Csongrád MKI 31/2012. számú intézkedésének 1. számú melléklete
Csongrád Megyei Katasztrófavédelmi Igazgatóság
ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATA
TARTALOMJEGYZÉK
I.
A Szabályzat kibocsátásának célja, hatálya
3
II.
Az adatvédelem alapelvei
3
III.
Az adatbiztonság követelménye
4
III/1. Adatbiztonsági előírások
4
III/2. Az adatvédelem eszközei, módszerei
5
III/3. Adatkezelőre vonatkozó rendelkezések
6
IV.
Az érintettek jogainak érvényesítése, tiltakozási jog gyakorlása és azokkal összefüggő feladatok
7
V.
A Csongrád MKI és alárendelt szervei adatvédelmi intézményrendszere
8
VI.
Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés
10
VII.
Belső adatvédelmi nyilvántartás
11
VIII.
Adattovábbítás a katasztrófavédelmi adatkezelésekből, adattovábbítási nyilvántartás
11
IX.
A Csongrád MKI hivatásos katasztrófavédelmi szervei személyi állományának és a pályázók személyes adatainak kezelése
12
X.
A közérdekű adatok egyedi igénylésének és teljesítésének szabályai
13
X/1.
A közérdekű adatok közzététele
14
X/2.
Közérdekű bejelentő adatainak védelme
15
XI.
Mellékletek
15
1. számú melléklet:
Adattovábbítási nyilvántartás
16
2. számú melléklet:
Betekintési lap
17
3. számú melléklet:
Nyilvántartás a közérdekű adat megismerése tárgyában benyújtott elutasított kérelmekről, illetve az elutasítás indokairól
18
2
I. fejezet A Szabályzat kibocsátásának célja, hatálya 1.
A Szabályzat célja, hogy a) meghatározza Csongrád MKI hivatásos katasztrófavédelmi szervei által vezetett személyes adatokat tartalmazó – manuális vagy számítógépes nyilvántartások kezelésének rendjét, biztosítsa a tevékenység során a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését, továbbá, hogy a Csongrád MKI hivatásos katasztrófavédelmi szervei által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat. A fentieken túl a Szabályzat célja a Csongrád MKI hivatásos katasztrófavédelmi szervei kezelésében lévő közérdekű adatok nyilvánosságának biztosítása. b) Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 24. § (3) bekezdésében foglaltak szerint a Szabályzat személyi hatálya kiterjed a Csongrád MKI hivatásos katasztrófavédelmi szervei teljes személyi állományára azzal, hogy a Szabályzat rendelkezéseit az eskü letételétől szolgálati viszonyának, közalkalmazotti jogviszonyának megszűnéséig köteles betartani, ugyanakkor titoktartási kötelezettsége – a jogszabályi előírásoknak megfelelően – szolgálati viszonya, jogviszonya megszűnését követően is fennáll. c) A Szabályzat tárgyi hatálya kiterjed a védelmet élvező adatok teljes körére, felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájától függetlenül, az adatok felhasználására, tárolására vonatkozó utasításokra, az adathordozók tárolására, felhasználására, az üzemeltetéshez biztosított valamennyi eszköz, papír alapú, számítástechnikai, informatikai berendezésre; valamint ezek műszaki dokumentációira is, a számítástechnikai folyamatban szereplő összes dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési dokumentáció), a rendszer- és felhasználói programokra. II. fejezet Az adatvédelem alapelvei
2. 3.
4. 5.
6.
7.
A Szabályzat alkalmazása során az Infotv.-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának III. fejezetében meghatározottakon túl: A Csongrád MKI hivatásos katasztrófavédelmi szervei által, a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas. A személyi állomány feladatai ellátása körében személyes adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhet. A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az adatkezelő szerv személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhet, ha ahhoz az érintett kifejezetten – különleges adat esetén írásban – hozzájárult. A adatkezelést végző fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, a Csongrád MKI hivatásos katasztrófavédelmi szervei nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.
3
8.
9.
10.
