ADATVÉDELMI, ADATBIZTONSÁGI ÉS ADATKEZELÉSI SZABÁLYZATA

Átírás

1 Szervezeti és Működési Szabályzat 9. számú melléklete A SAPIENTIA SZERZETESI HITTUDOMÁNYI FŐISKOLA ADATVÉDELMI, ADATBIZTONSÁGI ÉS ADATKEZELÉSI SZABÁLYZATA 2016.

2 Tartalom Tartalom...1 A szabályzat célja és hatálya...2 Értelmező rendelkezés...2 Adatkezelő szervezeti egységek...2 A Főiskolán kezelt személyes adatok...3 Főiskolán belüli adatátadás...7 Adattovábbítás harmadik személy részére...7 Az adatkezelés célhoz kötöttsége...7 Közérdekű és közérdekből nyilvános adatok...8 Az adatkezelés időtartama...8 Záró rendelkezések...8 1

3 A Sapientia Szerzetesi Hittudományi Főiskola (a továbbiakban: a Főiskola) Szenátusa (a továbbiakban: Szenátus) a Nemzeti felsőoktatásról szóló évi CCIV. törvény (a továbbiakban: Nftv.) 18., Nemzeti felsőoktatásról szóló évi CCIV. törvény egyes rendelkezéseinek végrehajtásáról szóló 87/2015. (IV. 9.) Kormányrendelet (a továbbiakban: Vhr.), valamint az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (a továbbiakban: Info tv.) alapján a személyes és közérdekű adatokkal kapcsolatos adatvédelem és adatbiztonság rendjét a Főiskola Szervezeti és Működési Szabályzatának mellékleteként a következők szerint állapítja meg: A szabályzat célja és hatálya 1. (1) A szabályzat célja, hogy a jogszabályoknak megfelelően biztosítsa a Főiskolán a személyes, közérdekű és közérdekből nyilvános adatok kezelését és védelmét. (2) A szabályzat célja továbbá, hogy a jogszabályoknak megfelelően megállapítsa a Főiskolán keletkezett közérdekű adatok megismerésére vonatkozó eljárási rendet, valamint az általános közzétételi lista alapján kötelezően közzéteendő közérdekű adatok és az alapvető titokvédelmi rendelkezések körét. (3) A szabályzat szervi hatálya kiterjed a Főiskola minden olyan szervezeti egységére, amely tevékenysége során személyes, közérdekű vagy közérdekből nyilvános adatot kezel. (4) A szabályzat személyi hatálya kiterjed a Főiskola minden olyan foglalkoztatottjára és hallgatójára, akik feladatuk végrehajtása során személyes adat birtokába kerülnek. Kiterjed továbbá a Főiskola feladatainak végrehajtásában polgári jogi jogviszonyban közreműködő azon személyekre, akik tevékenységük során adatot kezelnek. (6) A szabályzat tárgyi hatálya a személyes, a közérdekű és a közérdekből nyilvános adatokkal kapcsolatos adatkezelésre terjed ki, beleértve az adattovábbítást is. Értelmező rendelkezés 3. A szabályzatban szereplő fogalmakat az Info tv. 3. -ában meghatározott tartalommal kell értelmezni és alkalmazni azzal, hogy adattovábbítás alatt az adat Főiskolán kívüli személy részére való hozzáférésének biztosítását kell érteni. Adatkezelő szervezeti egységek 4. (1) Elsődleges adatkezelő és adatszolgáltató szerv a Főtitkár, a Gazdasági Osztály, Tanulmányi Osztály és a Könyvtár. (2) A Főiskola Szervezeti és Működési Szabályzatában meghatározott feladata végrehajtása során más szervezeti egység is kezelhet és dolgozhat fel adatot. Az elsődleges adatkezelőkön kívüli szerv kizárólag a rektor felhatalmazása alapján kezelhet különleges adatot. 2

