13/2024. (VI. 14.) NGM utasítás
13/2024. (VI. 14.) NGM utasítás
a Nemzetgazdasági Minisztérium Adatvédelmi, Adatkezelési és Adatbiztonsági Szabályzatáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 24. cikk (2) bekezdése, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 25/A. § (3) bekezdése, 30. § (6) bekezdése és 35. § (3) bekezdése alapján, figyelemmel a Gazdaságfejlesztési Minisztérium Szervezeti és Működési Szabályzatáról szóló 1/2023. (I. 23.) GFM utasítás 1. melléklet 103. § (1) bekezdés 1–4. pontjára, a Nemzetgazdasági Minisztérium működésével összefüggésében keletkezett adatok kezelésének rendjére, az adatok védelmére és biztonságára vonatkozó szabályokra, valamint a közérdekű adatok megismerésére irányuló igények teljesítési rendjére vonatkozóan a következő utasítást adom ki:
1. § A Nemzetgazdasági Minisztérium (a továbbiakban: Minisztérium) Adatvédelmi, Adatkezelési és Adatbiztonsági Szabályzatát (a továbbiakban: Szabályzat) az 1. mellékletben foglaltak szerint határozom meg.
2. § Ez az utasítás a közzétételét követő napon lép hatályba.
3. §1
1. melléklet a 13/2024. (VI. 14.) NGM utasításhoz
ÁLTALÁNOS RÉSZ
I. FEJEZET
A SZABÁLYZAT HATÁLYA, CÉLJA, ÉRTELMEZŐ RENDELKEZÉSEK
1. A Szabályzat hatálya
1.1. A Szabályzatban foglaltak irányadóak az olyan adatkezelésekre is, amelyeket a Szabályzat nem nevesít. A Szabályzat személyi hatálya alá tartozók a Szabályzatban nem nevesített adatkezelések esetében is kötelesek a Szabályzat előírásait megfelelően alkalmazni.
1.2. A Szabályzat valamennyi, a Minisztériumban a kormányzati igazgatásról szóló 2018. évi CXXV. törvény (a továbbiakban: Kit.) alapján kormányzati szolgálati jogviszonyban, politikai szolgálati jogviszonyban, biztosi jogviszonyban, a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) alapján munkaviszonyban, megbízási jogviszonyban, valamint egyéb jogviszonyban (kirendelt, átvezényelt) foglalkoztatott személyre irányadó. Az utasítás tárgyi hatálya – a Közszolgálati Személyügyi Nyilvántartással összefüggő és a minősített adatok kivételével – kiterjed a Minisztérium kezelésében lévő valamennyi adatra.
2. A Szabályzat célja
2.1. A Szabályzat célja, hogy a Minisztérium tevékenysége során
a) biztosítsa a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését,
b) meghatározza a Minisztérium által kezelt közérdekű adatok és a közérdekből nyilvános adatok kezelésére és közzétételére vonatkozó szabályokat, továbbá
c) biztosítsa a Minisztérium által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében a személyes adatok és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.
2.2. A Szabályzat alkalmazása során az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) hatályos rendelkezései az irányadóak.
3. Értelmező rendelkezések, fogalmak
3.1. A Szabályzat alkalmazása során az Infotv.-ben, a GDPR-ban meghatározott, továbbá az alábbi értelmező rendelkezések irányadóak:
a) adatvédelmi tisztviselő: a Minisztériummal kormányzati szolgálati jogviszonyban, munkaviszonyban álló személy, illetve a Minisztérium által megbízott ügyvéd vagy ügyvédi iroda, aki megfelel az Infotv. 25/L. §-ában foglalt követelményeknek, továbbá az adatvédelmi jog és gyakorlat szakértői szintű ismeretével rendelkezik, és ellátja az Infotv.-ben, illetve a GDPR-ban meghatározott feladatokat;
b) díjak, elismerések: a Magyarország címerének és zászlajának használatáról, valamint állami kitüntetéseiről szóló 2011. évi CCII. törvény 21. § a) pontja és 22. § (1) bekezdés b) pontja szerinti díj, elismerés;
c) érintett: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható, vagy az adatkezelés során azonosított;
d) foglalkoztatott: a Minisztériummal a Kit. alapján kormányzati szolgálati jogviszonyban, politikai szolgálati jogviszonyban, biztosi jogviszonyban, a Minisztériumhoz vezényelt hivatásos vagy katonai szolgálati viszonyban, illetve az Mt. alapján munkaviszonyban, megbízási jogviszonyban foglalkoztatott személy;
e) harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, a Minisztériummal vagy a Minisztériummal szerződéses viszonyban álló más adatkezelővel és adatfeldolgozóval vagy azokkal a személyekkel, akik a Minisztérium vagy más adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
f) irányadó jog: a GDPR, illetve a rendelkezéseinek értelmezésével összefüggésben kiadott 29. cikk szerinti Adatvédelmi Munkacsoport véleményei, iránymutatásai és az Európai Adatvédelmi Testület dokumentumai, valamint a GDPR által biztosított felhatalmazás alapján vagy erre tekintettel megalkotott magyar jogszabályok (így különösen az Infotv.), más adatvédelmi tárgyú jogszabályok, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) által kiadott dokumentumok;
g) kormányzati vezető: a Kit. 3. § (3) bekezdése, valamint 3. § (7) bekezdés a) és b) pontja szerinti személy;
h) közérdekű adat felelős: a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet (a továbbiakban: Statútum rendelet) 103–111/J. §-ában meghatározott feladat- és hatásköreit érintő, az Infotv. 3. § 5. és 6. pontjában meghatározott közérdekű, valamint közérdekből nyilvános adatok (a továbbiakban együtt: közérdekű adat) megismerésére irányuló egyedi igények tekintetében a Jogi és Koordinációs Főosztály foglalkoztatottja jár el.
II. FEJEZET
AZ ADATKEZELÉS JOGSZERŰSÉGÉNEK ALAPVETŐ KÖVETELMÉNYEI
4. Az adatkezelés módja
4.1. A Minisztérium tekintetében úgy kell meghatározni az adatkezelés körülményeit és módját, hogy az adatkezelés megfeleljen a GDPR-ban foglalt alapelveknek, illetve a Szabályzatban meghatározott követelményeknek.
4.2. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni.
4.3. A Minisztérium tekintetében az adatkezelést úgy kell megtervezni és végezni, hogy az Infotv. 7. § (1) bekezdésének megfelelően a személyes adatok kezelése jogszerű és tisztességes, valamint az érintett számára átlátható legyen.
4.4. Az adatkezelés meghatározása során biztosítani kell, hogy a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen. Az adatkezelés céljának kifejezettnek, pontosan megfogalmazottnak és jogszerűnek, továbbá már az adatkezelés megkezdésének időpontjában meghatározottnak kell lennie. A személyes adatok nem kezelhetőek az eredeti adatkezelési célokkal össze nem egyeztethető módon.
4.5. A Minisztérium az adatkezelést úgy tervezi meg és úgy végzi, hogy a személyes adatok kezelése az adatkezelés céljai szempontjából megfelelő és releváns legyen, az adatkezelés céljain ne terjeszkedjen túl, és az adatok kezelése csak a szükséges mértékre korlátozódjon. A Minisztériumban biztosítani kell azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelés céljához vagy a jogszabályi kötelezettségekhez igazodó törlési határidőt kell megállapítani.
4.6. A Minisztériumban az adatkezelést úgy kell megtervezni és végezni, hogy a személyes adatok tárolása olyan formában történjen, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
4.7. A Minisztériumban az adatkezelés megtervezése során figyelemmel kell lenni arra, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
4.8. A Minisztérium felelős azért, hogy az adatkezelés igazolhatóan megfeleljen a GDPR 5. cikk (1) bekezdésének. Ezen kötelezettség teljesítésében valamennyi foglalkoztatottat, a Minisztériummal szerződéses viszonyban álló adatkezelőt és adatfeldolgozót közreműködési kötelezettség terhel.
4.9. A Minisztériumnak a személyes adatok kezeléséhez megfelelő jogalappal kell rendelkeznie. A Minisztérium csak akkor kezelhet személyes adatot, ha az adatkezeléshez a GDPR 6. cikke vagy 9. cikke szerinti jogalappal rendelkezik, és a jogalap alkalmazásával összefüggésben teljesülnek az irányadó jogban előírt követelmények.
5. A hozzájárulás jogalapjának alkalmazási követelményei
5.1. A Minisztérium adatkezelései során a hozzájárulás jogalapját kizárólag akkor alkalmazhatja, ha a Szabályzat és az irányadó jog által a hozzájárulással összefüggésben előírt követelmények teljesülnek.
5.2. A Minisztériumban történő adatkezelés során a hozzájárulás jogalapjának alkalmazásával összefüggésben meg kell vizsgálni, hogy a hozzájárulás megadásával kapcsolatban érvényesülhet-e a beleegyezés önkéntessége. Az önkéntesség vizsgálata során figyelembe kell venni azt, hogy
a) az érintett valós vagy szabad választási lehetőséggel rendelkezzen, és lehetősége legyen a hozzájárulás anélküli megtagadására vagy visszavonására, hogy ez kárára válna,
b) a Minisztérium és az érintett között ne álljon fenn olyan egyenlőtlen viszony, amely miatt valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt.
5.3. Amennyiben a Minisztérium az 5.1. és 5.2. pont szerint elvégzett értékelése alapján arra a következtetésre jut, hogy a hozzájárulás jogalapja alkalmazható valamely adatkezelés esetében, akkor
a) képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult (így például az érintett által tett írásbeli hozzájárulás megőrzése a GDPR 11. cikkében foglaltakra is figyelemmel),
b) az adatkezelés megtervezése és végrehajtása során biztosítani kell azt, hogy az érintett adatkezelési célonként külön-külön tudjon hozzájárulni a különböző célú adatkezelésekhez.
5.4. Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a Minisztériumban biztosítani kell azt, hogy a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. A Minisztériumban az elektronikus vagy papíralapú formanyomtatványokon biztosítani kell, hogy a hozzájárulást kérő szövegrészek elkülönüljenek a formanyomtatvány többi részétől.
5.5. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni az érintett részére, mint annak megadását.
6. A szerződéses jogalap alkalmazásának követelményei
6.1. A Minisztérium a szerződéses jogalapot kizárólag akkor alkalmazhatja, ha a Szabályzat és az irányadó jog által a szerződéses jogalappal összefüggésben előírt követelmények teljesülnek.
6.2. A szerződéses jogalap akkor alkalmazható, ha a Minisztérium igazolni tudja, hogy
a) az érintettel kötött szerződés teljesítéséhez meghatározott személyes adatok kezelése (ideértve a foglalkoztatásra irányuló szerződést) feltétlenül szükséges,
b) az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
6.3. A Minisztériumban kiemelt figyelmet kell fordítani arra, hogy a szerződéses jogalap alkalmazása nem vezethet ahhoz, hogy erre hivatkozással mellőzi az érintett hozzájárulásának beszerzését egy olyan adatkezeléshez, amely egyébként nem szükséges a szerződés teljesítéséhez.
7. Jogi kötelezettség teljesítéséhez és a közfeladat-ellátáshoz szükséges adatkezelés jogalapjának követelményei
7.1. A Minisztérium a jogi kötelezettség teljesítéséhez és a közfeladat ellátásához szükséges adatkezelés jogalapját kizárólag akkor alkalmazhatja, ha a Szabályzat és az irányadó jog által előírt követelmények teljesülnek.
7.2. Jogi kötelezettség teljesítéséhez és a közfeladat ellátásához szükséges adatkezelés jogalapjának alkalmazásához a Minisztériumnak meg kell jelölnie azt az európai uniós vagy tagállami jogszabályt, amely a személyes adatok kezelését előírja, vagy amely a személyes adatok kezelését szükségessé teszi.
7.3. Amennyiben a jogszabály meghatározza az adatkezelés körülményeit, akkor a Minisztérium más célból nem kezelheti az adatokat, az adatkezelés időtartamától nem térhet el, és más személyes adatokra nem terjesztheti ki az adatkezelést, a GDPR 6. cikk (4) bekezdése szerinti esetkörök kivételével.
7.4. Amennyiben a jogi kötelezettséget vagy a közfeladatot meghatározó jogszabály nem rendezi az adatkezelés célját, időtartamát, a kezelt adatok körét, illetve az adatkezelés feltételeit, akkor azt az adatkezelőnek a 4. alcím szerinti alapelvek és az irányadó jog követelményeinek betartásával kell meghatároznia.
8. Vis maior jogalap alkalmazásának követelményei
8.1. A Minisztérium bármely foglalkoztatottja jogosult arra, hogy az érintett létfontosságú érdekeinek védelméhez szükséges személyes adatokat kezelje. Vis maiornak tekinthető többek között az, ha az érintett balesete, rosszulléte miatt az érintetthez mentőt kell hívni, és ennek során közölni kell az érintett személyes adatait.
8.2. Amennyiben a Minisztérium bármely foglalkoztatottja a vis maior jogalap alkalmazásával személyes adatokat továbbít, azonban az érintett vagy más személy vitatja az adattovábbítás jogszerűségét, a Jogi és Koordinációs Főosztály közreműködik az adatkezelés körülményeinek tisztázásában.
9. Érdekmérlegelés jogalapja alkalmazásának követelményei
9.1. A Minisztérium az érdekmérlegelés jogalapját kizárólag akkor alkalmazhatja, ha a Szabályzat és az irányadó jog által az érdekmérlegelés jogalapjával összefüggésben előírt követelmények teljesülnek, továbbá más jogalap nem alkalmazható.
9.2. A Minisztérium a közfeladatának ellátásához kapcsolódó adatkezelés esetében nem alkalmazhatja az érdekmérlegelés jogalapját.
9.3. A Minisztérium jogos érdekének vagy harmadik fél jogos érdekének ténylegesnek, egyértelműnek és jogszerűnek kell lennie. Törekedni kell arra, hogy elsősorban írásbeli dokumentummal (például szerződéssel, a NAIH állásfoglalásával, határozatával, más európai uniós tagállami adatvédelmi hatóság döntésével, iránymutatásával) történjen a jogos érdek igazolása.
9.4. A jogos érdek fennállásának megállapításához a Minisztériumnak meg kell vizsgálnia többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor.
9.5. A Minisztériumnak az érdekmérlegelés jogalapjának alkalmazásához figyelemmel kell lennie az érintettek jogos érdekeire és elvárásaira.
9.6. Ahhoz, hogy a Minisztériumban az érdekmérlegelés jogalapjának alkalmazásával végzett adatkezelés ne korlátozza aránytalanul az érintettek jogait és szabadságait, a Minisztériumnak megfelelő garanciális intézkedéseket kell hoznia.
10. Különleges adatok kezelése
10.1. A Minisztérium különleges adatot, illetve bűnügyi személyes adatot akkor kezelhet, ha
a) az érintett kifejezetten hozzájárult a különleges adatok kezeléséhez,
b) az adatot maga az érintett hozta kifejezetten nyilvánosságra,
c) az adatkezelés munkahelyi egészségügyi célokból vagy a munkavállaló munkavégzési képességének felmérése érdekében szükséges,
d) jogszabály kifejezetten előírja valamely különleges adat kezelését, vagy
e) a Minisztérium jogi igényének védelme vagy érvényesítése szükségessé teszi a különleges adatok kezelését.
10.2. Különleges adatok kezelése esetén a Minisztériumnak meg kell határoznia, hogy
a) a GDPR 6. cikk (1) bekezdésének mely jogalapja alkalmazandó az adatkezelésre,
b) a GDPR 9. cikk (2) bekezdésének mely esetköre alá tartozik a különleges adatok kezelése.
