← Magyarország

3/2014. (III. 13.) NIH utasítása a belső adatvédelmi és adatbiztonsági szabályzatról.

Rövid összefoglaló

Ez az utasítás a Nemzeti Innovációs Hivatal belső adatvédelmi és adatbiztonsági szabályzatát rögzíti, meghatározva a személyes és különleges adatok kezelésének alapelveit és eljárásait. Célja az információs önrendelkezési jog érvényesítése és az adatok jogosulatlan kezelése elleni védelem biztosítása.

Amit szabályoz

Akiket érint

Főbb pontok

📄 Jogszabály szövege
3/2014. (III. 13.) NIH utasítása a belső adatvédelmi és adatbiztonsági szabályzatról. Az információs önrendelkezési jogról és az  információszabadságról szóló 2011. évi CXII. törvény 24. § (3) bekezdésében foglalt kötelezettség teljesítése érdekében, a  jogalkotásról szóló 2010. évi CXXX. törvény 23.  § (4)  bekezdés c)  pontjában foglaltak, valamint a Nemzeti Innovációs Hivatalról szóló 303/2010. (XII. 23.) Korm. rendelet 1. § (1) bekezdése és a 3. § (1) bekezdése alapján a következő utasítást adom ki: 1. Értelmező rendelkezések 1. E Szabályzat alkalmazásában – az  információs önrendelkezési jogról és az  információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.) meghatározottakon túl –: a) adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az adatalany információs önrendelkezési jogának érvényesítése érdekében; b) információs önrendelkezési jog: az  Alaptörvény VI.  cikkében biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról; c) adatbiztonság: a  személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége, az adatkezelésnek az az állapota, amelyben a kockázati tényezőket – és ezzel a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik; d) adatgazda: a  Nemzeti Innovációs Hivatal vezetője, és aki az  adott adatkezelésre vonatkozó döntési jogosultsággal rendelkezik; e) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, személyes vagy különleges adatot tartalmazó anyag; f ) hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, másolatok készítésére szolgál, valamint amely elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja. 2. Az adatvédelem alapelvei 2. A Nemzeti Innovációs Hivatal (a továbbiakban: Hivatal) kormánytisztviselői vagy kormányzati ügykezelői (a  továbbiakban együtt: kormánytisztviselő) a  feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek. 3. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az  információs önrendelkezési jog tiszteletben tartása érdekében a  Hivatal kormánytisztviselője személyes adatot csak a  törvényben előírt esetekben, illetve akkor kezelhet, ha a  törvény felhatalmazása alapján a Hivatal elnöke azt elrendeli, vagy ahhoz az adatalany kifejezetten – különleges adat esetén írásban – hozzájárult. 4. A Hivatal adatkezelést végző kormánytisztviselője fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a  feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, a Hivatal nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért. 5. Személyes adat kezelésére csak a  Hivatal jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. 6. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének. 7. A Hivatal által kezelt – vagy a Hivatal feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott – személyes adatok magáncélra való felhasználása tilos. 8. Ha a  Hivatal kormánytisztviselője tudomást szerez arról, hogy az  általa kezelt személyes adat hibás, hiányos vagy időszerűtlen, köteles azt helyesbíteni vagy helyesbítését az  adat rögzítéséért felelős kormánytisztviselőnél kezdeményezni. 9. A Szabályzatban előírtak betartásáért a feladatkörében minden érintett szervezeti egység vezetője felelős. 10. Valamennyi kormánytisztviselőnek gondoskodnia kell arról, hogy munkája során jogosulatlan személyek ne tekinthessenek be személyes adatokba, továbbá arról, hogy a  személyes adat tárolása, elhelyezése úgy kerüljön kialakításra, hogy jogosulatlan személy részére ne legyen hozzáférhető, megismerhető, megváltoztatható, megsemmisíthető. 11. A kormánytisztviselő csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés vagy adatfeldolgozás folyik, hogy a rábízott adathordozókat elzárja, vagy a helyiséget bezárja. A munkavégzés befejeztével az adathordozókat minden esetben el kell zárni. 12. A Hivatal elnöke a  szervezeti sajátosságok figyelembevételével határozza meg az  adatvédelem szervezetét, az adatvédelemre és az azzal összefüggő tevékenységre vonatkozó feladat- és hatásköröket és kijelöli az adatkezelés felügyeletét ellátó belső adatvédelmi felelőst. 13. A Hivatal elnöke az adatvédelemmel kapcsolatos feladatai körében: a) felelős a Hivatal által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó intézkedések megtételéért; b) felelős az  adatkezelésre irányuló ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért; c) felelős az érintettek Infotv.