Vas Megyei Katasztrófavédelmi Igazgatóság Adatvédelmi és Adatbiztonsági Szabályzata

Átírás

1 Vas MKI Igazgató 25/2012. számú intézkedésének 1. számú melléklete Vas Megyei Katasztrófavédelmi Igazgatóság Adatvédelmi és Adatbiztonsági Szabályzata

2 2 Tartalomjegyzék I. A Szabályzat kibocsátásának célja, hatálya 3 II. Értelmező rendelkezések 3 III. Az adatvédelem alapelvei 3 IV. Az adatbiztonság követelménye 4 V. Az érintettek jogainak érvényesítése, tiltakozási jog gyakorlása és azokkal 7 összefüggő feladatok VI. A Vas MKI hivatásos katasztrófavédelmi szervei adatvédelmi 9 VII. intézményrendszere Adatállományok (nyilvántartások) létrehozása, ügyvitelű és nyilvántartási célú adatkezelés 10 VIII. Belső adatvédelmi nyilvántartás 11 IX. Adattovábbítás a katasztrófavédelmi adatkezelésekből, adattovábbítási nyilvántartás 11 X. A Vas MKI hivatásos katasztrófavédelmi szervei személyi állományának 12 XI. és a pályázók személyes adatainak kezelése A közérdekű adatok egyedi igénylésének és teljesítésének szabályai Mellékletek 13 15

3 Vas Megyei Katasztrófavédelmi Igazgatóság -Vas MKI Igazgató 25/2012.számú intézkedésével közzétett- Adatvédelmi és Adatbiztonsági Szabályzata 3 I. fejezet A Szabályzat kibocsátásának célja, hatálya 1. a) A Szabályzat célja, hogy meghatározza Vas MKI hivatásos katasztrófavédelmi szervei által vezetett személyes adatokat tartalmazó manuális vagy számítógépes nyilvántartások kezelésének rendjét, biztosítsa a tevékenység során a személyes adatok védelméhez fűződő információs önrendelkezési jog érvényesülését, továbbá, hogy a Vas MKI hivatásos katasztrófavédelmi szervei által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat. A fentieken túl a Szabályzat célja a Vas MKI hivatásos katasztrófavédelmi szervei kezelésében lévő közérdekű adatok nyilvánosságának biztosítása. b) Az Infotv. 24. (3) bekezdésében foglaltak szerinti a Szabályzat személyi hatálya kiterjed a Vas MKI hivatásos katasztrófavédelmi szervei teljes személyi állományára, azzal, hogy a Szabályzat rendelkezéseit az eskü letételétől szolgálati viszonyának, közalkalmazotti jogviszonyának megszűnéséig köteles betartani, ugyanakkor titoktartási kötelezettsége a jogszabályi előírásoknak megfelelően szolgálati viszonya, jogviszonya megszűnését követően is fennáll. c) A Szabályzat tárgyi hatálya kiterjed a védelmet élvezõ adatok teljes körére, felmerülésük és feldolgozási helyüktõl, idejüktõl és az adatok fizikai megjelenési formájától függetlenül, az adatok felhasználására, tárolására vonatkozó utasításokra, az adathordozók tárolására, felhasználására, az üzemeltetéshez biztosított valamennyi eszköz, papír alapú, számítástechnikai, informatikai berendezésre; valamint ezek mûszaki dokumentációra is, a számítástechnikai folyamatban szereplõ összes dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési dokumentáció), a rendszer- és felhasználói programokra. II. fejezet Értelmező rendelkezések 2. A Szabályzat alkalmazása során az Infotv.-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának II. fejezetében meghatározottakon túl: a) információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról. III. fejezet Az adatvédelem alapelvei 3. A Szabályzat alkalmazása során az Infotv.-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának III. fejezetében meghatározottakon túl: A VAS MKI hivatásos katasztrófavédelmi szervei által, a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.

4 4 4. A személyi állomány feladatai ellátása körében személyes adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhet. 5. A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. 6. Az információs önrendelkezési jog tiszteletben tartása érdekében az adatkezelő szerv személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhet, ha ahhoz az érintett kifejezetten különleges adat esetén írásban hozzájárult. 7. A adatkezelést végző fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, a Vas MKI hivatásos katasztrófavédelmi szervei nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért. 8. Személyes adat kezelésére a VAS MKI hivatásos katasztrófavédelmi szerveinek csak jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. 9. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. A Vas MKI hivatásos katasztrófavédelmi szervei által kezelt, vagy feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének. 10. Ha a személyi állomány tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, haladéktalanul köteles helyesbítését a helyesbítésre jogosultnál kezdeményezni. IV/1. Adatbiztonsági előírások: IV. fejezet Az adatbiztonság követelménye 11. Az informatikai adatbiztonsági előírások részletes meghatározását a BM OKF Informatikai Biztonsági Szabályzata, míg az iratok adatkezelési szabályait az BM OKF Iratkezelési Szabályzata tartalmazza. 12. Az adatbiztonsági intézkedések meghatározása érdekében a Vas MKI hivatásos katasztrófavédelmi szervei kezelésében lévő minden egyes adatállományt az érintett szervezeti egység vezetője a védelmi igény szempontjából értékel, és a megfelelő biztonsági fokozatba sorol. Az adatok minősítésük szerinti kezelése, a biztonsági fokba sorolásának nyilvántartása, karbantartása - a BM OKF Informatikai Biztonsági Szabályzat 17. illetve 18. pontja alapján az Informatikai Osztály feladata.

