AZ EMBERI ERŐFORRÁS TÁMOGATÁSKEZELŐ ADATVÉDELMI ÉS INFORMATIKAI SZABÁLYZATA

Átírás

1 AZ EMBERI ERŐFORRÁS TÁMOGATÁSKEZELŐ ADATVÉDELMI ÉS INFORMATIKAI SZABÁLYZATA [Kiadva a 20/2013. főigazgatói belső utasítás mellékleteként, hatályos július 24-től]

2 TARTALOMJEGYZÉK I. ÁLTALÁNOS RÉSZ Bevezetés A Szabályzat célja és hatálya Értelmező rendelkezések Kapcsolódás jogszabályokhoz, belső szabályzatokhoz... 7 II. ADATVÉDELMI RENDELKEZÉSEK Szervezetre vonatkozó előírások Az adatkezelés általános szabályai A személyes adatok kezelésére vonatkozó különös szabályok Közérdekű és közérdekből nyilvános adatok kérelemre történő megismerésének rendje Kötelezően közzéteendő közérdekű adatokra vonatkozó rendelkezések III. AZ INFORMATIKAI BIZTONSÁGHOZ KAPCSOLÓDÓ RENDELKEZÉSEK Szervezetre vonatkozó előírások A Támogatáskezelő működése szempontjából kritikus, kiemelt, normál és egyéb rendszerek Kockázatkezelés Jelszavak Adatbiztonság, adatkezelés Mentés, archiválás Rosszindulatú alkalmazások elleni védelem, incidensek kezelése

3 I.ÁLTALÁNOS RÉSZ 1. Bevezetés 1.1 Az Emberi Erőforrás Támogatáskezelő (a továbbiakban: Támogatáskezelő)jogállását tekintve központi költségvetési szerv, központi hivatal, alaptevékenysége körében ellátja a miniszter által megjelölt, vagy jogszabály alapján kijelölt fejezeti kezelésű előirányzatok, normatív hozzájárulások, ösztöndíjak, pénzbeli ellátások és egyéb támogatások, programok pályázati, illetve más úton történő felhasználásának előkészítésével, lebonyolításával és ellenőrzésével kapcsolatos feladatokat. E feladatok teljesítése jól és hatékonyan működő szervezetet igényel, mely működés alapvető biztosítéka a megbízhatóan üzemelő informatikai rendszer, valamint annak szolgáltatásait igénybe vevő felhasználók szakszerű és jogkövető magatartása. 1.2 A Támogatáskezelő tevékenysége során személyes, különleges, közérdekű és közérdekből nyilvános adatok kezelése is előfordul, ezért az adatkezelésre vonatkozó előírások szabályzatban rögzítése indokolt. 1.3 Jelen Adatvédelmi és informatikai szabályzat (a továbbiakban: Szabályzat) rögzíti a Támogatáskezelő adatvédelemre és az informatikai rendszerek és szolgáltatások üzemeltetésére és használatára vonatkozó alapvető szabályait. 1.4 Jelen Szabályzatban nem szabályozott kérdésekben a Szabályzat I/4./4.1. pontban felsorolt, a Támogatáskezelő egyéb belső szabályzataiban foglaltak, valamint a Szabályzat jogszabályi alapját képező, I/4/4.1. pontban foglalt jogszabályok az irányadók A Szabályzat célja 2. A Szabályzat célja és hatálya a) meghatározni a Támogatáskezelő hatékony működésének biztosítása érdekében, valamint támogatási feladatainak megerősítése, az információszerzés és -áramlás elősegítése, a kapcsolatteremtés és kapcsolattartás új lehetőségeinek, valamint az információ szabad áramlásának informatikai eszközökkel történő biztosítása érdekében a Támogatáskezelő informatikai rendszerei és szolgáltatásai kialakításának, üzemeltetésének, igénybevételének és ellenőrzésének rendjét, b) biztosítani a Támogatáskezelő szervezeti tevékenysége során a személyes adatok védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez fűződő, az Alaptörvény 6. cikkének (2) bekezdése szerinti információs önrendelkezési és információszabadságra vonatkozó jog érvényesülését, c) meghatározni a Támogatáskezelő által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat és gondoskodni azok érvényesítéséről, továbbá eleget téve az információs önrendelkezési jogról, és az információszabadságról szóló évi CXII. törvény (a továbbiakban: Infotv.) 30. (6) bekezdésében, illetve 35. (3) bekezdésében foglaltaknak meghatározni a közérdekű adatok megismerésére irányuló igények teljesítésének rendjét, és a közzétételi listákon szereplő közérdekű adatok kötelező közzétételének keretszabályait A Szabályzat hatálya kiterjed a) a Támogatáskezelő egészében és annak különböző, a Támogatáskezelő Szervezeti és Működési Szabályzatában (továbbiakban: SZMSZ) megjelölt szervezeti egységeinél folytatott valamennyi informatikai tevékenységre; 3

