellenőrzi, hogy

a) a megfelelő módon benyújtott igény a teljesíthetőséghez szükséges adatokat tartalmazza-e,

b) az igényelt adatok a Minisztérium kezelésében vannak-e,

c) szükségessé teszi-e az adatigénylés teljesítése új adat előállítását.

(2) Az Infotv. 33. §-a szerinti, elektronikusan kötelezően közzéteendő adatokra irányuló igény esetében az ügyintéző az igénylőt tájékoztatja a közzétett adat pontos fellelhetőségéről és arról, hogy az igényt ezáltal teljesítettnek kell tekinteni.

(3) Ha az adatigénylés teljesítése során az állapítható meg, hogy az igényelt adatokat vagy azok egy részét nem a Minisztérium kezeli, az igénylőt erről írásban – a 26. § (1) bekezdése szerinti határidőben – tájékoztatni kell.

(4) Ha megállapítható, hogy az adatigénylés az azonos igénylő által egy éven belül benyújtott, azonos adatkörre irányuló adatigényléssel megegyezik, és az adatkörbe tartozó adatokban időközben változás nem történt, az adatigénylésnek nem kell eleget tenni. Az Infotv. 29. § (1a) bekezdésében meghatározott esetben tájékoztatni kell az adatigénylőt.

(5) Ha az adatigénylő nem adja meg nevét, nem természetes személy igénylő esetén megnevezését, valamint azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos bármely tájékoztatás és értesítés megadható, az adatigénylésnek az Infotv. 29. § (1b) bekezdésében foglaltak alapján nem kell eleget tenni.

16. Az igényelt adatok összeállítása, minősítése

24. § (1) A formai és tartalmi szempontból megfelelő igény benyújtása után az ügyintéző haladéktalanul megállapítja, hogy az igényben foglalt adatok pontosan mely szervezeti egységnél találhatóak, ezt követően az igényt a szervezeti egységhez továbbítja.

(2) A szervezeti egység az igényelt adatokat összegyűjti, és az igénylést, valamint az igényelt adatokat tartalmazó dokumentumokat 3 munkanapon belül megküldi az ügyintézőnek.

(3) Amennyiben még az adatok összegyűjtését, összeállítását megelőzően alappal feltételezhető, hogy az igényelt adatok teljes köre az Infotv. 27. §-a szerinti, illetve a (4) bekezdésben foglalt valamely ok miatt nem ismerhető meg, a szervezeti egység erről – az elutasítás indokát megjelölve – tájékoztatja az ügyintézőt, aki lefolytatja az (5) bekezdés szerinti eljárást.

(4) Az igényben foglalt adatokat tartalmazó dokumentumok teljes körű, hiánytalan összeállítása a szervezeti egység felelőssége. A szervezeti egység az adatok összegyűjtése során jelzi az ügyintézőnek, amennyiben megítélése szerint az igényelt adatok vagy azok egy része az (5) bekezdés a)–b) pontja szerinti valamely szempontnak nem felelnek meg, illetve az (5) bekezdés c)–d) pontja szerinti minősítés áll fenn.

(5) Az ügyintéző a (2) bekezdés szerinti adatok tekintetében állást foglal

a) a Minisztérium adatkezelői minőségéről,

b) az adatok Infotv. szerinti közérdekű, közérdekből nyilvános vagy döntés-előkészítő jellegéről,

c) arról, hogy az adatok a minősített adat védelméről szóló 2009. évi CLV. törvény 3. § 1. pontja szerint minősített adatnak vagy az Infotv. 27. § (2) és (4) bekezdése szerint korlátozott nyilvánosságú adatnak minősülnek-e, valamint

d) arról, hogy az adatok az igénylő által – a c) pontban foglaltakon túlmenő – meg nem ismerhető adatot – személyes adatot, üzleti titkot, a 25. § szerinti döntés megalapozását szolgáló adatot – tartalmaznak-e.

