1
Adatvédelmi és adatbiztonsági szabályzat
I. Fejezet
ÁLTALÁNOS RENDELKEZÉSEK
1. § (1) Az adatvédelmi és adatbiztonsági szabályzat (a továbbiakban: Szabályzat) célja, hogy
meghatározza a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (a továbbiakban:
Hatóság) folytatott személyes adatok kezelésének jogszerű rendjét, valamint biztosítsa az
adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság
követelményeinek érvényesülését.
(2) A Szabályzatot az általános adatvédelmi rendelet (a továbbiakban: „általános adatvédelmi
rendelet”, vagy „GDPR”), valamint az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 2. § (2)
bekezdése szerint azt kiegészítő előírásokra figyelemmel, továbbá az alkalmazandó ágazati
jogszabályi követelményekkel összhangban kell alkalmazni.
(3) A Hatósághoz beérkező és a Hatóságnál keletkezett nyílt iratok készítésének, kezelésének,
nyilvántartásának, irattározásának és selejtezésének alapvetői szabályait, az iratkezeléssel
összefüggő adatvédelmi és adatbiztonsági szabályokat a Hatóság iratkezelésének szabályairól
szóló elnöki utasítással összhangban kell alkalmazni.
(4) A Hatóság elektronikus információs rendszereiben tárolt személyes adatok védelmére
irányuló követelményeket az Informatikai Biztonság Szabályzatról szóló elnöki utasításban
meghatározottakkal összhangban kell alkalmazni.
(5) A Szabályzatot a minősített adatok és a Hatóság biztonsági vezetője által kezelt iratok
tekintetében a Biztonsági Szabályzatról szóló elnöki utasítással összhangban kell alkalmazni.
(6) A Szabályzatban meghatározott adatbiztonsági követelményeket a belépésre jogosító
biztonsági okmányok és biztonsági szobakulcsok bevezetéséről és használatának szabályairól
szóló elnöki utasításban foglaltakkal összhangban kell alkalmazni.
(7) A Szabályzatban alkalmazott fogalmak tekintetében az általános adatvédelmi rendelet 4.
cikke szerinti meghatározások az irányadók.
2. § (1) A Szabályzat hatálya kiterjed a Hatóságnál foglalkoztatott valamennyi köztisztviselőre,
munkavállalóra, valamint a munkavégzésre irányuló egyéb jogviszony keretében
foglalkoztatottra (a továbbiakban együtt: foglalkoztatott), továbbá azon személyekre, akik
szakmai gyakorlat keretében, vagy kutatási célból a Hatóságnál személyes adatokat ismernek
meg.
II. Fejezet
A HATÓSÁG ADATVÉDELMI RENDSZERE
A személyes adatok kezelésével kapcsolatos felelősségek a Hatóságnál
3. § (1) A személyes adatok védelméért, az adatkezelés jogszerűségéért a Hatóság elnöke felel.
Ennek keretében
a) szabályzatok és kötelező utasítások útján meghatározza a személyes adatok védelme és
az adatkezelés jogszerűsége szempontjából elvárt, megfelelő technikai és szervezési
intézkedéseket és rendelkezik azok folyamatos alkalmazásáról és naprakészen tartásáról;
2
b) gondoskodik az adatkezelés személyi és tárgyi feltételeinek biztosításáról, az adatvédelmi
és adatbiztonsági intézményrendszer működtetéséről, a működéshez szükséges
intézkedések megtételéről;
c) írásban kijelöli a Hatóság adatvédelmi tisztviselőjét és annak helyettesét;
d) meghozza a Hatóság, mint adatkezelő tekintetében az adatkezelésre vonatkozó
döntéseket;
e) felel a Hatóság adatkezelési tevékenységével kapcsolatos közzétételi kötelezettség
teljesítéséért.
(2) A Hatóság elnöke az adatkezelés személyi és tárgyi feltételeinek biztosításáról, a
szabályzatban foglaltak végrehajtásáról, az adatvédelemmel kapcsolatos szabályok
foglalkoztatottak általi megismeréséről és betartásáról az önálló szervezeti egységek vezetői
útján, a Hatóság Szervezeti és Működési Szabályzatában (a továbbiakban: SZMSZ)
meghatározottakkal összhangban gondoskodik.
(3) A Hatóság elnöke az adatkezeléssel kapcsolatos döntések előkészítését, az
elszámoltathatóság érdekében szükséges dokumentáció és intézkedések tervezetének
összeállítását az SZMSZ-ben meghatározottak szerint az Adatvédelmi Megfelelőségi és
Társadalmi Kapcsolatok Főosztály útján végzi.
4. § Az önálló szervezeti egység vezetője gondoskodik a szervezeti egysége állományába
tartozó, vagy az amellett foglalkoztatott személyek kapcsán
a) az adatvédelmi követelmények érvényre juttatásáról;
b) a Szabályzatban vagy más kötelező erejű adatvédelmi előírásban foglaltak
ellenőrzéséről, azok megsértése esetén a hiányosságok haladéktalan felszámolásáról;
c) a szükséges hozzáférési jogosultságok kiadására és visszavonására irányuló
előterjesztésekről;
d) az adatvédelmi tudatosító – ideértve az adatvédelmi incidenskezeléssel, a kapcsolódó
információbiztonsággal, valamint az iratkezeléssel összefüggő ismereteket is –
képzéseken történő részvételről, szükség esetén ilyen képzés szervezésének
kezdeményezéséről.
5. § (1) A Hatóságnál foglalkoztatottak
a) a Szabályzatban meghatározottak szerint kezelik a feladataik ellátásával
összefüggésben tudomásukra jutott személyes adatokat;
b) betartják az adatkezelésre vonatkozó jogszabályokban, más belső szabályzatokban
foglalt előírásokat;
c) tudásukat naprakészen tartják a munkavégzésükre irányadó adatvédelmi és
adatbiztonsági előírások kapcsán és az adatvédelmi incidensek gyanújának felismerése
érdekében.
(2) Ha a személyes adatok védelmével kapcsolatos előírások megsértése miatt a Hatóságnak
jogerősen sérelemdíj, kártérítés fizetési kötelezettsége keletkezik, a jogsérelmet okozó
foglalkoztatottat, foglalkoztatottakat a Küt. 86. §-a szerinti kártérítési felelősség terheli.
6. § A Hatóság adatvédelmi tisztviselője közvetlenül a Hatóság elnökének felel, függetlenül és
befolyásolástól mentesen látja el az általános adatvédelmi rendeletben és az e Szabályzatban
meghatározott feladatait.
A Hatóság szervezetén kívüli személyek bevonása az adatkezelés folyamatába
3
7. § (1) Amennyiben a Hatóság elnökének döntése alapján a Hatóság közfeladatának ellátása
érdekében adatfeldolgozó igénybevétele szükséges, úgy az általános adatvédelmi rendelet 28.
cikke szerinti tartalommal az adatfeldolgozó felelősségét önálló szerződésben vagy a felek között
létrejövő szolgáltatási szerződés részeként kell rögzíteni. A szerződés tartalmának összeállítása
során ki kell kérni az adatvédelmi tisztviselő véleményét.
(2) A (1) bekezdésben foglalt kötelezettség nem alkalmazandó annyiban, amennyiben az
adatfeldolgozó igénybevételének kereteit és garanciális feltételeit jogszabály határozza meg.
8. § (1) Amennyiben a Hatóság elnökének döntése alapján a Hatóság közfeladatának ellátása
érdekében közös adatkezelői jogviszony létesítése szükséges, úgy a felek között létrejövő
írásbeli megállapodás tartalmazza legalább a GDPR 26. cikke szerinti tartalmi elemeket. A
szerződés tartalmának összeállítása során ki kell kérni az adatvédelmi tisztviselő véleményét.
(2) Az (1) bekezdés alapján létrejött közös adatkezelői megállapodás lényegét a kapcsolódó
adatkezelési tájékoztató részeként szükséges az érintett rendelkezésére bocsátani.
9. § A Hatósággal szerződéses jogviszonyba kerülő önálló adatkezelő mint címzett kapcsán a
szerződés részeként szükséges rendelkezni a személyes adatok védelme és biztonsága
érdekében alkalmazandó intézkedésekről. A szerződés adatkezelést érintő részének
összeállítása során ki kell kérni az adatvédelmi tisztviselő véleményét.
Az adatvédelmi tisztviselő kinevezése, jogállása és feladatai
10. § (1) A Hatóság elnöke határozatlan időre, írásban jelöli ki az adatvédelmi tisztviselőt a
Hatóságnál adatvédelmi területen szerzett legalább 1 éves tapasztalattal és adatbiztonsági
ismeretekkel, valamint szakmai rátermettséggel egyaránt rendelkező köztisztviselők közül.
(2) Adatvédelmi tisztviselői feladatot nem láthat el olyan személy, aki a Hatóságnál
adatkezeléssel kapcsolatos érdemi döntések meghozatalára jogosult személy a Polgári
Törvénykönyvről szóló 2013. évi V. törvény 8:1. § (1) bekezdés 2. pontja szerinti hozzátartozója.
(3) Az adatvédelmi tisztviselő számára biztosítani kell, hogy – a GDPR-ban és más
jogszabályban, valamint az e szabályzatban meghatározott feladatainak ellátása céljából és az
ahhoz szükséges mértékben – minősített adatot is megismerjen, minősítéssel jelölt iratokba
betekinthessen. Az elvárt személyi biztonsági feltételeknek történő megfelelés dokumentált
módon történő kialakításáig és igazolásáig a köztisztviselő nem nevezhető ki adatvédelmi
tisztviselőnek.
(4) Az adatvédelmi tisztviselő nevét és elérhetőségét a Hatóság honlapján közzétett adatkezelési
tájékoztatók útján nyilvánosan elérhetővé kell tenni, kijelöléséről a Hatóság foglalkoztatottjait
írásban tájékoztatni kell.
(5) Az adatvédelmi tisztviselő halaszthatatlan feladatait, így különösen az adatvédelmi
incidensek kezelésével kapcsolatos teendőit távollétében, akadályoztatása, vagy érintettsége
esetén a helyettes látja el. A helyettes a feladat ellátását megelőzően esetileg mérlegelni köteles,
hogy esetében a Szabályzatban foglalt összeférhetetlenséggel kapcsolatos feltételek
megvalósultak-e.
(6) Amennyiben az adatvédelmi tisztviselő helyettese az ellátandó feladata kapcsán –
összeférhetetlensége, a minősített adatok kezeléséhez szükséges személyi feltételek hiánya,
vagy más ok miatt – nem jogosult eljárni, úgy arról haladéktalanul tájékoztatja a Hatóság elnökét,
aki az ügyben a feltételeknek megfelelő eseti helyettest jelöl ki.
11. § (1) A Hatóság elnöke biztosítja az adatvédelmi tisztviselő számára a hozzáférést és a
megfelelő jogosultságokat a feladatai végrehajtásához szükséges elektronikus rendszerekhez,
4
iratokhoz, egyéb adatokhoz, valamint a rendelkezésére bocsátja a feladatai ellátásához és
szakmai ismeretei naprakészen tartásához szükséges eszközöket és erőforrásokat.
(2) Az Adatvédelmi Megfelelőségi és Társadalmi Kapcsolatok Főosztály segíti az adatvédelmi
tisztviselőt és helyettesét a Szabályzat szerinti feladataik ellátása kapcsán, valamint felel a
Hatóság online adatvédelmi tisztviselő bejelentő rendszerében és az adatkezelési
tájékoztatókban az adatvédelmi tisztviselő nevének és elérhetőségének naprakészen tartásáért.
(3) A Hatóság adatvédelmi tisztviselője feladatait más, a munkaköri leírásában meghatározott
kötelezettségei mellett, attól függetlenül köteles ellátni, az adatvédelmi tisztviselői tisztségével
összefüggő kötelezettségei és feladatai ellátása során nem utasítható, és e tisztségének
ellátásával kapcsolatban közvetlenül a Hatóság elnökének felel.
(4) Amennyiben az adatvédelmi tisztviselő összeférhetetlenséget állapít meg valamely általa
ellátandó feladattal összefüggésben, úgy erről köteles haladéktalanul értesíteni a Hatóság
elnökét, és e feladata kapcsán a jogszerű adatkezelés feltételeinek ellenőrzését a Hatóság
elnöke által kijelölt helyettesének delegálni.
12. § (1) Az adatvédelmi tisztviselő a GDPR 39. cikkében foglalt feladatai mellett
a) vezeti a Hatóság adatvédelmi nyilvántartását;
b) adatvédelmi ellenőrzési tervet készít, amelyet a Hatóság elnöke hagy jóvá;
c) az adatvédelmi ellenőrzési terv alapján – szükség szerint azon túl is, különösen érintettől
érkező, a Hatóság adatkezelését érintő panasz, vagy adatvédelmi incidens bekövetkezte
esetén – ellenőrzi a Hatóságnál az adatvédelmi és adatbiztonsági követelmények
teljesítésülését;
d) közreműködik az adatvédelmi incidens kezelésében, kivizsgálásában, és a vizsgálat
eredménye alapján az adatvédelmi incidenst a GDPR 33. cikke szerint bejelenti a
Hatóság részére;
e) a személyes adatok kezelését igénylő új tevékenység ellátásáért felelős szervezeti
egység kérésére előzetesen is véleményezi a tervezett adatkezelést;
f) megvizsgálja a Hatóság által tervezett vagy módosuló adatkezelések érintettekre
gyakorolt kockázatát, szükség esetén adatvédelmi hatásvizsgálatot kezdeményez és
közreműködik annak lefolytatásában;
g) adatvédelmi szempontból véleményezi az adatfeldolgozóval, közös adatkezelővel vagy
más önálló adatkezelővel kötendő megállapodást;
h) új adatkezeléssel járó tevékenység tervezése vagy valamely adatkezelés
körülményeinek változása esetén megvizsgálja, hogy szükséges-e azzal kapcsolatban
adatkezelési tájékoztató, új adatvédelmi nyilvántartás bejegyzés, vagy más
dokumentáció összeállítása, illetőleg a már létező dokumentum módosítása;
i) kezdeményezi a Hatóság munkatársainak adatvédelmi tudatosító képzését, részt vesz
az ilyen képzéssel kapcsolatos feladatok ellátásában, kijelölés esetén képzést tart;
j) elősegíti az érintetteket megillető jogok gyakorlását, valamint véleményezi a Hatósághoz
érkező, érintetti joggyakorlásra irányuló beadványokra összeállított válaszok tervezetét;
k) részt vesz a Hatóság elnöke által összehívott adatvédelmi tisztviselők éves
konferenciáján.
13. § (1) A Szabályzat hatálya alá tartozó adatkezelés érintettje a személyes adatai kezeléséhez
és jogai gyakorlásához kapcsolódó bármely kérdésben – a hivatali út betartása nélkül,
közvetlenül és szabadon megválasztott kapcsolattartási mód szerint – az adatvédelmi
tisztviselőhöz fordulhat.5
(2) Saját helyzetéből fakadó okokra hivatkozva bármely érintett jogosult kérni, hogy az
adatvédelmi tisztviselő ne fedje fel kilétét a Hatóság elnöke, vagy bármely más foglalkoztatottja
előtt. Az adatvédelmi tisztviselő a kérésnek köteles eleget tenni, még akkor is, ha ennek
hiányában a panaszolt adatvédelmi probléma nem orvosolható, azonban erről köteles
tájékoztatni az érintettet.
(3) Az (1) bekezdés szerinti panaszt, ha az annak kivizsgálásához szükséges minden releváns
információ rendelkezésre áll, az adatvédelmi tisztviselő köteles 15 napon belül kivizsgálni, és a
vizsgálat eredményéről értesíteni az érintettet.
14. § (1) Az adatvédelmi tisztviselő jogosult
a) tájékoztatást, felvilágosítást kérni minden, e Szabályzat hatálya alá tartozó
adatkezelésről;
b) minden, e Szabályzat hatálya alá tartozó adatkezelést vizsgálni és minden olyan
helyiségbe belépni, ahol adatkezelés folyik;
c) tanácskozási és véleményezési joggal részt venni minden olyan fórumon, ahol a feladatai
ellátásával összefüggő kérdések szerepelnek a napirenden,
d) javaslatot tenni közvetlenül a Hatóság elnökének valamely személyes adatok kezelését
érintő kérdésben.
(2) Az adatvédelmi tisztviselő az ellenőrzései kapcsán és a 13. § szerinti vizsgálatával
összefüggésben a fentiek mellett
a) felszólíthatja az adatkezelésben résztvevő személyt a jogszerű állapot helyreállítására;
b) kisebb súlyú ügyben közvetlenül az adatkezelésért felelős önálló szervezeti egység
vezetőjénél kezdeményezheti az alkalmazott adatkezelési gyakorlat felülvizsgálatát;
c) kezdeményezheti a Hatóság elnökénél a vonatkozó adatvédelmi előírások, valamint a
kialakult adatkezelési gyakorlat átalakítását, vagy az adatkezelést érintő más szükséges
intézkedések megtételét.
III. Fejezet
A BEÉPÍTETT ÉS ALAPÉRTELMEZETT ADATVÉDELEM ELVÉNEK ÉRVÉNYESÜLÉSE A
HATÓSÁGNÁL
Adatkezelés kialakításával összefüggő kötelezettségek
15. § (1) A személyes adatok kezelésével járó új tevékenység megkezdése, vagy a folyamatban
lévő adatkezelési tevékenységekkel kapcsolatos módosítások hatályba lépése előtt az SZMSZ
alapján a feladat ellátásáért felelős szervezeti egység vezetője kezdeményezi az Adatvédelmi
Megfelelőségi és Társadalmi Kapcsolatok Főosztálynál az adatkezelés jogszerű kialakítása,
illetve az elszámoltathatóság elvének történő megfelelés érdekében szükséges és arányos
intézkedések meghozatalát.
(2) Az (1) bekezdés szerinti megkeresésben az adatkezeléssel járó feladat ellátásáért felelős
szervezeti egység vezetője rögzíti a tervezett adatkezelés legfontosabb jellemzőit, így legalább
a) az adatok kezelésére okot adó körülményt, vagy jogszabályi rendelkezést;
b) a feladat ellátásához szükséges adatköröket és azok tervezett forrását;6
c) a tervezett vagy jogszabályban meghatározott megőrzési időt, vagy az annak
meghatározásához szükséges szempontokat;
d) az ahhoz kapcsolódó adattovábbítás címzettjeit;
e) az adatok biztonsága, valamint az érintettekre nézve azonosított kockázatok csökkentése
érdekében tervezett intézkedéseket.
(3) A (2) bekezdés szerinti értesítést az Adatvédelmi Megfelelőségi és Társadalmi Kapcsolatok
Főosztályköteles érdemben megvizsgálni; az adatvédelmi tisztviselő véleményét azzal
kapcsolatban kikérni; majd az alapján – szükség esetén az előterjesztő szervezeti egységgel
történő konzultáció, az értesítés kiegészítése vagy pontosítására történő felhívást követően –
javaslatot tenni a Hatóság elnökének
a) az ahhoz kapcsolódóan szükségesnek tartott további szervezési és technikai
intézkedésekre, vagy a GDPR 5. cikkében foglalt alapelveknek megfelelő adatkezelés
kialakításának szempontjaira nézve;
b) a kapcsolódó adatvédelmi hatásvizsgálat szükségessége kapcsán;
c) az ahhoz kapcsolódó adatkezelési tájékoztató tartalmára és esetleges közzétételére
vonatkozóan.
(4) Ha a tervezett adatkezelés kapcsán alkalmazandó az Infotv. 5. § (5) bekezdésében
meghatározott rendszeres felülvizsgálati kötelezettség – mivel a Hatóság közfeladatát
megállapító uniós jog, törvény, vagy helyi önkormányzat rendelete az adatkezelés időtartamát
vagy szükségessége időszakos felülvizsgálatát nem tartalmazza – a (3) bekezdés szerinti
javaslat a rendszeres felülvizsgálat lefolytatásának időpontjára és módjára is ki kell, hogy térjen.
(5) A (3) bekezdés szerinti javaslat kapcsán a Hatóság elnöke által hozott döntésről az
Adatvédelmi Megfelelőségi és Társadalmi Kapcsolatok Főosztály tájékoztatja a személyes
adatkezeléssel járó feladat ellátásáért felelős önálló szervezeti egység vezetőjét, valamint a
tevékenység adatvédelmi nyilvántartásba történő bejegyzése érdekében az adatvédelmi
tisztviselőt.
16. § (1) Kizárólag akkor hivatkozható a Hatóság adatkezelési tevékenysége kapcsán a
GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalap helyett más, a GDPR 6. cikkében foglalt
jogalap, ha az adatkezelési tevékenység nem szükséges a Hatóság közfeladatának ellátásához,
vagy közhatalmi tevékenységének gyakorlásához.
(2) Az (1) bekezdésben foglaltakon túl is kizárólag akkor képezheti a Hatóság adatkezelésének
jogalapját a GDPR 6. cikk (1) bekezdés a) pontja szerinti érintetti hozzájárulás, ha az adatkezelés
vonatkozásában igazolható módon nincs az érintett és a Hatóság között egyértelműen
egyenlőtlen viszony, továbbá szervezési és technikai intézkedésekkel biztosítható, hogy az
érintett hozzájárulását bármikor ugyanolyan könnyen visszavonhassa, ahogy azt megadta.
17. § (1) Személyes adatokat továbbítani kizárólag pontosan meghatározott és jogszerű célból,
a konkrét esetben közvetlenül hivatkozható jogalap birtokában lehetséges, és a továbbítandó
adatok körét az alkalmazandó jogszabályi követelményeket és az iratkezelésre vonatkozó belső
előírásokat is mérlegelve az adatkezelés céljához szükséges körre kell szűkíteni.
(2) Amennyiben a Hatóság által kezelt személyes adatok továbbítására nem a Hatóság
iratkezelésének szabályairól szóló elnöki utasításban meghatározott iratkezelő rendszerben
iktatott módon kerül sor, úgy arról az adattovábbítással járó feladat ellátásáért felelős önálló
szervezeti egység elektronikus úton nyilvántartást köteles vezetni.7
Adatbiztonsági követelmények
18. § (1) A Hatóság a kezelésében lévő személyes adatok bizalmasságát, sértetlenségét és
rendelkezésre állását biztosítandó, az érintettekre nézve megjelenő kockázatokkal arányos, a
technológiai fejlődés szempontjából naprakész, zárt, teljes körű és folytonos szervezési és
technikai védelmi intézkedéseket alkalmaz.
(2) Az alkalmazott védelmi intézkedések naprakészen tartása érdekében az SZMSZ szerinti
feladatkörük kapcsán az önálló szervezeti egységek vezetői, valamint a biztonsági vezető,
elektronikus információbiztonsági vezető és az adatvédelmi tisztviselő írásban javaslatot tehet
azok pontosítására vagy fejlesztésére a Hatóság elnökének.
(3) A Hatóság elektronikus információs rendszereihez és – a tevékenységével összefüggésben
ellátott feladatok ellátásához szükséges – más szerv kezelésében lévő elektronikus információs
rendszerekhez, valamint nem elektronikus úton vezetett nyilvántartásokhoz történő hozzáférési
jogosultságot és annak szintjét az önálló szervezeti egység vezetőjének kezdeményezésére a
Hatóság elnöke – vagy döntése alapján a rendszer üzemeltetéséért vagy eléréséért felelős
szervezeti egység vezetője – adja meg, kezdeményezi annak megadását a rendszer
üzemeltetőjénél, illetve vonja vissza, vagy kezdeményezi annak visszavonását a rendszer
üzemeltetőjénél.
(4) A jogosultságok naprakészségét a nem a Hatóság által üzemeltetett rendszerekhez
kapcsolódóan a hozzáférést kezdeményező önálló szervezeti egység vezetője köteles évente,
dokumentált módon ellenőrizni.
(5) A Hatóság feladatellátásával összefüggő személyes adatokat is tartalmazó iratot vagy
adathordozót a Hatóság épületéből kivinni – munkaköri feladat ellátásának kivételével – csak a
Hatóság elnökének engedélyével lehet. A foglalkoztatott ez esetben is köteles gondoskodni az
adatbiztonsági követelmények megvalósulásáról.
(6) A Hatóság közös használatú helyiségeiben és közös használatú eszközei kapcsán – így
különösen nyomtatók, másológépek, irattárolók esetében – a személyes adatok célhoz kötött
felhasználását, valamint integritását és bizalmas jellegét garantáló további előírásokat jogosult a
foglalkoztatottak számára meghatározni az érintett önálló szervezeti egység vezetője.
(7) A Hatóságnál szakmai gyakorlatot teljesítő, vagy a Hatósággal foglalkoztatásra irányuló
jogviszonyban nem álló kutatási tevékenységet végző személy a Hatóság kezelésében lévő
irathoz és elektronikus információs rendszerhez kizárólag titoktartási nyilatkozat aláírását,
továbbá a kezelt adatok biztonságát garantáló szervezési és műszaki intézkedések kialakítását
követően férhetnek hozzá.
19. § (1) Az ügyfél és jogos érdekét igazoló harmadik személy az általános közigazgatási
rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) hatálya alá tartozó eljárásban
iratbetekintési jogának személyes, vagy képviselője útján történő gyakorlása során, valamint az
eljárás során keletkezett iratról való másolat, kivonat készítésekor kiemelt figyelmet kell fordítani
a bizalmasság elvének történő megfelelés érdekében a törvény által előírt garanciákra és
korlátozó rendelkezésekre, így különösen a zárt adatkezeléssel kapcsolatos feladatokra.
(2) Telefonos ügyfélszolgálati tevékenység ellátása során a Hatóság rendszereiből személyes
adatot továbbítani tilos, tekintettel arra, hogy a hívó fél minden kétséget kizáró módon történő
azonosítása a Hatóságnál nem lehetséges.8
Az adatkezelési műveletek átláthatóságára vonatkozó követelmények
20. § (1) A Hatóság adatkezelési tevékenységeire vonatkozóan az adatkezelés érintettje
számára világos, könnyen értelmezhető és átlátható módon, az adatkezelés céljai mentén a
GDPR 13-14. cikke szerinti tartalommal szükséges az adatkezelési tájékoztatókat összeállítani.
(2) Az adatkezelési tájékoztatókban foglaltak tartalmi megfelelőségét, naprakészségét és
elérhetőségét az adatvédelmi tisztviselő és az SZMSZ-ben meghatározott feladataihoz kötődően
a tevékenység ellátásáért felelős önálló szervezeti egység is köteles figyelemmel kísérni.
(3) A kizárólag a Hatóság foglalkoztatottjait érintő adatkezelési célok kapcsán összeállított
adatkezelési tájékoztatókat a Hatóság székhelyén elérhető zárt informatikai rendszerében kell a
foglalkoztatottak számára elérhetővé tenni.
(4) A Hatóságnál foglalkoztatotti jogviszonyt létesítő személyek számára a belépéshez
szükséges dokumentációval együtt, elektronikus úton szükséges megküldeni az őket érintő
adatkezelési tájékoztatókat.
(5) A Hatóság székhelyén személyesen megjelenő érintetteket, a rájuk vonatkozó
adatkezelésekről a Hatóság portaszolgálatánál elérhető papíralapú adatkezelési tájékoztató,
valamint figyelemfelhívó jelzés útján kell tájékoztatni. Emellett szükség esetén, így különösen
látássérültek vagy olvasási, szövegértési képességükben korlátozott érintettek esetében szóbeli
tájékoztatás nyújtása is kötelező.
(6) A (3)-(5) bekezdésben nem szabályozott érintetti kör esetében a Hatóság a honlapján, az
„Adatkezelési tájékoztatók” cím alatt közzétéve bocsátja az érintettek rendelkezésére a
szükséges tájékoztatást.
Az adatkezelési tevékenységek nyilvántartása
21. § (1) A Hatóság adatvédelmi tisztviselője elektronikusan, kizárólag a Hatóság székhelyén
elérhető zárt informatikai rendszerben vezeti a Hatóság adatkezelési tevékenységeinek
nyilvántartását.
(2) Az adatkezelési tevékenységek nyilvántartása az adatkezelési célok mentén, a GDPR 30.
cikke által meghatározott tartalommal összeállított nyilvántartás bejegyzésekből áll, amelynek
összhangban kell lennie a kapcsolódó adatkezelési tájékoztatókban foglaltakkal.
(3) A nyilvántartás aktualizálását, szükséges módosítását az adatvédelmi tisztviselő végzi a
Szabályzat 7-9. §-ai és 15. § szerinti tájékoztatások alapján.
Az adatvédelmi hatásvizsgálat lefolytatása
22. § (1) Amennyiben egy tervezett adatkezelés kapcsán az adatvédelmi hatásvizsgálat
lefolytatásának GDPR 35. cikkében foglalt feltételei fennállnak – mivel annak jellege, hatóköre,
körülményei és céljai, vagy az alkalmazott technológiai megoldások kapcsán az
valószínűsíthetően magas kockázattal jár az érintettre nézve, vagy a tervezett adatkezelés a
Hatóság által a GDPR 35. cikk (4) bekezdése szerint összeállított jegyzékében szerepel – az
Adatvédelmi Megfelelőségi és Társadalmi Kapcsolatok Főosztály írásban kezdeményezi annak
lefolytatását a Hatóság elnökénél.
(2) Az adatvédelmi hatásvizsgálat lefolytatásának GDPR 35. cikkében foglalt feltételei
fennállásának vizsgálata keretében figyelemmel kell lenni arra is, hogy alkalmazható-e valamely,
a lefolytatás kötelezettsége alóli kivételszabály, így különösen a kötelező adatkezelést előíró9
jogszabály kapcsán készült-e adatvédelmi hatásvizsgálat, illetve elérhető-e azonos tárgyban
készült adatvédelmi hatásvizsgálat.
(3) Az (1) bekezdés szerinti feljegyzés tartalmazza
a) az adatvédelmi hatásvizsgálat lefolytatására okot adó legfontosabb szempontokat;
b) a tervezett adatkezelést kezdeményező önálló szervezeti egység 15. § (2) bekezdés
szerinti tartalommal összeállított megkeresését;
c) az alkalmazni javasolt módszertan megjelölését;
d) az adatvédelmi hatásvizsgálatot lefolytató munkacsoportba bevonni tervezett szervezeti
egységeket és személyeket;
e) a tervezett adatkezelés érintettjei véleményének kikérése kapcsán javasolt megoldást,
vagy annak jogszerű mellőzésére okot adó körülményeket;
f) amennyiben az előre megítélhető, a hatásvizsgálat lefolytatásának tervezett időrendjét.
(4) A Hatóság elnöke kikéri az adatvédelmi tisztviselő álláspontját az adatvédelmi hatásvizsgálat
szükségessége kapcsán, majd elrendeli az adatvédelmi hatásvizsgálat lefolytatását vagy
írásban rögzíti mellőzésének okait.
23. § (1) Az adatvédelmi hatásvizsgálatot lefolytató munkacsoportba a tervezett adatkezeléssel
érintett önálló szervezeti egységek kötelesek résztvevőt kijelölni.
(2) Az Európai Adatvédelmi Testület által elfogadott – vagy a GDPR alkalmazandóvá válását
követően fenntartott –, az adatvédelmi hatásvizsgálatra vonatkozó hatályos iránymutatásban
foglalt szempontokat és eljárásrendet a munkacsoport köteles figyelembe venni.
(3) A munkacsoport az adatvédelmi hatásvizsgálat lefolytatását követően megállapításairól és
javaslatairól összefoglaló jelentést készít a Hatóság elnökének. A munkacsoport tevékenysége
során keletkezett iratanyag a jelentés kivételével döntés-előkészítő iratnak minősül.
(4) Az adatvédelmi hatásvizsgálatot lefolytató munkacsoport munkáját az adatvédelmi tisztviselő
– és amennyiben az adatkezelés elektronikus információs rendszert is érint, az elektronikus
információs rendszer biztonságáért felelős személy – segíti. Véleményét legalább a
kockázatelemzés, a tervezett intézkedések és az összefoglaló jelentés kapcsán ki kell kérni.
(5) Az adatvédelmi hatásvizsgálatról készült jelentést és a kapcsolódó véleményeket a Hatóság
elnöke részére írásban kell előterjeszteni. A tervezett adatkezelés nem kezdhető meg, amíg a
Hatóság elnöke el nem fogadja
a) az adatvédelmi hatásvizsgálat eredményes lezárultáról, és az abban a kockázatok
csökkentését szolgáló intézkedések bevezetéséről és az adatkezelés jóváhagyásáról
szóló jelentést, vagy
b) az adatvédelmi hatásvizsgálat mellőzésének, vagy megszüntetésének okait tartalmazó
jelentést.
(6) Amennyiben jogszabály valamely, a Hatóság által tervezett adatkezelés kapcsán a GDPR
36. cikke szerinti előzetes konzultációt írna elő, vagy az adatvédelmi hatásvizsgálatot lefolytató
munkacsoport annak szükségessége mellett dönt, a Hatóság elnöke eseti jelleggel jelöli ki az
abban a Hatóság nevében eljáró személyeket úgy, hogy a munkacsoportban résztvevő
személyek és a tervezett adatkezeléssel érintett önálló szervezeti egység foglalkoztatottjai
abban nem járhatnak el.10
IV. Fejezet
AZ ADATVÉDELMI INCIDENSEK KEZELÉSÉVEL KAPCSOLATOS FELADATOK
24. § (1) Amennyiben a Hatóság foglalkoztatottja adatvédelmi incidens bekövetkezésének
gyanúját észleli, haladéktalanul tájékoztatja arról az önálló szervezeti egységének vezetőjét. Az
önálló szervezeti egység vezetője az általa észlelt adatvédelmi incidens kapcsán saját
hatáskörben jár el.
(2) Az önálló szervezeti egység vezetője vagy az általa kijelölt személy az (1) bekezdés szerinti
jelzést követően azonnal tájékozódik az eset lényeges körülményeiről.
(3) Amennyiben a rendelkezésre álló adatok alapján egyértelműen megállapítható, hogy az azt
észlelő önálló szervezeti egység tevékenységével összefüggésben, vagy azt érintően
következett be az adatvédelmi incidens, soron kívül megkezdi az incidens érintettekre nézve
megjelenő hatásainak csökkentését és arról haladéktalanul írásban értesíti az adatvédelmi
tisztviselőt.
(4) A (3) bekezdés szerinti értesítés az adatvédelmi incidens bekövetkeztének, illetőleg az általa
az érintettre nézve jelentett kockázatok és annak hatásainak megállapítása érdekében
tartalmazza legalább
a) az adatvédelmi incidens jellegét és rövid leírását, ideértve különösen az észlelés és
bekövetkezés feltételezett időpontját, az érintett rendszer vagy irat megjelölését;
b) a valószínűsíthetően érintett személyek körét;
c) a valószínűsíthetően érintett személyes adatok kategóriáit, nagyságrendjét;
d) az általa megtett halaszthatatlan intézkedéseket;
e) megítélése szerint az érintettek jogaira és szabadságaira gyakorolt hatásának
súlyosságát,
f) az általa tervezett további intézkedések leírását.
(5) Az önálló szervezeti egység vezetője haladéktalanul értesíti az adatvédelmi tisztviselőt a
bekövetkezett eseményről és a nála rendelkezésre álló információról, ha
a) az adatvédelmi incidens bekövetkezte vagy annak (4) bekezdés szerinti jellemzői
számára nem állapíthatók meg egyértelműen és legfeljebb az észlelését követő 24 órán
belül,
b) az adatvédelmi incidens megítélése szerint elsősorban más önálló szervezeti egység
tevékenységét érinti, illetőleg
c) az adatvédelmi incidens több önálló szervezeti egységet is érinthet.
(6) Az adatvédelmi tisztviselő megvizsgálja a (4) vagy (5) bekezdés szerinti értesítésben
foglaltakat, és az adatvédelmi incidens lehetséges hatásainak felmérése és megállapítása
érdekében szükség szerint bevonja a Hatóság informatikai biztonságért felelős vezetőjét és
biztonsági vezetőjét, az önálló szervezeti egység vezetőjét vagy az adatvédelmi incidenssel
érintett szakterület tekintetében szakértelemmel rendelkező személyeket is.
(7) Abban az esetben, ha az adatvédelmi incidens feltételezhetően a Hatóság által üzemeltetett
elektronikus információs rendszerek biztonságával összefüggésben következett be, az
adatvédelmi tisztviselő a Hatóság elektronikus információbiztonságért felelős vezetője felé is
köteles jelezni a bejelentést. A Hatóság elektronikus információbiztonságért felelős vezetője a
jelzést követően köteles haladéktalanul véleményt összeállítani az adatvédelmi tisztviselő