2/2026. (II. 12.) BM utasítás
2/2026. (II. 12.) BM utasítás
a Belügyminisztérium adatvédelmi, adatbiztonsági és a közérdekű, közérdekből nyilvános adatok megismerésére, közzétételére vonatkozó szabályzatának kiadásáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában meghatározott hatáskörömben eljárva – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 30. § (6) bekezdésében és 35. § (3) bekezdésében, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 24. cikk (2) bekezdésében foglaltakra tekintettel – a következő utasítást adom ki:
1. § A Belügyminisztérium adatvédelmi, adatbiztonsági és a közérdekű, közérdekből nyilvános adatok megismerésére, közzétételére vonatkozó szabályzatát az 1. mellékletben foglaltak szerint határozom meg.
2. § Ez az utasítás a közzétételét követő napon lép hatályba.
3. §1
1. melléklet a 2/2026. (II. 12.) BM utasításhoz
ÁLTALÁNOS RENDELKEZÉSEK
1. Az utasítás hatálya
1. Az utasítás személyi hatálya kiterjed
a) a Belügyminisztérium (a továbbiakban: minisztérium) szervezetére, a szervezeti egységekre és a foglalkoztatottakra és
b) a 17. Adatvédelmi ellenőrzés alcím tekintetében a belügyminiszter (a továbbiakban: miniszter) által irányított, felügyelt szervezetekre.
2. Az utasítás tárgyi hatálya a minisztérium kezelésében lévő személyes adatokra és a tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett közérdekű és közérdekből nyilvános adatokra terjed ki.
2.1. Az utasításban foglaltakat a minisztérium szervezeti egységei által végzett adatkezelési műveletekre kell alkalmazni, az adatok megjelenési formájától függetlenül, az adatkezelés teljes folyamatára kiterjedően – az adatok megszerzésétől vagy keletkezésétől azok törléséig, illetve megsemmisítéséig –, függetlenül attól, hogy az adatok valamely nyilvántartási rendszer vagy valamely irat részét képezik.
2.2. A minisztérium adatkezelésében közreműködő, a minisztérium nevében, illetve megbízásából vagy rendelkezése alapján eljáró adatfeldolgozókkal vagy a közös adatkezelőként kötendő szerződésekben, illetve megállapodásokban a személyes adatok kezelésére az utasításban foglalt követelményeket érvényesíteni kell.
2.3. Az utasítást a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) és az ágazati jogszabályok, belső normák vonatkozó rendelkezéseivel összhangban kell alkalmazni.
2.4. A minisztériumhoz érkező, illetve ott keletkezett nyílt iratok készítésének, kezelésének, nyilvántartásának, irattározásának és selejtezésének rendjét, az iratkezeléssel összefüggő adatvédelmi és adatbiztonsági rendelkezéseket a minisztérium egyedi iratkezelési szabályzatában foglaltakkal összhangban kell alkalmazni.
2.5. A minisztérium elektronikus információs rendszereiben kezelt, illetve tárolt személyes adatok kezelésére és védelmére vonatkozó követelményeket a minisztérium informatikai biztonsági szabályzatában foglaltakkal összhangban kell alkalmazni.
2.6. A minősített adatok tekintetében az utasítást a minisztérium biztonsági szabályzatában foglaltakkal összhangban kell alkalmazni.
2. Értelmező rendelkezések
3. Az utasítás alkalmazásában
3.1. adatfelelős szervezeti egység: az egyes közzétételi egységek tekintetében a közzétételért, frissítésért felelős, a jogi és koordinációs helyettes államtitkár által meghatározott, a minisztérium honlapján közzétett általános közzétételi lista szerinti szervezeti egység;
3.2. adatfeltöltő: a minisztérium kommunikációval foglalkozó szervezeti egysége;
3.3. adatgazda: az adatkezelő szervezeti egység vezetője, aki döntési jogosultsággal rendelkezik az adatkezelést érintően;
3.4. adatigénylés: a minisztériumhoz benyújtott, közérdekű, illetve közérdekből nyilvános adat megismerésére irányuló beadvány;
3.5. az adatigénylés teljesítését koordináló szervezeti egység: a Jogtanácsosi és Adatvédelmi Főosztály (a továbbiakban: JAFO);
3.6. adatigénylő: az adatigénylés benyújtója;
3.7. adatkezelés: az Infotv., illetve a GDPR szerinti adatkezelés fogalma;
3.8. adatkezelési korlátozás: a GDPR 4. cikk 3. pontja szerinti fogalom;
3.9. adatkezelési tevékenységek nyilvántartása: a minisztérium adatkezelő szervezeti egységei által végzett adatkezelési tevékenységeket összesítő nyilvántartás;
3.10. adatkezelő szerv: minisztérium;
3.11. adatkezelő szervezeti egység: a minisztérium adatkezelést végző önálló szervezeti egysége;
3.12. adatkezelő szerv vezetője: miniszter;
3.13. adatvédelmi incidens: a GDPR 4. cikk 12. pontja szerinti fogalom;
3.14. adatvédelmi tisztviselő: a GDPR IV. fejezet 4. szakaszában foglaltak szerint kijelölt személy;
3.15. általános közzétételi lista: az Infotv. 37. § (1) bekezdésében és 1. mellékletében meghatározott közzétételi lista;
3.16. belső adatfelelős: az adatgazda által kijelölt személy, akinek feladata a közzéteendő adatok továbbítása közzétételre és a közzétett adatok frissítése;
3.17. betekintés: az adatigénylésben megjelölt közérdekű, közérdekből nyilvános adat megismerésének biztosítása a minisztérium által megjelölt helyen és módon;
3.18. egyedi közzétételi lista: a miniszter, illetve jogszabály által a minisztériumra vonatkozóan meghatározott, kötelezően közzéteendő adatkörök;
3.19. elektronikus információs rendszer biztonságáért felelős személy: a minisztérium informatikai biztonsági szabályzatában meghatározott felelős;
3.20. érintett: a II. fejezet tekintetében a GDPR 4. cikk 1. pontja szerinti természetes személy;
3.21. költségrendelet: a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendelet;
3.22. költségtérítés: az Infotv. 29. § (3)–(4), valamint (5)–(6) bekezdése szerint megállapítható költségtérítés a költségrendeletben meghatározott feltételek teljesülése esetén;
3.23. közérdekből nyilvános adat: az Infotv. szerinti közérdekből nyilvános adat;
3.24. közérdekű adat: az Infotv. szerinti közérdekű adat;
3.25. közös adatkezelők: a GDPR 26. cikke szerinti fogalom;
3.26. közzéteendő adat: az általános közzétételi listában, a különös közzétételi listában és az egyedi közzétételi listában felsorolt adat;
3.27. közzététel: a közzéteendő adatoknak a www.kormany.hu oldalon belül, a minisztérium honlapján történő hozzáférhetővé tétele, ideértve az adat helyesbítését, a már közzétett, illetve időszerűtlenné vált adat módosítását, kicserélését, valamint az adat eltávolítását, továbbá az Infotv. 37/C. §-ában, valamint a Központi Információs Közadat-nyilvántartás részletszabályairól szóló 499/2022. (XII. 8.) Korm. rendelet által előírt adatlap Központi Információs Közadat-nyilvántartás elektronikus felületére történő feltöltés;
3.28. különös közzétételi lista: az Infotv. 37. § (2) bekezdése szerint közzéteendő adatok.
RÉSZLETES RENDELKEZÉSEK
3. A miniszter feladatai
4. A miniszter az általa vezetett minisztérium vonatkozásában felel
a) az adatvédelmi és adatbiztonsági intézményrendszer kiépítéséért és működtetéséért;
b) a személyes adatok védelméhez és az információszabadsághoz kapcsolódó követelmények teljesítéséhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések meghozataláért;
c) a rendszeres adatvédelmi ellenőrzésért, az ellenőrzés során feltárt hiányosságok, jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás lefolytatásáért;
d) az adatvédelmi tisztviselő kijelöléséért, nevének és elérhetőségeinek a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) részére történő bejelentéséért;
e) az adatvédelmi tisztviselő feladatainak végrehajtásához szükséges feltételek biztosításáért, a szakértői szintű ismereteinek fenntartásához szükséges feltételek biztosításáért.
4. Az adatgazda feladatai
5. Az adatgazda gondoskodik
a) az általa vezetett adatkezelő szervezeti egységhez tartozó foglalkoztatottak tekintetében
aa) az adatvédelmi, adatbiztonsági, információszabadsági követelmények érvényre juttatásáról,
ab) a szükséges hozzáférési jogosultságok kiadására és visszavonására irányuló intézkedések megtételéről,
ac) a vonatkozó jogszabályokban, közjogi szervezetszabályozó eszközökben rögzített adatvédelmi, adatbiztonsági, információszabadsági előírások betartásának ellenőrzéséről és azok megsértése esetén a hiányosságok, jogszabálysértő körülmények haladéktalan megszüntetéséről,
ad) az adatvédelmi, adatbiztonsági, információszabadsági tárgyú tudatosító – ideértve az adatkezeléssel, adatvédelmi incidenskezeléssel, adatbiztonsággal, iratkezeléssel, közérdekű, illetve közérdekből nyilvános adatok megismerésével és közzétételével összefüggő ismereteket is – képzéseken történő részvételéről;
b) a tervezett, megváltozó vagy megszűnt adatkezelések bejelentéséről az adatvédelmi tisztviselőnek, az 1. függelék szerinti iratminta használatával;
c) az általa vezetett adatkezelő szervezeti egység által végzett adatfeldolgozói tevékenységek bejelentéséről az adatvédelmi tisztviselőnek, a 2. függelék szerinti iratminta használatával;
d) a GDPR 13., illetve 14. cikke szerinti adatkezelési tájékoztató elkészítéséről és az érintettek számára történő hozzáférhetővé tétele iránti intézkedések megtételéről, az adatkezelési tájékoztató szükség szerinti felülvizsgálatáról, módosításáról;
e) a minisztérium adatfeldolgozójával kötendő, a feladat- és hatáskörét érintő adatfeldolgozási szerződés, illetve közös adatkezelői megállapodás előkészítéséről, szükség szerinti felülvizsgálatáról;
f) az adatvédelmi hatásvizsgálat lefolytatásáról, illetve felülvizsgálatáról;
g) a feladat- és hatáskörét érintő adatvédelmi incidens gyanú kivizsgálásáról és a szükséges intézkedések megtételéről.
5. A foglalkoztatottak feladatai
6. Az adatkezelést végző foglalkoztatottak
a) a vonatkozó jogszabályokban, közjogi szervezetszabályozó eszközökben meghatározottak, illetve feladat- és hatáskörük szerint kezelik a feladataik ellátásával összefüggésben tudomásukra jutott személyes adatokat, valamint a közérdekű és közérdekből nyilvános adatokat;
b) tudásukat naprakészen tartják a munkavégzésükre irányadó adatvédelmi, adatbiztonsági, információszabadsági előírások kapcsán, az adatvédelmi incidensek megelőzése, gyanújának felismerése, elhárítása érdekében.
