38/2011. (XII. 30.) BM utasítás
a Belügyminisztérium Adatvédelmi, Adatbiztonsági és Közérdekű adat megismerésére vonatkozó Szabályzatának kiadásáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (2) bekezdésében meghatározott feladatkörömben eljárva, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. § (3) bekezdésében és a 30. § (6) bekezdésében meghatározott felhatalmazás alapján, a Belügyminisztérium által kezelt személyes adatok védelme érdekében és a közérdekű adatok nyilvánosságának biztosítására vonatkozó szabályokra figyelemmel, a Belügyminisztérium Adatvédelmi, Adatbiztonsági és Közérdekű adat megismerésére vonatkozó Szabályzatának kiadásáról a következő utasítást adom ki:
1. § A Belügyminisztérium Adatvédelmi, Adatbiztonsági és Közérdekű adat megismerésére vonatkozó Szabályzatát a jelen utasítás 1. mellékletében foglaltak szerint határozom meg.
2. § (1) Ez az utasítás - a (2) bekezdésben foglaltak kivételével - 2012. január 1-jén lép hatályba.
(2) Az utasítás 56. pontja 2013. január 1-jén lép hatályba.
Dr. Pintér Sándor s. k.,
belügyminiszter
1. melléklet a 38/2011. (XII. 30.) BM utasításhoz
I. fejezet
Általános rendelkezések
1. A Szabályzat célja
1. A Belügyminisztérium Adatvédelmi, Adatbiztonsági és Közérdekű adat megismerésére vonatkozó Szabályzatának (a továbbiakban: Szabályzat) célja, hogy a Belügyminisztérium (a továbbiakban: Minisztérium) tevékenysége során a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása, illetve a Minisztérium által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat.
2. A Szabályzat célja továbbá a Minisztérium kezelésében lévő közérdekű adatok nyilvánosságának biztosítása. Ennek érdekében meghatározza a közérdekű adatok, valamint az elektronikus formában közzéteendő adatok megismerésére irányuló igények elbírálása során irányadó eljárási szabályokat, illetve az elektronikus formában közzéteendő adatok nyilvánosságra hozatalával összefüggő feladatokat.
2.A Szabályzat hatálya
3. A Szabályzat hatálya kiterjed a Minisztérium hivatali szervezeti egységeire, valamint a Minisztérium személyi állománya által manuális módon kezelt adatokra. Az elektronikusan kezelt adatokra a Belügyminisztérium Informatikai Biztonsági Szabályzatáról szóló 29/2010. (XII. 31.) BM utasítást kell alkalmazni.
3.A Szabályzat érvényesítése
4. A Szabályzat elkészítése és szükség szerinti módosítása a belső adatvédelmi felelős (a továbbiakban: adatvédelmi felelős) feladata.
5. A Szabályzatban előírtak betartatásáért a feladatkörében minden érintett önálló szervezeti egység vezetője felelős.
6. A Minisztérium személyi állománya feladatai ellátása során személyes adatot csak jogszabály és közjogi szervezetszabályozó eszköz - így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 30. § - előírásainak figyelembevételével, az adatvédelemre vonatkozó alapelvek tiszteletben tartásával kezelhet. Ez a kötelezettség vonatkozik a Minisztérium megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, illetve jogi személyiséggel nem rendelkező szervezetekre, amit az adatfeldolgozóval kötött írásbeli megbízási szerződésben kell érvényesíteni.
4.Értelmező rendelkezések
7. Az Infotv. 3. §-ában meghatározott fogalmak irányadók a Szabályzat alkalmazása során. II. fejezet Az adatvédelem szervezeti rendszere és az adatvédelmi jelentési kötelezettség
5.Az adatkezelő szerv vezetője
8. Az adatkezelő szerv vezetője a belügyminiszter, aki felelős
a) a Minisztérium adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a Minisztérium által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtételéért,
b) az irányítása és felügyelete alá tartozó személyi állomány adatvédelmi oktatásáért és továbbképzéséért az adatvédelmi felelős bevonásával,
c) az irányítása és felügyelete alá tartozó szerv tevékenységének rendszeres adatvédelmi ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért,
d) az Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért.
6.A Minisztérium önálló szervezeti egységeinek adatvédelmi vonatkozású jelentési kötelezettségei
9. A Minisztérium a Belügyminisztérium Szervezeti és Működési Szabályzatáról szóló 7/2010. (IX. 2.) BM utasítás 1. melléklet 2. § (1) bekezdésében meghatározott önálló szervezeti egység vezetője (továbbiakban: szervezeti egység vezetője) tárgyév november 15-ig megküldi az Iratkezelési és Adatvédelmi Főosztály vezetőjének az irányítása alá tartozó szervezeti egységre vonatkozóan
a) az adatbiztonsági helyzetre vonatkozó összesített jelentést a V. fejezetben foglaltak alapján meghatározott feladatok körében,
b) a közérdekből nyilvános adatok a www.kormany.hu oldalon való megjelenítésére és annak ellenőrzésére vonatkozó összesített jelentést.
10. A szervezeti egység vezetője megküldi az Iratkezelési és Adatvédelmi Főosztály vezetőjének 45 nappal az adatkezelés megkezdése előtt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) felé történő engedélyezési eljárás lefolytatása érdekében
a) a tervezett személyes adatkezelésről kitöltött 1. függelékben meghatározott adatokat,
b) az új adatállomány feldolgozására irányuló vagy új adatfeldolgozási technológia alkalmazásával járó adatállományok kialakításának megkezdésére vonatkozó adatokat.
11. Az adatkezelés változását követő 3 napon belül a szervezeti egység vezetője megküldi az Iratkezelési és Adatvédelmi Főosztály vezetőjének
a) a személyes adat átadási jegyzőkönyv alapján kitöltött 1. függelékben meghatározott adatokat,
b) a személyes adatkezelés alapján kitöltött 1. függelékben meghatározott adatokat,
c) az adatfeldolgozói szerződések tervezetét véleményezésre,
d) az adatvédelmi tárgyú ellenőrzések megjelölését, azok fontosabb megállapításait, a feltárt lényeges szabálytalanságokat, hiányosságokat, a megszüntetésükre tett intézkedéseket,
e) az adatvédelmi előírások megsértése miatt indított fegyelmi, szabálysértési és büntetőeljárásokra vonatkozó adatokat, az érintettek megjelölése nélkül,
f) a Hatóság által lefolytatott eljárásokkal összefüggő megkereséseket, iratokat.
12. A szervezeti egység vezetője feladatkörében előkészített adatfeldolgozói szerződéseket az utasítás hatálybalépését követő 45 napon belül megküldi az Iratkezelési és Adatvédelmi Főosztály vezetőjének.
13. Ha a szervezeti egységhez az érintett, az Infotv. 14. §-a szerinti személyes adatok kezelésére vonatkozó tájékoztatás iránti kérelemmel, valamint az Infotv. 28. § (1) bekezdés szerinti közérdekű adatigénnyel fordul, a szervezeti egység vezetője köteles írásban tájékoztatni - a válaszlevél egyidejű megküldése mellett - az Iratkezelési és Adatvédelmi Főosztály vezetőjét.
14. A szervezeti egység vezetője köteles az Iratkezelési és Adatvédelmi Főosztályhoz beérkező, a Minisztériumot érintő adatkezeléssel kapcsolatos megkeresésekre 8 napon belül érdemben válaszolni, az Infotv.-ben meghatározott határidőre figyelemmel.
15. A szervezeti egység vezetője köteles gondoskodni arról, hogy az általa vezetett szervezeti egység személyi állománya megismerje az alkalmazandó adatvédelmi szabályzatot.
7. A belső adatvédelmi felelős
16. A Minisztérium adatvédelmi felelőse a Szabályozási és Koordinációs Helyettes Államtitkárság állományába kinevezett, az Infotv. 24. § (1) bekezdésben meghatározott végzettséggel rendelkező személy.
17. Az adatvédelmi felelős a Minisztérium adatvédelmi tevékenységének keretében
a) részt vesz az adatvédelmet érintő jogszabálytervezetek kidolgozásában és annak koordinációja során képviseli a Minisztérium álláspontját,
b) előkészíti az adatvédelem tárgyában kiadandó közjogi szervezetszabályozó eszközök tervezetét, közreműködik az adatvédelmet érintő egyéb állásfoglalások kidolgozásában,
c) a Minisztérium szervezeti egységeitől érkező kérdések tekintetében kidolgozott tájékoztatóval segíti az adatvédelmi tevékenységet, az egységes gyakorlat kialakítását,
d) kapcsolatot tart a Minisztérium szervezeti egységeinek adatvédelemért felelős tagjával,
e) közreműködik a Hatóság Minisztériumot érintő vizsgálatainak lefolytatásában és az ezekkel összefüggő megkeresések megválaszolásában,
f) vezeti a belső adatvédelmi nyilvántartást, amelynek alapján kezdeményezi a Hatóság felé az Infotv.-ben meghatározott engedélyezési eljárás lefolytatását,
g)[1]
h) részt vesz a belügyminiszter személyes adatok védelmével és közérdekű adatok nyilvánosságával kapcsolatos feladatainak ellátásában,
i) részt vesz az adatvédelmi felelősök konferenciáján, valamint az egységes joggyakorlat kialakítása érdekében kapcsolatot tart a belső adatvédelmi felelősökkel,
j) január 31-ig a Hatóság részére tájékoztatást küld a megelőző évben elutasított személyes adat és közérdekű adat igényekről.
III. fejezet
A személyes adatok kezelése
8. Az adatkezelés elvei
18. Az érintettet az adatkezelő az adatkezeléshez történő hozzájárulásának beszerzése előtt tájékoztatja arról, hogy
a) mely adatait, milyen célból, milyen időtartamig jogosult kezelni a Minisztérium;
b) mely szerv és hol végzi az adatkezelést, illetve az adatfeldolgozást;
c) az adatok továbbítására milyen célból és mely szervek részére kerülhet sor;
d) az adatkezeléssel kapcsolatban milyen jogokkal rendelkezik (tájékoztatáskérési, helyesbítési és törléskezdeményezési, valamint tiltakozási jog);
e) milyen jogorvoslati lehetőséggel rendelkezik (bírósági jogérvényesítés útja).
9.Az adatkezelések típusai
19. A Minisztérium - az adatkezelés eltérő célja alapján - ügyviteli, illetve nyilvántartási célú (adatállomány kialakítására irányuló) adatkezelést végez.
20. Az ügyvitelhez kapcsolódó adatkezelés kizárólag az ügy feldolgozásához kapcsolódik, alapvető célja az adott ügyhöz kapcsolódó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek. Kezelésükre e célból csak az alapul szolgáló irat selejtezéséig van lehetőség.
21. A nyilvántartási célú adatkezelés az előre meghatározott szempontok alapján gyűjtött személyes adatfajtákból strukturált adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, automatizált nyilvántartások esetében a lekérdezhetőségét. Az egyes ügyekkel összefüggésben gyűjtött adatok kezelése ebben az esetben elválik az alapeljárástól, az adatok kezelésének időtartamát az adatok kezelésére felhatalmazást adó törvény vagy az érintett beleegyezésében foglaltak határozzák meg.
22. A nyilvántartási célú adatállomány kialakítását az adatvédelmi felelős állásfoglalása alapján a Belügyminiszter írásban rendeli el.
23. Az adatkezelés megkezdése előtt a nyilvántartási célú adatállomány létrehozatala során az érintett szervezeti egység a 9. pont a) alpontja alapján jár el.
10.Az adatfeldolgozás
24. A Minisztérium - a vonatkozó jogszabályok betartásával - adatfeldolgozót vehet igénybe. Az adatfeldolgozó az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi és e minőségében gyakorolja az adatkezelő által átruházott jogosultságokat, teljesíti kötelezettségeit.
25. Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Amennyiben az adatfeldolgozóként igénybe venni kívánt szervre vagy személyre jelen utasítás hatálya nem terjed ki, akkor az írásba foglalt megbízási szerződésben kell érvényesíteni az adatfeldolgozóval szemben jelen cím alatt megfogalmazott előírásokat.
26. Adatfeldolgozó igénybevétele esetén az adatkezelés céljának meghatározására, az adatkezelésre vonatkozó érdemi döntések meghozatalára az adatkezelő jogosult.
27. Az adat megismerésére vagy továbbítására vonatkozó kérelem esetén az érdemi döntést a Belügyminiszter jogosult meghozni.
28. Az adatfeldolgozó tevékenységi körén belül, illetve az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá minden olyan jogsértésért, amit az adatkezelő utasításának vagy az adatfeldolgozással összefüggésben kötött megbízási szerződésben foglaltak megszegésével okozott.
11.Az érintett tájékoztatása
29. Az érintett tájékoztatást kérhet a Minisztériumtól személyes adatai kezeléséről és kérheti személyes adatainak helyesbítését, illetve a jogszabályban elrendelt kötelező adatkezelések kivételével azok törlését, valamint - törvény felhatalmazása esetén - tiltakozhat személyes adatának kezelése ellen.
30. Az adatkezelő köteles az érintett személyes adatának kezelésével összefüggő kérelmére legkésőbb 30 - tiltakozási jog gyakorlása esetén 15 - napon belül írásban, közérthető formában választ adni, az Infotv. rendelkezései alapján.
31. Az érintett tájékoztatásának megtagadására az Infotv. 16. § (1) bekezdésében foglaltak alapján van lehetőség.
32. Ha törvény alapján az érintett tájékoztatása nem tagadható meg, a tájékoztatás kiterjed a kezelt adatok megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
33. A valóságnak nem megfelelő adatot az adatkezelő, ha a szükséges adatok rendelkezésre állnak, köteles helyesbíteni. Amennyiben a hibás adat nem helyesbíthető, akkor azt az Infotv. 17. § (2) bekezdése alapján, a 17. § (3) bekezdésében meghatározott kivételre figyelemmel törölni kell. A hibás adatot a kijavításig vagy a törlésig jelzéssel kell ellátni.
34. Az adat helyesbítéséről vagy törléséről az érintetten kívül mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti. Ezen tájékoztatást a szervezeti egységek közvetlenül végzik, az adatvédelmi felelőst pedig a levél másolatának megküldésével tájékoztatják.
12.A tiltakozási jog gyakorlása
35. Az Infotv. 21. § (1) bekezdése szerinti adatkezelés elleni tiltakozás elbírálásának időtartamára - legfeljebb 15 napra - az adatkezelést az adott szervezeti egység vezetője felfüggeszti és erről az adatvédelmi felelőst tájékoztatja. A felfüggesztés időtartama alatt az adat a tiltakozási jog elbírásával összefüggő eljáráson kívül nem használható fel, nem továbbítható, a tárolásán kívül egyéb adatkezelési művelet nem végezhető.
36. Ha az adatzárolás közlésétől számított 30 napon belül az adatokhoz történő hozzájutás érdekében az érintett nem fordul bírósághoz vagy a bíróság az adatátadást kezdeményező harmadik fél kérelmét elutasítja, az adatkezelő szervezeti egység köteles az érintett személyes adatát a határidő lejártától, illetve a döntés közlésétől számított 3 napon belül törölni.
13.Adattovábbítás és adatigénylés
37. A Minisztérium által kezelt adatokból személyes adatot továbbítani az érintett beleegyezésének hiányában csak törvényben meghatározott szerv vagy személy részére, törvényben meghatározott körben lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével.
38. Az adattovábbítás jogszerű, ha a személyes adat birtokában lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett hozzájárulásával rendelkezik az adat kezeléséhez és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
39. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása - a törvényben kötelezően előírt adattovábbítás esetét kivéve - az érintett szervezeti egység vezetőjének hatáskörébe tartozik. A szervezeti egység vezetője kikéri az adatvédelmi felelős állásfoglalását. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza
a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését);
b) a kért adatok körének pontos meghatározását;
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
40. A Minisztérium - törvény eltérő rendelkezése hiányában - csak olyan személyes adatokat továbbíthat, amelyeknek a Minisztérium a törvényben meghatározott adatkezelője. Amennyiben más szerv az adatkezelő, az adatkérést - törvény eltérő rendelkezése hiányában - el kell utasítani és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely szervtől igényelheti.
41. Az adattovábbítás történhet kérelemre vagy törvény ilyen tartalmú rendelkezése alapján automatikusan, illetve a hozzáférés biztosítható kérelem alapján történő egyedi adatszolgáltatással, vagy számítógépes (online) lekérdezés lehetővé tételével.
42. A külföldre történő adattovábbítás során a személyes adatok megfelelő szintű védelme akkor biztosított, ha érvényesülnek az Infotv. 8. §-ában foglaltak.
14.Adattovábbítási nyilvántartás
43. A Minisztérium által kezelt személyes adatok továbbításáról az érintett szervezeti egységnél adattovábbítási nyilvántartást kell vezetni, amelyben rögzíteni kell
a) az érintett nevét;
b) az adattovábbítás időpontját;
c) az adattovábbítás célját és jogalapját;
d) az adatigénylő nevét vagy megnevezését;
e) a továbbított adatok fajtáját (maguk a szolgáltatott adatok nem képezik az adattovábbítási nyilvántartás részét).
44. Számítógépes adatállomány rendszerbe állítása esetén az adattovábbítás naplózását programtechnikailag kell biztosítani. A már működő adatállományok esetében a technikai és költségvetési lehetőségek függvényében szintén kezdeményezni kell az adattovábbítás céljának naplózásához szükséges technikai feltételek megteremtését. Manuális adatkezelések esetén - vagy ha a számítógépes adatkezeléseknél a naplózás nem biztosítható - manuális módon (például betekintő lap vezetésével) kell gondoskodni az adattovábbítási nyilvántartás vezetéséről.
45. Az adattovábbítási nyilvántartás adatait az Infotv. 15. § (3) bekezdésében foglaltak szerint kell megőrizni. A nyilvántartásba kizárólag
a) a Hatóság, a bíróság, a nyomozó hatóság, valamint a nemzetbiztonsági szolgálat törvényben meghatározott feladatai ellátásához, valamint
b) a Minisztérium adatvédelmi ellenőrzést végző munkatársa tekinthet be.
15.Az adatigénylés során irányadó szabályok
46. A minisztériumi adatállományokból kizárólag a Minisztérium feladat- és hatáskörének gyakorlása érdekében a célhoz kötöttség elvének szigorú érvényre juttatása mellett igényelhető és használható fel személyes adat. A más adatkezelők által kezelt olyan adatállományokból, amelyekből történő adatigénylésre a Minisztériumot az érintett adatkezelésre irányadó törvény felhatalmazza, csak az adott törvényben meghatározott feladat ellátása érdekében végezhető adatlekérdezés, azok harmadik személynek vagy szervnek nem továbbíthatók.
47. Az egyes eljárások során a különböző adattárakból lekért, de az ügy szempontjából érdektelenné vált, fel nem használt személyes adatokat az ügy előadója az ügyirat továbbítását, illetve irattárba helyezését megelőzően köteles megsemmisíteni. A megsemmisítés tényét és időpontját az iratborítón, az előadói íven vagy az ügyiratban elhelyezett külön iraton rögzíteni és aláírással igazolni kell. Az adatlekérdezés, illetve a megsemmisítéssel érintett adatok későbbi azonosíthatósága érdekében a lekérdezés időpontját, az érintett személy(ek) nevét és az igénybe vett nyilvántartás megjelölését rögzíteni kell, a lekérdezett személyes adatok azonban nem szerepeltethetők.
16.A belső adatvédelmi nyilvántartás
48. A szervezeti egységek által a 10-12. pont szerinti adatszolgáltatás alapján az adatvédelmi felelős vezeti a belső adatvédelmi nyilvántartást.
49. Az adatvédelmi felelős a belső adatvédelmi nyilvántartás adatai alapján a személyes adat kezelés nyilvántartásba vételét kéri a Hatóságtól az adatkezelés megkezdése előtt legalább 30 nappal. A kötelező adatkezelés és az Infotv. 68. § (2) bekezdésében foglalt eset kivételével az adatkezelés nem kezdhető meg.
50. Az adatvédelmi felelős kötelező adatkezelés nyilvántartásba vételét az adatkezelést elrendelő jogszabály hatálybalépését követő 20 napon belül kérelmezi a Hatóságnál.
51. Az új adatállomány feldolgozására irányuló vagy új adatfeldolgozási technológia alkalmazásával járó 10. pont b) alpontjában meghatározott adatállományok kialakítását az erre irányuló tevékenység megkezdése előtt 30 nappal az adatvédelmi felelősnek abban az esetben kell bejelenteni a Hatóság részére, ha az országos hatósági, munkaügyi és bűnügyi adatállományok kezelésére vonatkozik.
52. Nem kell bejelenteni az Infotv. 65. § (3) bekezdésben meghatározott adatkezeléseket.
53. Az adatkezelésnek a Hatóság nyilvántartásába vételekor adott nyilvántartási számot az adatvédelmi felelős írásban közli az érintett szervezeti egység vezetőjével. A nyilvántartási számot az adatok harmadik személy részére történő továbbításánál, nyilvánosságra hozatalánál és az érintettnek történő kiadásánál fel kell tüntetni.
54. Az adatvédelmi felelős a személyes adatok kezelésének nyilvántartásba vétele érdekében az iratokat a közigazgatási államtitkár útján küldi meg a Hatóság részére.
55. A belső adatvédelmi nyilvántartásba bejelentett adatok változását vagy az adatkezelés megszüntetését a bejelentésre kötelezett szervezeti egység vezetője a 11. pont a) alpontban foglaltak alapján köteles bejelenteni az adatvédelmi felelősnek, aki ennek megfelelően módosítja a Minisztérium belső adatvédelmi nyilvántartásának adatait és a közigazgatási államtitkár útján tájékoztatja az Hatóságot a változásokról.
56. A tervezett személyes adat kezelések tekintetében az Infotv. 69. § (1) bekezdésében meghatározott adatvédelmi audit vehető igénybe.
IV. fejezet
A Hatóság vizsgálatában történő közreműködés szabályai
17. A Hatóság eljárásai
57. A Hatóság vizsgálatával, valamint az adatvédelmi és a titokfelügyeleti hatósági eljárással érintett adatkezelő szervezeti egység vezetője köteles a Hatóság részére
a) minden szükséges tájékoztatást szóban és írásban megadni,
b) az összes olyan iratba való betekintést és a másolatok készítését lehetővé tenni, amely személyes adatokkal, közérdekű adatokkal, vagy közérdekből nyilvános adatokkal összefügghet,
c) biztosítani azokba a helyiségekbe való belépést, ahol adatkezelés folyik,
d) a minősített adatok megismerését elősegíteni.
58. Az adatkezelő az 57. pontban meghatározott kötelezettségeinek az Infotv. 54. § (2) bekezdésében meghatározott határideig köteles eleget tenni.
59. Az adatkezelő, illetve a tájékoztatásra felkért személy a tájékoztatást az Infotv. 54. § (3) bekezdése alapján tagadhatja meg.
60. A Minisztérium a Hatóság vizsgálata alapján a személyes adatok kezelésével, illetve közérdekű adatok vagy közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatos jogsérelem vagy annak közvetlen veszélye fennállását megalapozottnak tartó megállapításával való egyetértése, vagy egyet nem értése esetén az Infotv. 56. § (2) bekezdésben foglaltak szerint jár el.
61. Ha a Minisztérium a Hatóság adatvédelmi és titokfelügyeleti hatósági eljárásban hozott határozatát nem fogadja el, az adatvédelmi felelős véleményének kikérését követően a bírósági felülvizsgálat kezdeményezésére nyitva álló határidőn belül a bírósághoz fordulhat.
62. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban a Hatóság határozatának kézhezvételekor illetve a Hatóság eljárásának megkezdésekor fel kell függeszteni és az adatokat zárolni kell.
V. fejezet
Adatbiztonsági előírások
18. Adatbiztonsági fokozatba történő besorolás
63. Az adatbiztonsági intézkedések meghatározása érdekében a Minisztérium kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából értékelni kell. Az értékelést és besorolást az a szervezeti egység vezetője készíti, ahol az adat keletkezik. Az adatállományt az alábbi biztonsági fokozatok valamelyikébe kell sorolni:
a) alapbiztonsági fokozat: azon adatkezelések tartoznak ebbe a fokozatba, amelyekben feldolgozott személyes adatokat törvény nyilvánossá minősítette, valamint amelyek egyedi azonosításra alkalmas személyes adatokat nem tartalmaznak és ezen adatok illetéktelen személy által történő megismerése, megváltoztatása, vagy törlése alapvetően nem veszélyezteti a szerv feladatainak végrehajtását és az érintett személyiségi jogainak érvényesülését. A megsérült, vagy megsemmisült adatok helyreállítása viszonylag kis ráfordítással, jelentős érdeksérelem nélkül elvégezhető,
b) fokozott biztonsági fokozat: azon adatkezelések tartoznak ebbe a fokozatba, amelyekben feldolgozott adatok illetéktelen személy által történő megismerése, megváltoztatása, vagy megsemmisítése veszélyezteti a Minisztérium feladatainak végrehajtását, illetve az érintett személyiségi jogainak érvényesülését, a várható kár hatása túlmutat a minisztériumi érdekeken, hátrányosan befolyásolhatja a Minisztérium adatszolgáltatási tevékenységét. A megsérült, vagy megsemmisült adatok helyreállítása nem, vagy csak jelentős anyagi, technikai ráfordítással valósítható meg,
c) kiemelt biztonsági fokozat: ebbe a fokozatba tartoznak azon adatkezelések, amelyek illetéktelen személy által történő megismerése, nyilvánosságra hozatala, illetve az adatok megváltoztatása, megsemmisülése a Minisztérium - illetve más állami szerv - feladatainak ellátását lehetetlenné teszi, a nemzetközi kapcsolatokat, esetleg az érintett személyét veszélyeztetheti. A megsérült, vagy megsemmisült adatok helyreállítása nem, vagy csak aránytalan anyagi, technikai ráfordítással valósítható meg.
64. Az egyes adatkezelések biztonsági fokozatának megállapításához a 3. függelékben meghatározott adatbiztonságot veszélyeztető kockázati elemeket kell figyelembe venni.
19.Az adatkezelés dokumentációjának védelméhez kapcsolódó adatbiztonsági intézkedések
65. A személyes adatokat tartalmazó dokumentációkat nyilvántartásba kell venni és gondoskodni kell azok aktualizálásáról. Szabályozni kell a dokumentációk tárolásának, másolásának rendjét.
66. A fokozott és kiemelt biztonsági fokozatba sorolt adatkezelések dokumentációit páncélszekrényben vagy biztonsági zárral és falakattal ellátott lemezszekrényben, vagy biztonsági zárral, vasráccsal és falakattal, illetve behatolás elleni elektronikus védelemmel ellátott helyiségben kell őrizni.
67. Biztosítani kell a rendkívüli eseményekre, katasztrófaelhárításra, valamint a minősített időszaki kötelezettségekre történő adatvédelemmel kapcsolatos felkészülést, illetve bekövetkezésük esetén a Minisztérium működőképességét. Az adatkezelési rend sérülése, illetve rendkívüli események bekövetkezése esetén követendő eljárásokat a Katasztrófaterv tartalmazza.
68. A Minisztérium üzembiztonságának fenntartásához biztosítani kell a dokumentumok reprodukálhatóságát.
20.A személyhez fűződő tevékenységgel összefüggő intézkedések
69. Az adatok hozzáféréséhez teljes betekintési joggal a belügyminiszter rendelkezik.
70. A Minisztérium személyi állománya a munkaköri leírásban meghatározott nyilvántartásokhoz férhetnek hozzá.
VI. fejezet
A közérdekű adatok megismerésével összefüggő szabályok
21. A közérdekű adatok nyilvánosságának tartalma
71. A Minisztérium szervezeti egységeinek a feladatkörébe tartozó ügyekben kötelessége elősegíteni a közvélemény pontos és gyors tájékoztatását. Ez a kötelezettség kiterjed különösen
a) az állami költségvetésre és annak végrehajtására,
b) az állami vagyon kezelésére,
c) a közpénzek felhasználására és az erre kötött szerződésekre, valamint
d) a piaci szereplők, a magánszervezetek és más személyek részére különleges vagy kizárólagos jogok biztosítására vonatkozó szerződésekre.
72. A közérdekű adatok nyilvánosságával összefüggő jog biztosítása érdekében hozzáférhetővé kell tenni a Minisztérium tevékenységével kapcsolatos legfontosabb adatokat. Ez a kötelezettség kiterjed különösen az érintett szervek
a) hatáskörére, illetékességére,
b) szervezeti felépítésére,
c) szakmai tevékenységére, annak eredményességére is kiterjedő értékelésére,
d) a birtokukban lévő adatfajtákra,
e) a működésükről szóló jogszabályokra, valamint
f) a gazdálkodásukra vonatkozó adatokra.
73. Ha törvény másként nem rendelkezik, közérdekből nyilvános adat a Minisztérium feladat- és hatáskörében eljáró személy feladat- és hatáskörével összefüggő személyes adata (így különösen neve, beosztása, esetleges rendfokozata, munkaköre, feladat- és hatásköre, elismerésére, kitüntetésére vonatkozó adatok), továbbá egyéb, a közfeladatot ellátó személy e feladatkörével összefüggő személyes adata. Ezen adatok megismerésére a közérdekű adatok megismerésére vonatkozó rendelkezéseket kell alkalmazni.
74. A közérdekű adatokhoz történő hozzáférés biztosítható közzététellel (különösen elektronikus formában, a közérdekű adatokat kezelő szerv honlapján), vagy erre irányuló egyedi igény megválaszolásával. Jogszabály vagy jogerős bírósági határozat erre irányuló rendelkezése esetén a közérdekű adatok ott megjelölt körét az előírt módon - külön erre irányuló kérelem hiányában is - nyilvánosságra kell hozni.
22.A közérdekű adatok nyilvánosságának korlátozása
75. A közérdekű adatok nyilvánossága az Infotv. 27. § (1)-(4) bekezdése alapján korlátozható.
76. A Minisztérium feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított 10 évig nem nyilvános. Ezen adatok megismerését - az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével - az azt kezelő szerv vezetője engedélyezheti.
77. A döntés megalapozását szolgáló adat megismerésére irányuló igény a 76. pontban meghatározott időtartamon belül akkor utasítható el, ha az adat megismerése a közfeladatot ellátó szerv törvényes működési rendjét vagy feladat-és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné.
78. E fejezet rendelkezései nem alkalmazhatók a közhitelű nyilvántartásból történő - külön törvényben szabályozott - adatszolgáltatásra.
79. A közérdekű adat megismerésére irányuló igény elutasítását az adatkezelő szervezeti egység vezetője minden esetben köteles írásban indokolni.
80. A közérdekű adat megismeréséhez való jogot kizárólag csak a jogszabályban meghatározott feltételek figyelembe vételével lehet korlátozni, különös tekintettel a Büntető Törvénykönyvről szóló 2012. évi C. törvény 220. §-ára, amely a közérdekű adattal történő visszaélést rendeli büntetni.[2]
23.A "Nem nyilvános!" adat kezelésére vonatkozó különös szabályok
81. Az Infotv. 27 § (5) bekezdésének hatálya alá tartozó adathordozón - fedőlapján, vagy az első oldalának jobb felső sarkán - fel kell tüntetni a "Nem nyilvános!" jelölést, és a nyilvánosság korlátozásának időtartamát. A "Nem nyilvános!" jelölés alkalmazását a kiadmányozási jogkör gyakorlója a kiadmányozással hagyja jóvá.
82. A Minisztériumban "Nem nyilvános!" jelöléssel ellátott adat megismerésére és kezelésére kizárólag az a személy jogosult, akinek az feladat- és hatáskörének gyakorlásához szükséges.
83. A "Nem nyilvános!" jelöléssel ellátott adatot a korlátozás időtartama alatt a jelölést alkalmazó közfeladatot ellátó szerv vezetőjének engedélyével lehet nyilvánosságra hozni, vagy a közérdekű adat megismerésére irányuló igény előterjesztőjével közölni.
84. A döntés megalapozását szolgáló, "Nem nyilvános!" jelöléssel ellátott adat megismerésére irányuló igény az adathordozón feltüntetett korlátozási időtartamon belül a döntés meghozatalát követően akkor utasítható el, ha az adat megismerése a szerv törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen, külső befolyástól mentes ellátását veszélyeztetné.
24.A közérdekű adatok megismerésére irányuló igény elintézésének eljárási szabályai
85. A közérdekű adat megismerése iránt bárki szóban, írásban, vagy elektronikus úton terjeszthet elő kérelmet. A közérdekű adat megismerésére irányuló igényt soron kívül be kell mutatni az adatot kezelő szervezeti egység vezetőjének, aki köteles gondoskodni a megkeresés határidőben történő megválaszolásáról.
86. A közérdekű adat megismerése iránti igénynek az adatot kezelő szerv az igény tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül köteles eleget tenni.
87. Ha a közérdekű adatot kezelő szerv az igény teljesítését megtagadja, arról annak indokaival együtt, 8 napon belül írásban vagy - amennyiben elektronikus levelezési címét közölte - elektronikus úton értesíteni kell az igénylőt az Infotv. alapján őt megillető jogorvoslati lehetőségekről való tájékoztatással együtt.
88. Amennyiben az igényelt adat kezelője nem a megkeresett szerv, úgy azt haladéktalanul köteles továbbítani a közérdekű adatot kezelő szervnek. Az igény áttételéről egyidejűleg tájékoztatni kell az igénylőt.
89. Ha az igény az Infotv. 29. § (2) bekezdésében foglaltak miatt 15 nap alatt nem teljesíthető, az igénylőt az érintett szervezeti egység vezetője erről tájékoztatja.
90. Az adatigénylésnek közérthető formában és - amennyiben az aránytalan költséggel nem jár -az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni.
91. A költségtérítés mértékének megállapítása során figyelembe vehető költségelemeket és azok legmagasabb mértékét, valamint a másolatként igényelt dokumentum jelentős terjedelmének megállapítása során alkalmazandó szempontokat jogszabály határozza meg.
92. Ha az igénylő az adatokat tartalmazó dokumentumról vagy dokumentumrészről másolatot kíván kérni, a másolat készítésével felmerült anyagi és személyi költségek az igénylővel szemben érvényesíthetők. A költség várható összegét az igénylő kérésére előre közölni kell.
93. Az igény teljesítése során kiemelt figyelmet kell fordítani arra, hogy a közérdekű adatok közlése ne járjon mások jogainak vagy törvény alapján korlátozottan megismerhető adatok bizalmasságának sérelmével. Különös figyelmet kell fordítani arra, hogy az adatszolgáltatással ne kerüljenek nyilvánosságra személyes adatok, minősített adatok, törvény által nyilvánosságában korlátozott, vagy - ha az adatkezelő szerv vezetője másként nem döntött - "Nem nyilvános!" jelöléssel ellátott adatok.
94. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni olyan módon, hogy a korlátozottan megismerhető adatok tartalmára megalapozott következtetést ne lehessen levonni.
95. A közérdekű adatok megismerése személyazonosító adatok közléséhez nem köthető. Az elektronikusan közzétett közérdekű adatokhoz történő hozzáférés biztosításához személyes adat csak annyiban kezelhető, amennyiben az technikailag elengedhetetlenül szükséges, törvény eltérő rendelkezése hiányában a személyes adatokat ezt követően haladéktalanul törölni kell.
96. Az igénylés alapján történő adatszolgáltatás esetén az adatigénylő személyazonosító adatai csak annyiban kezelhetők, amennyiben az az igény teljesítéséhez - beleértve az esetleges költségek megfizetését is - elengedhetetlenül szükséges. Az igény teljesítését, illetőleg a költségek megfizetését követően az igénylő személyes adatait - törvény eltérő rendelkezése hiányában - haladéktalanul törölni kell. Ezzel összefüggésben a keletkezett iratok kezelésére a Belügyminisztérium Egyedi Iratkezelési Szabályzatának kiadásáról szóló 1/2011. (I. 20.) BM utasításban meghatározott megőrzési idők irányadók, azonban az igény teljesítéséhez, illetve a költségek megfizetéséhez szükséges időtartam lejártát követően az igénylő személyes adatait felismerhetetlenné kell tenni.
25.A közérdekű adatok elektronikus úton történő közzététele
97. Az elektronikus információszabadság elvének megfelelően a Minisztérium külön erre irányuló kérelem nélkül internetes honlapon nyilvánosságra hozza
a) a közérdekű adatok egyedi adatigénylési szabályait,
b) az Infotv. mellékletében meghatározott általános közzétételi listában meghatározott adatokat (a továbbiakban: általános közzétételi lista),
c) a miniszter által kötelezően közzéteendő adatkört, valamint
d) a közbeszerzésekről szóló törvényben meghatározott adatokat.
98. A Minisztérium a közzétételi kötelezettségének a központi kormányzati honlapon, a www.kormany.hu internetes portálon tesz eleget.
99. Az általános közzétételi listán megjelölt adatok összegyűjtése, az adattovábbítónak történő továbbítása, illetve az adatok folyamatos karbantartása az alábbi személyek feladat- és hatáskörébe tartoznak (a továbbiakban együtt: adatfelelős)
a) az általános közzétételi lista I. fejezetében megjelölt "Szervezeti, személyzeti adatok" esetében a Személyügyi Főosztály vezetője,
b) az általános közzétételi lista II. fejezetében megjelölt "Tevékenységre, működésre vonatkozó adatok" az érintett főosztály vezetői;
c) az általános közzétételi lista III. fejezetében megjelölt "Gazdálkodási adatok" esetében a Gazdasági Helyettes Államtitkárság vezetője.[3]
100. Az adatfelelős gondoskodik a kezelésében lévő közérdekű adat, adatbázisok, illetve nyilvántartások leíró adatainak hitelességéről és a továbbított adatok rendszeres frissítéséről. Ugyancsak felel az egységes közadat kereső rendszerbe továbbított közérdekű adatok tartalmáért és a továbbított adatok rendszeres frissítéséért is.
101. Az adatfeltöltést a www.kormany.hu internetes portálra a Minisztérium kommunikációval foglalkozó szervezeti egysége végzi.
102. Külön jogszabály előírhatja az általános közzétételi listákon nem szereplő adatok nyilvánosságra hozatalát. A közérdekből nyilvános adatok esetében jelen utasítás rendelkezéseit megfelelően alkalmazni kell az Infotv. 72. § (1) bekezdés c) pontja alapján megállapított különös közzétételi lista vonatkozásában is.
VII. fejezet
Ellenőrzés
26. Az adatkezelési ellenőrzésre jogosult személyek
103. Adatkezelési ellenőrzésre jogosult
a) a miniszter vagy az általa írásban kijelölt személy,
b) az adatvédelmi felelős,
c) az érintett szervezeti egység vezetője az irányítása alá tartozó egység vonatkozásában, illetve az általa ellenőrzésre írásban kijelölt személy,
d) az Ellenőrzési Főosztály írásban felhatalmazott tagja, valamint
e) jogszabályban erre felhatalmazott személy.
104. Az ellenőrzésre feljogosított az ellenőrzés céljára figyelemmel az ellenőrzés érdekében minden olyan helyiségbe beléphet, ahol adatkezelés folyik, az adatkezelést végzőktől minden olyan kérdésben felvilágosítást kérhet, minden olyan adatkezelést megismerhet vagy abba betekinthet, amely az adatkezelési tevékenységgel összefügg.
105. Az egyes szervek, szakterületek szakmai tevékenységét érintő átfogó ellenőrzéseknek ki kell terjedniük a szakmai feladatellátáshoz szükséges adatkezelések törvényességének ellenőrzésére is.
106. A naplózási kötelezettség teljesítését a naplót vezető szervezeti egység vezetője legalább negyedévenként ellenőrizni köteles.
107. Az ellenőrzés során feltárt hiányosságokról, esetleges jogszabály- vagy normasértésekről az ellenőrzést végző az ellenőrzés befejezését követően írásban köteles tájékoztatni az adatvédelmi felelőst és a közigazgatási államtitkárt, aki köteles haladéktalanul megtenni a jogszerű állapot helyreállításához szükséges intézkedéseket, illetve indokolt esetben elrendeli vagy kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását.
VIII. fejezet
Záró rendelkezések
108. Jelen szabályzat hatálybalépésétől számított 45 napon belül a szervezeti egységek vezetői kötelesek intézkedni az irányításuk alá tartozó szervezeti egység adatvédelmi gyakorlatának felülvizsgálatáról és szükség esetén a jelen szabályzat rendelkezéseinek megfelelő eljárások kialakításáról.
109. Hatályát veszti a Belügyminisztérium Adatvédelmi és Adatbiztonsági Szabályzatának kiadásáról szóló 15/2010. (XI. 16.) BM utasítás, valamint az európai uniós koordináció belügyi ágazatot érintő eljárási rendjéről, szervezeti hátterének meghatározásáról szóló 22/2004. (BK.15.) BM utasítás.
1. függelék
Adatlap a Hatóság által történő engedélyezési eljárás lefolytatásához |
1. Adatkezelő |
1.1. Az adatkezelő megnevezése:.......................................................................................................................................................... |
1.2. Címe: ............................................................................................................................................................................................ |
1.3. Telefonszáma:............................................................................................................................................................................... |
1.4. Kapcsolattartó: .............................................................................................................................................................................. |
Adatkezelés |
1.5. Előző adatkezelés.......................................................................................................................................................................... |
1.5.1. Az adatkezelő megváltozásának jogcíme: ................................................................................................................................... |
1.5.2. Előző nyilvántartási azonosító: .................................................................................................................................................. |
1.6. Az adatkezelés megnevezése: ........................................................................................................................................................ |
1.7. Az adatkezelés célja: ..................................................................................................................................................................... |
1.8. Jogalapja |
1.8.1. Jogszabályhely vagy más jogalap:............................................................................................................................................... |
1.8.2. Jogszabály címe: ........................................................................................................................................................................ |
1.9. A tényleges adatkezelés helye:....................................................................................................................................................... |
1.10. Az adatkezelés automatizáltsága:.................................................................................................................................................. |
2. Adatfeldolgozás |
2.1. Az adatfeldolgozó megnevezése: |
2.2. Címe:............................................................................................................................................................................................. |
2.3. Telefonszáma: .............................................................................................................................................................................. |
2.4. Kapcsolattartó: .............................................................................................................................................................................. |
3. Az adatok forrása | |
3.1. Adatfajta megnevezése:............................................................................................................................................................... | |
3.2. Adatforrás megnevezése:............................................................................................................................................................ | |
3.3. Adatfelvétel (átvétel) jogalapja | |
3.3.1. Jogszabályhely vagy más jogalap:............................................................................................................................................ | |
3.3.2. Jogszabály címe: ..................................................................................................................................................................... | |
3.4. Adatfelvétel (átvétel) módja:....................................................................................................................................................... | |
3.5. Az adat törlési határideje:............................................................................................................................................................ | |
4. Adattovábbítás(ok) | |
4.1. Adatfajta megnevezése: | |
4.2. Címzett neve:.............................................................................................................................................................................. | |
4.3. Az adattovábbítás jogalapja | |
4.3.1. Jogszabályhely vagy más jogalap:............................................................................................................................................ | |
4.3.2. Jogszabály címe: ..................................................................................................................................................................... | |
4.4. Az adattovábbítás módja:............................................................................................................................................................ | |
4.5. Időpontja:................................................................................................................................................................................... | |
5. Az érintettek csoportja(i) | |
5.1. A csoport leírása:........................................................................................................................................................................ | |
5.2. Érintettek száma:......................................................................................................................................................................... | |
6. Egyéb közlendők:.......................................................................................................................................................................... | |
Dátum:............................................. | Aláírás...................................................... |
KITÖLTÉSI ÚTMUTATÓ
Az adatvédelmi nyilvántartás vezetésének kötelezettségét az Infotv. 65. § (1) bekezdése a Hatóság részére írta elő. Az adatvédelmi nyilvántartás szerepe, hogy hozzájáruljon az állampolgárok Alaptörvényben biztosított információs önrendelkezési jogának érvényesítéséhez, valamint ahhoz, hogy átfogó ismereteket szerezzenek a magyarországi adatkezelésekről. A nyilvántartásba történő bejelentés az Infotv. 65. § (1) bekezdése alapján - az Infotv. 65. § (3) bekezdés a)-i) pontjában felsoroltak kivételével - minden személyes adatot kezelő szerv számára kötelező. Nem kell bejelenteni továbbá az olyan nyilvántartásokat, amelyek nem tartalmaznak személyes adatokat, illetőleg olyan statisztikai adatokat tartalmaznak, amelyek személyes jellege emiatt nem állapítható meg, mert azokat nem lehet egy meghatározott természetes személlyel kapcsolatba hozni.
Az adatlap kitöltése
1. Adatkezelő
1.1. Adatkezelő megnevezése:
A rovatba a Minisztérium hivatalos nevét kell beírni.
1.2. Adatkezelő címe:
A Minisztérium székhelye.
1.3. Telefonszáma:
1.4. Kapcsolattartó:
A rovat kitöltése nem kötelező. Elégséges a belső adatvédelmi felelőst feltüntetni.
Adatkezelés
1.5. Előző adatkezelés
Csak abban az esetben kell kitölteni, ha a Minisztérium, vagy jogelődje korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba.
1.5.1. Az adatkezelő megváltozásának jogcíme:
Csak abban az esetben kell kitölteni, ha a konkrét adatkezelést előzőleg más adatkezelő végezte, vagy az adatkezelő személyében változás történt.
(pl. jogutódlás, átalakulás, névváltozás, jogszabály-változás)
1.5.2. Előző nyilvántartási azonosító:
Csak abban az esetben kell kitölteni, ha a Minisztérium korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba.
1.6. Az adatkezelés megnevezése:
A bejelenteni kívánt adatkezelést - a nyilvántartásban történő keresés lehetővé tétele céljából - röviden kell megnevezni. A nyilvántartásnak az adatkezelést létrehozó törvény által meghatározott elnevezését kell megjelölni, amennyiben azonban rendelkezik egy általánosan használt fantázianévvel, akkor ezt az elnevezést is fel kell tüntetni. Az azonos adattartalommal rendelkező adatkezeléseket egységes elnevezéssel kell szerepeltetni.
1.7. Az adatkezelés célja:
Az adatkezelés céljának - figyelemmel az Infotv. 4. § (1) bekezdésére - rövid megfogalmazása. Pontosan meg kell jelölni, hogy milyen jogszabály által meghatározott feladat teljesítése érdekében van erre szükség. Ilyen esetben a feladatmeghatározást tartalmazó ágazati jogszabály megfelelő hivatkozási alapnak tekinthető.
1.8. Az adatkezelés jogalapja:
Az adatkezelés jogalapja az érintett hozzájárulása, vagy törvényi felhatalmazás lehet. A törvénynél alacsonyabb szintű jogszabályra történő hivatkozás nem fogadható el, ugyanis a jogalap meglétét csak törvényi előírás garantálhatja. Olyan megoldás alkalmazása azonban helyes és a pontosítás érdekében kívánatos is, mely szerint a törvény mellett a végrehajtási rendelete megfelelő szakaszaira is történik hivatkozás. Nemcsak a vonatkozó törvény megjelölését kell szerepeltetni, hanem a pontos törvényi rendelkezés(eke)t is meg kell jelölni. Nem fogadható el az adatkezelés jogalapjaként az olyan törvényi rendelkezésre történő hivatkozás, amely a Minisztériumot csupán adatigénylésre hatalmazza fel, ugyanis ez nem azt jelenti, hogy ezen adatokról a Minisztérium külön nyilvántartást vezethet.
1.8.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése.
1.8.2. Jogszabály címe.
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
1.9. A tényleges adatkezelés helye:
Nem szükségképpen azonos az adatkezelő címével, csak akkor kell kitölteni, ha nem azonos az adatkezelő címével.
1.10. Az adatkezelés automatizáltsága:
Kézi, gépi, részben gépesített, párhuzamos (nem kötelezően kitöltendő elem)
2. Adatfeldolgozás:
2.1. Adatfeldolgozó megnevezése:
A rovatba az adatfeldolgozó szerv vagy személy hivatalos nevét kell beírni.
2.2. Az adatfeldolgozó címe:
Az adatkezelő szerv székhelye, a természetes személy lakóhelye.
2.3. Telefonszáma:
2.4. Kapcsolattartó:
A rovat kitöltése nem kötelező.
3. Az adatok forrása:
3.1. Adatfajta megnevezése:
Az egyes adatfajtákat külön-külön pontosan meg kell jelölni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy "azonosító adatok". Az adatlap ezen pontjában összefoglaló néven kell szerepeltetni a személyes adatokat, valamilyen jellemzők szerint csoportosítva azokat. (Például természetes személyazonosító adatok; gépjármű azonosító adatai stb.)
3.2. Adatforrás megnevezése:
A kezelt adatok forrásának megjelölése (pl. érintett, más adatkezelőtől adatátvétellel).
Más adatkezelőtől történő adatátvétel esetén az adatokat továbbító adatkezelő adatvédelmi nyilvántartási számát is meg kell jelölni.
3.3. Adatfelvétel (átvétel) jogalapja:
3.3.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása vagy a konkrét jogszabályhely megjelölése.
3.3.2. Jogszabály címe.
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
3.4. Adatfelvétel (átvétel) módja:
Meg kell jelölni az adatok gyűjtésének, felvételének, átvételének konkrét módját (pl. kérdőív, címlista átvétele).
3.5. Az adat törlési határideje:
Ha jogszabály másképp nem rendelkezik, az adatokat az adatkezelés céljának elérésével, illetve az érintett kérésére törölni kell.
4. Adattovábbítások:
4.1. Adatfajta megnevezése:
Az egyes adatfajtákat külön-külön pontosan meg kell jelölni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy "azonosító adatok".
4.2. Címzett neve:
A rovatba az adattovábbítás címzettjének hivatalos nevét kell beírni.
Ebben a rovatban kell megjelölni azt is, ha az adatkezelő az adatokat nyilvánosságra hozza.
4.3. Az adattovábbítás jogalapja
4.3.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása, vagy a konkrét jogszabályhely megjelölése.
4.3.2. Jogszabály címe.
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
4.4. Az adattovábbítás módja: (pl. online kapcsolat)
4.5. Időpontja:
Meg kell jelölni az adattovábbítás határnapját, határidejét, valamint az adattovábbítás gyakoriságát is.
5. Az érintettek csoportja(i):
5.1. A csoport leírása:
Azoknak a csoportoknak a meghatározása, amelyek tagjainak személyes adataival a Minisztérium adatkezelést végez.
5.2. Érintettek száma:
A rovat kitöltése nem kötelező.
(pl. hiánypótlás, korábbi bejelentés) Kiegészítő lapok
Az adatlaphoz tartozó kiegészítő lapokra csak bonyolult adatkezeléseknél van szükség. Kiegészítő lap (adatfeldolgozás):
Csak abban az esetben kell kitölteni, ha a bejelenteni kívánt adatkezelő párhuzamosan több adatfeldolgozót vesz igénybe. Ekkor az egyes adatfeldolgozókat külön kiegészítő lapon kell megjelölni.
Kiegészítő lap (adatok forrása):
Csak abban az esetben kell kitölteni, ha az egyes adatokat több különböző forrásból gyűjti a Minisztérium, vagy az egyes adatokat különböző módon gyűjti, vagy az egyes adatoknak különböző a törlési határideje. Ekkor a különböző adatforrások megjelölésére külön kiegészítő lapot kell kitölteni.
Kiegészítő lap (adattovábbítás):
Csak abban az esetben kell kitölteni, ha a Minisztérium több szervnek vagy személynek továbbít adatot, vagy ha az adatoknak csak egy részét továbbítja, vagy ha az adatokat különböző módon és időben továbbítja. Ekkor az egyes adattovábbításokat külön kiegészítő lapon kell megjelölni.
Kiegészítő lap (érintettek csoportjai):
Csak abban az esetben kell kitölteni, ha az adatkezelő - az érintett személyek szempontjából - több szempontú adatkezelést végez.
2. függelék
Adatlap a szervezeti egységek részére az érintett jogainak gyakorlására vonatkozó kimutatáshoz
A kitöltő szervezeti egység: | |||
Az érintett saját adataira vonatkozó kérelmek: | |||
A kérelem jellege | Teljesített | Részben teljesített | Elutasított |
Tájékoztatás iránti kérelem saját nyilvántartott személyes adatról | |||
Tájékoztatás iránti kérelem arról, hogy az érintett személyes adatát kinek továbbították | |||
Helyesbítés iránti kérelem | |||
Törlés iránti kérelem | |||
Az érintett személyes adatára vonatkozó részben teljesített, illetve elutasított kérelmek indokolása: |
A közérdekű adatok megismerésére vonatkozó kérelmek: | ||
Teljesített | Részben teljesített | Elutasított |
A közérdekű adatok megismerésére vonatkozó részben elutasított, elutasított kérelmek indokolása: |
3. függelék
Az adatbiztonságot veszélyeztető főbb kockázati elemek
1. A külső fenyegető tényezők:
a) természeti katasztrófa;
b) külső személy által elkövetett erőszakos cselekmény;
c) közműellátási zavarok;
d) külső személy tartózkodása a minisztériumi objektumban;
e) védelmi berendezések technikai hibája, vészhelyzet (pl. rövidzárlat, tűz, csőtörés).
2. A hardver eszközök fenyegetettsége:
a) műszaki jellegű hibák, rendellenességek;
b) káros környezeti hatás (feszültségingadozás, szennyeződés, elektromágneses sugárzás, elektrosztatikus feltöltődés);
c) a berendezések kezelésével, karbantartásával kapcsolatos hibák;
d) perifériákhoz való illetéktelen hozzáférés;
e) a berendezések manipulálása, rongálása, lopás;
f) az eszköz elhelyezésére szolgáló helyiség vagy munkahely helytelen kiválasztása.
3. Az adathordozók veszélyeztetettsége:
a) gyártási hiba;
b) károsodás nem szabályszerű tárolás, vagy kezelés miatt;
c) ismeretlen, vagy kétes eredetű adathordozó alkalmazása;
d) kontroll nélküli hozzáférés az adathordozókhoz, másolás;
e) saját adathordozó ellenőrzés nélküli alkalmazása szolgálati vagy magáncélra (vírusveszély, illegális másolás).
4. Az iratokhoz, informatikai dokumentációkhoz kapcsolódó kockázati elemek:
a) a rendszerdokumentáció teljes vagy részleges hiánya;
b) az iratok követhető rendszerezettségének hiánya;
c) az aktualitás hiánya;
d) jogosulatlan, hibás, ismeretlen eredetű változtatás;
e) kontroll nélküli hozzáférés, sokszorosítás.
5. A szoftverekhez kapcsolódó veszélyforrások:
a) nem jogtiszta, ismeretlen szoftver alkalmazása;
b) szoftverhiba;
c) jogosulatlan hozzáférés, másolás lehetősége;
d) szoftver ellenőrizetlen bevitele az informatikai rendszerbe;
e) vírusveszély;
f) szándékos vagy gondatlan kezelési, karbantartási hiba;
g) a szoftver sérülése, károsodása hardver hiba miatt;
h) dokumentációk hiánya, sérülése.
6. Az alkalmazói tevékenységgel, adatokkal összefüggő kockázati elemek:
a) adatvesztés, károsodás hardver vagy szoftver hiba miatt;
b) teljes, vagy részleges adatvesztés hibás adathordozó miatt;
c) a jogosult adatkezelő által szándékosan vagy tévedésből végzett adattörlés, - módosítás;
d) jogosulatlan adatkezelő által végzett másolás, törlés, módosítás;
e) hibás adatkezelés ismerethiány miatt;
f) kezelési előírások, oktatás hiánya.
7. Fenyegető tényezők a kommunikáció területén:
a) jogosulatlanok bejutása a hálózatba nem ellenőrizhető csatlakozás révén;
b) hálózati hardverek és szoftverek szándékos vagy gondatlan manipulálása;
c) adatforgalom lehallgatása;
d) váratlan forgalmazási akadályok, az átvitelt zavaró befolyások;
e) üzenetvesztés, üzenet megváltoztatása;
f) az adatátviteli eszközök sérülése, károsodása.
8. Személyhez fűződő veszélyforrások:
a) hibás adatkezelés ismerethiány vagy fáradtság, figyelmetlenség miatt;
b) az adatkezelésre vonatkozó előírások figyelmen kívül hagyása hiányos "biztonságtudat" miatt, a fenyegetettség lebecsülése;
c) szándékosan hibás adatkezelés belső késztetés vagy külső ráhatás következményeként;
d) jogosulatlan hozzáférés;
e) az ellenőrzés hiánya.
Lábjegyzetek:
[1] Hatályon kívül helyezte a 21/2015. (VIII. 13.) BM utasítás 8. § a) pontja. Hatálytalan 2015.08.16.
[2] Módosította a 24/2013. (VIII. 16.) BM utasítás 7. pontja. Hatályos 2013.08.17.
[3] Módosította a 14/2015. (VI. 19.) BM utasítás 25. pontja. Hatályos 2015.07.01.