ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT (AVBSZ)

Az Alfred Nobel Open Business School Switzerland Kft. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény /továbbiakban: Info. törvény/, az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény /továbbiakban: E-ügyintézési törvény/, a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvény /továbbiakban: Nftv./ alapján, összhangban a vonatkozó kormányrendeletekben és egyéb jogszabályokban foglalt rendelkezésekkel, az alábbi szabályokat alkotja.

I. rész

Általános rendelkezések

A szabályzat célja és alapelvei

(1) Jelen szabályzat célja a természetes személyek magánszférájának tiszteletben tartása, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésének lehetővé tétele révén az információs önrendelkezéshez való jog és az információszabadság intézményen belüli biztosításához, továbbá az elektronikus ügyintézés széles körű elterjedéséhez kapcsolódóan a megfelelő adatbiztonság garantálásához, illetve az elektronikus ügyintézést biztosító szervek együttműködésének biztosításához szükséges részletszabályok megalkotása.

(2) Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

(3) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

(4) A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

(5) Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

(6) Az adatkezelés során arra alkalmas technikai vagy szervezési – így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító – intézkedések alkalmazásával biztosítani kell a személyes adatok megfelelő biztonságát.

(7) Az ügyintézés során folyamatosan biztosítani kell a közérdekű, illetve közérdekből nyilvános adatok megismerhetőségét és a személyes, a minősített és a nem nyilvános adatok védelmét.

A szabályzat hatálya és értelmezése

2. §

(1) A jelen szabályzat hatálya kiterjed a Főiskola valamennyi munkavállalójára, illetve az Főiskola adatkezelési tevékenységében bármilyen jogcímen részt vevő egyéb személyekre, valamint azon személyekre, akik adatait a jelen szabályzat hatálya alá tartozó adatkezelések tartalmazzák, továbbá azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.

(2) Jelen szabályzat hatálya kiterjed a Főiskola minden adatkezelési, illetve adatfeldolgozási tevékenységére, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz, függetlenül attól, hogy az adatkezelés, adatfeldolgozás teljesen vagy részben automatizált eszközzel, valamint manuális módon történik.

(3) Kétség esetén az intézmény Főigazgatója jogosult hitelesen értelmezni a jelen szabályzatot, és szükség esetén kibocsátani a végrehajtásához szükséges rendelkezéseket.

 Értelmező rendelkezések

A jelen szabályzat alkalmazásában

  1. adatállomány: az egy nyilvántartásban kezelt adatok összessége.
  2. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
  3. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése.
  4. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
  5. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik.
  6. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.
  7. adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján.
  8. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
  9. azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
  10. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval.
  11. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz.
  12. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy.
  13. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.
  14. információátadás: információk együttműködő szervek közötti átadása és átvétele.
  15. információátadási szolgáltatás: olyan szolgáltatás, amelynek keretében egy együttműködő szerv egyszerű vagy automatikus információátadás útján adatokat vagy iratokat ad át egy másik együttműködő szervnek.
  16. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
  17. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.
  18. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli.
  19. személyes adat: az érintettre vonatkozó bármely információ.
  20. tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri.

 II. rész

Adatkezelés

4. §

(1) Személyes adat akkor kezelhető, ha

  1. a) az az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult,
  2. b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,
  3. c) az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos vagy
  4. d) a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.

(2) A Főiskola a felsőoktatási tevékenység, mint főtevékenység, illetve az ahhoz kapcsolódó kiegészítő tevékenységek ellátása céljából az alábbi jogszabályokban meghatározott adatokat kezeli kötelező jelleggel:

  1. a) a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvény,
  2. b) a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995.

évi LXVI. törvény,

  1. c) a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvény egyes rendelkezéseinek végrehajtásáról szóló 87/2015. (IV.9.) Korm. rendelet,
  2. d) a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet,
  3. e) a közlevéltárak és a nyilvános magánlevéltárak tevékenységével összefüggő szakmai követelményekről szóló 27/2015. (V. 27.) EMMI rendelet,

(3) A Főiskola a jogszabályban kötelezően meg nem határozott, de rendeltetésszerű működéséhez szükséges személyes adatokat az érintett hozzájárulása alapján, az adott cél eléréséhez szükséges mértékben szabad kezelni.

(4) Az érintett kérelmére, kezdeményezésére indult eljárásban az eljárás lefolytatásához szükséges személyes adatok tekintetében, az érintett kérelmére indult más ügyben az általa megadott személyes adatok tekintetében a hozzájárulást vélelmezni kell.

(5) Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy nyilvánosságra hozatalra általa átadott személyes adatok tekintetében.

(6) A különleges adatok tekintetében fokozott gondossággal kell eljárni. A különleges adatok vonatkozásában megfelelő technikai és szervezési intézkedésekkel kell biztosítani, hogy az adatkezelési műveletek végzése során a különleges adatokhoz kizárólag az rendelkezzen hozzáféréssel, akinek az adatkezelési művelettel összefüggő feladatának ellátáshoz feltétlenül szükséges.

5.§

(1) A személyes adatok célhoz kötöttségének elve alapján, az egyes eljárások során kezelt adatokat csak az adott ügy elintézése érdekében szabad felhasználni, más eljárásokkal illetve adatokkal nem kapcsolhatók össze – kivéve, ha ezt törvény engedi, illetve az érintett hozzájárult és az adatkezelés feltételei minden egyes személyes adatra vonatkozóan fennállnak.

(2) Az adatfelvétel és a további adatkezelés folyamán ügyelni kell a személyes adatok felvételének és kezelésének törvényességére, pontosságára, teljességére, időszerűségére, megfelelő tárolására, hogy emiatt az érintettek jogai ne sérülhessenek.

(3) Amennyiben valamely ügy elintézéséhez vagy feladat ellátásához szükséges, rendelkezésére nem álló – személyes vagy minősített adat esetében törvény alapján kezelhető – információ elsődleges információforrásból rendelkezésre áll, azt – törvény kizáró rendelkezése hiányában – a Főiskola elsődleges információforrásból elektronikus úton szerzi be.

(4) A célhoz nem kötött és olyan adatokat, amelyekre nézve az adatkezelés célja megszűnt vagy módosult haladéktalanul, illetve az előírt megőrzési határidő leteltével meg kell semmisíteni. A személyes adatokat tartalmazó egyéb iratanyagok megsemmisítéséről szintén a szükséges biztonsági intézkedések mellett kell gondoskodni. Az elektronikus úton rögzített adatokat, ha céljukat betöltötték további felhasználásuk megakadályozása érdekében felismerhetetlenné, hozzáférhetetlenné kell tenni.

6. §

(1) Az érintett jogosult arra, hogy a Főiskola által kezelt személyes adatai vonatkozásában a törvényben meghatározott feltételek szerint

  1. a) az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon (a továbbiakban: előzetes tájékozódáshoz való jog),
  2. b) kérelmére személyes adatait és az azok kezelésével összefüggő információkat az adatkezelő a rendelkezésére bocsássa (a továbbiakban: hozzáféréshez való jog),
  3. c) kérelmére, valamint e fejezetben meghatározott további esetekben személyes adatait az adatkezelő helyesbítse, illetve kiegészítse (a továbbiakban: helyesbítéshez való jog),
  4. d) kérelmére, valamint e fejezetben meghatározott további esetekben személyes adatai kezelését az adatkezelő korlátozza (a továbbiakban: az adatkezelés korlátozásához való jog),
  5. e) kérelmére, valamint e fejezetben meghatározott további esetekben személyes adatait az adatkezelő törölje (a továbbiakban: törléshez való jog),
  6. f) a Hatóság eljárását kezdeményezhesse (a továbbiakban: hatósági jogorvoslathoz való jog) és
  7. g) a bíróság eljárását kezdeményezhesse (a továbbiakban: bírósági jogorvoslathoz való jog).

(2) Az előzetes tájékozódás lehetőségét a Főiskola a honlapján közzétett szabályzatai útján biztosítja az érintettek felé. A hallgatói beiratkozási lap, továbbá a foglalkoztatási jogviszonyra vonatkozó szerződések kötelező tartalmi eleme annak elismerése a másik fél részéről, hogy a Főiskola vonatkozó szabályzatainak rendelkezését megismerte.

(3) A Főiskola a kezelésében lévő személyes adatokkal kapcsolatos adatkezelési műveletekről elektronikus formában nyilvántartást vezet (a továbbiakban: adatkezelői nyilvántartás). Az adatkezelői nyilvántartás vezetéséről az adatvédelmi tisztviselő gondoskodik. Az adatkezelői nyilvántartásban rögzíteni kell:

  1. a) az adatkezelő, ideértve minden egyes közös adatkezelőt is, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit,
  2. b) az adatkezelés céljait,
  3. c) személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – körét,
  4. d) az érintettek, valamint a kezelt adatok körét,
  5. e) profilalkotás alkalmazása esetén annak tényét,
  6. f) nemzetközi adattovábbítás esetén a továbbított adatok körét,
  7. g) az adatkezelési műveletek – ideértve az adattovábbítást is – jogalapjait,
  8. h) ha az ismert, a kezelt személyes adatok törlésének időpontját,
  9. i) a törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását,
  10. j) a Főiskola által kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket,
  11. k) az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait.

