📄 Jogszabály szövege
3/2014. (III. 13.) NIH utasítása a belső adatvédelmi és adatbiztonsági szabályzatról.
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. § (3) bekezdésében foglalt
kötelezettség teljesítése érdekében, a jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában foglaltak,
valamint a Nemzeti Innovációs Hivatalról szóló 303/2010. (XII. 23.) Korm. rendelet 1. § (1) bekezdése és a 3. § (1) bekezdése alapján
a következő utasítást adom ki:
1. Értelmező rendelkezések 1. E Szabályzat alkalmazásában – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi
CXII. törvényben (a továbbiakban: Infotv.) meghatározottakon túl –:
a) adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az adatalany információs
önrendelkezési jogának érvényesítése érdekében;
b) információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való
jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;
c) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása,
megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége,
az adatkezelésnek az az állapota, amelyben a kockázati tényezőket – és ezzel a fenyegetettséget – a szervezési,
műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik;
d) adatgazda: a Nemzeti Innovációs Hivatal vezetője, és aki az adott adatkezelésre vonatkozó döntési
jogosultsággal rendelkezik;
e) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, személyes
vagy különleges adatot tartalmazó anyag;
f ) hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének
biztosítása, vagy amely biztonsági adatmentésre, másolatok készítésére szolgál, valamint amely elektronikus
vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja.
2. Az adatvédelem alapelvei 2. A Nemzeti Innovációs Hivatal (a továbbiakban: Hivatal) kormánytisztviselői vagy kormányzati ügykezelői
(a továbbiakban együtt: kormánytisztviselő) a feladataik ellátása körében személyes és különleges adatot csak
a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.
3. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján
korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében a Hivatal kormánytisztviselője
személyes adatot csak a törvényben előírt esetekben, illetve akkor kezelhet, ha a törvény felhatalmazása alapján
a Hivatal elnöke azt elrendeli, vagy ahhoz az adatalany kifejezetten – különleges adat esetén írásban – hozzájárult.
4. A Hivatal adatkezelést végző kormánytisztviselője fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel
tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért,
a Hivatal nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.
5. Személyes adat kezelésére csak a Hivatal jogszabályban meghatározott feladat- és hatáskörének gyakorlásához
szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség.
6. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat
meg adatkezelés. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.
7. A Hivatal által kezelt – vagy a Hivatal feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes
adatok magáncélra való felhasználása tilos.
8. Ha a Hivatal kormánytisztviselője tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos
vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az adat rögzítéséért felelős kormánytisztviselőnél
kezdeményezni.
9. A Szabályzatban előírtak betartásáért a feladatkörében minden érintett szervezeti egység vezetője felelős.
10. Valamennyi kormánytisztviselőnek gondoskodnia kell arról, hogy munkája során jogosulatlan személyek ne
tekinthessenek be személyes adatokba, továbbá arról, hogy a személyes adat tárolása, elhelyezése úgy kerüljön
kialakításra, hogy jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható,
megsemmisíthető.
11. A kormánytisztviselő csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés vagy adatfeldolgozás folyik, hogy
a rábízott adathordozókat elzárja, vagy a helyiséget bezárja. A munkavégzés befejeztével az adathordozókat minden
esetben el kell zárni.
12. A Hivatal elnöke a szervezeti sajátosságok figyelembevételével határozza meg az adatvédelem szervezetét,
az adatvédelemre és az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket és kijelöli az adatkezelés
felügyeletét ellátó belső adatvédelmi felelőst.
13. A Hivatal elnöke az adatvédelemmel kapcsolatos feladatai körében:
a) felelős a Hivatal által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek
biztosítását célzó intézkedések megtételéért;
b) felelős az adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő
körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért,
illetve lefolytatásáért;
c) felelős az érintettek Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért;
d) megbízza a Hivatal belső adatvédelmi felelősét és felügyeli tevékenységét;
e) adatvédelemmel kapcsolatos vizsgálatot rendelhet el;
f ) kiadja a Hivatal adatvédelemmel kapcsolatos szabályzatait.