Személyes adat kezelésére a Csongrád MKI hivatásos katasztrófavédelmi szerveinek csak jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. A Csongrád MKI hivatásos katasztrófavédelmi szervei által kezelt, vagy feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének. Ha a személyi állomány tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, haladéktalanul köteles helyesbítését a helyesbítésre jogosultnál kezdeményezni. III. fejezet Az adatbiztonság követelménye
III/1. Adatbiztonsági előírások 11. Az informatikai adatbiztonsági előírások részletes meghatározását a BM OKF Főigazgatójának 92/2011. sz. intézkedése második mellékletét képező Informatikai Biztonsági Szabályzata, míg az iratok adatkezelési szabályait az BM OKF Főigazgató 16/2012. sz. utasítása mellékletét képező a Hivatásos Katasztrófavédelmi Szervek Egységes Iratkezelési Szabályzata tartalmazza. 12. Az adatbiztonsági intézkedések meghatározása érdekében a Csongrád MKI hivatásos katasztrófavédelmi szervei kezelésében lévő minden egyes adatállományt az érintett szervezeti egység vezetője a védelmi igény szempontjából értékel, és a megfelelő biztonsági fokozatba sorol. Az adatok minősítésük szerinti kezelése, a biztonsági fokba sorolásának nyilvántartása, karbantartása - a BM OKF Informatikai Biztonsági Szabályzat 17. illetve 18. pontja alapján az Informatikai Osztály feladata. 13. Az egyes adatkezelések biztonsági fokozatának megállapításához az adatok minősítésének figyelembe vételén kívül elemezni kell: a) az adatkezelésnek az adatkezelő szerv jogszabályban meghatározott feladatai végrehajtásában betöltött szerepét; b) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a várható kárt, figyelemmel arra, hogy az adatkezelés hiánya vagy az abban bekövetkezett sérülés milyen mértékben akadályozza a feladat teljesítést; c) azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét; d) azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni; e) az adatbiztonságot veszélyeztető - a BM OKF hivatásos katasztrófavédelmi szervek Adatvédelmi és Adatbiztonsági Szabályzat 1.számú mellékletében felsorolt kockázati elemeket; f) azt, hogy a védelemhez szükséges feltételrendszer megteremtéséhez és fenntartásához biztosítottak-e a szükséges erőforrások. III/2. Az adatvédelem eszközei, módszerei 14. A konkrét védelmi intézkedések kidolgozása során figyelembe kell venni az alábbi módszereket: a) Tudatosság: az informatikai rendszerekbe vetett bizalom növelése érdekében minden azt használó személynek legalább alapszinten ismernie kell a biztonsági módszereket és eljárásokat. 4
b) Felelősség: az információ-rendszerek tulajdonosainak, támogatóinak és felhasználóinak biztonságot érintő felelősségének egyértelműnek és világosnak kell lennie. c) Arányosság: a biztonsági fokozatoknak és intézkedéseknek megfelelőnek és arányosnak kell lenniük a védett rendszerek értékével és megbízhatósági követelményeivel, a biztonság fokozásának költségeivel, illetve a biztonság megsértéséből eredő potenciális károk súlyosságával és valószínűségével. d) Aktualitás: a biztonságot gyakori időközönként újra kell gondolni, és fel kell frissíteni a biztonság megsértéséből eredő potenciális kockázatok és következmények változásainak megfelelően. (kockázatelemzés-kockázatkezelés). e) Integráció: koherens és integrált biztonsági megközelítés szükséges egy információ-rendszer összes elemének tekintetében. f) Reakciókészség: az összes résztvevőnek együtt kell működnie a biztonság sérülésének, megsértésének megelőzése és a megsértésre adandó gyors válasz érdekében. 15. Fizikai veszélyforrások kezelése a) A Csongrád MKI hivatásos katasztrófavédelmi szervei elhelyezéséül szolgáló épületekbe történő be- és kilépés, kulcstárolás rendjét a Csongrád MKI Igazgatójának 29/2012. sz. intézkedése részletesen szabályozza. b) A jogosulatlan hozzáférés elkerülése érdekében a fizikai védelmi rendszert az illetéktelen behatolások elhárítására, az „infokommunikációs” infrastruktúra üzemeltetőit pedig ezek észlelésére, elhárítására, továbbá az eszközök jogosulatlan használatának megakadályozására vonatkozó rendelkezéseket a BM OKF Informatikai Biztonsági Szabályzata, a Csongrád MKI Informatikai Üzemeltetési Szabályzata részletesen tartalmazza. c) tűzvédelem és vagyonvédelem részletes szabályait a mindenkor hatályos Tűzvédelmi Szabályzat tartalmazza.
16.
Védelmi intézkedések a számítógépen tárolt adatok vonatkozásában a) A számítógépen, illetve hálózati meghajtókon tárolt személyes adatok biztonsága vonatkozásában a BM OKF Informatikai Biztonsági Szabályzat, a Csongrád MKI Informatikai Üzemeltetési Szabályzat előírásait kell alkalmazni. b) A személyes adatok automatizált feldolgozása során biztosítani kell: - a jogosulatlan adatbevitel megakadályozását; - az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását; - annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják; - annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe; - a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát; - azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön. c) A humán kockázat ellen oktatással és jogi eszközökkel kell védekezni.
17. Védelmi intézkedések a manuális kezelésű adatok vonatkozásában: A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani: a) Tűz- és vagyonvédelem: az irattári kezelésbe vett iratokat jól zárható, száraz, a mindenkor hatályos Tűzvédelmi Szabályzatban és BM OKF Iratkezelési Szabályzatban részletesen körülírt módon kell elhelyezni. b) Hozzáférés-védelem: a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. A személyzeti, valamint a bér- és munkaügyi iratokat 5
c)
d)
lemezszekrényben, a személyi állománnyal kapcsolatos iratokat zárható, helyiségben külön erre a célra rendszeresített biztonsági tárolóban kell tárolni. Archiválás: a BM OKF Informatikai Biztonsági Szabályzat, a Csongrád MKI Informatikai Üzemeltetési Szabályzat vonatkozó rendelkezéseit értelemszerűen alkalmazni kell. Humán kockázat: a humán kockázat ellen oktatással és jogi eszközökkel kell védekezni.