4 A Főiskolán kezelt személyes adatok 5. (1) A Főiskola a hallgatók személyes adatait az Nftv. és a végrehajtására kiadott rendeletek alapján kezeli. (2) A hallgatói nyilvántartás adatai jogszabályban meghatározott körben, így különösen a hallgatói jogviszony létrejöttével, módosulásával és megszűnésével, a hallgató tanulmányi és vizsgakötelezettségeinek teljesítésével, valamint a juttatások megállapításával, folyósításával, illetve a térítések kivetésével, befizetésével, behajtásával kapcsolatos szervezési és adminisztratív feladatok ellátására, továbbá az érintett által meghatározott célra használhatók fel. (3) A hallgatói nyilvántartás adatait a felvételi adatbázis, valamint a hallgató által kitöltött beiratkozási lapok szolgáltatják. (4) A hallgató adatainak kezelője a) Tanulmányi Osztály, b) Gazdasági Osztály, c) Hallgatói Önkormányzat, d) Szakkollégiumok, e) Rektori Titkárság, f) oktatók, g) intézeti adminisztrátorok, h) Könyvtár. (5) A hallgatói nyilvántartás az Elektronikus Tanulmányi Rendszerben, valamint papíralapon valósul meg. (6) A (5) bekezdésben foglaltakon túl a diplomás pályakövetési rendszer adatait az erre a célra létrehozott rendszerben, a Minőségfejlesztési Szabályzatban meghatározottak szerint kell kezelni. 6. (1) A Főiskola a foglalkoztatottak személyes adatainak kezelését a jogviszonynak megfelelő jogállási törvények, a nemzeti felsőoktatásról szóló törvény és a végrehajtásukra kiadott rendeletek által meghatározott körben végzi. (2) A Főiskola jogszabályban meghatározott körben kezeli a vele polgári jogi jogviszonyban lévő természetes személyek adatait. (4) Az oktatói nyilvántartás kezelője a Főtitkár. (5) Az oktatói nyilvántartás kezelése az Elektronikus Tanulmányi Rendszerben, valamint papíralapon valósul meg. 3

5 (6) A bér- és munkaügyi nyilvántartás adatai a foglalkoztatott jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel. (7) A bér- és munkaügyi nyilvántartás adatainak kezelője a Gazdasági Osztály. Adatfelvétel, adatrögzítés 7. (1) Az adatfelvétel és adatrögzítés törvény alapján vagy önkéntes hozzájárulás alapján történhet. (2) Amennyiben olyan adatot kell felvenni, rögzíteni, melyet közokirat tartalmaz, az okiratot vagy annak közjegyző által hitelesített másolatát be kell mutatni. (3) Önkéntes hozzájárulás alapján történő adatkezelésnél az érintettet előzetesen tájékoztatni kell a célról, és be kell szerezni félreérthetetlen, írásbeli beleegyezését. Adatok védelme 8. (1) A Főiskola munkatársai kötelesek bizalmasan kezelni minden olyan adatot, információt vagy dokumentumot stb. függetlenül attól, hogy ahhoz milyen formában és milyen módon jutottak hozzá, amely előttük a munkaköri feladataik teljesítése során vagy azzal összefüggésben vált ismertté. (2) A Főiskolával jogviszonyban állók kötelesek védeni és őrizni a munkakörükből, velük kötött szerződésből, tisztségükből vagy tanulmányi kötelezettségükből adódó feladatok teljesítése során vagy azzal összefüggésben tudomásukra jutott adatokat, információkat, dokumentumokat, és kötelesek minden erőfeszítést megtenni annak érdekében, hogy azok megfelelő védelmét biztosítsák. (3) A Főiskolával jogviszonyban állók felelősséggel tartoznak minden olyan kárért, amely az (1)-(2) bekezdésben körülírt adatkezelési, titoktartási kötelezettségük megszegéséből származik. 9. (1) A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani: a) az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben kell elhelyezni; b) a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi, valamint a hallgatói jogviszonnyal kapcsolatos iratokat biztonságosan elzárva kell tartani, c) a jelen szabályzatban meghatározott adatkezelések iratainak archiválását évente egyszer el kell végezni, az archivált iratokat a Főiskola iratkezelési és selejtezési 4

