A Pénzügyi Szervezetek Állami Felügyelete elnökének 17/2012. számú utasítása. Belső adatvédelmi és adatbiztonsági szabályzat

Átírás

1 A Pénzügyi Szervezetek Állami Felügyelete elnökének 17/2012. számú utasítása Belső adatvédelmi és adatbiztonsági szabályzat Szerző és felelős: Belső adatvédelmi felelős. Aláírók: Minőségbiztosítási vezető. Kodifikációs főosztály. Kötelező felülvizsgálat: a hatálybalépést követő évtől minden év december 31-ig, jogszabályváltozást, vagy belső szabályozásváltozást követően 30 napon belül. A szabályozó dokumentum a 41/2010. számú elnöki utasítás egyidejű hatályon kívül helyezésével jóváhagyom, alkalmazását év június hó 6. napjával elrendelem:. Dr. Szász Károly a Felügyelet elnöke 1. OLDAL / ÖSSZESEN: 7

2 TARTALOMJEGYZÉK 1. Általános rendelkezések A szabályozás célja A szabályzat hatálya Személyi hatálya Tárgyi hatálya Kapcsolódó belső szabályozások Fogalmak Felelősségek, feladatok és hatáskörök Szervezeti szintű felelősségek és hatáskörök Humánpolitikai főosztály Kibocsátói engedélyezési osztály Személyi szintű felelősségek és feladatok A Felügyelet elnöke Belső adatvédelmi felelős A PBT elnöke és a szervezeti egységek vezetői Az Informatika szolgáltatási igazgatóság vezetője, az IT-alkalmazásfelügyeleti főosztály vezetője és az IT-biztonsági felelős Titoktartási kötelezettség A közszolgálati alapnyilvántartás, köztisztviselő személyi adatai Belső adatvédelmi ellenőrzési eljárás Átmeneti rendelkezések... 7 Hatályos: év június hó 6. napjától 2. oldal / összesen: 7

3 1. Általános rendelkezések 1.1 A szabályozás célja Jelen szabályozás célja, hogy a Pénzügyi Szervezetek Állami Felügyelete (a továbbiakban: Felügyelet) az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvényben (a továbbiakban: Infotv.) foglaltak figyelembevételével teljesítse a Pénzügyi Szervezetek Állami Felügyeletéről szóló évi CLVIII. törvényben, valamint a felügyelt intézményekre vonatkozó ágazati jogszabályokban foglalt feladatait. A szabályozás további célja, hogy meghatározza a belső adatvédelmi felelős Felügyeleten belüli tevékenységét, eljárásának szabályait. 1.2 A szabályzat hatálya Személyi hatálya Személyi hatálya kiterjed a Felügyelettel közszolgálati, munkavégzésre irányuló és polgári jogi jogviszonyban álló személyekre Tárgyi hatálya Tárgyi hatálya kiterjed a Felügyeleten ideértve a Pénzügyi Békéltető Testületet (a továbbiakban: PBT) is folytatott minden papír alapú és elektronikus adatkezelésre és adatfeldolgozásra. 1.3 Kapcsolódó belső szabályozások Az internet-intranet rendszer működtetése Kiadmányozási szabályzat Iratkezelési szabályzat Közszolgálati adatvédelmi szabályzat A felügyelt intézmények által teljesítendő rendkívüli adatszolgáltatások elrendelésének és fogadásának eljárásrendje A PSZÁF adatszolgáltatási rendeletek kidolgozásának és módosításának eljárásrendje Az informatikai alkalmazások fejlesztése és felügyelete Az informatikai infrastruktúra üzemeltetési szabályzata Az informatikai és kommunikációs munkaeszközökkel való ellátás szabályai Információbiztonsági szabályzat A Pénztárak Központi Nyilvántartása rendszer ügyviteli, üzemeltetési és adatvédelmi szabályzata Közszolgálati szabályzat A beszerzési eljárások lebonyolításának rendje A Pénzügyi Szervezetek Állami Felügyelete Gazdálkodási Szabályzata Számviteli politika Biztonsági szabályzat a minősített adatok védelmére Értékpapír védelmi terv engedélyezése Ügyfélszolgálati eljárásrend Hatályos: év június hó 6. napjától 3. oldal / összesen: 7

4 A sajtó tájékoztatásának rendje A nemzetbiztonsági ellenőrzésről szóló elnöki utasítás A felügyelt intézmények adatszolgáltatásainak fogadásával és feldolgozásával kapcsolatos folyamatok eljárásrendje Tűzvédelmi szabályzat Személy-, vagyon- és objektumvédelmi szabályzat A Pénzügyi Szervezetek Állami Felügyelete Házirendje A nemzetközi kapcsolattartás rendjéről szóló elnöki utasítás A Pénzügyi Szervezetek Állami Felügyeletének adatgazdai rendszere Belső ellenőrzési kézikönyv A belső szabályozások kialakításakor, meglévő szabályzatok módosításakor az Infotv., valamint jelen szabályzat rendelkezéseit minden esetben figyelembe kell venni. 1.4 Fogalmak Jelen szabályzat fogalom-meghatározásait az Infotv. 3. -a tartalmazza. 2. Felelősségek, feladatok és hatáskörök 2.1 Szervezeti szintű felelősségek és hatáskörök Humánpolitikai főosztály Feladata és felelőssége új felügyeleti munkatárs belépése esetén a Titoktartási kötelezettség vállalásáról szóló nyilatkozat kitöltetése, és annak a személyi anyagban történő elhelyezése Kibocsátói engedélyezési osztály Feladata és felelőssége, hogy az értékpapírok előállítására engedélyt kérő nyomda által megtett titoktartási nyilatkozatot az engedély mellékleteként kezelje. 2.2 Személyi szintű felelősségek és feladatok A Felügyelet elnöke A Felügyelet elnöke: felügyeli a Felügyelet adat- és titokvédelmi tevékenységét, felelős az adat- és titokvédelmi szabályok betartásáért; kijelöli a belső adatvédelmi felelőst, akit az elvégzett feladatokról és ellenőrzésekről évente beszámoltat; kivizsgáltatja az ellenőrzések során feltárt hiányosságokat, gondoskodik a jogszabálysértő körülmények megszüntetéséről. Hatályos: év június hó 6. napjától 4. oldal / összesen: 7

5 2.2.2 Belső adatvédelmi felelős A belső adatvédelmi felelős közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában; ellenőrzi az Infotv. és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen szabályzat rendelkezéseinek a megtartását; kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót; a Felügyelet elnöke által jóváhagyott éves ellenőrzési terv alapján lefolytatja a belső adatvédelmi ellenőrzési eljárást; elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot és gondoskodik annak internetes közzétételéről; vezeti a belső adatvédelmi nyilvántartást a szervezeti egysége hálózati meghajtóján tárolt táblázatban; gondoskodik az adatvédelmi ismeretek oktatásáról elsősorban az intraneten közzétett segédanyagok útján A PBT elnöke és a szervezeti egységek vezetői A PBT elnöke és a szervezeti egységek vezetői: ellenőrzik az irányításuk alá tartozó szervezeti egységnél folytatott tevékenységgel összefüggő adat- és titokvédelmi előírások teljesülését; gondoskodnak az adatvédelmi és adatbiztonsági vonatkozású folyamatba épített és vezetői ellenőrzés rendszerességéről Az Informatika szolgáltatási igazgatóság vezetője, az IT-alkalmazásfelügyeleti főosztály vezetője és az IT-biztonsági felelős Rendszeresen ellenőrzi a jogosultsági rendszert, gondoskodik az informatikai rendszer külső támadás elleni védelme ellenőrzéséről, az informatikai eszközök rendeltetésszerű használatáról és folyamatos üzemképességéről, valamint a Felügyelet szabályzataiban foglalt adatbiztonsági előírások teljesüléséről. 3. Titoktartási kötelezettség A Felügyelet munkatársai kötelesek a feladatkörük ellátása során tudomásukra jutott banktitkot, fizetési titkot, értékpapírtitkot, pénztártitkot, biztosítási titkot, foglalkoztatói nyugdíjtitkot és üzleti titkot megőrizni. A Felügyelettel közszolgálati jogviszonyt, munkaviszonyt, munkavégzésre irányuló egyéb jogviszonyt létesítő vagy egyéb szerződést (így különösen megbízási, vállalkozási szerződést) kötő személy vagy szervezet szakmai titokként köteles megőrizni a tevékenysége ellátásával kapcsolatban tudomására jutott minden olyan adatot, tényt vagy körülményt, amelyet törvény előírásai szerint a Felügyelet nem köteles más hatóság, illetve a nyilvánosság számára hozzáférhetővé tenni. A megőrzés kötelezettsége egyben a jogosulatlan közzététel és a hasznosítás tilalmát is jelenti. Hatályos: év június hó 6. napjától 5. oldal / összesen: 7

6 A Felügyelet honlapján történő közzététel során a közzétételben közreműködő személy köteles a személyes adatok védelmére, a banktitokra, fizetési titokra, az értékpapírtitokra, a pénztártitokra, a biztosítási titokra, foglalkoztatói nyugdíjtitokra és az üzleti titokra vonatkozó jogszabályokat betartani. Az egyes értékpapírok előállításának, kezelésének és fizikai megsemmisítésének biztonsági szabályairól szóló 98/1995. (VIII. 24.) Kormányrendelet 3. (1) bekezdésének g) pontjában foglaltak alapján értékpapír előállítására az a belföldön bejegyzett nyomda kaphat engedélyt, amely egyéb jogszabályi feltételek teljesítése mellett nyilatkozatban vállalja a Felügyelet értékpapírok előállításáról szóló szabályzatának megtartását. A nyilatkozat megtétele amely az engedélyezési dokumentáció részeként kezelendő a nyomdák által egyszeri alkalommal, az értékpapír előállításhoz szükséges engedélyük megadása feltételeként szükséges. 4. A közszolgálati alapnyilvántartás, köztisztviselő személyi adatai A közszolgálati alapnyilvántartás, valamint a köztisztviselő személyi iratainak és adatainak kezelését a közszolgálati tisztviselők személyi irataira, a közigazgatási szerveknél foglalkoztatott munkavállalók személyi irataira és a munkaügyi nyilvántartásra, a közszolgálati alapnyilvántartásra és közszolgálati statisztikai adatgyűjtésre, valamint a tartalékállományra vonatkozó egyes szabályokról szóló 45/2012. (III. 20.) Korm. rendelet, a közszolgálati tisztviselőkről szóló évi CXCIX. törvény és a Felügyelet Közszolgálati adatvédelmi szabályzata szerint kell ellátni. 5. Belső adatvédelmi ellenőrzési eljárás A belső adatvédelmi ellenőrzési eljárás célja, hogy a Felügyelet belső adatvédelmi felelőse meggyőződjön arról, hogy a Felügyelet egyes szervezeti egységei az adatvédelemmel kapcsolatos jogszabályoknak és belső szabályzatoknak megfelelően kezelik-e az adatokat. 5.1 A belső adatvédelmi felelős éves ellenőrzési tervet készít az adott naptári évben ellenőrzés alá kerülő szervezeti egységekről. Az éves ellenőrzési tervnek az ellenőrzés alá vont szervezeti egység nevét és az ellenőrzés várható időpontját kell tartalmaznia. Az éves ellenőrzési tervet úgy kell elkészíteni, hogy lehetőség szerint valamennyi szervezeti egység ellenőrzésére sor kerüljön. Az éves ellenőrzési tervet legkésőbb adott év február 15. napjáig kell elkészíteni és a Felügyelet elnöke részére bemutatni. 5.2 Az éves ellenőrzési terv tartalmát a Felügyelet elnöke észrevételezi, illetve javasolhatja annak módosítását. Ha a Felügyelet elnöke az éves ellenőrzési tervvel egyetért, azt jóváhagyja (az esetleges módosítást követően). 5.3 A belső adatvédelmi felelős az ellenőrzés lefolytatásáról az érintett szervezeti egység vezetőjét az ellenőrzés kezdete előtt 15 nappal ben tájékoztatja, melyben az eljárás kezdő időpontjára is javaslatot tesz. A szervezeti egység vezetője köteles gondoskodni arról, hogy a belső adatvédelmi felelős a javasolt időpontban megkezdhesse ellenőrzését, illetve szükség esetén legfeljebb három munkanapon belüli új időpontra tesz javaslatot. 5.4 Az ellenőrzés során a belső adatvédelmi felelős a szervezeti egység irodahelységeibe beléphet, a szervezeti egység irataiba betekinthet, a szervezeti egység munkatársaitól tájékoztatást kérhet adott üggyel kapcsolatos adatkezelésről. 5.5 A belső adatvédelmi felelős az ellenőrzés megtörténtéről jegyzőkönyvet készít, melyet a szervezeti egység vezetőjével mindketten aláírnak. A jegyzőkönyv az ellenőrzött szervezeti Hatályos: év június hó 6. napjától 6. oldal / összesen: 7

7 egység, valamint annak vezetője nevét, az ellenőrzés lefolytatásának tényét, annak időpontját és időtartamát tartalmazza. 5.6 A belső adatvédelmi felelős a lefolytatott ellenőrzésről vizsgálati jelentést készít, melynek mellékletét képezi az ellenőrzésről készült jegyzőkönyv. A vizsgálati jelentés tartalmazza az adott szervezeti egységnél vizsgált körülményeket, adatokat, megállapításokat. A vizsgálati jelentés tervezetére a szervezeti egység vezetője 5 napon belül észrevételt tehet. Az észrevételezés elmaradása a szervezeti egység vezetőjének egyetértését jelenti. 5.7 Ha a belső adatvédelmi felelős megállapítja, hogy az adatkezelés az ellenőrzés alá vont szervezeti egységnél nem a belső szabályzatoknak vagy jogszabályoknak megfelelően történik, javaslatot tesz a szabályszerű adatkezelés meghatározott határidőn belüli helyreállítására. Az ezek alapján megtett intézkedésekről a szervezeti egység vezetője tájékoztatást nyújt. A belső adatvédelmi felelős a megtett intézkedéseket, illetve azok betartását bármikor jogosult ellenőrizni. 5.8 A belső adatvédelmi felelős rendkívüli ellenőrzést is lefolytathat, ha adatvédelmi szempontból az indokolt. Rendkívüli ellenőrzésnek minősül az éves ellenőrzési tervben nem szereplő ellenőrzés. A rendkívüli ellenőrzést a Felügyelet elnöke engedélyezi. 5.9 Adott ellenőrzéssel kapcsolatban a Felügyelet elnöke külön tájékoztatást kérhet a belső adatvédelmi felelőstől, egyébként a belső adatvédelmi felelős évente egy alkalommal, legkésőbb az adott év december 15. napjáig összefoglaló jelentést készít az általa lefolytatott ellenőrzésekről a Felügyelet elnöke részére. 6. Átmeneti rendelkezések A belső adatvédelmi felelős jelen utasítás hatályba lépésétől számított harminc napon belül készíti el a évi éves ellenőrzési tervet. Hatályos: év június hó 6. napjától 7. oldal / összesen: 7