ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT

Jászfényszaru Város Önkormányzata az adatvédelem és adatbiztonság rendjét – az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendeletében (a továbbiakban: GDPR), illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.) foglaltakra is figyelemmel – az alábbiak szerint határozza meg:

 

1. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

 

1. A Szabályzat célja

 

1. § A Szabályzat a GDPR, valamint a hazai adatvédelmi szabályozás, így különösen az Infotv. rendelkezéseinek való megfelelést szolgálja.
2. § (1) A Szabályzat célja, hogy az Alaptörvény VI. cikk (3) bekezdése értelmében Jászfényszaru Város Önkormányzata tevékenysége során biztosítsa a kezelt személyes adatok védelmét, meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat.

(2) A Szabályzat további célja, hogy az Önkormányzati adatkezelői ügyintézés során a személyes adatok védelme illetve a személyes adatnak nem minősülő, de egyéb okból nem nyilvános adatok védelme folyamatosan biztosított legyen.

(3) A Szabályzat célja továbbá, hogy meghatározza az Önkormányzati adatkezelő által folytatott adatkezelések működésének jogszerű rendjét, valamint biztosítsa az adatvédelem alkotmányos elveinek, az információs önrendelkezési jognak és az adatbiztonság követelményeinek érvényesülését.

 

2. A Szabályzat hatálya

 

3. § (1) A Szabályzat hatálya Jászfényszaru Város Önkormányzatára, szerveire, és intézményeire (a továbbiakban együtt: Önkormányzati adatkezelő) terjed ki.

(2) A Szabályzat személyi hatálya kiterjed az Önkormányzati adatkezelőnél foglalkoztatott valamennyi köztisztviselőre, közalkalmazottra, és munkavállalóra, valamint a munkavégzésre irányuló egyéb jogviszony keretében foglalkoztatottakra, továbbá azon személyekre, akik – munkatapasztalat-szerzési, kutatási vagy képzési célból – szakmai gyakorlatukat az Önkormányzati adatkezelő valamely szervezeti egységénél töltik (a továbbiakban együtt: foglalkoztatott).

(3) A Szabályzat tárgyi hatálya kiterjed az Önkormányzati adatkezelő által kezelt adatok teljes körére, függetlenül azok keletkezési, felhasználási, feldolgozási és megjelenési formájától.

4. § A Szabályzat alkalmazását elő kell írni az Önkormányzati adatkezelő részére vállalkozási vagy megbízási szerződés keretében szolgáltatást nyújtók felé, amennyiben tevékenységük során az Önkormányzati adatkezelőnél kezelt adatokhoz hozzáférnek.
5. § A Szabályzat rendelkezéseiben az Önkormányzati adatkezelő – a jogszabály alapján ellátott, illetve egyéb átruházott feladataitól függően – adatkezelőnek, illetve adatfeldolgozónak minősül.
6. § (1) Az Önkormányzati adatkezelő az adatvédelmet informatikai területen a mindenkori hatályos Informatikai Biztonsági Szabályzatban meghatározottakkal összhangban valósítja meg.

(2) A Szabályzat a minősített adatokat tartalmazó iratok (TÜK-iratok) kezelésére nem vonatkozik.

(3) Az értelmező rendelkezések tekintetében az Infotv. 3. §-a az irányadó.

 

1. FEJEZET

A SZEMÉLYES ADATOK VÉDELME

 

3. Általános szabályok

 

7. § (1) Az Önkormányzati adatkezelő a személyes adatok kezelését
8. a) a szakmai feladatellátáshoz kötődő, jogszabályban meghatározott feladat- és hatásköreinek, illetve
9. b) a szervi működést szolgáló – nem szakmai feladatellátáshoz kötődő – belső igazgatási feladatainak (a továbbiakban: funkcionális működéssel kapcsolatos feladatok) ellátása

során végzi.

(2) Az Önkormányzati adatkezelő a szakmai feladatellátáshoz kötődő feladat- és hatásköreinek ellátása során közérdekű vagy ráruházott közhatalmi jogosítvány gyakorlásával összefüggésben, a feladat végrehajtásához szükséges mértékben kezel személyes adatot.

8. § (1) A személyes adatok védelméért, az adatkezelés jogszerűségéért az Önkormányzati adatkezelő valamennyi szervezeti egységének vezetője, az adatkezelést végző foglalkoztatottak felelősek. Az egyes ügyiratokban tárolt személyes adatok védelméért a kijelölt ügyintéző, az ügykezelők és az ügyirattal kapcsolatba kerülő más személy felelősséggel tartozik.

(2) Az Önkormányzati adatkezelőnél kezelt személyes adatok védelméről az adatvédelemmel kapcsolatos szabályok foglalkoztatottak általi megismeréséről és betartásáról az Önkormányzati adatkezelő vezetője gondoskodni köteles.