10.3. A Minisztérium az érintett kifejezett hozzájárulása alapján akkor kezelhet különleges adatot, ha az érintett valamely őt megillető jog gyakorlásának érdekében adja meg.
11. A Minisztérium tájékoztatási kötelezettsége
11.1. A Minisztériumnak valamennyi adatkezeléséről tájékoztatni kell az érintetteket. A tájékoztatási kötelezettséget elsősorban az érintettel való közléssel kell teljesíteni. Amennyiben az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó európai uniós vagy tagállami jog, illetve ha a közvetlen tájékoztatás lehetetlen, vagy aránytalan erőfeszítést igényel (különösen, ha az érintettek pontos köre nem ismert), a tájékoztatás adatkezelési tájékoztatók megalkotásával és nyilvánosságra hozatalával is teljesíthető.
11.2. Amennyiben a Minisztérium a személyes adatokat az érintettől veszi fel, akkor az adatkezelési tájékoztatónak az alábbi adatkezelési körülményekre kell kiterjednie:
a) a Minisztérium mint adatkezelő neve, székhelye, központi e-mail-címe,
b) az adatkezelés célja,
c) az adatkezelés jogalapja,
d) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, akkor ezen időtartam meghatározásának szempontjai,
e) érdekmérlegelés jogalapjának alkalmazása esetén a Minisztérium vagy harmadik fél jogos érdekei,
f) a személyes adatok címzettjei vagy a címzettek kategóriái,
g) az érintettet megillető jogok, illetve a NAIH-hoz fordulás lehetősége,
h) amennyiben az adatkezelés jogalapja hozzájárulás, akkor a tájékoztatónak tartalmazni kell a hozzájárulás bármely időpontban való visszavonásához való jogot, illetve az arra vonatkozó tájékoztatást, hogy ez nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,
i) amennyiben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés b), c), e) vagy f) pontja, akkor ki kell térni arra, hogy a személyes adatok megadása jogszabályon alapul-e, vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása.
11.3. Amennyiben a Minisztérium a személyes adatokat nem az érintettől kapja meg, akkor az adatkezelési tájékoztatóban meg kell jelölni, hogy milyen forrásból szerezte meg a személyes adatokat.
11.4. Az adatkezelési tájékoztatónak tömörnek kell lennie. Amennyiben az adatkezelési tájékoztató terjedelmes, hosszabb dokumentum, akkor abból készíteni kell egy rövidebb változatot is, melyben a következő adatokat kell feltüntetni:
a) a Minisztérium mint adatkezelő neve, elérhetőségei,
b) az adatkezelés célja, jogalapja,
c) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól való tájékoztatás,
d) érdekmérlegelés jogalapjának alkalmazása esetén a Minisztérium vagy harmadik fél jogos érdekei, valamint
e) utalni kell a teljes körű tájékoztatás nyilvános elérhetőségére.
11.5. Az adatkezelési tájékoztatónak átláthatónak kell lenni. A tájékoztatót bekezdésekre kell tagolni, és ahol szükséges, felsorolást kell alkalmazni a szöveg könnyebb áttekinthetősége, olvashatósága érdekében.
11.6. Az adatkezelési tájékoztatót könnyen hozzáférhető formában kell az érintettek rendelkezésére bocsátani.
11.7. Az adatkezelési tájékoztatót közérthetően kell megfogalmazni. Az adatkezelési tájékoztatóban kerülni kell a jogszabály szó szerinti megismétlését, és törekedni kell az egyszerű, világos megfogalmazásra. A tájékoztatónak rövidebb mondatokból kell állnia, kerülni kell a több tagmondatból álló összetett mondatok alkalmazását.
11.8. Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű határidőn, de legkésőbb egy hónapon belül, illetve az első kapcsolatfelvétel alkalmával kell rendelkezésre bocsátani.
11.9. A tájékoztatás mellőzhető, amennyiben az érintett igazolhatóan rendelkezik valamely információval, illetve ha a tájékoztatás az adatkezelés célját ellehetetlenítené vagy komolyan veszélyeztetné, vagy ha ezzel az adatkezelő a jogszabályon alapuló titoktartási kötelezettségét sértené.
12. A Minisztérium mint adatkezelő feladatai
12.1. A Minisztérium a jogszerű adatkezelés érdekében egyes különleges területek vonatkozásában vagy jogszabályi előírásokra tekintettel további, a jogszabályi előírásoknak és a Szabályzatnak megfelelő belső adatvédelmi szabályokat alkalmazhat, illetve más szabályzataiban adatvédelmi részletszabályokat rögzítő rendelkezéseket hozhat.
12.2. A Minisztérium kötelessége, hogy megfelelő és hatékony intézkedéseket hajtson végre. Ennek során az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket foganatosít.
12.3. A Minisztérium vagy megbízása alapján az adatfeldolgozó naprakész nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről. A Minisztérium és az adatfeldolgozó köteles a NAIH-hal együttműködni és a nyilvántartásaikat kérésre hozzáférhetővé tenni az egyes adatkezelési műveletek ellenőrzése érdekében.
12.4. Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, a rendszeres felülvizsgálati határidő 1 év.
III. FEJEZET
AZ ÉRINTETTEK JOGAI ÉS AZ ÉRINTETTEK KÉRELMEI MEGVÁLASZOLÁSÁNAK RENDJE
13. Hozzáféréshez való jog
13.1. Amennyiben az érintett a hozzáféréshez való jogát gyakorolja, vagy tájékoztatást kér a személyes adatait érintő adatkezelésekről, a Minisztérium tájékoztatást nyújt arról, hogy
a) pontosan mely személyes adatait kezeli az érintettnek;
b) milyen adatkezelések vannak az érintett vonatkozásában, az adatkezeléseknek mi a célja és a jogalapja;
c) mi az adatkezelés időtartama, vagy melyek ezen időtartam meghatározásának szempontjai;
d) a Minisztérium kinek továbbította a személyes adatokat;
e) amennyiben nem az érintett a személyes adatok forrása, akkor arról, hogy milyen forrásból jutott hozzá a személyes adatokhoz;
f) milyen jogok illetik meg az érintettet az adatkezeléssel összefüggésben;
g) melyek az adatkezeléssel kapcsolatos jogérvényesítési lehetőségek, különös tekintettel a NAIH-nak címzett panasz benyújtásának jogára, illetve arra, hogy az érintett jogainak megsértése esetén bírósághoz fordulhat.
13.2. Ha az érintett a hozzáféréshez való jog teljesítésében más eljárást ajánl fel, és azt a Minisztérium elfogadja, akkor a kérelem az érintett által megjelölt módon is teljesíthető. A Minisztérium az érintett kérelme teljesítésének más módját ajánlhatja fel az érintettnek, azzal, hogy a teljesítésnek nem feltétele, hogy a felajánlott teljesítési módot az érintett elfogadja. Ilyennek tekinthető különösen az érintett személyes adataiba történő betekintés lehetőségének biztosítása.
13.3. A tájékoztatás megadása harmadik személyek jogait, különösen harmadik személyek személyes adatai védelméhez való jogát nem sértheti.
14. Másolat kéréséhez való jog
14.1. Amennyiben az érintett kérése kifejezetten arra irányul, hogy másolatot kapjon a személyes adatairól vagy a személyes adatait tartalmazó dokumentumról, akkor a Minisztérium az érintett rendelkezésére bocsátja a személyes adatainak másolatát.
14.2. A másolat kéréséhez való jogot
a) papír alapon tárolt személyes adatok esetében a dokumentum fénymásolata vagy szkennelése útján,
b) informatikai rendszerben tárolt személyes adatok esetében elektronikus adathordozóra való kimentéssel vagy kinyomtatással
14.3. Ha az érintett a másolat kéréséhez való jog teljesítéséhez más módszert ajánl fel, és azt a Minisztérium elfogadja, akkor a kérelem így is teljesíthető. A Minisztérium az érintett kérelme teljesítésének más módját is felajánlhatja az érintettnek, azzal, hogy a teljesítésnek nem feltétele, hogy a felajánlott teljesítési módot az érintett elfogadja.
14.4. A másolat kiadása harmadik személyek jogait, különösen harmadik személyek személyes adatai védelméhez való jogát nem sértheti. Amennyiben az adatokat tartalmazó adathordozó harmadik személyek adatait is tartalmazza, a másolat csak ezen adatok kitakarása mellett teljesíthető.
15. Helyesbítéshez való jog
15.1. Az érintett kérheti, hogy a Minisztérium a rá vonatkozó pontatlan, helytelen vagy hiányos személyes adatokat helyesbítse, kiegészítse.
15.2. Az érintett kérelme akkor teljesíthető, ha abban megjelölte, hogy mely személyes adat módosítását vagy mely személyes adattal történő kiegészítését kéri, és egyúttal feltünteti, hogy mi a helyes személyes adata.
15.3. A Minisztérium a személyes adatok módosítását igazolvány vagy más dokumentum bemutatásához kötheti, azzal, hogy a módosítás során nem alkalmazható szigorúbb igazolási mód, mint az adatok gyűjtésekor. A 22. alcímben foglaltakat a módosítás kapcsán is alkalmazni kell.
16. Törléshez való jog
16.1. A Minisztériumnak a személyes adatokat haladéktalanul törölnie kell, ha
a) megszűnt az adatkezelés célja,
b) az érintett a hozzájárulását visszavonta, és az adatkezelésnek nincs más jogalapja,
c) az érintett tiltakozik az adatkezelése ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
d) a személyes adatok jogellenes kezelését az adatkezelő észleli, azt a NAIH vagy bíróság megállapította,
e) a személyes adatokat az alkalmazandó európai uniós vagy magyar jogban előírt jogi kötelezettség teljesítéséhez törölni kell.
16.2. Az érintett törlési kérelmét a Minisztérium akkor tagadhatja meg, ha bizonyítani tudja, hogy az adatkezelés szükséges, különösen
a) a személyes adatok kezelését előíró, a Minisztériumra alkalmazandó európai uniós vagy magyar jog szerinti kötelezettség teljesítése céljából,
b) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez vagy
c) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából.
17. Elfeledtetéshez való jog
17.1. Amennyiben a Minisztérium a személyes adatokat nyilvánosságra hozta, és a 16. pont értelmében a személyes adatokat törölni kell, akkor az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi a szükséges – ideértve technikai – intézkedéseket annak érdekében, hogy tájékoztassa az adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
17.2. Az elfeledtetéshez való joggyakorlás teljesítéséhez szükséges az, hogy az érintett megjelölje, a Minisztérium mely személyes adatát hozta nyilvánosságra. Amennyiben az érintett ezt a kérelmében nem tüntette fel, akkor a Minisztérium felveszi az érintettel a kapcsolatot annak érdekében, hogy jelölje meg, hogy mely személyes adata került nyilvánosságra.
17.3. Amennyiben a Minisztérium a saját honlapjain hozta nyilvánosságra a személyes adatokat, akkor azokat onnan el kell távolítani.
17.4. Amennyiben a Minisztérium által kezdeményezett eljárás nyomán más adatkezelő is nyilvánosságra hozta a személyes adatokat, akkor ezen adatkezelőt is értesíteni kell arról, hogy a személyes adatot törölnie kell.
17.5. A 16.2. pontban szereplő kivételeket az elfeledtetéshez való jog gyakorlása esetén szintén alkalmazni kell.
18. Korlátozáshoz való jog
18.1. Ha az érintett vitatja a személyes adatok pontosságát, akkor a Minisztérium arra az időtartamra korlátozza az adatkezelést, amíg ellenőrzi a személyes adatok pontosságát. Ebben az esetben a Minisztérium
a) az informatikai rendszerben tárolt, vitatott pontosságú adat esetében korlátozza az adathoz való hozzáférést,
b) a papír alapon tárolt adat esetében a többi irattól elkülönítetten, zárt borítékban tárolja a vitatott pontosságú adatot tartalmazó iratot.
18.2. Ha az érintett kérelme megalapozott, akkor a Minisztérium a személyes adatot helyesbíti.
18.3. Ha az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését, akkor kérheti a személyes adatok felhasználásának korlátozását. Ebben az esetben a Minisztérium
a) az informatikai rendszerben tárolt személyes adat esetében az adatot elektronikus adathordozóra kimenti, és törli az informatikai rendszerben tárolt adatot az informatikai rendszerből,
b) a papír alapon tárolt adat esetében a többi irattól elkülönítetten, zárt borítékban tárolja az érintett által megjelölt személyes adatot tartalmazó iratot.
18.4. Az érintett jogosult arra, hogy kérje az adatkezelés korlátozását, ha a Minisztériumnak már nincs szüksége a személyes adatokra, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez. Ebben az esetben a Minisztérium
a) az informatikai rendszerben tárolt személyes adat esetében az adatot elektronikus adathordozóra kimenti, és törli az informatikai rendszerben tárolt adatot az informatikai rendszerből,
b) a papír alapon tárolt adat esetében a többi irattól elkülönítetten, zárt borítékban tárolja az érintett által megjelölt személyes adatot tartalmazó iratot.
18.5. Az érintett jogosult arra, hogy kérje az adatkezelés korlátozását, amennyiben a 20. alcím szerinti tiltakozás jogát gyakorolja. Ebben az esetben a Minisztérium arra az időtartamra korlátozza az adatkezelést, amíg a tiltakozási kérelmének jogszerűségét megvizsgálja. A Minisztérium
a) az informatikai rendszerben tárolt személyes adat esetében korlátozza az adathoz való hozzáférést,
b) a papír alapon tárolt adat esetében a többi irattól elkülönítetten, zárt borítékban tárolja a vitatott pontosságú adatot tartalmazó iratot.
18.6. A jelen alcím szerint korlátozott adatok esetében az adat tároláson kívül más célra és módon akkor használható fel, ha a felhasználást fontos közérdek, az adatkezelő, az érintett vagy harmadik személyek jogainak védelme, jogi igények érvényesíthetősége szükségessé teszi, vagy ha ehhez az érintett hozzájárult.
19. Adathordozhatósághoz való jog
19.1. Ha az adatkezelés jogalapja az érintett hozzájárulása vagy a szerződéses jogalap [GDPR 6. cikk (1) bekezdés a) vagy b) pontja vagy 9. cikk (2) bekezdés a) pontja], és az adatkezelés automatizált módon történik, akkor az érintett jogosult arra, hogy
a) a rá vonatkozó, általa a Minisztérium rendelkezésére bocsátott személyes adatokat széles körben használt, géppel olvasható formátumban megkapja, vagy
b) ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt a Minisztérium akadályozná.
19.2. Amennyiben a Minisztérium és az érintett által megjelölt másik adatkezelő között technikailag megvalósítható, akkor az érintett jogosult arra, hogy kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.
19.3. A Minisztérium a 19.1. pont a) alpontja szerinti esetben a személyes adatokat elektronikus adathordozóra kimenti. Az elektronikus adathordozót az érintett is biztosíthatja.
20. A tiltakozás joga
20.1. Az érintett jogosult arra, hogy bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdés e) vagy f) pontja alkalmazásával történő kezelése ellen.
20.2. Tiltakozás esetén meg kell vizsgálni azt, hogy az érintett által megjelölt adatkezelés esetében az érintett által hivatkozott tények, érvek miatt a Minisztériumnak van-e lehetősége arra, hogy a személyes adatokat törölje, vagy az adatkezelést az érintett vonatkozásában megszüntesse.
20.3. A Minisztérium akkor kezelheti tovább a személyes adatokat, ha igazolja, hogy
a) az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival, szabadságaival szemben,
b) az adatkezelés jogszabályi kötelezettség teljesítéséhez kapcsolódik,
c) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik.