-ben meghatározott jogainak gyakorlásához szükséges feltételek biztosításáért; d) megbízza a Hivatal belső adatvédelmi felelősét és felügyeli tevékenységét; e) adatvédelemmel kapcsolatos vizsgálatot rendelhet el; f ) kiadja a Hivatal adatvédelemmel kapcsolatos szabályzatait. 14. A belső adatvédelmi felelős a) vezeti a  belső adatvédelmi nyilvántartást, amelynek alapján kezdeményezi a  Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) felé az  Infotv.-ben meghatározott nyilvántartásba vételi eljárás lefolytatását; b) a jogi feladatokért felelős szervezeti egység bevonásával előkészíti a  belső adatvédelmi és adatbiztonsági szabályzat tervezetét, indokolt esetben kezdeményezi módosítását; c) nyilvántartást vezet a Hivatalhoz érkező, adatvédelmi tartalmú és a közérdekű adatok igényléséhez kapcsolódó megkeresésekről, az adattovábbításokról és az ezekre irányuló igények elutasításáról; d) részt vesz a belső adatvédelmi felelősöknek a Hatóság által szervezett konferenciáján; e) a Hatóság részére minden év január 31-éig az  elnök kiadmányozásával tájékoztatást küld a  megelőző évben elutasított személyes adatokra vonatkozó tájékoztatásra irányuló kérelmekről és közérdekű adatok megismerésére irányuló igényekről; f ) figyelemmel kíséri az adatvédelemmel és információszabadsággal kapcsolatos jogszabályváltozásokat; g) közreműködik a  Hatóságtól a  Hivatalhoz érkezett megkeresések megválaszolásában és a  Hatóság által kezdeményezett vizsgálat és adatvédelmi hatósági eljárás során; h) amennyiben egy felmerült adatvédelmi kérdés jogértelmezés útján egyértelműen nem válaszolható meg –  a  jogi feladatokért felelős szervezeti egység vezetőjével folytatott egyeztetést követően –, általános állásfoglalás megadása céljából megkeresést fogalmaz meg a Hatóság elnökéhez. 15. Az informatikai adatbiztonsági előírások részletes meghatározását külön szabályzat, míg a hatósági iratok adatkezelési szabályait az Iratkezelési Szabályzat tartalmazza. 3. Az érintett jogainak érvényesítése, a tiltakozási jog gyakorlása és az azokkal összefüggő feladatok 16. A személyes adatot kezelő szervezeti egység vezetője biztosítja, hogy az  érintett a  Hivatal által kezelt személyes adataihoz hozzáférjen. Amennyiben a megkeresés nem az adatkezelő szervezeti egységhez érkezett, azt haladéktalanul továbbítani kell az adatkezelés szempontjából feladat- és hatáskörrel rendelkező szervezeti egységnek. 17. Az adatot kezelő szervezeti egység vezetője köteles az érintett személyes adatának kezelésével összefüggő kérelemre a kérelem Hivatalba történő beérkezésétől számított 30 – tiltakozási jog gyakorlása esetén 15 – napon belül írásban, közérthető formában választ adni. 18. Az Infotv. 15. § (2) bekezdése szerinti nyilvántartás vezetéséért az adatot kezelő szervezeti egység vezetője felelős. Az adattovábbítási nyilvántartásba a Hivatal elnöke, a jogi feladatokért felelős szervezeti egység vezetője és a belső adatvédelmi felelős bármikor betekinthet, arról másolatot kérhet. 19. Az elutasított tájékoztatás iránti kérelmekről a  Hivatal belső adatvédelmi felelőse nyilvántartást vezet, melyről – a Hivatal elnökének kiadmányozásával – a tárgyévet követő január 31-éig írásban tájékoztatja a Hatóság elnökét. 20. Az adatot kezelő szervezeti egység vezetője köteles gondoskodni a valóságnak nem megfelelő adat helyesbítéséről, felelős továbbá az adatkezelés megszüntetéséért, az adatok zárolásáért és az érintettek értesítéséért. 21. Ha az  érintett jogainak gyakorlása során az  ügy megítélése nem egyértelmű, az  adatot kezelő szervezeti egység vezetője az  ügy iratainak és az  ügyre vonatkozó álláspontjának megküldésével állásfoglalást kérhet a  belső adatvédelmi felelőstől, aki azt 5 munkanapon belül teljesíti. 4. Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés 22. Törvényi felhatalmazás hiányában az  adatkezelés alapjául kizárólag az  érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A  hozzájárulás megszerzése során az  érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére. A hozzájárulást különleges adat esetén mindig írásban kell megadni. A  későbbi igazolhatóság érdekében különleges adatnak nem minősülő személyes adatok esetén is törekedni kell a hozzájárulás írásban történő rögzítésére. 23. A Hivatal az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú adatkezeléseket végez. 24. Az ügyvitelhez kapcsolódó adatkezelés az  ügy (bejelentés) nyilvántartásához (iktatásához), feldolgozásához kapcsolódik. Alapvető célja az adott ügyhöz tartozó intézkedéshez, hatósági eljárás lefolytatásához, az adatkezelés szereplőinek azonosításához és az  ügy befejezéséhez szükséges adatok biztosítása. Az  ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek, kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges. 25. A nyilvántartási célú adatkezelés a  Hivatalra vonatkozó jogszabályokban előre meghatározott adatkörök alapján gyűjtött személyes adatfajtákból álló strukturált adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, lekérdezhetőségét. 5. Belső adatvédelmi nyilvántartás 26. Amennyiben a Hivatal valamely szervezeti egysége olyan adatkezelést kíván végezni, amely az Infotv. 66. §-a alapján bejelentési kötelezettség alá esik, a  szervezeti egység vezetője az  adatok felvétele és az  adatkezelés megkezdése előtt 15 nappal értesíti a belső adatvédelmi felelőst, aki azt a belső adatvédelmi nyilvántartásba bejegyzi és – az elnök útján – gondoskodik a Hatóság felé történő nyilvántartásba vételi eljárás lefolytatásáról. 27. Nem kell bejelenteni az Infotv. 65. § (3) bekezdése alá tartozó adatkezeléseket. 28. A belső adatvédelmi nyilvántartásba bejelentett adatok változását vagy az adatkezelés megszűnését az adatkezelésért felelős szervezeti egység vezetője 8 napon belül köteles bejelenteni a  belső adatvédelmi felelősének, aki ennek megfelelően módosítja a belső adatvédelmi nyilvántartás adatait, és ha szükséges – az elnök útján – kezdeményezi a Hatóság adatvédelmi nyilvántartásában történő módosítást. 6. A személyes adatokat tartalmazó igazgatási és gazdasági ügyek adatkezelése 29. A Hivatal az igazgatási tevékenysége keretében az alábbi ügycsoportokban kezelhet személyes adatokat: a) Sajtóügyek: aa) a Hivatal által szervezett sajtótájékoztatók; ab) egyéb sajtótájékoztatók, nyilvános események. b) Nemzetközi ügyek: ba) a Hivatal vezetőinek, munkatársának utazásai; bb) a Hivatal vendégeinek programjai; bc) egyéni célú utazások; bd) nemzetközi konferenciák; be) protokolláris levelezések; bf ) európai és más nemzetközi pályázatok, projektek; bg) útlevél- és vízumügyek. c) Vegyes ügyek: ca) tanfolyamok és szakmai konferenciák; cb) vezetői, ügyintézői munkakör átadás; cc) elfogultsági bejelentések; cd) titoktartási kötelezettség alóli felmentés; ce) szakértői ügyek; cf ) ügyfélkezelési ügyek; cg) üdülési ügyek; ch) a Hivatal működésére vonatkozó panaszok és közérdekű bejelentések; ci) a Hivatal által kötött szerződések; cj) rendezvények szervezése. 30. A hatósági ügyek adataiba az érintett szervezeti egység kormánytisztviselői tekinthetnek be. Az érintett tájékoztatását – kérelmére – az érintett szervezeti egység vezetője készíti elő és az elnök teljesíti. 31. A Hivatal gazdasági nyilvántartásai közül az alábbiakban kezelhetnek személyes adatokat: a) egészségbiztosítási ellátások nyilvántartása, magán-nyugdíjpénztári nyilvántartás, fizetési jegyzékek, járulék-nyilvántartások; b) számfejtési anyagok, bérfeladások, bérátutalások, statisztikai jelentések; c) személyi jövedelemadó nyilvántartások, társadalombiztosítási elszámolások, adó- és járulékbevallások, kiküldetési rendelvények nyilvántartása, hivatali célra saját gépkocsihasználat nyilvántartása. 32. A 29. és 31. pontban írt ügyiratok adattartalmáról az érintettet a rendszeresen ismétlődő adatszolgáltatásokon kívül, kérelmére teljes körűen tájékoztatni kell. 7. Adattovábbítás 33. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a  törvényben kötelezően előírt adattovábbítás esetét kivéve – az adatot kezelő szervezeti egység vezetőjének hatásköre. A szervezeti egység vezetője kikérheti a belső adatvédelmi felelős állásfoglalását is. 34. Amennyiben az  adattovábbításra vonatkozó igény nem egyértelmű, az  adatot kezelő szervezeti egység vezetője megkeresi az adatigénylőt a pontosítás érdekében. 35. A Hivatal – törvény eltérő rendelkezése hiányában – csak olyan személyes adatokat továbbíthat, melyeknek a Hivatal az adatkezelője. Amennyiben más szerv az adatkezelő, az adatkérést – törvény eltérő rendelkezése hiányában – el kell utasítani és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely szervtől igényelheti. 8. Záró rendelkezések 36. Ez az utasítás a közzétételét követő 8. napon lép hatályba. 37. Ezen utasítást a folyamatban lévő ügyekben is alkalmazni kell. 38. Hatályát veszti a Nemzeti Kutatási és Technológiai Hivatal adatvédelmi és adatbiztonsági szabályzatáról szóló 9/2009. számú elnöki utasítás. a Nemzeti Innovációs Hivatal Szervezeti és Működési Szabályzatáról szóló 19/2012. (VII. 30.) NGM utasítás 1. melléklet 4.4. és 5.3.1. a) pontja alapján elnöki jogkörben eljárva: Korányi László s. k., kül- és belkapcsolati elnökhelyettes

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.