A DEBRECENI EGYETEM ADATKEZELÉSI, ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA
Debrecen 2007. április 19.
Tartalomjegyzék Általános rendelkezések A szabályzat célja és hatálya Az adatvédelem alapfogalmai és elvei A személyes adatok védelme Adatkezelés Az adatok összekapcsolása Személyes adatok nyilvánosságra hozatala Adatfeldolgozás Adattovábbítás Harmadik országba irányuló adattovábbítás Adatbiztonság Adatvédelmi nyilvántartás Az érintett jogai és érvényesítésük Ellenőrzés Egyes adatkezelések Hallgatói nyilvántartás Személyzeti nyilvántartás Bér- és munkaügyi nyilvántartás Könyvtári nyilvántartás Egészségügyi nyilvántartás Záró rendelkezések
2
A Debreceni Egyetem Szenátusa a személyi adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (továbbiakban: Atv) 10. §-ában előírt feladatkörének megfelelően, a 31/A. § (3) bekezdésében és a felsőoktatásról szóló 2005. évi CXXXIX tv. (továbbiakban: Ftv.) 34. § (4) bekezdésében kapott felhatalmazás alapján, figyelemmel a 79/2006. (IV. 5.) Korm. r. 6-14.§-ában foglaltakra a Debreceni Egyetemen folyó adatkezelés és továbbítás intézményi rendjét az alábbiakban határozza meg: Általános rendelkezések A szabályzat célja és hatálya 1. § (1) E szabályzat célja, hogy meghatározza a Debreceni Egyetemen (a továbbiakban: egyetem) nyilvántartott adatok vezetésének, kezelésének és továbbításának törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát. (2) A szabályzat hatálya kiterjed az egyetem valamennyi a) dolgozójára, függetlenül attól, hogy alkalmazására milyen jogviszonyban kerül sor, b) hallgatójára, függetlenül az oktatás formájára, c) a (3) bekezdésben foglalt kivétellel az egyetemen kezelt valamennyi adatra, valamint d) az adatkezelést végző valamennyi szervezeti egységre. (3) Nem terjed ki a jelen szabályzat hatálya a Debreceni Egyetem Orvos-és Egészségtudományi Centrumában kezelt egészségügyi adatokra, melynek szabályait – jelen szabályzat mellékleteként - az egészségügyről szóló 1997. évi CLIV. tv, és az egészségügyi és hozzá kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény alapján a Debreceni Egyetem Orvos-és Egészségügyi Centrum Tanácsa jogosult meghatározni. Az adatvédelem alapfogalmai 2. § (1) Személyes adat: (a) bármely természetes személlyel (továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. (b) az érintett egyediesítésére természetes vagy mesterséges azonosító adatok szolgálnak. Természetes azonosító adat különösen az érintett neve, anyja
3
neve, születési helye és ideje, lakóhelyének illetve tartózkodási helyének címe. Mesterséges azonosító adatok a matematikai vagy más algoritmus szerint generált adatok, így különösen a személyi azonosító kód, a társadalombiztosítási azonosító jel (TAJ), az adóazonosító jel, a személyi igazolvány száma, az útlevél száma, az oktatói és a hallgatói azonosító szám, a tanulmányi rendszerben alkalmazott azonosító. (c) a leíró adatok az adatkezelés célja tekintetében releváns egyéb adatok. A meghatározott természetes személlyel kapcsolatba nem hozható leíró adat nem személyes adat (pl. statisztikai adat). (2) Különleges adat: a) A faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint c) a bűnügyi személyes adat. (3) Közérdekű adat: Az Egyetem kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől. (4) Adatkezelés: Az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása, vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelés a fénykép-, hang vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése is. (5) Adatkezelő: Az adatkezelés célját meghatározó egyetemi-, kari vezető, egyetemi-, kari szervezeti egység, aki/amely a személyes adatok kezelésének a célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. (6) Adatfeldolgozás: Az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. (7) Adatfeldolgozó: az adatkezelő megbízásából és utasításai szerint a személyes adatok feldolgozását végző természetes személy
4
(8) Egyetemi Adatvédelmi Felelős: A Debreceni Egyetem rektora által megbízott személy, aki közreműködik, illetőleg segítséget nyújt az adatkezeléssel kapcsolatos döntések meghozatalában és előkészíti azokat, felügyeli és ellenőrzi a jogszabályok és ezen szabályzat előírásainak, valamint az adatbiztonsági követelményeknek a megtartását, kivizsgálja az adatkezeléssel kapcsolatos bejelentéseket, vezeti a belső adatvédelmi nyilvántartást, gondoskodik az adatvédelmi ismeretek oktatásáról. (9) Adatvédelem: A személyes adatok kezelésének korlátozását, az érintett személyek jogi védelmét, illetőleg információs önrendelkezésük gyakorlását biztosító szabályok, eljárások, eszközök és módszerek összessége. (10) Adattovábbítás: Meghatározott harmadik személy számára történő hozzáférés biztosítása az adathoz. (11) Nyilvánosságra hozatal: Bárki számára történő hozzáférés biztosítása az adathoz. (12) Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. (13) Adatmegsemmisítés: Az adatok, vagy az megsemmisítése.
azokat
tartalmazó
adathordozók
teljes
fizikai
(14) Adatzárolás: Az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele. (15) Adatállomány: Az egy nyilvántartó rendszerben kezelt adatok összessége. (16) Harmadik ország: minden olyan ország, amely nem tagja az Európai Gazdasági Térségnek.
5
A személyes adatok védelme Adatkezelés 3. § (1) Az egyetemen kötelezően nyilvántartandó és kezelendő, a jelen szabályzat hatálya alá tartozó személyes és különleges adatokat a Ftv. 2. számú melléklete határozza meg. (2) Az Ftv. 2.sz. mellékletében nem szereplő személyes vagy különleges adat felvétele előtt az érintettel közölni kell az adatkezelés célját, valamint azt, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. (3) Az alkalmazottak személyes adatait a foglalkoztatás megszűnésétől számított tíz évig, a hallgatók személyes adatait a hallgatói jogviszony megszűnésétől számított nyolcvan évig lehet kezelni. (4) Az alkalmazottak és a hallgatók személyes adatait – a közalkalmazott neve és beosztása kivételével - csak a foglalkoztatással, juttatások, kedvezmények, kötelezettségek megállapításával és teljesítésével, állampolgári jogok és kötelezettségek teljesítésével kapcsolatosan, nemzetbiztonsági okokból, a Ftv.ben meghatározott nyilvántartások kezelése céljából a célnak megfelelő mértékben, célhoz kötötten lehet kezelni. (5) A személyes adatokon belül a közalkalmazottak neve és beosztása közérdekű adatnak minősül, s azt bárki megismerheti. (6) A közalkalmazottakra vonatkozó adatok statisztikai célra felhasználhatók és statisztikai célú felhasználásra - személyazonosításra alkalmatlan módon átadhatók. (7) Az egyetem – a (4) - (6) bekezdésben foglalt kivételekkel - a közalkalmazottakra vonatkozó tényt, adatot, véleményt harmadik személlyel csak törvényben meghatározott esetben vagy a közalkalmazott hozzájárulásával közölhet. Különleges adat esetében a hozzájárulást írásban kell megtenni. (8) Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell, mely tényre a kérelmező figyelmét fel kell hívni. (9) Ha az érintett fizikai okból vagy cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa-vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben sor kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére.
6
Az adatok összekapcsolása 4. § (1) Az egyes szervezeti egységeknél kezelt, a Ftv. 2. sz. mellékletében meghatározott adatok az egyetemen belül szükség esetén összekapcsolhatók, más adatkezelő adataival csak indokolt esetben és csak akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülhetnek. (2) Az adatkezelések összekapcsolására vonatkozó tényeket az összekapcsolást kezdeményező adatkezelő(k) az egyetemi nyilvántartásba vétel végett az Egyetemi Adatvédelmi Felelősnek köteles(ek) bejelenteni, a 2. számú mellékletben szereplő űrlapon. Személyes adatok nyilvánosságra hozatala 5. § (1) Az Egyetemen kezelt személyes adatok nyilvánosságra hozatala tilos, kivéve, ha azt törvény rendeli el. (2) A hallgatók érdemjegye, vizsgaeredménye és az a tény, hogy valamely szociális támogatásban részesül-e vagy sem, személyes adat. Nyilvánosságra hozatal esetén a név helyett kódszámokat kell alkalmazni. Adatfeldolgozás 6. § (1) Az adatfeldolgozóknak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit munkaköri leírásukban kell meghatározni. (2) Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Adattovábbítás 7. § (1) Az egyetem szervezeti egységei által kezelt, a Ftv. 2. sz. mellékletében felsorolt adatok a közalkalmazotti jogviszonnyal illetve a hallgatói jogviszonnyal kapcsolatos adminisztratív és szervezési feladatok ellátása céljából a feladat elvégzéséhez szükséges mértékben és ideig továbbíthatóak az egyetem illetékes másik szervezeti egységéhez. (2) Az (1) bekezdés hatálya alá nem tartozó esetekben az egyetemen belüli adattovábbítással kapcsolatos adatkezelést a 3. számú mellékletben szereplő űrlapon be kell jelenteni az Egyetemi Adatvédelmi Felelősnek. Az adattovábbítás
7
akkor hajtható végre, ha ehhez az Egyetemi Adatvédelmi Felelős írásban hozzájárult. Rendszeres adattovábbítás esetén a hozzájárulás visszavonásig érvényes. Az adattovábbításra vonatkozó tényeket az Egyetemi Adatvédelmi Felelős nyilvántartásba veszi. (3) Az egyetemen kívüli szervtől vagy magánszemélytől érkező adatközlésre irányuló megkeresés - kivéve a Ftv. 35. § (2) bekezdésében meghatározott kötelező adatszolgáltatást - csak akkor teljesíthető, ha a (4) bekezdésben foglalt feltételek teljesülnek. (4) Az egyetemen kezelt adat – a Ftv. 2. sz. melléklet 3. pontjában foglalt kivétellel csak akkor továbbítható, ha az érintett ehhez írásban hozzájárult vagy törvény azt megengedi, és ha az egyetem meggyőződött arról, hogy az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra, a megkereséssel élő szervek meghatározott körére és a továbbítható adatok körére. (5) A Ftv. 2. sz. melléklet 3. pontjában írt szervek megkereséseiről az illetékes adatkezelő, vagy adatfeldolgozó – közvetlenül vagy szolgálati felettese útján – köteles tájékoztatni az az adatvédelmi felelőst. Az adatszolgáltatás csak a z adatvédelmi felelős jóváhagyásával teljesíthető. (6) A nemzetbiztonsági szolgálatoktól érkező megkeresésre vonatkozó minden adat a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény 42. §-a szerint - államtitok, amiről sem más szerv, sem más személy nem tájékoztatható. (7) Külső megkeresés alapján adattovábbítás – kivéve a 7. § (5) bekezdésben jelzett megkereséseket - akkor teljesíthető, ha a 3. számú űrlapon történő bejelentés alapján az Egyetemi Adatvédelmi Felelős ahhoz írásban hozzájárul. Az adattovábbítás tényét az (5) bekezdés kivételével minden esetben be kell jelenteni az Egyetemi Adatvédelmi Felelősnek, aki azt nyilvántartásba veszi. Harmadik országba irányuló adattovábbítás 8. § (1) Harmadik országba személyes adatot (beleértve a különleges adatot is) csak akkor lehet továbbítani, ha ahhoz az érintett hozzájárult, vagy azt törvény lehetővé teszi és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. (2) Olyan adatkezelés esetén, amelynél számolni kell külföldre irányuló adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele előtt fel kell hívni. (3) A külföldre irányuló adatszolgáltatással kapcsolatos tényeket a 7. § (7) bekezdésben foglaltaknak megfelelően kell dokumentálni.
8
Adatbiztonság 9. § (1) Az adatfeldolgozó köteles gondoskodni az adatok minőségéről (pontosság, konzisztencia, teljesség, időszerűség). (2) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, a jogosulatlan hozzáférés, a megváltoztatás, a továbbítás, a nyilvánosságra hozás, a törlés, a megsemmisítés, a sérülés és a megsemmisülés elleni védelemről. Minden adatkezelő köteles kialakítani és betartatni az adatvédelem érvényesítése érdekében szükséges technikai és szervezési intézkedéseket, eljárási szabályokat mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében. (3) Az adatkezelést és adatfeldolgozást végző alkalmazottak kötelesek az általuk megismert személyes adatokat szolgálati tikokként kezelni és megőrizni. (4) Az adatbiztonság részletes szabályait a 2007. december 31-ig megalkotandó 1. számú melléklet tartalmazza. Adatvédelmi nyilvántartás, 10. § Az Egyetemen létesített minden, nem törvényi előírás alapján folytatott adatkezelésről nyilvántartást kell vezetni. A nyilvántartásba vételt az adatkezelés megkezdése előtt az adatkezelő kezdeményezi az Egyetemi Adatvédelmi Felelősnél a szabályzat 1. számú mellékletében szereplő űrlapon. Az Egyetemi Adatvédelmi Felelős az Atv. adatvédelmi nyilvántartásról szóló előírásainak (Atv. 28. § (1) bek.) megfelelően gondoskodik a központi nyilvántartásba történő bejelentésről. Az érintett jogai és érvényesítésük 11. § (1) Az érintett tájékoztatást kérhet a személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – törlését. (2) Az adatvédelmi nyilvántartásba bárki betekinthet, az abban foglaltakról feljegyzést készíthet és díjazásért kivonatot kérhet. A díjazás mértékét a kért adatot kezelő adatkezelő állapítja meg a felmerült tényleges költség figyelembevételével. (3) Az érintett kérelmére az adatkezelő a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető
9
formában köteles a tájékoztatást megadni a kérelmező általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatok továbbításáról. (4) A (3) bekezdésben foglalt tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre vonatkozó tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg, melynek összegét a kért adatot kezelő adatkezelő állapítja meg a kért adat mennyiségére, és a tájékoztatásra fordított idő figyelembevételével. (5) A tájékoztatás csak törvényben foglalt okok esetén tagadható meg, melyről az érintettet és az Egyetemi Adatvédelmi felelőst tájékoztatni kell, aki az adott évben elutasított kérelmekről köteles az adatvédelmi biztost értesíteni. Törvény az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi vagy etikai vétségek, a munkajogi és munkavédelmi kötelezettségek megelőzése és feltárása céljából, továbbá az érintett vagy mások jogainak védelme érdekében rendelhet el korlátozást. (6) Adatváltozás vagy téves adatrögzítés észlelése esetén az érintett kérheti kezelt adatainak helyesbítését illetve kijavítását. Az érintett a bejelentéséhez köteles csatolni a kért adat valódiságát igazoló dokumentumot, amennyiben ilyen létezik A téves adatok helyesbítését az adatkezelő két munkanapon belül köteles elvégezni. (7) A jogellenesen kezelt adatokat azonnal törölni kell. Ugyancsak azonnal törölni kell az adatot, ha azt a bíróság vagy az adatvédelmi biztos elrendelte, vagy az adatkezelés célja megszűnt, vagy az adatok tárolásának a 3. § (3) bekezdésében meghatározott határideje lejárt. A nem kötelező adatszolgáltatáson alapuló adatkezelés esetén az érintett indokolás nélkül kérheti kezelt adatainak törlését, melyet két munkanapon belül el kell végezni. (8) Mind a helyesbítésről, mind az adat törléséről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. (9) Adatkezeléssel kapcsolatos jogainak megsértése esetén az érintett az adatai kezelését végző szervezeti egység vezetőjéhez (dékán, centrumelnök), vagy az Egyetemi Adatvédelmi Felelőshöz fordulhat, aki a panaszt a lehető legrövidebb időn belül, de legkésőbb 8 napon belül köteles kivizsgálni. Az egységvezető, vagy az Egyetemi Adatvédelmi Felelős által meghozott döntés ellen a rektorhoz lehet jogorvoslati kérelmet benyújtani. A rektor döntése ellen az érintett – választása szerint – vagy az Egyetem székhelye szerint illetékes Debreceni Városi Bírósághoz, vagy a saját lakóhelye szerinti illetékes bírósághoz fordulhat.
10
Ellenőrzés 12. § (1) Az adatvédelemmel kapcsolatos előírások, így különösen jelen szabályzat rendelkezéseink betartását az adatkezelést végző szervezeti egységek vezetői folyamatosan kötelesek ellenőrizni. (2) Az Egyetemi Adatvédelmi Felelős tanácsaival, állásfoglalásával segíti az adatkezelő szervezetek munkáját. Jogosult betekinteni az adatkezelésekbe. Az adatkezelést végző egységek vezetőitől és munkatársaitól szóban vagy írásban felvilágosítást kérhet. (3) Az Egyetemi Adatvédelmi Felelős az irat- és adatkezeléssel kapcsolatos szabályzatok, jegyzőkönyvek, és a nyilvántartás áttekintésével gondoskodik az adatkezelés törvényes rendjének megtartásáról. Törvénysértés esetén az Adatvédelmi Felelős ennek megszüntetésére köteles felszólítani az adatkezelőt. Egyes adatkezelések Hallgatói nyilvántartás 13. § (1) A hallgatói nyilvántartás a hallgatói jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját a Ftv., az Egyetem szervezeti és működési szabályzata, valamint a tanulmányi és vizsgaszabályzata képezik. (2) A hallgatói nyilvántartás céljából a Debreceni Egyetem egyetlen integrált informatikai rendszert üzemeltet. Erre a célra további informatikai rendszert üzemeltetni nem szabad. Azokat a központi adminisztrációs feladatokat, amelyet a központi tanulmányi informatikai rendszer nem támogat, egyéb informatikai rendszerrel lehet megoldani. (3) A hallgatói nyilvántartás adatai a hallgató tanulmányi és vizsgakötelezettségeinek teljesítésével, valamint az ösztöndíj illetve tandíj megállapításával, folyósításával illetve megfizetésével, és minden, a hallgatói jogviszonnyal kapcsolatos szervezési és adminisztratív feladat ellátásával kapcsolatos tevékenységhez használhatók fel. (4) A számítógépes tanulmányi rendszer egyetemi szintű koordinációjáról, a rendszer működtetésében, fejlesztésében, karbantartásában közreműködő szervezetek munkájának összehangolásáról az Egyetemi Hallgatói Információs Központ (EHIK) gondoskodik.
11
14. § (1) A hallgatói nyilvántartás adatait a felvételi adatbázis, valamint a hallgató által kitöltött beiratkozási lapok szolgáltatják. Az oktatási és adminisztratív feladatok ellátásában közreműködő személyek adatait a szervezeti egységek a saját nyilvántartásuk alapján töltik fel a rendszerbe. Az adatbázisba bekerülő adatok felvétele írásban (elktronikus úton vagy papíron) történik. Szóbeli közlés alapján az adatbázisba semmilyen adat nem kerülhet be. (2) Az adatbevitel módja Az adatbázisba bevitt adatok nem térhetnek el az adat forrásául szolgáló iratban szereplő adattól. Az adatok egyezőségéért az adatbevitelt végző személy felelősséggel tartozik. Amennyiben az adatok forrásául szolgáló iratban szereplő adat értelmezhetetlen, olvashatatlan, ellentmondásos vagy hiányos, az adat nem vihető be az adatbázisba. Ilyen esetben az adat forrásául szolgáló irat kijavítását, illetve kiegészítését kell kérni az adatalanytól, vagy ha az adat nem az adatalanytól származik, akkor az eredeti irat kiállítójától. (3) A hallgató adatainak kezelője annak a karnak - illetve karoknak - a tanulmányi hivatala, illetve tanszékeinek alkalmazottja, amelynek keretében a hallgató tanulmányait folytatja. 15. § (1) A nyilvántartás számítógépes adatbázisban történik. A kari adatkezelő szervezetek adatokat csak a szervezet felelős vezetőjének engedélyével, a szabályzat előírásainak betartásával továbbíthatnak. Az adattovábbítást a 4. számú mellékletben található űrlap kitöltésével lehet kezdeményezni. Az adattovábbítás jogosságának elbírálásánál figyelembe kell venni, hogy az adatot kérő szervezet jogosult-e a kért adatok kezelésére. (2) A számítógépes tanulmányi rendszer adatait védeni kell a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Ezen védelem biztosítása a rendszer üzemeltetőjének (Informatikai Igazgatóság), az Egyetemi Hallgatói Információs Központnak (EHIK), továbbá az adatkezelést, illetve adatfeldolgozást végző személyeknek és szervezeti egységeknek a feladata. (3) A rendszert üzemeltető Informatikai Igazgatóság a szervergépeken tárolt adatok biztonsága érdekében a következő intézkedéseket teszi és folyamatosan magas színvonalon biztosítja: a) a szervergépeket megfelelő fizikai védelemmel ellátott, zárt helyiségben tárolja. A szervergépek működésének környezeti és műszaki feltételeit biztosítja;
12
b)
c) d) e) f)
g)
a személyes adatokat tartalmazó adatbázisok aktív adataiból napi rendszerességgel külön adathordozóra biztonsági mentést készít. A biztonsági mentést tartalmazó adathordozót tűzbiztos fémkazettában, elzárva őrzi; biztosítja, hogy a személyes adatokat tartalmazó szerverek közvetlen hálózati úton ne legyenek elérhetőek, és a rendszer feltörése hálózati hozzáféréssel ne legyen lehetséges; gondoskodik arról, hogy áramkimaradás esetén a szervergépek szabályosan, adatvesztés nélkül leállíthatók legyenek; gondoskodik a szervergépek vírusvédelméről; amennyiben az adatbázisszerver elérése terminálszervereken keresztül történik, úgy gondoskodik a terminálszerverekre történő belépéshez szükséges azonosítók és jelszavak kiosztásáról és visszavonásáról, az adatkezelés céljának minimálisan megfelelő jogosultságok beállításáról; a szerver és az informatikai rendszer rendszergazdai jelszavát tűzbiztos fémkazettában elzárva kell őrizni. A jelszavak változtatását legalább fél éves gyakorisággal el kell végezni.
(4) A számítógépes tanulmányi rendszernek lehetővé kell tennie az adatmódosítások tényének, időpontjának és végrehajtójának naplózását. Az EHIK a rendszert úgy állítja be, hogy a naplózás megtörténjen. Személyzeti nyilvántartás 16. § (1) A személyzeti nyilvántartás az oktatói jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját a felsőoktatási törvény, a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény (a továbbiakban: közalkalmazotti törvény) az Egyetem Szervezeti és Működési Szabályzata és Kollektív Szerződése képezik. (2) A személyzeti nyilvántartás adatai az oktató közalkalmazotti jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására és statisztikai adatszolgáltatásra használhatók fel. (3) A személyzeti nyilvántartás kezelői a centrumok/karok humánpolitikai egységei, illetve – a rektor munkáltatói jogkörébe tartozók esetén - a Rektori Hivatal Humánpolitikai Osztálya. 17. § (1) A személyzeti nyilvántartás az Egyetem valamennyi fő- és további jogviszonyban foglalkoztatott oktatójának, valamint tudományos kutatójának adatait tartalmazza.
13
(2) A személyzeti nyilvántartás adatait az érintett szolgáltatja. A közalkalmazotti jogviszony keletkezésekor történik meg az elsődleges adatfelvétel. (3) A nyilvántartás kezelése vegyes rendszerben számítógépen és manuális módszerrel történik. Az adatok biztonságáról az adatkezelő gondoskodik. (4) Az Egyetem szervezetén belül a személyzeti nyilvántartásból csak a rektor, a Gazdasági Főigazgatóság Bér- és Munkaügyi Főosztálya, valamint azon szervezeti egységek vezetői, illetve személyzeti kérdésekben illetékes ügyintézői részére teljesíthető adatszolgáltatás, amelyeknél az oktató tényleges oktatási vagy tudományos kutatási tevékenységet végez. Bér- és munkaügyi nyilvántartás 18. § (1) A bér és munkaügyi nyilvántartás a közalkalmazotti jogviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját a felsőoktatási törvény, a közalkalmazotti törvény, ezek végrehajtási rendeletei, valamint az Egyetem Szervezeti és Működési Szabályzata és Kollektív Szerződése képezik. (2) A bér- és munkaügyi nyilvántartás adatai a dolgozó közalkalmazotti jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel. (3) A bér- és munkaügyi nyilvántartás kezelője a Gazdasági Főigazgatóság Bér- és Munkaügyi Főosztálya, valamint a tervezési egységek munkaügyi osztályai. 19. § (1) A bér- és munkaügyi nyilvántartás az Egyetem valamennyi közalkalmazotti jogviszonyban foglalkoztatott dolgozójának adatait tartalmazza. (2) A nyilvántartás kezelése számítógépen történik. Az adatok biztonságáról az adatkezelő gondoskodik. (3) Az Egyetem szervezetén belül a bér- és munkaügyi nyilvántartásból csak a rektor, a főtitkár, a gazdasági főigazgató, a gazdasági igazgatók, a Humánpolitikai Osztály valamint azon szervezeti egységek részére teljesíthető adatszolgáltatás, amelyeknél a közalkalmazott a munkát végzi.
14
Egészségügyi nyilvántartás 20. § Az egészségügyi nyilvántartás és adatkezelés speciális szabályait az Orvos-és Egészségtudományi Centrum a jelen szabályzat és az egészségügyi adatok kezelésére vonatkozó egyéb jogszabályok alapján külön határozza meg, mely rendelkezések ezen egyetemi szabályzat mellékletét képezik. A közérdekű adatok nyilvánossága 21. § (1) Az Egyetemnek lehetővé kell tennie, hogy az általa kezelt közérdekű adatokat bárki megismerhesse, kivéve, ha az állami- vagy szolgálati titokká lett nyilvánítva, vagy a nyilvánosságához való jogot törvény korlátozza. (2)
A közérdekű adat megismerését bárki szóban, írásban vagy elektronikus úton kérheti, mely kérelemnek a legrövidebb időn belül, de legkésőbb 15 napon belül eleget kell tenni.
(3) A hozzájuk beérkezett közérdekű adat iránti kérelmet a szervezeti egységeknek 2 napon belül az Egyetemi Adatvédelmi felelőshöz kell továbbítaniuk, aki köteles az adatszolgáltatásnak a (2) bekezdésben előírt határidőn belül eleget tenni, vagy az adatszolgáltatást megtagadni, melyről az indokok megjelölésével 8 napon belül írásban vagy – amennyiben a kérelemben elektronikus levelezési cím, is közölve van – elektronikus úton köteles a kérelmezőt értesíteni. (4 A kérelmek elbírálásánál a Atv. 19-21/A § előírásait be kell tartani. (5) Az elektronikus információszabadságról szóló 2005. évi XC. törvény mellékletében előírt adatokat saját internetes oldalain teszi közzé az Egyetem. Vegyes és záró rendelkezések 22. § (1) Aki a jelen szabályzatban hivatkozott jogszabályi rendelkezéseket, valamint a jelen szabályzat előírásait megszegi, fegyelmi vétséget követ el. (2) Jelen szabályzatot a Debreceni Egyetem szenátusa a 2007. április 19-én tartott ülésén a 23/2007. (IV.19.) sz. határozatával fogadta el. Rendelkezéseit az elfogadásának napjától kell alkalmazni. (3) A Szabályzatot a Szenátus évente felülvizsgálja. (4) Amennyiben a kari sajátosságok indokolják, a kar e szabályzat alapján köteles 30 napon belül elfogadni és a szenátus elé terjeszteni a specialitásokat meghatározó kari rendelkezéseket, mely rendelkezések a jelen szabályzat mellékletét képezik.
15
(5) A centrumok, illetve a TEK kötelesek kijelölni a centrum/TEK adatvédelmi felelős személyét, és nyilvántartásba vétel végett bejelenteni az egyetemi adatvédelmi felelősnek. (6) A karok vezetői kötelesek gondoskodni arról, hogy minden adatkezelést és adatfeldolgozást végző alkalmazott megismerje a jelen szabályzatot és a kapcsolódó jogszabályokat - különösen az Atv-t - mely ismertetést az adatkezelő, az adatfeldolgozó aláírásával köteles igazolni. D e b r e c e n, 2007. április 19.
Prof. Dr. Nagy János rektor
16
1. számú melléklet Adatkezelést bejelentő lap Az adatkezelés megnevezése Célja, rendeltetése Jogszabályi alapja (egyetemi szabályzat) Adatkezelő (szervezeti egység) Felelős személy (név, beosztás, telefonszám) Érintettek köre és száma Nyilvántartott adatok fajtája Adat forrása (érintett vagy más adatkezelés) Adattovábbítás (címzettje, gyakorisága, jogalapja) Adatkezelés helye Adatfajták törlésének határideje
17
2. számú melléklet Adatkezelések összekapcsolását bejelentő lap
Az összekapcsolt adatkezelések megnevezése Az összekapcsolás célja, rendeltetése Az összekapcsolás időpontja és tartama Jogszabályi alapja (törvény, egyetemi szabályzat) Az összekapcsolást végző személy neve, beosztása, szervezeti egysége, telefonszáma Az összekapcsolással érintettek köre és száma Az összekapcsolt adatok köre Az összekapcsolás módszere (manuális, számítógépes, vegyes)
18
3. számú melléklet Adattovábbítást bejelentő lap
A megkeresést kezdeményező szerv, vagy személy megnevezése, postacíme, telefonszáma Az adatkérés célja, rendeltetése Az adatkérés jogszabályi alapja (vagy az érintettek nyilatkozatát) Az adatkérés időpontja Az adatszolgáltatás alapjául szolgáló adatkezelés megnevezése Az adatszolgáltatást teljesítő szervezeti egység megnevezése Az érintettek köre A kért adatok köre Az adattovábbítás módja
19
4. számú melléklet Adattovábbítást igénylő lap Hallgatói adatnyilvántartás alapján Az adatszolgáltatást kezdeményező szerv, vagy személy megnevezése, postacíme, telefonszáma Az adatkérés célja, rendeltetése Az adatkérés jogszabályi alapja, vagy az érintettek nyilatkozata Az adatkérés időpontja Az adatszolgáltatás határideje Az adatszolgáltatás gyakorisága (rendszeres vagy egyedi igény) Az érintettek köre A kért adatok köre Az adattovábbítás módja
20