21. A feladatok megoszlása az érintett jogának gyakorlása során
21.1. A Minisztérium adatvédelmi tisztviselőjének feladata
a) az érintettek kérelmének megválaszolásához (teljesítéséhez vagy megtagadásához) szükséges információk és személyes adatok összegyűjtése,
b) az érintettnek küldendő válaszlevél-tervezet kialakítása,
c) a 11. alcímben meghatározott adatkezelési tájékoztató kialakításában történő közreműködés.
21.2. Az adatvédelmi tisztviselő kérésére más foglalkoztatottnak is közre kell működnie az információk és személyes adatok összegyűjtésében, illetve a tervezet kialakításában.
21.3. Amennyiben a Minisztérium más foglalkoztatottjához érkezik az érintett valamely jogának gyakorlására irányuló kérelem, akkor a kérelmet 3 munkanapon belül továbbítania kell az adatvédelmi tisztviselő számára.
22. Az érintett azonosítása
22.1. Ha a Minisztériumnak megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, az érintett személyazonosságának megerősítését kérheti. Ennek során a Minisztérium az alábbi lépéseket alkalmazhatja:
a) arra kéri az érintettet, hogy teljes bizonyító erejű magánokiratban nyújtsa be a kérelmét,
b) az érintett a Minisztérium székhelyén bemutatja valamely személyazonosításra alkalmas okmányát (személyazonosító igazolvány, vezetői engedély, útlevél),
c) amennyiben rendelkezésre áll az érintett telefonszáma, akkor telefonhívás útján a Minisztérium számára rendelkezésre álló személyes adatokra vonatkozóan az érintett számára kérdést tesz fel, és az egyező, valós adatokat tartalmazó válaszok esetén a személyazonosság megerősítését el lehet fogadni,
d) e-mailen benyújtott kérelem esetén pedig további adatok megadását kérheti.
22.2. Ha az érintett a kilétének megerősítésére más módszert ajánl fel, a Minisztérium azt is elfogadhatja a személyazonosság megerősítése érdekében, valamint a Minisztérium maga is felajánlhat más, az érintett számára is elfogadható módszert. A Minisztérium nem ajánlhatja fel azt, hogy az érintett a személyazonosításra alkalmas okmányának fénymásolatát vagy szkennelt másolatát küldje el részére.
22.3. Az érintett azonosítása során a Minisztérium nem kérhet az érintettől olyan személyes adatot, amellyel a Minisztérium nem rendelkezik. Az érintett azonosítása elsősorban a Minisztérium számára rendelkezésre álló adatokkal történhet, további adatok szolgáltatása csak akkor kérhető, ha a rendelkezésre álló adatokkal az érintett nem azonosítható.
23. A kérelem teljesítésének határideje
23.1. A Minisztérium az érintett kérelmét annak beérkezésétől számítva késedelem nélkül, de legkésőbb a kézhezvételtől számított 30 napon belül teljesíti. A kérelem megérkezésének napja a határidőbe nem számít bele.
23.2. Szükség esetén, figyelembe véve a kérelem bonyolultságát és a kérelmek számát, ez a határidő további 60 nappal meghosszabbítható. A határidő meghosszabbításáról a Minisztérium a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 30 napon belül tájékoztatja az érintettet.
24. Az érintett kérelmének teljesítése
24.1. A Minisztérium az érintett szóban, e-mailben, telefonon vagy papír alapon küldött kérelmét egyaránt teljesíti. Telefonhívás útján előterjesztett kérelem esetén a telefonbeszélgetést rögzíteni kell, ennek hiányában a telefonbeszélgetésről haladéktalanul feljegyzést kell készíteni. Ha az érintett a Minisztérium székhelyén szóban terjeszti elő a kérelmét, akkor azt írásba kell foglalni.
24.2. Az érintett kérelmét olyan formában kell teljesíteni, amilyen módon azt az érintett kéri.
24.3. Ha az érintett e-mailben nyújtotta be a kérelmet, és a másolatot is elektronikus formátumban kéri, akkor a Minisztérium a másolatot széles körben használt elektronikus formátumban bocsátja rendelkezésre.
24.4. Ha az érintett a kérelmében nem jelölte meg, hogy milyen formátumban kéri a másolatot, akkor a Minisztériumnak fel kell vennie az érintettel a kapcsolatot, és tisztázni kell, hogy milyen formátumban szeretné, ha a Minisztérium teljesítené a kérelmét. A kapcsolatfelvételnek elsődlegesen telefonhívás vagy elektronikus levelezés útján kell megtörténnie, ha erre nincs lehetőség, akkor postai úton kell felvenni a kapcsolatot az érintettel.
24.5. A Minisztériumnak az érintett kérelmében megjelölt jog gyakorlását kell biztosítani. Amennyiben az érintett kérelme nem pontos, és a kérelem alapján nem lehet eldönteni, hogy milyen jogot is akar az érintett gyakorolni, akkor ennek tisztázása érdekében fel kell venni az érintettel a kapcsolatot. Ha az érintett a kérelmében több jogot is érvényesíteni kíván, akkor azok mindegyikének gyakorlását biztosítani kell.
24.6. Az érintett kérelmének teljesítését díjmentesen kell biztosítani. Abban az esetben, ha az érintett kérelme egyértelműen megalapozatlan vagy túlzó (így különösen, ha folyamatosan ismétlődő jellegű), akkor a Minisztérium a kért információ vagy tájékoztatás nyújtását, intézkedés teljesítését adminisztratív költségek megfizetéséhez kötheti. Az adatvédelmi tisztviselőnek kell javaslatot tennie arra, hogy
a) miért tekinthető az érintett kérelme egyértelműen megalapozatlannak vagy túlzónak, és
b) mekkora legyen azon adminisztratív költség, amelyet az érintett kérelmének teljesítéséhez a Minisztérium az érintettől követeljen.
24.7. Az adatvédelmi tisztviselő 24.6. pont szerinti javaslata alapján a Gazdálkodási Főosztály vezetője dönt az adminisztratív költség felszámításáról.
25. Az érintett kérelmének megtagadása
25.1. Az érintett 13–20. alcím szerinti kérelme megtagadható, ha
a) európai uniós vagy tagállami jogszabály a GDPR 23. cikk (1) bekezdésében felsorolt érdekek védelme miatt korlátozza vagy kizárja az érintett joggyakorlása teljesítését,
b) az érintett tiltakozása esetén a Minisztérium igazolni tudja a 20.3. pont szerinti valamely körülmény fennállását.
25.2. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a Minisztérium megtagadhatja a kérelem alapján történő intézkedést.
25.3. Az érintett kérelmének megtagadásáért nem lehet díjat felszámítani.
25.4. Ha a Minisztérium nem teljesíti az érintett kérelmét, akkor 1 hónapon belül tájékoztatja az érintettet
a) az intézkedés elmaradásának ténybeli és jogi okairól,
b) arról, hogy az érintett panaszt nyújthat be a NAIH-nál, és élhet bírósági jogorvoslati jogával.
IV. FEJEZET
ALAPVETŐ ADATBIZTONSÁGI INTÉZKEDÉSEK
26. Informatikai biztonsági intézkedések
26.1. A Minisztérium az alábbi informatikai biztonsági intézkedésekkel gondoskodik az informatikai rendszerben tárolt személyes adatok védelméről:
a) megakadályozza, hogy jogosulatlan személyek hozzáférést szerezzenek vagy belépjenek ezen rendszerekbe;
b) beállítja a megfelelő hozzáférési jogosultságokat, illetve felhasználónevet és jelszót rendel hozzá az egyes jogosultságokhoz;
c) szabályozza a jelszóhasználati előírásokat;
d) biztosítja, hogy a jogosultsággal rendelkező személyek a személyes adatokhoz csak a hozzáférési engedélyük keretein belül férhessenek hozzá;
e) naplózás útján biztosítja, hogy ellenőrizhető legyen, mely felhasználó lépett be és milyen szoftverbe;
f) biztosítja annak ellenőrizhetőségét, hogy mely személyes adatokat mikor és ki vitte be, módosította vagy továbbította;
g) biztosítja, hogy a személyes adatok engedély nélkül nem olvashatók, másolhatók, módosíthatók vagy távolíthatók el;
h) biztosítja az informatikai rendszerek folyamatos rendelkezésre állását;
i) megteszi a hálózatbiztonsággal összefüggő védelmi intézkedéseket;
j) megteszi a vírusvédelemmel, illetve a más rosszindulatú szoftverek elleni védelemmel összefüggő intézkedéseket;
k) fizikai vagy műszaki incidens esetén biztosítja, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani, az ilyen incidensekről jelentést készít, illetve biztosítja, hogy az ilyen incidensek nem hatnak ki az adat integritására, és az informatikai rendszerek folyamatos rendelkezésre állását biztosító intézkedéseket tesz;
l) biztosítja a személyes adatok titkosítását vagy álnevesítését;
m) biztosítja, hogy a különböző célból kezelt személyes adatokat (adatbázisokat) elkülönítve tárolják.
26.2. A Minisztérium a 26.1. pont szerinti informatikai biztonsági intézkedésekkel együtt járó feladatok ellátásával a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.-t bízta meg. A megbízás jogalapját az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdés c) pontja, valamint a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet 3–4. §-a és 1. melléklete képezi.
27. Szervezési biztonsági intézkedések
27.1. A Minisztérium valamennyi adatkezelés során köteles olyan szervezési biztonsági intézkedéseket hozni, amelyek biztosítják, hogy
a) bizonyos helyiségekbe csak meghatározott, arra feljogosított személyek lépjenek be,
b) az adatokat tartalmazó dokumentumokat és elektronikus adathordozókat zárható helyiségben helyezzék el,
c) a személyes adatokat tartalmazó dokumentumokhoz való hozzáférés csak olyan személyek részére legyen megengedett, akiknek a munkavégzéséhez nélkülözhetetlen ezen dokumentumokhoz való hozzáférés biztosítása,
d) a személyes adatokat tároló, zárható iratszekrényhez csak arra jogosult személynek lehessen hozzáférése,
e) a folyamatos, aktív kezelésben lévő iratokhoz csak az arra jogosult személyek férhessenek hozzá,
f) a foglalkoztatott a nap folyamán, illetve a nap végén csak úgy hagyhassa el az olyan helyiséget, ahol a személyes adatot tartalmazó dokumentumokat és elektronikus adathordozókat tárolják vagy ahol e dokumentumokkal, adathordozókkal munkát végez, hogy a dokumentumot, adathordozót elzárja, és/vagy a helyiséget bezárja.
27.2. Valamennyi foglalkoztatott köteles a Minisztériummal fennálló, munkavégzésre irányuló jogviszonya alatt tudomására jutott üzleti titkok, illetve a Minisztérium által kezelt személyes adatok bizalmasságát megőrizni. Ez a kötelezettség a jogviszony megszűnését követően is fennmarad.
V. FEJEZET
ADATVÉDELMI INCIDENSEK KEZELÉSE ÉS BEJELENTÉSE
28. Adatvédelmi incidensek esetkörei, tudomásszerzés és az előzetes vizsgálat
28.1. A Minisztérium esetében adatvédelmi incidens különösen:
a) a személyes adatokat tároló informatikai rendszerhez vagy szoftverhez történő jogosulatlan hozzáférés,
b) a személyes adatok jogosulatlan titkosítása, amelynek következtében a személyes adatokhoz – akár átmenetileg – nem lehet hozzáférni, vagy a Minisztérium által végzett adatkezelések során felhasználni,
c) a Minisztérium foglalkoztatottjának jogosulatlan vagy a jogosultsági szintjét meghaladó hozzáférése a személyes adatokhoz vagy a foglalkoztatott által jogosulatlanul végrehajtott adatkezelési művelet,
d) személyes adatok vétlen vagy szándékos, felhatalmazás nélküli nyilvánosságra hozatala,
e) személyes adatokat tartalmazó dokumentum más számára történő hozzáférhetővé tétele,
f) személyes adatokat tartalmazó postai küldemény téves címzetthez történő elpostázása,
g) személyes adatokat tartalmazó e-mail téves címzettnek történő kiküldése,
h) személyes adatokat tartalmazó adathordozó vagy informatikai eszköz elvesztése,
i) a személyes adatokat tároló informatikai eszköz vagy az ilyen adatokat tartalmazó dokumentumok sérülése, megsemmisülése, amelynek következtében a személyes adatokhoz – akár átmenetileg – nem lehet hozzáférni, vagy azokat felhasználni.
28.2. Tudomásszerzésnek minősül,
a) ha az adatvédelmi incidens bekövetkezésére utaló körülményt a foglalkoztatott fedezi fel,
b) ha a Minisztériumnak e-mailen, postai levélben vagy más kommunikációs eszköz útján küldött üzenet, levél adatvédelmi incidens bekövetkezésére utaló körülményt tartalmaz (abban az esetben is, ha az üzenet vagy a levél névtelen),
c) ha a Minisztériumot telefonon adatvédelmi incidens bekövetkezésére utaló körülményről értesítik (abban az esetben is, ha a hívó fél ismeretlen vagy névtelen),
d) ha a sajtóban vagy más honlapon megjelenik egy adatvédelmi incidens bekövetkezésére utaló körülmény, amelyről a Minisztérium értesül, vagy arról értesítik,
e) ha a Minisztériummal közösen adatkezelést végző más adatkezelő e-mailben vagy telefonon jelzi, hogy adatvédelmi incidens következett be,
f) ha a Minisztérium által megbízott adatfeldolgozó e-mailben vagy telefonon jelzi, hogy adatvédelmi incidens következett be.
28.3. Amennyiben egy biztonsági eseményről a tudomásszerzés időpontjában nem lehet eldönteni, hogy adatvédelmi incidensnek tekinthető-e, akkor haladéktalanul előzetes vizsgálatot kell indítani annak tisztázása érdekében, hogy a biztonsági esemény megfeleltethető-e az Infotv. 3. § 26. pontjában szereplő adatvédelmi incidens fogalmának. Az előzetes vizsgálat célja annak megállapítása, hogy
a) a biztonsági esemény személyes adatokkal összefüggésben következett-e be,
b) ki lehet-e zárni annak lehetőségét, hogy a biztonsági esemény személyes adatokra vonatkozott volna.
28.4. Amennyiben a 28.3. pont szerinti előzetes vizsgálat alapján a Minisztérium arra a megállapításra jut, hogy a biztonsági esemény személyes adatokkal összefüggésben következett be, vagy nem lehet kizárni annak lehetőségét, hogy az adott esemény személyes adatokat érintett, akkor ezen esemény adatvédelmi incidensnek minősül, azzal, hogy az incidensről való tudomásszerzés időpontja az előzetes vizsgálat lezárásának napja.
28.5. Amennyiben a 28.3. pont szerinti előzetes vizsgálat alapján egyértelműen megállapítható, hogy az adott esemény nem érintett személyes adatokat, akkor az eseményt nem kell adatvédelmi incidensként kezelni. Ebben az esetben is az előzetes vizsgálatban fel kell térképezni, hogy
a) mi volt az adott esemény oka,
b) milyen ok miatt nem érintett személyes adatokat az incidens, illetve
c) – amennyiben az adott esemény kapcsán értelmezhető – hogyan lehet megelőzni azt, hogy a jövőben ne következzen be hasonló esemény.
28.6. Az előzetes vizsgálat lefolytatása az adatvédelmi tisztviselő feladata. Informatikai eszközzel összefüggő incidens esetén az előzetes vizsgálatban közre kell működnie a Biztonsági és Beszerzési Főosztály foglalkoztatottjának is.
28.7. Az előzetes vizsgálat megállapításait írásba kell foglalni, és – amennyiben szükséges – intézkedési tervet kell készíteni. Az intézkedési tervet a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár fogadja el.
29. Az adatvédelmi incidens bejelentésének mellőzése
29.1. Abban az esetben, ha bizonyítottan adatvédelmi incidens történt, azonban az arról történő tudomásszerzés időpontjában vagy az előzetes vizsgálat alapján megállapítható, hogy az incidens valószínűsíthetően nem jár kockázattal az érintettek jogainak érvényesülésére nézve, akkor az incidensről nem kell bejelentést tenni a NAIH-nak.