(3) Az egyes nyilvántartások, adatkezelések tekintetében a hozzáférési jogosultságokat az Önkormányzati adatkezelő vezetője személyre lebontottan határozza meg és az időszerű állapotnak megfelelően nyilvántartja.

9. § (1) Az ügyintézés során csak azokat a személyes, vagy különleges adatokat szabad felvenni, amelyek az ügy szempontjából elengedhetetlenül szükségesek. A felvett adatokat csak az adott ügy intézése, vagy jogszabályban meghatározott cél érdekében szabad felhasználni, más eljárásokkal, illetve adatokkal nem kapcsolhatók össze.

(2) Az ügyirat részét nem képező, de az eljárás során rögzítésre került személyes és különleges adatokat további felhasználásuk megakadályozása érdekében azonosításra alkalmatlanná kell tenni.

(3) A hibás vagy egyéb okból feleslegessé vált adatokat tartalmazó példányokat azonosításra és további felhasználásra alkalmatlanná kell tenni.

10. § (1) Az ügyiratokat az Önkormányzati adatkezelő iratkezelési szabályzatában (a továbbiakban: Iratkezelési szabályzat) előírtak szerint kell kezelni. Az ügyiratok kezelése, tárolása során azok tartalmába az arra illetékes foglalkoztatotton kívül más személy – az érintett törvény szerinti betekintési jogán túl – csak akkor tekinthet be, ha ezt a mindenkor hatályos információs önrendelkezési jogról és az információszabadságról szóló törvény szerint Önkormányzati adatkezelői tevékenységével összefüggő feladatellátás szükségessé teszi.

(2) Az érintett vagy képviselője betekintési jogának gyakorlása során úgy kell eljárni, hogy

ezáltal mások jogai ne sérülhessenek, ennek megfelelően a más személyre vonatkozó személyes adatokat ki kell takarni vagy egyéb módon felismerhetetlenné kell tenni. Ugyanígy szükséges eljárni a másolat, kivonat készítésekor is.

(3) A különleges kategóriába tartozó személyes adat (az Infotv. alkalmazásában: különleges adat) csak a GDPR 9. cikk (2) bekezdésében megadott valamely feltétel teljesülése esetén, az Infotv. 5. § (2) bekezdésében foglaltaknak megfelelően kezelhető.

11. § (1) A jogszabályban meghatározott feladat- és hatáskörök ellátásához kapcsolódó, tartalmuk alapján nem rendszerezett elektronikus vagy papír alapú iratokkal végzett tevékenységek a GDPR (15) preambulum-bekezdése alapján nem tartoznak a rendelet hatálya alá.

(2) Nem rendszerezett iratnak tekintendő

1. a) a papír alapú irat, amennyiben az nem valamely adatok nyilvántartására vonatkozó rendszer része, vagy amely kezelése nem nyilvántartási céllal történik,
2. b) az elektronikus irat, ha kezelő programja nem teszi lehetővé a tartalmára kiterjedő különböző szempontú keresést,
3. c) az eljárások során készített, nem iktatott papír vagy elektronikus munkaanyag, munkaközi dokumentum, formájától függetlenül (tárolt dokumentum, e-mail).

 

4. Adatbiztonsági szabályok

 

12. § Az iratok kezelését az Önkormányzati adatkezelő a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII.29.) Korm. rendeletnek (a továbbiakban: Korm. rendelet) megfelelően, és az Iratkezelési szabályzat alapján végzi. E tevékenysége során biztosítja, hogy
13. a) az ügyiratok kezelése, tárolása során azok tartalmába illetéktelen személy betekintést ne nyerhessen.
14. b) az iratok tárolása az iratkezelési szabályokban előírtaknak megfelelő ideig történik, a tárolási időt követően az irat jellegétől függően selejtezésre vagy a levéltárnak átadásra kerül.
15. § (1) A munkaközi dokumentumok, közbenső kiadmánytervezetek, feleslegessé vált munkapéldányok és másolatok (a továbbiakban: munkapéldányok) által tartalmazott személyes és különleges adatok védelmét az eljárás során és a kiadmányozást követően is biztosítani kell. A nem iktatott, papíralapú munkapéldányokat a kiadmányozást követően, de az irattárba helyezést megelőzően iratmegsemmisítő használatával – meg kell semmisíteni.

(2) Az iktatásra nem kerülő, papíralapú munkapéldányok egyéb célú felhasználása (pl. papírhulladékként történő értékesítése, köznevelési intézmények részére adományozása) szigorúan tilos.

(3) Az elektronikus úton előállított munkaközi dokumentumokból a kiadmánytervezeteket és az eljárásra vonatkozó feljegyzéseket, elektronikus leveleket – megőrzés esetén – a megfelelő védettség biztosíthatósága mellett kizárólag az Önkormányzati adatkezelő kizárólagos felügyelete alatt álló, illetéktelen hozzáféréstől védett informatikai eszközön (beleértve az elektronikus iratkezelő rendszert) lehet tárolni.