5 Vas Megyei Katasztrófavédelmi Igazgatóság -Vas MKI Igazgató 25/2012.számú intézkedésével közzétett- Adatvédelmi és Adatbiztonsági Szabályzata Az egyes adatkezelések biztonsági fokozatának megállapításához az adatok minősítésének figyelembe vételén kívül elemezni kell: a) az adatkezelésnek az adatkezelő szerv jogszabályban meghatározott feladatai végrehajtásában betöltött szerepét; b) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a várható kárt, figyelemmel arra, hogy az adatkezelés hiánya vagy az abban bekövetkezett sérülés milyen mértékben akadályozza a feladat teljesítést; c) azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét; d) azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni; e) az adatbiztonságot veszélyeztető -a BM OKF hivatásos katasztrófavédelmi szervek Adatvédelmi és Adatbiztonsági Szabályzat 1.számú mellékletében felsorolt -kockázati elemeket; f) azt, hogy a védelemhez szükséges feltételrendszer megteremtéséhez és fenntartásához biztosítottak-e a szükséges erőforrások. IV/2. Az adatvédelem eszközei, módszerei 14. A konkrét védelmi intézkedések kidolgozása során figyelembe kell venni: a) Tudatosság: az informatikai rendszerekbe vetett bizalom növelése érdekében minden azt használó személynek legalább alapszinten ismernie kell a biztonsági módszereket és eljárásokat. b) Felelősség: az információ-rendszerek tulajdonosainak, támogatóinak és felhasználóinak biztonságot érintő felelősségének egyértelműnek és világosnak kell lennie. c) Arányosság: a biztonsági fokozatoknak és intézkedéseknek megfelelőnek és arányosnak kell lenniük a védett rendszerek értékével és megbízhatósági követelményeivel, a biztonság fokozásának költségeivel, illetve a biztonság megsértéséből eredő potenciális károk súlyosságával és valószínűségével. d) Aktualitás: a biztonságot gyakori időközönként újra kell gondolni, és fel kell frissíteni a biztonság megsértéséből eredő potenciális kockázatok és következmények változásainak megfelelően. (Kockázatelemzés-kockázatkezelés) e) Integráció: koherens és integrált biztonsági megközelítés szükséges egy információ-rendszer összes elemének tekintetében. f) Reakciókészség: az összes résztvevőnek együtt kell működnie a biztonság sérülésének, megsértésének megelőzése és a megsértésre adandó gyors válasz érdekében. 15. Fizikai veszélyforrások kezelése a) A Vas MKI hivatásos katasztrófavédelmi szervei elhelyezéséül szolgáló épületekbe történő be- és kilépés, kulcstárolás rendjét külön intézkedés részletesen szabályozza. b) A jogosulatlan hozzáférés elkerülése érdekében a fizikai védelmi rendszert az illetéktelen behatolások elhárítására, az infokommunikációs infrastruktúra üzemeltetőit pedig ezek észlelésére, elhárítására, továbbá az eszközök jogosulatlan használatának megakadályozására vonatkozó rendelkezéseket a BM OKF Informatikai Biztonsági Szabályzata, a Vas MKI Informatikai Üzemeltetési Szabályzata részletesen tartalmazza. c) Tűzvédelmi és vagyonvédelem részletes szabályait a mindenkor hatályos Tűzvédelmi Szabályzat tartalmazza.

6 6 16. Védelmi intézkedések a számítógépen tárolt adatok vonatkozásában: a) A számítógépen, illetve hálózati meghajtókon tárolt személyes adatok biztonsága vonatkozásában a BM OKF Informatikai Biztonsági Szabályzat, az Vas MKI Informatikai Üzemeltetési Szabályzat előírásait kell alkalmazni. b) A személyes adatok automatizált feldolgozása során biztosítani kell a jogosulatlan adatbevitel megakadályozását; az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását; annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják; annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe; a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön. c) A humán kockázat ellen oktatással és/vagy jogi felelősségre vonással kell védekezni. 17. Védelmi intézkedések a manuális kezelésű adatok vonatkozásában: A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani: a) Tűz- és vagyonvédelem: az irattári kezelésbe vett iratokat jól zárható, száraz, a mindenkor hatályos Tűzvédelmi Szabályzatban és BM OKF Iratkezelési Szabályzatban részletesen körülírt módon kell elhelyezni. b) Hozzáférés-védelem: a folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá. A személyzeti valamint a bér- és munkaügyi iratokat lemezszekrényben, a személyi állománnyal kapcsolatos iratokat zárható, helyiségben külön erre a célra rendszeresített biztonsági tárolóban /továbbiakban: páncélszekrényben/ kell tárolni. c) Archiválás: a BM OKF Informatikai Biztonsági Szabályzat, az Vas MKI Informatikai Üzemeltetési Szabályzat vonatkozó rendelkezéseit értelemszerűen alkalmazni kell. d) Humán kockázat: a humán kockázat ellen oktatással és jogi eszközökkel kell védekezni. IV/3. Adatkezelőre vonatkozó rendelkezések 18. Vas MKI hivatásos katasztrófavédelmi szerveinek személyi állománya alapvetően a munkaköri leírásában alapfeladatként megjelölt feladatkör ellátását végzi, de szükség esetén (vis maior, helyettesítés) részt vesz más ügy, feladat intézésében egyedi (az ügyszignálásban megnyilvánuló) vezetői intézkedés alapján. Az egyes ügyintézők az alap, és az előzőekben említett kiegészítő feladatokat érintő nyilvántartásokba tekinthetnek be, kizárólag a konkrét feladat ellátásához szükséges mértékben, és feladataikhoz kapcsolódó adatok jogszabályban meghatározott módon történő kezelésére, feldolgozására, továbbítására jogosultak. 19. Az egyes ügyintézõk akadályoztatása esetén a munkaköri leírásban kijelölt, helyettesítést ellátó ügyintézõ jogosult a távollevõ ügyintézõ által megismerhetõ adatok kezelésére, továbbítására, nyilvántartások vezetésére, azokba történõ betekintésre, kizárólag az akadályoztatás (betegség, szabadság stb.) idõtartama alatt, helyettesítési feladatai ellátása érdekében szükséges mértékig. A lezárt egység felnyitására vonatkozó rendelkezéseket, a Vas MKI hivatásos katasztrófavédelem szervei elhelyezéséül szolgáló épületekbe történő be- és kilépés, a benntartózkodás és a biztonságos zárás rendjét külön intézkedés tartalmazza.

7 Vas Megyei Katasztrófavédelmi Igazgatóság -Vas MKI Igazgató 25/2012.számú intézkedésével közzétett- Adatvédelmi és Adatbiztonsági Szabályzata Az ügyintézõk az adatok kezelésekor kötelesek betartani az adatvédelemre vonatkozó jogszabályi elõírásokat, belső normákat. 21. Különös figyelmet kell fordítani arra, hogy az ügyfelek a monitorok képernyõin, kinyomtatott iraton megjelent adatokhoz az érintettet kivéve ne férjenek hozzá, illetéktelen megismerésre, törlésre, módosításra ne legyen lehetőség, ennek érdekében ügyfél fogadása során az ügyintézői jelenlétet folyamatosan biztosítani kell, a technikai eszközök, egyéb adathordozók elhelyezése, a monitorok beállítása oly módon történhet, hogy az adatok az ügyfél részéről ne legyenek olvashatók, felismerhetők, rögzíthetők, a számítástechnikai adathordozók ügyintéző távolléte esetén jelszó nélkül ne legyen használható, a papíralapú adathordozók fizikai hozzáférését ki kell zárni. 22. Az adatszolgáltatás során a vonatkozó jogszabályi elõírásoknak megfelelően a nyilvántartásokat folyamatosan, naprakészen kell vezetni. 23.Az adatkezelő az adatállományban szereplõ adatokat más, általa kezelt nyilvántartáshoz törvényi felhatalmazás nélkül nem használhatja fel. A nyilvántartás más nyilvántartásokkal ha törvény az adatkezelés céljának és az adatok körének pontos meghatározásával másképp nem rendelkezik - nem kapcsolható össze. 24. A személyes adatokat tartalmazó nyilvántartások kivételével az adatkezelési rendelkezések betartásának ellenőrzésére jogosult személyek körét BM OKF Adatvédelmi és Adatbiztonsági Szabályzata XXX. fejezet 303. pontja határozza meg. 25. A jelen fejezetben foglalt alapelvek érvényre juttatása, illetve intézkedések megtétele tekintetében a BM OKF és a Vas MKI hatályos belső normáiban foglaltak az irányadóak. V. fejezet Az érintettek jogainak érvényesítése, tiltakozási jog gyakorlása és azokkal összefüggő feladatok 26. A Vas MKI hivatásos katasztrófavédelmi szervei tekintetében - BM OKF Adatvédelmi és Adatbiztonsági Szabályzata VIII. fejezet 109. pontjában meghatározott adatkezelő szerv vezetője biztosítja, hogy érintett adatalany az adatkezelő szerv által kezelt adatokhoz hozzáférjen. 27. Az érintett a Vas MKI hivatásos katasztrófavédelmi szerveitől tájékoztatást kérhet személyes adatainak kezeléséről, és kérheti személyes adatainak helyesbítését, továbbá a jogszabályban elrendelt adatkezelések kivételével azok törlését vagy zárolását, valamint ha arra törvény felhatalmazza tiltakozhat személyes adatainak kezelése ellen. 28. A tájékoztatás ingyenes, ha a tájékoztatást kérő az adott naptári évben azonos adatkezelésre vonatkozó tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítés megállapítható meg, amelynek fedeznie kell a tájékoztatással kapcsolatban felmerült közvetlen költségeket. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy ha a tájékoztatás kérése a személyes adat helyesbítését eredményezte. 29. Amennyiben törvény alapján az érintett tájékoztatása nem tagadható meg, a tájékoztatás kiterjed a kezelt adatok megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat.

8 8 30. Az elutasított kérelmekről a Vas MKI hivatásos katasztrófavédelmi szervek adatvédelmi felelősei - az Infotv. 15. (2) bekezdésben meghatározott adattartalmú, e Szabályzat 1. számú melléklete szerinti - nyilvántartást vezetnek. Az érintett kérelmének megtagadása esetén a tájékoztatás kiterjed a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) fordulás lehetőségére. 31. Az elutasított kérelmekről az adatkezelő a Hatóságot -a határidős jelentések szabályozásáról szóló mindenkor hatályos BM OKF főigazgatói intézkedésben meghatározott módon - évente a tárgyévet követő év január 31-ig értesíti (Infotv.16. (3) bekezdés). 32. A valóságnak nem megfelelő adatot a Vas MKI hivatásos katasztrófavédelmi szervei amennyiben a szükséges adatok rendelkezésre állnak kötelesek helyesbíteni. 33. A kezelt adatot törölni kell, ha: a) az adat kezelése jogellenes; b) az érintett azt törvényben előírt kötelező adatkezelést kivéve kéri; c) az adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki; d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; e) azt a bíróság vagy a Hatóság elrendelte. 34. Az adat helyesbítéséről vagy törléséről az érintetten kívül mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti. 35. Az érintett tiltakozhat személyes adatának kezelése ellen, ha a) a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén, b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik, valamint c) törvényben meghatározott egyéb esetben. 36. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést (további adatfelvételt, adattovábbítást) megszüntetni és az adatokat zárolni, valamint a tiltakozásról, és az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította. Az érintettek kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. 37. Ha az érintett nem ért egyet a tiltakozásának elbírálása eredményeként hozott adatkezelői döntéssel, a döntés ellen a közléstől számított harminc napon belül az Infotv ában foglalt módon bírósághoz fordulhat.

9 Vas Megyei Katasztrófavédelmi Igazgatóság -Vas MKI Igazgató 25/2012.számú intézkedésével közzétett- Adatvédelmi és Adatbiztonsági Szabályzata 9 VI. fejezet A Vas MKI és Vas MKI Kirendeltségek adatvédelmi intézményrendszere 38. A Szabályzat alkalmazása során az Infotv.-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának VIII - X és XII. fejezetében meghatározottakon túl: Az adatvédelmi előírások alkalmazása szempontjából BM OKF Adatvédelmi és Adatbiztonsági Szabályzat 109. pontja nevesíti a területi, illetve a helyi adatkezelő szerv vezetőjét. Az adatkezelő szerv vezetőjének felelősségi körét 110. pont határozza meg, feladat- és hatáskörét a 111. pont tartalmazza. 39. A Vas MKI hivatásos katasztrófavédelmi szervek adatvédelmi felelősei eljárnak a részükre átruházott munkaköri leírásában rögzített - adatvédelemmel összefüggő feladatkörökben, az adatkezelő szerv vezetője ugyanakkor továbbra is felelős az adatkezelés érdekében hatáskörébe tartozó intézkedések megtételéért. 40.A Vas MKI adatvédelmi felelőse a Vas MKI Hivatalának vezetője, aki felel az adatvédelemmel kapcsolatos jogszabályi rendelkezések betartásáért. 41. A Vas MKI adatvédelmi felelőse: a) segíti az Igazgatót és a helyi szervek adatvédelmi felelőseit a katasztrófavédelmi adatkezelésre vonatkozó jogszabályok és belső normák érvényre juttatásában, figyelemmel kíséri az adatvédelemmel összefüggő jogszabály-változásokat, előkészíti az Igazgató adatvédelmi tárgyú döntéseit; b) kivizsgálja a Vas MKI adatkezelésével összefüggésben érkező panaszokat, kifogásokat, közreműködők, illetve segítséget nyújt az érintettek jogainak gyakorlásában; c) az Igazgató megbízásából ellenőrzi az adatkezelő szervnél, illetve a helyi szerveknél az adatvédelmi követelmények megtartását, az előírások megszegésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására és a hiányosságokat a szolgálati út betartásával - amennyiben emiatt a szolgálati érdek sérelmet szenvedne, közvetlenül - jelzi a szerv vezetőjének, és indokolt esetben a szerv vezetőjénél kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását; d) gondoskodik az igazgatóság személyi állományának oktatásáról és vizsgáztatásáról; e) vezeti a Vas MKI belső adatvédelmi nyilvántartását, gondoskodik annak aktualizálásáról és a Katasztrófavédelem adatvédelmi nyilvántartásába történő bejelentésekről /területi és helyi szinten/; g) állásfoglalás kialakításával, véleményezéssel segíti a helyi szervek adatvédelmi felelőseinek munkáját, illetve jogosult azok tevékenységének ellenőrzésére; h) felügyeli a Vas MKI adatszolgáltatási tevékenységét, különös tekintettel a nemzetközi együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségével kapcsolatban; i) irányítja és ellenőrzi a helyi szervek adatvédelmi felelőseinek adatvédelmi tevékenységét; j) feladatának ellátása során szükség szerint együttműködik az Informatikai Osztállyal, k) az igazgatóság adatvédelmi és adatbiztonsági helyzetét jelentésben évente február 28-ig értékeli, majd az igazgatóság adatvédelmi és adatbiztonsági helyzetét értékelő jelentést és a helyi szervek adatvédelmi felelősei által megküldött jelentéseket összesíti, és e jelentéseket összefoglalva évente március 31-ig a Vas MKI adatvédelmi és adatbiztonsági helyzetét értékeli, szükség szerint intézkedés megtételét kezdeményezi az Igazgatónál. Felelős továbbá e jelentés felterjesztéséért, melyet - a határidős jelentések szabályozásáról szóló mindenkor hatályos BM OKF Főigazgatói intézkedésben meghatározott módon minden év április 15- ig kell felterjeszteni a BM OKF Főigazgatója részére,

10 10 l) a közérdekű adat megismerési kérelmekről a havonta aktuális jogtanácsosi jelentés részeként tájékoztatást ad, továbbá az adatvédelem és információszabadság kapcsán keletkező peres ügyekről a tudomásszerzést követően haladéktalanul információt szolgáltat. 42. A helyi szerv belső adatvédelmi felelősét a helyi szerv vezetője jelöli ki. 43. A helyi szerv adatvédelmi felelősének feladata: a) segíti a helyi szerv vezetőjét az adatkezelésre vonatkozó jogszabályok és belső normák érvényre juttatásában, figyelemmel kíséri az adatvédelemmel összefüggő jogszabályváltozásokat, előkészíti az adatkezelő szerv vezetőjének adatvédelmi tárgyú döntéseit; b) kivizsgálja a helyi szerv adatkezelésével összefüggésben érkező panaszokat, kifogásokat, közreműködik, illetve segítséget nyújt az érintettek jogainak gyakorlásában; c) a helyi szerv vezetőjének megbízásából helyi szinten ellenőrzi az adatvédelmi követelmények megtartását, az előírások megszegésének észlelése esetén felhívja a helyi szerv-vezetőjének figyelmét a jogszerű állapot haladéktalan helyreállítására és a hiányosságokat a szolgálati út betartásával - amennyiben emiatt a szolgálati érdek sérelmet szenvedne, közvetlenül - jelzi helyi szerv-vezetőjének, s indokolt esetben a helyi szerv-vezetőjénél kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását; d) helyi szinten gondoskodik személyi állomány oktatásáról; e) közreműködik az adatvédelmi jogszabályok és magasabb szintű belső normák tervezeteinek véleményezésében, jelzi a jogalkalmazás során tudomására jutott, esetleges normamódosítást igénylő problémákat; f) vezeti a helyi szerv belső adatvédelmi nyilvántartását, gondoskodik annak aktualizálásáról és amennyiben szükséges a Vas MKI felé kérelem kitöltése útján jelzi, hogy az adatvédelmi nyilvántartást kíván bejelenteni; j) feladatának ellátása során szükség szerint együttműködik az Informatikai Osztállyal, k) évente február 28-ig értékeli a helyi szerv adatvédelmi és adatbiztonsági helyzetét, és azt - 5 munkanapon belül - a szolgálati út betartásával a Vas MKI adatvédelmi felelősének felterjeszti. 44. A Szabályzat 43. pont k) alpontjában meghatározott éves adatvédelmi jelentés különös tartalmi elemeit a BM OKF Adatvédelmi és Adatbiztonsági Szabályzat 119. pontja határozza meg. 45. Az adatvédelemmel kapcsolatos jogszabályi rendelkezések és belső szabályozók betartását az adatkezelést végző szervezeti egységek vezetői kötelesek folyamatosan ellenőrizni. VII. fejezet Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés 46. Törvényi felhatalmazás hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott különleges adat esetén írásbeli hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére. Az érintett kérelmére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. A hozzájárulást a későbbi igazolhatósága érdekében különleges adatnak nem minősülő személyes adatok esetén is célszerű írásban rögzíteni.

11 Vas Megyei Katasztrófavédelmi Igazgatóság -Vas MKI Igazgató 25/2012.számú intézkedésével közzétett- Adatvédelmi és Adatbiztonsági Szabályzata A Vas MKI hivatásos katasztrófavédelmi szervei és az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú (adatállomány kialakítására irányuló) adatkezelést végeznek. 48. Az ügyvitelhez kapcsolódó adatkezelés az ügy nyilvántartásához (iktatásához), feldolgozásához kapcsolódik. Alapvető célja az adott ügyhöz tartozó vizsgálat, eljárás lefolytatásához, az adatkezelés szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek, kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges. 49. A nyilvántartási célú adatkezelés az Infotv ában, továbbá más jogszabályokban előre meghatározott adatkörök alapján gyűjtött adatfajtákból álló adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, lekérdezhetőségét. 50. A BM OKF Adatvédelmi és Adatbiztonsági Szabályzata XIII. fejezet 127. pontja meghatározza a nyilvántartási célú adatállomány kialakításának elrendelésére jogosult személyek körét. 51. A nyilvántartási célú adatállomány kialakítását megelőzően kellő időt kell biztosítani az adatvédelmi felelős véleménynyilvánítására, akinek véleménye kiterjedhet a kezelendő a nyilvántartási célú adatállomány a BM OKF Adatvédelmi és Adatbiztonsági Szabályzata XXV. fejezet 225. pontja szerint meghatározott biztonsági fokozatának megjelölésére tett javaslatra is. Az adatkezelő a biztonsági fokozat megjelölését a nyilvántartáson feltünteti. VIII. Fejezet Belső adatvédelmi nyilvántartás 52. A Szabályzat alkalmazása során az Infotv.-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának XIV. fejezetében meghatározottakon túl: 53. Az adatkezelés megkezdése előtt a Vas MKI adatvédelmi felelőse és a helyi szervek adatvédelmi felelősei a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának 2. mellékletében meghatározott tartalmú Kérelem kitöltésével dokumentálják a nyilvántartási célú adatállomány létrehozatalát. 54. A területi és helyi adatállományok adatlapját a Katasztrófavédelem belső adatvédelmi felelősének - a szolgálati út betartásával - az Igazgató küldi meg. IX. Fejezet Adattovábbítás a katasztrófavédelmi adatkezelésekből, adattovábbítási nyilvántartás 55. A Szabályzat alkalmazása során az Infotv.-ben, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának XIX. - XXIV. fejezetében meghatározottakon túl:

12 Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása - a törvényben kötelezően előírt adattovábbítás esetét kivéve az adatkezelő szerv vezetőjének, vagy az általa kijelölt vezetőnek hatáskörébe tartozik. Az adatigénylés abban az esetben teljesítheti, ha az tartalmazza: a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését); b) a kért adatok körének pontos meghatározását; 57. A Vas MKI hivatásos katasztrófavédelmi szervei által kezelt személyes adatok továbbításáról - illetve a Hatóság tájékoztatása érdekében, értelemszerű változtatásokkal az elutasított kérelmekről - szervezeti egységenként az Infotv. 15. (2) bekezdésben meghatározott adattartalommal, e Szabályzat 1. számú melléklete szerinti adattovábbítási nyilvántartást kell vezetni. A Hatóság tájékoztatása a Szabályzat 31. pontja szerint történik. X. Fejezet A Vas MKI és helyi szervei személyi állományának és a pályázók személyes adatainak kezelése 58. A Vas MKI hivatásos katasztrófavédelmi szervei személyügyi nyilvántartásának kezelésére és vezetésére a BM OKF a katasztrófavédelem Humán Szabályzatának rendelkezései az irányadóak. A személyügyi nyilvántartási adatkezelést figyelemmel az Infotv a (3) bekezdésének a) pontjára nem kell bejelenteni az adatvédelmi nyilvántartásba. 59. A Vas MKI által kiírt pályázatokra beküldött jelentkezésekhez mellékelni kell a pályázóknak a személyes adatok kezeléséhez a pályázati anyaggal együtt megadott személyes hozzájárulását. A pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak kérésére 90 napon belül vissza kell küldeni, vagy a pályázónak a személyes adatai további pályázatok során történő felhasználására vonatkozó hozzájárulása hiányában meg kell semmisíteni. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni. 60. A Vas MKI bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban lévő személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes adatokat törölni kell. 61. A Vas MKI a személyi állományra vonatkozó adatok közül az érintett hozzájárulása nélkül közérdekből adhat tájékoztatást nevéről, beosztásáról, munkaköréről, valamint ha azt törvény nem zárja ki egyéb, a közfeladata ellátásával összefüggő adatairól. A tájékoztatásadásról, annak tartalmáról az érintettet értesíteni kell. 62. A Vas MKI Humán Szolgálat Vezetője biztosítja, hogy az érintett a róla kezelt adatokat megismerhesse, a kezelt adatokat tartalmazó iratokról kérelmére - másolatot vagy kivonatot kaphasson. 63. A személyi állomány tagja: a) kérheti adatai helyesbítését, illetve kijavítását, amelyet megalapozott kérelem esetén a szervezeti egység köteles teljesíteni; b) kérheti azon adatainak törlését, amelyek kezelésére a szervezeti egység nem rendelkezik törvényi felhatalmazással, vagy amely adat kezelése az érintett hozzájárulásán alapult; c) jogosult megismerni, hogy a nyilvántartásokban kezelt adatait kinek, milyen célból és milyen adatkört érintően továbbították, ennek érdekében a Humán Szolgálatvezető köteles adattovábbítási nyilvántartást vezetni;