(6) Az ügyintéző állást foglal arról, hogy a (2) bekezdés szerinti, a szervezeti egység adatkezelője által megküldött adatok – a (3)–(5) bekezdésben foglalt szempontok alapján – az igénylő által megismerhetők-e. Az ügyintéző állásfoglalásának kialakítását követően a (2) bekezdés szerinti adatok megismerését a közigazgatási államtitkár

a) az igénylő számára a 17. alcímben foglaltak szerint lehetővé teszi, vagy

b) elutasítja, és a 18. alcímben foglaltak szerint erről az igénylőt tájékoztatni kell.

17. A döntés megalapozását szolgáló adatok megismerésére irányuló igényekkel kapcsolatos különös szabályok

25. § (1) A döntés megalapozását szolgáló adat megismerésére irányuló igény esetén a (2)–(7) bekezdésben foglaltak szerint kell eljárni.

(2) A döntés megalapozását szolgáló adat – ha egyes ilyen adatok tekintetében jogszabály rövidebb időtartamot nem állapít meg – a keletkezésétől számított tíz évig nem nyilvános.

(3) A szervezeti egység a 24. § (6) bekezdése szerinti eljárás során – amennyiben megítélése szerint az igényelt adatok ilyennek minősülnek – nyilatkozik arról, hogy

a) az igényben szereplő adat döntés megalapozását szolgáló adat;

b) megítélése szerint a döntés megalapozását szolgáló adat megismerése – a (4)–(5) bekezdés szerinti eljárás keretében – engedélyezhető-e.

(4) A döntés megalapozását szolgáló adat megismerését – az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével – a közigazgatási államtitkár engedélyezheti.

(5) A szervezeti egységgel történő konzultációt követően a döntés megalapozását szolgáló adat megismerésére irányuló igényt a jogi és koordinációs ügyekért felelős helyettes államtitkár terjeszti a közigazgatási államtitkár elé.

(6) A döntés megalapozását szolgáló adat megismerésére irányuló igény – a (2) bekezdésben meghatározott időtartamon belül – a döntés meghozatalát követően akkor utasítható el, ha az adat további jövőbeli döntés megalapozását is szolgálja, vagy az adat megismerése a Minisztérium törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné.

(7) Az (5)–(6) bekezdés szerinti eljárást a 26. § (1) bekezdésében foglalt határidőn belül kell lefolytatni.

18. Az igény teljesítésére vonatkozó határidők, az adatok átadása és a költségtérítés megállapítása

26. § (1) A közérdekű adat megismerésére irányuló igénynek a Minisztérium az igény beérkezését követő legrövidebb idő alatt, legfeljebb az Infotv.-ben meghatározott határidőn belül eleget tesz.

(2) Az ügyintéző az (1) bekezdés szerinti közérdekű adat megismerésére irányuló igények teljesítését megelőzően megküldi a Parlamenti Államtitkári Titkárság, az adatvédelmi tisztviselő, valamint a Minisztérium Szervezeti és Működési Szabályzata szerint a közérdekű adatok kormányzati portálon való közzétételének koordinálásáért felelős szervezeti egység részére észrevételezés céljából.

(3) Ha az igény jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, az (1) bekezdésben meghatározott határidő egy alkalommal, 15 nappal meghosszabbítható. A teljesítési határidő Infotv. 29. § (2) bekezdése szerinti meghosszabbításáról az ügyintéző kezdeményezésére a közigazgatási államtitkár dönt. A határidő meghosszabbításáról az igénylőt az igény beérkezését követő 15 napon belül kell tájékoztatni.

27. § (1) Az igénynek közérthető formában és – amennyiben ez aránytalan nehézség nélkül megoldható – az igénylő által kívánt eszközzel, illetve módon kell eleget tenni.