III/3. Adatkezelőre vonatkozó rendelkezések 18. Csongrád MKI hivatásos katasztrófavédelmi szerveinek személyi állománya alapvetően a munkaköri leírásában alapfeladatként megjelölt feladatkör ellátását végzi, de szükség esetén (vis maior, helyettesítés) részt vesz más ügy, feladat intézésében egyedi (az ügyszignálásban megnyilvánuló) vezetői intézkedés alapján. Az egyes ügyintézők az alap, és az előzőekben említett kiegészítő feladatokat érintő nyilvántartásokba tekinthetnek be, kizárólag a konkrét feladat ellátásához szükséges mértékben, és feladataikhoz kapcsolódó adatok jogszabályban meghatározott módon történő kezelésére, feldolgozására, továbbítására jogosultak. 19. Az egyes ügyintézők akadályoztatása esetén a munkaköri leírásban kijelölt, helyettesítést ellátó ügyintéző jogosult a távollevő ügyintéző által megismerhető adatok kezelésére, továbbítására, nyilvántartások vezetésére, azokba történő betekintésre, kizárólag az akadályoztatás (betegség, szabadság stb.) időtartama alatt, helyettesítési feladatai ellátása érdekében szükséges mértékig. A lezárt egység felnyitására vonatkozó rendelkezéseket, a Csongrád MKI hivatásos katasztrófavédelem szervei elhelyezéséül szolgáló épületekbe történő be- és kilépés, a benntartózkodás és a biztonságos zárás rendjét a Csongrád MKI Igazgatójának 29/2012. sz. intézkedése tartalmazza. 20. Az ügyintézők az adatok kezelésekor kötelesek betartani az adatvédelemre vonatkozó jogszabályi előírásokat, belső normákat. 21. Különös figyelmet kell fordítani arra, hogy az ügyfelek a monitorok képernyőin, kinyomtatott iraton megjelent adatokhoz – az érintettet kivéve – ne férjenek hozzá, illetéktelenek által megismerésre, törlésre, módosításra ne legyen lehetőség, ennek érdekében ügyfél fogadása során az ügyintézői jelenlétet folyamatosan biztosítani kell, a technikai eszközök, egyéb adathordozók elhelyezése, a monitorok beállítása oly módon történhet, hogy az adatok az ügyfél részéről ne legyenek olvashatók, felismerhetők, rögzíthetők, a számítástechnikai adathordozók ügyintéző távolléte esetén jelszó nélkül ne legyen használható, a papíralapú adathordozók fizikai hozzáférését ki kell zárni. 22. Az adatszolgáltatás során a vonatkozó jogszabályi előírásoknak megfelelően a nyilvántartásokat folyamatosan, naprakészen kell vezetni. 23. Az adatkezelő az adatállományban szereplő adatokat más, általa kezelt nyilvántartáshoz törvényi felhatalmazás nélkül nem használhatja fel. A nyilvántartás más nyilvántartásokkal, ha törvény az adatkezelés céljának és az adatok körének pontos meghatározásával másképp nem rendelkezik - nem kapcsolható össze. 24. A személyes adatokat tartalmazó nyilvántartások kivételével az adatkezelési rendelkezések betartásának ellenőrzésére jogosult személyek körét BM OKF Adatvédelmi és Adatbiztonsági Szabályzata XXX. fejezet 303. pontja határozza meg.
6
IV. fejezet Az érintettek jogainak érvényesítése, tiltakozási jog gyakorlása és azokkal összefüggő feladatok 25.
26.
27.
28.
29.
30.
31.
32. 33.
34.
35.
A Csongrád MKI hivatásos katasztrófavédelmi szervei tekintetében - BM OKF Adatvédelmi és Adatbiztonsági Szabályzata VIII. fejezet 109. pontjában meghatározott – adatkezelő szerv vezetője biztosítja, hogy érintett adatalany az adatkezelő szerv által kezelt adatokhoz hozzáférjen. Az érintett a Csongrád MKI hivatásos katasztrófavédelmi szerveitől tájékoztatást kérhet személyes adatainak kezeléséről, és kérheti személyes adatainak helyesbítését, továbbá – a jogszabályban elrendelt adatkezelések kivételével – azok törlését vagy zárolását, valamint – ha arra törvény felhatalmazza – tiltakozhat személyes adatainak kezelése ellen. A tájékoztatás ingyenes, ha a tájékoztatást kérő az adott naptári évben azonos adatkezelésre vonatkozó tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítés megállapítható meg, amelynek fedeznie kell a tájékoztatással kapcsolatban felmerült közvetlen költségeket. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy ha a tájékoztatás kérése a személyes adat helyesbítését eredményezte. Amennyiben törvény alapján az érintett tájékoztatása nem tagadható meg, a tájékoztatás kiterjed a kezelt adatok megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az elutasított kérelmekről a Csongrád MKI hivatásos katasztrófavédelmi szervek adatvédelmi felelősei - az Infotv. 30.§ (3) bekezdésben meghatározott adattartalmú, e Szabályzat 1. számú melléklete szerinti - nyilvántartást vezetnek. Az érintett kérelmének megtagadása esetén a tájékoztatás kiterjed a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) fordulás lehetőségére. Az elutasított kérelmekről az adatkezelő a Hatóságot - a határidős jelentések szabályozásáról szóló mindenkor hatályos BM OKF Főigazgatói intézkedésben meghatározott módon - évente a tárgyévet követő év január 31-ig értesíti (Infotv.16.§ (3) bekezdés). A valóságnak nem megfelelő adatot a Csongrád MKI hivatásos katasztrófavédelmi szervei – amennyiben a szükséges adatok rendelkezésre állnak – kötelesek helyesbíteni. A kezelt adatot törölni kell, ha: a) az adat kezelése jogellenes; b) az érintett azt – törvényben előírt kötelező adatkezelést kivéve – kéri; c) az adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki; d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; e) azt a bíróság vagy a Hatóság elrendelte. Az adat helyesbítéséről vagy törléséről az érintetten kívül mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti. Az érintett tiltakozhat személyes adatának kezelése ellen, ha a) a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén,
7
b) c) 36.