14. § Személyes adatokat is tartalmazó iratot az Önkormányzati adatkezelő épületéből kivinni – munkaköri feladat ellátásának kivételével – csak az Önkormányzati adatkezelő vezetőjének engedélyével lehet. A foglalkoztatott ebben az esetben is köteles gondoskodni arról, hogy az irat ne vesszen el, ne rongálódjon vagy semmisüljön meg, illetve tartalma illetéktelen személy tudomására ne jusson.
15. § (1) A foglalkoztatott köteles a számítógépet és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg. Köteles továbbá a munkaidő végeztével a számítógépet kikapcsolni, a helyiséget – ahol ez lehetséges – áramtalanítani, az ajtót bezárni.

(2) Az ügyintéző a saját belépési jelszavainak kizárólagos birtokosa, azokat másra át nem ruházhatja, azok más foglalkoztatott vagy harmadik személy számára való felfedése, átadása bármilyen formában szigorúan tilos.

(3) Az iratok telefaxon, elektronikus úton, illetve az adatok telefonon vagy egyéb elektronikus úton csak kellő körültekintéssel és kizárólag az Önkormányzati adatkezelő technikai eszközeinek igénybevételével továbbíthatók.

(4) A foglalkoztatott a közös használatú nyomtatón vagy másológépen kinyomtatott, illetve lemásolt dokumentumokat haladéktalanul köteles magához venni. Azokat a helyiségeket, ahol közös használatú nyomtató vagy másológép üzemel, az adatbiztonsági követelmények figyelembevételével és betartásával szükséges használni.

(5) A személyes adatokat is tartalmazó irat és egyéb adathordozó munkaidőn túl csak megfelelő védelmét biztosító helyen tárolható. A megfelelő tárolás biztosításáért közvetlenül az a felelős, akinél az iratok a munkaidő befejezésekor megtalálhatóak.

(6) A személyes adatokat tartalmazó irat foglalkoztatott általi távoli (beleértve otthoni) elektronikus elérése csak abban az esetben biztosítható, ha az illetéktelenek hozzáférésének kockázata az alkalmazott technikai megoldások miatt alacsony.

16. § (1) A célhoz nem kötött és olyan adatokat, amelyekre nézve az adatkezelés célja megszűnt vagy módosult, az Iratkezelési szabályzatban foglaltakkal összhangban haladéktalanul, illetve az azt tartalmazó irat vonatkozásában előírt megőrzési határidő leteltével meg kell semmisíteni. A számítógépen rögzített adatokat, ha céljukat betöltötték – további felhasználásuk megakadályozása érdekében – felismerhetetlenné kell tenni.

(2) Az adattörlés maradéktalan megvalósítása érdekében az ügyintézőnek kellő gondossággal, pontosan kell meghatározni az irattározásra kerülő anyagok selejtezési idejét megjelölő irattári tételszámot.

17. § (1) A felhasználók részéről kiemelt jelentősége van az elektronikus adatbázisban a vírusok bejutásának megelőzésében. Erre tekintettel tilos idegen vagy kétes eredetű adathordozót helyezni a számítógépbe, továbbá nem nyitható meg azonosítatlan feladótól érkező elektronikus levél melléklete, mert az potenciális vírusveszélyt rejt magában; az ilyen jellegű email-t megnyitás nélkül törölni kell.

(2) Az internetes kommunikáció során felelős magatartással kell a veszélyforrásokat felmérni és a valós kockázatokat elkerülni a védett adatok illetéktelen személyek általi megszerzésének kizárása érdekében.

(3) Az (1) és (2) bekezdésben foglaltak be nem tartása, megsértése a foglalkoztatott fegyelmi és kártérítési felelősségét vonhatja maga után.

 

5. Az informatikai lehetőségek magáncélra történő használatának feltételei

 

18. § (1) A foglalkoztatottak az Önkormányzati adatkezelői elektronikus levelezési (a továbbiakban: e-mail) szolgáltatást Önkormányzati adatkezelői feladataik elvégzése célra vehetik igénybe.

(2) Az Önkormányzati adatkezelő nem szankcionálja a magáncélú igénybevételt, de a foglalkoztatottnak tudomásul kell vennie, hogy

1. a) a névre szóló Önkormányzati adatkezelői címre érkező bármely e-mail-t az Önkormányzati adatkezelő a rendszergazda bevonásával kiolvashat,
2. b) az alkalmazás megszűnését követően az e-mail fiók nem kerül törlésre, mivel az Önkormányzati adatkezelő hivatalos célból folytatott kapcsolattartási adatokra az Önkormányzati adatkezelőnek szüksége lehet.

(3) Az Önkormányzati adatkezelő a foglalkoztatott feladatai elvégzéséhez nem kapcsolódó elektronikus leveleket semmilyen célra nem használja fel, azok illetéktelen megismerés elleni védelmét az alkalmazás megszűnését követően is biztosítja.