(2) Ha az igénylő az adatokat betekintés útján kívánja megismerni, vagy a másolatokat személyesen kívánja átvenni, az ügyintéző – a jogi és koordinációs ügyekért felelős helyettes államtitkár jóváhagyását követően – felveszi a kapcsolatot az igénylővel időpont egyeztetése céljából. Az igénylő – az ügyirat részét képező – a 3. függelékben meghatározott nyilatkozatban aláírásával elismeri, hogy az iratokba a helyszínen betekintett, illetve hogy az igényelt másolatot megkapta. A nyilatkozat elmaradása esetén a dokumentumok tanulmányozását az igénylő nem kezdheti meg.

(3) Az adatok tanulmányozására – az erre a célra kijelölt helyiségben – megfelelő időt kell biztosítani. A bemutatott dokumentum tanulmányozása során az igénylő kérdéseire válaszolni, és az adatok biztonságára, illetve változtatásmentességére felügyelni kell.

(4) Az igénylő jogosult a bemutatásra került dokumentumokról jegyzeteket készíteni.

(5) Az igényelt adatokat tartalmazó dokumentumról vagy dokumentumrészről annak tárolási módjától függetlenül az igénylő másolatot kaphat. A másolat készítéséért – az azzal kapcsolatban felmerült költség mértékéig terjedően, az Infotv. 29. § (3) bekezdésének megfelelően – költségtérítés állapítható meg. A költségtérítés mértékét a 29. §-ban foglalt szabályok szerint kell megállapítani.

(6) Az adatigénylésért felelős az időpont-egyeztetés során felhívja az igénylő figyelmét, hogy ha az igénylő az előre egyeztetett helyen és időben nem jelenik meg, és öt napon belül igazolást sem nyújt be, vagy az igény egyéb módon történő teljesítését sem kéri, az igényt visszavontnak kell tekinteni.

28. § Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, az Infotv. 30. § (1) bekezdésében foglaltak szerint szükséges eljárni.

29. § (1) A költségtérítés mértékének meghatározására, a költségtérítéssel kapcsolatos eljárásrendre az Infotv. 29. §-a az irányadó.

(2) Amennyiben az adatigénylő fenntartja az adatigénylését, és vállalja a költségtérítés megfizetését, az ügyintéző – a jogi és koordinációs ügyekért felelős helyettes államtitkár jóváhagyását követően – tájékoztatja a költségtérítés megfizetésének határidejéről, ami 15 napnál rövidebb határidő nem lehet, ezzel egyidejűleg értesíti a Gazdálkodási Főosztályt a költségtérítés megfizetésének nyomon követése érdekében.

(3) A Gazdálkodási Főosztály haladéktalanul tájékoztatja az ügyintézőt, ha a befizetés megtörtént. Amennyiben a költségtérítést az adatigénylő nem fizette meg, annak behajtásáról intézkedni szükséges.

(4) Az adatigénylést – függetlenül a költségtérítés beérkezésétől – az Infotv. szerinti határidőben teljesíteni szükséges.

(5) A költségtérítés mértékének megállapítása során figyelembe vehető költségelemeket és azok legmagasabb mértékét, valamint a másolatként igényelt dokumentum jelentős terjedelmének megállapítása során alkalmazandó szempontokat a Költségtérítési rendelet határozza meg.

19. Az igény teljesítésének megtagadása

30. § (1) A Minisztérium az igény teljesítésének megtagadásáról, részbeni megtagadásáról – amelyről az adatvédelmi tisztviselő javaslata alapján a Közigazgatási Államtitkár dönt – annak indokaival, valamint az Infotv. 31. §-a alapján az igénylőt megillető jogorvoslati lehetőségekről való tájékoztatással együtt, az igény beérkezését követő 15 napon belül értesíti az igénylőt.

