A Szabó Magda Emlékház (továbbiakban: Intézmény) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXI1. törvény (a továbbiakban: Adatvédelmi törvény) valamint az Európai Parlament és a Tanács 2016/679 Rendeletében („GDPR”) előírtak alapján állapítja meg az adatkezelés rendjét, adatvédelmi és adatbiztonsági szabályzatát (továbbiakban Szabályzat).
1. A szabályzat célja és hatálya
- Jelen szabályzat célja, hogy meghatározza az Intézmény által vezetett nyilvántartások működésének törvényes rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak s az adatbiztonság követelményeinek érvényesülését.
- A szabályzat hatálya kiterjed az Intézmény valamennyi természetes személy adatait, valamint közérdekű adatokat vagy közérdekből nyilvános adatokat tartalmazó adatkezelésre.
- Nem kell alkalmazni a Szabályzatot a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.
2. Az adatvédelem alapfogalmai és elvei
E Szabályzat alkalmazásában érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.
- 1. Személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret valamint az adatból levonható, az érintettre vonatkozó következtetés.
- 2. Különleges adat:
- a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,
- az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.
- 3. Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.
- 4. Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.
- 5. Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli.
- 6. Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából.
- 7. Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából.
- 8. Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése.
- 9. Adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett.
- 10. Adatállomány: az egy nyilvántartásban kezelt adatok összessége.
- 11. Az intézményben - a jogszabályokban meghatározott kivételektől eltekintve - nem kezelhető az adatvédelmi törvény 2. § 3. pontja szerinti különleges adat.
3. Az adatkezelés és az adatfeldolgozás
- 1. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
- 2. Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj-vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
- 3. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi.
- 4. Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.
- 5. Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
- 6. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
- 7. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
4. Az adatkezelések szabályai
- 1. Személyes adat az Intézménynél akkor kezelhető, ha
- a) ahhoz az érintett hozzájárul, vagy
- b) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi Önkormányzat rendelete közérdeken alapuló célból elrendeli (kötelező adatkezelés).
- 2. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt, illetve belső szabályzatot is.
- 3. Az adatkezelést végző alkalmazottak kötelesek az általuk megismert személyes adatokat szolgálati titokként megőrizni. Ilyen munkakörben csak olyan személy foglalkoztatható, aki titoktartási nyilatkozatot tett.
- 4. Az Intézmény az alkalmazottak személyes adatait csak a foglalkoztatással, juttatások, kedvezmények, kötelezettségek megállapításával és teljesítésével, állampolgári jogok és kötelezettségek teljesítésével a célnak megfelelő mértékben, célhoz kötötten kezelheti. Az alkalmazottak személyes adatai - ha a társadalombiztosítási szabályok eltérően nem rendelkeznek - a foglalkoztatás megszűnésétől számított tíz évig kezelhetők.
- 5. A törlés az adatok felismerhetetlenné tétele oly módon, hogy helyreállításuk már nem lehetséges. Az adatkezelés törlésével, megszüntetésével kapcsolatos tényeket jegyzőkönyvbe kell venni.
5. Az érintett jogai és kötelezettségei
- 1. Az érintett az illetékes adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, kérheti személyes adatainak helyesbítését, valamint személyes adatainak - a kötelező adatkezelés kivételével - törlését vagy zárolását.
- 2. A betekintést úgy kell biztosítani, hogy azalatt az érintett más személy adatait ne ismerhesse meg.
- 3. Az érintett kérelmére az adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá - az érintett személyes adatainak továbbítása esetén - az adattovábbítás jogalapjáról és címzettjéről. Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
- 4. A tájékoztatás illetve a betekintés biztosítása csak az Adatvédelmi törvény 9. § (1) bekezdése és 19. §-e alapján tagadható meg. Az adatkezelő köteles az érintettel a közlés megtagadásának indokát közölni.
- 5. Adatváltozás, vagy téves adatrögzítés észlelése esetén az érintett kérheti kezelt adatainak helyesbítését illetve kijavítását. A téves adatot az adatkezelő öt munkanapon belül helyesbíteni köteles.
- 6. Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.
- 7. Nem kötelező adatszolgáltatáson alapuló adatkezelés esetén az érintett indokolás nélkül kérheti kezelt adatainak törlését. A törlést öt munkanapon belül el kell végezni. A törlés tényéről jegyzőkönyvet kell felvenni.
- 8. Adatváltozás esetén az érintett köteles azok átvezetését kezdeményezni.
6. Adattovábbítás, nyilvánosságra hozatala
- 1. Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
- 2. Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele
- 3. Az Intézményen kívüli szervtől vagy magánszemélytől érkező, adatközlésre irányuló megkeresés csak akkor teljesíthető, ha az érintett erre írásban felhatalmazza az Intézményt. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és a megkereséssel élő szervek meghatározott körére.
- 4. Az érintett nyilatkozattételétől függetlenül, az alábbiak szerint kell teljesíteni adattovábbítást:
Az alkalmazottak adatai közül - a fenntartónak valamennyi adat, a fenntartói jogok gy akorlásához szükséges mértékben;
- a társadalombiztosítás, illetmény és munkabér vagy más juttatás kifizetőhelyének minden olyan adat, amely a társadalombiztosítás, az illetmény, munkabér vagy más juttatás jogosultság megállapításához, igénybevételéhez szükséges;
- bíróságnak, rendőrségnek, ügyészségnek, a bírósági végrehajtónak, közigazgatási szervnek az általuk megjelölt adatok;
- a munkavégzésre vonatkozó rendelkezések ellenőrzésére jogosultaknak a foglalkoztatással összefüggő adatok,
- a nemzetbiztonsági szolgálatnak valamennyi adat.
- 5. A megkeresés eredeti példányát, az arra adott válasz másolatával az adatkezelés helyén kell őrizni.
- 6. Az Intézmény által kezelt személyes adatok nyilvánosságra hozatala - kivéve, ha törvény rendeli el - tilos.
7. Adatbiztonsági rendszabályok
- 1. Az adatbiztonsági szabályok és intézkedések célja az adatok, illetve adathordozók védelme a sérülés, rongálódás, megsemmisülés, valamint az illetéktelen hozzáférés ellen.
- 2. A szükséges intézkedéseket meg kell tenni mind a manuálisan kezelt, mind a számítógépen tárolt és feldolgozott személyes adatok biztonsága érdekében.
8. Számítógépen tárolt adatok
- 1. A számítógépen illetve hálózaton tárolt személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani.
- 2. Hálózaton személyes adatot tárolni tilos.
- 3. A személyes adatokat tartalmazó adatbázisok aktív adataiból rendszeresen, legalább havonta egy alkalommal kell külön adathordozóra biztonsági mentést készíteni (biztonsági mentés). A biztonsági mentést tartalmazó adathordozót tűzbiztos fémkazettában kell őrizni.
- 4. A személyes adatokat tartalmazó adatbázisok passzív hányadát - a további kezelést már nem igénylő, változatlanul maradó adatokat - el kell választani az aktív résztől, majd a passzíváit adatokat külön optikai vagy mágneses adathordozón kell rögzíteni (archiválás). Az adatkezelések archiválását évente egyszer kell elvégezni. Az archivált adatokat tartalmazó adathordozót tűzbiztos fémkazettában kell őrizni.
- 5. A személyes adatokat tartalmazó számítógép áramellátását olyan szünetmentes áramforrással kell biztosítani, amely áramszünet esetén a rendszer biztonságos leállításához szükséges ideig zavartalan üzemelést biztosít (áramellátás).
- 6. A személyes adatokat tartalmazó számítógépet rendszeresen frissülő adatbázissal rendelkező vírusvédő szoftverrel kell működtetni.
- 7. A személyes adatokat tartalmazó számítógéphez csak érvényes felhasználói névvel és jelszóval lehet hozzáférni (hozzáférés-védelem). A jelszavak cseréjéről rendszeresen gondoskodni kell. A rendszergazda jelszavát, valamint az ügyintéző felhasználókét a munkahelyi vezető által meghatározott időközönként cserélni kell. A mindenkori jelszavakat zárható helyen kell őrizni, és biztosítani kell, hogy a munkahelyi vezető azokhoz dokumentálható módon bármikor hozzáférjen.
9. Manuális kezelésű adatok
- A manuális kezelésű személyes adatok biztonsága érdekében az alábbi intézkedéseket kell foganatosítani.
-
- a. Tűz- és vagyonvédelem: Az irattári kezelésbe vett iratokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi riasztó berendezéssel ellátott helyiségben kell elhelyezni.
- b. Hozzáférés-védelem: A folyamatos aktív kezelésben lévő iratokhoz csak az illetékes ügyintéző férhet hozzá. A személyzeti, a bér- és munkaügyi iratokat zárható helyiségben kell őrizni.
- c. Archiválás: Az Szabályzatban említett adatkezelések iratainak archiválását évente egyszer el kell végezni.
10. A közérdekű adatokra vonatkozó tájékoztatási kötelezettség
- 1. A közfeladatot ellátó szerv a feladatkörébe tartozó ügyekben köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását.
- 2. A jelen Szabályzat alapján kötelezően közzéteendő közérdekű adatokat internetes honlapon, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, kinyomtatható és részleteiben is adatvesztés és - torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatátvitel szempontjából is díjmentesen kell hozzáférhetővé tenni (a továbbiakban: elektronikus közzététel). A közzétett adatok megismerése személyes adatok közléséhez nem köthető.
- 3. Az elektronikus közzétételre kötelezett adatfelelős szerv vezetője gondoskodik a jelen Szabályzatban meghatározott közzéteendő adatok pontos, naprakész és folyamatos közzétételéről, az adatközlőnek való megküldéséről.
- 4. A megküldött adatok elektronikus közzétételéért, folyamatos hozzáférhetőségéért, hitelességéért és az adatok frissítéséért az adatközlő felel.
11. Ellenőrzés
- 1. Az adatvédelemmel kapcsolatos előírások, így különösen jelen Szabályzat rendelkezéseinek betartását az adatkezelést és adatfeldolgozást végző szervezet gazdasági vezetője folyamatosan ellenőrzi.
- 2. Törvénysértés észlelése esetén haladéktalanul intézkedik annak megszüntetéséről. Különösen súlyos visszaélés esetén a felelősség megállapítására eljárás megindítását kezdeményezi.
12. Kártérítés és sérelemdíj
- 1. Az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni.
- 2. Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.
- 3. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért és az adatkezelő köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
- 4. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.
13. Alkalmazotti nyilvántartás
- 1. Az alkalmazotti nyilvántartás a munkaviszonyra vonatkozó tények dokumentálására szolgáló adatkezelés, melynek jogszabályi alapját a munka törvénykönyve, azon belül irányadó a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény (a továbbiakban: Kjt.) és a Szabó Magda Emlékháznak Szervezeti és Működési Szabályzata képezik.
- 2. A nyilvántartás adatai az alkalmazott jogviszonyával kapcsolatos tények megállapítására, a besorolási követelmények igazolására, bérszámfejtésre, társadalombiztosítási ügyintézésre és statisztikai adatszolgáltatásra használhatók fel.
- 3. Az alkalmazotti nyilvántartás a Szabó Magda Emlékháznak valamennyi munkaviszonyban, vagy munkavégzésére irányuló egyéb jogviszonyban foglalkoztatott dolgozójának adatait tartalmazza. Az érintettekről a nyilvántartásba fel kell venni a következő adatokat:
- a) neve (leánykori neve), születési helye, ideje, anyja neve, TÁJ száma, adóazonosító jele, lakóhelye, tartózkodási hely, telefonszáma, családi állapota, gyermekeinek születési ideje, egyéb eltartottak száma, az eltartás kezdete
- b) legmagasabb iskolai végzettsége (több végzettség esetén valamennyi), szakképzettsége(i), iskolarendszeren kívüli oktatás keretében szerzett szakképesítése(i), valamint meghatározott munkakör betöltésére jogosító okiratok adatai, tudományos fokozata, idegennyelv-ismerete
- c) a korábbi munkaviszonyban töltött időtartamok megnevezése, a munkahely megnevezése, a megszűnés módja, időpontja
- d) az alkalmazotti jogviszony kezdete, állampolgársága, a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány száma, kelte, a jubileumi jutalom és a végkielégítés mértéke kiszámításának alapjául szolgáló időtartamok
- e) az alkalmazottat foglalkoztató szerv neve, székhelye, statisztikai számjele, e szervnél a jogviszony kezdete, az alkalmazott jelenlegi besorolása, besorolásának időpontja, vezetői beosztása, FEOR - száma, címadományozás, jutalmazás, kitüntetés adatai, a minősítések időpontja és tartalma
- f) személyi juttatások
- g) az alkalmazott munkából való távollétének jogcíme és időtartama
- h) a munkaviszony megszűnésének, valamint a végleges és a határozott idejű áthelyezés időpontja, módja, a végkielégítés adatai
- i) Az alkalmazott munkavégzésére irányuló egyéb jogviszonyával összefüggő adatai [Kjt 41.§(l)-(2)bek.].
- 4. A (3) bekezdésben nem szereplő körben - törvény eltérő rendelkezésének hiányában adatszerzés nem végezhető, ilyen adatot nyilvántartani nem lehet.
- 5. Az alkalmazotti nyilvántartás adatait az érintett szolgáltatja. A munkaviszony keletkezésekor történik meg az elsődleges adatfelvétel.
- 6. Az alkalmazotti nyilvántartás rendszere törvény felhatalmazásának hiányában más adatrendszerrel nem kapcsolható össze.
- 7. Az alkalmazotti alapnyilvántartásból statisztikai célra csak személyazonosításra alkalmatlan módon szolgáltatható adat
- 8. Az Intézménynél vezetett alkalmazotti nyilvántartásba - az érintetten kívül - a következők jogosultak betekinteni, illetőleg abból adatot átvenni a rájuk vonatkozó jogszabályban meghatározott feladataik ellátása céljából:
- a) az alkalmazott felettese,
- b) a minősítést végző vezető,
- c) feladatkörének keretei között a törvényességi ellenőrzést végző vagy törvényességi felügyeletet gyakorló szerv,
- d) munkaügyi, polgári jogi, közigazgatási per kapcsán a bíróság,
- e) az alkalmazott ellen indult büntetőeljárásban a nyomozó hatóság, az ügyész és a bíróság,
- f) a személyzeti, munkaügyi és illetmény-számfejtési feladatokat ellátó szerv e feladattal megbízott munkatársa feladatkörén belül,
- g) az adóhatóság, a nyugdíjbiztosítási igazgatási szerv és az egészségbiztosítási szerv, az üzemi baleseteket kivizsgáló szerv és a munkavédelmi szerv.
- 9. Az Intézmény munkaviszonyban vagy munkavégzésére irányuló egyéb jogviszonyban álló alkalmazottaira is a 12. pontban meghatározottak az irányadók.
14. Az alkalmazotti nyilvántartás kezelése
- 1. Az alkalmazotti nyilvántartás kezelője a gazdasági vezető.
- 2. A nyilvántartás kezelése vegyes rendszerben, számítógépen és manuális módszerrel történik. Az adatok biztonságáról az adatkezelő gondoskodik.
- 3. A Szabó Magda Emlékházban az alkalmazotti nyilvántartásból csak az igazgató és a gazdasági igazgató részére teljesíthető adatszolgáltatás.
15. Záró rendelkezés
Jelen Szabályzatban nem szabályozott kérdésekben az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, az Európai Parlament és a Tanács 2016/679 Rendeletében („GDPR”) előírtak, a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény, továbbá a vonatkozó jogszabályok az irányadók.
Debrecen, 2015. január 31.
Módosítva és kiegészítve: Debrecen, 2018. május 22.
Az Adatvédelmi és Adatbiztonsági Szabályzat letöltése PDF formátumban ide kattintva lehetséges.