14. A belső adatvédelmi felelős
a) vezeti a belső adatvédelmi nyilvántartást, amelynek alapján kezdeményezi a Nemzeti Adatvédelmi és
Információszabadság Hatóság (a továbbiakban: Hatóság) felé az Infotv.-ben meghatározott nyilvántartásba
vételi eljárás lefolytatását;
b) a jogi feladatokért felelős szervezeti egység bevonásával előkészíti a belső adatvédelmi és adatbiztonsági
szabályzat tervezetét, indokolt esetben kezdeményezi módosítását;
c) nyilvántartást vezet a Hivatalhoz érkező, adatvédelmi tartalmú és a közérdekű adatok igényléséhez kapcsolódó
megkeresésekről, az adattovábbításokról és az ezekre irányuló igények elutasításáról;
d) részt vesz a belső adatvédelmi felelősöknek a Hatóság által szervezett konferenciáján;
e) a Hatóság részére minden év január 31-éig az elnök kiadmányozásával tájékoztatást küld a megelőző
évben elutasított személyes adatokra vonatkozó tájékoztatásra irányuló kérelmekről és közérdekű adatok
megismerésére irányuló igényekről;
f ) figyelemmel kíséri az adatvédelemmel és információszabadsággal kapcsolatos jogszabályváltozásokat;
g) közreműködik a Hatóságtól a Hivatalhoz érkezett megkeresések megválaszolásában és a Hatóság által
kezdeményezett vizsgálat és adatvédelmi hatósági eljárás során;
h) amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg
– a jogi feladatokért felelős szervezeti egység vezetőjével folytatott egyeztetést követően –, általános
állásfoglalás megadása céljából megkeresést fogalmaz meg a Hatóság elnökéhez.
15. Az informatikai adatbiztonsági előírások részletes meghatározását külön szabályzat, míg a hatósági iratok adatkezelési
szabályait az Iratkezelési Szabályzat tartalmazza.
3. Az érintett jogainak érvényesítése, a tiltakozási jog gyakorlása és az azokkal összefüggő feladatok
16. A személyes adatot kezelő szervezeti egység vezetője biztosítja, hogy az érintett a Hivatal által kezelt személyes
adataihoz hozzáférjen. Amennyiben a megkeresés nem az adatkezelő szervezeti egységhez érkezett, azt haladéktalanul
továbbítani kell az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egységnek.
17. Az adatot kezelő szervezeti egység vezetője köteles az érintett személyes adatának kezelésével összefüggő kérelemre
a kérelem Hivatalba történő beérkezésétől számított 30 – tiltakozási jog gyakorlása esetén 15 – napon belül írásban,
közérthető formában választ adni.
18. Az Infotv. 15. § (2) bekezdése szerinti nyilvántartás vezetéséért az adatot kezelő szervezeti egység vezetője felelős.
Az adattovábbítási nyilvántartásba a Hivatal elnöke, a jogi feladatokért felelős szervezeti egység vezetője és a belső
adatvédelmi felelős bármikor betekinthet, arról másolatot kérhet.
19. Az elutasított tájékoztatás iránti kérelmekről a Hivatal belső adatvédelmi felelőse nyilvántartást vezet, melyről
– a Hivatal elnökének kiadmányozásával – a tárgyévet követő január 31-éig írásban tájékoztatja a Hatóság elnökét.
20. Az adatot kezelő szervezeti egység vezetője köteles gondoskodni a valóságnak nem megfelelő adat helyesbítéséről,
felelős továbbá az adatkezelés megszüntetéséért, az adatok zárolásáért és az érintettek értesítéséért.
21. Ha az érintett jogainak gyakorlása során az ügy megítélése nem egyértelmű, az adatot kezelő szervezeti egység
vezetője az ügy iratainak és az ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet a belső
adatvédelmi felelőstől, aki azt 5 munkanapon belül teljesíti.
4. Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés
22. Törvényi felhatalmazás hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatásán alapuló,
önkéntes és határozott hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a megfelelő személyes
adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet
kifejezetten figyelmeztetni kell a beleegyezés önkéntességére. A hozzájárulást különleges adat esetén mindig írásban
kell megadni. A későbbi igazolhatóság érdekében különleges adatnak nem minősülő személyes adatok esetén is
törekedni kell a hozzájárulás írásban történő rögzítésére.
23. A Hivatal az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú adatkezeléseket végez.
24. Az ügyvitelhez kapcsolódó adatkezelés az ügy (bejelentés) nyilvántartásához (iktatásához), feldolgozásához
kapcsolódik. Alapvető célja az adott ügyhöz tartozó intézkedéshez, hatósági eljárás lefolytatásához, az adatkezelés
szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés
során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek, kezelésük ebből
a célból csak az alapul szolgáló irat selejtezéséig lehetséges.
25. A nyilvántartási célú adatkezelés a Hivatalra vonatkozó jogszabályokban előre meghatározott adatkörök alapján
gyűjtött személyes adatfajtákból álló strukturált adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva
az adatok különböző jellemzők alapján történő visszakereshetőségét, lekérdezhetőségét.
5. Belső adatvédelmi nyilvántartás 26. Amennyiben a Hivatal valamely szervezeti egysége olyan adatkezelést kíván végezni, amely az Infotv. 66. §-a alapján
bejelentési kötelezettség alá esik, a szervezeti egység vezetője az adatok felvétele és az adatkezelés megkezdése
előtt 15 nappal értesíti a belső adatvédelmi felelőst, aki azt a belső adatvédelmi nyilvántartásba bejegyzi és – az elnök
útján – gondoskodik a Hatóság felé történő nyilvántartásba vételi eljárás lefolytatásáról.
27. Nem kell bejelenteni az Infotv. 65. § (3) bekezdése alá tartozó adatkezeléseket.
28. A belső adatvédelmi nyilvántartásba bejelentett adatok változását vagy az adatkezelés megszűnését az adatkezelésért
felelős szervezeti egység vezetője 8 napon belül köteles bejelenteni a belső adatvédelmi felelősének, aki ennek
megfelelően módosítja a belső adatvédelmi nyilvántartás adatait, és ha szükséges – az elnök útján – kezdeményezi
a Hatóság adatvédelmi nyilvántartásában történő módosítást.
6. A személyes adatokat tartalmazó igazgatási és gazdasági ügyek adatkezelése
29. A Hivatal az igazgatási tevékenysége keretében az alábbi ügycsoportokban kezelhet személyes adatokat:
a) Sajtóügyek:
aa) a Hivatal által szervezett sajtótájékoztatók;
ab) egyéb sajtótájékoztatók, nyilvános események.
b) Nemzetközi ügyek:
ba) a Hivatal vezetőinek, munkatársának utazásai;
bb) a Hivatal vendégeinek programjai;
bc) egyéni célú utazások;
bd) nemzetközi konferenciák;
be) protokolláris levelezések;
bf ) európai és más nemzetközi pályázatok, projektek;
bg) útlevél- és vízumügyek.
c) Vegyes ügyek:
ca) tanfolyamok és szakmai konferenciák;
cb) vezetői, ügyintézői munkakör átadás;
cc) elfogultsági bejelentések;
cd) titoktartási kötelezettség alóli felmentés;
ce) szakértői ügyek;
cf ) ügyfélkezelési ügyek;
cg) üdülési ügyek;
ch) a Hivatal működésére vonatkozó panaszok és közérdekű bejelentések;
ci) a Hivatal által kötött szerződések;
cj) rendezvények szervezése.
30. A hatósági ügyek adataiba az érintett szervezeti egység kormánytisztviselői tekinthetnek be. Az érintett tájékoztatását
– kérelmére – az érintett szervezeti egység vezetője készíti elő és az elnök teljesíti.
31. A Hivatal gazdasági nyilvántartásai közül az alábbiakban kezelhetnek személyes adatokat:
a) egészségbiztosítási ellátások nyilvántartása, magán-nyugdíjpénztári nyilvántartás, fizetési jegyzékek,
járulék-nyilvántartások;
b) számfejtési anyagok, bérfeladások, bérátutalások, statisztikai jelentések;
c) személyi jövedelemadó nyilvántartások, társadalombiztosítási elszámolások, adó- és járulékbevallások,
kiküldetési rendelvények nyilvántartása, hivatali célra saját gépkocsihasználat nyilvántartása.
32. A 29. és 31. pontban írt ügyiratok adattartalmáról az érintettet a rendszeresen ismétlődő adatszolgáltatásokon kívül,
kérelmére teljes körűen tájékoztatni kell.
7. Adattovábbítás 33. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt
adattovábbítás esetét kivéve – az adatot kezelő szervezeti egység vezetőjének hatásköre. A szervezeti egység vezetője
kikérheti a belső adatvédelmi felelős állásfoglalását is.
34. Amennyiben az adattovábbításra vonatkozó igény nem egyértelmű, az adatot kezelő szervezeti egység vezetője
megkeresi az adatigénylőt a pontosítás érdekében.
35. A Hivatal – törvény eltérő rendelkezése hiányában – csak olyan személyes adatokat továbbíthat, melyeknek a Hivatal
az adatkezelője. Amennyiben más szerv az adatkezelő, az adatkérést – törvény eltérő rendelkezése hiányában – el kell
utasítani és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely szervtől igényelheti.
8. Záró rendelkezések 36. Ez az utasítás a közzétételét követő 8. napon lép hatályba.
37. Ezen utasítást a folyamatban lévő ügyekben is alkalmazni kell.
38. Hatályát veszti a Nemzeti Kutatási és Technológiai Hivatal adatvédelmi és adatbiztonsági szabályzatáról szóló 9/2009.
számú elnöki utasítás.
a Nemzeti Innovációs Hivatal
Szervezeti és Működési Szabályzatáról szóló
19/2012. (VII. 30.) NGM utasítás
1. melléklet 4.4. és 5.3.1. a) pontja alapján
elnöki jogkörben eljárva:
Korányi László s. k.,
kül- és belkapcsolati elnökhelyettes
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.