37. 38.
a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, valamint törvényben meghatározott egyéb esetben.
Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést (további adatfelvételt, adattovábbítást) megszüntetni és az adatokat zárolni, valamint a tiltakozásról, és az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította. Az érintettek kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Ha az érintett nem ért egyet a tiltakozásának elbírálása eredményeként hozott adatkezelői döntéssel, a döntés ellen a közléstől számított harminc napon belül – az Infotv. 22. §-ában foglalt módon – bírósághoz fordulhat. V. fejezet A Csongrád MKI és alárendelt szervei adatvédelmi intézményrendszere
39.
A Szabályzat alkalmazása során az Infotv-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának VIII - X és XII. fejezetében meghatározottakon túl az adatvédelmi előírások alkalmazása szempontjából BM OKF Adatvédelmi és Adatbiztonsági Szabályzat 109. pontja nevesíti a területi, illetve a helyi adatkezelő szerv vezetőjét. Az adatkezelő szerv vezetőjének felelősségi körét a 110. pont határozza meg, feladat- és hatáskörét a 111. pont tartalmazza.
A Csongrád MKI hivatásos katasztrófavédelmi szervek adatvédelmi felelősei eljárnak a részükre átruházott – munkaköri leírásában rögzített - adatvédelemmel összefüggő feladatkörökben, az adatkezelő szerv vezetője ugyanakkor továbbra is felelős az adatkezelés érdekében hatáskörébe tartozó intézkedések megtételéért. 41. A Csongrád MKI adatvédelmi felelőse felel az adatvédelemmel kapcsolatos jogszabályi rendelkezések betartásáért. 42. A Csongrád MKI adatvédelmi felelőse: a) segíti az Igazgatót és a helyi szervek adatvédelmi felelőseit a katasztrófavédelmi adatkezelésre vonatkozó jogszabályok és belső normák érvényre juttatásában, figyelemmel kíséri az adatvédelemmel összefüggő jogszabály-változásokat, előkészíti az Igazgató adatvédelmi tárgyú döntéseit; b) kivizsgálja a Csongrád MKI adatkezelésével összefüggésben érkező panaszokat, kifogásokat, közreműködők, illetve segítséget nyújt az érintettek jogainak gyakorlásában; c) az Igazgató megbízásából ellenőrzi az adatkezelő szervnél, illetve a helyi szerveknél az adatvédelmi követelmények megtartását, az előírások megszegésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására és a hiányosságokat a szolgálati út betartásával - amennyiben emiatt a szolgálati érdek sérelmet szenvedne, közvetlenül - jelzi a szerv vezetőjének, és indokolt esetben a szerv vezetőjénél kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását; d) gondoskodik az igazgatóság személyi állományának oktatásáról és vizsgáztatásáról; e) vezeti a Csongrád MKI belső adatvédelmi nyilvántartását, gondoskodik annak aktualizálásáról és a Katasztrófavédelem adatvédelmi nyilvántartásába történő bejelentésekről /területi és helyi szinten/; f) állásfoglalás kialakításával, véleményezéssel segíti a helyi szervek adatvédelmi felelőseinek munkáját, illetve jogosult azok tevékenységének ellenőrzésére; g) felügyeli a Csongrád MKI adatszolgáltatási tevékenységét, különös tekintettel a nemzetközi együttműködés keretében továbbítandó személyes adatokra, felkérésre 40.
8
adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségével kapcsolatban; h) irányítja és ellenőrzi a helyi szervek adatvédelmi felelőseinek adatvédelmi tevékenységét; i) feladatának ellátása során szükség szerint együttműködik az Informatikai Osztállyal, az igazgatóság adatvédelmi és adatbiztonsági helyzetét jelentésben évente február 28-ig értékeli, majd az igazgatóság adatvédelmi és adatbiztonsági helyzetét értékelő jelentést és a helyi szervek adatvédelmi felelősei által megküldött jelentéseket összesíti, és e jelentéseket összefoglalva évente március 31-ig értékeli a Csongrád MKI adatvédelmi és adatbiztonsági helyzetét, szükség szerint intézkedés megtételét kezdeményezi az Igazgatónál. Felelős továbbá e jelentés felterjesztéséért, melyet - a határidős jelentések szabályozásáról szóló mindenkor hatályos BM OKF Főigazgatói intézkedésben meghatározott módon –minden év április 15-ig kell felterjeszteni a BM OKF Főigazgatója részére, a közérdekűadat-megismerési kérelmekről a havonta aktuális jogtanácsosi jelentés részeként tájékoztatást ad, továbbá az adatvédelem és információszabadság kapcsán keletkező peres ügyekről a tudomásszerzést követően haladéktalanul információt szolgáltat. 43. A helyi szerv belső adatvédelmi felelősét a helyi szerv vezetője jelöli ki. 44. A helyi szerv adatvédelmi felelősének feladata: a) segíti a helyi szerv vezetőjét az adatkezelésre vonatkozó jogszabályok és belső normák érvényre juttatásában, figyelemmel kíséri az adatvédelemmel összefüggő jogszabályváltozásokat, előkészíti az adatkezelő szerv vezetőjének adatvédelmi tárgyú döntéseit; b) kivizsgálja a helyi szerv adatkezelésével összefüggésben érkező panaszokat, kifogásokat, közreműködik, illetve segítséget nyújt az érintettek jogainak gyakorlásában; c) a helyi szerv vezetőjének megbízásából helyi szinten ellenőrzi az adatvédelmi követelmények megtartását, az előírások megszegésének észlelése esetén felhívja a helyi szerv vezetőjének figyelmét a jogszerű állapot haladéktalan helyreállítására és a hiányosságokat a szolgálati út betartásával - amennyiben emiatt a szolgálati érdek sérelmet szenvedne, közvetlenül - jelzi helyi szerv vezetőjének, s indokolt esetben a helyi szerv vezetőjénél kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását; d) helyi szinten gondoskodik személyi állomány oktatásáról; e) közreműködik az adatvédelmi jogszabályok és magasabb szintű belső normák tervezeteinek véleményezésében, jelzi a jogalkalmazás során tudomására jutott, esetleges normamódosítást igénylő problémákat; f) vezeti a helyi szerv belső adatvédelmi nyilvántartását, gondoskodik annak aktualizálásáról és amennyiben szükséges a Csongrád MKI felé kérelem kitöltése útján jelzi, hogy adatvédelmi nyilvántartást kíván bejelenteni; g) feladatának ellátása során szükség szerint együttműködik az igazgatóság Csongrád MKI Informatikai Osztályával, évente február 28-ig értékeli a helyi szerv adatvédelmi és adatbiztonsági helyzetét, és azt – 5 munkanapon belül – a szolgálati út betartásával a Csongrád MKI adatvédelmi felelősének felterjeszti. 45. A Szabályzat 41. pont h) alpontjában meghatározott éves adatvédelmi jelentés különös tartalmi elemeit a BM OKF Adatvédelmi és Adatbiztonsági Szabályzat 119. pontja határozza meg. 46. Az adatvédelemmel kapcsolatos jogszabályi rendelkezések és belső szabályozók betartását az adatkezelést végző szervezeti egységek vezetői kötelesek folyamatosan ellenőrizni.
9
VI. fejezet Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés 47.
48.
49.
50.
51.
52.
Törvényi felhatalmazás hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott – különleges adat esetén írásbeli – hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére. Az érintett kérelmére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. A hozzájárulást – a későbbi igazolhatósága érdekében – különleges adatnak nem minősülő személyes adatok esetén is célszerű írásban rögzíteni. A Csongrád MKI hivatásos katasztrófavédelmi szervei és az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú (adatállomány kialakítására irányuló) adatkezelést végeznek. Az ügyvitelhez kapcsolódó adatkezelés az ügy nyilvántartásához (iktatásához), feldolgozásához kapcsolódik. Alapvető célja az adott ügyhöz tartozó vizsgálat, eljárás lefolytatásához, az adatkezelés szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek, kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges. A nyilvántartási célú adatkezelés az Infotv. 65. §-ában, továbbá más jogszabályokban előre meghatározott adatkörök alapján gyűjtött adatfajtákból álló adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, lekérdezhetőségét. A BM OKF Adatvédelmi és Adatbiztonsági Szabályzata XIII. fejezet 127. pontja meghatározza a nyilvántartási célú adatállomány kialakításának elrendelésére jogosult személyek körét. A nyilvántartási célú adatállomány kialakítását megelőzően kellő időt kell biztosítani az adatvédelmi felelős véleménynyilvánítására, akinek véleménye kiterjedhet a kezelendő nyilvántartási célú adatállomány – a BM OKF Adatvédelmi és Adatbiztonsági Szabályzata XXV. fejezet 225. pontja szerint meghatározott –biztonsági fokozatának megjelölésére tett javaslatra is. Az adatkezelő a biztonsági fokozat megjelölését a nyilvántartáson feltünteti. VII. Fejezet Belső adatvédelmi nyilvántartás
53. 54. 55.
