A Pénzügyi Szervezetek Állami Felügyelete elnökének 17/2012. számú utasítása

Átírás

1 A Pénzügyi Szervezetek Állami Felügyelete elnökének 17/2012. számú utasítása Belső adatvédelmi és adatbiztonsági szabályzat (Módosított, egységes szerkezetbe foglalt szöveg) Szerző és felelős: Belső adatvédelmi felelős. Aláírók: Minőségbiztosítási vezető. Kodifikációs főosztály. Kötelező felülvizsgálat: a hatálybalépést követő évtől minden év december 31-ig, jogszabályváltozást, vagy belső szabályozásváltozást követően 30 napon belül. A szabályozó dokumentumot a június 6-án kiadott szövegváltozat egyidejű hatályon kívül helyezésével jóváhagyom, alkalmazását év június hó 28. napjával elrendelem:. Dr. Szász Károly a Felügyelet elnöke 1. oldal / összesen: 15

2 TARTALOMJEGYZÉK 1. Általános rendelkezések A szabályozás célja A szabályzat hatálya Személyi hatálya Tárgyi hatálya Kapcsolódó szabályozások Fogalmak A Felügyeleten belüli adatvédelem és titokvédelem alapelvei Felelősségek, feladatok és hatáskörök Szervezeti szintű felelősségek és hatáskörök Humánpolitikai főosztály Kibocsátói engedélyezési osztály Személyi szintű felelősségek és feladatok A Felügyelet elnöke Belső adatvédelmi felelős Vezető adatgazdák és adatgazdák Keretgazdák Az Informatika szolgáltatási igazgatóság vezetője, az IT-alkalmazásfelügyeleti főosztály vezetője és az IT-biztonsági felelős A Felügyelet munkatársai Titoktartási kötelezettség A közszolgálati alapnyilvántartás, köztisztviselő személyi adatai, munkatársak és pályázók személyes adatainak kezelése, nyilatkozatok kezelése Az érintett jogainak érvényesítése, a tiltakozási jog gyakorlása és az azokkal összefüggő feladatok Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés10 7. Belső adatvédelmi nyilvántartás Belső adatvédelmi ellenőrzési eljárás Hatályos: év június hó 28. napjától 2. oldal / összesen: 15

3 1. Általános rendelkezések 1.1 A szabályozás célja Jelen szabályozás célja, hogy a Pénzügyi Szervezetek Állami Felügyelete (a továbbiakban: Felügyelet) az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvényben (a továbbiakban: Infotv.) foglaltak figyelembevételével teljesítse a Pénzügyi Szervezetek Állami Felügyeletéről szóló évi CLVIII. törvényben, valamint a felügyelt intézményekre vonatkozó ágazati jogszabályokban és az Európai Unió kötelező jogi aktusaiban foglalt feladatait. A szabályozás további célja, hogy meghatározza a belső adatvédelmi felelős Felügyeleten belüli tevékenységét, eljárásának szabályait. 1.2 A szabályzat hatálya Személyi hatálya A Szabályzat személyi hatálya kiterjed a Felügyelettel közszolgálati, munkavégzésre irányuló, ösztöndíjas foglalkoztatotti jogviszonyban álló személyekre (a továbbiakban: a Felügyelet munkatársai) és polgári jogi jogviszonyban álló személyekre Tárgyi hatálya A Szabályzat tárgyi hatálya kiterjed a Felügyeleten ideértve a Pénzügyi Békéltető Testületet (a továbbiakban: PBT) is folytatott minden papír alapú és elektronikus adatkezelésre és adatfeldolgozásra. A Szabályzat tárgyi hatálya nem terjed ki a közérdekű adatkezelésre, a minősített adatkezelésre és a közhiteles hatósági nyilvántartással kapcsolatos eljárásra. 1.3 Kapcsolódó szabályozások Jogszabályok: Magyarország Alaptörvénye a Pénzügyi Szervezetek Állami Felügyeletéről szóló évi CLVIII. törvény (Psztv.) az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (Infotv.) a Büntető Törvénykönyv (Btk.) a Polgári Törvénykönyv (Ptk.) a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló évi CXL. törvény (Ket.) Belső szabályozások: Az internet-intranet rendszer működtetése Kiadmányozási szabályzat Iratkezelési szabályzat Közszolgálati adatvédelmi szabályzat Hatályos: év június hó 28. napjától 3. oldal / összesen: 15

4 A nem intézkedés jellegű rendkívüli adatszolgáltatások elrendelésének és fogadásának eljárásrendje A PSZÁF adatszolgáltatási rendeletek kidolgozásának és módosításának eljárásrendje Az informatikai alkalmazások fejlesztése és felügyelete Az informatikai infrastruktúra üzemeltetési szabályzata Az informatikai és kommunikációs munkaeszközökkel való ellátás szabályai Információbiztonsági szabályzat Közszolgálati szabályzat A beszerzési eljárások lebonyolításának rendje A Pénzügyi Szervezetek Állami Felügyelete Gazdálkodási Szabályzata Számviteli politika Biztonsági szabályzat a minősített adatok védelmére Értékpapír védelmi terv engedélyezése Ügyfélszolgálati eljárásrend A sajtó tájékoztatásának rendje A nemzetbiztonsági ellenőrzésről szóló elnöki utasítás A felügyelt intézmények adatszolgáltatásainak fogadásával és feldolgozásával kapcsolatos folyamatok eljárásrendje Tűzvédelmi szabályzat Személy-, vagyon- és objektumvédelmi szabályzat A Pénzügyi Szervezetek Állami Felügyelete Házirendje A nemzetközi kapcsolattartás rendjéről szóló elnöki utasítás A Pénzügyi Szervezetek Állami Felügyeletének adatgazdai rendszere Belső ellenőrzési kézikönyv A felügyeleti ügyintézés általános rendje A kiküldetések elszámolásának rendje Szabálytalanságok és nemmegfelelőségek kezelésének eljárásrendje Munkavédelmi szabályzat A bélyegzőhasználat rendje A telefon- és mobil kommunikációs eszközök használatáról szóló elnöki utasítás Reprezentációs kiadások, események elszámolásának rendje A vagyonnyilatkozat-tétel rendje A Pénzügyi Szervezetek Állami Felügyeletének hivatásetikai szabályzata A Felügyelet jutalmazási rendszeréről szóló elnöki utasítás Az összeférhetetlenség szabályai A belső szabályozások kialakításakor, meglévő szabályzatok módosításakor az Infotv., valamint jelen szabályzat rendelkezéseit minden esetben figyelembe kell venni. 1.4 Fogalmak a) érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy; b) személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés; Hatályos: év június hó 28. napjától 4. oldal / összesen: 15

5 c) különleges adat a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; d) bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; e) hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; f) tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; g) adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja; h) adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; i) adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; j) nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; k) adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; l) adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; m) adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése; n) adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett; o) adatállomány: az egy nyilvántartásban kezelt adatok összessége; p) gazdasági titok: bank-, értékpapír-, pénztár-, biztosítási vagy foglalkoztatói nyugdíjtitok és üzleti titok; q) üzleti titok: a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult - ide nem értve a magyar államot - jogszerű Hatályos: év június hó 28. napjától 5. oldal / összesen: 15

6 pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette; r) törvény által védett titok: minősített adat, üzleti, bank, biztosítási, értékpapír, pénztártitok, fizetési titok, magántitok; s) hivatás gyakorlásához kötött titok: különösen az orvosi, ügyvédi, közjegyzői, lelkésziegyházi személyi hivatás gyakorlásához kötött titok; t) védett adat: törvény által védett titok és a hivatás gyakorlásához kötött titok; u) törvény által védett adat: minden olyan információ, amely törvény vagy az érintett nyilatkozata alapján harmadik személy számára nem megismerhető, részére nem kiadható, így különösen bank-, értékpapír-, pénztár-, biztosítási vagy foglalkoztatói nyugdíjtitok és üzleti titok, törvény által védett titok, hivatás gyakorlásához kötött titok és zártan kezelt adatok. 1.5 A Felügyeleten belüli adatvédelem és titokvédelem alapelvei A Felügyelet által, illetve a Felügyelet szervezetében a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas A Felügyelet munkatársai és a Felügyelettel polgári jogi jogviszonyban álló személyek a feladataik ellátása körében személyes adatot és gazdasági titok körébe tartozó adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az érintettek önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható Személyes adat kezelésére csak a Felügyelet jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben vagy Európai Unió kötelező jogi aktusában elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvény vagy Európai Unió kötelező jogi aktusában meghatározott célból valósulhat meg adatkezelés. A Felügyelet által kezelt vagy a Felügyelet feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének Ha a Felügyelet munkatársa tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy nem aktuális, köteles azt helyesbíteni, vagy helyesbítését az adat rögzítéséért felelős munkatársnál kezdeményezni. 2. Felelősségek, feladatok és hatáskörök 2.1 Szervezeti szintű felelősségek és hatáskörök Humánpolitikai főosztály A Humánpolitikai főosztály feladata és felelőssége új felügyeleti munkatárs belépése esetén atitoktartási kötelezettség vállalásáról szóló nyilatkozat aláiratása, és annak a személyi anyagban történő elhelyezése, valamint a Közszolgálati és egyéb vonatkozó Hatályos: év június hó 28. napjától 6. oldal / összesen: 15

7 szabályzatok szerinti vagyonnyilatkozat tételre és az összeférhetetlenségi nyilatkozatokra vonatkozó kötelezettségek teljesítésének dokumentálása Kibocsátói engedélyezési osztály A Kibocsátói engedélyezési osztály feladata és felelőssége, hogy az értékpapírok előállítására engedélyt kérő nyomda által megtett titoktartási nyilatkozatot az engedély mellékleteként kezelje. 2.2 Személyi szintű felelősségek és feladatok A Felügyelet elnöke A Felügyelet elnöke: felügyeli a Felügyelet adat- és titokvédelmi tevékenységét, felelős az adat- és titokvédelmi szabályok betartásáért; kijelöli a belső adatvédelmi felelőst, akit az elvégzett feladatokról és ellenőrzésekről évente beszámoltat; kivizsgáltatja az ellenőrzések során feltárt hiányosságokat, gondoskodik a jogszabálysértő körülmények megszüntetéséről Belső adatvédelmi felelős A belső adatvédelmi felelős közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, a vezető adatgazda megkeresésére a hazai és uniós ágazati jogszabályokat napi szinten alkalmazó szakterület véleményének beszerzését követően; közreműködik, illetve segítséget nyújt az érintettek jogainak biztosításában; ellenőrzi az Infotv. és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen szabályzat rendelkezéseinek a megtartását; kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót; a Felügyelet elnöke által jóváhagyott éves ellenőrzési terv alapján lefolytatja a belső adatvédelmi ellenőrzési eljárást; elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot és gondoskodik annak internetes közzétételéről; vezeti a belső adatvédelmi nyilvántartást a szervezeti egysége hálózati meghajtóján tárolt táblázatban; gondoskodik az adatvédelmi ismeretek oktatásáról elsősorban az intraneten közzétett segédanyagok útján; évente elvégzi a szervezeti egységek kockázati besorolását Vezető adatgazdák és adatgazdák A vezető adatgazdák és adatgazdák: ellenőrzik az irányításuk alá tartozó szervezeti egység(ek)nél folytatott tevékenységgel összefüggő adat- és titokvédelmi előírások teljesülését; Hatályos: év június hó 28. napjától 7. oldal / összesen: 15

8 gondoskodnak az adatvédelmi és adatbiztonsági vonatkozású folyamatba épített és vezetői ellenőrzés rendszerességéről; minden év január 31-ig előző év július-december hónapjai vonatkozásában és minden év július 31-ig tárgyév január-június hónapjai vonatkozásában vezető adatgazdai adatvédelmi tájékoztatás (2. sz. melléklet) formájában tájékoztatják a belső adatvédelmi felelőst, hogy a belső adatvédelmi nyilvántartásban szereplő mely nyilvántartások érintettek, mely ügyszámokon hatósági vagy egyéb új adattovábbítási kérelemmel Keretgazdák A keretgazdák a beszerzési eljárás eredményeként megkötésre kerülő szerződésekben a személyes adatok kezelésére vonatkozó felhatalmazást és a titoktartásra vonatkozó előírást indokolt esetben a Titoktartási nyilatkozattal együtt szerepeltetik Az Informatika szolgáltatási igazgatóság vezetője, az IT-alkalmazásfelügyeleti főosztály vezetője és az IT-biztonsági felelős Az Informatika szolgáltatási igazgatóság vezetője, az IT-alkalmazásfelügyeleti főosztály vezetője és az IT-biztonsági felelős rendszeresen ellenőrzi a jogosultsági rendszer működését, naprakészségét, gondoskodik az informatikai rendszer külső támadás elleni védelmének naprakészségéről, a védelem teljeskörűségének és működésének ellenőrzéséről, az informatikai eszközök rendeltetésszerű használatáról és folyamatos üzemképességéről, valamint a Felügyelet szabályzataiban foglalt adatbiztonsági előírások teljesüléséről A Felügyelet munkatársai A Felügyelet munkatársai a Házirenddel összhangban védik a papír alapú hivatalos iratokat és kezelik a papír alapú küldeményeket, valamint az Információbiztonsági szabályzattal összhangban védik az elektronikus küldeményeket. Jelen szabályzatban foglaltak betartásáért felelősséggel tartozik a Felügyelet valamennyi munkatársa. Az önellenőrzés, valamint a vezetői ellenőrzés során azonosított szabálytalanság kapcsán a munkatárs és a közvetlen hivatali vezető a Szabálytalanságok és nemmegfelelőségek rendjéről szóló elnöki utasítás szerint jár el, egyidejűleg értesíti a belső adatvédelmi felelőst. A Felügyelet adatkezelést végző munkatársa fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok és gazdasági titok, valamint egyéb törvény által védett titok jogszerű kezeléséért, a Felügyelet nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért. 3. Titoktartási kötelezettség A Felügyelet munkatársai kötelesek a feladatkörük ellátása során tudomásukra jutott védett adatot megőrizni. Ez a kötelezettség a munkatársi jogviszony megszűnését követően is fennmarad. A Felügyelettel munkavégzésre irányuló egyéb jogviszonyt létesítő vagy egyéb szerződést (így különösen megbízási, vállalkozási szerződést) kötő személy vagy szervezet, és ezek alvállalkozója, munkatársa, valamint a teljesítésben érintett egyéb résztvevő szakmai titokként köteles megőrizni a tevékenysége ellátásával kapcsolatban tudomására jutott minden olyan Hatályos: év június hó 28. napjától 8. oldal / összesen: 15

9 adatot, tényt vagy körülményt, amelyet törvény vagy Európai Unió kötelező jogi aktusa előírásai szerint a Felügyelet nem köteles más hatóság, illetve a nyilvánosság számára hozzáférhetővé tenni. A megőrzés kötelezettsége egyben a jogosulatlan közzététel és a hasznosítás tilalmát is jelenti. A megőrzés kötelezettsége a jogviszony megszűnését követően is fennmarad. A Felügyelet honlapján történő közzététel során a közzétételben közreműködő személy köteles a személyes adatok, a törvény által védett adat védelmére vonatkozó jogszabályokat betartani. Az egyes értékpapírok előállításának, kezelésének és fizikai megsemmisítésének biztonsági szabályairól szóló 98/1995. (VIII. 24.) Korm. rendelet 3. (1) bekezdés g) pontjában foglaltak alapján értékpapír előállítására az a belföldön bejegyzett nyomda kaphat engedélyt, amely egyéb jogszabályi feltételek teljesítése mellett nyilatkozatban vállalja a Felügyelet értékpapírok előállításáról szóló szabályzatának megtartását. A nyilatkozat megtétele amely az engedélyezési dokumentáció részeként kezelendő a nyomdák által egyszeri alkalommal, az értékpapír előállításhoz szükséges engedélyük megadása feltételeként szükséges. 4. A közszolgálati alapnyilvántartás, köztisztviselő személyi adatai, munkatársak és pályázók személyes adatainak kezelése, nyilatkozatok kezelése A közszolgálati alapnyilvántartás, valamint a köztisztviselő személyi iratainak és adatainak kezelését a közszolgálati tisztviselők személyi irataira, a közigazgatási szerveknél foglalkoztatott munkavállalók személyi irataira és a munkaügyi nyilvántartásra, a közszolgálati alapnyilvántartásra és közszolgálati statisztikai adatgyűjtésre, valamint a tartalékállományra vonatkozó egyes szabályokról szóló 45/2012. (III. 20.) Korm. rendelet, a közszolgálati tisztviselőkről szóló évi CXCIX. törvény és a Felügyelet Közszolgálati adatvédelmi szabályzata szerint kell ellátni. A vagyonnyilatkozat-tételre köteles munkatársak és velük közös háztartásban élő hozzátartozóik vagyonnyilatkozataiban foglalt személyes adatok kezelésére a vonatkozó szabályzat rendelkezéseit kell alkalmazni. A szakszervezeti vagy érdekképviseleti szervezeti tagságra utaló adat az érintett munkatárs írásbeli hozzájárulása alapján kezelhető. A munkáltató a szakszervezeti, vagy az érdekképviseleti tagdíj átutalásához szükséges intézkedéseket csak abban az esetben teheti meg, ha a személyes adatok kezeléséhez a szakszervezet vagy az érdek-képviseleti szervezet az érintett tagok önkéntes és írásbeli beleegyezését beszerzi, és egy példányát a munkáltatónak megküldi. A Felügyelethez bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban lévő személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell, amely vélelmet nem lehet kiterjesztően értelmezni. 5. Az érintett jogainak érvényesítése, a tiltakozási jog gyakorlása és az azokkal összefüggő feladatok A Felügyelet biztosítja, hogy az érintett a jogszabályi keretek között - a Felügyelet által kezelt adatai kezeléséről rendelkezzen. Az érintett magánszemély tájékoztatást kérhet a Felügyelettől a személyes adatainak kezeléséről, és kérheti személyes adatainak helyesbítését, illetve a jogszabályban elrendelt, azaz kötelező Hatályos: év június hó 28. napjától 9. oldal / összesen: 15

10 adatkezelések kivételével azok törlését, valamint ha arra törvény felhatalmazza tiltakozhat személyes adatainak kezelése ellen. A tájékoztatás ingyenes. Amennyiben törvény alapján az érintett tájékoztatása nem tagadható meg, a tájékoztatás kiterjed a kezelt adatok megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az elutasított tájékoztatás iránti kérelmekről a Felügyelet belső adatvédelmi felelőse nyilvántartást vezet, melyről a tárgyévet követő január 31-éig írásban tájékoztatja a Nemzeti Adatvédelmi és Információszabadság Hatóság ( a továbbiakban: NAIH) elnökét. A valóságnak nem megfelelő adatot a Felügyelet amennyiben a szükséges adatok rendelkezésre állnak köteles helyesbíteni. A kezelt adatot törölni kell, ha: a) az adat kezelése jogellenes; b) az érintett azt törvényben előírt kötelező adatkezelést kivéve kéri; c) az adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki; d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; e) azt a bíróság elrendelte. Az adat helyesbítéséről vagy törléséről az érintetten túl mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti. Az érintett a vezető adatgazdánál tiltakozhat személyes adatának kezelése ellen az Infotv ában meghatározottak szerint. A vezető adatgazda vagy adatgazda 15 napon belül dönt, és amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést (további adatfelvételt, adattovábbítást) megszüntetni és az adatokat zárolni, valamint a tiltakozásról, és az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot továbbította, akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Határidő elmulasztása, vagy ha az érintett nem ért egyet a tiltakozásának elbírálása eredményeként hozott adatkezelői döntéssel, a döntés ellen a közléstől számított harminc napon belül az Infotv ában foglalt módon bírósághoz fordulhat. 6. Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés A Felügyelet a Psztv.-ben, valamint a felügyelt intézményekre vonatkozó ágazati jogszabályokban és az Európai Unió kötelező jogi aktusaiban szabályozott feladatainak ellátásához, személyes és különleges adatokat kezelhet. Törvényi vagy az Európai Unió kötelező jogi aktusán alapuló felhatalmazás hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott különleges adat esetén írásbeli hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a Hatályos: év június hó 28. napjától 10. oldal / összesen: 15

11 beleegyezés önkéntességére. Az érintett kérelmére, kezdeményezésére indult bírósági vagy hatósági eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben, az általa megadott személyes adatok tekintetében az érintett hozzájárulását vélelmezni kell. A hozzájárulást a későbbi igazolhatósága érdekében különleges adatnak nem minősülő személyes adatok esetén is célszerű írásban rögzíteni. A Felügyelet az adatkezelés eltérő célja alapján ügyviteli és nyilvántartási célú adatkezeléseket végez. Az ügyvitelhez kapcsolódó adatkezelés az ügy (bejelentés) nyilvántartásához (iktatásához), feldolgozásához kapcsolódik. Alapvető célja az adott ügyhöz tartozó vizsgálathoz, hatósági eljárás lefolytatásához, az adatkezelés szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelhetnek; kezelésük ebből a célból az alapul szolgáló irat selejtezéséig tart. A nyilvántartási célú adatkezelés a jogszabályokban előre meghatározott adatkörök alapján gyűjtött adatfajtákból álló, belső adatvédelmi nyilvántartásban szereplő adatállományt hoz létre az adatkezelés időtartama alatt, biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, lekérdezhetőségét. 7. Belső adatvédelmi nyilvántartás A nyilvántartási célú adatállományért felelős vezető adatgazda az új adatállomány kialakítását a tevékenység megkezdése előtt 15 nappal bejelenti a belső adatvédelmi felelősnek, aki azt a belső adatvédelmi nyilvántartásba bejegyzi. (1. sz. melléklet) A belső adatvédelmi felelős a bejelentésre irányuló előterjesztést a Felügyelet elnökének jóváhagyásával jelenti be a NAIH nyilvántartásába. Az adatkezelésnek a NAIH hatósági azonosító számát az adatok harmadik személy részére történő továbbításánál, nyilvánosságra hozatalánál és az érintettnek történő kiadásánál fel kell tüntetni. A NAIH részére nem kell bejelenteni többek között azt az adatkezelést, amely a) az adatkezelővel munkavégzésre irányuló jogviszonyban álló személyek adatait tartalmazza; b) a foglalkozás-egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés, vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából; c) az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik; d) a vizsgálati, hatósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira, vagy azzal összefüggésben kezelt személyes adatokra vonatkozik (ügyviteli célú adatkezelés); e) a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve, hogy törvényben meghatározottak szerint az adatok érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik; f) tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra; g) levéltári őrzésre átadott iratokkal összefüggésben valósul meg. Hatályos: év június hó 28. napjától 11. oldal / összesen: 15

12 A belső adatvédelmi nyilvántartásba bejelentett adatok változását, vagy az adatkezelés megszűnését az adatkezelésért felelős szervezeti egység vezetője nyolc napon belül köteles bejelenteni a belső adatvédelmi felelősnek, aki ennek megfelelően módosítja a Felügyelet belső adatvédelmi nyilvántartásának adatait, és ha szükséges, kezdeményezi a NAIH szerinti bejegyzés módosítását. 8. Belső adatvédelmi ellenőrzési eljárás A belső adatvédelmi ellenőrzési eljárás célja, hogy a Felügyelet belső adatvédelmi felelőse meggyőződjön arról, hogy a Felügyelet egyes szervezeti egységei az adatvédelemmel kapcsolatos jogszabályoknak és belső szabályzatoknak megfelelően kezelik-e az adatokat. 8.1 A belső adatvédelmi felelős éves ellenőrzési tervet készít az adott naptári évben ellenőrzés alá kerülő szervezeti egységekről. Az éves ellenőrzési tervnek az ellenőrzés alá vont szervezeti egység nevét és az ellenőrzés várható időpontját kell tartalmaznia. Az éves ellenőrzési tervnek évente legalább 3 három szervezeti egység ellenőrzését kell tartalmaznia, és az ellenőrzéseknek legkésőbb 3 év alatt az összes legmagasabb kockázati besorolású szervezeti egységre ki kell terjedniük. Az éves ellenőrzési tervet legkésőbb adott év február 15. napjáig kell elkészíteni és a Felügyelet elnöke részére jóváhagyásra beterjeszteni. 8.2 Az éves ellenőrzési terv tartalmát a Felügyelet elnöke észrevételezi, illetve javasolhatja annak módosítását. Ha a Felügyelet elnöke az éves ellenőrzési tervvel egyetért, azt jóváhagyja (az esetleges módosítást követően). 8.3 A belső adatvédelmi felelős az ellenőrzés lefolytatásáról az érintett szervezeti egység vezetőjét az ellenőrzés kezdete előtt 15 nappal ben tájékoztatja, melyben az eljárás kezdő időpontjára is javaslatot tesz. A szervezeti egység vezetője köteles gondoskodni arról, hogy a belső adatvédelmi felelős a javasolt időpontban megkezdhesse ellenőrzését, illetve szükség esetén legfeljebb három munkanapon belüli új időpontra tesz javaslatot. 8.4 Az ellenőrzés során a belső adatvédelmi felelős a szervezeti egység irodahelységeibe beléphet, a szervezeti egység irataiba betekinthet, a szervezeti egység munkatársaitól tájékoztatást kérhet adott üggyel kapcsolatos adatkezelésről. 8.5 A belső adatvédelmi felelős vizsgálati jelentést készít. A vizsgálati jelentés tartalmazza az ellenőrzött szervezeti egység, valamint annak vezetője nevét, az ellenőrzés lefolytatásának tényét, annak időpontját és időtartamát, az adott szervezeti egységnél vizsgált körülményeket, adatokat, megállapításokat. A vizsgálati jelentést a belső adatvédelmi felelős a szervezeti egység vezetőjének útján megküldi. A vizsgálati jelentés tervezetére a szervezeti egység vezetője 5 napon belül észrevételt tehet. Az észrevételezés elmaradása a szervezeti egység vezetőjének egyetértését jelenti. 8.6 Ha a belső adatvédelmi felelős megállapítja, hogy az adatkezelés az ellenőrzés alá vont szervezeti egységnél nem a belső szabályzatoknak és a jogszabályoknak megfelelően történik, javaslatot tesz a szabályszerű adatkezelés meghatározott határidőn belüli helyreállítására. Az ezek alapján megtett intézkedésekről a szervezeti egység vezetője tájékoztatást nyújt. A belső adatvédelmi felelős a megtett intézkedéseket, illetve azok betartását bármikor jogosult ellenőrizni. 8.7 A belső adatvédelmi felelős jogsértés megállapítása hiányában is jogosult a szervezeten belüli és kívüli általa legjobb gyakorlatnak ítélt eljárásokról az éves vagy rendkívüli ellenőrzés vizsgálati jelentésében a vezető adatgazdáknak tájékoztatást adni és javasolni adott eljárás vagy Hatályos: év június hó 28. napjától 12. oldal / összesen: 15

13 eljárások alkalmazását a jövőre nézve. A belső adatvédelmi felelős ezen javaslatok követésére is kitérhet a soron következő vizsgálat során. 8.8 A belső adatvédelmi felelős rendkívüli ellenőrzést is lefolytathat, ha adatvédelmi szempontból az indokolt. Rendkívüli ellenőrzésnek minősül az éves ellenőrzési tervben nem szereplő ellenőrzés. A rendkívüli ellenőrzést a Felügyelet elnöke rendeli el. 8.9 Adott ellenőrzéssel kapcsolatban a Felügyelet elnöke külön tájékoztatást kérhet a belső adatvédelmi felelőstől, egyébként a belső adatvédelmi felelős évente egy alkalommal, legkésőbb az adott év december 15. napjáig összefoglaló jelentést készít az általa lefolytatott ellenőrzésekről a Felügyelet elnöke részére. Hatályos: év június hó 28. napjától 13. oldal / összesen: 15

14 1. sz. melléklet Adatkezelési bejelentés/változásbejelentés 1 belső adatvédelmi nyilvántartásba Vezető adatgazda megnevezése Szervezeti egység megnevezése: Adatkezelés megnevezése és száma (PSZÁF és adott esetben NAIH): Adatkezelés célja: Adatok fajtája: Kezelésük jogalapja: Érintettek köre: jogszabályi hivatkozással! általánosan 2 : munkatárs személyes adat vagy ügyfél személyes adat; munkatárs bűnügyi adat vagy ügyfél bűnügyi adat, munkatárs egészségügyi adat vagy ügyfél egészségügyi adat, munkatárs gazdasági titok vagy ügyfél gazdasági titok jogszabályi hivatkozás (törvény, Európai Unió kötelező jogi aktusa és/vagy egyéb) vagy érintett írásbeli/szóbeli hozzájáruló nyilatkozata Adatok forrása: Továbbított adatok fajtája: Továbbított adatok címzettje: Továbbítás jogalapja: Egyes adatfajták törlési határideje: Adatkezelő neve és székhelye: Adatfeldolgozó neve és székhelye: Tényleges adatkezelés, adatfeldolgozás helye: jogszabályi hivatkozás (törvény, Európai Unió kötelező jogi aktusa és/vagy egyéb) vagy érintett írásbeli/szóbeli hozzájáruló nyilatkozata időtartam+ jogszabályi hivatkozással! PSZÁF, 1013 Budapest, Krisztina krt. 39/A amennyiben eltér az adatkezelőtől! amennyiben eltér az adatkezelőtől! kitöltés dátuma: beérkezés dátuma: nyilvántartásba rögzítés dátuma (vezető adatgazda) (b.a.felelős) (b.a.felelős) 1 Változásbejelentés esetén kérjük hivatkozási alapként az eredeti megnevezés és szám megjelölését, majd a változott adatokkal érintett sorok szerinti új megjelölést a bejelentésen szerepeltetni. 2 megfelelő aláhúzandó! Hatályos: év június hó 28. napjától 14. oldal / összesen: 15

15 Tájékoztatás (I félév/ii. félév) 2. sz. melléklet Szervezeti egység megnevezése: megnevezés iktatószám Hatósági vagy egyéb új adattovábbítási kérelem (kapcsolódó iktatószámmal) kitöltés dátuma: (vezető adatgazda) beérkezés dátuma: (b.a.felelős) Hatályos: év június hó 28. napjától 15. oldal / összesen: 15