2010. számú utasítása. Az ONYF adatvédelmi és információszabadsági szabályzatáról

Az Országos Nyugdíjbiztosítási Főigazgatóság főigazgatójának 30/2010. számú utasítása

Az ONYF adatvédelmi és információszabadsági szabályzatáról

TARTALOMJEGYZÉK ÁLTALÁNOS RENDELKEZÉSEK............................................................................................ 4 1. AZ UTASÍTÁS CÉLJA ......................................................................................................... 4 2. AZ ADATKEZELÉS CÉLJA............................................................................................... 5 3. AZ ADATKEZELŐ MEGHATÁROZÁSA ....................................................................... 5 4. AZ ADATKEZELŐ SZERVEZETI STRUKTÚRÁJA ................................................... 5 5. AZ ADATKEZELÉS HELYSZÍNEI .................................................................................. 6 6. A UTASÍTÁS HATÁLYA, VISZONYA MÁS SZABÁLYZATOKHOZ ..................... 6 6.1. Az utasítás szervi hatálya..................................................................................................6 6.2. Az utasítás személyi hatálya .............................................................................................7 6.3. Az utasítás tárgyi hatálya ..................................................................................................7 7. VONATKOZÓ JOGSZABÁLYOK .................................................................................... 7 7.1. Kapcsolódó hatályos főigazgatói utasítások..................................................................10 8. A KEZELT ADATOK KÖRE AZ ADATOK FORRÁSA ............................................ 11 8.1. Jogalap megnevezése ......................................................................................................11 8.2. Az adatok forrásának megnevezése ...............................................................................11 8.3. Adatátvétel módja............................................................................................................13 8.4. Adatkör.............................................................................................................................15 8.5. Adatkezelés-típusok ........................................................................................................17 8.6. Adatkezelés típusokon belüli önálló adatkezelések ......................................................17 8.6.1. Adatkezelések összekapcsolása rendszerek között, szervezeten belül ................19 8.7. Ágazati adatkezelések főbb ismérveinek összefoglalása ..............................................20 9. ADATKEZELŐ RENDSZEREK ...................................................................................... 30 10. ADATKEZELÉS, ADATFELDOLGOZÁS..................................................................... 31 10.1. Adatkezelés, adatkezelői felelősség ...............................................................................31 10.2. Adatfeldolgozás, adatfeldolgozói felelősség .................................................................31 10.3. Adatkezeléssel összefüggő kiemelt feladatkörök..........................................................32 10.3.1. Belső adatvédelmi felelős.......................................................................................32 10.3.2. Adatvédelmi előadók ..............................................................................................33 11. AZ ADATKEZELŐ JOGAIT GYAKORLÓ SZEMÉLYEK KÖRE.......................... 34 11.1. Köztisztviselők ................................................................................................................34 11.2. Egyéb hozzáférésre jogosultak meghatározása .............................................................34 11.3. Hozzáférés eseti engedély alapján..................................................................................35 12. HOZZÁFÉRÉS BIZTOSÍTÁSA, JOGOSULTSÁGKEZELÉS................................... 35 12.1. Jogosultság igénylése, engedélyezési eljárás.................................................................36 12.1.1. LN postafiók igénylése............................................................................................37 12.1.2. Jogosultság igénylés menete ..................................................................................38 12.2. Jogosultság visszavonása................................................................................................38 12.2.1. LN postafiók visszavonása......................................................................................38 12.2.2. Üzemeltetői jogosultság visszavonása...................................................................39 12.3. Jogosultság felfüggesztése ..............................................................................................39 12.3.1. LN postafiók felfüggesztése ....................................................................................39 12.4. Jogosultság törlése...........................................................................................................40 12.4.1. LN postafiók törlése ................................................................................................40 12.5. Ideiglenes jogosultság kiadása........................................................................................40 12.6. Felhasználói jogosultság nyilvántartása.........................................................................41 13. AZ ALKALMAZÓI RENDSZEREK HASZNÁLATÁNAK VÉDELME .................. 41 13.1. Az adatkezelés ellenőrzése .............................................................................................41 14. AZ ADATVÉDELMI KRITÉRIUMRENDSZER .......................................................... 42

14.1. A védett adatokkal kapcsolatos alapvető védelmi feladatok ........................................42 14.2. Hitelesség megőrzése ......................................................................................................42 14.3. Sértetlenség megőrzése ...................................................................................................43 14.4. Bizalmasság megőrzése ..................................................................................................43 14.5. Rendelkezésre állás, funkcionalitás biztosítása.............................................................44 15. ADATKEZELÉSI MŰVELETEK..................................................................................... 44 15.1. Adatbefogadás .................................................................................................................44 15.2. Adatok helyesbítése, törlése, adatmódosítás .................................................................44 15.2.1. Adattörlés LN postafiókban ...................................................................................45 15.3. Adatmegsemmisítés ........................................................................................................45 15.4. Adattovábbítás, adatszolgáltatási kötelezettség.............................................................46 15.4.1. Statisztikai célú adattovábbítás ..............................................................................47 15.5. Nyilvánosságra hozatal, és az egyéb célú felhasználás tilalma ....................................48 16. AZ ÉRINTETTEK JOGAI ................................................................................................ 48 16.1. Tájékoztatás kérés ...........................................................................................................48 16.2. Helyesbítés kérés .............................................................................................................49 16.3. Betekintés.........................................................................................................................49 16.4. Tájékoztatás a képfelvevő, -rögzítő berendezések által készített felvételekről...........49 17. INFORMÁCIÓSZABADSÁG ............................................................................................ 50 17.1. Közérdekű adatok nyilvánossága ...................................................................................50 17.2. Adatigénylés ....................................................................................................................51 18. AZ UTASÍTÁS MEGISMERTETÉSE ............................................................................. 51 18.1. Köztisztviselők ................................................................................................................52 18.2. Egyéb jogviszony alapján foglalkoztatott munkatársak................................................52 18.3. Külső vállalkozók munkatársai ......................................................................................52 19. HATÁLYBALÉPÉS, ZÁRÓ RENDELKEZÉS .............................................................. 54 20. MEGJELENTETÉS............................................................................................................. 54 1. sz. melléklet..............................................................................................................................56 1/A. sz. melléklet .........................................................................................................................64 2. sz. melléklet..............................................................................................................................66 3. sz. melléklet..............................................................................................................................68 4. sz. melléklet..............................................................................................................................69 5. sz. melléklet..............................................................................................................................74 6. sz. melléklet..............................................................................................................................76

ÁLTALÁNOS RENDELKEZÉSEK Az Országos Nyugdíjbiztosítási Főigazgatóság (továbbiakban ONYF) és regionális igazgatási szervei által törvényi felhatalmazással kezelt és feldolgozott személyes adatok védelmét, valamint a közérdekű adatok megismeréséhez való jog érvényesülését a következők szerint szabályozom.

Az utasítás kiadására a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. (a továbbiakban: Tbj.) törvény 43. § (5) bekezdése, a társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. (a továbbiakban: Tny.) törvény 96. § (7) bekezdése, és az ONYF- ről szóló 1987. évi XI. törvény 49. § (1) bekezdésében kapott felhatalmazásra figyelemmel kerül kiadásra.

1. AZ UTASÍTÁS CÉLJA Az utasítás célja, hogy az ONYF és regionális igazgatási szervei kommunikációs és informatikai (továbbiakban infokommunikációs) rendszereiben kezelt és feldolgozott adatok védelmével és biztonságával kapcsolatos tevékenységeket rendszerbe foglalja, és segítse azok hitelességére, bizalmasságára, sértetlenségére, valamint rendelkezésre állására vonatkozó követelmények érvényesítését. Biztosítani kell, hogy személyes adatával mindenki maga rendelkezzen, az adatkezelés célhoz kötöttsége megvalósuljon, valamint a közérdekű adatok tekintetében a közvélemény tájékoztatása pontos és gyors legyen. A törvényesen védett adatokra vonatkozóan az utasítás megelőző védelmi eljárásokat ír elő az •

illetéktelen hozzáférés megakadályozására,

•

a személyes adatok védelmének biztosítására,

•

informatikai rendszerek megbízható működését fenyegető káresemények elkerülésére,

•

illetve bekövetkezési valószínűségének minimalizálására,

•

valamint ha az esemény mégis bekövetkezne, az okok felderítésére, és

•

a felelősség megállapítására.

4

2. AZ ADATKEZELÉS CÉLJA A nyugdíj-biztosítási szakterület kizárólag a közérdekből elrendelt kötelező feladat ellátásához, illetve törvényi kötelezettségei teljesítése érdekében kezelhet személyes adatokat.

A nyugdíj-biztosítási ágazat adatkezelésének célját, az adatkezelés feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést közérdekből, törvényi kötelezettség teljesítése érdekében elrendelő törvény határozza meg. (Tny. 96 §.).

Az adatkezelés célja eszerint a nyugellátások, illetőleg a nyugdíjbiztosítás szerveinek hatáskörébe utalt más ellátások megállapítása, folyósítása és ellenőrzése, valamint a nyugdíjbiztosítást illető befizetések nyilvántartása.

3. AZ ADATKEZELŐ MEGHATÁROZÁSA Az adatkezelés törvényességéért a felelősséget az ONYF vezetője viseli, aki az adatkezelésre vonatkozó döntéseket meghozza és végrehajtatja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

4. AZ ADATKEZELŐ SZERVEZETI STRUKTÚRÁJA Az Országos Nyugdíjbiztosítási Főigazgatóság a központi államigazgatási szervekről, valamint a Kormány tagjai és az államtitkárok jogállásáról szóló 2006. évi LVII. törvényben (a továbbiakban: KT.) meghatározott központi államigazgatási szerv. Az ONYF a Nyugdíjbiztosítási Alap (a továbbiakban Ny. Alap) kezelésére és a nyugdíjbiztosítás központi igazgatására, a Kormány által kijelölt központi hivatal. 1

Az Országos Nyugdíjbiztosítási Főigazgatóság, mint központi hivatal, közvetlenül irányítja az igazgatási szerveit.

1

Szervezési és Működési Szabályzat, 2009. október

5

Az Országos Nyugdíjbiztosítási Főigazgatóság igazgatási szervei a: •

Regionális Nyugdíjbiztosítási Igazgatóságok,

•

Nyugdíjbiztosítási Jogorvoslati Igazgatóság,

•

Nyugdíjfolyósító Igazgatóság.

5. AZ ADATKEZELÉS HELYSZÍNEI •

ONYF

•

NYUFIG

•

Központi Archívum

•

Regionális igazgatási szervek

•

Nyugdíjbiztosítási Jogorvoslati Igazgatóság

•

az ellenőrzés alá vont foglalkoztatók, valamint

•

a magyar honvédség és a rendvédelmi szervek

6. A UTASÍTÁS HATÁLYA, VISZONYA MÁS SZABÁLYZATOKHOZ Ez az utasítás a Nyugdíj ágazatban kezelt adatok tekintetében szabályozza az adatvédelmi intézkedéseket. Az információ biztonsági és informatikai biztonsági vetületét az adatvédelemnek az IBSZ szabályozza. A jelen szabályzatot és az IBSZ vonatkozó részeit együttesen kell alkalmazni az adatvédelmi és adatbiztonsági területen.

6.1.

Az utasítás szervi hatálya

Az utasítás hatálya kiterjed az ONYF-re, és regionális igazgatási szerveire, valamint a velük szerződéses kapcsolatban álló jogi személyre vagy jogi személyiséggel nem rendelkező szervezetekre és a szerződő fél által a teljesítés érdekében bevont egyéb szervezetekre, ahol a nyugdíjágazat kezelésében lévő védett adatokat és adatállományokat bármilyen adathordozón pl. papír-, film-, vagy elektronikus adathordozókon tárolnak, kezelnek és őriznek; ideiglenes, átmeneti, vagy állandó jelleggel.

6

6.2.

Az utasítás személyi hatálya

Az utasítás rendelkezései kötelezően vonatkoznak: − az ONYF-nél, illetve regionális igazgatási szerveinél foglalkoztatott köztisztviselőkre, és munkavállalókra, − egyéb munkavégzésre irányuló jogviszony keretében foglalkoztatásban álló munkatársra; − az ONYF-el és regionális igazgatási szerveivel szerződéses kapcsolatban álló jogi személyekre, jogi személyiséggel nem rendelkező szervezetekre, természetes személyekre és a szerződő fél által bevont alvállalkozókra, illetve a teljesítésben közreműködő személyekre, akik munkát végeznek az ONYF informatikai rendszereivel kapcsolatban, és közvetlen, vagy közvetett módon az ONYF-en, illetőleg az ONYF regionális igazgatási szerveinél személyes adatokat kezelnek, − azokra a jogi és természetes személyekre, az egyéb gazdálkodó szervezetekre, valamint az ONYF-el és regionális igazgatási szerveivel szerződéses kapcsolatban álló, a szerződő fél által bevont egyéb felekre, akik, vagy amelyek az ONYF megbízásából személyes adatokat tartalmazó okmányok adatfeldolgozásában vesznek részt, − azokra, akik az ONYF hatáskörébe tartozó adatokkal kapcsolatba kerülnek.

Egyéb jogviszony esetében gondoskodni kell arról, hogy a szerződésekben jelen utasítás ismerete és betartása, mint kötelezettség, a szerződő félre és alvállalkozóira valamint azok dolgozóira is kiterjedjen.

6.3.

Az utasítás tárgyi hatálya

Az utasítás hatálya kiterjed az ágazatban lévő adatok teljes körére, keletkezésük, felhasználásuk, feldolgozási helyük és megjelenési formájuktól függetlenül.

7. VONATKOZÓ JOGSZABÁLYOK Törvényi hivatkozások:

7

− 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (a továbbiakban: Avtv.), − 1995. évi LXV. törvény az államtitokról és a szolgálati titokról, − 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, és a végrehajtásáról szóló 146/1993.(X.26.) Korm. rendelet, − 1992. évi XXIII. törvény a köztisztviselők jogállásáról, − 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről (a továbbiakban: Levéltári tv.), − 1992. évi XXXVIII. törvény az államháztartásról, − 1993.

évi

XLVI.

törvény

a

statisztikáról

és

a

végrehajtásról

szóló

170/1993.(XII.3.) Korm. rendelet, − 1997. évi LXXXI. törvény a társadalombiztosítási nyugellátásról (a továbbiakban Tny.) − 1997. évi LXXX. törvény a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről (a továbbiakban Tbj.) − 2001. évi LXXXV. törvény a büntetőeljárásban résztvevők, az igazságszolgáltatást segítők Védelmi Programjáról, − 1978. évi IV. törvény a Büntető Törvénykönyvről, különös tekintettel az alábbi, különös részi tényállásokra: − magántitok megsértése (Btk. 177. §) − visszaélés személyes adattal (Btk. 177/A. §) − visszaélés közérdekű adattal (Btk. 177/B. §) − magántitok jogosulatlan megismerése (Btk. 178/A. §) − szolgálati titoksértés (Btk. 222. §) − számítástechnikai rendszer és adatok elleni bűncselekmény (Btk. 300/C. §) − 1998.évi XIX. törvény a büntetőeljárásról, − 1959. évi IV. törvény a Polgári Törvénykönyvről, 81. és 83. §-ai, − 1952. évi III. törvény a Polgári Perrendtartásról, − 1997. évi XLVII. törvény az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről, − 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (a továbbiakban: Ket.) 68. §-a - 2005. november 1-től alkalmazandó rendelkezései, és módosítása

8

− 2003. évi XXIV. törvény (a továbbiakban: Üvegzseb tv.) a közpénzek felhasználásával, a köztulajdon használatának nyilvánosságával, átláthatóbbá tételével és ellenőrzésének bővítésével összefüggő egyes törvények módosításáról, − 2005. évi XC. törvény az elektronikus információszabadságról. − 2007. évi LXXXIV. törvény a rehabilitációs járadékról − 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól −

2003. évi XCII. törvény az adózás rendjéről (a továbbiakban Art.)

Kormányrendeletek: − 233/2001.(XII.10.) Korm. rendelet a közszolgálati jogviszonnyal összefüggő adatkezelésre és a közszolgálati nyilvántartásra vonatkozó szabályokról, − 7/2002.(III.12.)BM rendelet a közszolgálati nyilvántartás egyes kérdéseiről, − 292/2009. (XII. 19.) Korm. rendelet az államháztartás működési rendjéről, és 22. számú melléklete a társadalombiztosítás költségvetési szervei által kötelezően közzéteendő közérdekű adatok körének meghatározásáról, − 213/2007. (VIII. 7.) Korm. rendelet az Országos Rehabilitációs és Szociális Szakértői Intézetről, valamint eljárásának részletes szabályairól

Az utasítás továbbá az alábbi nemzetközi és hazai szabványok ajánlásainak megfelel: •

ITSEC-F-C2 informatikai alapbiztonsági osztály ajánlás, valamint a ITB 8. sz. ajánlás és annak 5. számú adatvédelmi melléklete,

•

ITB. 12. sz. ajánlás,

•

MSZ ISO/IEC 15408-1, 2, 3 Informatika. Biztonságtechnika.

•

ISO/IEC 15408 (Common Criteria) Az informatikai biztonságértékelés közös szempontjai,

•

MSZ ISO/IEC 177999:2002,

•

ITIL (BS 15000 és MSZE 15100)

•

COBIT.

9

7.1. −

Kapcsolódó hatályos főigazgatói utasítások

A közérdekű adatok elektronikus és kérelemre történő közzétételi kötelezettségének szabályozásáról,

− Közszolgálati Adatvédelmi Szabályzatról, − Adatvédelmi Szabályzatról, − A Nyugdíjbiztosítási Alap eszközeinek hasznosításáról és selejtezéséről, − Az ONYF egyedi iratkezelési szabályzatáról, − A NYUFIG egyedi iratkezelési szabályzatáról − Az ONYF regionális nyugdíjbiztosítási igazgatási szerveinek egységes iratkezelési szabályzatáról, − A szerződések előkészítésének, megkötésének és nyilvántartásának rendjéről, −

Nyugdíjbiztosítási igazgatóságok nyilvántartási és adatszolgáltatási feladatai ellátásának ügyviteli eljárásáról

− Személyes és közérdekű adatok nyilvánosságra hozataláról − A beruházási és felújítási folyamat szabályozásáról, − A Nyugdíjbiztosítási Alap Számviteli Politikájáról, − A regionális nyugdíjbiztosítási igazgatóságok szakellenőrzési feladatainak ellátásáról − A nyugdíjbiztosítási igazgatóságok nyugdíjszolgáltatásokra irányuló megállapodások megkötésével kapcsolatos ügyviteli eljárásáról − A méltányossági jogkör gyakorlásának eljárási rendjéről és a költségvetési előirányzat felhasználásáról − Közszolgálati Szabályzatról − ONYF és regionális igazgatási szervei tűzvédelmi szabályzatáról. − ONYF és igazgatási szervei Munkavédelmi Szabályzatáról − ONYF és igazgatási szervei Tűzvédelmi Szabályzatáról − ONYF rendészetéről − ONYF rendészetéről szóló 36/2007. (Nyb.K.4.) ONYF utasítás módosításáról Az Informatikai Biztonsági Szabályzat tartalmazza a további fogalmi értelmezéseket.

10

8. A KEZELT ADATOK KÖRE AZ ADATOK FORRÁSA 8.1.

Jogalap megnevezése

Az ONYF és a regionális igazgatási szervek az adatokat – a különböző infokommunikációs rendszerekben - a Tbj. 42 §. felhatalmazása alapján, továbbá az érintett (vagy meghatalmazottja, ill. képviselője) hozzájárulása alapján kezelhetik. A törvényi felhatalmazással kezelt adatok körét a Tny. 96. § (2) bekezdése nevesíti az alábbiak szerint: •

személyi adatok (név, leánykori név, anyja neve, születési hely, születés éve, hónapja és napja),

•

családi állapot,

•

állampolgárság,

•

lakóhely (tartózkodási hely),

•

foglalkozás,

•

munkahely,

•

munkakör, tevékenység,

•

a rokkantságra vonatkozó adatok, amennyiben jogszabály szerint a nyugellátás, egyéb ellátás megállapítása az egészségi állapot alapján történik,

•

a keresetre, jövedelemre vonatkozó adatok

8.2.

Az adatok forrásának megnevezése

− Országos Egészségbiztosítási Pénztár (a továbbiakban: OEP) − Miniszterelnöki Hivatal Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (a továbbiakban: MEH KEK KH) − Igazságügyi és Rendészeti Minisztérium Céginformációs és az Elektronikus Cégeljárásban Közreműködő Szolgálat − Adó és Pénzügyi Ellenőrzési Hivatal (a továbbiakban: APEH) − Oktatási Hivatal − Állami Foglalkoztatási Szolgálat, (a továbbiakban: ÁFSZ)

11

− Országos Rehabilitációs és Szociális Szakértői Intézet Országos (a továbbiakban: ORSZI) − A Tny. 97. § (2) bekezdése alapján az adatszolgáltatásra kötelezettek által teljesített adatszolgáltatás (foglalkoztatói adatszolgáltatás) − Központi Igazságügyi Hivatal (volt Kárpótlási Hivatal) − Magyarországi Zsidó Örökség Közalapítvány (a továbbiakban: MAZSÖK) − Magyar Nemzeti Vagyonkezelő Zrt (a továbbiakban: MNV Zrt.) − Honvédelmi Minisztérium (a továbbiakban: HM) − Vám- és Pénzügyőrség − Információs Hivatal − Igazságügyi és Rendészeti Minisztérium (a továbbiakban: IRM) − A biztosított, igénybejelentéskor, vagy soron kívül általa benyújtott adatok tekintetében, − A biztosított ügyének intézése érdekében megkeresett személyek, vagy szervek.

12

8.3.

Adatátvétel módja

Átadó szerv vagy személy Országos Egészségbiztosítási Pénztár MEH Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala Igazságügyi és Rendészeti Minisztérium Céginformációs és az Elektronikus Cégeljárásban közreműködő Szolgálat Tny. 97. § (2) bekezdése alapján a nyugdíjbiztosítási adatszolgáltatásra kötelezettek által teljesített adatszolgáltatás (un. foglalkoztatói adatszolgáltatás) Ügyfél, igénybejelentéskor, vagy soron kívül általa benyújtott adatok tekintetében Szociális törvényben kötelezett szerv, szervezet (pl. Önkormányzat, biztosított, foglalkoztató, APEH) ORSZI Állami Foglalkoztatási Szolgálat Oktatási Hivatal APEH-1 APEH-2

Adatátvétel módja CD-n on-line védett hálózati kapcsolaton, email, útján, floppyn

on-line védett hálózati kapcsolaton

on-line védett hálózati kapcsolaton, mágneses adathordozón, papíron

személyesen, papír alapon, ügyfélkapun keresztül elektronikus úton postai úton, személyesen, ügyfélkapun keresztül postai úton postai úton postai úton on-line védett hálózati kapcsolaton DVD-n

Központi Igazságügyi Hivatal

floppyn, papíron

MAZSÖK Magyar Nemzeti Vagyonkezelő Zrt.

floppy-n floppy-n

Honvédelmi Minisztérium

floppy-n

Vám- és Pénzügyőrség

papíron

Információs Hivatal

papíron

Igazságügyi és Rendészeti Minisztérium

papíron

13

14

8.4.

Adatkör

Átadó szerv vagy személy

Adatkör

Országos Egészségbiztosítási Pénztár

Személyi adatok és TAJ szám

MEH Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala

Elhunytak adatai, személyes adatok, lakcím adatok

Igazságügyi és Rendészeti Minisztérium Céginformációs és az Elektronikus Cégeljárásban közreműködő Szolgálat

Foglalkoztatói adatok, adószám, cégjegyzék szám

Tny. 97. § (2) bekezdése alapján a nyugdíjbiztosítási adatszolgáltatásra kötelezettek által teljesített adatszolgáltatás (un. foglalkoztatói adatszolgáltatás) Ügyfél, igénybejelentéskor, vagy soron kívül általa benyújtott adatok tekintetében Szociális törvényben kötelezett szerv, szervezet (pl. Önkormányzat, biztosított, foglalkoztató, APEH)

Személyi és személyes adatok, foglalkoztatási adatok, egészségügyi adatok

Személyi és személyes adatok, foglalkoztatási adatok, egészségügyi adatok

Hiányzó, vagy pontatlan adatok

15

Átadó szerv vagy személy Igénybejelentő ORSZI Állami Foglalkoztatási Szolgálat Oktatási Hivatal APEH

Adatkör Személyes adatok, szolgálati idő adatok, kereseti adatok Egészségügyi és rehabilitációs adatok Munkanélküli és keresetpótló ellátások Személyi adatok és tanulói jogviszony igazolás Kereseti és szolgálati idő adatok, járulékbefizetések, egyéb adatok

Központi Igazságügyi Hivatal

Személyes adatok, lakcím adatok, pénzügyi adatok

MAZSÖK


Magyar Nemzeti Vagyonkezelő Zrt.


Honvédelmi Minisztérium


Vám- és Pénzügyőrség


Információs Hivatal


IRM


16

8.5.

Adatkezelés-típusok

A törvényi előírások szerinti célhoz-kötöttség követelményét figyelembe véve az ágazatban a következő adatkezelés-típusok különíthetők el: − igénybejelentés − nyilvántartás − megállapítás − folyósítás − interface ezek között − iratkezelés − pénzügyi nyilvántartás − humán rendszer

8.6.

Adatkezelés típusokon belüli önálló adatkezelések

Adatkezelés típuson belüli, egymástól elkülöníthető adatkezeléseket az alábbi táblázat foglalja össze.

Adatkezeléstípus

Nyilvántartás

Adatkezelés rövid neve

KELEN

Elkülöníthető adatkezelések rövid neve

Megnevezése

SZAB

Személyi adatbázis

FAB

Foglalkoztatói adatbázis

NYENYI

Foglalkoztatói adatszolgáltatás

e-NYENYI

Elektronikus foglalkoztatói adatszolgáltatás

OKMÁNYADATBÁZIS Foglalkoztatói adatszolgáltatás okmányainak adatbázisa APEH Foglalkoztatói időszaki adatszolgáltatás

17

Adatkezeléstípus

Adatkezelés rövid neve

Nyilvántartás

Elkülöníthető adatkezelések rövid neve

Megnevezése

MEGÁLL

Megállapodás

MÉLTÁN

Méltányossági

KRÍZIS

Krízis

SEGÉLY

Segélyezési

ELLENŐRI

Ellenőri

LN rendszer

Igénybejelentés

Ágazati levelezés LEVELEZŐ

Iratkezelés

Iktatás IKTAT

Pénzügyi-, gazdasági adatkezelés

HR

SAP GAZDÁLKODÁSI RENDSZER

2010. II. negyedév Ágazati dolgozók személyes adatainak kezelése 2010. II. negyedév

18

8.6.1. Adatkezelések összekapcsolása rendszerek között, szervezeten belül

Összekapcsolás módja

Összekapcsolt rendszerek

Interface + papír alapú

KELEN-NYUGDMEG

NYUGDMEG-NYUFUR

KELEN-ELLENŐR

MÉLTÁN-NYUFUR

SEGÉLY-NYUFUR Interface

KRÍZIS-NYUFUR

Folyósítás-KELEN

KRÍZIS-KELEN

Dokumentum Kapu-KELEN

19

8.7.

Ágazati adatkezelések főbb ismérveinek összefoglalása

Az ágazat adatkezelését az alábbi táblázat foglalja össze:

ADATKEZELÉS

KÜLÖNÍTHETŐ

ROLÁS

ADATKEZELÉSEK

HELYE

Személyi adatbázis SZAB

Adatátvétel FORRÁS

Ügyfél

ADATKÖR

módja

Személyes adatok=term.

Személyes

azon.,TAJ, lakcím, státusz

CD két hetente OEP

Tbj. R 27. és az

megállapodás alapján

On-line/nap Cégadatok

Tny. 96.§,

ONYF-OEP

Személyi adatok + TAJ adatokkal

Céginformáció (OCCR)

JOGALAP

Tbj. 42-43§

dátummal,

Archív irattár

NYILVÁNTARTÁS

KELEN

tás, igazgatási szervek irattárai, Központi

RENDSZERE

ADATTÁ-

ONYF KÖZPONTI elektronikus nyilvántar-

CÉLJA

EGYMÁSTÓL EL-

Ctv. és az ONYF-Microsec megállapodás alapján

20

ADATKEZELÉS

CÉLJA

RENDSZERE

EGYMÁSTÓL EL-

ADATTÁ-

KÜLÖNÍTHETŐ

ROLÁS

ADATKEZELÉSEK

HELYE


Foglalkoztatói adatbázis FAB

módja

JOGALAP

On-line, papír,

Tny. 97.§

Nyugdíjbiztosítási adatszol-

Személyi és foglalkozta-

mágneses adat-

gáltatásra kötelezett szer-

tási adatok, úm. kereseti

hordozón

vek, szervezetek és szemé-

és szolgálati idő adatok,

lyek (foglalkoztatói adat-

járulék, egyéb adatok,

szolgáltatás)

Egészségügyi adatok

Okmányadatbázis (szkennelt és A/N ok-

ADATKÖR

APEH

mányok)

Kereseti és szolgálati idő

DVD/évente

adatok, járulékbefizeté-

teszt

Art. 52.§

On-line

Tny. 36/A-36/G

sek, egyéb adatok

Tny. 36/D §. (1)

APEH

bek. a) és 36/G §. (1) bek. b) Személyi és foglalkoztatói

Interfészen ke-

37/2009 ONYF

adatok

resztül

utasítás

Személyi és foglalkoztaROLÓ

PONTI TÁ-

NYUGDMEG

ONYF ONYF KÖZ-

LAPÍTÁS

MEGÁL-

ELLENŐR

KELEN

tási adatok, úm. kereseti

Interfészen ke-

és szolgálati idő adatok,

resztül

Tny. 96.§

járulék, egyéb adatok

21

ADATKEZELÉS

CÉLJA

RENDSZERE

EGYMÁSTÓL EL-

ADATTÁ-

KÜLÖNÍTHETŐ

ROLÁS

ADATKEZELÉSEK

HELYE


ADATKÖR

Személyi és egészségügyi Ügyfél

adatok, leckekönyv, katonakönyv

Oktatási Hivatal

Tanulói jogviszony

módja

Személyes és/vagy meghatalmazott megje-

Munkanélküli és kereset-

gálat

pótló ellátások

Tny. 97.§

lenés

Adatkérés postai úton

Állami Foglalkoztatási Szol-

JOGALAP

Adatkérés postai

KET 36. § (2), Tny. 55. § (1)

1991. évi IV. tv.

úton Tny. 72.§

ORSZI

Egészségügyi és rehabilitációs adatok

Szociális törvényben kötelezett szerv, szervezet (pl. Önkormányzat, biztosított, foglalkoztató, APEH)

Hiányzó, vagy hiányos adatok soron kívüli adat-

Adatszolgáltatás postai úton

ORSZI-ról szóló kormányrend.

Adatszolgáltatás postai úton

Ket. és Tny.

beszerzés

22

ADATKEZELÉS

CÉLJA

RENDSZERE

NYUGDMEG

EGYMÁSTÓL EL-

ADATTÁ-

KÜLÖNÍTHETŐ

ROLÁS

ADATKEZELÉSEK

HELYE

NYOMTATVÁNY


ADATKÖR

módja

JOGALAP

Elbírálás folyamatát támo-

Határozat

---

---

gató megkeresések nyomán beérkező adatok különböző szervek és személyek részéről

23

ADATKEZELÉS

FOLYÓSÍTÁS

CÉLJA

RENDSZERE

NYUFUR

EGYMÁSTÓL ELKÜLÖNÍTHETŐ ADATKEZELÉSEK

NYUFUR

ADATTÁROLÁS HELYE

NYUFIG KP TÁROLÓ

Adatátvétel módja FORRÁS

ADATKÖR

NYUGDMEG

Nyugdíj határozat

JOGOSULT

Személyi címadatok, számlaszám adatok

JOGALAP

papír, interfész Ügyfélkapun, személyesen, postai úton

Tny. Tny.

e-mail

Tny. ART. 2007. évi LXXXIV. tv. Együttműk. megáll. APEH-ONYF

CD

Tbj. R. 27.§

Floppy, papír

1992.évi XXXII. tv. 93/1990. (XI.21.) Korm.r.

APEH

Kereső tevékenységet. folytatók kereset adatai Rehaboz kereseti adatok adószám

OEP

Személyi adatok és TAJ

Központi Igazságügyi Hivatal (volt Kárpótlási Hivatal)

Személyes, cím, Ft adatok

MAZSOK


KEK KH

Személyes, cím (szépkorúak)

MNV Zrt. Magyar Nemzeti Vagyonkezelő (volt Nemzeti Föld Alap)


HM


BM, IM, Vám és Pénzügyőrség, Információs Hivatal (egyéb fegyveresek)


1996. évi XLIII. tv.

NYUFIG

Törzsszám

Tny.

floppy

1997. évi X. tv.

e-mail, floppy, később ftp LESZ

255/2008. (X.21.) Korm.r.

floppy

210/2007. (VIII.7.) és 259/2009. (XI.23.) Korm.r.

floppy

2001. évi XCV. tv.

papír

24

PÉNZÜGYI GAZDASÁGI TERÜLET

HUMAN ONYF

SAP

MEGAORA

PÉNZÜGYI-

KÖZPON-

A KÖLTSÉGVETÉS SZERVEKRE VONATKOZÓ, HATÁLYOS TÖRVÉNYI ELŐÍRÁSOK-

GAZDASÁGI

TI TÁRO-

NAK MEGFELELŐEN

TERÜLET

LÓ

ADATKEZELÉS

CÉLJA

RENDSZERE


MÉLTÁN

ADATTÁROLÁS HELYE

Adatátvétel módja FORRÁS

igénybejelentő

ADATKÖR

JOGALAP

Személyes adatok, eü

Elektronikus

adatok, lakcím, jövedelmi

úton , személye-

viszonyok, (egy főre jutó

sen, postai úton

jövedelem), környezetta-

Tny. 66 §.

nulmány, családjogi viszonyok

MEGÁLL

igénybejelentő


Elektronikus

adatok, lakcím, jövedelmi

úton , személye-

viszonyok, (egy főre jutó

sen, postai úton

jövedelem), környezetta-

Tbj. 34. §

nulmány, családjogi viszonyok

25

Elektronikus polgármesteri hivatal (jegyző) ellenőrzés: NYENYI,

KRÍZIS

NYUFUR, KELEN


úton , személye-

adatok, lakcím , jövedel-

sen, postai úton

mi viszonyok, egy főre

136/2009 (VI.

jutó jövedelem, környe-

24.) Korm.r.

zettanulmány, családjogi viszonyok, bank, munkahely,

LN

IRATKEZELÉS

LN

SEGÉLY

ELLENŐR

ONYF KÖZPONTI TÁROLÓ

LN

Személyes adatok, eü.

Elektronikus

Tny. 66. §

adatok, jövedelmi viszo-

úton , személye-

R.72/b

nyok, egy főre jutó jöve-

sen, postai úton

delem, környezettanulmány, családjogi viszonyok KELEN

Személyes adatok, foglal-

LEVELEZŐ

IKTAT

Tny. 100. §.

Elektronikus

LXVI tv.,

úton , személye-

335/2005

sen, postai úton

(XII.29.) Korm.r.

Elektronikus

LXVI tv.,

úton , személye-

335/2005

sen, postai úton

(XII.29.) Korm.r.

koztatói adatok

Ügyfél adatbázis

LN

interfész

ÜGYFÉL , HIVATALBÓL

Iktatott állományok

26

nyilvántartó

ügyintéző, hitelesítő

Ügyfél által megadott

Elektronikus

tv., KET, 2009.

viszontazonosítás: KELEN

adatok

úton

LX e-közszolg. tv. 222, 223,

Hirdetmények

224, 225 /2009 okt. 19 Korm.r.

TÁROLÓ

Követelés

Hivatali kapu

2004. évi CXL

ÜGYFÉL

ONYF KÖZPONTI

KAPU

DOKUMEN -TUM

ÜGYINTÉZÉS

ELEKTRONIKUS

Ügyfélkapu

igazgatóságok határozatai

Személyes adatok, vissza-

Tny. 84-94. §.

fizetési, megtérítési kötelezettség

27

ADATKEZELÉS

CÉLJA

Iratbeszállítás nyilvántartása

Iratbeszállítás nyilvántartása

RENDSZERE


AIR DOBOZ

AIR GDB

Működési hely felAIR DOBOZ

AIR GDB

TARTÁS

Oracle DB

Archív iratkérés

NYILVÁNTARTÁS

használói környezetben

TOMORI Iratnyilvántartás

Selejtezés

használói környezet-

AIR WEB

TOMORI DB AIR WEB DB

Központi Archívum

NYUFIG Ügyfél dosszié

NYUGDMEG, KELEN Ügyfél dosszié AIR GDB (adathordozóról) Export állomány

doboz-irat nyilvántartás TOMORI Oracle DB Raklap-

TOMORI

TOMORI Iratnyilvántartás

Oracle DB

Archív iratkérés

TOMORI

TOMORI DB Iratkérés-

Központi Archívum

Oracle DB

nyilvántartás AIR WEB DB

ONYF AIR WEB

AIR WEB

Iratkérés-nyilvántartás

Rendszer

Központi Archívum

tó Ügyfél személyes adatai

ONYF Központi AIR TOMORI Oracle DB RaklapWEB Rendszer

ADATKÖR

Dosszié azonosí-

ben

TOMORI

TARTÁS

FORRÁS

NYUFIG helyi fel-

NYILVÁN-

NYILVÁN-

ADATTÁROLÁS HELYE

doboz-irat nyilvántartás Selejtezett iratok jegyzéke

Dosszié azonosító Ügyfél személyes adatai Archivált iratok

Adatátvétel módja

JOGALAP

GDB adatexport on-line

GDB adatexport on-line GDB import (alkalmazás) On-line adat-import

Archivált iratok (szinkronizálás alkalmazás) Archivált iratok Kikért iratok

Felhasználói input

Levéltári határozat 39/2009

Ügyintéző

Archivált iratok

On-line

ONYB. 41/2009 ONYB.

28

Adatkezelések közötti elektronikus kapcsolattípusok: Kapcsolat típusa

Adatkezelések

Kapcsolat típusa adatátadás

Adatkapcsolat

NYUGDMEG-NYUFUR

Tartalma Folyósításhoz szükséges adatok Szolgálati idő,

KELEN-NYUGDMEG

INTERFACE

MÉLTÁN-NYUFUR

adatátadás

béradatok

lekérdezés

összeg

adatátadás

összeg

KRÍZIS-NYUFUR Nyilvántartási FOLYÓSZÁMLA BEHAJTÁSI MODUL –KELEN

lekérdezés

adatok Folyósítási bázis

ONYF -INTRANET-BÜN (Bázis ügyviteli rendszer)

lekérdezés

SEGÉLY-NYUFUR

lekérdezés

adatok Határozat adattartalma

29

9. ADATKEZELŐ RENDSZEREK A jogszabály alapján gyűjtött, illetve az érintett kérésére, hozzájárulásával az igazgatási szervek által kezelt adatokat meghatározott tartalommal (pl. ügyiratszám, TAJ szám, törzsszám, stb.) központi, elektronikus személyes adatokat is tartalmazó rendszerekben, továbbá papír alapon a Központi Archívumban, valamint a szakegységek irattáraiban kell a jogszabályok, valamint a vonatkozó ONYF utasítások betartásával kezelni és nyilvántartani.

Az adat-nyilvántartási és adatszolgáltatási szakmai feladatok: − a nyugdíjjogosultsághoz, illetőleg − a nyugellátások, a nyugdíjbiztosítás regionális igazgatási szerveinek hatáskörébe utalt más ellátások megállapításához, folyósításához szükséges, − a jogszabályokban meghatározott a nyugdíjágazat feladatellátásaihoz kapcsolódó, és a − működtetéssel összefüggő, − személyi (a személy azonosításának adatai), − személyes adatok (pl. a szolgálati idő, kereseti (jövedelmi), − egyéb adatok: FEOR szám, magánnyugdíj-pénztári tagság ténye, stb.) begyűjtése, ellenőrzése, befogadása, rendszerezése, őrzése, valamint feldolgozása.

A céloknak megfelelő, a követelményeket kielégítő feladatok ellátását célalkalmazások, informatikai rendszerek támogatják. A szakmai feladatok biztonságos ellátását az alábbi személyes adatokat tartalmazó nyilvántartó rendszerek teszik lehetővé: − Nyilvántartási (KELEN), − Elbírálási (NYUGDMEG), − Folyósítási (NYUFUR),

LOTUS-NOTES alapú rendszerek: − Ellenőri (ELLENŐRI) − Iktatási (IKTAT), − Levelező (LEVELEZŐ), − Megállapodási (MEGÁLL),

30

− Méltányossági (MÉLTÁN), − Nyomtatvány (NYOMTATVÁNY), − Segélyezései (SEGÉLY), − Kríziskezelési (KRÍZIS)

Egyéb rendszerek − Pénzügyi-gazdasági terület ellátási szektor (MEGAORA) − Pénzügyi-gazdasági, humán terület működési szektor (SAP) − Dokumentumkapu Rendszer − Követelés-nyilvántartó Rendszer − Üzemeltetési terület biztonsági beléptető, képrögzítő rendszerei − Központi Archívum AIRWEB rendszere

10. ADATKEZELÉS, ADATFELDOLGOZÁS 10.1.

Adatkezelés, adatkezelői felelősség

Az adatkezelési és adatfeldolgozási műveletekre vonatkozó utasítások jogszerűségéért az ONYF vezetője, valamint az illetékes regionális igazgatási szervezet vezetője, - mint az adatkezelő képviselője – felel. A konkrét adatkezelési, adatfeldolgozási és ügyviteli feladatok tekintetében az illetékes szervezeti egységek vezetői a felelősek. Adatkezelést kizárólag a hatályos utasításokat betartva szabad végezni.

10.2.

Adatfeldolgozás, adatfeldolgozói felelősség

Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelő határozza meg az Avtv. 4/A. § (1)-(6) alapján, a jogszabállyal összhangban. Az adatfeldolgozásra vonatkozó írásban rögzített megbízási szerződésnek a jogokat és kötelezettségeket tételesen tartalmaznia kell.

31

Adatfeldolgozásra nem köthető szerződéses megbízás olyan személlyel, vagy vállalkozással, aki, vagy amely a feldolgozandó személyes adatokat felhasználó egyéb üzleti tevékenységben érdekelt.

Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe.

10.3.

Adatkezeléssel összefüggő kiemelt feladatkörök

10.3.1.

Belső adatvédelmi felelős

Az ONYF-nél, mint országos hatáskörű adatkezelőnél és adatfeldolgozónál, közvetlenül a főigazgató felügyelete alá tartozó - jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni.

A belső adatvédelmi felelős közvetlenül a főigazgató irányítása alatt áll.

Feladata Ellenőrzi Avtv. és az adatkezelésre vonatkozó más jogszabályok teljesülését.

Adatfeldolgozásra irányuló közbeszerzéskor az ajánlati felhívás előtt az adatvédelmi felelőssel egyeztetést kell kezdeményezni. A vállalkozóval kötendő szerződéstervezetet a belső adatvédelmi felelős adatvédelmi szempontból véleményezni köteles. Az adatfeldolgozóval kötött szerződésnek tartalmaznia kell azt a kitételt, hogy a szerződött fél az adatokat harmadik személynek további feldolgozásra nem adhatja át, azaz hogy lánc-adatfeldolgozásra nem kerülhet sor.

Az adatfeldolgozásban résztvevő valamennyi személynek adatvédelmi és titoktartási nyilatkozatot kell tennie. A titoktartási nyilatkozatokat az adatfeldolgozást kezdeményező és a végrehajtásért felelős főosztály vezetője kéri be és másolatban megőrzi. A belső adatvédelmi fele-

32

lős ellenőrzi a névsornak megfelelő titoktartási nyilatkozatok meglétét, a belépési engedélyeket, a megnevezett feladathoz szükséges jogosultságok meglétét, és összhangját.

A belső adatvédelmi felelőst az adatfeldolgozás során bekövetkezett, az adatfeldolgozás szakmai tartalmát érintő változásokról értesíteni kell.

A belső adatvédelmi felelős köteles véleményt adni az adatkezeléssel ill. az adatfeldolgozással kapcsolatos, hozzá eljuttatott problémákról, jogszabályi előírásokról, kötelezettségekről. Bejelenti az adatfeldolgozást az adatvédelmi biztos irodájánál és megkéri az adatfeldolgozás Adatvédelmi Nyilvántartásba vételét a jogszabálynak megfelelően.

Az adatvédelmi előadók által jelzett adatvédelmi problémákat körültekintően kivizsgálja, a szükséges konzultációkat lefolytatja.

A belső adatvédelmi felelős éves munkaterv alapján ellenőrzi az adatvédelmi szabályzatokba foglaltak teljesülését. Vizsgálja a hatályos szabályzat aktualitását, indokolt esetben kezdeményezi a szabályzat módosítását..

10.3.2.

Adatvédelmi előadók

Helyzete

Az ágazat igazgatási szerveinél regionális igazgatási szervenként legalább egy adatvédelmi előadói feladatokat ellátó köztisztviselőt kell megnevezni. Nevezettek munkaköri leírásaiban szerepelnie kell az adatvédelmi feladatok ellátásának is.

Feladata

Az adatvédelmi előadók az adatkezeléssel kapcsolatos, az ügyviteltől eltérő, a vonatkozó szabályzatokban nem szereplő adatvédelmi tárgyú, vagy ezzel összefüggéseket hordozó esetekkel kapcsolatos észrevételeiket a belső adatvédelmi felelős számára jelzik. A jelzés lehet konzultatív jellegű, telefonon történő megkeresés. Összetettebb ügyben az adatvédelmi előadó elektronikus levélben, - mely a körülményeket és az egyéb esetlegesen már a regionális igaz-

33

gatási szervnél keletkezett iratokat is tartalmazza, - küldi meg a felmerülő adatvédelemmel összefüggő kérdést, problémát a belső adatvédelmi felelősnek.

Az adatok biztonságára és védelmére vonatkozó előírások betartásának ellenőrzése az regionális igazgatási szervek adatvédelmi előadóinak kötelessége.

11. AZ ADATKEZELŐ JOGAIT GYAKORLÓ SZEMÉLYEK KÖRE 11.1.

Köztisztviselők

Az ágazatban az adatkezelői jogokat ténylegesen az Országos Nyugdíjbiztosítási Főigazgatóságnál valamint regionális igazgatási szerveinél alkalmazásban álló köztisztviselők valamint a munkaviszonyban álló dolgozók gyakorolják.

A törvényi felhatalmazással kezelt és feldolgozott adatokat - különös figyelemmel a személyes- és védett adatokra, továbbá az adatok kezelését és feldolgozását támogató informatikai rendszerekre - az ügyintézők a hatályos főigazgatói és igazgatói utasítások alapján, valamint az ügyviteli szabályzatok betartásával kezelhetik. Az adatkezelő jogait gyakorló személyek a feladataik ellátását segítő alkalmazói rendszerekhez – munkakörükhöz illeszkedő szerepkörben – hozzáféréssel rendelkeznek.

11.2.

Egyéb hozzáférésre jogosultak meghatározása

A köztisztviselőkön kívül a személyes adatok tekintetében hozzáférésre jogosultak mindazok, akiket az ONYF főigazgatója meghatározott adatfeldolgozói, vagy üzemeltetői feladatok ellátásával megbíz, és akik ezt a tevékenységüket az ONYF-el, illetve az regionális igazgatási szervekkel kötött érvényes szerződés keretében végzik.

34

11.3.

Hozzáférés eseti engedély alapján

Távoli elérés az ágazatban kezelt adatokhoz nem engedélyezhető, kivéve Vis maior és rendkívüli események esetén.

Vis maior és rendkívüli esemény esetén az informatikai főigazgató-helyettes adhat engedélyt meghatározott problémamegoldó- elhárító személynek, meghatározott feladat elvégzésére, a szükséges időtartamra távoli elérés biztosítására. A távoli elérés elkerülhetetlenségének okát és indokát írásban kell az informatikai főigazgató-helyettesnek benyújtani. Az engedély csak célhoz kötött, adott feladat elvégzésére, azaz az ágazati munka végzésének akadályát jelentő probléma elhárításához feltétlenül szükséges időtartamra szól. A folyamat végrehajtását – a lehetőség megnyitásától a lehetőség bezárásáig nyomon követő ellenőrző köztisztviselő személyt/személyeket az informatikai főigazgató-helyettes az engedélyben nevesíti. A folyamat minden részletének megfelelően dokumentáltnak kell lennie, ideértve az authentikáció és authorizáció metódusát, és a felépített csatornán folyó kommunikáció tartalmát.

12. HOZZÁFÉRÉS BIZTOSÍTÁSA, JOGOSULTSÁGKEZELÉS A központi rendszerek adataihoz a hozzáférést üzemeltetési, fejlesztői-, felhasználói és hálózatfelügyeleti szinten kell szabályozni.

A munkavégzéshez és munkakörhöz tartozó jogosultságokat minden egyes rendszerben elő kell írni (pl. különböző előadói jogosultságok, revizori, vezetői jogosultságok). Az ágazatban alkalmazott rendszerek adataihoz való hozzáféréseket a szervezeti egység vezetőjének személyenként egyedileg kell meghatározni. Üzemeltetési és hálózatfelügyeleti szinten a szükséges jogosultságokat (pl. operációs rendszerek és adatbázisok rendszergazdai jogosultságai, egyéb üzemeltetéshez szükséges jogosultságok) szintén meg kell határozni.

A jogosultságoknak a foglalkoztatott munkakörével, a munkaköri leírásban foglaltakkal összhangban kell lennie.

35

A munkatársak számára a munkavégzéshez kötődő jogosultságok szükséges és elégséges körét (azaz az alkalmazói rendszerenkénti szerepköröket) minden egyes szervezeti egységnél a szervezeti egység vezetője határozza meg.

A kiadott jogosultságokról, valamint azok változásairól az ONYF Informatikai Főosztályának megbízott munkatársa nyilvántartást vezet. Jogosultság annak a személynek adható, aki köztisztviselőként vagy MT alapján foglalkoztatottként, illetőleg speciális foglalkoztatottként a Humánpolitikai és Képzési Főosztály nyilvántartásában, mint munkavállaló szerepel. Minden új belépőről a Humánpolitikai és Képzési Főosztály az Informatikai Főosztályt értesíteni köteles. Ugyancsak értesíteni kell az Informatikai Főosztályt a változásokról, a tartós távollévőkről, a kilépőkről a változás időpontjának megjelölésével.

A Humánpolitikai és Képzési Főosztálynak értesítést kell küldenie az Informatikai Főosztály részére az ONYF-nél szerződés keretei között állományon kívüliként munkát végző személyek munkába állásának időpontjáról és munkavégzésük végleges befejezése után távozásuk időpontjáról is.

A Humánpolitikai és Képzési Főosztályon nyilvántartásban nem szereplő személyek, akik az ONYF-nél, vagy regionális igazgatási szerveinél szerződés keretében dolgoznak, illetőleg más szervtől (ÁSZ, KEHI, stb.) érkeztek, a az illetékes főosztályok vezetőinek, illetve a regionális igazgatási szervek vezetői engedélye alapján kaphatnak jogosultságot

12.1.

Jogosultság igénylése, engedélyezési eljárás

Az adatkezelő rendszerek kezeléséhez szükséges jogosultságok igénylésére, nyilvántartására erre rendszeresített űrlap szolgál, Az ONYF szervezeti egység vezetője (főosztályvezető), illetőleg a regionális igazgatási szervek vezetői által aláírt és lepecsételt jogosultságkérő lapot továbbítani kell az ONYF Informatikai Főosztályra. A jogosultságigénylő lap kötelező fejrészt tartalmaz, mely minden esetben kitöltendő .

A további rovatok közül csak azokat kell kitölteni, melyek a munkakörhöz szükségesek, a többi rovatot, mely üresen maradt, ki kell törölni aláírás és továbbítás előtt.

36

12.1.1.

LN postafiók igénylése

A dolgozót tájékozatni kell, hogy a nyugdíjágazatban bármely minőségben dolgozó munkatárs, a LN postafiókot a munkavégzéshez szükséges eszközként kapja, akár egyedi személy vagy felhasználó névvel megkülönböztetve is. Annak tartalmát a munkahelyi vezetők és egyéb kijelölt személyek, indokolt esetben és dokumentáltan, megismerhetik. A dolgozó ennek tudomásul vételéről a 6. számú melléklet aláírásával nyilatkozik.

Ideiglenes rendelkezések a meglévő dolgozóknak már biztosított LN postafiókról: A LN postafiókkal már rendelkező dolgozóknak a jelen szabályzat hatályba lépését követő egy hónapon belül kell a 6. számú mellékletben szereplő aláírásával nyilatkozniuk a postafiókjukról. A tartós távolléten lévő dolgozók LN postafiókjait, a munkába állásukkor, kell a jelen eljárásnak alávetni. A 6. számú mellékletet aláírók tudomásul veszik, hogy a meglévő postafiókjuk, ami - az akár egyedi személy vagy felhasználó névvel megkülönböztetett – is lehet, a munkavégzéshez szükséges eszközként kapták, a továbbiakban kizárólagosan a munkavégzéssel kapcsolatban használhatják, annak tartalmát a vezetőik és az arra kijelölt személyek, indokolt esetben és dokumentáltan, megismerhetik.

A meglévő postafiókjukra a 6. számú mellékletet alá nem író dolgozó postafiók címeit vissza kell vonni és a tartalmukkal a „Jogosultság visszavonása” pontnál lévő ideiglenes rendelkezésekben leírtaknak megfelelően kell eljárni. A dolgozónak, ha munkavégzéséhez szükséges, személyhez nem köthető LN postafiókot kell biztosítani és arra vonatkozóan kell vele a 6. számú mellékletet aláíratni.

Az aláírt nyilatkozat eredeti példányát a munkahelyi vezetőnek kell megőriznie. A kéréshez mellékelt példányt az ONYF Informatikai Főosztályára őrzi meg. Az igényléssel együtt, a dolgozó által aláírt 6. számú mellékletet is el kell küldeni a jogosultság igénylésnél.

37

12.1.2.

Jogosultság igénylés menete

A kitöltött jogosultságkérő lapot minden esetben az igazgatási szervek részéről faxon kell továbbítani az ONYF Informatikai Főosztályára, kísérőlevél nélkül.

Az Informatikai Főosztály munkatársai a jogosultságkérő lap beérkezését követően egyrészt elvégzik a beérkezett jogosultságok adminisztrálását (iktatás), másrészt intézkednek az igényelt jogosultság ellenőrzéséről, engedélyezéséről, beállításáról, és annak nyilvántartásáról.

Az SAP produktív rendszerhez való hozzáférést a Pénzügyi- Gazdasági Főigazgató-helyettes, az SAP fejlesztői és minőségbiztosító rendszerekhez való hozzáféréseket a PIR Üzemeltetési Osztály vezetője engedélyezi. Hibaelhárítás érdekében az SAP tanácsadó/fejlesztő részére eseti hozzáférést a produktív környezethez a PIR Üzemeltetési Osztály vezetője adhat.

A NYUFUR-hoz tartozó adatállományok kezelését, a rendszerhez történő hozzáférési jogosultságok kezelését a NYUFIG adatvédelmi utasítása szabályozza.

12.2.

Jogosultság visszavonása

Az adatokhoz való hozzáférésben bekövetkezett változást (munkakör-változás, tartós távollét) a szervezeti egység vezetőjének az 1. mellékletet kitöltve kell továbbítania az ONYF Informatikai Főosztályra, itt történik intézkedés a jogosultság azonnali megszüntetéséről, felfüggesztéséről.

12.2.1.

LN postafiók visszavonása

A LN postafiókhoz kiadott jogosultság visszavonására a dolgozó tartós távolléte, kilépése, stb. miatt kerül sor.

A LN postafiók jogosultság visszavonásakor a felhasználó hozzáférését kell megszüntetni, a LN postafiókban tárolt adatokat, csak az iratkezelési szabályzatban és egyéb jogszabályokban meghatározott idő letelte után lehet törölni. A visszavont dolgozói LN postafiókhoz a hozzáférést a szervezeti egység vezetőjének, vagy az általa kijelölt személy(ek)nek kell biztosítani.

38

Ideiglenes rendelkezés a LN postafiókhoz:

Azoknál a postafiókoknál, amelyek tulajdonosa még nem írta alá a 6. számú mellékletet, a visszavonás kezdeményezése előtt, a munkakör átadás-átvételi eljárás során az átadónak a postafiókjában lévő minden olyan dokumentumot, mely ágazati szempontból fontos és megőrzendő, legkésőbb az átadás-átvételkor továbbítani kell a munkakört átvevő, illetve a közvetlen felettes postafiókjába. Az átadáskor felvett dokumentumban rögzíteni kell, hogy a személy postafiókja nem törlendő dokumentumot nem tartalmaz. A levelező rendszerekhez kiadott jogosultság visszavonásával egyidejűleg az ONYF Informatikai Főosztály vezetője intézkedni köteles arról, hogy a Lotus Notes rendszergazda a munkatárs postafiókjának tartalmát archiválja. A törlésre a megfelelő elévülési után kerülhet sor.

12.2.2.

Üzemeltetői jogosultság visszavonása

Az adatkezelő rendszerhez való üzemeltetői hozzáférésben bekövetkezett személyi változást az üzemeltetés vezetőjének haladéktalanul be kell jelentenie az Informatikai Főosztály vezetőjének az 1/A melléklet. Az engedélyezett jogosultság-törlést továbbítani kell az ONYF Informatikai Főosztályára, ahol a megbízott munkatárs gondoskodik a jogosultság azonnali visszavonásáról, megszüntetéséről.

12.3.

Jogosultság felfüggesztése

Tartós távollét esetén a felhasználó valamennyi jogosultságát fel kell függeszteni/szüneteltetni kell. Ezt a szervezeti egység vezetőjének (főosztályvezető) illetőleg a regionális igazgatási szerv vezetőjének kell kezdeményeznie. Helyettesítéskor – a szervezeti egység vezetőjének kezdeményezésére - a helyettes számára a szükséges jogosultságokat meg kell adni.

12.3.1.

LN postafiók felfüggesztése

A LN postafiók felfüggesztésénél a „Jogosultság visszavonása” pontnál leírtak szerint kell eljárni.

39

12.4.

Jogosultság törlése

A köztisztviselő, illetőleg az ágazattal egyéb jogviszonyban álló személy kilépésének, foglalkoztatásának megszűnése napjával valamennyi adatkezelő rendszerhez kapott adatkezelési (hozzáférési) jogosultságát meg kell szüntetni. Ezt a tényt a 2. sz. melléklet megfelelő rovatának kitöltésével, a vezető aláírásával kell igazolni. A 2. sz. melléklet alapján az ONYF Informatikai Főosztálya köteles a jogosultság megszüntetéséről törléssel intézkedni.

Az SAP produktív rendszer esetén a jogosultságok visszavonását az erre a célra kialakított űrlapon kell kezdeményezni. A jogosultság visszavonásáról gondoskodni kell, azonban a jogosultsági beállítás nem törölhető.

12.4.1.

LN postafiók törlése

A LN postafiók törlésénél a „Jogosultság visszavonása” pontnál leírtak szerint kell eljárni.

12.5.

Ideiglenes jogosultság kiadása

Ideiglenes jogosultság alatt a meghatározott időre, meghatározott feladat elvégzésére kiadott jogosultságot kell érteni. Az ideiglenes jogosultság engedélyezésekor a kezdő időpontot és a jogosultság visszavonásának tervezett időpontját is meg kell adni. Helyettesítéskor a helyettes számára a szükséges hozzáférést a szervezeti egység vezetője engedélyezi. A jogosultságigényt ezt követően továbbítani kell az ONYF Informatikai Főosztályra, ahol a megbízott munkatárs intézkedik az igényelt jogosultság megadásáról, adminisztrálásáról, beállítja a jogosultság felhasználhatóságának végső időpontját. Informatikai Katasztrófa Elhárítási Tervben szereplő ideiglenes jogosultságok létrehozásáról és biztonságos tárolásáról az Informatikai Főosztály vezetője gondoskodik, annak érdekében, hogy az esetleges katasztrófa utáni helyreállításkor az ideiglenes jogosultságok azonnal kiosztásra kerülhessenek.

40

12.6.

Felhasználói jogosultság nyilvántartása

A hozzáférési jogosultságok engedélyezéséről olyan nyilvántartást kell vezetni, melyből bármikor visszakereshető, hogy mely rendszerből, kinek, mikor, milyen jogosultság lett kiadva. Ezt a nyilvántartást az Informatikai Főosztály ezzel megbízott munkatársai kezelik.

13. AZ ALKALMAZÓI RENDSZEREK HASZNÁLATÁNAK VÉDELME Az alkalmazói rendszerekhez való hozzáférési jog gyakorlását, illetve az illetéktelenek belépésének megakadályozását jelszó alkalmazásával biztosítjuk. A jelszavakat a felhasználó egyedileg állítja be, a jelszavakat bármilyen formában más személy számára átadni tilos. (A felhasználói jelszavak kezelésének szabályozását az Informatikai Biztonsági Szabályzat részletezi.)

13.1.

Az adatkezelés ellenőrzése

Az adatkezelés egészének ellenőrzése elsősorban a szervezeti egységek vezetőinek feladata.

Az regionális igazgatási szerv vezetője által kiadott adatvédelmi utasítás végrehajtását helyi szinten az adatvédelmi előadók ellenőrzik, akik felelősek az utasításban foglaltak maradéktalan betartásáért. Az utasítástól való eltérést az regionális igazgatási szerv vezetőjének, rendkívüli esemény bekövetkeztét a belső adatvédelmi felelősnek írásban kell jeleznie. A rendkívüli eseményekről a belső adatvédelmi felelős nyilvántartást vezet.

Ha az regionális igazgatási szerv adatvédelmi előadója a feladat- és hatáskörébe tartozó feladatok, ellenőrzések végrehajtását elmulasztja, vagy az utasítástól való eltérést vezetője felé írásban haladéktalanul nem jelzi, akkor vele szemben a köztisztviselők jogállásáról szóló 1992.évi XXIII. törvény fegyelmi és kártérítési felelősségéről szóló IV. fejezetében foglaltak szerint kell eljárni.

Az utasításban előírtak teljesülését ezen túlmenően a belső adatvédelmi felelős, valamint az Ellenőrzési Főosztály pénzügyi belső ellenőrei az éves tervbe illesztve vizsgálják, és annak

41

eredményéről a főigazgatónak jelentést tesznek. Az alkalmazói rendszerek használatának ellenőrzését, illetve a személyekre vonatkozó adatvédelmi és adatbiztonsági alapelvek szabályozását az Informatikai Biztonsági Szabályzat tartalmazza.

A jelen szabályzattal kapcsolatos kérdésre, felvetésre a belső adatvédelmi felelős, illetve a regionális igazgatási szerv adatvédelmi előadója illetékes válaszolni.

Munkába álláskor minden munkatárs számára biztosítani kell az informatikai rendszerek adatvédelmével és biztonságával kapcsolatos oktatást. A rendszeres adatvédelmi továbbképzésről a belső adatvédelmi felelősnek kell gondoskodnia.

14. AZ ADATVÉDELMI KRITÉRIUMRENDSZER A nyugdíjágazat informatikai védelmét három, egymás hatását kiegészítő fizikai, logikai és adminisztratív védelmi intézkedéssel kell biztosítani. Az adatok védelmének feltétele az informatikai rendszerek elemeinek védelme és biztonsága. Részletesen ezzel az Informatikai Biztonsági Szabályzat foglalkozik.

14.1. A védett adatokkal kapcsolatos alapvető védelmi feladatok Az adatbiztonságot a hitelesség, sértetlenség, bizalmasság, rendelkezésre állás, valamint a funkcionalitás sérelmére elkövetett támadások veszélyeztetik, ezért ezen alapfenyegetettségek ellen a védelmet biztosítani kell.

14.2.

Hitelesség megőrzése

A hitelesség az adat azon tulajdonsága, amely arra vonatkozik, hogy az adat bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik. Az adat forrása az, amit megjelöltek és a tartalma az eredetivel megegyező.

Ez vonatkozik az adatok

42

− gyűjtésére, − beolvasására, − bedolgozására (migráció, konverzió, rögzítés, szkennelés, szinkronizálás, stb.), − mentésére, archiválására, − a megjelenítés hitelességére, − az adattovábbításra, − az adatok mozgatására.

A hitelességet az ágazaton belüli adatkezelésnél - ügyviteli szabályozással és az alkalmazói rendszerek támogatása mellett - meg kell őrizni, éspedig úgy, hogy a felsorolt műveletekben az adattartalom – sem mennyiségében sem minőségében - nem változhat. A hitelesség megőrzése az ágazaton belül kezelt adatok vonatkozásában az egyik legfontosabb alapkövetelmény.

14.3.

Sértetlenség megőrzése

A sértetlenség azt jelenti, hogy az adat az eredeti állapotának megfelel és forrása is az eredeti, azaz hiteles. Az adat fizikailag és logikailag is teljes. A mindenkor érvényes, eredeti, hiteles adattartalom az adatkezelés, adatfeldolgozás során nem módosulhat. Sértetlenség elleni támadáson az adatok jogtalan megváltoztatását, illetve hamis adatok rendszerbe juttatását értjük. A sértetlenséget logikai, fizikai, technológiai és adminisztratív védelmi módszerekkel kell biztosítani, melynek feltételeiről, az esetleges adatsérülések helyreállításáról részletesen az Informatikai Biztonsági Szabályzatban olvashatunk.

14.4.

Bizalmasság megőrzése

Bizalmasság az adat azon tulajdonsága, hogy az adatot csak az arra jogosultak számára engedi megismerni, és csak ezen személyek rendelkezhetnek az adat felhasználásáról. Az információk vagy adatok esetében a bizalmasság azt jelenti, hogy azokhoz csak az arra jogosítottak és csak az előírt módokon férhetnek hozzá, és nem fordulhat elő jogosulatlan információszerzés,

43

jogosulatlan adattovábbítás meghatározott harmadik személy részére vagy nyilvánosságra hozatal.

A bizalmasságot − technikai (fizikai, logikai) és − adminisztratív módszerekkel kell védeni.

A bizalmasság kiterjed a személyes adatokra, valamint valamennyi minősített adatra (államtitok-, szolgálati titok, üzleti titok).

14.5.

Rendelkezésre állás, funkcionalitás biztosítása

Rendelkezésre álláson kell érteni annak biztosítását, hogy az adat az arra jogosult számára elérhető és felhasználható, éspedig a tervezéskor definiált funkcionalitási szintnek megfelelően A megfelelő szolgáltatások biztosítása – úgymint rendelkezésre állás és funkcionalitás biztosítása - az erőforrások rendeltetésszerű használata szempontjából nélkülözhetetlenek, ezt az Informatikai Biztonsági Szabályzat részletezi.

15. ADATKEZELÉSI MŰVELETEK 15.1.

Adatbefogadás

A különböző forrásokból származó adatok körét, befogadását törvény írja elő, mikéntjét, a szabályozott eljárásokat a hatályos ONYF utasítások rögzítik.

15.2.

Adatok helyesbítése, törlése, adatmódosítás

A nyugdíjbiztosítási ágazat adatkezelésének jogszabályi alapját a Tny. 96. § (1) valamint a Tbj. 42.§ (1) tartalmazza. Ezért az adatkezelő rendszerekbe bevitt, ellenőrzött személyi- és

44

személyes adatot az adatalany (érintett, ügyfél) kérésére törölni azon indokkal, hogy az ügyfél tiltakozik adatainak kezelése ellen, - mivel élni kíván információs önrendelkezési jogával nem szabad.

Egyéb esetben az adatok törlése, módosítása - a szakügyintéző tevékenységi és felelősségi körén belül az egyes szakterületek hatályos ügyviteli utasításai, illetve a Közszolgálati Adatvédelmi Szabályzatról szóló hatályos ONYF utasítás előírásai szerint lehetséges.

15.2.1.

Adattörlés LN postafiókban

A LN postafiók tartalmából törölni, csak a vonatkozó iratkezelési szabályok és elévülési idők, betartásával lehet.

Ideiglenes szabályozás:

A 6. számú mellékletet alá nem író postafiók tartalmát, az átadás-átvételi eljárás után archiválni kell, a törlésre a megfelelő elévülési idő után kerülhet sor.

Nem minősül személyes adatot tartalmazónak az a postafiók, - még akkor sem, ha ezen az elektronikus címen egy hozzáféréssel rendelkező munkavállaló személyes levelezést is folytatott – mely: − nem egyedi felhasználónévvel van azonosítva, − általános kapcsolattartás céllal került létrehozásra, vagy − az ágazat ügyeinek intézését szolgálja, és − nem egy munkavállaló személyéhez kötött (pl. [email protected]).

15.3.

Adatmegsemmisítés

Az adatalany az ágazatban kialakított, törvényi felhatalmazással, ügyvitelben szabályozott módon végzett adatkezelés ellen érdemi következményekkel járó tiltakozást nem nyújthat be.

Az adatkezelő rendszerekbe bevitt, ellenőrzött személyi- és személyes adatot az adatalany (érintett, ügyfél) kérésére megsemmisíteni - azon indokkal, hogy élni kíván információs ön45

rendelkezési jogával - tilos, tekintettel arra, hogy az adatkezelés jogalapját biztosító jogszabályt az információs önrendelkezési jog nem írja felül. Erről a körülményről az adatalanyt tájékoztatni kell.

15.4.

Adattovábbítás, adatszolgáltatási kötelezettség

Az regionális igazgatási szervek nyilvántartásában lévő, nevesített konkrét személyre, személyekre vonatkozó adatok teljes körének igénylésére jogosultak a Tbj. 42. § (4) Tny. 96. § (4) bekezdése értelmében − a bíróságok; − az ügyészségek; − a bűnüldözés és büntetés-végrehajtás szervei; − a nemzetbiztonsági szolgálatok, − adóhatóságok, − munkaügyi és szociális igazgatási szervek.

Az ágazat központi nyilvántartási rendszerében és az regionális igazgatási szervek helyi nyilvántartásaiban nyilvántartott, jogszabály által meghatározott személyes és egyéb adatok igénylésére – konkrétan megnevezett személy/személyek esetén - a Tbj. 42 (4), valamint a 43 § (1)-a, illetve a Tny. 96. § (3) bekezdése értelmében, valamint a vonatkozó hatályos jogszabályok szerint az alábbi szervek (Ez egy példálózó felsorolás, nem kimerítő jellegű) jogosultak: − a bíróságok, az ügyészségek, a bűnüldözés és a büntetés-végrehajtás szervei, − a nemzetbiztonsági szolgálatok feladataik ellátása érdekében - a rájuk vonatkozó törvényekben meghatározott célok és feltételek teljesülése esetén − az állami adóhatóság, önkormányzati adóhatóság − a Vám- és Pénzügyőrség, − a munkaügyi és szociális igazgatás szervei, − az egészségügyi ellátást nyújtó szervek, személyek; − körzetközponti feladatokat ellátó, települési (fővárosi kerületi) önkormányzatok jegyzői és a cégbíróságok; − a menekültügyi hatóság; 46

− az egészségügyi államigazgatási szerv szervei (Állami Népegészségügyi és Tisztiorvosi Szolgálat) − Köztartozás behajtására törvény által felhatalmazott szervek

Adatszolgáltatási kötelezettség áll fenn fentieken kívül a magánnyugdíj pénztárak felé az alkalmi munkavállalók esetében, illetve mindazon magánnyugdíj pénztártagok esetében, akik visszaléphetnek, és vissza kívánnak lépni a társadalombiztosítási nyugdíjrendszerbe.

A felsorolt szervek igényének benyújtásakor meg kell győződni arról, hogy az igény megfelel-e a formai és alaki kritériumoknak, személyes adatok megkérése esetén konkrétan megnevezett személyre vonatkozik-e, illetve a személyes adatok igénylése, továbbítása jogszerű-e. Ettől eltérő adatkérés esetén vizsgálni kell az adatkérő szerv jogosultságát, a kért adatok körét és az adatok felhasználásának célját. Nem adható ki olyan számítástechnikai eszköz, vagy bármilyen adathordozó, mely a jogszerűen igényelt személyes adatokon túl más személyekre vonatkozó adatot is tartalmaz.

Tiltott adattovábbításnak minősül, ha a személyes adatok képernyős megjelenítését harmadik személy is megtekintheti.

A közérdekű és a személyes adatokkal kapcsolatos adattovábbítási kérelmekkel kapcsolatban a közérdekű adatok elektronikus és kérelemre történő közzétételi kötelezettségének szabályozásáról szóló 2/2010. ONYF utasításban meghatározottak szerint szükséges eljárni.

A Tny. 96. §-ában nem nevesített szervektől érkező, vagy adatkörön kívül eső adatkérés esetében az adatok továbbítása csak akkor engedélyezett, ha ahhoz az érintett írásban hozzájárul. Amennyiben az érintett a hozzájárulást nem adja meg, akkor további intézkedés nélkül a kérelmet el kell utasítani

Az ágazatban dolgozó köztisztviselők és az Mt. hatálya alá tartozó munkatársak személyi adatait a jogszabályoknak és az ONYF belső utasításainak megfelelően kell továbbítani.

15.4.1.

Statisztikai célú adattovábbítás

47

Az összesített statisztikát a Közgazdasági Főosztály évente egyszer, február 1-ig az Adatvédelmi Biztos irodájának továbbítja.

A személyes adatok személyazonosításra alkalmatlan módon feldolgozott, anonimizált, statisztikai célú továbbítása megengedett.

15.5. Nyilvánosságra hozatal, és az egyéb célú felhasználás tilalma Személyes adatokat nyilvánosságra hozni kizárólag az érintett írásbeli hozzájárulásával szabad. A nyilvántartási és adatszolgáltatási szakmai feladatok ellátásához szükséges személyiés személyes adatok felhasználása a nyugdíjbiztosítási ágazat feladataitól eltérő célra tilos.

16. AZ ÉRINTETTEK JOGAI 16.1.

Tájékoztatás kérés

Az adatalanynak joga van tájékoztatást kérni: − az adatkezelő törvényi kötelezettségének teljesítéséről, − személyes adatai kezelésének módjáról, − az adatkezeléssel összefüggő valamennyi tényről, körülményről, − adatbiztonság szabályozásáról, − arról, hogy történt-e adatfeldolgozónak történő adattovábbítás személyes adatai tekintetében, − valamint arról, hogy mely adatai kerültek átadásra adatfeldolgozónak.

Az adatalanynak nem adható tájékoztatás a nyomozó-, illetve nemzetbiztonsági szerveknek való adattovábbításról, illetve a feljogosított szervektől titkos ügykezelés útján kért adatszolgáltatásról.

48

A tájékoztatás tartalmi vonatkozásai tekintetében az Avtv. előírásait maradéktalanul figyelembe kell venni, azaz a tájékoztatásnak az ágazati adatkezelés ismertetésére kell szorítkoznia.

Ebben az értelemben − személyes megjelenés esetén tájékoztatást az

ügyfélszolgálatot ellátó ügyintéző

(ONYF-en a Szakigazgatási Főosztály munkatársa), illetve az ügyfél ügyének intézésében illetékes szakterület munkatársa adhat, − telefonon történő megkeresés esetén az arra jogosított ügyintéző adhat tájékoztatást − postai küldeményben, írásban feltett kérdésre az illetékes főosztálynak a vonatkozó jogszabály által meghatározott határidőn belül írásban kell válaszolnia, − elektronikus úton érkező, tájékoztatást kérő levél esetén a Ket. előírásai szerint kell eljárni.

16.2.

Helyesbítés kérés

Amennyiben az adatalany észleli, hogy az ágazat adatkezelő rendszereibe bevitt személyivagy személyes adata hibás, a helyesbítésre csak a nyilvántartási és adatszolgáltatási feladatok ellátásának ügyviteli eljárásáról szóló, illetve a Közszolgálati Adatvédelmi Szabályzatról szóló hatályos ONYF utasítás előírásai szerinti módon kerülhet sor.

16.3.

Betekintés

Az Avtv. rendelkezéseivel, valamint az OECD irányelveivel, a hatályos ONYF utasítások vonatkozó szakaszaival összhangban az érintettnek joga van betekinteni a róla nyilvántartott adatokba, illetve, ha ez nem lehetséges, akkor az elutasítás indokát megtudni és a jogorvoslati lehetőségekről tájékoztatást kérni.

16.4. Tájékoztatás a képfelvevő, -rögzítő berendezések által készített felvételekről

49

Az ONYF és egyes regionális igazgatási szervei az ágazat ügyféltartózkodásra, illetve ügyfélfogadásra szolgáló helyiségeiben, valamint vagyonbiztonsági célból az épület kiemelt, frekventált pontjain, továbbá az épületeket körülvevő közterületen adatbiztonsági, vagyonbiztonsági okokból, továbbá ügyfeleinek védelme érdekében zárt láncú videóhálózatot üzemeltetnek. A kamerás megfigyelés csak azon igazgatási szerveknél minősül adatkezelésnek, ahol a kamera a képet rögzíti is.

A kamerával rögzített felvételek esetében, felhasználás hiányában, a megőrzési idő az adat keletkezésétől számítva 3 munkanap.

Amennyiben a saját képmását - is - tartalmazó felvételek ellen az ügyfél, vagy az érintett (pl. az utcán elhaladó) tiltakozik, a tiltakozást írásban, a tiltakozás indokának feltüntetésével teheti meg. Az írásbeli tiltakozást az ügyfélszolgálatnak kell leadnia, amely azt intézkedés céljából a helyi adatvédelmi megbízottnak továbbítja.

17. INFORMÁCIÓSZABADSÁG 17.1.

Közérdekű adatok nyilvánossága

A nyugdíjágazat regionális igazgatási szervei a feladatkörükbe tartozó ügyekben - ideértve a gazdálkodásával kapcsolatos ügyeket is – illetőleg a kezelésükben lévő közérdekű adatok tekintetében kötelesek elősegíteni a közvélemény pontos és gyors tájékoztatását. Az ágazati tevékenységgel kapcsolatos legfontosabb adatokat rendszeresen közzé kell tenni, vagy hozzáférhetővé kell tenni. (Avtv. 19. § (1) és (2) ),.

A közvélemény pontos és gyors tájékoztatása érdekében a nyugdíjbiztosítási ágazat közérdekű adatainak elektronikus közzétételi kötelezettségét, elektronikus úton, bárki számára személyazonosítás és adatigénylési eljárás nélkül, folyamatosan és díjmentesen kell teljesíteni, a vonatkozó hatályos ONYF utasítás szerint. (Eitv. 1. §)

50

17.2.

Adatigénylés

A közérdekű adat megismerésére irányuló kérelemnek a lehető legrövidebb idő alatt, legfeljebb azonban 15 napon belül, közérthető formában eleget kell tenni. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről annak tárolási módjától függetlenül - költségtérítés ellenében - a kérelmező másolatot kérhet. (Avtv 20. § (1) (2) (3) bek.)

A kérelem megtagadásáról - annak indokaival együtt - 8 napon belül írásban értesíteni kell a kérelmezőt. Ha a közérdekű adatra vonatkozó kérését nem teljesítik, a kérelmező a bírósághoz fordulhat. A megtagadás jogszerűségének és megalapozottságának bizonyítása ebben az esetben az regionális igazgatási szerv feladata. Az elutasított kérelmekről évente egyszer az ágazat adatszolgáltatást teljesít az adatvédelmi biztosnak.

Törvény közérdekből - az adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében. (Avtv. 3. § (5) bek.)

18. AZ UTASÍTÁS MEGISMERTETÉSE Az ONYF szervezeti egységeinek vezetői, és az regionális igazgatási szervek vezetői kötelesek a jelen szabályzatban foglaltak betartásáról és alkalmazásáról - saját hatáskörben - intézkedni. Kötelesek továbbá az regionális igazgatási szervnél lévő speciális eszközökre és alkalmazásokra, illetve munkafolyamatokra vonatkozóan – a műszaki és szervezeti változásokra való tekintettel – az regionális igazgatási szerv adatvédelmi és adatbiztonsági szabályzatát módosítani és a belső adatvédelmi felelősnek megküldeni.

Ezzel párhuzamosan az igazgatási szervek adatvédelmi megbízottainak munkaköri leírását a szabályzatnak megfelelően módosítani szükséges.

51

A dolgozók számára az adatvédelemmel és adatbiztonsággal kapcsolatos oktatás oktatási tervbe illesztése az ONYF regionális igazgatási szervei vezetőjének, illetőleg az Informatikai Főosztály vezetőjének javaslatára az ONYF Humánpolitikai és Képzési Főosztályának feladata.

18.1.

Köztisztviselők

Felvételkor valamennyi köztisztviselő, illetve a Ktv. hatálya alá tartozó ügykezelő munkatárssal a felvételt intéző szervezeti egység vezetőjének kell megismertetnie jelen szabályzatot, és a tudomásulvételről a nyilatkozatot aláíratnia (3. sz. melléklet). A megismerésről aláírt nyilatkozatokat a szervezeti egységeknél kell őrizni.

18.2.

Egyéb jogviszony alapján foglalkoztatott munkatársak

Jelen utasítás tartalmi kivonatának megismerése kötelező minden olyan, az ágazatban egyéb jogviszony keretében foglalkoztatott személy számára (takarító, épületfenntartó, biztonsági szolgálat tagja, stb.), aki munkája során adatokkal, adatkezeléssel közvetlenül nem kerül kapcsolatba (4. sz. melléklet).

18.3.

Külső vállalkozók munkatársai

Külső partnerekkel kötött informatikai fejlesztési, valamint karbantartási szerződéseknek tartalmaznia kell, hogy a szerződő fél tudomásul veszi az adatvédelmi és adatbiztonsági utasításban megfogalmazott szabályokat, és azok szerint jár el. Az ágazatban dolgozó szerződéses külső cég munkatársainak jelen adatvédelmi és adatbiztonsági utasítás megismerése után nyilatkozatot kell aláírniuk (5. sz. melléklet). A nyilatkozatokat a szerződést kötő Főosztály vezetője kéri be, majd a nyilatkozat egy példányát az ONYF Informatikai Főosztályának Informatikai Eszközgazdálkodási és Adatvédelmi Osztálya iktatja, és fűzi le.

52

Adatfeldolgozásban részt vevő, egyéb jogviszony keretében foglalkoztatott munkatársaknak személyenként szintén adatkezelési, adat- és titokvédelmi nyilatkozatot kell tenniük (5. sz. melléklet).

Az utasításban foglaltak megismertetéséről az ONYF, valamint regionális igazgatási szerveinek illetékes vezetői, - szerződéses külső cég munkatársai tekintetében a szerződést aláíró vezető gondoskodik.

53

19. HATÁLYBALÉPÉS, ZÁRÓ RENDELKEZÉS Jelen utasítás az aláírás napján lép hatályba és ezzel egyidejűleg a 3/2007 (Nyb.K. 2.) ONYF utasítás hatályát veszíti.

20. MEGJELENTETÉS Az utasítás szövege a Nyugdíjbiztosítási Értesítőben nem jelenik meg, azt az érdekeltek külön megkapják.

Budapest, 2010. március 31.

…………………………………………………… Dr. Barát Gábor s.k. főigazgató

54

MELLÉKLETEK

55

1. sz. melléklet

JOGOSULTSÁG IGÉNYLÉS, MÓDOSÍTÁS, TÖRLÉS KÖZPONTI INFORMATIKAI RENDSZEREKHEZ

Munkatárs neve Szervezeti egysége Beosztása, munkaköre Foglalkoztatás mi-

Köztisztviselő

Szakértő

nősége*

Egyéb foglalkoztatott, éspedig:

(*A megfelelő aláhúzandó!) Nem köztisztviselők esetén

Szerződés száma

Kapcsolattartó neve

Igénylés

Módosítás

Törlés

Kitöltés dátuma Jogosultságok megadását/visszavonását engedélyezte (Szervezeti egység vezetője főosztályvezető) – olvasható neve Az engedélyező aláírása és pecsétje

56

Adatvédelmi felelős

Informatikai főosztályvezető Jogosultság nyilvántartásba vételének dátuma Engedélyezés dátuma

Hozzáférés igény rendszerenként, jogosultság szerint

57

Informatikai jogosultságok igénylése, vagy módosítás kérése rendszerenkénti bontásban:

ADATKEZELÉS ALKALMAZÓI

JOGOSULTSÁG

BEÁLLÍTÓ NEVE

RENDSZER Nyilvántartási vezető Nyilvántartási ügyintéző Nyilvántartási revizor Nyugellátási vezető

KELEN

Nyugdíj ügyintéző Nyugdíj revizor Adminisztrátor Másodfokú nyugdíj ügyintéző Adattisztázó SZAB karbantartó KSZAB (központi SZAB) karbantartó NYUFIG ügyintéző ONYF rendszergazda

NYUGDMEG

Nyugellátási vezető Nyugdíj ügyintéző Nyugdíj revizor Rendszergazda Másodfokú nyugdíj ügyintéző

58

ADATKEZELÉS

ALKALMAZÓI RENDSZER

BEÁLLÍTÓ NEVE, aláírás, dátum

Szerződés-nyilvántartás Számlaiktatás Nyomtatványok CVS INFODOM INTERNET Honlap-szerkesztés Fix IP cím Korlátlan Internet használat Egyéb könyvtárak REKAB

59


JOGOSULTSÁG

BEÁLLÍTÓ NEVE,

RENDSZER

aláírás, dátum Vezető Illetékesség Rendszergazda Help Desk munkatárs

MÁGNES

Eszköznyilvántartó Eszközkereső Adatvédelmi felelős Problémamegoldó ONYF Rendszergazda Info térkép Egyéb

LEVELEZÉS

LOTUS NOTES

IKTAT MEGÁLL MÉLTÁN ELLENŐRI SEGÉLY KRÍZIS NYOMTATVÁNYOK


JOGOSULTSÁG

aláírás, dátum Adminisztrátor TÓ

TAR-

VÁN-

NYIL

LÉS

RENDSZER VETE

BEÁLLÍTÓ NEVE

Helyi rendszergazda

60

Pénzügyi vezető Pénzügyi ügyintéző Központi rendszergazda Átnéző (megtekintő) Jogi ügyintéző ONYF ügyintéző ONYF vezető Zárás Pénzügyi belső ellenőr Zárás – Működési hely Zárás – Régió Zárás- Központi Nyilvántartási ügyintéző Ellenőr

61

Jogosultság igénylése speciális környezetekhez

KÖRNYEZET

ALKALMAZÓI REND-

BEÁLLÍTÓ NEVE,

SZER

aláírás, dátum

Prod

Teszt

Fejlesztői

KELEN NYUGDMEG (helyszínek megadása) LOTUS NOTES

MÁGNES SAP MEGAORA INTERNET

Dokumentumkapu rendszer


Felhasználónév

Elérhetőség

AIR WEB

Email cím

Belső

Telefon Fax

62

JOGOSULTSÁG IGÉNYLÉS, MÓDÓSÍTÁS, TÖRLÉS SAP RENDSZEREKHEZ Beküldendő az ONYF (06-1) 270-8163 fax-számára! SAP Felhasználó munkatárs neve: SAP user neve: Szervezeti egysége: (Igazgatóság/működési hely) Beosztása Foglalkoztatás minősége (A megfelelő aláhúzandó) Szerződés száma: SAP rendszerek/mandant

Szakértő

Köztisztviselő kapcsolattartó neve (nem köztisztviselők esetén)

Új felhasználó* (Produktív/Teszt/Fejlesztői): Jogosultság: Új*

Visszavonás*

Helyettesítés*

Helyettesítés esetén: zárolandó felhasz-náló user-neve

Tevékenységcsoport(ok), kért, visszavont jogosultságok:

Megjegyzés: Kitöltés dátuma: Jogosultságok megadását engedélyező( igénylő) szervezeti egység vezető neve,

aláírása

ONYF TÖLTI KI: Engedélyezés/ Megjegyzés

Jogosultság/zárolás érvényessége:

Jogosultság beállító neve:

Jogosultság beállító aláírása:

Beállítás dátuma:

Jogosultság nyilvántartásba vétel dátuma: Adatvédelmi felelős

*A megfelelő válasz „X”-el jelölendő

63

1/A. sz. melléklet

ÜZEMELTETŐI JOGOSULTSÁG IGÉNYLÉS, MÓDOSÍTÁS, TÖRLÉS INFORMATIKAI RENDSZEREKHEZ


Köztisztviselő

nősége*

Szakértő


(*A megfelelő aláhúzandó!) Nem köztisztviselők esetén

Szerződés száma


64

Igénylés

Módosítás

Törlés

Kitöltés dátuma Jogosultságok megadását/visszavonását engedélyezte (Szervezeti egység vezetője főosztályvezető) – olvasható neve Az engedélyező aláírása és pecsétje


Informatikai főosztályvezető Jogosultság nyilvántartásba vételének dátuma Engedélyezés dátuma

Szerver megnevezése

partíció

szerepkör


65

2. sz. melléklet

JOGOSULTSÁG – VISSZAVONÁS KÖZPONTI INFORMATIKAI RENDSZEREKHEZ


Köztisztviselő

Szakértő

nősége*


(A megfelelő aláhúzandó!) Nem köztisztviselők Szerződés száma


esetén

Kitöltés dátuma

Visszavonás

Jogosultságok visszavonását engedélyezte (Szervezeti egység vezetője főosztályvezető) – olvasható neve Az engedélyező aláírása és pecsétje


66

Informatikai főosztályvezető Visszavonást/törlést végrehajtó személy neve: Jogosultság törlésének dátuma

67

Országos Nyugdíjbiztosítási Főigazgatóság 3. sz. melléklet ADATVÉDELMI ÉS INFORMATIKAI BIZTONSÁGI NYILATKOZAT Köztisztviselők részére

Iktatószám:

Alulírott

név ……………….………………………………………………………………………... cím (lakcímkártya száma )………………………………………………………………… személyazonosító igazolvány szám ………………………………………………………. szakegység …………………………………………………………………………………. beosztás …………………………………………………………………………………….

nyilatkozom, hogy az Országos Nyugdíjbiztosítási Főigazgatóság hatályos •

Adatvédelmi és Információszabadsági Szabályzatát, (AISZ)

•

Informatikai Biztonsági Szabályzatát (IBSZ)

•

Informatikai Katasztrófa Elhárítási Szabályzatát (IKET)

elolvastam, megértettem és tudomásul vettem. A benne foglaltakat magamra nézve kötelezőnek tartom, amit aláírásommal hitelesítek.

…………………., 20…… …………………….. ………… Hely

év

hónap

nap ……………….………………….. név Köztisztviselő

68

Országos Nyugdíjbiztosítási Főigazgatóság 4. sz. melléklet Épületüzemeltetési- takarítási-, és karbantartó feladatot ellátó munkatársak részére

A NYUGDÍJBIZTOSÍTÁSI ÁGAZATBAN KEZELT ADATOK VÉDELMÉRŐL ÉS BIZTONSÁGÁRÓL Az Adatvédelmi és Információszabadsági Szabályzat kivonata

Az Adatvédelmi és Információszabadság tárgyú ONYF utasítás az informatikai, számítástechnikai és kommunikációs rendszerek, valamint az adatbázisok, elektronikus adatok, és ezek hierarchikus struktúráját, adatvédelmét, és informatikai biztonságával kapcsolatos tevékenységeket rendszerbe foglalva rögzíti.

A törvényesen védett adatokra vonatkozóan előírja azokat a megelőző védelmi eljárásokat, melyek a lehető legrövidebb időn belül ellenőrizhetővé teszik a cselekményeket, lehetővé teszik az illetéktelen cselekmények megakadályozását, az informatikai rendszerek megbízható üzemét fenyegető káresemények elkerülését vagy bekövetkezési valószínűségének minimalizálását; illetőleg, ha az esemény mégis bekövetkezne, annak felderítését, az elemi hibaáthidaló folyamat meghatározását és a felelősségi szint megállapítását.

Az Adatvédelmi és Információszabadságról ONYF utasítás hatálya kiterjed az ONYF-re, valamint regionális igazgatási szerveire, továbbá az ONYF-el szerződésben álló egyéb gazdálkodó szervezetekre, ahol informatikai és számítástechnikai eszközöket üzemeltetnek, elektronikus adathordozókat és adatokat, illetve adatállományokat tárolnak, ideiglenes, átmeneti, vagy állandó jelleggel.

Az Adatvédelmi és Információszabadságról szóló ONYF utasítás rendelkezései kiterjednek mindazon köztisztviselőkre, és munkavégzésre irányuló egyéb jogviszony keretében foglal69

koztatottakra, akik közvetlen vagy közvetett módon az ONYF-en, illetőleg az ONYF regionális igazgatási szerveinél személyes adatokat kezelnek, illetőleg személyes adatokat tartalmazó okmányok adatfeldolgozásában vesznek részt, illetve mindazokra, akik az ONYF hatáskörébe tartozó adatokkal kapcsolatba kerülnek.

A regionális igazgatási szervek vezetői, valamint az ONYF szervezeti egységeinek vezetői kötelesek a szabályzatban foglaltak betartására és alkalmazására saját hatáskörben intézkedni, az igazgatási szervnél lévő speciális eszközökre és alkalmazásokra, illetve munkafolyamatokra az üzemeltetési környezetre való tekintettel a helyi szabályzatot elkészíttetni, és azt ONYF Informatikai Eszközgazdálkodási és Adatvédelmi Osztályára tájékoztatásul megküldeni.

Miután a hardver eszközök fizikai és mechanikai behatásra, elektronikus erőtérre érzékenyek, ezért ezeket az eszközöket a gépkönyvben lefektetett műszaki előírásoknak megfelelően kell üzemeltetni.

A szerver funkciókat ellátó eszközöket külön erre a célra kialakított helyiségben kell elhelyezni. A helyiségbe csak külön engedéllyel rendelkező személy jogosult belépni. Az üzemeltetésre vonatkozó előírásokat az ágazat központi rendszereinek üzemeltetési szabályzatai tartalmazzák. Az üzemeltetést a szabályzatnak megfelelően kell végezni, az adott szabályzattól eltérni csak rendkívüli esemény bekövetkezésekor lehet.

A hardver eszközök rendellenes működését a felhasználóknak a helyi rendszergazdának kell haladéktalanul jelentenie. A regionális igazgatási szerveknél, a felhasználónál felmerülő karbantartási igény megalapozottságát elsőként a rendszergazda vizsgálja ki.

Az elvégzett karbantartási tevékenységről a helyszínen munkalapot kell kiállítani. A terület képviselőjének (felhasználónak, rendszergazdának, informatikusnak) és a külső szakembernek kölcsönösen igazolnia kell a munka elvégzését, ezt követően a munkalapot a helyszínen le kell fűzni.

Hardver eszközök javítását, cseréjét, alapkonfiguráció megváltoztatását valamint egyéb, célszerűségi vizsgálat alapján indokolt beavatkozást, csak arra feljogosított, képzett szakember végezhet.

70

Az elektronikus adathordozók kezelésére vonatkozóan az adatot tartalmazó adathordozókat egyedi azonosítóval kell ellátni. A mentéseket és az archivált adatállományokat tartalmazó adathordozókról nyilvántartást kell vezetni. A nyilvántartásnak ki kell térnie az adatállomány(ok) nevére, mentési idejére, az eredeti adatállomány fizikai származási helyére.

Az adatokat tartalmazó adathordozót az ágazat egész területéről kivinni, vagy bármi módon való adattovábbítása, vagy nyilvánosságra hozatala (hálózati adattovábbítás, képernyős megjelenítés harmadik személy számára betekintési lehetőség biztosítása céljából) tilos, kivéve, ha jogszabály, vagy főigazgatói utasítás erről másképp nem rendelkezik.

A PC-ken, illetve PC szervereken rezidensen (azaz állandóan aktív állapotban) kell lennie vírusellenőrző programrendszernek. Az ONYF által rendszeresített vírusellenőrző program telepítéséről minden esetben a rendszergazdának kell gondoskodnia. Új beszerzés esetén az üzembehelyezés feltétele az aktuális vírusvédelmi program telepítése. Vírus jelenlétére utaló működés esetén a felhasználónak azonnal a rendszergazdához kell fordulnia, felhasználói tevékenységének azonnali felfüggesztése mellett. A rendszergazda köteles haladéktalanul kivizsgálni a bejelentésben jelzett jelenséget.

Az ágazatban csak olyan szoftver használható, melyet az ONYF központilag szerzett be, illetve az ONYF vagy a NYUFIG saját, vagy külső fejlesztőtől rendelt meg és telepítése, használata engedélyezett.

A szoftvereket a beszerzést, illetőleg a fejlesztés befejezését követően nyilvántartásba kell venni. Minden esetben az új szoftverről biztonsági mentést kell készíteni. Az eredeti szoftvereket, forrásprogramokat zárható helyiségben, páncélszekrényben kell elhelyezni. A szoftverek nyilvántartását és az eredeti példányok tárolását az ONYF-en az ONYF Informatikai Eszközgazdálkodási és Adatvédelmi Osztály, az igazgatási szerveknél a rendszergazda(k) végzik el.

A szoftverek használatba vételével, telepítésével, cseréjével, a vonatkozó tevékenységek dokumentálásával, a felhasználói jogosultságokkal kapcsolatos előírásokat a szoftverek fejlesztésére

és

beszerzésére

vonatkozó,

kidolgozás

alatt

lévő

szabályzat

tartalmazza.

A programok jogszerű használatáért – büntetőjogi felelősséggel – az annak jogosult használa-

71

tával megbízott személyek és az adathordozók (telepítési anyagok) őrzésével megbízott személy együttesen felelnek.

Nem a munkavégzést szolgáló, nem ONYF által engedélyezett szoftverek telepítése az ágazat gépeire tilos. Az ágazatban kizárólag jogtiszta szoftverek használata megengedett.

A felhasználó az ágazatban használt szoftverekkel kizárólag azoknak az adatoknak a kezelésére jogosult, amelyek a munkavégzésével és a munkaköri leírásában meghatározott tevékenységekkel összhangban állnak.

Az adatokat, adatbázisokat rendszeresen több generációs módszerrel menteni kell. Az egyes alkalmazói rendszerek üzemeltetési leírása a mentésre nézve konkrét eljárást határoz meg.

Tűzfallal kell védeni a központi éles rendszereket a jogosulatlan hozzáféréstől, ezáltal ki kell kényszeríteni, hogy az adatokhoz csak dedikált, ellenőrzött utakon juthassanak el a felhasználók.

A hardvereszközök számára szükséges az egyéb fogyasztóktól teljesen független áramellátása biztosítása. A számítástechnikai eszközökkel közös biztosítékról más elektromos készüléket nem lehet működtetni.

Az áramellátás megszüntetése TILOS! Áramszünet esetén gondoskodni kell a szünetmentes áramforrásról üzemeltetett számítógépek mielőbbi leállításáról.

Az áramellátás helyreállítása és stabilizálódása után az előzőleg kikapcsolt számítógépeket az áramszünetkor működő rendszerrel kell újraindítani. Az újraindítást követően meg kell bizonyosodni az adatok sértetlenségéről.

72

Az Adatvédelmi és Információszabadságról szóló ONYF utasítást elolvastam. A benne foglaltakat magamra nézve kötelezőnek tartom, amit aláírásommal hitelesítek.

…………………., 20…… …………………….. ………… Hely

év

hónap

nap

…………………………. Nyilatkozattevő

Hitelesítés:

…………………………… Vállalkozó P.H.

………………………….

ONYF Főosztályvezető P:H:

73

Országos Nyugdíjbiztosítási Főigazgatóság 5. sz. melléklet

ADATVÉDELMI ÉS INFORMATIKAI BIZTONSÁGI NYILATKOZAT egyéb jogviszony keretében foglalkoztatott munkatársak részére

Iktatószám: Szerződésszám:

Alulírott

név……………….……………………………………………….. szül. hely, idő……………………………………………………… cím (lakcímkártya száma)………………………………………… személyazonosító igazolvány szám…………………………………………

cég neve ……………….……………………………….. cég címe ………………………………………… ……. végrehajtandó feladat

elvégzésével megbízott munkatársa, a fent hivatkozott szerződésben vállalt, a feladat teljesítésével kapcsolatban az alábbiak szerint nyilatkozom.

Kötelezettséget vállalok arra, hogy az Országos Nyugdíjbiztosítási Főigazgatóságnál végzett tevékenység során a tudomásomra jutott adatokkal és információkkal kapcsolatosan a Személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényben foglaltakat betartom.

74

A tudomásomra jutott adatokat, információkat harmadik személynek semmilyen formában nem adom át, nem továbbítom, azokról másolatot, feljegyzést nem készítek. Nyilatkozatom kiterjed mindazon adatra, információra, (a továbbiakban: védett adat), valamint ezek kezelésére, melyeket Megbízó a jogszabályok, továbbá belső szabályzataik, utasításaik és rendelkezéseik alapján a nyilvános adatok köréből kizártak. Nyilatkozom, hogy Megbízó hatályos •

Adatvédelmi és Információszabadsági Szabályzatát, (AISZ),

•

Informatikai Biztonsági Szabályzatát (IBSZ), valamint

•

Informatikai Katasztrófa Elhárítási Szabályzatát (IKET)

elolvastam, a benne foglaltakat tudomásul vettem, és magamra nézve kötelezőnek tartom, amit aláírásommal hitelesítek.

…………………., 20…… …………………….. ………… Hely

év

.......................................................... Cégvezető

hónap

nap

..................................................... Megbízott

PH

…………………………………. Megbízó ONYF PH.

75

Országos Nyugdíjbiztosítási Főigazgatóság 6. sz. melléklet NYILATKOZAT A LN POSTAFIÓKRÓL

Iktatószám: Alulírott ONYF foglalkoztatottnál név ……………….………………………………………………………………………... cím (lakcímkártya száma )………………………………………………………………… személyi igazolvány szám……………………………………………………………..…… szakegység …………………………………………………………………………………. beosztás ……………………………………………………………………………………. Egyéb esetben Szerződésszám:…………………………………………………………………………….. név……………….…………………………………………………………………………. szül. hely, idő………………………………………………………………………………. cím (lakcímkártya száma)…………………………………………………………………. személyi igazolvány szám………………………………………………………………….. cég neve …………………………………………………………………………………… cég címe …………………………………………………………………………………… végrehajtandó feladat …………………………………………………………………….. ……………………………………………………………………………………………... nyilatkozom, hogy megértettem a LN postafiókkal kapcsolatos tájékoztatást, és tudomásul veszem, hogy a nyilatkozat aláírása után LN postafiókomra az „Adatvédelmi és Információszabadsági Szabályzat”-ban leírtak vonatkoznak.

…………………., 20…… …………………….. ………… Hely

év

hónap

nap ……………….………………….. név

76

2010. számú utasítása. Az ONYF adatvédelmi és információszabadsági szabályzatáról

Recommend Documents