29.2. Az adatvédelmi incidens bejelentésének mellőzéséről a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár az adatvédelmi tisztviselő előzetes tájékoztatása mellett és javaslata alapján dönt. A tájékoztatásnak ki kell térni arra, hogy
a) milyen adatvédelmi incidens történt (a személyes adatok típusa, mennyisége, érintettek száma, kategóriái, milyen következményei voltak vagy lehettek volna az érintettre),
b) miért nem következett be az érintettekre nézve kockázatot jelentő adatvédelmi incidens,
c) – amennyiben az adott adatvédelmi incidens kapcsán értelmezhető – hogyan lehet megelőzni azt, hogy a jövőben ne következzen be hasonló adatvédelmi incidens,
d) milyen okból nem szükséges bejelentést tenni a NAIH-nak.
29.3. Amennyiben a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár a mellőzéssel egyetért, akkor az adatvédelmi incidenst fel kell vezetni az incidens-nyilvántartásba.
30. Adatkezelés felfüggesztése adatvédelmi incidens esetén
30.1. Az adatvédelmi incidenst felfedező vagy arról (telefonon, e-mailben, postai úton) tudomást szerző foglalkoztatott köteles 24 órán belül értesíteni az adatvédelmi tisztviselőt.
30.2. Adatvédelmi incidensre vonatkozó értesítést követően haladéktalanul, átmenetileg fel kell függeszteni azt az adatkezelést, amit az adatvédelmi incidens érintett, annak érdekében, hogy a Minisztérium megvizsgálja az adatvédelmi incidens súlyosságát.
30.3. A felfüggesztés különösen abban az esetben szüntethető meg, ha
a) a rendelkezésre álló információk alapján az adatvédelmi incidensnek nincsenek és nem is várhatóak súlyos következményei, vagy
b) a felfüggesztést követően a Minisztérium olyan intézkedéseket hozott, amelyek biztosítják, hogy az adatvédelmi incidensnek nincsenek és nem is várhatóak súlyos következményei.
30.4. A felfüggesztés megszüntetéséről az adatvédelmi tisztviselő javaslata alapján a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár dönt. A javaslatban ki kell térni arra, hogy
a) milyen adatvédelmi incidens történt (a személyes adatok típusa, mennyisége, érintettek száma, kategóriái, milyen következményei voltak vagy lehettek volna az érintettre),
b) miért javasolja a felfüggesztés megszüntetését.
31. Az adatvédelmi incidens bejelentése és kivizsgálása
31.1. Az adatvédelmi incidenst az adatvédelmi tisztviselőnek a tudomásszerzést vagy az előzetes vizsgálat lezárultát követő 72 órán belül be kell jelentenie a NAIH honlapján működtetett Adatvédelmi Incidensbejelentő Rendszerben, függetlenül attól, hogy mennyi információ áll a Minisztérium rendelkezésére az adatvédelmi incidenssel összefüggésben.
31.2. Az adatkezelés felfüggesztését követően haladéktalanul meg kell kezdeni az adatvédelmi incidens kivizsgálását. A kivizsgálás során az alábbi körülményeket kell tisztázni:
a) a Minisztériumon kívül részt vesz-e más személy/szervezet az adatvédelmi incidenssel érintett adatkezelésben,
b) az adatvédelmi incidens időpontja (ha ismert: kezdő és záró időpont),
c) az adatvédelmi incidens észlelésének módja,
d) az adatvédelmi incidens jellege,
e) az adatvédelmi incidens oka, körülményei,
f) az adatvédelmi incidens bekövetkezése előtt alkalmazott intézkedések,
g) az adatvédelmi incidenssel érintett személyes adatok típusa és mennyisége (legalább becsléssel),
h) az érintettek száma (legalább becsléssel),
i) az érintettek kategóriái, így különösen az, hogy az adatvédelmi incidensben van-e sérülékeny érintetti kör (például gyerekek, idős emberek vagy más ország állampolgárai),
j) mennyire egyszerű az érintettek azonosítása azon adatkör alapján, amelyet az adatvédelmi incidens érintett,
k) az adatvédelmi incidens lehetséges vagy már megtörtént következményei, illetve azok súlyossága az érintettekre nézve,
l) szükséges-e az érintetteket tájékoztatni az adatvédelmi incidensről, és amennyiben nem, akkor ennek mi az indoka,
m) milyen intézkedések szükségesek az adatvédelmi incidens következményeinek csökkentésére, megszüntetésére,
n) milyen intézkedések szükségesek ahhoz, hogy a jövőben ne következzen be hasonló adatvédelmi incidens.
31.3. Az adatvédelmi incidens kivizsgálása az adatvédelmi tisztviselő feladata. Informatikai eszközzel összefüggő incidens esetén a vizsgálatban közre kell működnie a Biztonsági és Beszerzési Főosztály foglalkoztatottjának is.
31.4. Amennyiben a kivizsgálás függetlensége vagy hatékonysága a Minisztérium szervezetén belül nem biztosítható, akkor az adatvédelmi incidens kivizsgálásával külső szakértőt kell megbízni.
31.5. Amennyiben 72 órán belül nem lehet az összes körülményt bejelenti a NAIH-nak (szakaszos bejelentés), akkor az adatvédelmi incidens kivizsgálása során feltárt új körülményeket az adatvédelmi tisztviselőnek haladéktalanul be kell jelentenie a NAIH-nak.
32. Érintettek tájékoztatása az adatvédelmi incidensről
32.1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettekre nézve, a Minisztérium indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
32.2. Az adatvédelmi incidens magas kockázattal jár, és az érintetteket tájékoztatni kell, ha az incidens az alábbi adatkategóriák egyikére vonatkozik:
a) különleges adatok,
b) az érintett pénzügyi helyzetére vonatkozó adatok (például: munkabér, illetmény, a Minisztérium által adott kölcsön, a munkabért vagy az illetményt terhelő letiltások),
c) az érintett társadalmi megbecsültségére kiható adatok,
d) a személyiséglopásra alkalmas adatok.
32.3. Az érintetteknek adott tájékoztatóban ismertetni kell
a) az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
b) a további tájékoztatást nyújtó adatvédelmi tisztviselő és egyéb kapcsolattartó nevét, elérhetőségeit,
c) az adatvédelmi incidens lehetséges vagy már megtörtént következményeit, illetve azok súlyosságát az érintettekre nézve,
d) az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
32.4. Az előzetes tájékoztatást az érintettek valamely elérhetőségére (postai cím, e-mail-cím) kell elküldeni. Amennyiben van olyan érintett, akit nem lehet az adatvédelmi incidensről tájékoztatni, vagy az érintettek tájékoztatása aránytalan erőfeszítést tenne szükségessé, akkor a Minisztérium honlapján közlemény helyezhető el.
32.5. A 32.3. pont szerinti tájékoztató tartalmára és a tájékoztatás 32.4. pont szerinti formájára az adatvédelmi tisztviselő tesz javaslatot, és arról a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár dönt.
32.6. Az érintettek előzetes tájékoztatása mellőzhető, ha
a) a Minisztérium megfelelő adatbiztonsági intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, így különösen olyan intézkedések esetén, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,
b) a Minisztérium az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az adatvédelmi incidens valószínűsíthetően nem jár magas kockázattal az érintettekre nézve.
32.7. Az érintettek előzetes tájékoztatásának mellőzéséről az adatvédelmi tisztviselő javaslata alapján a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár dönt. A javaslatban ki kell térni arra, hogy
a) milyen adatvédelmi incidens történt (a személyes adatok típusa, mennyisége, érintettek száma, kategóriái, milyen következményei voltak vagy lehettek volna az érintettre),
b) miért lenne szükséges az érintettek tájékoztatása,
c) miért javasolja azt, hogy a Minisztérium ne tájékoztassa az érintetteket az adatvédelmi incidensről.
33. Az incidensjelentés és az incidens-nyilvántartás
33.1. Az adatvédelmi incidens kivizsgálását írásban kell rögzíteni a 32.2. pont szerinti körülmények megjegyzésével (incidensjelentés). Az incidensjelentésben javaslatot kell tenni arra, hogy milyen módon előzhető meg az, hogy a jövőben újabb adatvédelmi incidens következzen be. A szükséges intézkedések meghozataláról és bevezetéséről a közigazgatási államtitkár dönt.
33.2. Valamennyi adatvédelmi incidensről nyilvántartást kell vezetni, függetlenül attól, hogy a NAIH-nak kellett-e bejelentést tenni, vagy sem.
33.3. Az incidens-nyilvántartást adatvédelmi incidensenként külön-külön kell vezetni, úgy, hogy annak alapján a NAIH ellenőrizhesse az irányadó jognak való megfelelést.
VI. FEJEZET
AZ ADATVÉDELMI TISZTVISELŐ ÉS TOVÁBBI ADATVÉDELMI KÖTELEZETTSÉGEK
34. Az adatvédelmi tisztviselő jogállása és feladatai
34.1. A Minisztériumnak a GDPR 37. cikk (1) bekezdés a) pontja, valamint az Infotv. 25/L. § (1) bekezdés a) pontja alapján – a GDPR 37. cikk (5) bekezdésében foglaltak figyelembevételével – adatvédelmi tisztviselőt kell alkalmaznia. Az adatvédelmi tisztviselőnek a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével kell rendelkeznie. Az adatvédelmi tisztviselő a foglalkoztatottak közül kijelölt személy vagy a Minisztériummal megbízási jogviszonyban álló személy.
34.2. Az adatvédelmi tisztviselő feladatait a GDPR 39. cikke, az Infotv. és a Szabályzat határozza meg.
34.3. Az adatvédelmi tisztviselő nevét és elérhetőségét a Minisztérium honlapján közzé kell tenni.
35. Adatfeldolgozó igénybevétele
35.1. A Minisztérium kizárólag olyan adatfeldolgozót vehet igénybe, aki vagy amely megfelelő garanciákat nyújt arra, hogy megfelel a GDPR és az Infotv. követelményeinek.
35.2. A Minisztériumnak az adatfeldolgozóval – a 35.3. pont esetének kivételével – adatfeldolgozói szerződést kell kötnie.
35.3. Nem kell adatfeldolgozói szerződést kötni, ha az adatfeldolgozót jogszabály jelöli ki, és a jogszabályok, illetve az adatfeldolgozó belső szabályzatai tartalmazzák a GDPR 28. cikk (3) bekezdésében szereplő követelményeket. A Minisztériumnak ennek tényéről az adatfeldolgozó nyilatkozatát be kell szereznie.
36. Adatvédelmi hatásvizsgálat
36.1. A Minisztériumnak adatvédelmi hatásvizsgálatot kell elvégeznie, ha az adatvédelmi tisztviselő a GDPR 35. cikkében foglalt rendelkezések vagy a NAIH által a GDPR 35. cikk (4) bekezdése alapján nyilvánosságra hozott jegyzékben szereplő szempontrendszer elemzése alapján az adott adatkezelés esetében hatásvizsgálat elvégzésére tesz javaslatot, és a Jogi és Koordinációs Főosztály vezetője e javaslatot elfogadja.
36.2. A Minisztérium a NAIH honlapján nyilvánosságra hozott adatvédelmi hatásvizsgálati szoftver használatával is elvégezheti a hatásvizsgálatot.
36.3. Az adatvédelmi hatásvizsgálatot az adatvédelmi tisztviselő végzi el, és annak eredményét a Jogi és Koordinációs Főosztály vezetője hagyja jóvá. Amennyiben a hatásvizsgálat elvégzésének függetlensége vagy hatékonysága a Minisztériumon belül nem biztosítható, akkor az adatvédelmi hatásvizsgálat elvégzésével külső szakértőt kell megbízni. A Jogi és Koordinációs Főosztály vezetője dönt arról is, hogy szükséges-e előzetes konzultáció érdekében a NAIH-hoz fordulni.
36.4. Az adatvédelmi hatásvizsgálatra tett javaslatról, a vizsgálat elrendeléséről és annak eredményéről az adatvédelmi tisztviselő tájékoztatja a közigazgatási államtitkárt.
37. Adatkezelési nyilvántartás vezetése
37.1. A Minisztériumnak adatkezelési nyilvántartást kell vezetnie. A nyilvántartásban a következő adatkezelési körülményeket szükséges rögzíteni:
a) a Minisztérium mint adatkezelő megjelölése, az adatkezelő képviselőjének, valamint az adatvédelmi tisztviselőnek neve és elérhetősége,
b) az adatkezelés célja, jogalapja,
c) milyen érintetti körre vonatkozik az adatkezelés,
d) milyen személyes adatokra vonatkozik az adatkezelés,
e) az adatkezelés időtartama (adat törlésének időpontja),
f) címzettek kategóriái,
g) profilalkotás alkalmazása esetén annak ténye,
h) nemzetközi adattovábbítás esetén a továbbított adatok köre,
i) alkalmazott adatbiztonsági intézkedések általános leírása.
KÜLÖNÖS RÉSZ
VII. FEJEZET
A MINISZTÉRIUM FELADAT- ÉS HATÁSKÖREINEK ELLÁTÁSÁVAL ÖSSZEFÜGGÉSBEN VÉGZETT EGYES ADATKEZELÉSEK
38. Az állampolgári levelek megválaszolásával összefüggő adatkezelés
38.1. Az adatkezelés célja a Minisztérium részére küldött papíralapú vagy elektronikus levelek megválaszolása vagy az illetékes kormányzati szervnek való áttétele.
38.2. Az adatkezelés az érintett nevére, lakcímére (amennyiben ettől eltérő: postacímére) és az érintett által küldött levelében szereplő személyes adatokra terjed ki.
38.3. Az adatkezelés jogalapja a közfeladat ellátásához szükséges adatkezelés [GDPR 6. cikk (1) bekezdés e) pont]. A közfeladat a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény 1–3. §-a alapján határozható meg.
38.4. Amennyiben az érintett levelében írtak indokolják, akkor a Minisztérium az érintett személy levelét továbbítja azon kormányzati igazgatási szerv vagy hatóság számára, amely az érintett kérelmének megválaszolására, vagy annak alapján eljárás megindítására illetékességgel és hatáskörrel rendelkezik.
38.5. A Minisztérium a papíralapú vagy elektronikus leveleket a Minisztérium Egyedi Iratkezelési Szabályzatában (a továbbiakban: Egyedi Iratkezelési Szabályzat) foglalt időpontig tárolja, azt követően törli.
39. A panasz és a közérdekű bejelentés megválaszolásával összefüggő adatkezelés
39.1. Az adatkezelés célja a Minisztérium részére küldött, papír alapon vagy elektronikus úton érkezett panaszlevelek és a közérdekű bejelentések megválaszolása vagy a feladat- és hatáskörrel rendelkező kormányzati szervnek való áttétele.
39.2. Az adatkezelés a panaszos, közérdekű bejelentő nevére, lakcímére (amennyiben ettől eltérő: postacímére) és az általa küldött levelében szereplő személyes adatokra terjed ki.
39.3. Az adatkezelés jogalapja a közfeladat ellátásához szükséges adatkezelés és az egyértelmű hozzájárulás [GDPR 6. cikk (1) bekezdés e) pont és GDPR 6. cikk (1) bekezdés a) pont]. A közfeladat a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény 1–3. §-a alapján határozható meg.
39.4. A bejelentés elintézése érdekében végzett irat- és adatbeszerzés, illetve személyes konzultáció során a bejelentői (panaszosi) minőségre vonatkozó vagy azzal egyébként kapcsolatba hozható személyes adatok a bejelentéssel (panasszal) érintett szerv részére akkor továbbíthatók, ha annak kezelésére az érintett szerv törvény alapján jogosult, vagy ahhoz a bejelentő (panaszos) egyértelműen hozzájárult.
39.5. A Minisztérium a beérkező és iktatott papíralapú vagy elektronikus leveleket az Egyedi Iratkezelési Szabályzatban foglalt időpontig tárolja.
40. A Minisztérium épületeibe történő beléptetéssel összefüggő adatkezelés
40.1. A Minisztérium épületeibe történő beléptetéssel összefüggő adatkezelés célja
a) a létesítményvédelem,
b) az épületben található vagy az oda behozott vagyontárgyak védelme,
c) a foglalkoztatottak zavartalan munkavégzésének biztosítása,
d) a jogsértő cselekmények utólagos bizonyításának elősegítése.
40.2. A sajtótájékoztatóra történő beléptetés esetén a 40.1. pontban foglaltakon túlmenően az adatkezelés célja annak biztosítása, hogy az az újságíró vegyen részt az eseményen, aki korábban az eseményre regisztrálta magát.
40.3. Az adatkezelés jogalapja a közfeladat ellátásához szükséges adatkezelés [GDPR 6. cikk (1) bekezdés e) pont]. A közfeladat az alábbi jogszabályok alapján határozható meg:
a) a Kit.,
b) a Statútum rendelet,
c) a Közbeszerzési és Ellátási Főigazgatóságról szóló 250/2014. (X. 2.) Korm. rendelet 3. § (1) bekezdés a) pontja, 1. melléklet I. pont 5.3. és 5.4. alpontja, valamint II. pont 10.2. alpontja,
d) a védett személyek és a kijelölt létesítmények védelméről szóló 160/1996. (XI. 5.) Korm. rendelet 1. § (2) bekezdés g) pontja, 11. § (1) bekezdése és (2) bekezdés b) pontja,
e) a Rendőrségről szóló 1994. évi XXXIV. törvény 91/J. § (1) bekezdés c) pontja.
40.4. Az állandó belépőkártyával rendelkező érintettek esetében a személyes adatok a kártyahasználat időpontjától számított 1 évig kerülnek tárolásra. Az adatkezelés a következő személyes adatokra terjed ki:
a) az érintett arcképe és neve (előnév, családi és utónév),
b) a Szolgáltatási és Ellátási Alapadat Tárban az érintetthez rendelt azonosító szám (SzEAT azonosító),
c) a mozgási időadatok [a kártya használatának időpontja és a mozgásirány (belépés vagy kilépés)],
d) személyazonosításra alkalmas igazolvány száma, elektronikus személyazonosító igazolvány használata esetén a technikai azonosító és okmányazonosító,
e) a szervezeti egység neve, ahol dolgozik (vagy amely vonatkozásában kérték a belépőkártya kiállítását).
40.5. A napi belépőkártyával rendelkező érintettek esetében a személyes adatok a belépés időpontjától számított 24 óráig, a mozgási adatok (személyes adat nélkül) 30 napig kerülnek tárolásra. Az adatkezelés a következő személyes adatokra terjed ki:
a) az érintett arcképe és neve (előnév, családi és utónév),
b) a mozgási időadatok [a kártya használatának időpontja és a mozgásirány (belépés vagy kilépés)],
c) személyazonosításra alkalmas igazolvány száma, elektronikus személyazonosító igazolvány használata esetén a technikai azonosító és okmányazonosító.
40.6. A sajtótájékoztatóra történő beléptetés során a személyes adatok a belépés időpontjától számított 30 napig kerülnek tárolásra. Az adatkezelés a következő személyes adatokra terjed ki:
a) az érintett neve,
b) személyazonosításra alkalmas igazolvány száma, elektronikus személyazonosító igazolvány használata esetén a technikai azonosító és okmányazonosító,
c) a mozgási időadatok (amennyiben a belépők kapnak napi belépésre szolgáló vendégkártyát),
d) a sajtótermék neve,
e) az érintett aláírása.
40.7. A 40.4–40.6. pont szerinti személyes adatokhoz
a) a Közbeszerzési és Ellátási Főigazgatóság (a továbbiakban: KEF) által kijelölt személy,
b) a munkáltatói jogkör gyakorlója,
c) a Minisztérium biztonsági vezetője,
d) a Biztonsági és Beszerzési Főosztály munkatársai,
e) a Minisztérium rendszeradminisztrátora,
f) a Készenléti Rendőrség
40.8. A beléptetéssel összefüggő adatkezelés során a Minisztérium adatfeldolgozóként igénybe veszi a KEF-et.
40.9. A 40.5. és a 40.6. pont szerinti beléptetés esetén, jól látható helyen, a 11. alcím szerint elkészített adatkezelési tájékoztatót kell kihelyezni.
41. A kamerás megfigyelőrendszerrel összefüggő adatkezelés
41.1. A kamerás megfigyelőrendszer alkalmazásának célja a minősített adatok bizalmasságának a védelme, így a jogsértések megelőzése, illetve jogellenes magatartás esetén a bizonyítás elősegítése.
41.2. A kamerás megfigyelőrendszer az érintett képmását és a felvételen látható cselekvését (belépő, kilépő mozgását) rögzíti.
41.3. Az adatkezelés jogalapja a közfeladat ellátásához szükséges adatkezelés [GDPR 6. cikk (1) bekezdés e) pont]. A közfeladat az alábbi jogszabályok alapján határozható meg:
a) a minősített adat védelméről szóló 2009. évi CLV. törvény 10. § (4) bekezdése, illetve 10. § (5) bekezdése,
b) a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III. 26.) Korm. rendelet 30. §-a és 1. melléklete,
c) a Gazdaságfejlesztési Minisztérium Szervezeti és Működési Szabályzatáról szóló 1/2023. (I. 23.) GFM utasítás 2. függelék 2.3.4.3. pont d) alpont 13. pontja.
41.4. A kamerás megfigyelőrendszer a felvételeket 3 napig tárolja.
41.5. A felvételekhez
a) a Minisztérium biztonsági vezetője,
b) a Minisztérium informatikai biztonsági felügyelője
41.6. A felvétel visszanézésére a biztonsági vezető engedélyével és az adatvédelmi tisztviselő tájékoztatásával, szükség esetén bevonásával, jegyzőkönyv készítése mellett kerülhet sor.
VIII. FEJEZET
A KIVÁLASZTÁSI ELJÁRÁSSAL ÖSSZEFÜGGŐ ÉS A FOGLALKOZTATOTTAK ADATAIRA VONATKOZÓ ADATKEZELÉSEK
42. A saját hatáskörben lefolytatott kiválasztási eljárással összefüggő adatkezelés
42.1. Az adatkezelés célja, hogy a Minisztérium az általa meghatározott eljárásrendben a legalkalmasabb pályázót kiválassza, és vele létesítsen munkavégzésre irányuló jogviszonyt.
42.2. A saját hatáskörben lefolytatott kiválasztási eljárás során az adatkezelés az alábbi személyes adatokra terjedhet ki:
a) természetes személyazonosító adatok,
b) lakcím, telefonszám és e-mail-cím,
c) állampolgárság,
d) iskolai végzettségre vonatkozó információk (az oktatási intézmény megnevezése, képzettség, képesítés, a végzés időpontja),
e) korábbi foglalkoztatási jogviszonyára vonatkozó információk (így különösen korábbi munkáltató neve, a jogviszony időtartama, munkakör megjelölése),
f) idegennyelv-ismerete (szintje, típusa),
g) egyéb, önkéntesen megadott adatok (például hobbi, érdeklődési kör).
42.3. Az adatkezelés jogalapja az érintett hozzájárulása [GDPR 6. cikk (1) bekezdés a) pont]. A Minisztériumnak biztosítania kell, hogy az érintett a hozzájárulását bármikor visszavonhassa. A hozzájárulás visszavonása esetén a személyes adatokat törölni kell.
42.4. A Minisztérium az érintett 42.2. pont szerinti személyes adatait tartalmazó dokumentumokat az Egyedi Iratkezelési Szabályzatban foglalt időpontig tárolja, kivéve, ha az érintett hozzájárulását visszavonta.
43. A közszolgálati alapnyilvántartás, illetve a munkaügyi nyilvántartás vezetésével összefüggő adatkezelés
43.1. A közszolgálati alapnyilvántartás, illetve a munkaügyi nyilvántartás vezetésével összefüggő adatkezelés célja
a) a Minisztérium mint munkáltató kormányzati szolgálati jogviszonnyal, politikai szolgálati jogviszonnyal, illetve munkaviszonnyal összefüggő intézkedéseinek előkészítése, illetve a döntéshozatal és a döntés végrehajtása,
b) a kormányzati szolgálati jogviszonnyal, politikai szolgálati jogviszonnyal, illetve munkaviszonnyal összefüggő jogok gyakorlásának és kötelezettségek teljesítésének biztosítása,
c) a foglalkoztatott közeli hozzátartozóját megillető társadalombiztosítási, szociális, illetve kegyeleti gondoskodás megállapításának és folyósításának biztosítása.
43.2. A közszolgálati alapnyilvántartásban a Humánerőforrás Főosztály a következő személyes adatokat kezeli:
a) a Kit. 3. melléklete szerinti személyes adatok (munkavállaló esetében is),
b) kormányzati vezető esetében az a) alpontban szereplő adatkörön túlmenően a vezetői igazolvány száma, az EÜ VIP kártya száma, a diplomata-útlevél száma,
c) a tartós külszolgálatot teljesítő kormánytisztviselő esetében az a) pontban szereplő adatkörön túlmenően a külképviselet megnevezése, a diplomáciai vagy konzuli rang, valamint az átalány-költségtérítésre vonatkozó adatok.
43.3. Az adatkezelés jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. A jogi kötelezettséget a Kit. 174. § (1) bekezdése tartalmazza.
43.4. A Humánerőforrás Főosztály a 43.1. pont szerinti adatkezelési cél teljesülése érdekében hozott döntései kézbesítéséhez kezeli a foglalkoztatott biztonságos kézbesítési szolgáltatásra alkalmas elektronikus elérhetőségét. Az adatkezelés jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. A jogi kötelezettséget a Kit. 72. §-a tartalmazza.
43.5. A közszolgálati alapnyilvántartáshoz
a) a kormánytisztviselő a saját adatai tekintetében;
b) a foglalkoztatott felettese;
c) a kormányzati személyügyi igazgatásra kijelölt szerv;
d) a teljesítményértékelést végző vezető;
e) a törvényességi ellenőrzést végző vagy törvényességi felügyeletet gyakorló;
f) a fegyelmi eljárást lefolytató testület vagy személy;
g) közszolgálati jogvita kapcsán az eljáró bíróság, a Közszolgálati Döntőbizottság;
h) törvényben meghatározott célból, feladatkörükben eljárva a nemzetbiztonsági szolgálatok, valamint büntetőeljárásban a bíróság, az ügyészség és a nyomozó hatóság;
i) törvényességi ellenőrzési feladatkörében eljárva az ügyész;
j) a NAIH által indított vizsgálat, adatvédelmi hatósági eljárás vagy hatósági ellenőrzés esetén a NAIH elnöke;
k) a személyzeti, munkaügyi és illetményszámfejtési feladatokat ellátó szerv e feladattal megbízott munkatársa feladatkörén belül, a Kit. 3. melléklet I/A., I/B., I/C., II., IV., V., VII., VIII. és X. pontjában foglalt adatkörökből a kormánytisztviselő illetményének számfejtése, illetve annak ellenőrzése céljából;
l) a közszolgálati statisztikai adatgyűjtéssel összefüggésben a közszolgálati életpálya kidolgozásáért felelős miniszter;
m) a kormánytisztviselő képzésével, továbbképzésével, vizsgáztatásával kapcsolatban a személyügyi központ vezetője és az általa feljogosított, személyügyi központnál alkalmazásban álló személy;
n) az európai támogatásokat auditáló szerv;
o) tevékenységéhez szükséges mértékig, a Kit. 3. melléklet I/A. pont 1–3. alpontjában foglalt adatkörök tekintetében a Minisztérium részére informatikai üzemeltetési feladatokat, illetve logisztikai-eszközellátási feladatokat végző szerv;
p) a kormányzati személyügyi igazgatásra kijelölt szerv
43.6. A Humánerőforrás Főosztály a Kit. XXIV. Fejezete szerinti adatkezelése során vezetett közszolgálati alapnyilvántartásban szereplő személyes adatai közül a Kit. 176. §-a szerinti adatszolgáltatás során a központi közszolgáltatási nyilvántartást végző személyügyi központ részére a következő személyes adatokat adja át:
a) a kormánytisztviselő neme, életkora,
b) a kormánytisztviselő munkaideje,
c) a kormánytisztviselő besorolása, valamint a kormánytisztviselő álláshelyének besorolása,
d) a kormánytisztviselő vezetői feladatköre, illetve a kormánytisztviselő vezetői álláshelye,
e) a kormánytisztviselő besorolásánál, illetve a kormánytisztviselő álláshely betöltésénél figyelembe vett iskolai végzettség (szintje, felsőfokú iskolai végzettség esetén képzési területe),
f) a kormánytisztviselő nyelvtudása,
g) a tárgyévet megelőző évre vonatkozó, a kormánytisztviselő foglalkoztatási jogviszonyának létesítésére és megszűnésére vonatkozó adatok,
h) a kormánytisztviselő hatályban lévő fegyelmi büntetésének adatai.
43.7. A 43.6. pont szerinti adattovábbítás jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. A jogi kötelezettség a Kit. 176. §-a és a Kit. 178. §-a alapján határozható meg.
43.8. A Minisztérium a közszolgálati alapnyilvántartást a kormányzati szolgálati jogviszony, illetve munkaviszony bármely jogcímen történő megszűnését vagy megszüntetését követő 50 évig korlátozza. A korlátozás ideje alatt a közszolgálati nyilvántartás, illetve munkaügyi nyilvántartás adataihoz csak az érintett foglalkoztatott és a törvény által feljogosított szervek férhetnek hozzá. Korlátozás esetén a közszolgálati alapnyilvántartással, illetve munkaügyi nyilvántartással összefüggésben a tároláson kívül a 3.1. pont b) alpontja szerinti adatkezelési művelet nem végezhető.
44. A személyi anyaggal összefüggő adatkezelés
44.1. Az adatkezelés célja, hogy a Minisztérium teljesítse a személyi anyagok kezelésével összefüggő törvényi követelményeket.
44.2. Az adatkezelés az alábbi személyes adatokra terjed ki:
a) arckép,
b) közszolgálati alapnyilvántartási adatlap,
c) önéletrajz,
d) esküokmány,
e) kinevezés és annak módosítása,
f) teljesítményértékelés,
g) kormányzati szolgálati jogviszonyt megszüntető irat,
h) hatályban lévő fegyelmi büntetést kiszabó határozat,
i) közszolgálati igazolás másolata, korábbi foglalkoztatási jogviszony-igazolás másolata,
j) végzettséget, szakképzettséget, szakképesítést igazoló okirat másolata,
k) a Kit. 3. melléklete szerinti személyes adatok igazolására szolgáló okiratok másolata,
l) az álláshely betöltéséhez, feladatellátáshoz szükséges egyéb engedélyek.
44.3. Az adatkezelés jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. A jogi kötelezettséget a Kit. 179. § (3) bekezdése tartalmazza.
44.4. A személyi anyaghoz a 43.5. pontban szereplő személyi kör férhet hozzá.
44.5. Amennyiben a jogviszonyt a Kit. alapján folyamatosnak kell tekinteni, akkor a Minisztérium a személyi anyagot megküldi a fogadó kormányzati igazgatási szerv részére.
44.6. A Minisztérium a személyi anyagot a jogviszony megszűnésétől számított 50 évig őrzi meg, kivéve, amelyeket a 43.6. pont alapján átadott más kormányzati igazgatási szerv részére.
45. A nemzetbiztonsági ellenőrzéssel összefüggő adatkezelés
45.1. Az adatkezelés célja, hogy a Minisztérium a gazdaságfejlesztésért felelős miniszter feladat- és hatáskörét érintően a nemzetbiztonsági ellenőrzés alá eső munkakörök, álláshelyek, személyi kör esetében teljesítse az érintett személyek nemzetbiztonsági ellenőrzésével összefüggően – az ellenőrzéssel kapcsolatos előkészítő és ügyviteli feladatok körében – keletkezett személyes adatok kezelésével összefüggő törvényi követelményeket.
45.2. Az érintett személyek nemzetbiztonsági ellenőrzésével összefüggésben keletkező személyes adatainak kezelésére kizárólag a Biztonsági és Beszerzési Főosztály jogosult.
45.3. A Biztonsági és Beszerzési Főosztály a miniszter szakmai feladatai körében ellátja a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény (a továbbiakban: Nbtv.) 70. § (2) bekezdés d) és e) pontja alapján a miniszter kezdeményezési jogkörébe tartozó személyek – az Nbtv. 74. § ib)–id) alpontja szerinti kormányzati vezetők – nemzetbiztonsági ellenőrzésével kapcsolatos előkészítő és ügyviteli feladatokat is, így az e tevékenysége körében keletkező adatok adatkezelésére is kizárólagosan jogosult.
45.4. Az adatkezelés az érintett nemzetbiztonsági ellenőrzéséhez kapcsolódóan az alábbi személyes adatokra terjed ki:
a) név (családi és utónév, valamint születési név),
b) születési hely, idő,
c) anyja neve,
d) telefonszáma,
e) beosztása, szervezeti egysége.
45.5. Az adatkezelés jogalapja az érintett hozzájárulása a személyes adatainak konkrét célból történő adatkezeléséhez [GDPR 6. cikk (1) bekezdés a) pont].
45.6. Amennyiben más foglalkoztató kormányzati szervhez nemzetbiztonsági ellenőrzés alá eső álláshelyre történő áthelyezéssel az érintett jogviszonyát a Kit. alapján folyamatosnak kell tekinteni, akkor az érintettre vonatkozó, a jelen alcímben szabályozott adatkezelés során keletkezett adatokat a Biztonsági és Beszerzési Főosztály megküldi a fogadó szerv részére.
45.7. A Biztonsági és Beszerzési Főosztály a nemzetbiztonsági ellenőrzés alá eső személyek nemzetbiztonsági ellenőrzéséhez kapcsolódó személyes adatait az érintett jogviszonyának fennállása alatt, a jogviszony megszűnése esetén a kockázatmentes biztonsági szakvélemény érvényességi idejének lejártáig, de legfeljebb 5 évig őrzi meg.
46. A központosított illetményszámfejtési rendszerbe történő adattovábbítás
46.1. Az adatkezelés célja:
a) az illetmény és az egyéb juttatások kifizetése a foglalkoztatottnak,
b) az illetményszámfejtéshez szükséges adatok továbbítása központosított illetményszámfejtési rendszerbe,
c) a központosított illetményszámfejtési rendszerbe történő adattovábbítás útján a Minisztériumot jogszabály alapján terhelő bejelentési, adatszolgáltatási kötelezettségek teljesítése.
46.2. A Humánerőforrás Főosztály foglalkoztatottja a következő személyes adatokat továbbítja a központosított illetményszámfejtési rendszerbe:
a) természetes személyazonosító adatok, a foglalkoztatott neme;
b) állampolgárság;
c) lakcím;
d) TAJ-szám, adóazonosító jel;
e) a nyugdíj, illetve a nyugdíjjellegű ellátás formája, nyugdíjfolyósítási törzsszáma, nyugdíjnak nem minősülő ellátásának megnevezése, kezdete;
f) fizetési számlaszám;
g) a foglalkoztatott illetménye, munkabére, tiszteletdíja, költségtérítése és egyéb pénzbeli juttatása, mindezek után fizetendő adók és járulékok, valamint az ezekből behajtandó követelések mértéke;
h) az f) ponttal összefüggésben a foglalkoztatott házastársa, élettársa és eltartott gyermeke természetes személyazonosító adatai, lakcíme, TAJ-száma és adóazonosító jele, valamint az illetmény, munkabér, tiszteletdíj, költségtérítés és egyéb pénzbeli juttatás után fizetendő adókhoz és járulékokhoz kapcsolódó kedvezményekhez szükséges személyes adatok;
i) iskolai és egyéb végzettségére vonatkozó adat;
j) a jogviszony jellege, a beosztás, a besorolás, a feladatkör, a jogviszonya kezdete és befejezése;
k) a korábbi munkahely megnevezése, a jogviszony jellege, a beosztás, a besorolás, a feladatkör, a jogviszonya kezdete és befejezése;
l) külföldi kiküldetés esetén a napidíj összege;
m) szociális juttatások keretében folyósított kölcsön esetében a kölcsön összege, valamint a kezes személyes adatai (természetes személyazonosító adatok, lakcím, TAJ-szám, adóazonosító jel).
46.3. A Humánerőforrás Főosztály foglalkoztatottja a táppénz (és egyéb TB-ellátás: CSED, GYED) folyósításával és a betegszabadsággal összefüggő jogi kötelezettségek teljesítése érdekében a következő személyes adatokat továbbítja a központosított illetményszámfejtési rendszerbe:
a) a foglalkoztatott nevét, TAJ-számát, anyja nevét, lakcímét,
b) a betegszabadság időtartamát,
c) a keresőképtelenség kezdetét és időtartamát,
d) a keresőképtelenség okát,
e) a táppénzre jogosultság időpontját,
f) a táppénz mértékét,
g) a táppénz folyósításának időtartamát,
h) CSED, GYED folyósításának kezdetét és időtartamát.
46.4. Az adattovábbítás jogalapja a Minisztériumra vonatkozó jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. Abban az esetben, ha a szabadság igénybevétele egészségügyi adatok kezelésével jár együtt (például betegszabadság, szülési szabadság), akkor a különleges adatok kezelésének esetköre a munkahelyi egészségügyi célból szükséges adatkezelés [GDPR 9. cikk (2) bekezdés h) pont]. A jogi kötelezettséget az alábbi jogszabályi rendelkezések tartalmazzák:
a) az államháztartásról szóló 2011. évi CXCV. törvény (a továbbiakban: Áht.) 44. § (1) bekezdése,
b) az államháztartásról szóló törvény végrehajtásáról szóló 368/2011. (XII. 31.) Korm. rendelet (a továbbiakban: Ávr.) 62–62/B. §-a.
47. A munkaköri egészségügyi alkalmassági orvosi vizsgálattal összefüggő adatkezelés
47.1. Az adatkezelés célja annak orvosi megállapítása, hogy a foglalkoztatottat egészségi állapota alkalmassá teszi-e az adott álláshely feladatainak ellátására.
47.2. Az egészségügyi alkalmassági vizsgálattal összefüggő adatkezelés a következő személyes adatokra terjed ki:
a) a foglalkoztatott neve, születési helye és ideje,
b) a foglalkoztatott lakcíme,
c) a foglalkoztatott TAJ-száma,
d) a foglalkoztatott feladatköre,
e) a munkaköri orvosi alkalmassági vélemény (minősítés).
47.3. Az adattovábbítás jogalapja a Minisztériumra vonatkozó jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. Az egészségügyi adatok kezelésének esetköre a munkahelyi egészségügyi célból szükséges adatkezelés [GDPR 9. cikk (2) bekezdés h) pont]. A jogi kötelezettség az alábbi jogszabályi rendelkezések alapján határozható meg:
a) a munkavédelemről szóló 1993. évi XCIII. törvény 49. § (1) bekezdése és 50. §-a,
b) a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendelet 4. § (1) bekezdés a) pontja.
47.4. A Humánerőforrás Főosztály a 47.2. pont szerinti személyes adatokat a Minisztériummal szerződést kötött, az egészségügyi alkalmassági vizsgálatot végző adatfeldolgozónak átadja. A Humánerőforrás Főosztály a foglalkoztatottat a munkaköri egészségügyi alkalmassági orvosi vizsgálatot megelőzően előzetesen tájékoztatja, hogy mely adatfeldolgozó (adatfeldolgozó neve, adatfeldolgozó székhelye) számára adja át a személyes adatokat.
48. A fegyelmi eljárással összefüggő adatkezelés
48.1. Az adatkezelés célja a fegyelmi vétség alapjául szolgáló vétkes kötelezettségszegés körülményeinek a kivizsgálása és a fegyelmi büntetés kiszabása.
48.2. Az adatkezelés a kötelezettségszegés körülményeinek kivizsgálásához elengedhetetlenül szükséges személyes adatokra terjed ki. Az adatkezelés során kiemelt figyelmet kell fordítani az adattakarékosság elvének érvényesülésére:
a) kizárólag azok a személyes adatok kezelhetőek, amelyek a kötelezettségszegés körülményeinek alátámasztásául, bizonyítékként szükségesek;
b) valamely dokumentum vagy annak másolata abban az esetben használható fel, ha a kötelezettségszegés bizonyításához ezen dokumentum elengedhetetlenül szükséges.
48.3. Az adatkezelés jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. Abban az esetben, ha a kötelezettségszegés körülményeinek a kivizsgálása különleges adatok kezelésével jár együtt, akkor a különleges adatok kezelésének esetköre a foglalkoztatást szabályozó jogi előírásokból fakadó kötelezettségek teljesítéséhez szükséges adatkezelés [GDPR 9. cikk (2) bekezdés b) pont]. A jogi kötelezettség a Kit. 166. § (10) bekezdése alapján határozható meg.
48.4. Ha a Minisztérium a büntetőeljárásról szóló 2017. évi XC. törvény 111. §-a alapján tájékoztatást kap arról, hogy a kormánytisztviselővel szemben büntetőeljárás indult, a tájékoztatás során tudomására jutott természetes személyazonosító adatot, valamint a közvádra üldözendő bűncselekmény miatt indult büntetőeljárás megindításának tényéről szóló adatot
a) a tájékoztatást követő 15 napig,
b) ha a tájékoztatás alapján munkáltatói intézkedésre (fegyelmi eljárásra) kerül sor, az intézkedés meghozataláig
48.5. A fegyelmi felelősségre vonatkozó adatok – a 48.4. pont kivételével – a közszolgálati alapnyilvántartás részét képezik.
49. A vagyonnyilatkozat-tételi kötelezettséggel összefüggő adatkezelés
49.1. Az adatkezelés célja:
a) a közélet tisztaságának biztosítása és a korrupció megelőzése,
b) a Minisztériumot mint a vagyonnyilatkozat őrzéséért felelős szervet terhelő kötelezettségek teljesítése,
c) a törvényben foglalt feltételek fennállása esetén vagyongyarapodással összefüggő ellenőrzési eljárás lefolytatása.
49.2. Az adatkezelés
a) az ellenőrzési eljárás és a vagyongyarapodási eljárás során az egyes vagyonnyilatkozat-tételi kötelezettségekről szóló 2007. évi CLII. törvény (a továbbiakban: Vnytv.) melléklete szerinti,
b) a vagyongyarapodással összefüggő ellenőrzési eljárás során a kormánytisztviselő által elmondott és a jegyzőkönyvben rögzített
49.3. Az 50.2. pont b) alpontja szerinti célból végzett adatkezelés kizárólag azokra a személyes adatokra terjedhet ki, amelyek annak megállapításához szükségesek, hogy a vagyongyarapodás olyan forrásból származik-e, amely a nyilatkozattételi kötelezettségét megalapozó jogviszonyból, illetve az őrzésért felelős által ismert egyéb törvényes forrásból származó jövedelem alapján nem igazolható.
49.4. Az adatkezelés jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. A jogi kötelezettség a Vnytv. 4. § a) pontja, 7. § a) pontja, 8. § (4) bekezdése és 14. §-a alapján határozható meg.
49.5. A vagyonnyilatkozat-tételi kötelezettségre vonatkozó adatok a közszolgálati alapnyilvántartás részét képezik.
49.6. A Minisztérium a Vnytv. 14. § (4) és (5) bekezdésében meghatározott esetben a Nemzeti Adó- és Vámhivatal (a továbbiakban: NAV) eljárását kezdeményezheti, és a vagyongyarapodási vizsgálat lefolytatásához szükséges személyes adatokat továbbítja a NAV számára. Az adattovábbítás jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. A jogi kötelezettség a Vnytv. 14. § (4) és (5) bekezdése alapján határozható meg.
49.7. A Minisztérium közvetlen tulajdonosi joggyakorlása alá tartozó gazdasági társaságok vezető tisztségviselőire és felügyelő bizottsági tagjaira vonatkozó vagyonnyilatkozat-tételi kötelezettség keretében tett vagyonnyilatkozatokat a Minisztérium erre kijelölt szervezeti egysége kezeli, a 49.1–49.5. pontban foglaltak szerint.
50. A foglalkoztatottak tájékoztatása az adatkezelésekről
50.1. A Minisztérium – figyelemmel a Kit. 173. § (1) bekezdésére, illetve az Mt. 10. § (5) bekezdésére – köteles tájékoztatni a foglalkoztatottat a Minisztérium mint munkáltató által végzett adatkezelésekről.
50.2. A Minisztérium a Szabályzatban nem szereplő adatkezelésről eseti tájékoztatást adhat a foglalkoztatott számára, amelynek során a 11. alcímben foglalt rendelkezéseket kell alkalmaznia.
51. A belső ellenőrzési tevékenységgel összefüggő adatkezelés
51.1. Az adatkezelés célja annak biztosítása, hogy
a) a Minisztérium valamennyi tevékenysége és célja összhangban legyen a szabályszerűséggel, szabályozottsággal, valamint a gazdaságosság, hatékonyság és eredményesség követelményeivel, valamint
b) megfelelő, pontos és naprakész információk álljanak rendelkezésre a költségvetési szerv működésével kapcsolatosan.
51.2. Az adatkezelés az ellenőrzés lefolytatásához szükséges személyes adatokra terjed ki. Az adatkezelés során kiemelt figyelmet kell fordítani az adattakarékosság elvének érvényesülésére:
a) kizárólag azok a személyes adatok kezelhetőek, amelyek az ellenőrzési jelentésben foglaltak alátámasztásául, bizonyítékként szükségesek;
b) valamely dokumentum vagy annak másolata abban az esetben használható fel, ha az ellenőrzés megállapításainak bizonyításához ezen dokumentum elengedhetetlenül szükséges.
51.3. Az adatkezelés jogalapja a jogi kötelezettség teljesítéséhez szükséges adatkezelés [GDPR 6. cikk (1) bekezdés c) pont]. A jogi kötelezettség
a) az Áht. 70. §-a, valamint
b) a költségvetési szervek belső kontrollrendszeréről és belső ellenőrzéséről szóló 370/2011. (XII. 31.) Korm. rendelet [a továbbiakban: 370/2011. (XII. 31.) Korm. rendelet] 10. §-a
51.4. Az Ellenőrzési Főosztály az ellenőrzési jelentést tájékoztatásul elküldi az ellenőrzött szerv / szervezeti egység vezetőjének és a Kormányzati Ellenőrzési Hivatal elnökének. Az adattovábbítás jogalapja a közfeladat ellátásához szükséges adatkezelés [GDPR 6. cikk (1) bekezdés e) pont]. Az adattovábbítás a 370/2011. (XII. 31.) Korm. rendelet 43. § (4) bekezdésén és 44. § (1) bekezdésén alapul.
51.5. Az Ellenőrzési Főosztály az 51.2. pont szerinti dokumentumokat az Egyedi Iratkezelési Szabályzatban foglalt időpontig tárolja.
IX. FEJEZET
A MINISZTÉRIUM ÁLTAL VÉGZETT TOVÁBBI ADATKEZELÉSEK
52. A miniszteri elismerések adományozásával összefüggő adatkezelés
52.1. Az adatkezelés célja:
a) az adományozási eljárás lefolytatása, az elismerési javaslat előkészítése, a többszöri elismerés megelőzése, illetve a díjak visszavonásához szükséges eljárás lefolytatása,
b) az elismerésre jelölt személy nyilatkozatának beszerzése,
c) nyilvántartás vezetése az elismerésben részesülő személyekről,
d) az elismerést elnyerő személyek meghívása a díjátadó rendezvényekre.
52.2. A miniszteri elismerések adományozásával összefüggő adatkezelés a következő személyes adatokra terjedhet ki:
a) természetes személyazonosító adatok,
b) kapcsolattartási adatok (lakcím, telefonszám és e-mail-cím),
c) az elismerésre jelölt személy titulusa, iskolai végzettsége, munkahelye, feladatköre, munkaköre,
d) az elismerésre javasolt életútja, a méltatandó tevékenység indokolása, a jelölt szakmai életútjának eredményei,
e) a korábban kapott állami, miniszteri és szakmai elismerései.
52.3. Az adatkezelés jogalapja a közfeladat ellátásához szükséges adatkezelés [GDPR 6. cikk (1) bekezdés e) pont]. A közfeladat a gazdaságfejlesztési miniszter által adományozható elismerésekről szóló 9/2023. (VI. 5.) GFM rendelet alapján határozható meg.
52.4. A Minisztérium a személyes adatokat az Egyedi Iratkezelési Szabályzatban meghatározott időpontig tárolja, azt követően törli.
X. FEJEZET
A KÖZÉRDEKŰ ADATOK EGYEDI IGÉNYLÉSÉNEK ÉS AZ IGÉNYEK TELJESÍTÉSÉNEK SZABÁLYAI
53. A közérdekű adatigénylés módja
53.1. A miniszter Statútum rendelet 103–111/J. §-ában meghatározott feladat- és hatásköreit érintő, valamint közérdekű adat megismerésére irányuló egyedi igények fogadása és koordinálása – ide nem értve a közhitelű nyilvántartásból történő, törvényben szabályozott adatszolgáltatást – a Jogi és Koordinációs Főosztály feladatkörébe tartozik.
53.2. A közzétételi listákon nem szereplő közérdekű adat – szóban, írásban vagy elektronikus formában – történő igénylése az 53.3. pontban megjelölt elérhetőségeken történik.
53.3. A közérdekű adat megismerésére irányuló igények benyújtásának módja: A Minisztérium az érintett szóban, e-mailben, telefonon vagy papír alapon küldött kérelmét egyaránt teljesíti. Telefonhívás útján előterjesztett kérelem esetén a telefonbeszélgetést rögzíteni kell, ennek hiányában a telefonbeszélgetésről haladéktalanul feljegyzést kell készíteni. Ha az érintett a Minisztérium székhelyén szóban terjeszti elő a kérelmét, akkor azt írásba kell foglalni.
53.4. Bármely szervezeti egységhez érkező, az 53.1. pontban meghatározott igényt a címzett haladéktalanul köteles az adatvédelmi tisztviselőnek továbbítani. A beérkezett igényt az adatvédelmi tisztviselő nyilvántartásba veszi. A nyilvántartásnak tartalmaznia kell az igény témáját, az igénylő nevét, a válaszadásra kijelölt szakterület megnevezését, valamint az Infotv. szerinti válaszadási határidőket.
53.5.2 Az adatvédelmi tisztviselő mint közérdekű adat felelős a válasz előkészítése céljából elektronikus úton haladéktalanul, de legfeljebb 2 (kettő) napon belül továbbítja az igényt az adatbirtokos szervezeti egységhez, valamint tájékoztatásul megküldi a parlamenti államtitkár, a közigazgatási államtitkár és a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár részére is.
53.6. Az adatigénylő személyes adatainak az Infotv. 28. § (2) bekezdése szerinti határidőben történő törlése az adatvédelmi tisztviselő mint közérdekű adat felelős feladata.
53.7. Az igény teljesítése során kiemelt figyelmet kell fordítani arra, hogy a közérdekű adatok közlése ne járjon mások jogainak vagy törvény alapján korlátozottan megismerhető adatok bizalmasságának sérelmével. Különös figyelmet kell fordítani arra, hogy az adatszolgáltatással ne kerüljenek nyilvánosságra személyes adatok, minősített adatok, törvény által nyilvánosságában korlátozott vagy – ha az adatkezelő szerv vezetője másként nem döntött – „Nem nyilvános!” jelöléssel ellátott adatok.
53.8. Az adatigénylést meg kell tagadni, ha
a) az azonos igénylő által egy éven belül benyújtott, azonos adatkörre irányuló adatigényléssel megegyezik, feltéve, hogy az azonos adatkörbe tartozó adatokban változás nem állt be; vagy
b) az igénylő nem adja meg nevét, nem természetes személy igénylő esetén megnevezését, valamint azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos bármely tájékoztatás és értesítés megadható.
54. A közérdekű adatigény teljesítése
54.1. Az Infotv. 29. § (1) bekezdése alapján a közérdekű adat megismerésére irányuló igénynek az igény beérkezését követő legrövidebb idő alatt, de legfeljebb 15 (tizenöt) napon belül eleget kell tenni. A jogszabályban megállapított határidőn belül történő teljesítése érdekében a belső ügyintézési határidőt úgy kell megállapítani, hogy a jóváhagyási folyamatra kellő idő álljon rendelkezésre. A kért adatnak az adatvédelmi tisztviselő mint közérdekű adat felelős részére történő rendelkezésére bocsátásáról az adatbirtokos szervezeti egység gondoskodik.
54.2. Adatbirtokosnak minősül az a szervezeti egység, ahol a közérdekű adat keletkezik. Ha az adat nem a Minisztériumnál keletkezett, adatbirtokos az az adatkezelést végző szervezeti egység, ahol az adat fellelhető.
54.3. Ha az adatigénylés nem egyértelmű, az adatvédelmi tisztviselő mint közérdekű adat felelős – az adatbirtokos szervezeti egység kérésére – felhívja az igénylőt az igény pontosítására.
54.4.3 Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, vagy az adatigénylés teljesítése a Minisztérium alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, az 54.1. pontban megjelölt határidő egy alkalommal, 15 (tizenöt) nappal meghosszabbítható. Erről az igénylőt – a közigazgatási államtitkár vagy a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár és a parlamenti államtitkár egyetértése esetén − az igény beérkezését követő 15 (tizenöt) napon belül az adatvédelmi tisztviselő mint közérdekű adat felelős útján tájékoztatni kell.
54.5. A kért adatnak az igénylővel történő megismertetéséhez (betekintéshez, jegyzet készítéséhez) a Minisztérium megfelelő időt, tárgyi feltételeket, szükség szerint külön helyiséget biztosít.
54.6. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről – annak tárolási módjától függetlenül – az igénylő másolatot kaphat. A Minisztérium az adatigénylés teljesítéséért – az Infotv., valamint a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendelet [a továbbiakban: 301/2016. (IX. 30.) Korm. rendelet] figyelembevételével – legfeljebb a felmerült költségek mértékéig terjedően jogosult észszerű, az Önköltség-számítási Szabályzat szerint megállapított mértékű díjat felszámítani, amelynek összegéről, valamint a költségtérítés megfizetésének módjáról az igénylőt az igény teljesítését megelőzően tájékoztatni szükséges.
54.7. Ha az adatigénylés teljesítése a Minisztérium alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, vagy az a dokumentum vagy dokumentumrész, amelyről az igénylő másolatot igényelt, jelentős terjedelmű, illetve személyi és dologi költsége meghaladja a 301/2016. (IX. 30.) Korm. rendeletben megállapított összeghatárt, erről az igénylőt az igény beérkezését követő 15 (tizenöt) napon belül az adatvédelmi tisztviselő mint közérdekű adat felelős tájékoztatja.
54.8. Az 54.7. pontban meghatározott esetben az adatigénylést a költségtérítésnek az igénylő általi megfizetését követő 15 (tizenöt) napon belül kell teljesíteni. A költségtérítés igénylő általi megfizetésének tényét a Gazdálkodási Főosztály haladéktalanul jelzi az adatvédelmi tisztviselőnek mint közérdekű adat felelősnek. Ebben az esetben a tájékoztatás megtételétől az igénylő nyilatkozatának a Minisztériumhoz történő beérkezéséig terjedő időtartam az adatigénylés teljesítésére rendelkezésre álló határidőbe nem számít bele.
54.9. Az 54.7. pont szerinti tájékoztatáshoz csatolni kell a 2. függelékben meghatározott formanyomtatványt, és az adatigénylőt fel kell hívni arra, hogy amennyiben a tájékoztatást követően az igénylését fenntartja, a formanyomtatványt kitöltve küldje vissza.
54.10. A közérdekű adatigénylés teljesítésével kapcsolatban felmerült költségtérítést a Gazdálkodási Főosztály állapítja meg az Önköltség-számítási Szabályzat szerinti elszámoló íven. A megállapított költségtérítés összegéről a Gazdálkodási Főosztály tájékoztatja az adatvédelmi tisztviselőt mint közérdekű adat felelőst. Az adatigénylés teljesítését végző foglalkoztatottak nevét, a munkaidő-ráfordítás mértékét, a másolt színes és fekete-fehér oldalak számát, valamint a felhasznált adathordozók típusát és mennyiségét az adatbirtokos szervezeti egységnek kell megküldenie a Gazdálkodási Főosztály részére. A költségtérítéssel kapcsolatos számla kibocsátása a Gazdálkodási Főosztály feladata.
54.11. Indokolt esetben – a beérkezett adatigénylés tartalmától függően – a miniszter vagy a közigazgatási államtitkár a költségtérítés megállapítását mellőzheti.
54.12. Ha az igénylő az adatszolgáltatás kívánt módját nem jelölte meg, az igényt a Minisztérium ugyanolyan módon teljesíti, ahogy az igény a Minisztériumhoz érkezett, azzal, hogy e-mailben a válasz csak akkor adható meg, ha az igénylő ezt kéri, vagy ha az igénylő kapcsán más elérhetőség nem áll rendelkezésre.
54.13. A Minisztérium az adatvédelmi tisztviselő mint közérdekű adat felelős útján – az 55.1. pontban rögzített eljárásrend szerint és az Infotv.-ben rögzített határidők betartásával – az igénylőt az igény teljesítésének megtagadásáról, a megtagadás indokairól, valamint az őt megillető jogorvoslati lehetőségekről az igény beérkezését követő 15 (tizenöt) napon belül az 54.14. pontban részletezett módon értesíti.
54.14. Ha az adatigénylő nem adja meg a nevét, nem természetes személy igénylő esetén a megnevezését, valamint azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos bármely tájékoztatás és értesítés megadható, az adatigénylésnek nem kell eleget tenni.
55. A közérdekű adat megismerésére irányuló igények teljesítésének eljárásrendje
55.1. Az adatbirtokos szervezeti egység vezetője az igényelt adat megismerésére szolgáló vagy annak kiadását megtagadó válaszlevél-tervezetet elektronikus úton − a szolgálati út betartásával – az igény szervezeti egységhez történő érkezését követő 5 (öt) napon belül elküldi a szakterületért felelős kormányzati vezető részére. Amennyiben a közérdekű adatigénylés teljesítésével kapcsolatban költségtérítés felszámítása indokolt, a válaszlevél-tervezeten túlmenően meg kell küldeni az Önköltség-számítási Szabályzat szerint számított költséget tartalmazó, jelen Szabályzat 2. függelékét képező adatlapot is.
55.2.4 A szakterületért felelős kormányzati vezető a válaszlevél-tervezetet egyetértése esetén 2 (kettő) napon belül elküldi a közigazgatási államtitkár és a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár részére jóváhagyás, valamint az adatvédelmi tisztviselő mint közérdekű adat felelős e-mail-címére tájékoztatás céljából.
55.3.5 A választervezetet közigazgatási államtitkári vagy jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkári jóváhagyását követően az adatvédelmi tisztviselő jóváhagyás céljából 1 (egy) napon belül megküldi a parlamenti államtitkárnak. Az adatvédelmi tisztviselő a választervezet véleményezése céljából, szükség szerint a Minisztérium más önálló szervezeti egységének is megküldheti. A jóváhagyó és az esetleges véleményező szervezeti egységek 3 (három) napon belül az adatvédelmi tisztviselő részére módosítási javaslatot vagy jóváhagyást küldenek.
55.4. Az igénylő értesítéséről, illetve az igényelt közérdekű adat igénylő részére történő rendelkezésre bocsátásáról az egyeztetések eredményeként véglegesített választervezet megküldésével az adatvédelmi tisztviselő gondoskodik.
55.5. Az adatvédelmi tisztviselő a közérdekű adatigénylésre adott választ elektronikus úton tájékoztatás céljából az adatbirtokos szervezeti egység, a Parlamenti Államtitkárság, a Miniszteri Kabinet, a Közigazgatási Államtitkárság, a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkárság, valamint a Jogi és Koordinációs Főosztály részére megküldi.
55.6.6 Ha a közérdekű adat megismerése iránti igény teljesítésének megtagadása tekintetében törvény az adatkezelő mérlegelését teszi lehetővé, a közérdekű adat megismeréséről – az Infotv. 30. § (5) bekezdésében foglaltak figyelembevételével, az adatigénylés tartalmától függően – a közigazgatási államtitkár vagy a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár vagy a miniszter a jelen alcímben rögzített eljárásrend szerint dönt.
56. Adatszolgáltatási kötelezettség
56.1. Az elutasított közérdekű adatigénylésekről és az elutasítások indokairól az adatvédelmi tisztviselő mint közérdekű adat felelős évente összesítést készít, amelyet a közigazgatási államtitkár jóváhagyásával minden év január 31. napjáig megküld a NAIH részére.
57. A közérdekű adatok nyilvánosságának korlátozása
57.1. A közérdekű adatok nyilvánossága az Infotv. 27. § (1)–(7) bekezdése alapján korlátozható.
57.2. A Minisztérium feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított 10 (tíz) évig nem nyilvános. Ezen adatok megismerését – az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével – a közigazgatási államtitkár vagy a miniszter engedélyezheti.
57.3. A döntés megalapozását szolgáló adat megismerésére irányuló igény az Infotv. 27. § (6) bekezdése alapján utasítható el.
57.4. A közérdekű adat megismerésére irányuló igény elutasítását az adatkezelő, érintett szervezeti egység vezetője minden esetben köteles írásban indokolni.
57.5. A közérdekű adat megismeréséhez való jogot kizárólag csak jogszabályban meghatározott feltételek figyelembevételével lehet korlátozni.
58. A „Nem nyilvános!” adat kezelésére vonatkozó különös szabályok
58.1. Az Infotv. 27. § (5) bekezdése hatálya alá tartozó adathordozón – fedlapján vagy az első oldalának jobb felső sarkán – fel kell tüntetni a „Nem nyilvános!” jelölést és a nyilvánosság korlátozásának időtartamát. A „Nem nyilvános!” jelölés alkalmazását a kiadmányozási jogkör gyakorlója a kiadmányozással hagyja jóvá.
58.2. A Minisztérium „Nem nyilvános!” jelöléssel ellátott adatának megismerésére és kezelésére kizárólag az a személy jogosult, akinek az a feladat- és hatáskörének gyakorlásához szükséges.