56.
A Szabályzat alkalmazása során az Infotv.-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának XIV. fejezetében meghatározottakon túl meg kell tenni: Az adatkezelés megkezdése előtt a Csongrád MKI adatvédelmi felelőse és a helyi szervek adatvédelmi felelősei a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának 2. mellékletében meghatározott tartalmú „Kérelem” kitöltésével dokumentálják a nyilvántartási célú adatállomány létrehozatalát. A területi és helyi adatállományok adatlapját a BM OKF belső adatvédelmi felelősének – a szolgálati út betartásával – az Igazgató küldi meg.
10
VIII. Fejezet Adattovábbítás a katasztrófavédelmi adatkezelésekből, adattovábbítási nyilvántartás 57. 58.
59.
A Szabályzat alkalmazása során az Infotv-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának XIX. – XXIV. fejezetében meghatározottakon túl: Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt adattovábbítás esetét kivéve az adatkezelő szerv vezetőjének, vagy az általa kijelölt vezetőnek hatáskörébe tartozik. Az adatigénylés abban az esetben teljesítheti, ha az tartalmazza: a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését); b) a kért adatok körének pontos meghatározását; A Csongrád MKI hivatásos katasztrófavédelmi szervei által kezelt személyes adatok továbbításáról – illetve a Hatóság tájékoztatása érdekében, értelemszerű változtatásokkal az elutasított kérelmekről – szervezeti egységenként az Infotv. 15.§ (2) bekezdésben meghatározott adattartalommal, e Szabályzat 2. számú melléklete szerinti adattovábbítási nyilvántartást kell vezetni. A Hatóság tájékoztatása a Szabályzat 29. pontja szerint történik. IX. Fejezet A Csongrád MKI és helyi szervei személyi állományának és a pályázók személyes adatainak kezelése
60.
61.
62.
63.
64.
65.
A Csongrád MKI hivatásos katasztrófavédelmi szervei személyügyi nyilvántartásának kezelésére és vezetésére a BM OKF Főigazgató 66/2012. sz. intézkedésének melléklete, a Katasztrófavédelem Humán Szabályzatának rendelkezései az irányadóak. A személyügyi nyilvántartási adatkezelést – figyelemmel az Infotv. 65. §-a (3) bekezdésének a) pontjára– nem kell bejelenteni az adatvédelmi nyilvántartásba. A Csongrád MKI által kiírt pályázatokra beküldött jelentkezésekhez mellékelni kell a pályázóknak a személyes adatok kezeléséhez a pályázati anyaggal együtt megadott személyes hozzájárulását. A pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak – kérésére – 90 napon belül vissza kell küldeni, vagy a pályázónak a személyes adatai további pályázatok során történő felhasználására vonatkozó hozzájárulása hiányában meg kell semmisíteni. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni. A Csongrád MKI bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban lévő személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes adatokat törölni kell. A Csongrád MKI a személyi állományra vonatkozó adatok közül – az érintett hozzájárulása nélkül – közérdekből adhat tájékoztatást nevéről, beosztásáról, munkaköréről, valamint – ha azt törvény nem zárja ki – egyéb, a közfeladata ellátásával összefüggő adatairól. A tájékoztatásadásról, annak tartalmáról az érintettet értesíteni kell. A Csongrád MKI Humán Szolgálat Vezetője biztosítja, hogy az érintett a róla kezelt adatokat megismerhesse, a kezelt adatokat tartalmazó iratokról – kérelmére – másolatot vagy kivonatot kaphasson. A személyi állomány tagja: a) kérheti adatai helyesbítését, illetve kijavítását, amelyet megalapozott kérelem esetén a szervezeti egység köteles teljesíteni; b) kérheti azon adatainak törlését, amelyek kezelésére a szervezeti egység nem rendelkezik törvényi felhatalmazással, vagy amely adat kezelése az érintett hozzájárulásán alapult; 11
c)
jogosult megismerni, hogy a nyilvántartásokban kezelt adatait kinek, milyen célból és milyen adatkört érintően továbbították, ennek érdekében a Humán Szolgálatvezető köteles adattovábbítási nyilvántartást vezetni;
66.
A Betekintési lap alkalmazásának szabályai: a) a személyes adatokat tartalmazó iratokba az arra jogosult személy e Szabályzat 3.számú melléklet szerinti „Betekintési lap” kitöltésével tekinthet be; b) a Betekintési lapon meg kell jelölni a betekintést kérőt (szerv, személy), a betekintés időpontját, annak jogcímét, célját, a megismerni kívánt adatok körét, a betekintő aláírását; c) Humán Szolgálat Vezetője a Betekintési lapot a személyügyi dosszié részeként kezeli.
67.