6. A minisztérium szervezetén kívüli személyek, szervezetek bevonása
7. Ha a minisztérium közérdekű feladatának ellátásához adatfeldolgozó igénybevétele szükséges – jogszabály eltérő rendelkezése hiányában – az adatfeldolgozó által végzendő adatkezelést és felelősségét a minisztérium és az adatfeldolgozó közötti adatfeldolgozói szerződésben, megállapodásban kell rögzíteni, a GDPR 28. cikkében foglaltaknak megfelelően.
8. Ha a minisztérium közérdekű feladatának ellátása érdekében közös adatkezelői jogviszony létesítése szükséges, közös adatkezelői megállapodást kell kötni, amely megállapodásnak tartalmaznia kell a GDPR 26. cikke szerinti tartalmi elemeket. A létrejött közös adatkezelői megállapodás lényegét a kapcsolódó adatkezelési tájékoztató részeként az érintettek rendelkezésére kell bocsátani.
7. Az adatvédelmi tisztviselő
9. A miniszter az adatvédelmi tisztviselőt írásban jelöli ki. Adatvédelmi tisztviselőnek csak olyan személy jelölhető ki, aki a személyi biztonsági feltételeknek megfelel.
10. Nem jelölhető ki adatvédelmi tisztviselőnek olyan személy, aki a minisztériumnál adatkezeléssel kapcsolatos döntések meghozatalára jogosult személynek a Polgári Törvénykönyvről szóló 2013. évi V. törvény 8:1. § (1) bekezdés 2. pontja szerinti hozzátartozója.
11. Az adatvédelmi tisztviselő nevéről és elérhetőségeiről a minisztériumi foglalkoztatottakat tájékoztatni kell, és a Hatóság nyilvántartásába be kell jelenteni.
12. Az adatvédelmi tisztviselő nevét és elérhetőségeit a minisztérium honlapján közzéteendő adatkezelési tájékoztatókban meg kell jelölni.
13. Az adatvédelmi tisztviselő a JAFO szervezetén belül működik, feladatainak ellátását a JAFO támogatja.
14. A miniszter biztosítja – az adatvédelmi tisztviselői feladatok ellátásához – a szükséges hozzáférést a feladatok végrehajtásában érintett elektronikus információs rendszerekhez, iratokhoz, egyéb adathordozókhoz, valamint a szakmai ismeretek naprakészen tartásához szükséges feltételeket és erőforrásokat.
15. A minisztériummal foglalkoztatási jogviszonyban álló személyek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben a hivatali út betartása nélkül, közvetlenül fordulhatnak az adatvédelmi tisztviselőhöz.
16. Az adatvédelmi tisztviselő feladatellátása, illetve a JAFO 13. pont szerinti feladatellátása során biztosítani kell, hogy más feladatokból adódóan ne keletkezzen összeférhetetlenség, és az egyéb feladatok ellátása ne veszélyeztesse az adatvédelmi tisztviselői feladatok ellátását.
17. A JAFO az adatvédelmi tisztviselői feladatok ellátásának támogatása keretében
a) vezeti a minisztérium adatkezelési tevékenységek nyilvántartását;
b) éves adatvédelmi ellenőrzési tervet (a továbbiakban: ellenőrzési ütemterv) készít;
c) az ellenőrzési ütemterv alapján, illetve szükség szerint, különösen adatvédelmi incidens esetén ellenőrzi a minisztérium adatkezelő szervezeti egységeinél, valamint a minisztérium adatfeldolgozójánál az adatvédelmi, adatbiztonsági követelmények teljesítését;
d) a miniszter által irányított, felügyelt szervezeteknél adatvédelmi ellenőrzést végez;
e) az ellenőrzésről jelentést készít a miniszter részére, és felhívja az adatkezelési, adatbiztonsági előírást megsértő adatkezelő szervezeti egységet, illetve az adatkezelő szervezet vezetőjét intézkedési terv készítésére, illetve a jogszerű állapot haladéktalan helyreállítására, és indokolt esetben kezdeményezi a személyi felelősség megállapításához szükséges eljárást;
f) a személyes adatok kezelését igénylő új tevékenység, feladat ellátásáért felelős adatkezelő szervezeti egység kérésére véleményezi a tervezett adatkezelést;
g) megvizsgálja a tervezett vagy módosuló adatkezelés érintettekre gyakorolt hatását, kockázatát, szükség esetén adatvédelmi hatásvizsgálatot javasol;
h) véleményezi az adatfeldolgozóval, közös adatkezelővel vagy más önálló adatkezelővel kötendő, illetve más, adatfeldolgozással kapcsolatos rendelkezéseket is tartalmazó megállapodásokat;
i) új adatkezelés tervezése vagy valamely adatkezelés körülményeinek megváltozása esetén megvizsgálja, hogy szükséges-e azzal kapcsolatban adatkezelési tájékoztató vagy más dokumentáció összeállítása;
j) közreműködik az adatvédelmi incidens kivizsgálásában, és a vizsgálat eredménye alapján – a jogszabályi feltételek fennállása esetén – a jogi és koordinációs helyettes államtitkár jóváhagyásával az adatvédelmi incidenst bejelenti a Hatóság részére,
k) vezeti a minisztérium adatvédelmi incidens-nyilvántartását;
l) igény esetén szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, és nyomon követi az adatvédelmi hatásvizsgálat elvégzését;
m) jogi támogatást nyújt, így tájékoztat és szakmai tanácsot ad az adatkezelő szervezeti egységek részére az adatvédelemmel, adatbiztonsággal és a közérdekű, illetve közérdekből nyilvános adatok megismerésével és közzétételével kapcsolatos kérdésekben; kapcsolatot tart az adatkezelő szervezeti egységek, valamint az önálló belügyi szervek adatvédelmi felelőseivel, és segítséget nyújt munkájukhoz;
n) részt vesz a Hatóság által szervezett képzéseken;
o) kapcsolatot tart a Hatósággal, valamint az adatvédelemmel és a közérdekű adatok nyilvánosságával kapcsolatos kérdésekben képviseli a minisztériumot;
p) közreműködik a minisztérium állományának adatvédelmi, adatbiztonsági, valamint a közérdekű és közérdekből nyilvános adatok nyilvánossága tárgyú képzésében és továbbképzésében.
18. A JAFO kijelölt munkatársa helyettesíti az adatvédelmi tisztviselőt, aki az adatvédelmi tisztviselő feladata ellátásához szükséges mértékben jogosult
a) a szolgálati út betartásával tájékoztatást, felvilágosítást kérni az utasítás hatálya alá tartozó adatkezelésről;
b) a minisztérium adatkezelésébe tartozó adatkezelést vizsgálni, és kijelölés esetén minden olyan helyiségbe belépni, ahol az adatkezelés folyik;
c) kijelölése esetén tanácskozási és véleményezési joggal részt venni minden olyan fórumon, ahol a feladatainak ellátásával összefüggő kérdések szerepelnek a napirenden;
d) javaslatot tenni valamely adatkezelését érintő kérdésben.
8. Az adatvédelmi hatásvizsgálat lefolytatása és az előzetes konzultáció kezdeményezése
19. Az adatgazda tervezett vagy folyamatban lévő, módosuló adatkezelésnél köteles előzetesen adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
20. Adatvédelmi hatásvizsgálatot kell végezni különösen a GDPR 35. cikk (3) bekezdése szerinti esetekben.
21. Adatvédelmi hatásvizsgálatot kell végezni továbbá, ha a tervezett adatkezelés a Hatóság honlapján közzétett jegyzékben („Hatásvizsgálati lista”) szerepel.
22. Nem kell lefolytatni adatvédelmi hatásvizsgálatot, ha a kötelező adatkezelést előíró jogszabályhoz készült adatvédelmi hatásvizsgálat, illetve azonos tárgyban már készült adatvédelmi hatásvizsgálat.
23. Az adatvédelmi hatásvizsgálatot az adatgazda az adatkezelést megelőzően köteles lefolytatni. Az adatvédelmi hatásvizsgálatban az adatgazda köteles feltárni az adatkezeléssel járó kockázatokat és értékelni a kockázatok mérséklésére teendő intézkedéseket. Az adatvédelmi hatásvizsgálatban az adatgazda feladata az adatkezelés jellegének leírása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredő kockázatok értékelése és a kezelésükre szolgáló intézkedések meghatározása.
24. Az adatgazda a kockázatelemzés kapcsán kikérheti a tervezett, illetve megváltozó adatkezelés által érintett személyek véleményét.
25. Az adatvédelmi hatásvizsgálat keretében az adatgazda kikéri szükség szerint az elektronikus információs rendszer biztonságáért felelős személy és az érintett elektronikus információs rendszerek üzemeltetésében részt vevő szervezetek, valamint a JAFO véleményét. Ezt követően az adatgazda megválaszolja a 3. függelék szerinti iratmintában szereplő kérdéseket.
26. Az adatgazda az adatvédelmi hatásvizsgálatról – minősített adatot nem tartalmazó, „Nem nyilvános!” jelzéssel ellátott – írásbeli összefoglaló jelentést készít a 4. függelék szerinti módszertan alapján.
27. Az adatvédelmi hatásvizsgálat során keletkezett iratok a minisztérium döntését előkészítő adatokat tartalmaznak, ezért azokon „Nem nyilvános!” jelzést kell elhelyezni. Ha a hatásvizsgálat során kezelt adatok egy része esetében azok minősítésére vonatkozó jogszabályi feltételek fennállnak, a miniszter dönt a szükséges iratok minősítéssel történő védelméről és annak szintjéről.
28. Az adatgazda előzetes konzultációt kezdeményez a Hatóságnál, ha
a) az adatvédelmi hatásvizsgálat arra az eredményre jut, hogy a tervezett adatkezelés kockázata nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, vagy
b) azt jogszabály kötelezően előírja.
29. Az adatkezelés nem kezdhető meg az adatvédelmi hatásvizsgálat, illetve adott esetben az előzetes konzultáció lezárultáig vagy az adatvédelmi hatásvizsgálat mellőzésének, megszüntetésének okait tartalmazó összefoglaló jelentés elkészítéséig.
30. Az adatgazda az adatvédelmi hatásvizsgálat lefolytatását követően köteles a jelentést és az 1. függelék szerinti, Adatkezelési tevékenységek nyilvántartásába bejelentés megnevezésű dokumentumot elektronikusan a JAFO-nak elküldeni.
31. Az adatgazda szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén köteles ellenőrzést lefolytatni annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e. Ilyen kockázatot jelenthet a minisztérium szervezetében bekövetkezett változás, vagy újabb adatbiztonsági kockázat megjelenése, illetve a szabályozásban bekövetkezett változás is szükségessé teheti az ellenőrzés lefolytatását, és szükség szerint új biztonsági intézkedés, mechanizmus beépítését és alkalmazását.
32. Az Infotv. 5. § (3) bekezdése szerinti kötelező adatkezelés esetén az adatvédelmi hatásvizsgálatot az adatkezelést előíró, jogszabályt előkészítő szervezeti egység folytatja le. Az adatvédelmi hatásvizsgálatnak tartalmaznia kell legalább az Infotv. 25/G. § (5) bekezdésében meghatározott elemeket.
9. Az adatkezelési tevékenységek nyilvántartása
33. A minisztérium adatkezelési tevékenységek nyilvántartását a JAFO vezeti elektronikusan, a minisztérium székhelyén, elkülönített, zárt elektronikus információs rendszerben.
34. Az adatkezelési tevékenységek nyilvántartása adatkezelési célok szerint és a GDPR 30. cikk (1) bekezdése alapján összeállított nyilvántartás-bejegyzésekből áll.
35. Az adatgazda elektronikusan elküldi az adatvédelmi tisztviselőnek
a) a tervezett, megváltozó vagy megszűnt adatkezelések esetén az 1. függelék szerinti, az Adatkezelési tevékenységek nyilvántartásába bejelentés elnevezésű iratminta alapján kitöltött dokumentumot,
b) adatvédelmi hatásvizsgálat lefolytatása esetén a 26. pont szerinti összefoglaló jelentést, illetve
c) a 32. pont szerinti adatvédelmi hatásvizsgálatot, ha az adatkezelő a minisztérium.
36. A JAFO az adatkezelést, illetve az adatkezelés megszűnését bevezeti az adatkezelési tevékenységek nyilvántartásába az elküldött dokumentumok alapján.
10. Az érintettek jogai, valamint az érintettek jogainak érvényesítésével összefüggő feladatok
37. Az érintettet megillető jogok gyakorlására kizárólag az érintett megfelelő azonosítását követően és az érintett személyes adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva van lehetőség.
38. A minisztérium adatkezelésére vonatkozó érintetti joggyakorlásra irányuló kérelmek esetében – a GDPR 13–14. cikke szerinti tájékoztatás kivételével – minden esetben érdemben vizsgálni kell, hogy a kérelmet benyújtó természetes személy kilétével, azonosításával kapcsolatban merülnek-e fel kétségek.
39. Az érintetti joggyakorlásra irányuló kérelmet benyújtó természetes személy személyazonosságának megállapítása érdekében további intézkedéseket kell tenni, ha a kérelem
a) a kérelmező személyének azonosítását nem biztosító elektronikus levélben, elektronikus aláírás nélkül vagy
b) nem a polgári perrendtartásról szóló 2016. évi CXXX. törvény 323. §-a szerinti közokiratba vagy 325. §-a szerinti teljes bizonyító erejű magánokiratba foglalt postai küldeményként
40. A kérelmet benyújtó természetes személy azonosítása érdekében kizárólag az adott célhoz szükséges és elégséges további személyes adat kérhető.
41. Valamely okiratról készült egyszerű elektronikus másolat vagy nem hitelesített nem elektronikus másolat a természetes személy azonosítására nem alkalmas.
42. A minisztérium az ellenkező bizonyításáig a kérelmet előterjesztő személy megfelelő azonosításának ismeri el a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (a továbbiakban: Dáptv.) szerint benyújtott beadványokat, a teljes bizonyító erejű magánokiratokban foglalt postai úton előterjesztett és az érintett azonosításához szükséges adatokat tartalmazó kérelmeket és a minisztérium ügyfélszolgálatán a személyazonosság okirattal történő előzetes igazolását követően személyesen előterjesztett beadványokat.
43. Az érintetti joggyakorlásra irányuló kérelmek kapcsán a feladat- és hatáskörrel rendelkező adatkezelő szervezeti egység megállapítja, hogy abban a GDPR szerinti mely érintetti jogot – különösen a GDPR 15. cikke szerinti hozzáférési jogot – kívánja gyakorolni a kérelmező.
44. Az adatkezelő szervezeti egység a hozzáférési jog biztosítása során a harmadik fél személyiségi jogainak védelmét szem előtt tartva jár el az adatokról készített másolat és az azokba történő betekintés biztosítása során is.
45. Az adatkezelő szervezeti egység az érintett kérelmét indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül válaszolja meg a vonatkozó jogszabályok és belső normák figyelembevételével. A GDPR 12. cikk (3) bekezdése szerinti esetben a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő szervezeti egységnek a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatnia kell az érintettet.
46. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást az adatkezelő szervezeti egység elektronikus úton teljesíti, kivéve, ha az érintett azt másként kérte.
47. Az érintett hozzáférési jogának gyakorlása során a tájékoztatást és a személyes adatról kért első másolatot díjmenetesen kell biztosítani, kivéve, ha az érintett kérelme – annak ismétlődő jellege vagy jogszabály értelmében – túlzó. Ez esetben – eltérő jogszabályi rendelkezés hiányában – a minisztérium igazgatása önköltségszámítási szabályzata szerint megállapított mértékű díjat kell felszámítani.
48. Az elektronikus úton biztonságosan nem továbbítható személyes adatokat az adatkezelő szervezeti egység postai úton, tértivevényes küldeményben, védett elektronikus adathordozón küldi meg az érintett részére, vagy az érintett kérésére jegyzőkönyv egyidejű felvétele mellett személyesen adja át.
49. Az érintett részére nyújtandó bármely értesítést és tájékoztatást, ideértve az adatkezelésről szóló tájékoztatót, tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani. Az információk írásban vagy elektronikus úton, illetve az érintett kérelmére szóban is megadhatók, ha az érintett személyazonossága igazolt.
50. Az adatkezelő szervezeti egység az adatkezelést megelőzően köteles az adatkezelési tájékoztatót – szükség esetén a JAFO véleményének kikérésével – elkészíteni és az érintettek számára történő hozzáférhetővé tétele iránt intézkedni.
11. Az adatigénylés és a lekérdezés során irányadó szabályok
51. Az adatkezelő szervezeti egység a minisztérium feladataihoz kapcsolódó egyes eljárások során az országos hatósági nyilvántartásokból vagy más célból kezelt adatbázisokból lekért vagy átvett, de az ügy szempontjából érdektelenné vált vagy fel nem használt személyes adatok esetében köteles az ügyirat továbbítását, illetve irattárba helyezését megelőzően gondoskodni azok dokumentált törléséről, illetve megsemmisítéséről.
52. Az olyan elektronikus információs rendszernél, ahol az adatkezelés célja, az adatkezelést folytató személy azonosítása, valamint az adatoknak és az elvégzett műveleteknek a folyamatos és zárt rendszerben történő naplózása nem biztosított, a jogszabályi előírások teljesítése érdekében más módon – így különösen manuálisan vezetett lekérdezési naplóban vagy a nyilvántartásból történő lekérdezéshez alkalmazott információs rendszerben történő rögzítéssel – kell gondoskodni az adatkezelési művelet céljának dokumentálásáról.
12. Adattovábbítás
53. Az adatkezelő szervezeti egység, illetve a minisztérium nevében adattovábbításra jogosult szervezet az adattovábbítás feltételeinek meglétét minden egyes személyes adattal összefüggésben köteles megvizsgálni, különösen azt, hogy az igényelt személyes adat tekintetében a minisztérium adatkezelőnek minősül-e.
54. Adatvédelmi szempontból az adattovábbítás akkor jogszerű, ha a minisztérium jogosult az adat továbbítására, az adattovábbítás címzettje (adatkérő) pedig rendelkezik a személyes adat kezeléséhez szükséges jogalappal vagy az érintett írásos – a vonatkozó jogszabályi előírásoknak megfelelő – hozzájárulásával, és az adatkérés célja ezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerű adattovábbítás követelménye.
55. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – törvényben előírt kötelező adattovábbítás kivételével – az adatgazda, illetve a minisztérium nevében az adattovábbítási kérelem elbírálására jogosult szervezet hatáskörébe tartozik, amellyel kapcsolatban kikérheti a JAFO véleményét.
56. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza
a) az adatigénylés célját, jogalapját;
b) a kért adatok körének pontos meghatározását;
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
57. Az adattovábbítás történhet kérelem alapján egyedi adatszolgáltatással, illetve – törvény erre irányuló rendelkezése alapján – közvetlen hozzáférés biztosításával, az adatbiztonsági követelmények betartásával.
13. Adattovábbítási nyilvántartás
58. Ha olyan személyes adat továbbítására kerül sor, amellyel kapcsolatban az adatkezelő szervezeti egység adatkezelési korlátozást jelzett, az adatkezelési korlátozást szerepeltetni kell az adattovábbítási nyilvántartásban.
59. Az adatkezelés célját, a továbbított személyes adatok fajtáit, illetve az adatkezelést végző személy azonosítását lehetővé tevő adatokra és az elvégzett műveletekre vonatkozóan az adatgazda adattovábbítási nyilvántartás vezetéséről gondoskodik
a) azon elektronikus információs rendszerek esetében, ahol a folyamatos, zárt rendszerben történő naplózás nem biztosított;
b) manuális adatkezelés esetén; illetve
c) jogszabály rendelkezése alapján.
14. A közvetlen lekérdezés
60. A közvetlen lekérdezést biztosító elektronikus információs rendszert – a lekérdezés és a felhasználás jogszerűségének dokumentálása érdekében – úgy kell kialakítani, hogy
a) a személyes adatokhoz történő hozzáférés egyedi azonosító és jelszó megadásához kötötten történjen,
b) a lekérdezés naplózása biztosított legyen, és
c) a hozzáférésre felhatalmazott személy a lekérdezéskor a rendszer erre a célra kialakított állományában rögzíteni tudja az adatkérés jogalapjára és céljára utaló adatot.
ADATVÉDELMIINCIDENS-KEZELÉSI ELJÁRÁS
15. Az adatvédelmi incidens észlelése
61. Ha a minisztérium, illetve a minisztérium adatfeldolgozójának foglalkoztatottja vagy más belső személy a minisztérium adatkezelésére, illetve adatfeldolgozójára vonatkozó adatvédelmi incidens gyanúját észleli, az 5. függelék szerinti iratminta alapján elkészített bejelentés elektronikus úton történő elküldésével haladéktalanul tájékoztatja az adatgazdát.
62. A minisztérium adatkezelésére, illetve a minisztérium adatfeldolgozójára vonatkozó adatvédelmi incidens gyanút észlelő külső személy által tett bejelentést haladéktalanul továbbítani kell az adatgazdának.
63. A minisztérium Ügyfélszolgálatára külső személytől érkező, a minisztérium adatkezelésére, illetve a minisztérium adatfeldolgozójára vonatkozó adatvédelmi incidens gyanú tárgyában érkezett bejelentést az Ügyfélszolgálat haladéktalanul továbbítja az adatgazdának.
64. Ha a minisztérium ellenőrzésre jogosult szervezeti egysége a feladata ellátása során észlel adatvédelmi incidens gyanút, arról haladéktalanul tájékoztatja az adatgazdát.
16. Az adatvédelmi incidens vizsgálata, intézkedések
65. A 61–64. pont szerinti tájékoztatást követően az adatgazda haladéktalanul tájékozódik az eset körülményeiről.
66. Ha az adatvédelmi incidens gyanú a minisztérium által igénybe vett adatfeldolgozó tevékenységét érinti, az adatgazda haladéktalanul bevonja az adatfeldolgozó képviselőjét az adatvédelmi incidens körülményeinek és az azzal összefüggő lehetséges kockázatok, hatások kivizsgálásába.