58.3. A „Nem nyilvános!” jelöléssel ellátott adatot a korlátozás időtartama alatt a jelölést alkalmazó közfeladatot ellátó szerv vezetőjének engedélyével lehet nyilvánosságra hozni, vagy a közérdekű adat megismerésére irányuló igény előterjesztőjével közölni.
58.4. A döntés megalapozását szolgáló, „Nem nyilvános!” jelöléssel ellátott adat megismerésére irányuló igény az adathordozón feltüntetett korlátozási időtartamon belül a döntés meghozatalát követően akkor utasítható el, ha az adat megismerése a szerv törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen, külső befolyástól mentes ellátását veszélyeztetné.
XI. FEJEZET
A KÖZZÉTÉTELI KÖTELEZETTSÉGEK TELJESÍTÉSÉNEK RENDJE
59. Alkalmazási kör
59.1. A Minisztérium mint adatfelelős, adatkezelő és adatközlő az Infotv.-ben, a jogszabályok előkészítésében való társadalmi részvételről szóló 2010. évi CXXXI. törvényben, valamint az Ávr. 168. §-ában meghatározott közzétételi kötelezettségét – a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról szóló 305/2005. (XII. 25.) Korm. rendeletben, valamint a közzétételi listákon szereplő adatok közzétételéhez szükséges közzétételi mintákról szóló 18/2005. (XII. 27.) IHM rendeletben foglaltakra figyelemmel – jelen fejezetben foglaltak szerint teljesíti.
60. A közzététel általános szabályai
60.1. Az 1. függelékben meghatározott adatok közzétételre történő előkészítése, azok pontosságának és hitelességének folyamatos biztosítása, az adatok közzétételre alkalmas formában a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár részére történő átadása az 1. függelékben az egyes adatok tekintetében felelősként megjelölt szervezeti egység (a továbbiakban: adatközlésért felelős szervezeti egység) vezetőjének feladata.
60.2. Az adatközlésért felelős szervezeti egység vezetője a Szabályzatban foglalt feladatok ellátására egy munkatársát kijelöli, és a kijelölésről a Minisztérium jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkárát tájékoztatja. Az adatközlésért felelős szervezeti egység vezetője által kijelölt munkatárs az 1. függelékben meghatározott adatokat az adatvédelmi tisztviselőnek mint közérdekű adat felelősnek továbbítja.
60.3. A Minisztérium adatai tekintetében a www.kormany.hu internetes portálra feltöltött adatokért a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár felel.
60.4. Az adatközlésért felelős szervezeti egység vezetője gondoskodik a kezelésében lévő közérdekű adatok, adatbázisok, illetve nyilvántartások leíró adatainak hitelességéről és a frissített adatoknak az adatvédelmi tisztviselő mint közérdekű adat felelős részére történő továbbításáról.
60.5. A közzétételi kötelezettség elmulasztása miatt induló eljárásokban a hatósági megkereséseket és felhívásokat az adatközlésért felelős szervezeti egység köteles megválaszolni. A választervezetet előzetesen az adatvédelmi tisztviselővel egyeztetni kell, úgy, hogy az adatvédelmi tisztviselőnek a választervezet véleményezésére legalább 3 (három) munkanap álljon rendelkezésére.
61. Az Ávr.-ben foglaltak teljesítésével összefüggő szabályok
61.1. Az Ávr. 168. §-a szerint kötelezően közzéteendő adatokat az 1. függelék IV. pontjában meghatározott közzétételi egységek és adatok szerinti struktúrában kell megjeleníteni.
61.2. A közzétett adat helyesbítése, frissítése vagy eltávolítása iránt az adatközlésért felelős szervezeti egység haladéktalanul, de legkésőbb a kezdeményezés kézhezvételét követő munkanapon köteles intézkedni a jogi, igazgatási és koordinációs ügyekért felelős helyettes államtitkár által jóváhagyott adattartalomnak megfelelően.
1. függelék
I. Szervezeti, személyzeti adatok
|
Adat |
Az adatszolgáltatási kötelezettség teljesítésének határideje |
Adatközlésért felelős |
|
|---|---|---|---|
|
1. |
A Minisztérium hivatalos neve, székhelye, postai címe, telefon- és telefaxszáma, elektronikus levélcíme, honlapja, ügyfélszolgálatának elérhetőségei |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
|
2. |
A Minisztérium szervezeti felépítése a szervezeti egységek megjelölésével, az egyes szervezeti egységek feladatai |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
|
3. |
A Minisztérium vezetőinek és az egyes szervezeti egységek vezetőinek neve, beosztása, elérhetősége (telefon- és telefaxszáma, elektronikus levélcíme) |
A változásokat követően azonnal |
Humánerőforrás Főosztály |
|
4. |
A Minisztérium szervezeten belül hatáskörrel rendelkező ügyfélkapcsolati vezetőjének neve, elérhetősége (telefon- és telefaxszáma, elektronikus levélcíme) és az ügyfélfogadási rend |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
|
5. |
A Minisztérium irányítása, felügyelete vagy ellenőrzése alatt álló, vagy alárendeltségében működő más közfeladatot ellátó szervek megnevezése és az 1. pontban meghatározott adatai |
A változásokat követően azonnal |
Állami vagyonért felelős helyettes államtitkár |
|
6. |
A Minisztérium többségi tulajdonában álló, illetve részvételével működő gazdálkodó szervezet neve, székhelye, elérhetősége (postai címe, telefon- és telefaxszáma, elektronikus levélcíme), tevékenységi köre, képviselőjének neve, a Minisztérium részesedésének mértéke |
A változásokat követően azonnal |
Társasági Jogi Főosztály, |
|
7. |
A Minisztérium által alapított közalapítványok neve, székhelye, elérhetősége (postai címe, telefon- és telefaxszáma, elektronikus levélcíme), alapító okirata, kezelő szervének tagjai |
A változásokat követően azonnal |
Nemzeti fejlesztés- finanszírozásért felelős helyettes államtitkár |
|
8. |
A Minisztérium által alapított költségvetési szerv neve, székhelye, a költségvetési szervet alapító jogszabály megjelölése, illetve az azt alapító határozat, a költségvetési szerv alapító okirata, vezetője, honlapjának elérhetősége, működési engedélye |
A változásokat követően azonnal |
Iparügyekért felelős helyettes államtitkár |
|
9. |
A Minisztérium által alapított lapok neve, a szerkesztőség és kiadó neve és címe, valamint a főszerkesztő neve |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
II. Tevékenységre, működésre vonatkozó adatok
|
Adat |
Az adatszolgáltatási kötelezettség teljesítésének határideje |
Adatközlésért felelős |
|
|---|---|---|---|
|
1. |
A Minisztérium feladatát, hatáskörét és alaptevékenységét meghatározó, a szervre vonatkozó alapvető jogszabályok, közjogi szervezetszabályozó eszközök, valamint a szervezeti és működési szabályzat vagy ügyrend, az adatvédelmi és adatbiztonsági szabályzat hatályos és teljes szövege |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
|
2. |
Hatósági ügyekben ügyfajtánként és eljárás típusonként a hatáskörrel rendelkező szervezeti egység megnevezése, az ügyintézéshez szükséges dokumentumok, okmányok, eljárási illetékek (igazgatási szolgáltatási díjak) meghatározása, alapvető eljárási szabályok, az eljárást megindító irat benyújtásának módja (helye, ideje), az ügyintézés határideje (elintézési, fellebbezési határidő), az ügyek intézését segítő útmutatók, az ügymenetre vonatkozó tájékoztatás és az ügyintézéshez használt letölthető formanyomtatványok, az igénybe vehető elektronikus programok elérése, időpontfoglalás, az ügytípusokhoz kapcsolódó jogszabályok jegyzéke, tájékoztatás az ügyfelet megillető jogokról és az ügyfelet terhelő kötelezettségekről |
A változásokat követően azonnal |
Az adott hatósági ügy előkészítéséért felelős szervezeti egység |
|
3. |
A Minisztérium által fenntartott adatbázisok, illetve nyilvántartások leíró adatai (név, formátum, az adatkezelés célja, jogalapja, időtartama, az érintettek köre, az adatok forrása, kérdőíves adatfelvétel esetén a kitöltendő kérdőív) az adatvédelmi nyilvántartásba bejelentendő nyilvántartásoknak az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény szerinti azonosító adatai; |
A változásokat követően azonnal |
Iparügyekért felelős helyettes államtitkár |
|
4. |
A Minisztérium nyilvános kiadványainak címe, témája, a hozzáférés módja, a kiadvány ingyenessége, illetve a költségtérítés mértéke |
Negyedévente |
Jogi és Koordinációs Főosztály |
|
5. |
A Minisztérium által közzétett hirdetmények, közlemények |
Folyamatosan |
A hirdetményeket és közleményeket előkészítő szakmai szervezeti egység |
|
6. |
A Minisztérium által kiírt pályázatok szakmai leírása, azok eredményei és indokolásuk |
Folyamatosan |
A kiírást előkészítő és a kiírásért felelős szakmai szervezeti egység |
|
7. |
A Minisztériumnál végzett alaptevékenységgel kapcsolatos vizsgálatok, ellenőrzések nyilvános megállapításai |
A vizsgálatról szóló jelentés megismerését követően haladéktalanul |
Ellenőrzési Főosztály |
|
8. |
A közérdekű adatok megismerésére irányuló igények intézésének rendje, a hatáskörrel rendelkező szervezeti egység neve, elérhetősége, az adatvédelmi tisztviselő vagy az információs jogokkal foglalkozó személy neve |
Negyedévente |
Jogi és Koordinációs Főosztály |
|
9. |
A Minisztérium tevékenységére vonatkozó, jogszabályon alapuló statisztikai adatgyűjtés eredményei, időbeli változásuk |
Negyedévente |
Statisztikai adatgyűjtésért felelős szervezeti egység |
|
10. |
A közérdekű adatokkal kapcsolatos kötelező statisztikai adatszolgáltatás Minisztériumra vonatkozó adatai |
Negyedévente |
Jogi és Koordinációs Főosztály |
|
11. |
Azon közérdekű adatok hasznosítására irányuló szerződések listája, amelyekben a Minisztérium az egyik szerződő fél |
Negyedévente |
Gazdálkodási Főosztály |
|
12. |
A Minisztérium kezelésében lévő közérdekű adatok felhasználására, hasznosítására vonatkozó általános szerződési feltételek |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
|
13. |
A Minisztériumra vonatkozó különös és egyedi közzétételi lista |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
|
14. |
A törvény alapján közzéteendő jogalkotási tájékoztató |
A változásokat követően azonnal |
Jogi és Koordinációs Főosztály |
|
15. |
A törvény alapján közzéteendő jogszabálytervezetek és kapcsolódó dokumentumok |
A közigazgatási egyeztetésre bocsátással egyidejűleg |
Jogi és Koordinációs Főosztály |
III. Gazdálkodási adatok
|
Adat |
Az adatszolgáltatási kötelezettség teljesítésének határideje |
Adatközlésért felelős |
|
|---|---|---|---|
|
1. |
A Minisztérium éves költségvetése, számviteli törvény szerinti beszámolója vagy éves költségvetés-beszámolója |
A változásokat követően azonnal |
Költségvetési Főosztály a költségvetés esetében |
|
2. |
A Minisztériumnál foglalkoztatottak létszámára és személyi juttatásaira vonatkozó összesített adatok, illetve összesítve a vezetők és vezető tisztségviselők illetménye, munkabére és rendszeres juttatásai, valamint költségtérítése, az egyéb alkalmazottaknak nyújtott juttatások fajtája és mértéke összesítve |
Negyedévente |
Humánerőforrás Főosztály, szükség esetén a Gazdálkodási Főosztály közreműködésével |
|
3. |
A Minisztérium által nyújtott, az államháztartásról szóló törvény szerinti költségvetési támogatások adatai – kivéve, ha a közzététel előtt a költségvetési támogatást visszavonják, vagy arról a kedvezményezett lemond – az alábbiak szerint: |
A döntés meghozatalát követő hatvanadik napig |
Gazdálkodási Főosztály |
|
4. |
Az államháztartás pénzeszközei felhasználásával, az államháztartáshoz tartozó vagyonnal történő gazdálkodással összefüggő árubeszerzésre, építési beruházásra, szolgáltatás megrendelésre, vagyonértékesítésre, vagyonhasznosításra, vagyon vagy vagyoni értékű jog átadására, valamint koncesszióba adásra vonatkozó szerződések megnevezése (típusa), tárgya, a szerződést kötő felek neve, a szerződés értéke, határozott időre kötött szerződés esetében annak időtartama, valamint az említett adatok változásai a nemzetbiztonsági, illetve honvédelmi érdekkel közvetlenül összefüggő beszerzések adatai és a minősített adatok kivételével. |
A döntés meghozatalát követő hatvanadik napig |
Gazdálkodási Főosztály |
|
5. |
A koncesszióról szóló törvényben meghatározott nyilvános adatok (pályázati kiírások, pályázók adatai, az elbírálásról készített emlékeztetők, pályázat eredménye) |
Negyedévente |
A kiírást előkészítő és a kiírásért felelős szakmai szervezeti egység |
|
6. |
A Minisztérium által nem alapfeladatai ellátására (így különösen egyesület támogatására, foglalkoztatottjai szakmai és munkavállalói érdekképviseleti szervei számára, foglalkoztatottjai, ellátottjai oktatási, kulturális, szociális és sporttevékenységet segítő szervezet támogatására, alapítványok által ellátott feladatokkal összefüggő kifizetésre) fordított, ötmillió forintot meghaladó kifizetések |
Negyedévente |
Gazdálkodási Főosztály |
|
7. |
Az Európai Unió támogatásával megvalósuló fejlesztések leírása, az azokra vonatkozó szerződések |
Negyedévente |
A fejlesztések megvalósításáért és lebonyolításáért felelős főosztály |
IV. Az ávr. 168. §-ában előírt közzétételi kötelezettséggel összefüggő adatok listája
|
Adat |
Az adatszolgáltatási kötelezettség teljesítésének határideje |
Adatközlésért felelős |
|
|---|---|---|---|
|
1. |
A közbeszerzési eljárás eredményeként (a fejezeti kezelésű előirányzatok, illetve az alapok terhére) megkötött, nettó 100 millió forint teljesítési értéket meghaladó szerződések alapján teljesített kifizetés összege, közvetlen jogosultja és a kifizetés időpontja (Az előző állapot nem törölhető.) |
A kifizetést követő |
Gazdálkodási Főosztály |
|
2. |
A közbeszerzési eljárás eredményeként (az intézményi kezelésű előirányzatok terhére) megkötött, nettó 100 millió forint teljesítési értéket meghaladó szerződések alapján teljesített kifizetés összege, közvetlen jogosultja és a kifizetés időpontja (Az előző állapot nem törölhető.) |
A kifizetést követő |
Gazdálkodási Főosztály |
|
3. |
Az európai uniós társfinanszírozással bonyolított pályázatok esetében a nettó 100 millió forintot meghaladó, teljesített kifizetés összege, kedvezményezettje és a kifizetés időpontja |
A kifizetést követő |
A pályázati kiírást előkészítő, a kiírásért felelős szakmai szervezeti egység |
A 3. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
Az 1. melléklet 53.5. pontja a 23/2025. (VII. 24.) NGM utasítás 1. §-ával megállapított szöveg.
Az 1. melléklet 54.4. pontja a 23/2025. (VII. 24.) NGM utasítás 1. §-ával megállapított szöveg.
Az 1. melléklet 55.2. pontja a 23/2025. (VII. 24.) NGM utasítás 1. §-ával megállapított szöveg.
Az 1. melléklet 55.3. pontja a 23/2025. (VII. 24.) NGM utasítás 1. §-ával megállapított szöveg.
Az 1. melléklet 55.6. pontja a 23/2025. (VII. 24.) NGM utasítás 1. §-ával megállapított szöveg.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás