Berceli Csemete-kert Óvoda, Bölcsőde és Mini Bölcsőde
Adatvédelmi és Adatkezelési Szabályzata
2024.
Adatvédelmi és Adatkezelési Szabályzata
2024.
Tartalom
Dokumentum verzió kontroll 3
I. Preambulum 3
II. Kapcsolódó jogszabályok 3
III. A Szabályzat hatálya 4
IV. Értelmező rendelkezések 4
V. Az Adatkezelő adatkezelésének alapelvei 8
VI. Az Adatkezelő adatvédelmi szervezete 9
VII. A személyes adatok kezelésének törvényes alapjai 10
VIII. Az Érintettek tájékoztatása 12
IX. A tájékoztatás minimális tartalma 12
X. Az érintett adatkezeléssel összefüggő jogairól 15
XI. Hozzájárulás 17
XII. Az érintett természetes személyekre vonatkozó különleges személyes adatok köre és az adatkezelés
különös szabályai 18
XIII. Adattovábbításra vonatkozó rendelkezések 19
XIV. Adatfeldolgozók, adatfeldolgozás 19
XV. Közös adatkezelők 20
XVI. További ügymenetek: panasz, észrevétel 20
XVII. Köznevelési intézmények adatkezelése 21
XVIII. Speciális szabályok 23
XIX. Bölcsődei jogviszonyhoz kapcsolódó speciális rendelkezések 25
XX. A köznevelésben foglalkoztatottakra vonatkozó adatkezelések 26
XXI. Beépített és alapértelmezett adatvédelem 28
XXII. Az adatkezelési tevékenységek nyilvántartása 28
XXIII. Adatvédelmi hatásvizsgálat 29
XXIV. Az adatvédelmi tisztviselő 29
XXV. Adatbiztonság - adatvédelmi incidens 30
XXVI. Az érintett jogorvoslati jogosultságai és a jogorvoslati jogok érvényesítésének feltételei 32
XXVII. Záró rendelkezések 32
3
Dokumentum verzió kontroll
Verzió Dátum Szerző Megjegyzés
1. verzió 2022. május Közinformatika Nonprofit Kft. dokumentum elfogadása
2. verzió 2023.
december
Közinformatika Nonprofit Kft. dokumentum felülvizsgálata és
módosítása
3. verzió 2024. október Közinformatika Nonprofit Kft. dokumentum felülvizsgálata és
módosítása
I. Preambulum
A Berceli Csemete-kert Óvoda, Bölcsőde és Mini Bölcsőde (Székhely: 2687 Bercel, Kenderváros út
2/1.) (a továbbiakban: Adatkezelő/Óvoda/Bölcsőde/Intézmény) az Adatvédelmi és Adatkezelési
Szabályzatát az alábbiak szerint határozza meg.
Az Adatkezelési Szabályzat kiadásának célja, az Alaptörvényre alapulóan az Európai Parlament és a
Tanács (EU) 2016/679 Rendelete a természetes személyeknek a személyes adatok kezelése
tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK
rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), a továbbiakban „GDPR",
továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII.
törvény, a továbbiakban: „Info tv." rendelkezéseinek való megfelelés biztosítása, az adatkezelés és
adatfeldolgozás szabályainak Adatkezelő tevékenységeire vonatkozó megállapítása, annak
érdekében, hogy az érintett természetes személyek törvényben biztosított alapvető jogai és
szabadságai ne sérüljenek.
Jelen szabályzatban nem tartalmazott eljárásrendekre a külön ívben szövegezett eljárásrendek
szabályai az irányadók.
II. Kapcsolódó jogszabályok
Adatkezelő az adatkezelését elsődlegesen- de nem kizárólag - az alábbi jogszabályok rendelkezésivel
összhangban végzi:
1. a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről
és az ilyen adatok szabad áramlásáról szóló az EU Parlament és Tanács 2016/679. számú
Rendelete (GDPR),
2. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII.
törvény (Infotv.),
3. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.
törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs
eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra
vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet (Vhr.),
4. 20/2012. EMMI rendelet a nevelési-oktatási intézmények működéséről és a köznevelési
intézmények névhasználatáról
5. 15/2013. EMMI rendelet a pedagógiai szakszolgálatokról szóló
6. 363/2012. (XII. 17.) Korm. rendelet az Óvodai nevelés országos alapprogramjáról
7. 2011. évi CXC. törvény a nemzeti köznevelésről
8. Magyarország Alaptörvénye
9. a gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény
10. a személyes gondoskodást végző személyek adatainak működési nyilvántartásáról szóló
8/2000. (VIII. 4.) SzCsM rendelet
11. a gyámhatóságok, a területi gyermekvédelmi szakszolgálatok, a gyermekjóléti szolgálatok és
a személyes gondoskodást nyújtó szervek és személyek által kezelt személyes adatokról
szóló 235/1997. (XII. 17.) Korm. rendelet
12. a pedagógusok új életpályájáról szóló 2023. évi LII. törvény
4
III. A Szabályzat hatálya
1. § A Szabályzat hatálya kiterjed
(1) Az Adatkezelő valamennyi szervezeti egységére,
(2) Az Adatkezelő valamennyi dolgozójára, függetlenül a munkavégzés jogviszonyától
(köznevelési, közszolgálati, közalkalmazotti, munkaviszony, munkavégzésre irányuló
egyéb jogviszony),
(3) Az adatfeldolgozóra, továbbá az Adatkezelővel szerződéses jogviszonyban álló egyéb
szervezetekre („Harmadik személy") és alkalmazottaira, akik az Adatkezelő által
kezelt személyes adatok kezelésében, feldolgozásában közreműködnek, avagy a
jogszerű tevékenységük során az Adatkezelő által kezelt személyes adatokat
ismerhetnek meg.
2. § A Szabályzat rendelkezéseit az Adatkezelő honlapja tekintetében is alkalmazni
kell. Amennyiben a honlapot nem az Adatkezelő üzemelteti, az üzemeltetőre az 1. §
(3) bekezdés rendelkezése vonatkozik.
3. § (1) A Szabályzatot a manuálisan és az automatizált eszközzel végzett személyes
adatkezelésre egyaránt alkalmazni kell, függetlenül attól, hogy az adat kezelése
digitálisan, egyéb elektronikus rögzítővel (pl. hang- vagy kép-, videófelvétel) vagy
papíralapon történik.
(2) A jelen Szabályzat alkalmazása kötelező a személyes adatok bármely módon
történő gyűjtésére, az adatkezelés teljes folyamatára, az adatok törléséig,
megsemmisítéséig, avagy amíg az adatok anonimizálása meg nem történik.
4. § A Szabályzat hatálya alá tartozik az Adatkezelő által kezelt valamennyi
magánszemélyre vonatkozó személyes adat.
5. § A Szabályzat betartása az 1. § rendelkezésében megjelölt címzettek számára
kötelező.
6. § A jelen Szabályzat rendelkezéseit az Adatkezelő más szabályzatainak
rendelkezéseivel összhangba kell hozni. Amennyiben a Szabályzat és egyéb más
szabályzatok rendelkezései ugyanabban a tárgyban eltérően rendelkeznek, az
adatvédelmi tisztviselő állásfoglalását kell kikérni. Kétség esetén a jelen Szabályzat
rendelkezései alkalmazandók.
IV. Értelmező rendelkezések
(1) „Személyes adat”: azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó
bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett
módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online
azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális
vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
(2) „Adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem
automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés,
rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés,
felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel
útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
(3) „Adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal
együtt meghatározza.
(4) „Adatvédelmi megbízott”: az adatkezelési művelet végzésével érintett szervezeti egység
vezetője által az Adatvédelmi Tisztviselő javaslatának figyelembevételével kijelölt tisztviselő,
aki az adatvédelmi feladatok ellátásának önálló szervezeti egységen belüli felelőse.
5
(5) „Adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy
bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel
(6) „Adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró
adatfeldolgozó által végzett adatkezelési műveletek összessége.
(7) "címzett": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik
fél-e.
Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami
joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az
említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés
céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
(8) "harmadik fél": az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely
egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy
azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a
személyes adatok kezelésére felhatalmazást kaptak;
(9) „Profilalkotás”: a személyes adatok automatizált kezelésének bármely olyan formája, amelynek
során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes
jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez,
egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz,
viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy
előrejelzésére használják. (Profilalkotás törvényi felhatalmazás hiányában az Adatkezelő
tevékenységében nem megengedett.)
(10) „Az adatkezelés korlátozása”: a tárolt személyes adat megjelölése jövőbeli kezelésük
korlátozása céljából
(11) „Álnevesítés” (pszeudo-anonimizálás): személyes adat olyan módon történő kezelése, amely
további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat
mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt
külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy
azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet
kapcsolni;
(12) „Anonimizálás”: személyes adat olyan módon történő kezelése, amely következtében a
személyes adat kapcsolata a természetes személlyel már nem állítható helyre. Az adatvédelem
elveit ennek megfelelően az anonim információkra nem kell alkalmazni, a statisztikai vagy
kutatási célú adatkezelést is ideértve.
(13) „Nyilvántartási rendszer”: a személyes adatok bármely módon - centralizált, decentralizált
vagy funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely meghatározott
ismérvek alapján hozzáférhető.
(14) „Az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő
tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a
megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt
érintő személyes adatok kezeléséhez.