(2) A jogorvoslati lehetőségekről szóló tájékoztatásnak az alábbiakat kell tartalmaznia:

a) a Hatóságnál az igénylő bejelentéssel vizsgálatot kezdeményezhet arra hivatkozással, hogy a közérdekű adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem érte, vagy ennek közvetlen veszélye fennáll;

b) az igénylő a közérdekű adat megismerésére vonatkozó igény elutasítása esetén bírósághoz fordulhat; a pert az igény elutasításának közlésétől számított 30 napon belül kell megindítani az igényt elutasító Minisztérium ellen;

c) ha az igény elutasítása miatt az igénylő a Hatóság vizsgálatának kezdeményezése érdekében bejelentést tesz, a pert a bejelentés érdemi vizsgálatának elutasításáról, a vizsgálat megszüntetéséről, az Infotv. 55. § (1) bekezdés b) pontja szerinti lezárásáról szóló vagy az Infotv. 58. § (3) bekezdése szerinti értesítés kézhezvételét követő 30 napon belül lehet megindítani;

d) a perindításra rendelkezésre álló határidő elmulasztása esetén igazolásnak van helye.

(3) Az közérdekű adat megismerése iránti igény teljesítése az Infotv. 30. § (4) bekezdésében foglaltak szerint történik.

20. Az igény teljesítésével vagy arra adott tájékoztatással összefüggő engedélyezési és kiadmányozási szabályok

31. § (1) Az igény teljesítését vagy a megtagadásról, a pontosításra felhívásról, és a betekintés útján történő megismeréséről, továbbá a teljesítési határidő meghosszabbításáról, valamint a költségtérítés megállapításáról szóló tájékoztatást (a továbbiakban: adatigénylésre adott válasz) a közigazgatási államtitkár jóváhagyását követően a jogi és koordinációs ügyekért felelős helyettes államtitkár kiadmányozza.

(2) Az igénylő jelen szabályzatban meghatározottak szerinti értesítése kizárólag írásban történhet, kivéve, ha az igénylő megfelelő elérhetőséget erre nem biztosított. Az írásbeli értesítés elektronikus levélben is történhet, amennyiben az igénylő ilyen elérhetőséget megadott.

(3) Amennyiben az adatigénylő az adatigénylésre adott választ elektronikus úton kérte, akkor a 26. § (2) bekezdésében foglalt szervezeti egységek, illetve a közigazgatási államtitkár jóváhagyását követően a jogi és koordinációs ügyekért felelős helyettes államtitkár irányítása alatt működő Koordinációs Főosztály Adatvédelmi Osztálya – az ügyintéző útján – az erre létrehozott központi elektronikus postafiókcímről kiadmányozza.

21. Az eljárás lezárását követő intézkedések

32. § Az ügy lezárását, azaz az igény teljesítését, az igény jogerős elutasítását, illetve az esetlegesen felmerülő költségek megfizetését követően az igénylő személyes adatainak az ügyiratból felismerhetetlenné tételéről – anonimizálás útján – haladéktalanul intézkedni kell.

22. Nyilvántartás, adatszolgáltatás és tájékoztatás

33. § (1) Az Adatvédelmi Osztály az igényekről, az igények elintézésének módjáról, elutasító döntés esetében annak indokáról nyilvántartást vezet.

(2) Az Adatvédelmi Osztály vezetője a nyilvántartásból teljesíti az Infotv. 30. § (3) bekezdésében meghatározott, valamint a honlapon történő negyedéves adatszolgáltatást az ott meghatározott módon és határidőben.

(3) Az igények intézésének rendjére vonatkozó, az Infotv. 34. § (3) bekezdése szerinti tájékoztatót az igények benyújtására biztosított minisztériumi elérhetőségekkel együtt, valamint az igénylőlapot a Minisztérium a „Közérdekű adatok” hivatkozás alatt elérhető oldalon, a honlapon közzéteszi.

IV. Fejezet

ZÁRÓ RENDELKEZÉSEK

34. § A szervezeti egységek vezetői a jelen szabályzat hatálybalépését követő 15 napon belül kijelölik a szervezeti egység azon munkatársát, akinek feladatát képezi a benyújtott igények jelen szabályzatban meghatározottak szerinti intézése, és e személy nevét megküldik az Adatvédelmi Osztály vezetője részére. Az igények intézésére több személy kijelölése is lehetséges. A változásról az Adatvédelmi Osztály vezetőjét haladéktalanul tájékoztatni kell.