4 b) minden olyan adatkezelésre és adatfeldolgozásra, amely az Infotv. szerinti személyes, különleges, közérdekű, vagy közérdekből nyilvános adatra vonatkozik, függetlenül attól, hogy az adatkezelés, illetve adatfeldolgozás teljesen vagy részben automatizált eszközzel vagy manuális módon történik; c) a védelmet élvező adatok teljes körére, felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájától függetlenül; d) valamennyi a Támogatáskezelő tulajdonában, vagy bérleményében álló, vagy a Támogatáskezelő használatában álló épületben található, leltári jelzéssel ellátott, továbbá a Támogatáskezelő megbízásából a Támogatáskezelő munkatársai számára harmadik személy által biztosított informatikai eszközre és azok műszaki dokumentációjára; e) az informatikai folyamatokban szereplő összes dokumentációra; f) a rendszer- és felhasználói alkalmazásokra; g) az adatok felhasználására vonatkozó utasításokra; h) az adathordozókra, azok tárolására és felhasználására A Szabályzat rendelkezéseit értelemszerűen alkalmazni kell minden olyan adatkezelésre, amelyet a Szabályzat I/2.5. pontjában megnevezett adatkezelő szerv vezetőjének meghatalmazása alapján külső szervezet végez, valamint a beléptető rendszerben történő adatkezelésre is A Szabályzat személyi hatálya kiterjed minden személyre, aki a Támogatáskezelő informatikai vagy azzal összefüggő rendszerét, szolgáltatásait igénybe veszi, informatikai struktúráját és annak eszközeit üzemelteti vagy használja, függetlenül a Támogatáskezelőhöz kapcsolódó jogviszonyától Az adatvédelmi és adatbiztonsági előírások alkalmazása szempontjából adatkezelő szerv vezetőjének kell tekinteni a főigazgatót, a főigazgató-helyetteseket, a jogi és koordinációs igazgatót, szakmai területük tekintetében az SZMSZ-ben megjelölt igazgatóságokat vezető igazgatókat, valamint az EU Kiemelt Projektek Programiroda vezetőjét Az adatkezelő szerv vezetőjének felelősségi körébe tartozik a) az SZMSZ szerint irányítása alá tartozó szerv, illetve szervezeti egység adatvédelmi és adatbiztonsági intézményrendszerének kiépítése és működtetése, ennek keretében a szerv, illetve szervezeti egység által az ellátott ügykörhöz igazodóan kezelt, védelmet élvező adatok biztonságát biztosító személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtétele; b) az irányítása alá tartozó szerv, illetve szervezeti egység tevékenységének rendszeres adatvédelmi ellenőrzése, az ennek során esetlegesen feltárt hiányosságok, esetleges jogszabálysértő körülmények megszüntetése, a személyi felelősség megállapításához szükséges eljárás kezdeményezése, illetve lefolytatása; c) azi/2.6./a)-b)pontokban foglaltak hatékony és eredményes teljesítése érdekében az Informatikai Osztály bevonása az informatikai szakismeretet igénylő feladatok végrehajtásába. 4

5 3. Értelmező rendelkezések A Szabályzat alkalmazása során: adat:az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas; adatállomány: az informatikai rendszerben logikailag összetartozó, együtt kezelt adatok összessége; adatátvevő: a személyes adatokat az adattovábbító adatkezelőtől átvevő adatkezelő; adatátvitel: adatok informatikai rendszerek, rendszerelemek közti továbbítása; adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni technikai, szervezési megoldások és eljárási szabályok összessége, az adatkezelésnek azon állapota, amelyben a fenyegetettséget jelentő kockázati tényezőket különböző műszaki, szervezési megoldások és intézkedések a lehető legkisebb mértékűre csökkentik; adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik; adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, adat tárolására alkalmas, továbbá adatot tartalmazó anyag; adatvédelem: a személyes adatok kezelésének normatív szabályozása az érintett információs önrendelkezési jogának biztosítása és érvényesítése érdekében; alkalmazás: a szoftver és minden egyéb olyan számítógépes program, amelyet egy feladat vagy feladatkör végrehajtására terveztek; authentikáció: az adatcsere során a kommunikációban résztvevő felek identitása megállapításának és ellenőrzésének folyamata; bizalmasság: az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek felhasználásáról; biztonság: a védeni kívánt rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely zárt, teljes körű, folytonos és a kockázatokkal arányos védelmet valósít meg; biztonsági esemény: az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, melynek hatására az informatikai rendszerben tárolt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült, vagy megsérülhet; érintett: bármely meghatározott, személyes adat alapján azonosított, vagy közvetlenül vagy közvetve azonosítható természetes személy; fájl: számítógépen tárolt információtárolási egység. Egy fájl tartalma a gép szempontjából vagy adat, vagy program, amely a processzor által végrehajtható utasításokat tartalmaz; 5