(4) Az Önkormányzati adatkezelő erre feljogosított információbiztonsági felelőse a biztonsági szempontok érvényesítése érdekében jogosult az elektronikus levelező rendszer adatainak megismerésére a GDPR (49) preambulum-bekezdésben foglaltakkal összhangban. A megismert adat biztonsági szempontokon túl más célra nem használható fel.

(5) Az Önkormányzati adatkezelő egyes munkaállomásokon biztosítja a nyilvános internet elérést. A foglalkoztatott nyilvános interneten végzett tevékenysége a szervezettől független, otthoni vagy nyilvános helyen végzett tevékenységével azonos megítélés alá esik.

(6) Az internetes kommunikáció során meggondolt, felelős magatartással kell a veszélyforrásokat és valós kockázatokat elkerülni, a védett adatok megszerzésének lehetőségét kizárni. Fentiek be nem tartása, megsértése a foglalkoztatott fegyelmi és – károkozás esetén – kártérítési felelősségét vonhatja maga után.

 

6. Iratnyilvántartás

 

19. § (1) Az Önkormányzati adatkezelő a kezelt iratokról a Korm. rendelet alapján elektronikus nyilvántartást vezet (a továbbiakban: iratnyilvántartás).

(2) A jogszabály alapján kötelezően vezetett iratnyilvántartás esetében az érintett tiltakozási joga, adatkezelés korlátozásához való joga nem áll fenn.

(3) Az iratnyilvántartás esetében az érintett igényelheti az iratnyilvántartásban tárolt személyes adatai megismerését. Az erre irányuló kérelmét az Önkormányzati adatkezelő iratkezelésért felelős szervezeti egységénél terjesztheti elő, mely az általános ügyintézési határidőn belül megválaszolja azt.

(4) Az iratnyilvántartás esetében az érintett kérelmezheti személyes adatai helyesbítését. Az erre vonatkozó kérelmét az Önkormányzati adatkezelő iratkezelésért felelős szervezeti egységénél terjesztheti elő, amely az általános ügyintézési határidőn belül megválaszolja azt. Nem minősül pontatlanul nyilvántartott adatnak a nyilvántartásba vételt követően változott személyes adat, ilyen okból az iratnyilvántartás nem módosítható.

 

III. FEJEZET

A JOGSZABÁLYBAN MEGHATÁROZOTT FELADAT- ÉS HATÁSKÖRÖK ELLÁTÁSÁHOZ KAPCSOLÓDÓ, MÁS SZERV ÁLTAL NYILVÁNTARTOTT ADATOK KEZELÉSE

 

7. Az adatkezelés jogalapja

 

20. § (1) Az Önkormányzati adatkezelő azon esetekben, ahol a döntésével kapcsolatos adatokat más szerv által vezetett nyilvántartásban rögzíti adatkezelőnek minősül.

(2) Az Önkormányzati adatkezelő a jogszabályban meghatározott feladat- és hatásköreinek ellátásához szükséges – e fejezet hatálya alá tartozó – adatkezelést közvetlen (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges), illetve közvetett (az adatkezelés az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) jogalap alapján végzi. Mind közvetlen, mind közvetett esetben az adatkezelésre jogszabály alapján kerül sor.

(3) Ha az Önkormányzati adatkezelő az adatkezelési tevékenységét az érintett hozzájárulása alapján, nem közvetlenül és konkrétan jogszabály, hanem Jászfényszaru Város Képviselő-testülete, vagy az Önkormányzati adatkezelő által meghirdetett program (így különösen fásítási program, kulturális, tudományos pályázat) alapján végzi az Önkormányzati adatkezelő a GDPR 4. cikk 11. pontja alapján a beérkező pályázatok, kérelmek esetében megadottnak tekinti az érintett hozzájárulását, tekintettel arra, hogy a személyes adatok közlése önkéntes, és az érintett az akaratát félreérthetetlenül kifejező cselekedet (az Önkormányzati adatkezelő részére történő megküldés) útján egyértelműen jelzi, hogy beleegyezését adja személyes adatai kezeléséhez. Az érintett akaratának a hozzájárulás esetében konkrét és megfelelő tájékoztatáson kell alapulnia, melyet az Önkormányzati adatkezelő a honlapján elhelyezett tájékoztató útján biztosít.