13 Vas Megyei Katasztrófavédelmi Igazgatóság -Vas MKI Igazgató 25/2012.számú intézkedésével közzétett- Adatvédelmi és Adatbiztonsági Szabályzata A Betekintési lap alkalmazásának szabályai: a) a személyes adatokat tartalmazó iratokba az arra jogosult személy e Szabályzat 2.számú melléklet szerinti "Betekintési lap" kitöltésével tekinthet be; b) a Betekintési lapon meg kell jelölni a betekintést kérőt (szerv, személy), a betekintés időpontját, annak jogcímét, célját, a megismerni kívánt adatok körét, a betekintő aláírását; c) Humán Szolgálat Vezetője a Betekintési lapot a személyügyi dosszié részeként kezeli. 65. A Vas MKI állománya tekintetében a vagyonnyilatkozat-tételre köteles közszolgálatban álló személyek vagyonnyilatkozattal kapcsolatos összes iratát az egyéb iratoktól elkülönítetten és együttesen kell tárolni a Vas MKI Humán Szolgálatánál külön erre a célra rendszeresített biztonsági tárolóban /a továbbiakban: páncélszekrény/. A páncélszekrény kulcsait a Humán Szolgálat vezetője vagy az általa kijelölt személy őrzi. A páncélszekrényből iratot kivenni, illetve oda behelyezni csak a Humán Szolgálat vezetőjének engedélyével lehet. A vagyonnyilatkozatokkal kapcsolatos adatokat fokozott biztonsági fokozatba kell sorolni és a védelem szempontjából az ennek megfelelő - a BM OKF Adatvédelmi és Adatbiztonsági Szabályzatának 210. pontja szerinti - intézkedéseket kell alkalmazni. XI. fejezet A közérdekű, és közérdekből nyilvános adatok egyedi igénylésének és teljesítésének szabályai 66. A Vas MKI hivatásos katasztrófavédelmi szerveitől a közzétételi listákon nem szereplő közérdekű, vagy közérdekből nyilvános adatot (a továbbiakban: közérdekű adat) bárki igényelhet szóban, írásban vagy elektronikus formában egyaránt. 67. Ha az adatigénylés nem egyértelmű, az adatkezelő szerv felhívja az igénylőt az igénylés pontosítására. Szóbeli, egyedi, azonnal nem teljesíthető adatigénylés esetén az ügyintézőnek írásba kell foglalnia a kérelmet. 68. A közérdekű adat megismerésére irányuló igénynek az adatkezelő szerv az igény tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül tesz eleget. Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, e határidő egy alkalommal 15 nappal meghosszabbítható. Erről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. 69. A közérdekű adat megismerésére irányuló igényt soron kívül be kell mutatni az adatot kezelő szerv vezetőjének, aki köteles gondoskodni a megkeresés határidőben történő megválaszolásáról. Az adatkezelő szerv vezetője az érintett szervezeti egység vezetőjének a kérelmet véleményezésre küldi, aki a lehető legrövidebb időn belül, de legfeljebb 5 napon belül köteles véleményét megadni, illetve az igénylő számára adandó válasz tervezetét elkészíteni. 70. Az adatigénylésnek közérthető és - amennyiben ezt az adatot kezelő közfeladatot ellátó szerv aránytalan nehézség nélkül teljesíteni képes - az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. Ha a kért adatot korábban már elektronikus formában nyilvánosságra hozták, az igény teljesíthető az adatot tartalmazó nyilvános forrás megjelölésével is. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem

14 14 lehet eleget tenni. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni. 71. Amennyiben az igényelt adat kezelője nem a megkeresett szerv, úgy azt haladéktalanul köteles továbbítani a közérdekű adatot kezelő szervnek. Az igény áttételéről egyidejűleg tájékoztatni kell az igénylőt. 72. A közérdekű adat megismerésére irányuló igény teljesítésének megtagadásáról, annak indokaival, valamint az igénylőt az Infotv. alapján megillető jogorvoslati lehetőségekről való tájékoztatással együtt, 8 napon belül írásban vagy - ha az igényben elektronikus levelezési címét közölte - elektronikus levélben értesíteni kell. Az elutasított közérdekű adat megismerési kérelmekről, valamint az elutasítások indokairól az adatkezelő e Szabályzat 3. számú melléklete szerinti nyilvántartást vezet, és az abban foglaltakról a Vas MKI adatvédelmi felelőse a Szabályzat 31. pontjában rögzített eljárási rendben minden év január 31-éig tájékoztatja a Hatóságot. A kérelem elbírálásával érintett helyi adatkezelő szerv köteles havonta, tárgyhót követő 5. napjáig a Vas MKI adatvédelmi felelősét tájékoztatni az elutasított közérdekű adat megismerési kérelmekről. A Vas MKI adatvédelmi felelőse köteles a megküldött adatokat rendszerezni, és a havi a jogi tevékenységről szóló jelentés részeként tájékoztatást adni a BM OKF Jogi és Igazgatási Főosztály felé. 73. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről, annak tárolási módjától függetlenül az igénylő másolatot kaphat. Az adatkezelő szerv a másolat készítéséért az azzal kapcsolatban felmerült költség mértékéig terjedően költségtérítést állapíthat meg, amelynek összegéről az igénylőt az igény teljesítését megelőzően tájékoztatni kell. Ha az a dokumentum vagy dokumentumrész, amelyről az igénylő másolatot igényelt, jelentős terjedelmű, a másolat iránti igényt a költségtérítésnek az igénylő általi megfizetését követő 15 napon belül kell teljesíteni. Arról, hogy a másolatként igényelt dokumentum vagy dokumentumrész jelentős terjedelmű, továbbá a költségtérítés mértékéről, valamint az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségeiről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. 74. A közérdekű adatok korlátozására, a nem nyilvános adatok kezelésére, az adatigénylő személyes adatainak kezelésére vonatkozó rendelkezéseket az Infotv a, valamint 28. (2) bekezdése, továbbá a BM OKF Adatvédelmi és Adatbiztonsági Szabályzat XXVIII. fejezet , és pontjai tartalmazzák. XI/1. A közérdekű adatok közzététele 75. Az általános közzétételi listán megjelölt adatok összegyűjtése, honlapon történő nyilvánosságra hozatalért felelős személy részére történő továbbítása, illetve az adatok folyamatos karbantartása az alábbi személyek feladat-és hatáskörébe tartozik (együttesen a továbbiakban: adatfelelős): a) az általános közzétételi listában megjelölt Szervezeti, személyzeti adatok esetében a Vas MKI Humán Szolgálat vezetője; b) az általános közzétételi listában megjelölt Tevékenységre, működésre vonatkozó adatok esetében a Vas MKI hivatásos katasztrófavédelmi szervei egyes szakterületileg érintett szervezeti egységek vezetői; c) az általános közzétételi listában megjelölt Gazdálkodási adatok esetében a Vas MKI Gazdasági igazgató-helyettese.

15 Vas Megyei Katasztrófavédelmi Igazgatóság -Vas MKI Igazgató 25/2012.számú intézkedésével közzétett- Adatvédelmi és Adatbiztonsági Szabályzata Amennyiben az általános közzétételi lista érintett fejezetében olyan adatok is szerepelnek, amelyekkel a 75. pontban megjelölt adatfelelős nem rendelkezik, úgy megkeresésére 5 napon belül - az adatokkal rendelkező szervezeti egység köteles rendelkezésére bocsátani a szükséges adatokat. 77. Az adatfelelősök gondoskodnak a közreműködésükkel közzétett közérdekű adatok naprakészségének figyelemmel kíséréséről és szükség esetén, a közzétételi listán adott adatfajtára meghatározott időközönkénti - azonnali adatfrissítést előíró rendelkezés esetén a változást követő munkanapon - aktualizálásáról. 78. Külön jogszabály előírhatja a közzétételi listákon nem szereplő adatok nyilvánosságra hozatalát. Ezen közérdekű, vagy közérdekből nyilvános adatok esetében jelen Szabályzat rendelkezéseit megfelelően alkalmazni kell. 79. Az adatfelelősök a Vas MKI szóvivője részére továbbítják a honlap aktuális tartalmának feltöltése érdekében az összegyűjtött adatokat, aki soron kívül - gondoskodik a továbbított közérdekű adatok honlapon történő nyilvánosságra hozataláról. XI/2. Közérdekű bejelentő adatainak védelme 80. Az európai uniós csatlakozással összefüggő egyes törvénymódosításokról, törvényi rendelkezések hatályon kívül helyezéséről, valamint egyes törvényi rendelkezések megállapításáról szóló évi XXIX. törvény 143. (3)-(4) bekezdésében előírtakat kell alkalmazni a közérdekű bejelentést tevő, illetve panaszos személyes adatainak átadására, továbbítására, valamint nyilvánosságra hozatalára. A bejelentés elbírálása érdekében végzett irat- és adatbeszerzés, illetve személyes konzultáció során a bejelentői (panaszosi) minőségre vonatkozó vagy azzal egyébként kapcsolatba hozható személyes adatok a bejelentéssel (panasszal) érintett hatóság, vagy más szerv részére akkor továbbíthatók, ha e szerv annak kezelésére törvény alapján jogosult, vagy ha ahhoz a bejelentő (panaszos) egyértelműen hozzájárult. A bejelentő adatai egyértelmű hozzájárulása nélkül nem hozhatók nyilvánosságra. Mellékletek 1. számú melléklet adattovábbítási nyilvántartás 2. számú melléklet betekintési lap 3.számú melléklet Nyilvántartás a közérdekű adat, és a közérdekből nyilvános adat megismerése tárgyában benyújtott elutasított kérelmekről, illetve az elutasítás indokairól

16 Szervezeti egység megnevezése:.. Vas MKI Adatvédelmi és adatbiztonsági szabályzatának 1. számú melléklete Adattovábbítási nyilvántartás (2011.éviCXII.törvény 15. (2) bekezdés alapján) Ssz Adattovábbítás időpontja Adattovábbítás érintettje Adattovábbítás célja jogalapja Továbbított személyes adatok körének meghatározása (továbbított adatok fajtája /maguk a szolgáltatott adatok nem képezik az adattovábbítási nyilvántartás részét/) Az adatkezelést előíró jogszabályban meghatározott egyéb adatok Adatigénylő (adattovábbítás címzettje) neve, vagy megnevezése, lakóhelyének vagy székhelyének, telephelyének címét, továbbá az adatigénylő szerv nevében eljáró személy nevét vagy egyedi azonosítóját Iktatószám,ügyintéző (Az adattovábbítási nyilvántartás hitelesítését a nyilvántartás megnyitáskor el kell végezni, és azt az év utolsó napján azt le kell zárni! Évente 1-es sorszámmal kezdődik).oldal

17

18 Vas MKI Adatvédelmi és adatbiztonsági szabályzatának 2. számú melléklete Betekintési lap A betekintést kérő szerv /személy neve: A betekintést kérő szerv személy címe/ székhelye: Betekintés időpontja: Betekintés jogcíme: Betekintés célja: Megismerni kívánt adatok köre kire, és milyen adatokra vonatkozik) Kelt: betekintő aláírása Az adatkezelő szerv megállapításai: Kelt: Adatkezelő

19 Vas MKI Adatvédelmi és adatbiztonsági szabályzatának 3. számú melléklete Nyilvántartás a közérdekű adat, és a közérdekből nyilvános adat megismerése tárgyában benyújtott elutasított kérelmekről, illetve az elutasítás indokairól (2011.éviCXII. törvény. 30. (3) bekezdés ) iktatószám kérelem beérkezésének időpontja Kérelem közérdekű adat*/közérdekből nyilvános adat* elutasítás indoka Igénylő adatai oldal