35. § A szervezeti egységek vezetői a feladatkörükben a szabályzat hatálybalépését megelőzően elkészített adatfeldolgozói szerződésekről az utasítás hatálybalépését követő 15 napon belül tájékoztatják a jogi és koordinációs ügyekért felelős helyettes államtitkárt.

1. függelék

Bejelentő lap az adatkezelő részére adatvédelmi incidens esetén

1. Az adatvédelmi incidenst bejelentő Tájékoztató adatai:

Név:
E-mail-cím:
Cím:
Telefonszám:
Kapcsolattartó megnevezése, elérhetősége (telefonszám, e-mail):

1.1. Az adatkezelőn kívüli felek részvétele az adatvédelmi incidenssel érintett szolgáltatásban:

1.2. Részt vesz-e az adatkezelőn kívül más az adatvédelmi incidenssel érintett szolgáltatásban:

1.3. Az adatkezelőn kívüli fél megnevezése és minősége:

2. Az adatvédelmi incidenssel kapcsolatos időpontok:

Kezdő időpont:
Záró időpont:
Az adatvédelmi incidens továbbra is fennáll:
Az incidensről való tudomásszerzés időpontja:
Az incidens észlelésének módja:
Az adatfeldolgozó általi értesítés időpontja:
A késedelmes tájékoztatás indokai:
Egyéb megjegyzések az incidens időpontját illetően:

3. Az adatvédelmi incidens adatai (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

3.1. Sérülés jellege:

– bizalmas jelleg:
– integritás:
– rendelkezésre állás:

3.2. Az adatvédelmi incidens jellege (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– eszköz elvesztése vagy ellopása:
– informatikai rendszer feltörése (hackelés):
– papíralapú dokumentum nem megfelelő módon történő megsemmisítése:
– papíralapú dokumentum elvesztése, ellopása vagy olyan helyen hagyása, amely nem minősül biztonságosnak:
– rosszindulatú számítógépes programok (pl. zsarolóprogram):
– elektronikus hulladék (a személyes adatok rajta maradnak az elavult eszközön):
– személyes adatok téves címzett részére történő küldése:
– levél elvesztése vagy jogosulatlan felnyitása:
– adathalászat:
– személyes adatok nagy nyilvánosság előtti jogellenes közzététele:
– személyes adatok jogosulatlan szóbeli közlése:
– egyéb:

4. Az adatvédelmi incidens okai (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– szervezeten belüli, rosszhiszeműnek nem minősülő cselekmény (belső szabályzat megsértése által):
– szervezeten belüli, rosszhiszemű cselekmény:
– külső, rosszhiszeműnek nem minősülő cselekmény:
– külső, rosszhiszemű cselekmény:
– egyéb:

5. Az adatvédelmi incidenssel érintett személyes adatok köre:

5.1. Személyes adatok (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– személyazonossághoz kapcsolódó adatok:
– elérhetőségi adatok:
– azonosító adatok:
– személyi szám:
– hivatalos okmányok:
– helymeghatározó adatok:
– gazdasági, pénzügyi adatok:
– büntetett előélettel, bűncselekményekkel vagy büntetéssel, intézkedéssel kapcsolatos adatok:
– különleges adatok:

5.2. Különleges adatok (legalább egy kiválasztása kötelező):

– faji eredetre, nemzetiséghez tartozásra vonatkozó adatok:
– politikai véleményre vonatkozó adatok:
– vallásos vagy más világnézeti meggyőződésre vonatkozó adatok:
– érdekképviseleti szervezeti tagságra vonatkozó adatok:
– szexuális életre vonatkozó adatok:
– egészségügyi adatok:
– genetikai adatok:
– biometrikus adatok:
– még nem ismert:
– egyéb:

5.3. Az adatvédelmi incidenssel érintett személyes adatok becsült száma:

6. Az érintettek jellege (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– alkalmazottak:
– felhasználók:
– diákok:
– katonai állomány tagjai:
– ügyfelek (jelenlegi és potenciális):
– páciensek:
– kiskorúak:
– kiszolgáltatott személyek:
– hatósági eljárás vagy intézkedés alá vont vagy azok által érintett személyek:
– még nem ismert:
– egyéb:

6.1. Az incidenssel érintett adatalanyok részletes leírása (pl. adatbázisokban szereplő munkavállalók leírása):

6.2. Az adatvédelmi incidenssel érintettek becsült száma:

7. Az incidens előtt alkalmazott intézkedések leírása (pl. tűzfal, vírusellenőrzés, adatszivárgás elleni védelmi rendszer):

8. Következmények:

8.1. Bizalmas jelleg sérülése (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– szélesebb körű hozzáférés, mint ami szükséges, vagy amihez az érintett hozzájárult:
– az adat összekapcsolhatóvá vált az érintett egyéb adatával:
– az adatot más célokból történő, tisztességtelen módon történő kezelése lehetséges:
– egyéb:

8.2. Integritás sérülése (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– az adat módosíthatóvá vált annak ellenére, hogy archivált vagy elavult volt:

az adatot valószínűsíthetően módosították egyébként pontos adatokra, és azokat eltérő célokra használhatták:
– egyéb:

8.3. Rendelkezésre állás sérülése (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– az érintettek számára történő kritikus szolgáltatásnyújtás képességének módosulása:
– egyéb:

8.4. Az érintetteket ért fizikai, anyagi vagy nem vagyoni károk vagy egyéb jelentős következmények:

8.5. Az incidens valószínűsíthető hatásai az érintettekre (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– személyes adatok feletti rendelkezés elvesztése:
– érintett jogainak korlátozása:
– hátrányos megkülönböztetés:
– személyazonosság-lopás:
– személyazonossággal való visszaélés:
– pénzügyi veszteség:
– álnevesítés engedély nélküli feloldása:
– jó hírnév sérelme:
– szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése:
– egyéb:

8.6. A valószínűsíthető következmények súlyossága (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

– elhanyagolható:
– korlátozott:
– jelentős:
– maximális:

9. Az incidens orvoslására megtett intézkedések:

9.1. Megtett intézkedések (az adatvédelmi tisztviselő vagy a bizottság tölti ki):

A megtett védelmi intézkedések leírása:

9.2. Az érintettek tájékoztatása (kérem, húzza alá a megfelelő választ, amennyiben szükséges, fejtse ki a részleteket):

A tájékoztatás tervezett időpontja:
– még nincsen eldöntve:
– a tájékoztatás hiányának indokai:
– tényleges ideje, tartalma:
– érintetteknek javasolt intézkedések:
– intézkedések leírása, amelyek alapján az érintettek tájékoztatására nem került sor:
– tájékoztatott érintettek száma:
– az érintett tájékoztatásának formája:
– az érintetteknek szóló tájékoztatás tartalma:
– nyilvánosan közzétett információk vagy hasonló intézkedés:

10. Egyéb:

11. Egyéb bejelentések:

Más hatóságoknak (EU-tagállami) vagy tagállamnak bejelentette-e az adatvédelmi incidenst?

2. függelék

Az érintett tájékoztatása az adatvédelmi incidensről

1. Az adatvédelmi incidens időpontja:

2. Jellege:

3. Az adatvédelmi tisztviselő/kapcsolattartó neve:

Elérhetősége:

4. Az adatvédelmi incidensből eredő valószínűsíthető következmény(ek):

5. Az adatvédelmi incidens kezelésével kapcsolatban tervezett, illetve megtett intézkedések (ideértve a hátrányos következmények enyhítését célzó intézkedéseket):

6. Az érintett számára javasolt intézkedések megtétele a bekövetkezett kár enyhítése érdekében:

1

A 3. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

  • Másolás a vágólapra
  • Nyomtatás
  • Hatályos
  • Már nem hatályos
  • Még nem hatályos
  • Módosulni fog
  • Időállapotok
  • Adott napon hatályos
  • Közlönyállapot
  • Indokolás
Jelmagyarázat Lap tetejére