A Csongrád MKI állománya tekintetében a vagyonnyilatkozat-tételre köteles közszolgálatban álló személyek vagyonnyilatkozattal kapcsolatos összes iratát az egyéb iratoktól elkülönítetten és együttesen kell tárolni a Csongrád MKI Humán Szolgálatánál külön erre a célra rendszeresített biztonsági tárolóban. A biztonsági tároló kulcsait a Humán Szolgálat vezetője vagy az általa kijelölt személy őrzi. A biztonsági tárolóból iratot kivenni, illetve oda behelyezni csak a Humán Szolgálat vezetőjének engedélyével lehet. A vagyonnyilatkozatokkal kapcsolatos adatokat fokozott biztonsági fokozatba kell sorolni és a védelem szempontjából az ennek megfelelő – a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának 210. pontja szerinti – intézkedéseket kell alkalmazni. X. fejezet A közérdekű adatok egyedi igénylésének és teljesítésének szabályai
68.
69.
70.
71.
72.
A Csongrád MKI hivatásos katasztrófavédelmi szerveitől a közzétételi listákon nem szereplő közérdekű, vagy közérdekből nyilvános adatot (a továbbiakban: közérdekű adat) bárki igényelhet szóban, írásban vagy elektronikus formában egyaránt. Ha az adatigénylés nem egyértelmű, az adatkezelő szerv felhívja az igénylőt az igénylés pontosítására. Szóbeli, egyedi, azonnal nem teljesíthető adatigénylés esetén az ügyintézőnek írásba kell foglalnia a kérelmet. A közérdekű adat megismerésére irányuló igénynek az adatkezelő szerv az igény tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül tesz eleget. Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, e határidő egy alkalommal 15 nappal meghosszabbítható. Erről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. A közérdekű adat megismerésére irányuló igényt soron kívül be kell mutatni az adatot kezelő szerv vezetőjének, aki köteles gondoskodni a megkeresés határidőben történő megválaszolásáról. Az adatkezelő szerv vezetője az érintett szervezeti egység vezetőjének a kérelmet véleményezésre küldi, aki a lehető legrövidebb időn belül, de legfeljebb 5 napon belül köteles véleményét megadni, illetve az igénylő számára adandó válasz tervezetét elkészíteni. Az adatigénylésnek közérthető és – amennyiben ezt az adatot kezelő közfeladatot ellátó szerv aránytalan nehézség nélkül teljesíteni képes – az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. Ha a kért adatot korábban már elektronikus formában nyilvánosságra hozták, az igény teljesíthető az adatot tartalmazó nyilvános forrás megjelölésével is. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni. 12
73.
74.
75.
76.
Amennyiben az igényelt adat kezelője nem a megkeresett szerv, úgy azt haladéktalanul köteles továbbítani a közérdekű adatot kezelő szervnek. Az igény áttételéről egyidejűleg tájékoztatni kell az igénylőt. A közérdekű adat megismerésére irányuló igény teljesítésének megtagadásáról, annak indokaival, valamint az igénylőt az Infotv. alapján megillető jogorvoslati lehetőségekről való tájékoztatással együtt, 8 napon belül írásban vagy – ha az igényben elektronikus levelezési címét közölte – elektronikus levélben értesíteni kell. Az elutasított közérdekű adat megismerési kérelmekről, valamint az elutasítások indokairól az adatkezelő e Szabályzat 1. számú melléklete szerinti nyilvántartást vezet, és az abban foglaltakról a Csongrád MKI adatvédelmi felelőse a Szabályzat 29. pontjában rögzített eljárási rendben minden év január 31-éig tájékoztatja a Hatóságot. A kérelem elbírálásával érintett helyi adatkezelő szerv köteles havonta, tárgyhót követő 5. napjáig a Csongrád MKI adatvédelmi felelősét tájékoztatni az elutasított közérdekű adat megismerési kérelmekről. A Csongrád MKI adatvédelmi felelőse köteles a megküldött adatokat rendszerezni, és a havi a jogi tevékenységről szóló jelentés részeként tájékoztatást adni a BM OKF Jogi Főosztály felé. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről, annak tárolási módjától függetlenül az igénylő másolatot kaphat. Az adatkezelő szerv a másolat készítéséért – az azzal kapcsolatban felmerült költség mértékéig terjedően – költségtérítést állapíthat meg, amelynek összegéről az igénylőt az igény teljesítését megelőzően tájékoztatni kell. Ha az a dokumentum vagy dokumentumrész, amelyről az igénylő másolatot igényelt, jelentős terjedelmű, a másolat iránti igényt a költségtérítésnek az igénylő általi megfizetését követő 15 napon belül kell teljesíteni. Arról, hogy a másolatként igényelt dokumentum vagy dokumentumrész jelentős terjedelmű, továbbá a költségtérítés mértékéről, valamint az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségeiről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. A közérdekű adatok korlátozására, a „nem nyilvános” adatok kezelésére, az adatigénylő személyes adatainak kezelésére vonatkozó rendelkezéseket az Infotv. 27.§-a, valamint 28.§ (2) bekezdése, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzat XXVIII. fejezet 270 -282., és 294 – 295. pontjai tartalmazzák.
X/1. A közérdekű adatok közzététele 77.
78.
79.
Az általános közzétételi listán megjelölt adatok összegyűjtése, honlapon történő nyilvánosságra hozatalért felelős személy részére történő továbbítása, illetve az adatok folyamatos karbantartása az alábbi személyek feladat-és hatáskörébe tartozik (együttesen a továbbiakban: adatfelelős): a) az általános közzétételi listában megjelölt „Szervezeti, személyzeti adatok” esetében a Csongrád MKI Humán Szolgálat vezetője; b) az általános közzétételi listában megjelölt „Tevékenységre, működésre vonatkozó adatok” esetében a Csongrád MKI hivatásos katasztrófavédelmi szervei egyes szakterületileg érintett szervezeti egységek vezetői; c) az általános közzétételi listában megjelölt „Gazdálkodási adatok” esetében a Csongrád MKI Gazdasági igazgató-helyettese. Amennyiben az általános közzétételi lista érintett fejezetében olyan adatok is szerepelnek, amelyekkel a 73. pontban megjelölt adatfelelős nem rendelkezik, úgy megkeresésére – 5 napon belül – az adatokkal rendelkező szervezeti egység köteles rendelkezésére bocsátani a szükséges adatokat. Az adatfelelősök gondoskodnak a közreműködésükkel közzétett közérdekű adatok naprakészségének figyelemmel kíséréséről és szükség esetén, a közzétételi listán adott
13
80.
81.
adatfajtára meghatározott időközönkénti – azonnali adatfrissítést előíró rendelkezés esetén a változást követő munkanapon – aktualizálásáról. Külön jogszabály előírhatja a közzétételi listákon nem szereplő adatok nyilvánosságra hozatalát. Ezen közérdekű, vagy közérdekből nyilvános adatok esetében jelen Szabályzat rendelkezéseit megfelelően alkalmazni kell. Az adatfelelősök a Csongrád MKI Informatikai Osztály vezetője részére továbbítják a honlap aktuális tartalmának feltöltése érdekében az összegyűjtött adatokat, aki – soron kívül – gondoskodik a továbbított közérdekű adatok honlapon történő nyilvánosságra hozataláról.
X/2. Közérdekű bejelentő adatainak védelme 82.
Az európai uniós csatlakozással összefüggő egyes törvénymódosításokról, törvényi rendelkezések hatályon kívül helyezéséről, valamint egyes törvényi rendelkezések megállapításáról szóló 2004. évi XXIX. törvény 143. § (3)-(4) bekezdésében előírtakat kell alkalmazni; és a közérdekű bejelentések, javaslatok és panaszok egységes intézéséről szóló 39/1999. (BK 24.) BM utasítás 10/A. pontját, a közérdekű bejelentést tevő, illetve panaszos személyes adatainak átadására, továbbítására, valamint nyilvánosságra hozatalára. A bejelentés elbírálása érdekében végzett irat- és adatbeszerzés, illetve személyes konzultáció során a bejelentői (panaszosi) minőségre vonatkozó vagy azzal egyébként kapcsolatba hozható személyes adatok a bejelentéssel (panasszal) érintett hatóság, vagy más szerv részére akkor továbbíthatók, ha e szerv annak kezelésére törvény alapján jogosult, vagy ha ahhoz a bejelentő (panaszos) egyértelműen hozzájárult. A bejelentő adatai egyértelmű hozzájárulása nélkül nem hozhatók nyilvánosságra.
XI. Mellékletek
14
Csongrád MKI Adatvédelmi és adatbiztonsági szabályzatának 1. sz. melléklete
Nyilvántartás a közérdekű adat megismerése tárgyában benyújtott elutasított kérelmekről, valamint az elutasítások indokairól (2011.éviCXII. törvény. 30.§ (3) bekezdés alapján)
s.sz.
A kérelem beérkezésének időpontja:
Igénylő adatai:
Az elutasított kérelem:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
15
Az elutasítás indokai:
Csongrád MKI Adatvédelmi és adatbiztonsági szabályzatának 2. sz. melléklete
Adattovábbítási nyilvántartás (2011.éviCXII.törvény 15.§ (2) bekezdés alapján) s.sz.
Érintett:
Személyes adat továbbításának időpontja:
Adattovábbítás jogalapja:
Adattovábbítás címzettje:
1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
16
A továbbított személyes adatok körének meghatározása:
Az adatkezelést előíró jogszabályban meghatározott egyéb adatok:
Csongrád MKI Adatvédelmi és adatbiztonsági szabályzatának 3. sz. melléklete
Betekintési lap
A betekintést kérő szerv /személy neve: A betekintést kérő szerv személy címe/ székhelye: Betekintés időpontja:
Betekintés jogcíme:
Betekintés célja:
Megismerni kívánt adatok köre (kire, és milyen adatokra vonatkozik)
Kelt:............................................... …......................................................... betekintő aláírása
Az adatkezelő szerv megállapításai: …................................................................................................................................................... ....................................................................................................................................................... …................................................................................................................................................... .......................................................................................................................................................
Kelt:............................................... …......................................................... adatkezelő aláírása
17