67. Ha a rendelkezésre álló adatok alapján az adatvédelmi incidens egyértelműen megállapítható, az adatgazda soron kívül megkezdi az adatvédelmi incidens érintettekre jelentkező hatásainak csökkentését, és az adatvédelmi incidenst haladéktalanul bejelenti az adatvédelmi tisztviselőnek, amelyhez elküldi a 6. függelék szerinti iratmintában meghatározott adatokat, illetve az adatvédelmi incidenshez kapcsolódóan rendelkezésére álló információkat.
68. Ha az adatgazda nem tudja egyértelműen megállapítani a rendelkezésre álló adatok alapján az adatvédelmi incidens bekövetkezését, haladéktalanul összehívja az adatvédelmi incidens bizottságot (a továbbiakban: bizottság), amelynek tagja
a) az adatvédelmi tisztviselő vagy a JAFO-nak az adatvédelmi tisztviselő által kijelölt tagja;
b) az elektronikus információs rendszer biztonságáért felelős személy;
c) a Felügyeleti Ellenőrzési Főosztály tagja;
d) az adatgazda;
e) a Kommunikációs Főosztály tagja;
f) a Rendvédelmi Informatikai és Elektronikus Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője.
69. A bizottság a 61–64. pont szerinti tájékoztatást megvizsgálja, a tájékoztatótól, valamint az adatfeldolgozótól szükség esetén további adatszolgáltatást kérhet, amelyet az érintettek kötelesek haladéktalanul teljesíteni.
70. Ha az adatvédelmi tisztviselő, illetve a JAFO kijelölt tagja megállapítása szerint
a) nem lehet a vizsgálatot 72 órán belül teljeskörűen lefolytatni; vagy
b) nem lehet megállapítani egyértelműen a rendelkezésre álló adatok alapján az adatvédelmi incidenssel érintettek körét, az azzal érintett adatkört vagy az adatvédelmi incidens bekövetkezésének valamennyi más lényeges körülményét,
71. Ha a bizottság megállapítja, hogy nem állapítható meg adatvédelmi incidens, de egyéb incidens bekövetkezése igen, a feladat- és hatáskört figyelembe véve kerül sor a további eljárás folytatására és az adatvédelmi incidens vizsgálat lezárására.
72. Ha a bizottság a vizsgálat során megállapítja, hogy adatvédelmi incidens következett be, az adatgazda soron kívül megkezdi az adatvédelmi incidens érintettekre jelentkező hatásainak csökkentését, és az adatvédelmi incidenst haladéktalanul bejelenti az adatvédelmi tisztviselőnek, amelyhez csatolja a 6. függelék szerinti iratmintában meghatározott adatokat, illetve az adatvédelmi incidenshez kapcsolódóan rendelkezésére álló információkat.
73. A JAFO mérlegeli az adatvédelmi incidens következtében az érintettekre nézve jelentkező kockázatokat. Ennek során legalább a következőket veszi figyelembe:
a) az adatvédelmi incidens jellegét;
b) az érintettek kategóriáit, hozzávetőleges számát;
c) az adatvédelmi incidenssel érintett adatok kategóriáit, hozzávetőleges számát;
d) az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
e) az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, ideértve az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket;
f) az elektronikus információbiztonságot is érintő incidensek esetén az elektronikus információbiztonságért felelős szervezeti egység vezetője által azonosított kockázatokat;
g) az adatvédelmi incidensek kezelése és a kapcsolódó kockázatok mérlegelése tárgyában az Európai Adatvédelmi Testület által elfogadott – vagy a GDPR alkalmazandóvá válását követően fenntartott – iránymutatást;
h) a korábban elvégzett adatvédelmi hatásvizsgálat dokumentációját, illetve a rendelkezésre álló egyéb információkat.
74. A JAFO a GDPR 33. cikk (1) bekezdésében meghatározott bejelentési kötelezettség határidőben történő teljesítésének sérelme nélkül, feljegyzésben tájékoztatja a jogi és koordinációs helyettes államtitkárt az adatvédelmi incidens kapcsán tett megállapításairól és az érintettekre nézve valószínűsített kockázatokról, illetve a javasolt intézkedésekről.
75. Ha az adatvédelmi incidens valószínűsíthetően kockázattal, illetve magas kockázattal jár az érintettek jogaira és szabadságaira nézve, a JAFO 72 órán belül intézkedik a Hatóság felé történő bejelentésről a Hatóság erre rendszeresített elektronikus felületének igénybevételével.
76. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, a GDPR 34. cikk (3) bekezdésében felsorolt esetek kivételével az adatgazda gondoskodik az érintettek – 7. függelék szerinti iratminta felhasználásával történő – tájékoztatásáról.
77. Ha az adatvédelmi incidenssel érintett természetes személyek tájékoztatására – különösen az érintettek köre vagy a kapcsolattartási adatok biztonságának sérülése miatt – észszerű módon nincs lehetőség, a JAFO az adatvédelmi incidens főbb jellemzőire vonatkozó értesítés minisztérium honlapján történő közzétételét kezdeményezi az adatgazda felé.
78. A JAFO a bekövetkezett adatvédelmi incidensekről az 5. függelék szerinti iratmintában meghatározott, személyes adatokat nem tartalmazó nyilvántartást vezet elektronikusan, a minisztérium székhelyén zárt elektronikus információs rendszerben.
17. Adatvédelmi ellenőrzés
79. A JAFO a tárgyévet követő évre vonatkozó ellenőrzési ütemtervet minden év október 31-ig készíti elő és terjeszti a miniszter elé jóváhagyásra.
80. Az ellenőrzési ütemterv tartalmazza
a) az ellenőrzést végző szerv, illetve szervezeti egység megnevezését;
b) az ellenőrzött szerv, illetve szervezeti egység megnevezését;
c) az ellenőrzés típusát;
d) az ellenőrzés tárgyát és célját;
e) az ellenőrizendő időszakot;
f) az ellenőrzés tervezett időtartamát, a jelentés elkészítésének határidejét;
g) az ellenőrök, szakértők megnevezését;
h) az ellenőrzés részletes feladatait és az alkalmazott módszereket;
i) a kiállítás keltét;
j) a miniszter jóváhagyását.
81. Az ellenőrzési ütemterv végrehajtását az adatvédelmi tisztviselő felügyeli.
82. Az ellenőrzési ütemtervet a JAFO a miniszter jóváhagyásával módosíthatja.
83. Az adatvédelmi tisztviselő minden adatvédelmi ellenőrzés lefolytatásához kijelöli az ellenőrzést lefolytató ellenőröket és szükség esetén az ellenőrzésben részt vevő szakértőket.
84. Az ellenőr a megállapításairól, következtetéseiről és javaslatairól ellenőrzési jelentéstervezetet készít, amelynek tartalmáért, a levont következtetésekért, a kapcsolódó javaslatokért, valamint a megállapítások valódiságáért és alátámasztásáért felelős.
85. Az ellenőrzési jelentéstervezetnek tartalmaznia kell
a) az ellenőrzést végző szerv, illetve szervezeti egység megnevezését;
b) az ellenőrzött szerv, illetve szervezeti egység megnevezését;
c) az ellenőrzésre vonatkozó jogszabályi és belső normában rögzített felhatalmazás megjelölését;
d) az ellenőrzés típusát;
e) az ellenőrzés tárgyát;
f) az ellenőrzés célját;
g) az ellenőrzött időszakot;
h) adott esetben a helyszíni ellenőrzés kezdetét és végét;
i) az alkalmazott ellenőrzési módszereket és eljárásokat;
j) a vezetői összefoglalót;
k) az ellenőrzési megállapításokat, következtetéseket és javaslatokat, valamint a köztük fennálló összefüggéseket;
l) az ellenőrzött időszakban az ellenőrzött területért felelős vezető(k) nevét, beosztását;
m) a jelentés dátumát és az ellenőrzésben közreműködött ellenőrök, szakértők nevét és aláírását.
86. Az ellenőrzés megállapításainak bizonyítására felhasználható különösen
a) eredeti okirat;
b) a másolat, amely az eredeti okirat szöveghű, hitelesített másolata;
c) a kivonat, amely az eredeti okirat meghatározott részének, részeinek szöveghű, hitelesített másolata;
d) a tanúsítvány, amely több eredeti okiratnak az ellenőr által meghatározott szövegrészét és számszaki adatait tartalmazza;
e) a fénykép, videófelvétel vagy más kép-, hang- és adatrögzítő eszköz, amely alkalmazható az ellenőr által szemrevételezett helyzet, állapot hiteles igazolására;
f) a szakértői vélemény, amely a speciális ismereteket igénylő szakkérdésekben felkért szakértő által adott értékelés;
g) a nyilatkozat, amely az ellenőrzött szerv, illetve szervezeti egység alkalmazottjának olyan írásbeli vagy szóbeli kijelentése, amely okirat hiányában vagy meglévő okirattal ellentétesen valamilyen tényállást közöl;
h) a többes nyilatkozat, amely több személynek külön-külön vagy együttesen tett nyilatkozata ugyanazon tényállásról;
i) az elektronikus információs rendszerben rögzített, feldolgozott, onnan lekérdezéssel paraméterek, illetve szűrési feltételek beállításával nyerhető adat.
87. A megállapításokat, következtetéseket és javaslatokat lényegre törően és világosan kell megfogalmazni az ellenőrzési jelentéstervezetben, hogy
a) az ellenőrzött szerv, illetve szervezeti egység működése, illetve az ellenőrzött tevékenység objektíven értékelhető legyen;
b) azok végrehajthatóak, teljesítésük pedig ellenőrizhető és számonkérhető legyen.
88. Az ellenőr köteles az ellenőrzési jelentéstervezetben objektíven szerepeltetni minden olyan lényeges tényt, pozitív és negatív megállapítást, hiányosságot és ellentmondást, amely biztosítja a vizsgált tevékenységről szóló ellenőrzési jelentés teljességét.
89. Az ellenőrök az ellenőrzési jelentéstervezet elkészítésénél kötelesek értékelni minden, a vizsgált szervezet, illetve egyéb felek által rendelkezésükre bocsátott információt és véleményt.
90. Az ellenőrzési jelentéstervezet vezetői összefoglalójában az ellenőrzés eredményét és a feltárt hiányosságokat összefoglaló értékelést kell adni.
91. A JAFO az ellenőrzési jelentéstervezetet felterjeszti a jogi és koordinációs helyettes államtitkár részére jóváhagyásra, és a jóváhagyását követően az ellenőrzési jelentéstervezetet a jogi és koordinációs helyettes államtitkár megbízásából elküldi egyeztetés céljából az ellenőrzött szerv, illetve szervezeti egység vezetőjének, továbbá annak, akire vonatkozóan a jelentéstervezet megállapítást vagy javaslatot tartalmaz (a továbbiakban együtt: érintettek).
92. Az érintettek észrevételeiket a jelentéstervezet kézhezvételétől számított 8 napon belül küldhetik meg a JAFO vezetője részére.
93. Indokolt esetben a JAFO vezetője a 92. pontban meghatározottnál hosszabb, legfeljebb 30 napos határidőt is megállapíthat az észrevételezésre.
94. A jelentéstervezet elküldésére vonatkozó kísérő levélben fel kell hívni az ellenőrzött figyelmét arra, hogy a határidő elmulasztását egyetértésnek kell tekinteni, és a nemleges választ is jelezni kell a határidőn belül, valamint az észrevételek elküldésével egy időben lehetősége van egyeztető megbeszélés kezdeményezésére.
95. Ha az érintettek nem tesznek érdemi észrevételt a jelentéstervezetre, nemleges válaszukkal együtt – ha a jelentéstervezet megállapításokat vagy javaslatokat tartalmaz az érintett szervezet, szervezeti egység vonatkozásában – már az intézkedési tervet is elkészíthetik és elküldhetik a JAFO vezetője részére a megadott véleményezési határidőn belül.
96. Az észrevételek elfogadásáról vagy elutasításáról a JAFO – a jogi és koordinációs helyettes államtitkár jóváhagyását követően – az észrevételezési határidő lejártától számított 15 napon belül az érintetteknek írásbeli tájékoztatást küld, és indokolja az el nem fogadott észrevételeket, vagy kezdeményezi egyeztető megbeszélés összehívását.
97. Az elfogadott észrevételeket az ellenőr átvezeti az ellenőrzési jelentéstervezeten. Az érintettek észrevételeit, illetve a JAFO válaszát csatolni kell az ellenőrzés dokumentációjához.
98. Ha az érintett, illetve érintettek a megállapításokat vitatják, egyeztető megbeszélést kell tartani, bármelyik fél kezdeményezésére.
99. Az egyeztető megbeszélésen részt vesz az adatvédelmi tisztviselő, az ellenőrzést végző ellenőrök, illetve az ellenőrzött szervezeti egység vezetője, irányított szervnél végzett ellenőrzés esetén annak adatvédelmi tisztviselője, valamint a vizsgálatban érintett egységek vezetői és szükség szerint más olyan személy, akinek meghívása a vizsgálat tárgya vagy megállapításai miatt indokolt. Az egyeztető megbeszélésről jegyzőkönyvet kell készíteni, amely tartalmazza a megbeszélés eredményét. A jegyzőkönyvet csatolni kell az ellenőrzési jelentéshez. Ha az egyeztető megbeszélés nem vezet eredményre, a jogi és koordinációs helyettes államtitkár ismételt ellenőrzés elvégzéséről dönthet.
100. Indokolt esetben a JAFO – a jogi és koordinációs helyettes államtitkár jóváhagyásával – az észrevételek átvezetése után a jelentéstervezetet az érintetteknek ismételten elküldheti visszamutatás céljából 5 napos határidővel.
101. A lezárt ellenőrzési jelentést a vizsgálatot végző ellenőrök, az adatvédelmi tisztviselő és a JAFO vezetője aláírását, a jogi és koordinációs helyettes államtitkár jóváhagyását, illetve a közigazgatási államtitkár egyetértését követően a miniszter hagyja jóvá, amelyet követően a JAFO a jóváhagyott ellenőrzési jelentést elküldi az ellenőrzött szervezet, illetve szervezeti egység vezetője részére, továbbá annak, akire vonatkozóan megállapítást vagy javaslatot tartalmaz, és szükség esetén felkéri az intézkedési terv elkészítésére.
102. Ha az ellenőrzés során büntető-, szabálysértési, kártérítési, illetve fegyelmi eljárás megindítására okot adó cselekmény, mulasztás vagy hiányosság gyanúja merül fel, a JAFO vezetője kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását.
103. Az intézkedési terv elkészítéséért, végrehajtásáért és a megtett intézkedésekről a miniszter részére történő beszámolásért az ellenőrzött szervezet, illetve szervezeti egység vezetője felelős.
104. Az intézkedési tervet a szükséges intézkedések végrehajtásáért felelős személyek és a vonatkozó határidők megjelölésével kell elkészíteni. Az intézkedési tervben az egyes feladatokhoz kapcsolódó határidőket úgy kell meghatározni, hogy azok számonkérhetőek legyenek. Ha a feladat – jellegéből adódóan – egy éven túli, részfeladatokat, illetve részhatáridőket kell meghatározni, ahol értelmezhető.
105. Az intézkedési tervet a lezárt ellenőrzési jelentés kézhezvételétől számított 8 napon belül kell elkészíteni és elküldeni a JAFO vezetője részére. Indokolt esetben a JAFO javaslatára a miniszter ennél hosszabb, legfeljebb 30 napos határidőt is megállapíthat.
106. A miniszter az intézkedési terv jóváhagyásáról az intézkedési terv kézhezvételétől számított 8 napon belül dönt.
107. Az ellenőrzött szervezet, illetve szervezeti egység vezetője a miniszter által jóváhagyott intézkedési tervben meghatározott egyes feladatok végrehajtására, legfeljebb egy alkalommal – a határidő lejártát megelőzően – határidő-, illetve feladatmódosítást kérhet a jogi és koordinációs helyettes államtitkártól. A kérelem elfogadásáról vagy elutasításáról a jogi és koordinációs helyettes államtitkár dönt, és a döntésről a JAFO tájékoztatja az ellenőrzött szervezet, illetve szervezeti egység vezetőjét.
108. Az ellenőrzött szervezet, illetve szervezeti egység vezetője az intézkedési tervben meghatározott egyes feladatok végrehajtásáról az intézkedési tervben meghatározott legutolsó határidő lejártát követő 8 napon belül írásban beszámol a miniszter részére, és ezen beszámolót egyúttal tájékoztatásul elküldi a jogi és koordinációs helyettes államtitkár részére is.
109. A beszámoló tartalmazza a megtett intézkedések rövid leírását, a végre nem hajtott intézkedések okát és esetlegesen a határidő-, illetve feladatmódosítási kérelmet.
110. Ha az ellenőrzött szerv, szervezeti egység vezetője az intézkedési tervben meghatározott egyes feladatok végrehajtásáról a 108. pontban meghatározott határidőn belül nem számol be, és határidő-hosszabbítást sem kért, a miniszter, illetve a jogi és koordinációs helyettes államtitkár utóellenőrzést kezdeményezhet.
111. A JAFO éves bontásban nyilvántartást vezet, amellyel a belső ellenőrzési jelentésekben tett megállapításokat, javaslatokat, a vonatkozó intézkedési terveket és azok végrehajtását nyomon követi.
KÖZÉRDEKŰ ÉS KÖZÉRDEKBŐL NYILVÁNOS ADATOK
18. A közérdekű és közérdekből nyilvános adatok megismerésére irányuló igény intézésének eljárási szabályai és a költségtérítés
112. Közérdekű, illetve közérdekből nyilvános adat megismerése iránt bárki igényt nyújthat be a minisztériumhoz.
113. Az adatigénylés a minisztériumhoz benyújtható
a) postai úton: a Belügyminisztérium Ügyfélszolgálatának címezve;
b) személyesen: a minisztérium székhelyén vagy a minisztérium Ügyfélszolgálatán;
c) elektronikus úton: az ugyfelszolgalat@bm.gov.hu e-mail-címre küldött elektronikus levélben, illetve e-PAPÍR útján.
114. A minisztériumhoz benyújtott adatigénylést az átvevő szervezeti egység érkezteti. Az érkeztetett adatigénylést haladéktalanul meg kell küldeni a JAFO vezetőjének.
115. A JAFO gondoskodik
a) az adatigénylés iktatásáról és formai vizsgálatáról, amelynek keretében haladéktalanul megvizsgálja, hogy az Infotv. 29. § (1a) és (1b) bekezdésében foglaltak fennállnak-e, így az adatigénylés tartalmazza-e az adatigénylő nevét, nem természetes személy esetében megnevezését és azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos tájékoztatás megadható, továbbá az adatigénylő egyértelműen megjelölte-e, hogy milyen módon kívánja megismerni az adatokat, és az adatigénylés azonos adatigénylő által egy éven belül benyújtott, azonos adatkörre irányuló adatigénylés-e;
b) az adatigénylés koordinációjáról, az illetékes szervezeti egységeknek az adatigénylés teljesítésébe történő bevonásáról határidő tűzésével;
c) az adatkezelő szervezeti egységek jogi támogatásáról a közérdekű, közérdekből nyilvános adatok megismerésével és közzétételével kapcsolatos kérdésekben;
d) az adatigénylő pontosításra felhívásáról, amely esetben köteles figyelemmel lenni arra, hogy a pontosításra felhívás megtételétől az erre adott válasznak a minisztériumhoz való beérkezéséig terjedő időtartam az adatigénylés teljesítési határidejébe nem számít bele;
e) a 117. pont szerint elküldött választervezet alapján – a jogi adatvédelmi szempontú vizsgálatot követően – az adatigénylésre vonatkozó válasz elkészítéséről és a válaszlevél adatigénylőnek történő továbbításáról;
f) az adatigénylő nevének az Infotv. 28. § (2) bekezdésében meghatározott célból, az ott meghatározott ideig történő kezeléséről és a jogszerű adatkezelési tartamot követő törléséről;
g) nyilvántartás vezetéséről az elutasított adatigénylésekről, valamint az elutasítások indokairól;
h) az adatigénylések teljesítésének és megtagadásának számáról, a megtagadások jellemző indokairól, az adatigénylések teljesítéséhez szükséges napok átlagos számáról, valamint a közérdekű és közérdekből nyilvános adatok közzétételének elérhetőségéről a Hatóságnak küldendő jelentéstervezet előkészítéséről és a jelentés Hatóságnak történő benyújtásáról minden évben január 31-ig;
i) a miniszter által irányított, felügyelt szervezeteknél a miniszter által elrendelt, a közérdekű és közérdekből nyilvános adatok közzétételével kapcsolatos ellenőrzés lefolytatásáról.
116. Az adatgazda gondoskodik az adatigénylés tartalmi vizsgálatáról, amelynek keretében vizsgálja, hogy
a) az adatigénylés tartalma egyértelmű-e, szükség esetén az adatigénylő pontosításra felhívására tesz javaslatot a JAFO vezetőjének;
b) közérdekű, illetve közérdekből nyilvános adatnak minősül-e az igényelt információ;
c) a minisztérium kezelésében van-e és a tevékenységére vonatkozik-e vagy közfeladatának ellátásával összefüggésben keletkezett-e az igényelt adat;
d) az igényelt formában rendelkezésre áll-e az adat;
e) fennáll-e az adatigénylés teljesítésének megtagadására vonatkozó bármely törvényes ok;
f) nyilvános forrásból elérhető-e az igényelt adat;
g) szükségessé teszi-e az adatigénylés teljesítése új adat előállítását, illetve a minisztérium tényleges kezelésében nem lévő – így különösen az irányítása vagy felügyelete alatt álló közfeladatot ellátó szerv kezelésében lévő – adat beszerzését, begyűjtését;
h) a közérdekű adatot tartalmazó dokumentum az adatigénylő által meg nem ismerhető adatot tartalmaz-e, szükség esetén intézkedik a meg nem ismerhető adat felismerhetetlenné tétele iránt a másolaton;
i) az adatigénylés teljesítése indokolja-e költségtérítés megállapítását, illetve javasolt-e az adatigénylőt tájékoztatni az adatigénylés teljesítésének a másolatkészítést nem igénylő (betekintés) lehetőségeiről.
117. Az adatgazda a 116. pont szerinti tartalmi vizsgálat alapján az adatigénylés beérkezésétől számított 8 napon belül előkészíti az adatigénylés elutasításáról, annak indokairól és a jogorvoslati lehetőségekről szóló választervet, illetve összegyűjti az igényelt adatokat, és azokat a választervezettel együtt elküldi a JAFO vezetőjének.
118. Az adatigénylésnek az adatigénylés beérkezését követő lehető legrövidebb idő alatt, legfeljebb azonban 15 napon belül – ha a minisztérium aránytalan nehézség nélkül teljesíteni képes – az adatigénylő által kívánt formában, illetve módon kell eleget tenni. A minisztérium az elektronikus levélben benyújtott adatigényléseket a Kormányzati Integrált Közérdekű Adatközlési Portál (KIKAP) igénybevételével is teljesítheti.
119. Ha az adatigénylés 15 nap alatt nem teljesíthető, a teljesítési határidő meghosszabbításáról az adatigénylőt a JAFO az adatigénylés beérkezését követő 15 napon belül írásban tájékoztatja.
120. Ha az adatigénylés olyan adatra vonatkozik, amelyet az Európai Unió valamely intézménye vagy tagállama állított elő, és az az adatigénylés teljesíthetőségének vizsgálata érdekében indokolt, a JAFO vezetője haladéktalanul megkeresi az Európai Unió érintett intézményét vagy tagállamát az Európai Uniós és Nemzetközi Helyettes Államtitkárság, valamint a Miniszterelnökség feladat- és hatáskörrel rendelkező államtitkársága bevonásával, és erről az adatigénylőt tájékoztatja. A tájékoztatás megtételétől az Európai Unió érintett intézménye vagy tagállama válaszának a minisztériumhoz való beérkezéséig terjedő időtartam az adatigénylés teljesítésére rendelkezésre álló határidőbe nem számít bele.
121. Ha az adatigénylő adatigénylésében az adatokat tartalmazó dokumentumról vagy dokumentumrészről másolatot kér, a minisztérium az Infotv. 29. § (3) bekezdése szerinti esetben költségtérítést állapíthat meg, ha a felmerült költség mértéke meghaladja a költségrendeletben meghatározott, költségtérítésként megállapítható legalacsonyabb összeget, azzal, hogy az így meghatározott költségtérítés összege ekkor sem haladhatja meg a költségrendeletben meghatározott legmagasabb összeget.
122. A dologi költségek megállapításáról és számítási módjáról a minisztérium igazgatása önköltségszámítási szabályzata rendelkezik.
123. Az adatkezelő szervezeti egység az adatigénylés teljesítésénél elszámolható költségeket a 8. függelék szerinti iratminta felhasználásával állapítja meg, számla kiállítására azonban csak abban az esetben kerül sor, ha ez indokolt, és a dologi költségek vonatkozásában a másolt oldalak száma meghaladja a tíz oldalt.
124. Ha a dologi költségek vonatkozásában a másolandó oldalak száma a tíz oldalt meghaladja, az adatkezelő szervezeti egység elektronikusan elküldi a 8. függelék szerinti dokumentumot a Pénzügyi Erőforrás-gazdálkodási Főosztály (a továbbiakban: PEF) vezetőjének a költségszámítás elkészítése céljából.
125. A PEF vezetője a rendelkezésre álló tényleges dologi költségek feltüntetése után a 8. függelék szerinti kitöltött dokumentumot elküldi a JAFO vezetőjének a költségek összegszerű kimutatásával.
126. A JAFO az adatigénylés beérkezésétől számított 15 napon belül tájékoztatást küld az adatigénylő részére a költségtérítés összegéről, illetve az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségeiről. Az adatigénylő a tájékoztatás kézhezvételét követő 30 napon belül nyilatkozhat arról, hogy adatigénylését fenntartja-e. A tájékoztatás megtételétől az adatigénylő nyilatkozatának a minisztériumhoz való beérkezéséig terjedő időtartam az adatigénylés teljesítésére rendelkezésre álló határidőbe nem számít bele. Ha az adatigénylő az adatigénylését fenntartja, a költségtérítést a minisztérium által megállapított, legalább 15 napos határidőben köteles a minisztérium részére megfizetni.
127. Ha a minisztérium költségtérítést állapít meg, az adatigénylést a költségtérítésnek az igénylő általi megfizetését követő 15 napon belül kell teljesíteni.
128. A minisztérium a számviteli bizonylat elkészítése céljából az adatigénylőnek – a költségekről szóló tájékoztatóval egy időben – elküldi a 9. függelék szerinti dokumentumot, amelyen az adatigénylő nevét és címét szükséges feltüntetni a számviteli bizonylat kiállítása céljából.
19. Az adatigénylés teljesítésének elutasítása mentesülési ok alapján
129. Az adatigénylés teljesítése az Infotv. vonatkozó előírásai alapján utasítható el. Az adatgazda erre figyelemmel készíti elő a választervet és küldi meg a JAFO vezetőjének.
20. Az adatigénylés teljesítésének megtagadása
130. Ha az igényelt közérdekű, illetve közérdekből nyilvános adat
a) nincs a minisztérium kezelésében; vagy
b) a minisztérium kezelésében van, de az Infotv. 27. § (1)–(2) vagy (4)–(6) bekezdésében meghatározott valamely megtagadási ok fennáll,
131. Ha az adatigénylés az Infotv. 27. § (5) és (6) bekezdése szerinti döntés megalapozását, illetve további döntés megalapozását szolgáló adat minőségére hivatkozással, illetve arra tekintettel kerül elutasításra, hogy a közérdekű adat megismerése a minisztérium törvényes működésének rendjét veszélyeztetné, feladat- és hatáskörének illetéktelen külső befolyásolását tenné lehetővé, az adatgazda köteles megindokolni és alátámasztani a közérdekű adat megismerésének megtagadásaként megjelölt okot.
132. Ha az adatigénylés megtagadásának alapja az Infotv. 27. § (5) bekezdése, a minisztérium válaszlevele tartalmazza annak mérlegelését, hogy a megtagadás alapjául szolgáló közérdek nagyobb súlyú-e a közérdekű adat megismerésére irányuló igény teljesítéséhez fűződő közérdeknél.
133. Ha az adatigénylés üzleti titokra hivatkozással kerül elutasításra, az adatgazda köteles beszerezni a titokgazda álláspontját arra vonatkozóan, hogy az adatigényléssel érintett közérdekű adat adatigénylés során történő megismerésével mely védett ismeret az, mely az üzleti tevékenység végzése szempontjából aránytalan sérelmet szenvedne. A titokgazdának álláspontjában ki kell térnie az adatmegismerés korlátozásának jogszerűségére, indokoltságára, szükségességére és arányosságára.
134. A 130. pontban foglaltak megfelelő alkalmazásával kell eljárni akkor is, ha az adatgazda álláspontja szerint az igényelt adat nem közérdekű, illetve közérdekből nyilvános adat.
21. A közérdekű és közérdekből nyilvános adatok elektronikus úton történő közzététele
135. Az általános közzétételi lista szerint közzéteendő közérdekű és közérdekből nyilvános adatok körét és az egyes közzétételi egységek vonatkozásában kijelölt adatfelelős szervezeti egységeket, valamint az adatok közzétételének, frissítésének, megőrzésének rendjét a minisztérium honlapján közzétett, az Infotv. 1. melléklete szerinti általános közzétételi lista tartalmazza.
136. Az adatfelelős szervezeti egység vezetője belső adatfelelőst nevez ki a közzéteendő adatok közzétételre továbbítása és karbantartása érdekében. Az adatfelelős személyéről, személyének változásáról nevének, elérhetőségeinek elküldésével a kijelöléstől számított 15 napon belül elektronikusan értesíti a JAFO vezetőjét.
137. A belső adatfelelős a közzétételre előkészített adatokat – a 140. pontban foglaltak kivételével – vagy a külön internetes honlapon történő kötelező közzététel esetén a közzétételre szolgáló külön internetes honlap linkjét továbbítja a JAFO részére. A JAFO a közzéteendő adatokat, illetve a linket adatvédelmi szempontból megvizsgálja, majd az adatfeltöltőnek elektronikus úton továbbítja a minisztérium honlapján történő közzététel érdekében. Az adatfeltöltő az adatokat a www.kormany.hu internetes oldal megfelelő közzétételi egységébe, kereshető formában feltölti. Az adatfeltöltő tölti fel a közérdekű adatokat az egységes közadatkereső rendszerbe. Az adatfeltöltő az adatok közzétételéről tájékoztatja a belső adatfelelőst és a JAFO-t. A fenti rendelkezések nem terjednek ki a jogszabálytervezeteknek a www.kormany.hu internetes oldalon történő, társadalmi egyeztetés céljából történő közzétételére.
138. Az adatfeltöltő a szolgáltatott közzéteendő adatok teljeskörűségét, illetve valóságnak megfelelő tartalmát nem vizsgálja. Az adatfeltöltő részére elküldött adatok teljeskörűségéért és valóságnak megfelelő tartalmáért a belső adatfelelős felel.
139. A belső adatfelelős az értesítést követő 3 munkanapon belül ellenőrzi a közzététel megtörténtét, valamint a közzétett adatok helytállóságát, illetve teljeskörűségét. A tévesen vagy pontatlanul közzétett adatok helyesbítését, kicserélését a belső adatfelelős a tudomására jutását követően azonnal kezdeményezi az adatfeltöltőnél.
140. A kötelezettséget vállaló adatkezelő szervezeti egységek belső adatfelelősei az Infotv. 37/C. § (2) bekezdése szerinti adatok rögzítésére szolgáló adatlapot (a továbbiakban: Adatlap) kötelesek minden páros hónap 19. napjáig kitölteni és a gazdasági helyettes államtitkárságnak (a továbbiakban: GHÁT) elküldeni.
141. A kéthavonkénti adatszolgáltatásnak a soron következő adatszolgáltatás határnapját megelőző 30. napig keletkezett adatokat kell tartalmaznia.
142. A GHÁT az adatokat minden páros hónap 23. napjáig összesíti, és az adatokat tartalmazó Adatlapot továbbítja a JAFO részére. A JAFO az adatokat adatvédelmi szempontból megvizsgálja a közzétételt megelőzően, majd az adatfeltöltőnek elektronikusan továbbítja. Az adatfeltöltő munkatársa az adatszolgáltatást minden páros hónap 28. napjáig a Központi Azonosítási Ügynök szolgáltatás használatával történő azonosításával, a Dáptv. szerinti személyre szabott ügyintézési felületen elérhető elektronikus űrlap kitöltésével, a kitöltött Adatlap hivatali tárhelyről történő egyidejű csatolásával, a Központi Információs Közadat-nyilvántartás elektronikus felületét üzemeltető hivatali tárhelyére történő beküldésével teljesíti, és annak megtörténtéről a JAFO-t és a GHÁT-ot tájékoztatja.
143. Az egyedi közzétételi lista elkészítéséhez a Hatóság véleménye szükséges, amelyet a JAFO szerez be. A közzétételi kötelezettséget az általános, a különös és az egyedi közzétételi listák alapján külön elektronikus honlapon teljesítő szervezeti egység a közzététellel kapcsolatos véleménykérési és engedélyezési eljárást a Hatóságnál saját hatáskörben végzi, és ennek eredményéről tájékoztatja a JAFO-t.
144. A külön internetes honlapon történő kötelező közzététel esetén a közzététel szabályait a közzétételi kötelezettséggel érintett adatfelelős szervezeti egység saját hatáskörben határozza meg, és erről, valamint a szabályokban bekövetkezett változásról hét napon belül tájékoztatja a JAFO-t. A külön internetes honlapon való közzétételre kötelezett adatfelelős szervezeti egység a közzétételi listát tárgyév április 15-ig továbbítja a JAFO részére. A külön internetes honlapon közzéteendő adatok valós és aktuális tartalmát, rendelkezésre állását a közzétételre kötelezett szervezeti egység saját hatáskörben ellenőrzi, és az adatokat közzéteszi.
22. Statisztikai adatszolgáltatás
145. A minisztérium mint a Hivatalos Statisztikai Szolgálat tagja által előállított, az Országos Statisztikai Adatfelvételi Program kötelező adatszolgáltatásairól szóló 388/2017. (XII. 13.) Korm. rendelet szerinti adatokra vonatkozó, a minisztériumhoz érkező statisztikai adatkéréseket (a továbbiakban: statisztikai adatkérés) – függetlenül attól, hogy az adatkérő a megkeresésében milyen jogszabályra hivatkozik – az adatkezelő szervezeti egységhez kell továbbítani az adatkérés teljesítése érdekében. A minisztérium szervezeti egységénél felmerült statisztikai igény esetén, a statisztikai adatkéréssel közvetlenül az adott adat kezelésére jogosult adatkezelő szervezeti egységet keresi meg.
146. A statisztikai adatkéréseket a statisztikai adat kezelésére kijelölt adatkezelő szervezeti egység teljesíti
a) önállóan vagy
b) az adatkérő által megkeresett szervezeti egység útján, ha a statisztikai adatkérés az adatkérő adatigényének csak egy része volt.
147. Ha a minisztériumhoz érkező adatkérés tartalma alapján nem állapítható meg egyértelműen, hogy a megkeresés statisztikai adatkérésnek minősül, az adatkérést a JAFO állásfoglalása szerinti szervezeti egység teljesíti.
148. A megkeresés teljesítése során törekedni kell arra, hogy az adatkérő az általa meghatározott határidőben választ kapjon. Ha ez valamilyen okból nem lehetséges, az adatkérőt erről és az adatszolgáltatás teljesítésének várható idejéről tájékoztatni kell. Ha az adatkérő nem határozott meg határidőt, vagy az meghaladja a 15 napot, legkésőbb 15 napon belül kell választ adni.
149. Az adatkezelő szervezeti egység által hivatalosan nyilvánosságra hozott statisztikai adatokon túlmenően más kiválogatási szempontú és rendezési elvű vagy részletesebb adatokra vonatkozó statisztikai adatkérés (a továbbiakban: egyedi statisztikai adatkérés) teljesítésével kapcsolatos költségek elszámolásának módjára a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló költségrendelet szerint a minisztérium igazgatása önköltségszámítási szabályzatát kell alkalmazni. A költségjavaslatot a PEF ellenőrzi, szükség esetén korrigálja, arról számlát állít ki az adatkérő részére, és ezt eljuttatja az adatkérés teljesítéséért felelős szervezeti egység részére. A számlát az egyedi statisztikai adatkérés teljesítésével egyidejűleg kell az adatkérő részére elküldeni.
OKTATÁS, VIZSGÁZTATÁS
23. Követelmények
150. A minisztérium állományába újonnan belépő foglalkoztatottaknak a belépést követő 30 napon belül a minisztérium ILIAS e-learning felületén elérhető adatvédelmi oktatást és vizsgát kell teljesíteniük.
151. A minisztérium foglalkoztatottjainak évente teljesíteni kell a minisztérium ILIAS e-learning felületén elérhető adatvédelmi oktatást és vizsgát.
152. Az adatkezelő szervezeti egység a foglalkoztatottjai részére minden tárgyév augusztus 31-ig az adatkezelést meghatározó ágazati jogszabályok szerinti adatvédelmi oktatást biztosít, és az oktatás időpontjáról, tárgyköréről, illetve a résztvevők létszámáról minden tárgyév szeptember 15-ig elektronikus úton tájékoztatja a JAFO vezetőjét.
1. függelék
|
1. Az adatkezelés megnevezése: |
|
|
2. Az adatkezelő szerv: |
Belügyminisztérium |
|
3. Az adatkezelő szervezeti egység megnevezése: |
|
|
4. Az adatkezelés célja(i): |
|
|
5. Az adatkezelés jogalapja: |
|
|
6. Az érintettek kategóriái: |
|
|
7. A személyes adatok kategóriái: |
|
|
8. Az adatkezelés módja |
|
|
9. Elsődleges adattárolási hely: |
|
|
10. Vannak-e együtt tárolt adatok: |
Igen/Nem. |
|
11. A személyes adatok forrása: |
|
|
12. A címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják: |
|
|
13. Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás / harmadik ország vagy nemzetközi szervezet megnevezése, megfelelő garanciák leírása: |
|
|
14. Az adatkategóriák törlésére előirányzott határidők: |
|
|
15. Az adatbiztonsággal összefüggő technikai és szervezési intézkedések általános leírása: |
Ennél a pontnál a következő jogszabályok és közjogi szervezetszabályozó eszközök figyelembevételével szükséges az intézkedések részletes felsorolása: |
|
16. Készült adatvédelmi hatásvizsgálat? |
Igen. (Kérjük csatolni az adatvédelmi hatásvizsgálati jelentést!) |
|
17. Adatkezelési tájékoztató készült-e? |
Igen/Nem. (Nem válasz esetén indokolás szükséges.) |
|
18. Az adatkezelési tájékoztató tartalmaz valamennyi, a GDPR 13–14. cikke szerint kötelező elemet? |
Igen/Nem. (Nem válasz esetén indokolás szükséges.) |
|
19. Az adatkezelési tájékoztatót az érintettek számára könnyen hozzáférhetővé teszik, tették-e, hol? |
Igen. (Közzététel helyét kérjük megjelölni!) |
|
20. A jogszerűség, tisztességes eljárás és átláthatóság elve érvényesül az adatkezelés vonatkozásában? |
Igen/Nem. (Nem válasz esetén indokolás szükséges.) |
|
21. Célhoz kötöttség elve érvényesül-e? |
1. Igen, a 4. pontnak megfelelően. |
|
22. Adattakarékosság elve érvényesül-e? |
1. Igen, a személyes adatok az adatkezelés céljának megfelelnek, relevánsak és szükségesek. |
|
23. Pontosság elve érvényesül-e? |
1. Igen, a kezelt személyes adatok pontosak, naprakészek. Az adatkezelő szervezeti egység minden észszerű intézkedést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. |
|
24. Korlátozott tárolhatóság elve érvényesül-e? |
1. Igen, a személyes adatok kezelésére csak a cél eléréséhez szükséges ideig kerül sor. |
|
25. Adatbiztonság, „integritás és bizalmas jelleg” elve érvényesül-e? |
1. Igen, a személyes adatok megfelelő biztonsága biztosított. |
|
26. Törlés, elfeledtetés joga gyakorolható-e? |
Ezek a jogok nem gyakorolhatóak, ha az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) pontja, azaz ha az adatkezelés a minisztérium közérdekű feladatainak végrehajtásához szükséges. |
|
27. Az adatkezelés korlátozásának joga gyakorolható-e? |
1. Igen. |
|
28. Az adathordozhatóság joga gyakorolható-e? |
Csak a hozzájáruláson alapuló és automatizált adatkezelések esetén alkalmazható. Nem alkalmazható a GDPR 6. cikk (1) bekezdés e) pontján alapuló adatkezeléseknél, ha az adatkezelés a minisztérium közérdekű feladatainak végrehajtásához szükséges. |
|
29. Tiltakozás joga gyakorolható-e? |
Az érintett a GDPR 6. cikk (1) bekezdés e) pontján alapuló adatkezeléseknél élhet ezen jogával. |
|
30. Van-e adatfeldolgozó és hatályos adatfeldolgozási megállapodás |
Igen. |
|
31. Van-e közös adatkezelő és a közös adatkezelővel közös adatkezelői megállapodás? |
2. függelék
|
1. Az adatfeldolgozás megnevezése: |
|
|
2. A minisztériumi adatfeldolgozást végző szervezeti egység megnevezése és elérhetősége(i): |
|
|
3. Az Adatkezelő neve és elérhetőségei, akinek a nevében a minisztérium adatkezelést végez: |
|
|
4. Az Adatkezelő nevében végzett adatkezelési tevékenységek kategóriái: |
|
|
5. Az Adatkezelő adatvédelmi tisztviselőjének neve és elérhetőségei: |
|
|
6. Harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás / a harmadik ország vagy nemzetközi szervezet megnevezése: |
|
|
7. Az adatbiztonsággal összefüggő és a minisztérium által alkalmazott technikai és szervezési intézkedések általános leírása: |
|
|
8. Van-e az Adatkezelővel adatfeldolgozási megállapodás? |
Igen. |
3. függelék
4. függelék
1. Az alábbi ábra a GDPR-ban az adatvédelmi hatásvizsgálatra megfogalmazott elveket szemlélteti:
2. A hatásvizsgálat lépéseinek ábrája GDPR Magyarázat szerint:
2.1. A tervezett adatkezelés módszeres leírása:
a) az adatkezelés jellege, hatóköre, körülményei, jogalapja és céljai;
b) a személyes adatok, a címzettek, a személyes adatok tárolásának időtartama;
c) az adatkezelési műveletek;
d) a személyes adatok kezelésére használt eszközök (pl. hardverek, szoftverek, hálózatok, személyek, papírok vagy papíralapú továbbítási csatornák);
e) a jóváhagyott magatartási kódexek (ha vannak ilyenek) előírásainak teljesítésének leírása.
2.2. A szükségesség és az arányosság vizsgálata:
2.2.1. Az adatkezelés arányosságát és szükségességét előmozdító intézkedések:
a) meghatározott, kifejezett és jogos cél(ok);
b) az adatkezelés jogszerű;
c) megfelelőek, relevánsak a kezelendő adatok, és az adatkezelés a szükséges adatokra korlátozódik;
d) korlátozott a tárolási időtartam.
2.2.2. Az érintettek jogait támogató intézkedések:
a) az érintetteknek nyújtott tájékoztatás;
b) betekintési jog és az adathordozhatósághoz való jog;
c) a helyesbítéshez és a törléshez való jog;
d) kifogásolási jog és az adatkezelés korlátozásához való jog;
e) az adatfeldolgozókkal fennálló kapcsolatok;
f) a nemzetközi adattovábbításhoz kapcsolódó garanciák;
g) előzetes konzultáció.
3. Az érintettek jogait és szabadságait érintő kockázatok vizsgálata:
a) a kockázatforrások meghatározása;
b) az érintettek jogaira és szabadságaira esetlegesen gyakorolt hatások azonosítása olyan eseményekre vonatkozóan, mint pl. a jogosulatlan hozzáférés, megváltoztatás és az adatok eltűnése;
c) a jogosulatlan hozzáféréshez, módosításhoz vagy adatok eltűnéséhez vezető veszélyek azonosítása;
d) a kockázatok valószínűsége és súlyossága;
e) a kockázatok orvoslására irányuló intézkedések.
3.1. Kockázatelemzés:
3.1.1. A kockázatok forrása lehet:
a) a minisztérium szervezetén belüli kockázatok (felhasználó, foglalkoztatott stb.);
b) a minisztérium szervezetén kívüli kockázatok (szolgáltató, harmadik személy stb.);
c) nem-emberi kockázatok (kártékony kód, természeti katasztrófa stb.).
3.1.2. Az azonosított kockázatforrások hatást gyakorolnak arra a kiszolgáló környezetre, amelyen a személyes adatok tárolása történik (pl. papíralapú dokumentumok, felhők, szerverek stb.). A hatások különböző fenyegetések lehetnek, pl. a kiszolgáló környezet megsemmisítése, megváltoztatása, jogosulatlan megismerése vagy eltulajdonítása. A kockázat szintjét a súlyosság és a valószínűség összege adja meg.
3.2. A kockázatok valószínűsége és súlyossága
3.2.1. Súlyosság: a kockázat mértéke. A kockázat mértékét az adatkezelés kapcsán az érintettek jogaira és szabadságaira nézve közvetlenül vagy közvetve megjelenő fizikai, társadalmi, környezeti és morális következmények, hatások mértéke és súlyossága, illetve a kockázat bekövetkezésének gyakorisága, valószínűsége együttesen határozza meg, azok mértékének szorzata fejezi ki.
3.2.2. Hatás az érintettre lehet:
a) Elhanyagolható: az érintettre nem lesz hatással, vagy néhány kisebb kellemetlenséget tapasztalhat, amelyek minden probléma nélkül leküzdhetők.
b) Korlátozott: az érintett jelentősebb kényelmetlenséget, hátrányt tapasztalhat, amelyet kisebb nehézségek árán képes lehet leküzdeni.
c) Jelentős: az érintett jelentős következményekkel szembesülhet, amelyeket valós és komoly nehézségek árán képes csak megoldani, leküzdeni.
d) Maximális: az érintett jelentős vagy akár visszafordíthatatlan következményekkel is szembesülhet, amelyeket nem tud leküzdeni.
3.2.3. A fenyegetettség valószínűsége lehet:
a) Elhanyagolható: a vizsgált környezet tulajdonságai alapján nem látszik valószínűnek, hogy a kockázatforrások a személyes adatok kezelésére szolgáló eszközöket kihasználó valós veszélyt jelentenének. Egyáltalán nem valószínű, hogy az esemény bekövetkezik.
b) Korlátozott: a vizsgált környezet tulajdonságai alapján kicsi a valószínűsége annak, hogy a kockázatforrások a személyes adatok kezelésére szolgáló eszközöket kihasználó valós veszélyt jelentenének (például papíralapú iratok eltulajdonítása belépőkártyával és belépési kóddal védett helyiségből). Kicsi a valószínűsége, hogy az esemény bekövetkezik.
c) Jelentős: a vizsgált környezet tulajdonságainak kihasználásával a kockázatforrások a személyes adatok kezelésére valós veszélyt jelentenek (például papíralapú iratok eltulajdonítása olyan helyiségből, amelybe csak a recepciónál való bejelentkezés után lehet belépni). Nagyobb a valószínűsége, hogy az esemény bekövetkezik.
d) Maximális: a vizsgált környezet tulajdonságainak kihasználása, így a fenyegetés bekövetkezése a kiválasztott kockázati források miatt rendkívül könnyűnek tűnik, a vizsgált környezet tulajdonságainak kihasználásával a kockázatforrások a személyes adatok kezelésére súlyos veszélyt jelentenek (például papíralapú iratok eltulajdonítása bárki számára nyitva álló, nyilvános előtérből). Szinte biztos a valószínűsége, hogy az esemény bekövetkezik.
3.2.4. A hatásvizsgálat során az adatkezelő szervezeti egység a fenyegetés bekövetkezésének hatását (0–4 pont) és valószínűségét (0–4 pont) együtt vizsgálja, és ezek szorzata alapján sorolja be a kockázati értékét négy kategóriába.
3.2.5. Ha az alkalmazott biztonsági intézkedések alapján a kockázati szint nem lesz elfogadható mértékű, a kockázatok kezelésére további szervezési és technikai intézkedéseket kell meghatározni.
3.3. Kockázatértékelés
3.3.1. A kockázati szintek:
a) 1. szint: Elhanyagolható a kockázat (0–4 pont esetén):
Az adatkezelés valószínűsíthetően nem vagy elhanyagolható mértékű kockázattal jár az érintettek jogaira és szabadságaira nézve.
b) 2. szint: Korlátozott a kockázat (5–8 pont esetén):
Az adatkezelésnek valószínűsíthetően van kockázata az érintettek jogaira és szabadságaira nézve, de az mérsékelhető szervezési és technikai intézkedésekkel. Az érintettek jelentősebb kellemetlenséget tapasztalhatnak, de kezelhető.
c) 3. szint: Jelentős a kockázat (9–12 pont esetén):
Az adatkezelésnek valószínűsíthetően magas a kockázata az érintettek jogaira és szabadságaira nézve. Az érintettek megfelelő intézkedések hiányában a magánszférájukat érintően komoly és jelentős következményekkel számolhatnak, azokat képesek lehetnek leküzdeni.
d) 4. szint: Maximális a kockázat (13–16 pont esetén):
Az adatkezelésnek valószínűsíthetően magas kockázata van az érintettek jogaira és szabadságaira nézve. Az érintettek a magánszférájukat érintően kiemelkedően jelentős vagy visszafordíthatatlan következményekkel szembesülhetnek, amelyeket nem képesek leküzdeni, ha az adatkezelő nem alkalmaz megfelelő intézkedéseket.
3.4. A kockázatok csökkentésére szolgáló védelmi intézkedések felsorolása:
4. Az érdekeltek bevonása:
a) az adatvédelmi tisztviselő, illetve a JAFO tanácsának kikérése,
b) adott esetben az érintettek véleményének kikérése.
5. Dokumentáció, a kockázatelemzés összegzése, eredményének megállapítása:
6. Nyomon követés és felülvizsgálat:
5. függelék
Az adatvédelmi incidensek nyilvántartása és bejelentése
1. Az Adatkezelő neve, székhelye
2. Az adatvédelmi incidens időpontja
a) Észlelés időpontja:
b) Bekövetkezésének megállapított vagy valószínűsített időpontja:
3. Az adatvédelmi incidens jellege
4. Az adatvédelmi incidensben érintett személyes adatok
5. Az adatvédelmi incidensben érintett személyek kategóriái
6. A megelőzésre tett védelmi intézkedések
7. Az adatvédelmi incidens következményei, hatásai
8. Az adatvédelmi incidens valószínűsíthető következményei
9. Megtett intézkedések
10. Az érintettek tájékoztatása (tájékoztatás ideje, tartalma, érintetteknek javasolt intézkedések):
11. Egyéb: a Hatóság felé történő bejelentés időpontja, ha az adatvédelmi incidenst a Hatóság részére bejelentették, vagy annak rövid indokolását, amely miatt az adatvédelmi incidenst nem jelentették be
6. függelék
Bejelentő lap adatvédelmi incidens esetén
1. Az adatvédelmi incidenst bejelentő adatai:
1.1. Az adatkezelőn kívüli felek részvétele az adatvédelmi incidenssel érintett szolgáltatásban:
1.2. Részt vesz-e az adatkezelőn kívül más az adatvédelmi incidenssel érintett szolgáltatásban:
1.3. Az adatkezelőn kívüli fél megnevezése és minősége:
2. Az adatvédelmi incidenssel kapcsolatos időpontok:
3. Az adatvédelmi incidens adatai (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket):
3.1. Sérülés jellege:
3.2. Az adatvédelmi incidens jellege (húzza alá a megfelelő választ, szükség szerint fejtse ki a részleteket):
4. Az adatvédelmi incidens okai (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket):
5. Az adatvédelmi incidenssel érintett személyes adatok köre:
5.1. Személyes adatok (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket):
5.2. Különleges adatok (legalább egy kiválasztása kötelező):
5.3. Az adatvédelmi incidenssel érintett személyes adatok becsült száma: …………………………………
6. Az érintettek jellege (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket):
6.1. Az incidenssel érintett adatalanyok részletes leírása (pl. adatbázisokban szereplő munkavállalók leírása):
6.2. Az adatvédelmi incidenssel érintettek becsült száma:
7. Az incidens előtt alkalmazott intézkedések leírása (pl. tűzfal, vírusellenőrzés, adatszivárgás elleni védelmi rendszer):
8. Következmények:
8.1. Bizalmas jelleg sérülése: (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket)
8.2. Integritás sérülése: (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket)
8.3. Rendelkezésre állás sérülése: (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket)
8.4. Az érintetteket ért fizikai, anyagi vagy nem vagyoni károk, vagy egyéb jelentős következmények:
8.5. Az incidens valószínűsíthető hatásai az érintettekre: (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket)
8.6. A valószínűsíthető következmények súlyossága: (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket)
9. Az incidens orvoslására megtett intézkedések:
9.1. Megtett intézkedések (az adatvédelmi tisztviselő, JAFO vagy a bizottság tölti ki)
9.2. Az érintettek tájékoztatása: (húzza alá a megfelelő választ, ha szükséges, fejtse ki a részleteket)
10. Egyéb:
11. Egyéb bejelentések:
7. függelék
Az érintett tájékoztatása az adatvédelmi incidensről
1. Az adatvédelmi incidens időpontja:
2. Az adatvédelmi incidens jellege:
3. Az adatvédelmi tisztviselő/kapcsolattartó neve:
4. Az adatvédelmi incidensből eredő valószínűsíthető következmények:
5. Az adatvédelmi incidens kezelésével kapcsolatban tervezett, illetve megtett intézkedések (ideértve a hátrányos következmények enyhítését célzó intézkedéseket):
6. Az érintettek számára javasolt intézkedések megtétele a bekövetkezett kár enyhítése érdekében:
8. függelék
|
Az adatgazda megnevezése: |
|
|
Feladatvégzésre kijelölt neve: |
|
|
Feladatvégzésre kijelölt beosztása: |
|
|
A feladat megérkezésének időpontja: |
|
adatok lapban |
|||
|
színes |
fekete-fehér |
||
|
Fénymásolatok száma |
A/4 |
||
|
A/3 |
|||
aláírás/dátum
|
Dologi költség: …………………… |
|
A kitöltött és aláírt elszámolást a JAFO-nak kell elektronikusan elküldeni. |
9. függelék
aláírás
A 3. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás