Magyar Nyelvstratégiai Intézet

A Magyar Nyelvstratégiai IntézetBelső Adatkezelési Szabályzata

2018. május 25.


  A Magyar Nyelvstratégiai Intézet alapadatai, jogállása  
 Név:   MAGYAR NYELVSTRATÉGIAI INTÉZET
 Rövidített név:   MANYSI
 Székhely:   1055 Budapest, Kossuth Lajos tér 1-3.
 Telephelye:    1051 Budapest, Nádor utca 36. V. em.
 GDPR besorolás:    Közhatalmi szerv
  Jogállás:   Központi HivatalKözponti Költségvetési Szerv 
 Adóigazgatási adóazonosító szám:   15825861-1-41
 PIR törzsszáma:   825867
 KSH Statisztikai számjele:   15825861-7220-312-01
 Képviseli:  TÓTH ATTILAIgazgató 
   

1. Cím

 A szabályzat hatálya, célja

Jelen Adatkezelési Szabályzat (a továbbiakban: Szabályzat) a Magyar Nyelvstratégiai Intézet (a továbbiakban: MANYSI)  minden adatkezelésére, adatkezelési tevékenységére vonatkozó belső szabályait tartalmazza a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 679/2016 számú rendeletének (a továbbiakban: GDPR) való megfelelés céljából. A MANYSI jelen Szabályzatában a természetes személyek személyes adatainak kezelése során megvalósuló védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.A MANYSI a Szabályzatban rögzített eljárások, folyamatok és intézkedések alapján kötelezettséget vállal arra, hogy az eljárása során minden adatkezelés megfelel a hatályos nemzeti jogszabályokban, valamint az Európai Unió jogi aktusaiban meghatározott elvárásoknak.A MANYSI mint adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a hatályos jogszabályoknak megfelelően történjen.Ezeket az intézkedéseket a MANYSI meghatározott időszakonként felülvizsgálja és szükség esetén naprakésszé teszi.

1.1 Jelen Szabályzat célja:

1.1.1. Egyrészt, hogy érvényre juttassa a személyes adatok kezelésére vonatkozó GDPR cikkében meghatározott alábbi alapelveket:

  • jogszerűség, tisztességes eljárás és átláthatóság elve
  • célhoz kötöttség elve
  • adattakarékosság elve
  • pontosság elve
  • korlátozott tárolhatóság elve
  • integritás és bizalmas jelleg elve
  • elszámoltathatóság elve.

1.1.2. Másrészt, hogy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban Infotv.) figyelembe vételével meghatározza a MANYSI által vezetett nyilvántartások működésének törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, s megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát.

A MANYSI mint adatkezelő a jelen Szabályzatban és mellékleteiben meghatározott megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük módjára, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt biztosítják, hogy a személyes adatok természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé harmadik személy számára.

1.2. Jelen Szabályzat hatálya

Jelen Szabályzat azoknak a természetes személyeknek az adataira terjed ki, amely természetes személyek adatait a MANYSI bármilyen vonatkozásban kezeli (tehát a MANYSI minden szervezeti egységénél folytatott valamennyi személyes adatokat tartalmazó adatkezelésekre), de nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

2. Cím

Értelmező rendelkezések

Fogalomtár

Személyes adat: megegyezik a GDPR 4. cikk 1. pontjával;
Adatkezelés: megegyezik a GDPR 4. cikk 2. pontjával;
Az adatkezelés korlátozása: megegyezik a GDPR 4. cikk 3. pontjával;
Profilalkotás: megegyezik a GDPR 4. cikk 4. pontjával;
Álnevesítés: megegyezik a GDPR 4. cikk 5. pontjával;
Nyilvántartási rendszer: megegyezik a GDPR 4. cikk 6. pontjával;
Adatkezelő: megegyezik a GDPR 4. cikk 7. pontjával;
Adatfeldolgozó: megegyezik a GDPR 4. cikk 8. pontjával;
Címzett: megegyezik a GDPR 4. cikk 9. pontjával;
Harmadik fél: megegyezik a GDPR 4. cikk 10. pontjával;
Az érintett hozzájárulása: megegyezik a GDPR 4. cikk 11. pontjával;
Adatvédelmi incidens: megegyezik a GDPR 4. cikk 12. pontjával;
Vállalkozás: megegyezik a GDPR 4. cikk 18. pontjával.

3. Cím

Adatkezelési jogalapok

3.1. Adatkezelés az érintett hozzájárulása alapján

Az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.Önkéntesnek akkor minősül az érintett hozzájárulása, ha az semmiféle feltételhez nincs kötve, az érintett szabad elhatározásból járul hozzá az adatkezeléshez.A hozzájáruláson alapuló adatkezelés esetén az érintett hozzájárulását személyes adatai kezeléséhez az 1. sz. melléklet szerinti hozzájáruló nyilatkozat alapján adhatja meg, tekintettel arra, hogy a MANYSI-nak mint adatkezelőnek, képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.Hozzájárulásnak minősül az is, ha az érintett a MANYSI internetes honlapjának megtekintése során regisztrál és hírlevélre való feliratkozás okán bejelöli az arra vonatkozó négyzetet, továbbá az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.  Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, e felkérés egyértelmű és tömör, és az nem gátolja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérjük.Az érintett hozzájárulását adatkezelési célonként tartjuk nyilván. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan külön tartjuk nyilván.Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik – pl. szerződés megkötésére – a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon adjuk elő, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti a GDPR-t, kötelező erővel nem bír.A MANYSI kötelezettséget vállal arra, hogy nem köti szerződés megkötését, teljesítését olyan személyes adatok kezeléséhez való hozzájárulás megadásához, amelyek nem szükségesek a szerződés teljesítéséhez.Amennyiben az érintett 16 éves kor alatti személy, úgy a személyes adatainak kezelését csak akkor és abban a mértékben tekintjük jogszerűnek, ha a hozzájárulást a szülői felügyeletet gyakorló adta meg, illetve engedélyezte.Amennyiben az adatkezelésre az érintett hozzájárulása alapján került sor és utóbb az érintett a visszavonás jogával élve a hozzájárulását visszavonta, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

3.1.1. Álláspályázatokkal kapcsolatos adatkezelés

Az álláspályázatokkal kapcsolatban a kezelhető személyes adatok köre: a természetes személy neve, születési ideje, helye, anyja neve, lakcím, képesítési adatok, fénykép, telefonszám, e-mail-cím, a jelentkezőről készített munkáltatói feljegyzés, amennyiben van ilyen.A személyes adatok kezelésének célja a jelentkezés, pályázat elbírálása, azaz a kiválasztott természetes személy kinevezése, vagy vele munkaszerződés megkötése. Az érintettet tájékoztatni kell arról, ha a munkáltató nem őt választotta az adott állásra.Az álláspályázatok elbírálásával kapcsolatos adatkezelés jogalapja: az érintett hozzájárulása.E körben a személyes adatok címzettjei, illetve a címzettek kategóriái: a munkáltatói jogok gyakorlására jogosult vezető vagy általa kijelölt személy, továbbá munkaügyi feladatokat ellátó munkavállalók.  Az álláspályázatokkal kapcsolatos személyes adatok tárolásának időtartama a pályázat elbírálásáig terjedhet.Azoknak a jelentkezőknek a személyes adatait, akiket a pályázat során nem választottak ki, törölni kell, kivéve az alábbi 2 esetet:

  • Ha az érintett kifejezett, egyértelmű és önkéntes hozzájárulása alapján úgy nyilatkozott, hogy a MANYSI későbbi álláspályázatai során az adatait megőrizheti és kezelheti, amelynek időtartama 5 évig terjedhet.
  • Ha a MANYSI jogszabályokkal összhangban álló adatkezelési céljának elérése érdekében, tehát jogos érdeke (lásd. jelen Szabályzat 3.4. részben) miatt szükséges, akkor a pályázó adatait megőrizheti és kezelheti, amelynek időtartama 5 évig terjedhet.

Törölni kell annak adatait is, aki jelentkezését, pályázatát visszavonta. Az érintett személy jogai a 4. Címben lettek rögzítve.

3.1.2. Kapcsolatfelvétel a MANYSI honlapján

A honlapon történő kapcsolatfelvétel esetén a természetes személy az erre vonatkozó négyzetek kitöltésével adhatja meg hozzájárulását személyes adatai kezeléséhez. A honlapon történő kapcsolatfelvétel során a következő személyes adatok kezelésére kerülhet sor: a természetes személy neve (vezetéknév, keresztnév), e-mail címe.A személyes adatok kezelésének célja:

  • Kapcsolatfelvétel elektronikus megkereséssel.
  • Tájékoztatás a MANYSI híreiről, eseményeiről.

Az adatkezelés jogalapja az érintett hozzájárulása.A személyes adatok címzettjei, illetve a címzettek kategóriái a MANYSI Titkársága. A személyes adatok tárolásának időtartama – a korlátozott tárolhatóság elvének érvényre juttatása miatt – a regisztrációtól számított 5 évig vagy az érintett hozzájárulásának visszavonásáig terjedhet.

3.1.3. Hírlevélküldés a MANYSI honlapján

A MANYSI honlapján a hírlevél szolgáltatásra regisztráló természetes személy az erre vonatkozó négyzetek bejelölésével adhatja meg hozzájárulását személyes adatai kezeléséhez. A MANYSI maradéktalanul eleget tesz a négyzet előre bejölésének tilalmára vonatkozó kötelezettségének. A feliratkozás során linkkel teszi elérhetővé az Adatkezelési Tájékoztatót. A hírlevéről az érintett a hírlevél „Leiratkozás” alkalmazásának használatával, vagy írásban, vagy e-mailben tett nyilatkozattal bármikor leiratkozhat, amely az érintett hozzájárulásának visszavonását jelenti. Ilyen esetben a leiratkozó minden adata haladéktalanul törlésre kerül. A kezelhető személyes adatok köre: a természetes személy neve (vezetéknév, keresztnév), e-mail címe, munkahelye/intézete. A személyes adatok kezelésének célja:

  • Hírlevél küldése a MANYSI híreiről, eseményeiről.

A személyes adatok címzettjei, illetve a címzettek kategóriái a MANYSI Titkársága. A személyes adatok tárolásának időtartama – a korlátozott tárolhatóság elve érvényre juttatása miatt – a regisztrációtól számított 5 évig vagy az érintett hozzájárulásának visszavonásáig terjedhet.

3.2. Adatkezelés szerződés teljesítése alapján

3.2.1. Foglalkoztatási jogviszonnyal kapcsolatos adatkezelések

 A foglalkoztatottaktól (függetlenül a jogviszony jellegétől) kizárólag olyan adatok kérhetők és tarthatók nyilván, valamint olyan munkaköri orvosi alkalmassági vizsgálatok végezhetők, amelyek foglalkoztatási jogviszony létesítéséhez, fenntartásához és megszüntetéséhez, illetve a szociális-jóléti juttatások biztosításához szükségesek és a foglalkoztatott személyhez fűződő jogait nem sértik. Ezen adatok tehát kizárólag a foglalkoztatási jogviszonnyal kapcsolatos tények megállapítására, a besorolási követelmények igazolására és statisztikai adatszolgáltatásra használhatóak fel.Betegségre és szakszervezeti tagságra vonatkozó adatokat a MANYSI mint munkáltató csak a törvényben meghatározott jog vagy kötelezettség teljesítése céljából kezel, azaz annak jogalapja jelen Szabályzat 3.3. pontjában részletezett jogi kötelezettség teljesítése.A személyes adatok címzettje lehet a munkáltató vezetője, munkáltatói jogkör gyakorlója, valamint a MANYSI munkaügyi feladatokat ellátó tisztviselői.A személyes adatok tárolásának időtartama, a munkaviszony megszűnését követő 5 évig, a közszolgálati jogviszony esetében pedig, annak megszűnését követő 50 évig terjedhet. A munkaviszony megszűnését követően a munkavállalóval közölni kell, hogy az adatkezelés jogalapja már nem a szerződés teljesítése, hanem jelen Szabályzat 3.4. pontjában részletezett jogos érdek, amely munkáltató jogos érdekeinek érvényesítésén alapul. A közszolgálati jogviszony megszűnését követően az érintettel közölni kell, hogy az adatkezelés jogalapja már nem a szerződés teljesítése, hanem jelen Szabályzat 3.3. pontjában részletezett jogi kötelezettség teljesítése.A MANYSI mint munkáltató a közszolgálati jogviszony létesítésével, illetve munkaszerződés megkötésével egyidejűleg a jelen Szabályzat 2. sz. melléklete szerinti Tájékoztató átadásával tájékoztatja a foglalkoztatottat a személyes adatainak kezeléséről és a személyhez fűződő jogairól. 

3.2.2. Egyéb szerződésekkel kapcsolatos adatkezelések

Az adatkezelés jogszerűnek minősül akkor is, ha annak jogalapja szerződés teljesítése, azaz az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A MANYSI szerződés teljesítése alapján kezeli a vele szerződő partnerek adatait, így tehát a szerződés megkötése, teljesítése, megszűnése, szerződési kedvezmény nyújtása céljából a vele szerződött természetes személyek nevét, születési nevét, születési idejét, anyja nevét, lakcímét, adóazonosító jelét, adószámát, vállalkozói, valamint személyi igazolvány számát, lakcímét, székhely, telephely címét, telefonszámát, e-mail-címét, honlapcímét, bankszámlaszámát.A személyes adatok címzettjei a MANYSI ügyfélkiszolgálással kapcsolatos feladatokat ellátó munkavállalói, könyvelési, adózási feladatokat ellátó foglalkoztatottjai. A személyes adatok tárolásának időtartama a szerződés megszűnését követő 5 évig terjedhet.Az érintett természetes személlyel az adatkezelés megkezdése előtt minden esetben közölni kell, hogy az adatkezelés a szerződés teljesítése jogcímén alapul, mely tájékoztatás a szerződésben is rögzítésre kerül. A természetes személlyel kötött szerződéshez kapcsolódó adatkezelési tájékoztatás szövegét jelen Szabályzat 3. sz. melléklete tartalmazza.A jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai vonatkozásában a kezelhető személyes adatok köre: a természetes személy neve, címe, telefonszáma, e-mail-címe.A jogi személy ügyfelek vonatkozásában a személyes adatok kezelésének célja a MANYSI jogi személy partnerével kötött szerződés teljesítése és üzleti kapcsolattartás, amelynek jogalapja az érintett hozzájárulása. A személyes adatok címzettjei, illetve a címzettek kategóriái a MANYSI ezzel kapcsolatos feladatokat ellátó tisztviselői.A személyes adatok tárolásának időtartama az üzleti kapcsolat, illetve az érintett képviselői minőségének fennállását követő 5 évig terjedhet. A jogi személy képviselőnek vonatkozásában az adatfelvétellel kapcsolatos nyilatkozatot jelen Szabályzat 4. sz. melléklete tartalmazza. Ezen nyilatkozatot az ügyféllel, vevővel, szállítóval kapcsolatban álló foglalkoztatottnak ismertetnie kell az érintett személlyel és a nyilatkozat aláírásával kérnie kell hozzájárulását személyes adatai kezeléséhez. A nyilatkozatot az adatkezelés időtartamáig meg kell őrizni. 

3.3. Adatkezelés jogi kötelezettség alapján

 Az adatkezelés jogszerűségének jogalapja lehet a jogi kötelezettség teljesítése, amely a MANYSI mint adatkezelő vonatkozásában előírt akár tagállami, akár uniós jogban előírt kötelezettség.E jogalap vonatkozásában, a kötelezettséget mindig jogszabálynak vagy annak alapján hozott hatósági határozatnak, esetleg bírósági határozatnak kell előírnia, melynek vonatkozásában érvényesülnie kell a szükségességi, arányossági és a célhoz kötöttségi kritériumoknak is.A jogi kötelezettség mint jogalap nem biztosít mérlegelési lehetőséget a kötelezettség teljesítésével kapcsolatban.A jogi kötelezettség teljesítése jogcímén alapuló adatkezelés az érintett hozzájárulásától független. Az érintettel az adatkezelés megkezdése előtt ebben az esetben közölni kell, hogy az adatkezelés kötelező, továbbá az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő a rá vonatkozó jogi kötelezettség alapján kezeli, valamint arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Kötelező adatkezelés esetén a tájékoztatás megtörténhet az előbbi információkat tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.

3.3.1. Adatkezelés adózási és számviteli kötelezettségek teljesítése céljából

A MANYSI jogi kötelezettség teljesítése jogcímén, törvényben előírt adózási és számviteli kötelezettségek teljesítése (könyvelés, adózás) céljából kezeli a vele üzleti kapcsolatba lépő természetes személyek törvényben meghatározott adatait. A kezelt adatok a következők lehetnek: az általános forgalmi adóról szóló 2017. évi CXXVII. törvény 169.§. és 202.§-a alapján, különösen: adószám, név, cím, adózási státusz; a számvitelről szóló 2000. évi C. törvény 167.§-a alapján: név, cím, a gazdasági műveletet elrendelő személy vagy szervezet megjelölése, az utalványozó és a rendelkezés végrehajtását igazoló személy, valamint a szervezettől függően az ellenőr aláírása; a pénzkezelési bizonylatokon az átvevő, az ellennyugtákon a befizető aláírása; a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (a továbbiakban: Szja.) alapján: vállalkozói igazolvány száma, adóazonosító jel. A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év. A személyes adatok címzettjei a MANYSI adózási, könyvviteli, bérszámfejtési, társadalombiztosítási feladatait ellátó foglalkoztatottjai és adatfeldolgozói.

3.3.2. Adatkezelés kifizetői kötelezettség teljesítése céljából

A MANYSI jogi kötelezettség teljesítése jogcímén, törvényben előírt adó- és járulékkötelezettségek teljesítése (adó, adóelőleg, járulékok megállapítása, bérszámfejtés, társadalombiztosítási, nyugdíj ügyintézés) céljából kezeli azon érintettek – munkavállalók, családtagjaik, foglalkoztatottak, egyéb juttatásban részesülők – adótörvényekben előírt személyes adatait, akikkel az adózás rendjéről szóló 2017. évi CL törvény (a továbbiakban: Art.) 7.§ 31. szerint kifizetői kapcsolatban áll. A kezelt adatok köre kiterjed az Art. 50.§-ában meghatározott adatokra. Amennyiben az adótörvények ehhez jogkövetkezményt fűznek, a MANYSI kezelheti az Szja. foglalkoztatottak egészségügyi (Szja tv. 40.§) és szakszervezeti (Szja 47.§(2) b./) tagságára vonatkozó adatokat adó és járulékkötelezettségek teljesítés (bérszámfejtés, társadalombiztosítási ügyintézés) céljából.A személyes adatok tárolásának időtartama a jogalapot adó jogviszony megszűnését követő 8 év. A személyes adatok címzettjei a MANYSI adózási, bérszámfejtési, társadalombiztosítási (kifizetői) feladatait ellátó foglalkoztatottjai és adatfeldolgozói.

3.3.3. Adatkezelés a maradandó értékű iratokra vonatkozóan

A MANYSI jogi kötelezettsége teljesítése jogcímén kezeli a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (a továbbiakban: Levéltári törvény) szerint maradandó értékűnek minősülő iratait abból a célból, hogy a MANYSI irattári anyagának maradandó értékű része épségben és használható állapotban a jövő nemzedékei számára is fennmaradjon. Az adattárolás ideje a közlevéltár részére történő átadásig. A személyes adatok címzettjeire és az adatkezelés egyéb kérdéseire a Levéltári törvény irányadó.

3.3.4. Adatkezelés a pénzmosás és terrorizmus elleni kötelezettségek teljesítése céljából

A MANYSI jogi kötelezettség teljesítése jogcímén, pénzmosás és terrorizmus finanszírozásának megelőzése és megakadályozása céljából kezeli ügyfelei, ezek képviselői, és a tényleges tulajdonosoknak a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.) 7. § -ban meghatározott adatait: a) természetes személy a) családi és utónevét, b) születési családi és utónevét, c) állampolgárságát, d) születési helyét, idejét, e) anyja születési nevét, f) lakcímét, ennek hiányában tartózkodási helyét, g) azonosító okmányának típusát és számát; lakcímet igazoló hatósági igazolványa számát, a bemutatott okiratok másolatát.A személyes adatok címzettjei a MANYSI ügyfélkiszolgálással kapcsolatos feladatokat ellátó foglalkoztatottjai, a MANYSI vezetője és a MANYSI Pmt. szerinti kijelölt személye. A személyes adatok tárolásának időtartama a Pmt. 56.§ (2) bekezdésében rögzítettek szerint az üzleti kapcsolat megszűnésétől, illetve az ügyleti megbízás teljesítésétől számított 8 év.

3.3.5. Adatkezelés a vagyonnyilatkozatokkal kapcsolatban

 A vagyonnyilatkozat tételére köteles foglalkoztatottak és a velük közös háztartásban élő hozzátartozóik vagyonnyilatkozataiban foglalt személyes adatok kezelése az egyes vagyon-nyilatkozattételi kötelezettségekről szóló 2007. évi CLII. törvényben foglaltak alapján történik. A vagyonnyilatkozat kezelése a MANYSI feladatkörébe tartozik. A vagyonnyilatkozatokat elkülönítetten és együttesen kell kezelni oly módon, hogy azokhoz csak a jogszabályban meghatározott személyek férhessenek hozzá. A személyes adatok címzettje az őrzésért felelős személy ellenőrzési eljárás keretében. A vagyonnyilatkozatok tárolásának időtartama a jogszabályban rögzítettek szerint a jogviszony megszűnésétől számított 3 év.

3.3.6. Adatkezelés a közszolgálati jogviszony megszűnését követő jogi kötelezettség teljesítése céljából

A közszolgálati jogviszony megszűnése esetén a közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény (a továbbiakban: Kttv.) 184. § (4) bekezdése pontosan meghatározza azokat az iratokat, amelyeket személyi anyagként együttesen kell tárolni, továbbá konkrétan rögzíti azt is, hogy a személyi anyagot a jogviszony megszűnésétől számított 50 évig meg kell őrizni. 

3.4. Adatkezelés jogos érdek alapján

 Ha az adatkezelést a MANYSI vagy harmadik személy jogos érdeke indokolja, nem szükséges az érintett hozzájárulása, de az érdekmérlegelési tesztet mindenképpen el kell végezni. A jogos érdek alapján történő adatkezelés akkor jogszerű, ha a személyes adatok kezelését a MANYSI vagy harmadik személy jogos érdeke kellően indokolja. A jogos érdek pontos meghatározását követően, fontos annak megállapítása, hogy az egyes jogos érdekeknek mi a célja, valamint azt, hogy az adott jogos érdeken alapuló adatkezelés szükséges és arányos, valamint a jogos érdek hangsúlyosabb, mint az érintetti jog, vagyis az érintettre nem gyakorol negatív hatást.

3.4.1. Alkalmassági vizsgálatokkal kapcsolatos adatkezelés

A közszolgálati tisztviselővel, munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet közszolgálati jogviszonyra, munkaviszonyra vonatkozó szabály ír elő, vagy amely közszolgálati jogviszonyra, munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges. A vizsgálat előtt részletesen tájékoztatni kell a közszolgálati tisztviselőket, munkavállalókat többek között arról, hogy az alkalmassági vizsgálat milyen készség, képesség felmérésére irányul, a vizsgálat milyen eszközzel, módszerrel történik. Amennyiben jogszabály írja elő a vizsgálat elvégzését, akkor tájékoztatni kell a munkavállalókat a jogszabály címéről és a pontos jogszabályhelyről is, mert abban az esetben az adatkezelés jogalapja jogi kötelezettség teljesítése. Az alkalmassági vizsgálatról szóló Tájékoztatót jelen Szabályzat 5. sz. melléklete tartalmazza.A munkaalkalmasságra, felkészültségre irányuló tesztlapok a munkáltató mind a foglalkoztatási jogviszony létesítése előtt, mind pedig annak fennállása alatt kitöltetheti a foglalkoztatottakkal. Az egyértelműen foglalkoztatási jogviszonnyal kapcsolatos, a munkafolyamatok hatékonyabb ellátása, megszervezése érdekében csak akkor tölthető ki a foglalkoztatottak nagyobb csoportjával pszichológiai, vagy személyiségjegyek kutatására alkalmas tesztlap, ha az elemzés során felszínre került adatok nem köthetők az egyes konkrét foglalkoztatotthoz, vagyis anonim módon történik az adatok feldolgozása.A kezelhető személyes adatok köre: a munkaköri alkalmasság ténye, és az ehhez szükséges feltételek. Az alkalmassági vizsgálatokkal kapcsolatos adatkezelés egyik jogalapja a MANYSI mint munkáltató jogos érdeke, míg másik jogalap jogi kötelezettség teljesítése a munkaköri, szakmai, valamint személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM Rendeletben foglaltak szerint. E körben a személyes adatok kezelésének célja: közszolgálati jogviszony, munkaviszony létesítése, fenntartása, munkakör betöltése. A személyes adatok címzettjei, illetve a címzettek kategóriái azok, akik a vizsgálat eredményét megismerhetik. A vizsgálat eredményét a vizsgált munkavállalók, továbbá a vizsgálatot végző szakember ismerhetik meg. A MANYSI mint munkáltató csak azt az információt kaphatja meg, hogy a vizsgált személy a munkára alkalmas-e vagy sem, illetve milyen feltételek biztosítandók ehhez. A vizsgálat részleteit, annak teljes dokumentációját azonban a munkáltató nem ismerheti meg. Az ezzel kapcsolatos adatkezelés nem gyakorol negatív hatást az érintettre, tehát az adatkezelés szükséges és arányos.Az alkalmassági vizsgálatokkal kapcsolatos személyes adatok kezelésének időtartama: a munkaviszony megszűnését követő 5 év, a közszolgálati jogviszony megszűnését követő 50 év.

3.4.2. Elektronikus levélfiók ellenőrzésével kapcsolatos adatkezelés

A közszolgálati tisztviselő, munkavállaló rendelkezésére bocsátott e-mail-címet és -fiókot a közszolgálati tisztviselő, munkavállaló kizárólag munkaköri feladatai céljára használhatja, annak érdekében, hogy a közszolgálati tisztviselők, munkavállalók ezen keresztül tartsák egymással a kapcsolatot, vagy a MANYSI képviseletében levelezzenek az ügyfelekkel, más személyekkel, szervezetekkel.A közszolgálati tisztviselő, munkavállaló az e-mail-fiókot személyes célra nem használhatja, a fiókban személyes leveleket nem tárolhat. A MANYSI szervezeti egység vezetője jogosult az e-mail-fiók teljes tartalmát és használatát rendszeresen ellenőrizni, ennek során az adatkezelés jogalapja a munkáltató jogos érdeke. Az ellenőrzés célja az e-mail-fiók használatára vonatkozó rendelkezések betartásának ellenőrzése.Az ellenőrzésre a szervezeti egység vezetője vagy a munkáltatói jogok gyakorlója jogosult. Amennyiben az ellenőrzés körülményei nem zárják ki, biztosítani kell a lehetőséget arra, hogy a foglalkoztatott jelen lehessen az ellenőrzés során. Az ellenőrzés előtt tájékoztatni kell a foglalkoztatottat arról, hogy milyen munkáltatói érdek miatt kerül sor az ellenőrzésre, munkáltató részéről ki végezheti az ellenőrzést, – milyen szabályok szerint kerülhet sor ellenőrzésre (fokozatosság elvének betartása) és mi az eljárás menete, – milyen jogai és jogorvoslati lehetőségei vannak az e-mail-fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban.Az ellenőrzés során a fokozatosság elvét kell alkalmazni, így elsődlegesen az e-mail címéből és tárgyából kell megállapítani, hogy az a munkavállaló munkaköri feladatával kapcsolatos és nem személyes célú. Nem személyes célú e-mailek tartalmát a munkáltató korlátozás nélkül vizsgálhatja. Ha jelen Szabályzat rendelkezéseivel ellentétben az állapítható meg, hogy a közszolgálati tisztviselő, munkavállaló az e-mail-fiókot személyes célra használta, fel kell szólítani a munkavállalót, hogy a személyes adatokat haladéktalanul törölje. A munkavállaló távolléte, vagy együttműködésének hiánya esetén a személyes adatokat az ellenőrzéskor az ellenőrzésre jogosult törli. Az e-mail-fiók jelen Szabályzattal ellentétes használata miatt a MANYSI a munkavállalóval szemben a törvényben (Kttv., Mt.) meghatározott jogkövetkezményeket alkalmazhat. Az ezzel kapcsolatos adatkezelés nem gyakorol negatív hatást az érintettre, tehát az adatkezelés szükséges és arányos.A munkavállaló az e-mail-fiók ellenőrzésével együtt járó adatkezeléssel kapcsolatban e Szabályzatnak az érintett személy jogairól szóló 4. Címben részletezett jogokkal élhet.

3.4.3. Rendelkezésre bocsátott eszközök (számítógép, laptop, tablet, mobiltelefon) használatának ellenőrzésével kapcsolatos adatkezelés

 A MANYSI által a foglalkoztatott részére munkavégzés céljára rendelkezésre bocsátott számítógépet, laptopot, tabletet, mobiltelefont a foglalkoztatott kizárólag munkaköri feladata ellátása céljából használhatja, ezek magáncélú használata a MANYSI által nem engedélyezett. Ezeken az eszközökön a foglalkoztatott semmilyen személyes adatot nem tárolhat, személyes levelezését nem kezelheti és magáncélú telefonhívást nem kezdeményezhet. A MANYSI szervezeti egységének vezetője ezen eszközökön tárolt adatokat ellenőrizheti és előző pontban meghatározott jogkövetkezményeket alkalmazhatja. Az ezzel kapcsolatos adatkezelés nem gyakorol negatív hatást az érintettre, tehát az adatkezelés szükséges és arányos.

3.4.4. A munkahelyi be- és kiléptető rendszerrel kapcsolatos adatkezelés

A foglalkoztatottra vonatkozó minden olyan információ, adat személyes adatnak minősül, amely következtetést tartalmaz, vagy amelyből következtetés vonható le a foglalkoztatott személyére vagy akár a munkavégzésére. Ilyennek minősül a munkaidő kezdete, vége, valamint a nap közbeni szünetek időpontja. A biometrikus beléptető rendszer működtetése a foglalkoztatottak és ügyfelek megkülönböztetésén túl vagyonvédelmi, biztonsági és tűzvédelmi célokat szolgál. Ezzel kapcsolatban a kezelhető személyes adatok köre a természetes személy neve, lakcíme, a be- és kilépés ideje. Az adatkezelés jogalapja MANYSI mint munkáltató jogos érdekeinek érvényesítése. Az ezzel kapcsolatos adatkezelés nem gyakorol negatív hatást az érintettre, tehát az adatkezelés szükséges és arányos. A személyes adatok kezelésének időtartama 6 hónap.

4. Cím

AZ ÉRINTETT SZEMÉLY JOGAI

A MANYSI mint adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett a személyes adatainak a kezelésére vonatkozó minden információt megkapjon.  

4.1. Az érintett tájékoztatáshoz való joga

Az információs önrendelkezési jog érvényesülését minden érintett vonatkozásában biztosítjuk, mely alapján az érintettet előzetesen tájékoztatjuk az adatkezelésről Az érintett tehát tájékoztatást kap az adatkezelés tényéről, továbbá céljáról vagy céljairól, melynek során érvényesül a tisztességes és átlátható adatkezelés elve. A tájékoztatás kiterjed az adatkezelés jogalapjáról és időtartamáról, esetleges adattovábbítás esetén a címzettekről, arról, hogy személyes adatok megadása kötelező vagy sem, valamint arról is, hogy a hozzájárulás elmaradása milyen jogkövetkezményekkel járhat, továbbá a legfontosabbról, azaz az érintett jogairól. Az előzetes tájékoztatás olyan információkat tartalmaz, amelyek a fentiekben rögzítettek szerint, az adatok kezelésének konkrét körülményeire és összefüggéseire vonatkoznak, továbbá amelyek alapján az érintett megtudhatja az adatkezelő személyét, az adatkezelés célját, valamint az adatvédelmi tisztviselő nevét és elérhetőségét és az adatok forrását is.A MANYSI-t a tájékoztatási kötelezettsége az adatkezelés során, továbbá az adatkezelés megszűnéséig terheli.

4.2. A hozzáféréshez való jog

A hozzáférés joga valamennyi jogalap szerint történő adatkezelésre kiterjed. Az érintett jogosult arra, hogy a MANYSI-tól visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az ahhoz kapcsolódó GDPR-ban meghatározott információkhoz hozzáférést kapjon. A MANYSI-nak az adatkezelés tárgyát képező személyes adatok másolatát az érintett kérésére az érintett rendelkezésére kell bocsátania. Ha az érintett a hozzáférési jogát elektronikus úton gyakorolja, akkor a kérelmének elektronikus formátumban kell eleget tenni, kivéve, ha az érintett azt más formában kéri.

4.3. Az érintett adathordozhatósághoz való joga

 Az érintett saját adatai feletti rendelkezési jogának megerősítését szolgálja az adathordozáshoz való joga, mely alapján jogosult arra is, hogy a rá vonatkozó személyes adatot tagolt, széles körben használt, géppel olvasható formátumban megkapja és jogosult arra is, hogy az adatkezelők egymás között közvetlenül továbbítsák, ha ez technikailag megvalósítható. Az adathordozhatóság joga azonban kizárólag jogcímekhez (érintetti hozzájárulás, szerződés teljesítése) kapcsolódhat. Az érintett ezen túlmenően arra is jogosult, hogy személyes adatainak más adatkezelőhöz történő közvetlen továbbítását kérje.

4.4. A helyesbítéshez való jog

Az érintett kérheti az adatkezelőtől a pontatlan adatainak helyesbítését, illetve hiányos adatainak kiegészítését, a MANYSI pedig haladéktalanul helyesbíti azt vagy azokat. Amennyiben a MANYSI pontatlan adatokat helyesbít vagy kiegészít, úgy értesíti mindazokat, akikkel az adatot már korábban közölte, és közli a helyes vagy kiegészített adatokat is.

4.5. Az érintett adatainak elfeledtetéshez való joga

Az érintettnek joga van ahhoz, hogy a személyes adatait töröljék, és azt a továbbiakban ne kezeljék, ha az adatkezelés céljával összefüggésben arra már nincs szükség. Az érintett e jogával abban az esetben is élhet, ha visszavonta a korábban adott hozzájárulását és az adatkezelésnek nincs további jogalapja. Az érintett kérheti személyes adatainak törlését abban az esetben is, ha azt jogellenesen kezelték, vagy a személyes adatainak a kezelése egyéb szempontból nem felel meg a GDPR-ban foglaltaknak. Az érintett tiltakozhat az adatkezelés ellen, ha nincs elsőbbséget élvező jogszerű ok az adatkezelésre. Elsőbbséget élvező jogszerű okok lehetnek a következők:
  • a véleménynyilvánítás szabadságához és tájékozódáshoz való jog gyakorlása céljából szükséges adatkezelés
  • a személyes adatok kezelését előíró, a MANYSI-ra alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy a MANYSI-ra ráruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából szükséges adatkezelés
  • a népegészség-ügy területét érintő vagy archiválási, tudományos és történelmi kutatási célból vagy statisztikai célból, közérdek alapján szükséges adatkezelés
  • jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges adatkezelés.

Ezekben a fentiekben felsorolt esetekben tehát nem kezdeményezhető az adatok törlése.

4.6. Az adatkezelés korlátozásához való jog

Az érintett kezdeményezheti az adatkezelés korlátozását, ha az alábbi feltételek valamelyike teljesül:

  • az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, a személyes adatok pontosságának ellenőrzését;
  • az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • a MANYSI-nak már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  • az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy a MANYSI jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés ilyen korlátozás alá esik, akkor az adatot a tárolás kivételével csak az érintett hozzájárulásával; vagy jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez; vagy más természetes vagy jogi személy jogainak védelme érdekében; vagy az Unió vagy valamely tagállam fontos közérdekéből lehet kezelni.

4.7. A személyes adatok helyesbítéséhez, törléséhez, valamint az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

A MANYSI minden olyan címzettet tájékoztat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel vagy amellyel a személyes adatot közölték, kivéve ha ez lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényel. Amennyiben az érintettet ezt kéri, a MANYSI tájékoztatja őt e címzettekről.

4.8. Az érintett tiltakozáshoz való joga

A MANYSI az első kapcsolatfelvétel alkalmával, kifejezetten, egyértelműen és minden tájékoztatástól elkülönülten felhívja az érintett figyelmét a tiltakozáshoz való jogára. E jog magában foglalja azt, hogy az érintett saját helyzetével kapcsolatos okokból bármikor tiltakozzon a személyes adatainak kezelése ellen, ideértve a profilalkotást is. A tiltakozáshoz való joggyakorlás eredményeképpen a személyes adat nem kezelhető tovább, kivéve ha az adatkezelést kényszerítő jogos ok (melynek érvényesülése elsőbbséget élvez az érintett jogaival szemben) fennállása indokolja.

4.9. Az érintett vonatkozásában az automatizált döntés (profilalkotás) korlátozásához való jog

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Az automatizált döntéshozatalt a GDPR konkrétan nem határozza meg, de profilalkotásnak minősül a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatóságoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.Az érintett nem jogosult fentiekre, ha a döntés az érintett és a MANYSI közötti szerződés megkötése vagy teljesítése érdekében szükséges, vagy ha a döntés meghozatalát a MANYSI-ra alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, továbbá akkor sem, ha a döntés az érintett kifejezett hozzájárulásán alapul.Meghatározott esetekben az érintett legalább arra jogosult, hogy a MANYSI-tól emberi beavatkozást kérjen, álláspontját kifejtheti és a döntéssel szemben kifogást nyújthat be.E jog érvényesülése körében a MANYSI azt vizsgálja, hogy az automatizált döntéshozatal, profilalkotás szükséges-e, valamint hogy érvényesülnek-e az érintetti jogok.

4.10. Az érintetti hozzájárulás visszavonásához való jog

Az érintett bármely időpontban visszavonhatja a korábban adott hozzájárulását.A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről a MANYSI tájékoztatja.

4.11. Az érintett felügyeleti hatósághoz való fordulásának joga

Amennyiben az érintett úgy ítéli meg, hogy a személyes adatainak a kezelése ellentétes a GDPR-ban foglaltakkal, úgy jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál. A felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet – legkésőbb három hónapon belül – a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.

4.12. Az érintett bírósághoz való fordulásának joga

Az érintett előző pontban rögzített jogosultságán túlmenően mind a MANYSI-val szemben bírósági úton is felléphet, továbbá a felügyeleti hatóság kötelezést tartalmazó döntésével szemben mindazok, akikre nézve az kötelezést tartalmaz.

4.13. Az érintett tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a MANYSI haladéktalanul tájékoztatja az érintettet az adatvédelmi incidensről.

4.14. Az érintett kártérítéséhez való joga

Minden olyan személy, aki a GDPR megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért a MANYSI-tól vagy az esetleges adatfeldolgozótól kártérítésre jogosult. A kárfelelősség vonatkozásában különbség van a MANYSI mint adatkezelő és az esetleges adatfeldolgozó között, mert az adatkezelő felelős minden olyan kárért, amelyet a GDPR-t sértő adatkezelése okozott. Az adatfeldolgozó felelőssége azonban csak abban az esetben állapítható meg, ha egyértelműen nem tartotta be az őt terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta, vagy azokkal ellentétesen járt el.

5. Cím

A MANYSI INTÉZKEDÉSE ÉRINTETT KÉRELME ESETÉN

A MANYSI mint adatkezelő a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja az érintettet a jogai gyakorlására irányuló kérelme nyomán hozott intézkedésekről. Indokolt esetben, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról a MANYSI a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve ha az érintett azt másként kéri.Amennyiben a MANYSI nem tesz intézkedéseket az érintett kérelme nyomán legkésőbb a kérelem beérkezésétől számított 1 hónapon belül, akkor tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.A MANYSI az érintett jogairól szóló tájékoztatást és azzal kapcsolatos intézkedést díjmentesen biztosítja. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, a MANYSI, figyelemmel a kért információ vagy tájékoztatás nyújtásával, vagy a kért intézkedés meghozatalával járó esetleges adminisztratív költségekre megtagadhatja a kérelem alapján történő intézkedést.Ha a MANYSI-nak megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

6. Cím

ADATBIZTONSÁGI INTÉZKEDÉSEK

A MANYSI valamennyi adatkezelése vonatkozásában – függetlenül azok céljától vagy jogalapjától – a személyes adatok biztonsága érdekében megteszi azokat a technikai és szervezési intézkedéseket, és kialakítja azokat az eljárási szabályokat, amelyek a GDPR és az Infotv. érvényre juttatásához szükségesek. A MANYSI mint adatkezelő az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal, vagy az azokhoz való jogosulatlan hozzáférés ellen.A MANYSI a személyes adatokat bizalmas adatként minősíti és kezeli, ezért a közszolgálati tisztviselőkkel és munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő, amelyre jelen Szabályzat 6. sz. mellékletét kell alkalmazni.  A MANYSI informatikai rendszereit a külső támadások ellen tűzfal védi, és vírusvédelemmel is ellátott. Az adatok elektronikus feldolgozását és nyilvántartását számítógépes program útján végzi, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között, csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van.A MANYSI a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről. A folyamatban levő munkavégzés, feldolgozás alatt levő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi, valamint egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva tartjuk. Biztosítja továbbá az adatok és az azokat hordozó eszközök, iratok megfelelő fizikai védelmét.  

7. Cím

AZ ADATVÉDELMI INCIDENSEK KEZELÉSE

7.1. Az adatvédelmi incidens fajtái

A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobiltelefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott személyes adatokat tartalmazó papírok); adatok nem biztonságos továbbítása, ügyfél- és vevőpartnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások vagy akár a honlap feltörése.

7.2. Adatvédelmi incidensek kezelés, orvoslása

Az adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások betartása a MANYSI igazgatójának a feladata. Amennyiben a MANYSI ellenőrzésre jogosult foglalkoztatottjai a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul értesíteniük kell a MANYSI igazgatóját.A MANYSI foglalkoztatottjai kötelesek jelenteni, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek. Az adatvédelmi incidens bejelenthető a MANYSI központi e-mail-címén, telefonszámán, amelyen a foglalkoztatottak, szerződő partnerek, érintettek jelenteni tudják az annak alapjául szolgáló eseményeket, biztonsági gyengeségeket. Adatvédelmi incidens bejelentése esetén a MANYSI igazgatója – a főosztályvezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítja az incidenst, eldöntik, hogy valódi incidensről vagy téves riasztásról van szó. Megvizsgálják és megállapítják:

  • az incidens bekövetkezésének időpontját és helyét,
  • az incidens leírását, körülményeit, hatásait,
  • az incidens során kompromittálódott adatok körét, számosságát,
  • a kompromittálódott adatokkal érintett személyek körét,
  • az incidens elhárítása érdekében tett intézkedések leírását,
  • a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását

Az adatvédelmi incidens bekövetkezése esetén az érintett rendszereket, személyeket, adatokat behatároljuk és elkülönítjük, továbbá gondoskodunk az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről. Ezután megkezdjük a károk helyreállítását és a jogszerű működés visszaállítását.

7.3. Az adatvédelmi incidensről

 Az adatvédelmi incidensekről a MANYSI nyilvántartást vezet, amely tartalmazza:

  • az érintett személyes adatok körét,
  • az adatvédelmi incidenssel érintettek körét és számát,
  • az adatvédelmi incidens időpontját,
  • az adatvédelmi incidens körülményeit, hatásait,
  • az adatvédelmi incidens orvoslására megtett intézkedéseket,
  • az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat a MANYSI 5 évig megőrzi. 

8. Cím

ZÁRÓ RENDELKEZÉSEK

Jelen Szabályzat 2018. május 25. napjától kötelezően és közvetlenül alkalmazandó.Jelen Szabályzat módosítására a MANYSI igazgatója jogosult, melynek módosítása az Infotv. módosítását követően indokolt.E Szabályzat rendelkezéseit meg kell ismertetni a MANYSI valamennyi közszolgálati tisztviselőjével, munkavállalójával, továbbá a munkavégzésre irányuló szerződésekben elő kell írni, hogy jelen Szabályzat betartása és érvényesítése lényeges munkaköri kötelezettség.

Jelen Szabályzat alapjául szolgáló jogszabályok:

  1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 számú rendelete
  2. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
  3. A közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény
  4. A munka törvénykönyvéről szóló 2012. évi I. törvény
  5. A Polgári Törvénykönyvről szóló 2013. évi V. törvény
  6. A Büntető Törvénykönyvről szóló 2012. évi C. törvény
  7. Az általános forgalmi adóról szóló 2017. évi CXXVII. törvény
  8. A számvitelről szóló 2000. évi C. törvény
  9. A személyi jövedelemadóról szóló 1995. évi CXVII. törvény
  10. Az adózás rendjéről szóló 2017. évi CL törvény
  11. A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény
  12. A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény
  13. Egyes vagyon-nyilatkozattételi kötelezettségekről szóló 2007. évi CLII. törvény
  14. A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény
  15. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény
  16. A munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM Rendelet
MELLÉKLETEK
1. sz. melléklet Adatlap a személyes adatok érintetti hozzájáruláson alapuló kezeléséhez
2. sz. melléklet A közszolgálati tisztviselő, munkavállaló tájékoztatása személyes adatainak kezeléséről és személyhez fűződő jogaikról
3. sz. melléklet Adatkezelési tájékoztatás természetes személlyel kötött szerződéshez
4. sz. melléklet Hozzájáruló nyilatkozat jogi személy szerződő partnerek természetes személy képviselőinek elérhetőségi adatai kezeléséhez
5. sz. melléklet Tájékoztató közszolgálati tisztviselő, munkavállaló részére alkalmassági vizsgálatról
6. sz. melléklet Közszolgálati tisztviselő, munkavállaló nyilatkozata az adatkezelési szabályzat megismeréséről, alkalmazásáról és a titoktartási kötelezettségről