6 szabályzatának, valamint az irattári terveknek megfelelően kell szétválogatni és irattári kezelésbe venni. (2) Az (1) bekezdés b) pontja szerinti helyiségek, illetve szekrények kulcsához való hozzáférés rendjét az adatkezelő szervezeti egység vezetője állapítja meg. 10. (1) Az informatikai rendszerekben kezelt adatok bizalmassága, hitelessége, sértetlensége, rendelkezésre állása és funkcionalitása szempontjából meghatározott informatikai rendszerekhez kötött biztonsági osztályok: (2) Kritikus rendszerek Az intézmény működése szempontjából kritikus, az intézmény egészére kiterjedő rendszerek, amelyek szenzitív, illetve személyes adatokat tartalmaznak. Adatvédelmi szempontból kiemelt védelmet igényelnek. a) Tanulmányi rendszer, b) Központi levelező kiszolgálók, c) Központi tárhely-kiszolgálók, d) Intézményi autentikációs rendszerek. (3) Kiemelt rendszerek Az intézmény működése szempontjából kritikus rendszerek, amelyek elsősorban technikai jellegűek, a rajtuk tárolt adatok nem személyes jellegűek. a) Telekommunikációs hálózat, b) Technológiai (environment, middleware) rendszerek, c) Kommunikációs rendszerek. (4) Normál rendszerek Az első két kategóriába nem sorolt, a teljes intézmény napi működése szempontjából nem kritikus, illetőleg az intézménynek csak egyes részeire kiterjedő olyan rendszerek, amelyek indítása/üzemeltetése során központi felülvizsgálat történik, illetőleg teljes körű dokumentáció készül. a) Könyvtári kiszolgáló rendszer (5) Egyéb rendszerek Az előző három kategóriába nem sorolt rendszerek. (6) A Főiskola szervezeti egységei által számítógépen tárolt adatok védelmét bizalmasság, hitelesség, sértetlenség, rendelkezésre állás és funkcionalitás szempontjából úgy kell megvalósítani, hogy az informatikai rendszernek és környezetének védelme folytonos, teljes körű, zárt és a kockázatokkal arányos legyen, valamint megvalósuljon a zárt szabályozási ciklus, a következők szerint: (7) A teljeskörűségre vonatkozó alapelvet a fizikai, a logikai és az adminisztratív védelem területén kell érvényesíteni úgymint: 5

7 a) az összes információbiztonsági rendszerelem csoportra, b) az informatikai rendszer infrastrukturális környezetére, c) a hardverrendszerre, d) az alap-és felhasználói szoftverrendszerre, e) a kommunikációs és hálózati rendszerre, f) az adathordozókra, g) a dokumentumokra és feljegyzésekre, h) a belső személyzetre és a külső partnerekre, i) az MSZ OSI szabványban meghatározott nyílt rendszerek architektúrája minden rétegére, azaz mind a számítástechnikai infrastruktúra, mind az informatikai alkalmazások szintjén, j) mind a központi, mind a végponti informatikai eszközökre és környezetükre. (8) A védelem zártsága akkor biztosított, ha az összes valószínűsíthető fenyegetés elleni védelmi intézkedések megvalósulnak. (9) A védelem akkor kockázatarányos, ha az informatikai rendszerek által kezelt adatok védelmének erőssége és költségei a felmért kockázatokkal arányban állnak. Célkitűzés a minimális védelmi költséggel elért maximális védelmi képesség. (10) A védelem folytonossága úgy biztosítható, hogy az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszerből történő kivonásig folytonosan biztosítani kell a rendszeres ellenőrzéssel és az ezt követő védelmi intézkedésekkel. (11) A zárt szabályozási ciklus úgy érvényesíthető, hogy az adminisztratív védelemmel biztosítani kell a szabályozás, érvényesítés, ellenőrzés és a védelmi intézkedések/szankcionálás zárt folyamatát. (12) További céljaink és elveink: a) Igyekszünk a kockázatainkat minimalizálni, de minden munkatársban tudatosítjuk, hogy teljes körű védelem és biztonság nincsen, és ezzel összefüggésben a maradványkockázatokat tudatosan vállaljuk. b) A felelősségeket az információbiztonság területén hangsúlyozottan elhatároljuk és az egyes szervezeti szerepkörökhöz kötjük. c) Hangsúlyozottan törekszünk a törvényi és jogszabályi megfelelőségre különös tekintettel a személyes adatok kiemelt védelmére. d) Megpróbáljuk kiegyensúlyozottan kezelni a mobilitás lehetősége és a biztonság közötti ellentmondást. e) Elsődleges célunk a működőképesség fenntartása, ezért az olyan felhasználókat, akik magatartásukkal más felhasználók tömegeinek munkáját veszélyeztetik, haladéktalanul kizárjuk a szolgáltatásból mindaddig, amíg a veszélyt okozó tevékenységüket nem szüntetik meg. 6

8 f) A védelem mellett biztosítjuk az oktatási és kutatási tevékenységhez szükséges szabad információáramlást. g) A felhasználói jogosultságok természetes személyhez kötöttek és nem átruházhatóak. Az információbiztonsági incidensek esetében a felelősség a jogosultsággal bíró személyhez kötődik. Főiskolán belüli adatátadás 11. (1) A Főiskola szervezeti rendszerén belül a személyes adatok a feladat elvégzéséhez szükséges mértékben és ideig csak olyan szervezeti egységhez, személyhez továbbíthatók, amelynek, illetve akinek jogszabályban vagy főiskolai szabályzatban meghatározott tevékenysége ellátásához a személyes adatok megismerése és kezelése szükséges. (2) A Főiskolán folyó különböző célra irányuló adatkezelések csak törvényes céloknak megfelelően, indokolt esetben kapcsolhatók össze. (3) Amennyiben a két szervezeti egység között az adat átadása tárgyában véleményeltérés van, úgy a Rektor dönt. Adattovábbítás harmadik személy részére 12. (1) A fenntartók, a minisztériumok, a felettes egyházi szervek részére adatot az elsődleges adatkezelő szervek továbbítanak. (2) A Felsőoktatási Információs Rendszer részére adatot a Tanulmányi Osztály szolgáltat. (3) Közigazgatási szerv, bíróság, ügyészség, rendőrség adatszolgáltatási tárgyú megkeresését a Rektorhoz kell felterjeszteni. A Rektor jelöli ki az adatszolgáltatót. (4) Külföldre irányuló adattovábbítás esetén az adattovábbítást végzőnek külön meg kell győződnie arról, hogy a külföldre történő adattovábbítás Info tv. 8. -ában írt feltételei fennállnak-e. (5) Ha az adatkérés jogszerűségét az adatkezelő szerv vagy személy nem tudja megítélni, köteles azt a Rektornak jelenteni. (6) Külső adattovábbításra jogosult és kötelezett személyeket a Rektor jelöli ki. Az adatkezelés célhoz kötöttsége 13. (1) A személyes adatot a Főiskola kizárólag meghatározott célból, különösen feladatainak végrehajtása, kötelezettségeinek teljesítése érdekében kezelheti. Az adatkezelés megkezdése előtt az érintettel közölni kell, hogy az hozzájáruláson alapul vagy kötelező. 7

9 (2) A Főiskola által kezelt személyes adatokról az érintett tájékoztatást kérhet, továbbá kérheti adatainak helyesbítését, törlését vagy zárolását. A kérés megtagadása esetén írásban közölni kell az érintettel, hogy a felvilágosítás megtagadására az Info tv. mely rendelkezése alapján került sor, továbbá a jogorvoslati lehetőségekről fel kell világosítani. Közérdekű és közérdekből nyilvános adatok 14. (1) A Főiskola szervezetére, tevékenységére vonatkozó a személyes adat fogalmi körébe nem tartozó adat közérdekű adatnak minősül. A közérdekű adatok és a közérdekből nyilvános adatok megismerhetőségét a minősített adatok kivételével biztosítani kell. (2) A közérdekű és közérdekből nyilvános adat megismerésére vonatkozó igényt, amennyiben olyan szervezeti egységhez érkezik, amely az igény teljesítésére nem rendelkezik hatáskörrel, a szervezeti egység haladéktalanul továbbítja az érintett szervezeti egységnek. Az érintett szervezeti egység az igény teljesítése előtt a választervezetet véleményezésre megküldi a Rektornak. (3) Az Info tv értelmében kötelezően közzéteendő közérdekű adatokat a Főiskola közzéteszi honlapján, valamint folyamatosan frissíti. A közzététel módját a Rektor szabályozza és kijelöli a végrehajtó személyeket. Az adatkezelés időtartama 15. A Főiskola a foglalkoztatottak, a hallgatók személyes adatait, valamint és a Főiskola oktatási tevékenysége során birtokába került személyes adatokat az Info tv ában foglaltak szerinti meghatározott ideig kezeli. Záró rendelkezések 16. (1) Az Adatvédelmi, Adatbiztonsági és Adatkezelési Szabályzat a Főiskola Szervezeti és Működési Szabályzatának mellékletét képezi, azzal együtt érvényes. (2) E szabályzatot a Sapientia Szerzetesi Hittudományi Főiskola Szenátusa i ülésén hozott 8/2016. (IV.28.) számú határozatával elfogadta. A szabályzat a fenntartói Konferencia jóváhagyását követő napon lép hatályba. 8