(15) „Adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé
tétele.
(16) „A személyes adatok különleges kategóriái”: a személyes adatok különleges kategóriáiba
tartozó minden adat, azaz a faji, etnikai származásra, politikai véleményre, vallási vagy
világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a
genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az
egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális
irányultságára vonatkozó személyes adatok,
6
(17) "genetikai adat": egy természetes személy örökölt vagy szerzett genetikai jellemzőire
vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi
állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes
személyből vett biológiai minta elemzéséből ered;
(18) „biometrikus adat": egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire
vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé
teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a
daktiloszkópiai adat;
(19) "egészségügyi adat": egy természetes személy testi vagy pszichikai egészségi állapotára
vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi
szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy
egészségi állapotáról;
(20) „Bűnügyi személyes adat”: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel
vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a
bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás
szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre
vonatkozó személyes adat.
(21) „Közérdekű adat”: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban
meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és
tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a
személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ
vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így
különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak
eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó
jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.
(22) „Közérdekből nyilvános adat”: a közérdekű adat fogalma alá nem tartozó minden olyan adat,
amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény
közérdekből elrendeli.
(23) „Adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem
lehetséges.
(24) „Nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele.
(25) „Adatmegjelölés”: az adat azonosító jelzéssel történő ellátása annak megkülönböztetése
céljából.
(26) „Adatmegsemmisítés”: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése.
(27) „Adatállomány”: az egy nyilvántartásban kezelt adatok összessége.
(28) „Tiltakozás”: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az
adatkezelés megszüntetését, illetve a kezelt adatok törlését kér.
(29) „Adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon
kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését,
megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést
eredményezi;
(30) „Adatfelelős”: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően
közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat
keletkezett;
(31) „Adatközlő”: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az
adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi.
7
(32) „Óraadó”: megbízási szerződés keretében legfeljebb heti tizennégy óra vagy foglalkozás
megtartására alkalmazott pedagógus, oktató.
(33) „Köznevelési alapfeladat”: a köznevelési intézmény alapító okiratában, szakmai
alapdokumentumában meghatározott köznevelési feladat.
(34) „Kiemelt figyelmet igénylő gyermek különleges bánásmódot igénylő gyermek, sajátos nevelési
igényű gyermek, beilleszkedési, tanulási, magatartási nehézséggel küzdő gyermek, kiemelten
tehetséges gyermek, a gyermekek védelméről és a gyámügyi igazgatásról szóló törvény szerint
hátrányos és halmozottan hátrányos helyzetű gyermek, tartós gyógykezelés alatt álló gyermek.
(35) beilleszkedési, tanulási, magatartási nehézséggel küzdő gyermek: az a különleges bánásmódot
igénylő gyermek, tanuló, aki a szakértői bizottság szakértői véleménye alapján az életkorához
viszonyítottan jelentősen alulteljesít, társas kapcsolati problémákkal, tanulási,
magatartásszabályozási hiányosságokkal küzd, közösségbe való beilleszkedése, továbbá
személyiségfejlődése nehezített vagy sajátos tendenciákat mutat, de nem minősül sajátos
nevelési igényűnek.
(36) sajátos nevelési igényű gyermek: az a különleges bánásmódot igénylő gyermek aki a szakértői
bizottság szakértői véleménye alapján mozgásszervi, érzékszervi (látási, hallási), értelmi vagy
beszédfogyatékos, több fogyatékosság együttes előfordulása esetén halmozottan fogyatékos,
autizmus spektrum zavarral vagy egyéb pszichés fejlődési zavarral (súlyos tanulási, figyelem-
vagy magatartásszabályozási zavarral) küzd.
(37) tanuló- és gyermekbaleset: minden olyan baleset, amely a gyermeket, a tanulót az alatt az idő
alatt vagy tevékenység során éri, amikor a nevelési-oktatási intézmény felügyelete alatt áll.
(38) Felügyeleti hatóság: Nemzetei Adatvédelmi és Információszabadság Hatóság 1055 Budapest,
Falk Miksa utca 9-11.
(39) Adatvédelmi tisztviselő (DPO): Adatvédelmi tisztviselő neve: Közinformatika Nonprofit Kft. E-
mail cím: dpo@kozinformatika.hu, levelezési cím: 1147 Budapest, Ilosvai Selymes utca 120.,
Telefonos elérhetősége: +36 1 786 23 63.