 

8. Felelősség és feladatok megoszlása

 

21. § (1) Az Önkormányzati adatkezelő és a nyilvántartást vezető szerv közötti adatkezeléssel összefüggő felelősség megosztása – amennyiben jogszabály másként nem rendelkezik – a következő:
22. a) A GDPR 24. és 25. cikkében meghatározott követelmények teljesítéséről a nyilvántartást vezető szerv gondoskodik.
23. b) Az Önkormányzati adatkezelő az e fejezet hatálya alá tartozó adatkezeléseknél figyelembe veszi a nyilvántartást vezető szerv által kiadott adatkezelési szabályzat rá vonatkozó részeit. E pont tekintetében adatkezelési szabályzatnak minősül a nyilvántartás kezeléséhez biztosított kezelési dokumentáció (felhasználói kézikönyv stb.) is.
24. c) Az érintett fél hozzáférési, helyesbítési jogát az Önkormányzati adatkezelőnél is gyakorolhatja. Az erre vonatkozó kérelmét az adatfelelős szervezeti egységnél terjesztheti elő, amely a nyilvántartásra vonatkozó jogszabályi előírásoknak megfelelően az ügytípusra előírt ügyintézési határidőn belül megválaszolja azt.
25. d) Tiltakozási joggal a közvetlen vagy közvetve jogszabályi előírás alapján vezetett általános közérdeket szolgáló nyilvántartásokhoz kapcsolódó adatkezelés esetében az érintett nem élhet.
26. e) Az általános tájékoztatási kötelezettség tekintetében az Önkormányzati adatkezelő az adatkezelés tényéről és a nyilvántartást ténylegesen vezető szerv megnevezéséről a honlapján tájékoztatást tesz közzé, ahol – amennyiben lehetséges – feltünteti a nyilvántartást vezető szerv elérhetőségét is.
27. f) A GDPR 30. cikkében előírt adatkezelési nyilvántartás vezetéséről, és az erre vonatkozó kérések megválaszolásáról a nyilvántartást vezető szerv gondoskodik.

(2) E fejezet szerint kell eljárni olyan szerv vagy szolgáltató által biztosított informatikai alkalmazások igénybevételénél is – azok adatkezelést érintő műveletei tekintetében –, amelyek tartósan nem tartanak nyilván személyes adatokat, de amelyek felhasználásra kerülnek valamely jogszabályban meghatározott személyes-adat kezelési feladathoz. Ez esetben nyilvántartás alatt az adatkezelésbe bevont alkalmazási program értendő.

1. FEJEZET

A JOGSZABÁLYBAN MEGHATÁROZOTT FELADAT- ÉS HATÁSKÖRÖK ELLÁTÁSÁHOZ KAPCSOLÓDÓ, ÖNKORMÁNYZATI ADATKEZELŐ ÁLTAL NYILVÁNTARTOTT ADATOK KEZELÉSE

9. Az adatkezelés jogalapja

 

22. § (1) Amennyiben jogszabály a nyilvántartás vezetésére meghatározott Önkormányzati adatkezelőt jelöl ki, e fejezet szerinti szabályokat csak a kijelölt Önkormányzati adatkezelőre kell alkalmazni. A nyilvántartás vezetésére ki nem jelölt Önkormányzati adatkezelők szempontjából a III. fejezet előírásai az irányadók.

(2) A személyes adatok Önkormányzati adatkezelő által történő kötelező nyilvántartását igénylő adatkezelést az Önkormányzati adatkezelő közvetlen (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges) jogalap alapján végzi.

 

10. Az adatkezelői feladatok ellátása

 

23. § (1) Az Önkormányzati adatkezelő a GDPR 24., 25. és 32. cikkében, valamint az Infotv. 25/A. § (1) bekezdésében foglaltaknak megfelelően, az adatkezelés jogszerűségének biztosítása érdekében az adatkezelés összes körülményéhez – így különösen céljához, valamint az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatokhoz – igazodó műszaki és szervezési intézkedéseket tesz.

(2) Az Önkormányzati adatkezelő a GDPR 12. cikk (1) bekezdésében, illetve az Infotv. 16. § (1) bekezdésében meghatározott tájékoztatási kötelezettségének elektronikus úton, a Jászfényszaru Város Önkormányzatára vonatkozó, 1. sz. függelék szerinti tájékoztatás megfelelő módosítását követően az Önkormányzati adatkezelő honlapján történő közzétételével tesz eleget.

 

1. FEJEZET

ADATKEZELŐI ÉS ADATFELDOLGOZÓI NYILVÁNTARTÁS

24. § (1) Az Önkormányzati adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet (a továbbiakban együtt: adatkezelői nyilvántartás).

(2) Az adatkezelői nyilvántartást az Infotv. 25/E. § (1) bekezdése szerinti tartalommal az Önkormányzati adatkezelő adatvédelmi tisztviselője vezeti elektronikus úton rögzített formában.

(3) Az adatkezelői nyilvántartás naprakész vezetése érdekében a szervezeti egységek az adatkezelésük során felmerült adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatosan megtett intézkedéseikről haladéktalanul tájékoztatják az Önkormányzati adatkezelő adatvédelmi tisztviselőjét.

25. § (1) Az Önkormányzati adatkezelő, mint adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról.

(2) Az adatkezelői nyilvántartást az Infotv. 25/E. § (2) bekezdése szerinti tartalommal az Önkormányzati adatkezelő adatvédelmi tisztviselője vezeti elektronikus úton rögzített formában.

26. § Az Önkormányzati adatkezelő, mint adatkezelő, vagy mint adatfeldolgozó megkeresés alapján a felügyeleti hatóság rendelkezésére bocsátja az általa vezetett adatkezelési tevékenységek nyilvántartását.

 

1. FEJEZET

FUNKCIONÁLIS MŰKÖDÉSSEL KAPCSOLATOS SZEMÉLYES ADATOK KEZELÉSE

11. Az adatkezelés jogalapja

 

27. § Az Önkormányzati adatkezelő funkcionális feladatainak ellátása során a személyes adatok kezelésének jogalapja:
28. a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése,
29. b) az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítése,
30. c) olyan szerződés teljesítése, melyben az érintett az egyik fél,
31. d) az érintett hozzájárulása.

 

12. Az adatkezelői feladatok ellátása

 

28. § (1) A munkaerő-felvétellel összefüggő adatkezelés esetében a személyes adatok kezelésének jogalapja az érintett hozzájárulása, célja a foglalkoztatotti jogviszony esetleges létesítése.

(2) Az Önkormányzati adatkezelő a GDPR 4. cikk 11. pontja alapján a beérkező pályázatok, kérelmek, önéletrajzok esetében megadottnak tekinti az érintett hozzájárulását, tekintettel arra, hogy a személyes adatok közlése önkéntes, és az érintett az akaratát félreérthetetlenül kifejező cselekedet (az Önkormányzati adatkezelő részére történő megküldés) útján egyértelműen jelzi, hogy beleegyezését adja személyes adatai kezeléséhez. Az érintett akaratának a hozzájárulás esetében konkrét és megfelelő tájékoztatáson kell alapulnia, melyet az Önkormányzati adatkezelő a honlapján elhelyezett tájékoztató útján biztosít.

(3) Az érintett a személyes adatai kezeléséhez adott hozzájárulását bármikor visszavonhatja az Önkormányzati adatkezelőhöz írásban eljuttatott, erre irányuló nyilatkozatában. Az érintettet megillető jogosultságok tekintetében a Szabályzat 39. §-a az irányadó.

29. § (1) Az Önkormányzati adatkezelő a foglalkoztatottakat a felvételt megelőzően részletesen tájékoztatja az Önkormányzati adatkezelő által végzett, rájuk vonatkozó személyes adatkezelésről. A ráruházott közhatalmi jogkör gyakorlásához az Önkormányzati adatkezelő zavartalan jogszerű működésének biztosíthatósága érdekében az alkalmazás feltétele az adatkezelések tudomásul vétele.

(2) Az érintett foglalkoztatott részére az Önkormányzati adatkezelő – a jogszabályban nem megismerhetőnek előírt adatkörök kivételével – biztosítja a kezelt személyes adataihoz való hozzáférést. A kérelmet a nyilvántartásért felelős szervezeti egységnél kell előterjeszteni.

(3) Az érintett foglalkoztatott részére az Önkormányzati adatkezelő biztosítja a helyesbítési jog gyakorlását. Helyesbítésre vonatkozó kérelmet a téves adat megnevezésével és a helyes adat igazolt megadásával lehet kezdeményezni a nyilvántartásért felelős szervezeti egységnél.

(4) Az Önkormányzati adatkezelő az alkalmazás megszűnését követően a foglalkoztatottra vonatkozó személyes adatokat a jogszabályokban megadott megőrzési ideig tárolja. Ezen adatokra helyesbítés már nem kérhető.

30. § A szerződéses kapcsolatokkal összefüggő adatkezelés esetében az adatokhoz hozzáférés, helyesbítés csak a szerződés egészére vonatkozó hozzáférési, módosítási kérelemként értelmezhető, annak szabályai szerint hajtható végre. Szerződés nyilvántartásával kapcsolatban a tiltakozási jog nem gyakorolható.
31. § (1) Az irat formában történt adatközlésekre vonatkozó adatkezelési nyilvántartás szerepét a funkcionális működést támogató rendszerek mögöttes iktatórendszere tölti be. Az egyéb formában történő adatkezelések nyilvántartásáról külön gondoskodni kell az adott területnek leginkább megfelelő módon. Megfelelő módnak tekinthető egy alkalmazási program napló adathalmaza, ha a szükséges adatokat tartalmazza, illetve a kézi nyilvántartás is.

(2) Az Önkormányzati adatkezelő a funkcionális működésével összefüggésben vezetett nyilvántartásokból személyes adat átadást csak a jogszabályi előírások szerint teljesít.

(3) Az Önkormányzati adatkezelő egyes, a foglalkoztatottakra vonatkozó személyes adat kezelésével kapcsolatos adatkezelésre vonatkozó részletes szabályozást, így különösen

1. a) a személyügyi adatok kezelésére,
2. b) a bérezéssel kapcsolatos adatok kezelésére,
3. c) nyilvános helyek megfigyelésére

vonatkozó szabályokat külön szabályzatban adhatja ki.

 

VII. FEJEZET

AZ ADATVÉDELEM SZERVEZETE

13. Betöltendő szerepek

 

32. § Az Önkormányzati adatkezelő a személyes adatok megfelelő védelme érdekében az alábbi feladatköröket nevesíti:
33. a) adatvédelmi tisztviselő,
34. b) informatikai biztonsági felelős
35. § (1) Az adatvédelmi tisztviselő.
36. a) a GDPR 38. cikk (3) bekezdése alapján feladatai ellátásával kapcsolatban utasítást nem kaphat,
37. b) közvetlenül Jászfényszaru Város Képviselő-testületének tartozik felelősséggel,
38. c) ellenőrzési jogköre az adatvédelem tekintetében az Önkormányzati adatkezelő valamennyi szervezeti egységére kiterjed.

(2) Az adatvédelmi tisztviselő elősegíti az Önkormányzati adatkezelő adatkezelői, illetve adatfeldolgozói kötelezettségeinek teljesítését, melynek keretében ellátja a GDPR 39. cikkében, valamint az Infotv. 25/M. § (1) bekezdésében meghatározott feladatokat.

34. § Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
35. § Az informatikai biztonsági felelős az Önkormányzati adatkezelőnél kijelölt személy, aki a belső IT rendszerek adatvédelméről, biztonságos üzemeltetéséről, az Önkormányzati adatkezelő informatikai ellenőrzési feladatairól gondoskodik. Feladatkörébe tartozik a külső szerv által működtetett nyilvántartások, illetve szolgáltatások igénybevételével kapcsolatos informatikai biztonsági szempontok kezelése is.

 

14. Általános felelősségi kérdések

 

36. § (1) A jogszabály által védett adatok – ide értve személyes adatokat is – kezelésével kapcsolatos szabályok betartásáról az Önkormányzati adatkezelő teljes személyi állománya köteles gondoskodni.

(2) A foglalkoztatott, mint adatfeldolgozó tevékenységi körén belül felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá minden olyan jogsértésért, amit a GDPR, az Infotv., valamint a Szabályzat rendelkezéseinek megszegésével okozott.

 

VIII. FEJEZET

ADATVÉDELMI INCIDENS KEZELÉSE

15. Az adatvédelmi incidens bejelentése

 

37. § (1) A GDPR 4. cikk 12. pontja és az Infotv. 3. § 26. pontja értelmében az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

(2) Az adatvédelmi incidensekről az Önkormányzati adatkezelő adatvédelmi tisztviselője elektronikus úton rögzített formában nyilvántartást vezet. A nyilvántartás naprakész vezetése érdekében a szervezeti egységek az adatkezelésük során felmerült adatvédelmi incidensekről haladéktalanul tájékoztatják az Önkormányzati adatkezelő adatvédelmi tisztviselőjét.

(3) Az adatvédelmi incidenst az Önkormányzati adatkezelő adatvédelmi tisztviselője haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzést követő hetvenkét órán belül – az Infto tv. 25/J. § (5) bekezdése szerinti tartalommal – bejelenti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogainak érvényesülésére.

(4) A más szerv által vezetett nyilvántartás vagy működtetett szakrendszer esetében, amennyiben az Önkormányzati adatkezelő közös adatkezelőnek minősül, az Önkormányzati adatkezelő adatvédelmi tisztviselője az érintett szervet értesíti, hogy az a szükséges adatokkal kiegészítve – abban az esetben, ha szükségesnek véli – a felügyeleti hatóság értesítését megtehesse.

(5) Amennyiben az adatvédelmi incidens informatikai rendszert érintően következett be, arról haladéktalanul tájékoztatni szükséges az Önkormányzati adatkezelő informatikai vezetőjét is.

 

16. Az érintett tájékoztatása az adatvédelmi incidensről

 

38. § Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat (magas kockázatú adatvédelmi incidens), az adatvédelmi tisztviselő – az Infotv. 25/K. § (2) bekezdésében foglaltak kivételével – haladéktalanul tájékoztatja az érintettet az adatvédelmi incidensről.