(4) A Főiskola a jelen szabályzat szerinti nyilvántartásokat úgy köteles vezetni, hogy az elektronikus információátadás keretében továbbított személyes adatok tekintetében abból az ügyfél elektronikus úton, legfeljebb 3 napon belül tájékoztatást tudjon szerezni arról, hogy mely adatait mely együttműködő szerv, milyen célból és milyen időpontban vette át.

(5) Az adatkezelői nyilvántartásban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.

(6) Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti.

(7) A jogszabály alapján kezelt személyes adatok törlésének az érintett kérése esetén sincs helye.

(8) Ha az érintett helyesbítés, zárolás vagy törlés iránti kérelme nem teljesíthető, a Főiskola a kérelem kézhezvételét követő 25 napon belül írásban vagy az érintett hozzájárulásával elektronikus úton közli a kérelem elutasításának ténybeli és jogi indokait. A kérelem elutasítása esetén az érintettet tájékoztatni kell a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.

 

III. rész

Adatvédelem

7. §

 (1) A személyes adatokat tartalmazó iratot vagy adathordozót a Főiskola területéről kivinni csak különösen indokolt esetben az adott szervezeti egység vezetőjének kifejezett engedélyével lehet. Ebben az estben az az iratot vagy adathordozót magánál tartó munkavállaló felel annak megőrzéséért, sértetlenségéért, illetve, hogy annak tartalmáról illetéktelen személy ne szerezhessen tudomást.

(2) Adatkezelési tevékenységet az egyes munkatársak csak feladatkörük ellátásához szükséges mértékben folytathatnak. Az adatkezelési tevékenységet ellátó munkatárs köteles gondoskodni az általa kezelt adatok és iratok megőrzéséről.

(3) A személyes adatokat tartalmazó iratokat zárt helyen kell őrizni.

(4) A munkatársak irodai helyiségüket és az irat és adattárolásra használt berendezéseket munkaidőben fokozott gondossággal kötelesek őrizni. A munkatárs köteles a számítógépét és az ahhoz alkalmazott adathordozókat úgy kezelni, tárolni, hogy a védelmet igénylő adatokat illetéktelen személy ne ismerhesse meg. Köteles továbbá a munkaidő végeztével a számítógépet kikapcsolni, az irodahelység ajtaját – közös iroda esetén az utolsóként távozó munkatársa – bezárni.

(5) A tűz elleni védekezés rendjét a Főiskola Tűzvédelmi Szabályzata tartalmazza.

8. §

(1) A munkatársak a Főiskola számítógépes infrastruktúráját csak rendeltetésszerűen használhatják.

(2) A munkatársak fokozottan kötelesek ügyelni arra, hogy a Főiskolai rendszerekbe belépést biztosító jelszavukat illetéktelen személy ne ismerje meg. Ennek keretében

  1. a) a jelszavakat úgy kell megválasztani, hogy azokat ne lehessen kitalálni,
  2. b) a jelszavakat nem szabad mások tudomására hozni,
  3. c) a jelszavakat ajánlatos legalább háromhavonta cserélni,
  4. d) a valamely rendszerbe beléptetett terminált, munkaállomást nem szabad kilépés nélkül elhagyni,
  5. e) a munkatársaknak tilos más munkatársak erőforrásait illetéktelenül használni,
  6. f) tilos a hálózati erőforrásokat védő technikai korlátozások feltörése, más felhasználók jelszavainak megszerzése, illetve
  7. g) tilos a munkatárs rendes munkavégzésén kívül a rendszer, és más felhasználók adatait, fájljait – engedély nélkül – másolni, törölni vagy módosítani.

 

(3) A központi hálózatot és az egyes munkaállomásokat egyaránt tűzfal, és rendszeresen frissülő vírusellenőrző szoftver védi, amelyek működtetéséről, frissítéséről külsős informatikai vállalkozás gondoskodik.

(4) Az elektronikus adattároló berendezések fizikai védelméről megfelelően gondoskodni kell, így

  1. a) azokat zárt védett helyen kell tartani,
  2. b) a számítástechnikai eszközök közelében enni vagy inni nem szabad,
  3. c) az egyes munkatársak a Főiskola területéről csak jelszóval védett számítógépet vihetnek ki, szigorú leltárfelelősség vállalása mellet.
  4. §

(1) A személyes adatok automatizált feldolgozása során biztosítani kell

  1. a) a jogosulatlan adatbevitel megakadályozását;
  2. b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
  3. c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
  4. d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitt be az automatikus adatfeldolgozó rendszerekbe;
  5. e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és azt, hogy
  6. f) az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

 

(2) Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene.

(3) Az interneten, a fittmagazin.hu és a fitmagazin.hu weboldalakhoz kapcsolódóan kezelt adatokhoz (hírlevélküldés, online jelentkezés, Facebook oldal kezelése és Adwords hirdetés menedzsment, valamint webtárhely és weboldalfejlesztési szolgáltatás) megadott adatfeldolgozók:

Mailchimp (hírlevél):
The Rocket Science Group LLC d/b/a MailChimp
Attn. Privacy Officer
privacy@mailchimp.com
675 Ponce de Leon Ave NE, Suite 5000
Atlanta, GA 30308 USA

BeCommerce Kft. (tárhely és webfejlesztés):
1204 Bp. Alsó Határút 109. I/1.

Barátfalvy Sándor ev. (Facebook és Adwords kezelés, valamint projektmenedzsment):
2141 Csömör, Ady Endre utca 42/b

Google (Adwords hirdetés):
Google Inc.
1600 Amphitheatre Parkway, Mountain View,
CA 94043, USA; „Google“.

Facebook (hirdetés és fiók):
Facebook Ireland Ltd.
4 Grand Canal Square
Grand Canal Harbour
Dublin 2 Ireland

 

IV. rész

Adatigénylés és továbbítás

10.§

 (1) A Főiskola az E-ügyintézési törvény szerinti együttműködő szervezetként más együttműködő szervezetek felé azok jogszerű megkeresésére elektronikusan információt szolgáltat.

(2) Az elsődleges és másodlagos információforrásból rendelkezésre álló információt a Főiskola az erre irányuló elektronikus úton előterjesztett információátadás iránti megkeresés beérkezésétől számított 3 napon belül elektronikus úton továbbítja, vagy ha az információ továbbításának jogszabályi feltételei nem állnak fenn, azt megtagadja, és erről a kezdeményező együttműködő szervet az indokok megjelölésével tájékoztatja.

(3) Az információátadás abban az esetben tagadható meg, amennyiben

  1. a) a kért információ nem áll a Főiskola rendelkezésére,
  2. b) az információt nem az arra jogosult szervezet, az arra meghatározott biztonságos elérhetőségen keresztül igényelte,
  3. c) az információ elsődleges információforrásból máshol rendelkezésre áll.

(4) Az E-ügyintézési törvény szerinti információkérés és átadás hivatali kapu útján történik.

(5) Az E-ügyintézési törvény szerinti információkérés és átadásra tanulmányi információk tekintetében a Tanulmányi Osztály, egyéb adatok tekintetében a Főiskola Főigazgatója jogosult.

(6) A Főiskola részéről keletkező adatigénylést a szervezeti egységek a kijelölt szervezetek számára juttatják el, majd az elektronikus csatornát alkalmazó eljárást követően kapják vissza annak eredményét.

(7) A hivatali kapu napi ellenőrzése a kijelölt szervezeti egységek feladat. Az érkezett adatigénylések besorolása illetőség szerint mindkét szervezeti egység feladata. Igénylési megkeresést törölni csak akkor lehet a hivatali kapuról, ha az igénylés iktatása, és az azzal járó feladat megoldása megkezdődött.

(8) Amennyiben az érkezett igénylés megválaszolásához más szervezeti egység kezelésében lévő adat szüksége, úgy a Tanulmányi Osztály, illetve a Főiskola Főigazgatója jogosult bármely szervezeti egységtől információt kérni. Az ilyen típusú belső adatkérés megválaszolására az adott szervezeti egység egy munkanapon belül köteles. Az adatok pontosságáért, és a válasz határidejének betartásáért az adott szervezeti egység vezetője felel.

11.§

Az E-ügyintézési törvény szerinti információátadáson kívül egyéb intézményen kívüli adattovábbítás csak a Főigazgató előzetes engedélyével történhet – ide nem értve a jogszabály által előírt, vagy jogszabály által lehetővé tett olyan statisztikai célú adatközlést, amely esetében a személyazonosság nem megállapítható.

 V. rész

Adatvédelmi tisztviselő

12.§

(1) A Főiskola a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének és az érintettek jogai érvényesülésének elősegítése érdekében adatvédelmi tisztviselőt alkalmaz.

(2) Adatvédelmi tisztviselőnek az nevezhető ki, aki a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkezik és alkalmas az ezzel járó feladatok ellátására.

(3) A Főiskola kellő időben bevonja az adatvédelmi tisztviselőt valamennyi, a személyes adatok védelmét érintő döntés előkészítésébe, továbbá biztosítja az adatvédelmi tisztviselő számára mindazon feltételeket, jogosultságokat és erőforrásokat, továbbá hozzáférést biztosít mindazon adatokhoz és információkhoz, amelyek az adatvédelmi tisztviselő által ellátandó feladatok végrehajtásához, valamint az adatvédelmi tisztviselő szakmai ismereteinek naprakészen tartásához szükségesek.

(4) Az adatvédelmi tisztviselő elősegíti a Főiskola –személyes adatok kezelésére vonatkozó jogi előírásokban meghatározott – kötelezettségeinek teljesítését, így különösen

  1. a) a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok által foglalkoztatott, az adatkezelési műveleteket végző személyek részére;
  2. b) folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását;
  3. c) elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek panaszait és kezdeményezi az adatkezelőnél, illetve az adatfeldolgozónál a panasz orvoslásához szükséges intézkedések megtételét,
  4. d) szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását,
  5. e) együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció és a Hatóság által lefolytatott eljárások elősegítése érdekében,
  6. f) közreműködik az adatvédelmi és adatbiztonsági szabályzat megalkotásában, módosításában

VI. rész

Incidenskezelés

13. §

(1) Az adatvédelmi incidenst az észlelését követően haladéktalanul írásban jelezni kell az adatvédelmi tisztviselő felé.

(2) Az adatvédelmi tisztviselő az adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követően hetvenkét órával bejelenti a Hatóságnak – kivéve, ha valószínűsíthető, hogy az nem jár kockázattal az érintettek jogainak érvényesülésére. Az adatvédelmi tisztviselő ugyanezen határidőn belül kivizsgálja a tudomására jutott adatvédelmi incidenst, és a Főiskola Főigazgatója felé jelentésében rögzíti a vizsgálat eredményét, a megtett vagy javasolt intézkedéseket.

(3) A Hatóságnak küldött bejelentés tartalmazza:

  1. a) az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges mennyiségét,
  2. b) tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól,
  3. c) ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és
  4. d) ismerteti a Főiskola által az adatvédelmi incidens kezelésére tett vagy tervezett – az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb – intézkedéseket.

(3) Az adatvédelmi tisztviselő – vagy jelentése alapján a Főigazgató – haladéktalanul gondoskodik

  1. a) a jogellenesen megsérült, módosult vagy megsemmisült adat pótlásáról, kijavításáról, amennyiben az adat kezelését jogszabály írja elő, vagy az adatkezelés feltételei változatlanul fennállnak, illetve
  2. b) a jogosulatlan hozzáférés lehetőségének megszüntetéséről.

(4) Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat a Főiskola az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja, kivéve ha

  1. a) a Főiskola az adatvédelmi incidenssel érintett adatok tekintetében az adatvédelmi incidenst megelőzően megfelelő – így különösen az adatokat a jogosulatlan személy általi hozzáférés esetére értelmezhetetlenné alakító, azok titkosítását eredményező – műszaki és szervezési védelmi intézkedéseket alkalmazott,
  2. b) a Főiskola az adatvédelmi incidensről való tudomásszerzését követő intézkedésekkel biztosította, hogy az adatvédelmi incidens folytán az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be,
  3. c) az érintett közvetlen tájékoztatása csak az adatkezelő aránytalan erőfeszítésével lenne teljesíthető, ezért az adatkezelő az érintettek részére az adatvédelmi incidenssel összefüggő megfelelő tájékoztatást bárki által hozzáférhető módon közzétett információk útján biztosítja, vagy
  4. d) törvény a tájékoztatást kizárja.

 

VII. rész

Átmeneti és záró rendelkezések

14. §

(1) Jelen szabályzat a (2) bekezdésben foglalt kivételekkel 2018. 05. 25. napján lép hatályba.

(2) A jelen szabályzat IV. részében foglaltak 2018. 01. 01. napján hatályba lépnek.