6 felhasználó: meghatározott jogosultságokkal bíró olyan személy, aki a Támogatáskezelő informatikai rendszerét, hálózatát, szolgáltatásait authentikációt követően igénybe veszi; hálózat: informatikai eszközök közti adatátvitelt megvalósító logikai és fizikai eszközök összessége; hitelesség: az adat olyan tulajdonsága, amely arra vonatkozik, hogy az adatbizonyítottan vagy bizonyíthatóan az elvárt forrásból származik; incidens: a szolgáltatás standard működésétől eltérő esemény, amely fennakadást vagy minőségcsökkenést okoz, vagy okozhat a szolgáltatásban; információs önrendelkezési jog: az Alaptörvény VI. cikkének (2) bekezdésében biztosított, mindenkit megillető, személyes adatai védelméhez való jognak azon alapvető tartalma, hogy minden természetes személy maga rendelkezik személyes adatainak feltárásáról és felhasználásáról; információszabadság: az Alaptörvény VI. cikkének (2) bekezdésében biztosított a közérdekű adatok megismeréséhez és terjesztéséhez való jognak azon alapvető tartalma, hogy mindenkinek joga van az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy tevékenységére vonatkozó, vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső közérdekű, illetve a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez; informatikai eszköz: jelen Szabályzat tekintetében informatikai eszköz az asztali számítógép, monitor, hordozható számítógép, nyomtató, telekommunikációs eszközök (telefon, mobiltelefon, fax), adathordozók, mobil eszközök (PALM, PDA, ipad, táblaszámítógépek, adatkapcsolatra alkalmas bármilyen hordozható eszköz), valamint ezek kiegészítői; informatikai szolgáltatás: minden olyan informatikai rendszerhez történő definiált és dokumentált hozzáférési, felhasználási lehetőség, amelyet a rendszer üzemeltetői a felhasználók számára elérhetővé tesznek; közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli; közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; külföld: az Európai Unió tagállamain, valamint az Európai Gazdasági Térségről szóló megállapodásban részes államokon kívüli egyéb államok; különleges adat: a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat; b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint az Infotv pontja szerinti bűnügyi személyes adat; rosszindulatú alkalmazás: a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak a vírusok, férgek (worm), kémprogramok (spyware), agresszív reklámprogramok (adware), a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (rootkit); 6

7 spam-szűrés: a kéretlen reklámlevelek kiemelése a rendes levélforgalomból; személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés; WiFi: a vezeték nélküli helyi hálózat angol elnevezésének rövidítése. 4. Kapcsolódás jogszabályokhoz, belső szabályzatokhoz 4.1 A Szabályzat jogszabályi alapját - az Alaptörvény, - a évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, - a LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről, - a évi C. törvény a számvitelről, - a évi CVI. törvény az állami vagyonról, - a évi CLXXXI. törvény a közpénzekből nyújtott támogatások átláthatóságáról, - a évi CLV. törvény a minősített adat védelméről, - a évi CXII törvény az információs önrendelkezési jogról és az információszabadságról, - a évi CXCV. törvény az államháztartásról, - a évi CXCIX. törvény a közszolgálati tisztviselőkről, - a évi LXIII. törvény a közadatok újrahasznosításáról, - a 249/2000. (XII. 24.) Korm. rendelet az államháztartás szervezetei beszámolási és könyvvezetési kötelezettségének sajátosságairól, - a 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről, - a 368/2011. (XII. 31.) Korm. rendelet az államháztartásról szóló törvény végrehajtásáról, - a 45/2012. (III. 20.) Korm. rendelet a közszolgálati tisztviselők személyi irataira, a közigazgatási szerveknél foglalkoztatott munkavállalók személyi irataira és a munkaügyi nyilvántartásra, a közszolgálati alapnyilvántartásra és közszolgálati statisztikai adatgyűjtésre, valamint a tartalékállományra vonatkozó egyes szabályokról képezi. 4.2 A Szabályzat szorosan kapcsolódik a Támogatáskezelő alábbi belső szabályzataihoz, dokumentumaihoz: - Szervezeti és Működési Szabályzat, - Egyedi Iratkezelési szabályzat, - Közszolgálati szabályzat, - Közszolgálati adatvédelmi szabályzat, - Közérdekű adatok kötelező vagy saját döntésen alapuló elektronikus közzétételének rendjéről szóló szabályzat, - Tűzvédelmi szabályzat, - Munkavédelmi szabályzat, - Infokommunikációs szabályzat, - Gépjármű üzemeltetési szabályzat, - Bel- és külföldi kiküldetési szabályzat, 7

8 - Önköltség-számítási Szabályzat (Számvitel-politikai Szabályzat 4. kiegészítése), - munkaköri leírások. II.ADATVÉDELMI RENDELKEZÉSEK 1.1 A Támogatáskezelő főigazgatója 1. Szervezetre vonatkozó előírások a) kiadja az Adatvédelmi és informatikai szabályzatot; b) kiadja a Közszolgálati adatvédelmi szabályzatot; c) kiadja a Közérdekű adatok kötelező vagy saját döntésen alapuló elektronikus közzétételének rendjéről szóló szabályzatot; d) felügyeli az adatvédelmi feladatok ellátását; e) felelős a közérdekű, és közérdekből nyilvános adatok szolgáltatására vonatkozó kötelezettség teljesítéséért, annak teljességéért és hitelességéért. 1.2 A jogi és koordinációs igazgató a) szakmailag irányítja, felügyeli és ellenőrzi a Támogatáskezelő adatvédelmi tevékenységét; b) közreműködik és segítséget nyújt az adatvédelemmel kapcsolatos döntések meghozatalában; c) ellenőrzi az adatvédelemmel kapcsolatos jogszabályok és belső szabályzatok rendelkezéseinek és az adatbiztonsági követelmények érvényesülését; d) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót. 1.3 Az önálló szervezeti egység vezetője a) felelős azért, hogy az irányítása alatt álló szervezeti egység(ek)nél az adatkezelés a jogszabályokban és a jelen Szabályzatban előírt módon történjék; b) a főigazgató útján gondoskodik a szervezeti egység(ek) által kezelt, az Infotv. hatálya alá tartozó adatoknak az adatvédelmi nyilvántartásba történő bejelentéséről a jogszabályban meghatározott módon; c) felelős azért, hogy a szervezeti egység(ek) által történő adatfeldolgozás során az adatbiztonsági előírások maradéktalanul teljesüljenek. 1.4 Az adatkezelést végző személy a) kezeli és megőrzi a feladata ellátása során birtokába került adatokat; b) ügyel a nyilvántartások biztonságos kezelésére és tárolására; c) tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá az adatok pontos, követhető dokumentálásáért; d) gondoskodik arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen személy ne férhessen hozzá. 8

9 2. Az adatkezelés általános szabályai 2.1 A papír alapon kezelt adatokat keletkezésükkor megfelelő minőségű adathordozóra kell rögzíteni. 2.2 Az adatok olvashatóságáért az azokat felvevő, illetve rögzítő személy felel. Az adatok jogosulatlan megismerésének megakadályozása érdekében az adathordozókat folyamatos felügyelet alatt kell tartani, vagy el kell zárni. 2.3 Az adatok őrzési, törlési határidejét a jogszabályi előírásoknak megfelelően kell megállapítani, a személyes adatok esetén biztosítani kell a célhoz kötöttség elvének érvényesülését. 2.4 A Támogatáskezelő nem kezel olyan adatot, amely a közadatok újrahasznosításáról szóló törvény alapján továbbítható. 3. A személyes adatok kezelésére vonatkozó különös szabályok 3.1. Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt valamely jogszabály elrendeli, továbbá ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll Különleges adat kezelésére kizárólag akkor jogosult a Támogatáskezelő, ha ahhoz az érintett írásban hozzájárul. Az érintett hozzájárulását vélelmezni kell, ha az adatkezeléssel összefüggő eljárás az érintett kérelmére indul meg. Erre a tényre az érintettet figyelmeztetni kell Az érintett az adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, és az adatokba bele is tekinthet. A betekintést úgy kell biztosítani, hogy az érintett más személy adatait ne ismerhesse meg Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá arról, hogy kik és milyen célból kapták meg az adatokat Adatváltozás vagy téves adatrögzítés észlelése esetén az érintett írásban kérheti kezelt adatainak helyesbítését, illetve kijavítását. A téves adatot az adatkezelő 8 munkanapon belül helyesbíteni köteles Olyan adatkezelés esetén, amelynél számolni kell külföldre irányuló adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele előtt fel kell hívni. Az érintett írásbeli felhatalmazása nélkül személyes adat külföldre nem továbbítható, kivéve, ha ezt törvény lehetővé teszi Az adattovábbítás papír alapon vagy elektronikus úton történhet. Abban az esetben, ha az adattovábbítás elektronikus adatfeldolgozással hatékonyabban teljesíthető, akkor az adattovábbításról az irattár részére kísérőlevelet kell készíteni, amely tartalmazza az adattovábbítást kérő megkeresésében felsorolt adatokat A Támogatáskezelő szervezetén belül a kezelt személyes adat - a feladat elvégzéséhez szükséges mértékben és ideig - csak az üggyel érintett szervezeti egységhez továbbítható, 9

10 feltéve, hogy a személyes adatok megismerése nélkül az ügyben érdemben eljárni nem lehet A Támogatáskezelő szervezetén belül a különböző célú adatkezelések csak törvényes cél érdekében, indokolt esetben, ideiglenesen kapcsolhatók össze Az adatkezelések összekapcsolásával, valamint a megkeresés alapján teljesített adatszolgáltatással kapcsolatos alábbi tényeket, körülményeket jegyzőkönyvben kell rögzíteni: az adatkérő (az összekapcsolt adatkezelések) megnevezése; az adattovábbítás (összekapcsolás) célja, rendeltetése; a továbbított (összekapcsolt) adatok köre; az adattovábbítás (összekapcsolás) jogszabályi alapja; az adattovábbítás (összekapcsolás) módja Nem kötelező adatszolgáltatáson alapuló adatkezelés esetén, az érintett indokolás nélkül írásban kérheti kezelt adatainak törlését. A törlést 8 munkanapon belül el kell végezni Az érintett az adatkezeléssel kapcsolatos jogainak megsértése esetén az illetékes szervezeti egység vezetőjéhez fordulhat A Támogatáskezelőnél foglalkoztatott kormánytisztviselők személyes adatainak kezelése során a Szabályzat pontjaiban foglaltakat a Közszolgálati adatvédelmi szabályzat előírásait figyelembe véve kell alkalmazni. 4. Közérdekű és közérdekből nyilvános adatok kérelemre történő megismerésének rendje 4.1. A Támogatáskezelőre vonatkozó közérdekű adatok bárki számára megismerhetőek és hozzáférhetőek az Infotv-ben foglalt kivételekkel. Azon közérdekű adat megismerésére előterjesztett igény, amely adat nyilvánosságát jogszabály korlátozza, így a minősített adat védelméről szóló évi CLV. törvény szerint minősített adat és a polgári törvénykönyvről szóló évi IV törvény (Ptk.) szerint üzleti titokká minősített adat, nem teljesíthető A közérdekű adatok megismerése korlátozható az Infotv-ben foglalt esetekben A közérdekű adat megismerése iránt szóban, írásban vagy elektronikus úton bárki igényt nyújthat be. Az igény tudomásra jutásától számított legfeljebb tizenöt napon belül az igénylésnek ha jogi akadály nem merül fel eleget kell tenni. Az igényelt adatokat tartalmazó dokumentumról vagy dokumentum részről, annak tárolási módjától függetlenül az igénylő másolatot kaphat. A másolat készítéséért az azzal kapcsolatban felmerült költség mértékéig terjedően költségtérítés állapítható meg, amelynek összegéről az igénylőt a teljesítését megelőzően a Támogatáskezelő tájékoztatja. Az alkalmazandó költségtérítés mértékét a 2. függelék tartalmazza A másolat készítéséért az azzal kapcsolatban felmerült költség mértékéig terjedően költségtérítés állapítható meg, amelynek összegéről az igénylőt a teljesítését megelőzően a Támogatáskezelő tájékoztatja. A közérdekű adatszolgáltatáshoz kapcsolódó költségtérítés összege megállapításának szabályait az Önköltség-számítási Szabályzat (Számvitel-politikai Szabályzat 4. kiegészítése) 5. pontja tartalmazza Jelentős terjedelmű vagy nagyszámú adat igénylése esetén a tizenöt napos határidő egy alkalommal meghosszabbítható újabb tizenöt nappal A teljesített adatigénylés tényéről, illetve a kiadott adatok köréről az adatkezelő szervezeti egység az adatközléssel egyidejűleg tájékoztatja a jogi és koordinációs igazgatót. 10

11 4.7. Az igény teljesítésének megtagadásáról, annak indokaival, valamint az igénylőt megillető jogorvoslati lehetőségekről való tájékoztatással együtt nyolc napon belül írásban vagy - ha az igényben elektronikus levelezési címét közölte - elektronikus levélben értesíti az igénylőt az adatkezelést végző szervezeti egység Az adatkezelést végző szervezeti egység nyilvántartást vezet az elutasított kérelmekről és az elutasítások indokairól. A tárgyévi nyilvántartást legkésőbb a tárgyévet követő év január10. napjáig megküldi a jogi és koordinációs igazgatónak, aki az abban foglaltakról január 31-ig tájékoztatja a Nemzeti Adatvédelmi és Információszabadság Hatóságot Amennyiben az adatigénylés nem egyértelmű, az adatkezelést végző szervezeti egység felhívja az igénylőt a kérelme pontosítására. Ha az adatigénylés nem egyértelműen kiadható adatok megismerésére irányul, az adatkezelést végző szervezeti egység erről két munkanapon belül feljegyzésben tájékoztatja a jogi és koordinációs igazgatót. A jogi és koordinációs igazgató két munkanapon belül tájékoztatja az adatkezelést végző szervezeti egységet az álláspontjáról, mely köti az adatkezelést végző szervezeti egységet a szükséges intézkedések meghozatala során Amennyiben a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, úgy erre hivatkozással az adatigénylés teljesítését nem lehet megtagadni. Ilyen esetben a kért dokumentum meg nem ismerhető adatot nem tartalmazó kivonatát kell az igénylő rendelkezésére bocsátani, vagy a dokumentum másolatán a meg nem ismerhető adatot felismerhetetlenné kell tenni. Az adatigénylésben megjelölt, de korábban már elektronikus formában nyilvánosságra hozott adatok esetében az adatigénylés teljesítése az adatot tartalmazó nyilvános forrás megjelölésével is teljesíthető AII/ pontban foglalt rendelkezéseket a közérdekből nyilvános adat megismerésére előterjesztett igény esetén is alkalmazni kell, amennyiben a törvény az adat megismerhetőségét közérdekből elrendeli A Támogatáskezelő honlapján közzéteszi a közérdekű adatok megismerésére vonatkozó igény benyújtására vonatkozó tájékoztatót és formanyomtatványt, melyet a Szabályzat függeléke tartalmaz. 5. Kötelezően közzéteendő közérdekű adatokra vonatkozó rendelkezések 5.1. A Támogatáskezelő a közzététel rendjéről a Közérdekű adatok kötelező vagy saját döntésen alapuló elektronikus közzétételének rendjéről szóló szabályzatban rendelkezik A Támogatáskezelő az Infotv. szerinti általános közzétételi listába, valamint bármely más, a tevékenységére vonatkozó jogszabályban meghatározott különös közzétételi listába, valamint a főigazgató által meghatározott egyedi közzétételi listába tartozó adatokat, továbbá mindazon közérdekből nyilvános adatokat, melyek nyilvánosságra hozatalát jogszabály így rendeli, saját honlapján vagy a jogszabályban előírt honlapon teszi közzé digitális formában úgy, hogy azok bárki számára, személyi azonosítás nélkül, korlátozástól mentesen és kinyomtatható, részleteiben is adatvesztés és -torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatátvitel szempontjából is díjmentesen hozzáférhetők legyenek. 11

12 III.AZ INFORMATIKAI BIZTONSÁGHOZ KAPCSOLÓDÓ RENDELKEZÉSEK 1. Szervezetre vonatkozó előírások 1.1 Az informatikai és logisztikai igazgató a) felelős a Támogatáskezelő működésével kapcsolatos informatikai üzemeltetési és fejlesztési feladatok ellátásáért; b) elkészíti és karbantartja az informatikai terület üzemeltetési, informatikai biztonsági és fejlesztési folyamatainak szabályozását. 1.2 A Humánpolitikai Osztály vezetője felelős azért, hogy a Támogatáskezelőhöz belépő új munkatársak számára a munkavégzéshez szükséges informatikai eszközök és jogosultságok igénylése határidőben megtörténjen, továbbá, hogy a Támogatáskezelőtől kilépő munkatársak kilépésének, jogviszonyának és jogosultságainak megszűnésének pontos időpontjáról haladéktalanul tájékoztassa az informatikai és logisztikai igazgatót. 1.3 Az önálló szervezeti egység vezetője felelős azért, hogy a szervezeti egység(ek)be belépő új, vagy a szervezettől távozó munkatársak jogosultságainak aktualizálása érdekében haladéktalanul írásban értesítse az Informatikai és Logisztikai Igazgatóságot. 2. A Támogatáskezelő működése szempontjából kritikus, kiemelt, normál és egyéb rendszerek 2.1. A Támogatáskezelő működése szempontjából kritikus az a rendszer, amely a Támogatáskezelő egészére kiterjed, vagy amely összefügg a Támogatáskezelő alaptevékenységével, vagy amely személyes adatot tartalmaz. A kritikus rendszerek adatbiztonsági szempontból kiemelt védelmet igényelnek. E körbe tartoznak különösen az alábbi rendszerek: a) bér- és munkaügyi rendszer; b) gazdasági, ügyviteli rendszer; c) iratkezeléssel összefüggő rendszerek; d) támogatással, pályáztatással összefüggő rendszerek; e) EU információs rendszer; f) központi levelező kiszolgálók; g) központi tárhelykiszolgálók; h) intézményi authentikációs rendszerek A Támogatáskezelő szempontjából kiemelt rendszerek azok, melyek elsősorban technikai jellegűek, a rajtuk tárolt adatok nem személyes jellegűek. E körbe különösen az alábbi rendszerek tartoznak: a) telekommunikációs rendszer és hálózat; b) kommunikációs rendszerek; c) technológiai rendszerek Normál rendszerek a kritikus és kiemelt rendszerek körébe nem sorolt, de a Támogatáskezelő napi működése szempontjából kritikus, továbbá a Támogatáskezelő egészére nem, csak egyes részeire kiterjedő olyan rendszerek, amelyek használatához szükséges a személyes authentikáció A kritikus, kiemelt és normál rendszerek körébe nem sorolt rendszerek. 12

13 3. Kockázatkezelés 3.1. Minden kritikus rendszer és kiemelt rendszer besorolású szolgáltató rendszer esetében rendelkezni kell olyan kockázatelemzéssel, ami a rendszer által nyújtott szolgáltatások részleges vagy teljes kimaradásának a Támogatáskezelő működőképességére tett hatásait tartalmazza. Külön kell kezelni a szolgáltatás elérhetetlenségéből, illetőleg az adatbázis sérülésből származó hatásokat. A kockázatelemzési dokumentum előállítása és karbantartása a szolgáltatás üzemeltetőjének a feladata Kritikus rendszer és kiemelt rendszer üzemeltetése a Támogatáskezelő működési területein kizárólag a főigazgató engedélyével, míg normál rendszer és egyéb rendszer üzemeltetése a Támogatáskezelő területén az informatikai és logisztikai igazgató engedélyével történhet. 4. Jelszavak 4.1. A Támogatáskezelő az authentikáció megfelelő működése érdekében a felhasználók számára a különféle hozzáférések biztosításához jelszavakat biztosít. A jelszavaknak legalább az alábbi biztonsági feltételeknek meg kell felelniük: a) rendszeres időközönként cserélődnek; b) régebbi jelszavak használatának tilalma négy generációig visszamenőleg; c) alfanumerikus jelszavak használata; d) nevek, felhasználóhoz köthető karaktersorozatok, azonos, vagy ismert logika szerint egymást követő karakterek, továbbá a felhasználóra, munkakörére utaló szavak jelszavakként történő használatának tilalma; e) sikertelen belépési kísérletek korlátozása Elfelejtett jelszó esetén írásbeli kérelemre az Informatikai Osztály a felhasználó jogosultságának ellenőrzését követően új jelszót bocsát a felhasználó rendelkezésére A Támogatáskezelő által kiadott valamennyi jelszót és a jelszavakat tartalmazó adatfájlokat legalább 128 bites SSL vagy annak megfelelő szintű titkosítással kell ellátni, továbbá a jelszavak továbbítása is csak titkosított formában történhet. 5. Adatbiztonság, adatkezelés 5.1. A Támogatáskezelő informatikai rendszerében adattárolásra az alábbi eszközökön van lehetőség: a) hálózati meghajtó b) asztali számítógép vagy hordozható számítógép merevlemeze c) hordozható adathordozók (CD, DVD, pendrive, stb.) 5.2. A Támogatáskezelő informatikai eszközein és hálózati meghajtóin kizárólag a felhasználó munkakörével és munkájával kapcsolatos adatok tárolhatók. A felhasználó saját, munkájával összefüggésbe nem hozható adatait az Informatikai Osztály, vagy a Támogatáskezelő által ezzel megbízott külső személy előzetes felszólítás nélkül törölheti A felhasználó felel az általa használt informatikai eszközökön tárolt adatok védelméért, így különösen köteles: 13

14 a) a bizalmas és belső használatú információkat hordozható eszközökön titkosítva tárolni; b) tartózkodni a bizalmas és belső használatú információk kódolatlan külső hálózaton történő küldésétől; c) tartózkodni a jelszavak titkosítás nélküli tárolásától; d) a mobil eszközök valamennyi biztonsági szolgáltatását használni; e) az asztali számítógépet és a hordozható számítógépet jelszóval védeni; f) a felügyelet nélkül hagyott asztali számítógépet és a hordozható számítógépet zárolni A felhasználó adatkezelését, ideértve különösen az adatok másolását, áthelyezését, továbbítását, fel- és letöltését az Informatikai Osztály a Támogatáskezelő adatbiztonsága érdekében naplófájlban rögzítheti és tárolhatja. 6. Mentés, archiválás 6.1. A hálózati meghajtókon tárolt adatok biztonsága érdekében az adatokról az Informatikai Osztály napi rendszerességgel mentést végez, vagy tükrözött merevlemezekkel (Raid) működő szervereket üzemeltet A legfontosabb adatokról az Informatikai Osztály legalább kéthetente optikai adathordozóra is teljes archiválást végez. Az adathordozókat azonosító sorszámmal látja el és azokról archiválási nyilvántartást vezet Az archiválásokat tartalmazó adathordozókon jól láthatóan és azonosíthatóan fel kell tüntetni a mentett rendszer (adatállomány) nevét, a mentés típusát és idejét, melyeket az archiválási nyilvántartásban is fel kell tüntetni Az archiválásokat tartalmazó adathordozókat a hálózati meghajtók és szerverek adatait tartalmazó adathordozókétól elkülönített helyiségben és épületben, zárt helyiségben vagy szekrényben kell őrizni. 7. Rosszindulatú alkalmazások elleni védelem, incidensek kezelése 7.1. Valamennyi a Támogatáskezelő tulajdonában, vagy bérleményében álló, vagy a Támogatáskezelő használatában álló épületben található, leltári jelzéssel ellátott, továbbá a Támogatáskezelő megbízásából a Támogatáskezelő munkatársai számára harmadik személy által biztosított asztali számítógépet és hordozható számítógépet a Támogatáskezelő ellátja a rosszindulatú alkalmazások elleni védelemmel. A rosszindulatú alkalmazások ellenőrzése a levelezés, internet használat és fájl műveletek során automatikusan történik, a rosszindulatú alkalmazások elleni védelemre telepített alkalmazás frissítése is automatikus A rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás eltávolítása, ideiglenes vagy tartós kikapcsolása, vagy bármilyen, működésének hatékonyságát befolyásoló beavatkozás szigorúan tilos. 14

15 7.3. A felhasználó köteles haladéktalanul jelenteni az Informatikai Osztálynak, ha rosszindulatú alkalmazás jelenlétének gyanúját észleli az informatikai eszközön. Rosszindulatú alkalmazás jelenlétére utaló jelek különösen: a) rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás névvel azonosított rosszindulatú alkalmazást jelez; b) fájl másolása esetén a forrásfájl és a célfájl mérete, neve eltérő; c) szokatlan és váratlan képernyő tevékenység; d) szokatlan alkalmazás-tevékenység: felhasználói beavatkozás nélkül elinduló alkalmazások, a megszokottól eltérően viselkedő alkalmazások, elérhetetlen funkciók, stb. e) jelentősen lassult működés, amely többszöri újraindítás során sem javul Külső adathordozó használata előtt az adathordozó adatállományát a rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás használatával ellenőrizni kell Megtörtént, vagy folyamatban levő biztonsági incidens észlelésekor a felhasználó haladéktalanul köteles értesíteni az Informatikai Osztályt. A felhasználó nem kísérelheti meg a támadó felderítését, nem tehet ellenlépéseket, kivéve, ha az Informatikai Osztály erre kifejezett utasítást ad. 15

16 Függelék a 20/2013. EMET főigazgatói belső utasítás mellékletéhez TÁJÉKOZTATÓ A KÖZÉRDEKŰ ADATOK EGYEDI IGÉNYLÉSÉRŐL Általános információk Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény értelmében a közérdekű és a közérdekből nyilvános adatoknak (a továbbiakban együtt: közérdekű adat) megismerése iránt bárki szóban, írásban vagy elektronikus úton igényt nyújthat be a honlapról letölthető igénylőlap kitöltésével, vagy azzal megegyező adattartalmú igénylés benyújtásával. A közérdekű adatok megismerésére irányuló igények teljesítésének rendje A közérdekű adatok igénylésének módja írásban: - a Támogatáskezelő székhelyére címezve:1054 Budapest, Alkotmány u kozadat@emet.gov.hu Ha az igény előterjesztésekor vagy az eljárás bármely későbbi szakaszában az állapítható meg, hogy az igényben szereplő adatokat vagy azok egy részét nem a Támogatáskezelő kezeli, az igény haladéktalanul áttételre kerül az illetékes szervhez az igénylő egyidejű értesítése mellett. Abban az esetben, ha az illetékes szerv nem állapítható meg, az igénylőt erről a Támogatáskezelő értesíti. A Támogatáskezelő az igénynek a lehető legrövidebb időn belül, de legkésőbb a Támogatáskezelőhöz történő beérkezéstől, illetve a szóban előterjesztett igény írásba foglalásától számított 15 napon belül tesz eleget. Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, ez a határidő egy alkalommal 15 nappal meghosszabbítható, amelyről az adatigénylőt 8 napon belül tájékoztatni kell. Az igény teljesítésének megtagadásáról és annak indokairól 8 napon belül a Támogatáskezelő levélben, vagy amennyiben az igény elektronikus úton érkezett vagy az igényben az elektronikus levelezési cím fel van tüntetve, elektronikusan tájékoztatást küld az igénylőnek. Az adatokat tartalmazó dokumentumról az igénylő másolatot kaphat. A másolat készítéséért az azzal kapcsolatban felmerült költség mértékéig terjedően költségtérítés állapítható meg, amelynek összegéről az igénylőt a teljesítést megelőzően tájékoztatjuk. Ha a dokumentum jelentős terjedelmű, a másolat iránti igényt a költségtérítés megfizetését követő 15 napon belül teljesítjük. E bekezdésben írtakról az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatjuk. Jogorvoslat Az igénylő a közérdekű adat megismerésére vonatkozó igény elutasítása vagy a teljesítésre nyitva álló (illetve a meghosszabbított) határidő eredménytelen eltelte esetén, valamint ha a költségtérítést nem fizette meg a másolat készítéséért megállapított költségtérítés összegének felülvizsgálata érdekében keresettel élhet. Az adatigénylő a közérdekű adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatos jogsértés esetén a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1024 Budapest, 16

17 Szilágyi Erzsébet fasor 22/C.) is fordulhat. A pert az igény elutasításának közlésétől, a határidő eredménytelen elteltétől, illetve a költségtérítés megfizetésére vonatkozó határidő lejártától számított harminc napon belül lehet megindítani. Ha az igény elutasítása, nem teljesítése vagy a másolat készítéséért megállapított költségtérítés összege miatt az igénylő a Nemzeti Adatvédelmi és Információszabadság Hatóságnál bejelentést tesz, a pert a bejelentés érdemi vizsgálatának elutasításáról, a vizsgálat megszüntetéséről vagy lezárásáról, továbbá az adatkezelő jogsérelem orvoslására, illetve annak közvetlen veszélye megszüntetésére történő felszólítása eredményéről szóló értesítés kézhezvételét követő harminc napon belül lehet megindítani. 17

18 IGÉNYLŐLAP ADAT MEGISMERÉSÉRE Az igénylő neve (magánszemély neve, jogi személy vagy jogi személyiséggel nem rendelkező más szervezet elnevezése): A képviselő neve (jogi személy vagy jogi személyiséggel nem rendelkező más szervezet esetén az eljáró képviselő megnevezése): Levelezési cím: Napközbeni elérhetőség (telefonszám, faxszám, cím): Az igényelt közérdekű adatok meghatározása: Az adatokról másolat készítését: igénylem nem igénylem Csak másolatok igénylése esetében kell kitölteni! Az elkészített másolatokat: személyesen kívánom átvenni postai úton kívánom átvenni elektronikus formában kérem kiküldeni Aláírásommal tudomásul veszem, hogy amennyiben az általam benyújtott közérdekű adatigénylés pontosítása, kiegészítése annak teljesíthetősége érdekében szükségessé válik, és az adatkezelő megkeresésére nem adom meg az ehhez szükséges információkat, az adatkezelő az igényemet visszavontnak tekinti., aláírás 18