 

1. FEJEZET

AZ ÉRINTETT JOGAI

39. § A GDPR 13-22. cikke, valamint az Infotv. 14. §-a alapján az érintett jogai:
40. a) előzetes tájékozódáshoz való jog,
41. b) hozzáféréshez való jog,
42. c) helyesbítéshez való jog,
43. d) az adatkezelés korlátozásához való jog,
44. e) törléshez való jog,
45. f) adathordozhatósághoz való jog,
46. g) tiltakozáshoz való jog.
47. § Az érintett az előzetes tájékozódáshoz való jogát elsősorban az Önkormányzati adatkezelő honlapján közzétett nyilvános tájékoztatás alapján, elektronikus úton gyakorolhatja, kérelmére azonban szóbeli tájékoztatás is adható. A honlapon közzétett tájékoztató a GDPR 13. cikk (4) bekezdése, illetve 14. cikk (5) bekezdés a) pontja szerint az érintett által ismertnek tekintendő.
48. § (1) Az érintett fél hozzáférési, illetve helyesbítési jogát – ha jogszabály másként nem rendelkezik – az Önkormányzati adatkezelőnél gyakorolhatja, az erre vonatkozó kérelmét a nyilvántartásért felelős szervezeti egységnél terjesztheti elő. Személyes adatkezelésre vonatkozó egyedi információ csak az érintett személy részére adható.

(2) Az Önkormányzati adatkezelő az adatkezelés tárgyát képező személyes adatok elektronikus vagy papír másolatát első kérésekor egy példányban díjfizetés nélkül az érintett rendelkezésére bocsátja.

(3) Az Önkormányzati adatkezelő által jogszabály alapján vezetett nyilvántartásokban a hozzáférési, illetve helyesbítési jog a nyilvántartásra vonatkozó jogszabályban foglaltak szerint, ennek hiányában az általános ügyintézésre vonatkozó szabályok szerint gyakorolható.

42. § Az érintett korlátozási igénnyel, illetve tiltakozási joggal a közvetlen vagy közvetve jogszabályi előírás alapján vezetett nyilvántartások esetében nem élhet.
43. § A GDPR 20. cikkének (3) bekezdése, valamint (68) preambulum-bekezdése alapján az érintettet az adathordozhatósághoz való jog nem illeti meg, amennyiben az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges, vagy az adatkezelő közhatalmi feladatait gyakorolja, jogi kötelezettségének tesz eleget. Erre tekintettel az Önkormányzati adatkezelő az adathordozhatósághoz való jogot kizárólag abban az esetben biztosítja, ha az adatkezelés hozzájáruláson vagy szerződésen alapul.
44. § (1) Az Önkormányzati adatkezelő az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet – a jogszabályi feltételek fennállása esetén – annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálja és döntéséről az érintettet írásban értesíti.

(2) Az eljáró szervezeti egység az érintettet megillető jogosultság érvényesítésére irányuló kérelem elutasításáról, illetve – az Infotv. 15. § (3) bekezdésében meghatározott – költségtérítés megállapításáról haladéktalanul tájékoztatja az Önkormányzati adatkezelő adatvédelmi tisztviselőjét.

1. FEJEZET

SZEMÉLYES ADATNAK NEM MINŐSÜLŐ ADATOK KEZELÉSE

17. Védendő adat kezelése

 

45. § (1) Személyes adatnak nem minősülő, de más okból (különösen üzleti titkot képező) nem nyilvános adat (a továbbiakban: nem nyilvános adat) kezelésére a személyes adat kezelésére vonatkozó szabályokat kell alkalmazni a jelen fejezet szerinti eltérésekkel.

(2) A nem nyilvános adatok kezelésére

1. a) nem értelmezett a tiltakozási, hozzáférési, korlátozási jog,
2. b) nem kapcsolódik hozzá tájékoztatási kötelezettség,
3. c) az adatkezelésről – ha külön jogszabály másként nem rendelkezik – nyilvántartást nem kell vezetni.

(3) A nem nyilvános adatokkal kapcsolatos adatvédelmi incidens esetén

1. a) hálózaton keresztül bekövetkezett incidens esetén a külön jogszabály szerint a hálózatbiztonsági központ értesítendő,
2. b) üzleti tiktok illetéktelen tudomására jutása esetén az érintettet is értesíteni kell, amennyiben ez lehetséges.

 

1. FEJEZET

ÁTMENETI ÉS ZÁRÓ RENDELKEZÉSEK

46. § E szabályzat 2021. 02. 01. napján lép hatályba.
47. § (1) E szabályzat hatályba lépéséig köteles a Jászfényszarui Közös Önkormányzati Hivatal Jegyzője a Jászfényszarui Közös Önkormányzati Hivatal foglalkoztatottai közül Jászfényszaru Város Önkormányzata és szervei részére adatvédelmi tisztviselőt kijelölni, és minden adatkezelő részére az adatkezelési tájékoztatót a 23. § (2) bekezdés szerint közzétenni.

(2) E szabályzat hatályba lépéséig kötelesek Jászfényszaru Város Önkormányzata intézményeinek igazgatói az intézmény foglalkoztatottjai közül az intézmény részére adatvédelmi tisztviselőt kijelölni, és az adatkezelési tájékoztatót a 23. § (2) bekezdés szerint közzétenni.

Jászfényszaru, 2021. január 27.

 

Győriné dr. Czeglédi Márta

polgármester