8
V. Az Adatkezelő adatkezelésének alapelvei
(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell
végezni ("jogszerűség, tisztességes eljárás és átláthatóság");
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék
ezekkel a célokkal össze nem egyeztethető módon; nem minősül az eredeti céllal össze nem
egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból
vagy statisztikai célból történő további adatkezelés ("célhoz kötöttség");
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a
szükségesre kell korlátozódniuk ("adattakarékosság");
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg
kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes
adatokat haladéktalanul töröljék vagy helyesbítsék ("pontosság");
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a
személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes
adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a
személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi
kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek
jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési
intézkedések végrehajtására is figyelemmel ("korlátozott tárolhatóság");
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések
alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok
jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy
károsodásával szembeni védelmet is ideértve ("integritás és bizalmas jelleg").
(2) A személyes adatok kezelését tisztességesnek és törvényesnek kell tekinteni, ha az érintett
véleménynyilvánítási szabadságának biztosítása érdekében az érintett véleményét megismerni
kívánó személy az érintett lakóhelyén vagy tartózkodási helyén felkeresi, feltéve, hogy az érintett
személyes adatait e törvény rendelkezéseinek megfelelően kezelik és a személyes megkeresés nem
üzleti célra irányul. A személyes megkeresésre a munka törvénykönyve szerinti munkaszüneti
napon nem kerülhet sor.
(3) Az alapelvek és a Szabályzat valamennyi rendelkezése betartásáért, a személyes adatok
kezelésének törvényességéért az Adatkezelő felelős. A felelőssége alapján a felügyeleti hatóság vagy
bíróság felhívására az Adatkezelő bizonyítja, hogy a személyes adatkezelés a törvényi
rendelkezéseknek megfelelő.
(4) Az Adatkezelő az adatkezelés jogszerűségét, átláthatóságát, illetve az adatkezelésre vonatkozó
rendelkezések betartását az adatvédelmi tisztviselő szakmai közreműködésével biztosítja. Az
adatvédelmi tisztviselőhöz bármely Érintett (pl. ügyfél, dolgozó) észrevétellel fordulhat. Az
adatvédelmi tisztviselő működésének szabályairól, feladatairól a jelen Szabályzat külön rendelkezik.
(5) A személyes adatok kezelése során az adatok személyes jellege megmarad mindaddig, amíg a
kapcsolata az érintettel helyreállítható.
(6) Az Adatkezelő az adatbiztonságra vonatkozó szabályzatában (Információbiztonsági
Szabályzat (IBSZ)) rendelkezik részletesen azokra a szabályokra nézve, amelyek az adatkezelés
során arra alkalmas műszaki vagy szervezési - így különösen az adatok jogosulatlan vagy jogellenes
kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet
kialakító - feltételek meghatározásával biztosítják a személyes adatok és az adatkezelés megfelelő
biztonságát.
(7) Az Adatkezelő az átlátható és tisztességes eljárás érdekében az általa kezelt személyes
adatokról, adatkezelési folyamatokról nyilvántartást vezet (Személyesadat-térkép). A nyilvántartás
tételesen tartalmazza a személyes adatokat, adatkezelési folyamatokat az adatkezelést ténylegesen
végző szervezeti egység megjelölésével, továbbá egyéb olyan adatokat, amelyek biztosítják, hogy az
9
Adatkezelő a személyes adatok kezelését a törvényi kötelezettségeket maradéktalanul betartva
végzi.
(8) Amennyiben az Adatkezelő más szabályzatai kifejezetten eltérően nem rendelkeznek, az
általuk nem szabályozott személyes adatok kezelésére, védelmére vonatkozó kérdésekben a jelen
Szabályzat rendelkezései alkalmazandóak.
VI. Az Adatkezelő adatvédelmi szervezete
1. § Az adatvédelmi szabályok betartatásáért az Adatkezelő vezetője felel, aki jogosult az
adatvédelem és adatkezelés belső szabályait meghatározni, szervezeti rendjét meghatározni,
a vezetése alá tartozó bármely személynek egyedi utasítást adni, tájékoztatást kérni, illetve,
bármely kérdésben az adatvédelmi tisztviselő írásbeli vagy szóbeli álláspontját, javaslatát
kikérni. Az Adatkezelő vezetője a folyamatba épített adatvédelem útján ellenőrzi az
adatkezelés jogszerűségét, az adatvédelmi szabályok maradéktalan betartását.
2.§ A szervezeti egységek jogszerű adatkezelési gyakorlatának biztosításáért, az önálló
szervezeti egység dolgozói részéről az adatvédelmi, adatkezelési szabályok betartatásáért a
szervezeti egység vezetője felelős. A vezetők jogosultak az Adatvédelmi Tisztviselő tanácsát,
javaslatát, véleményezését kérni.
3.§ Az Adatvédelmi Tisztviselőhöz a kompetenciájába tartozó ügyekben bármely dolgozó
fordulhat indokolt esetben.
4.§ Az Adatvédelmi Tisztviselő rendszeresen tájékozódik az adatvédelmi és adatkezelési
szabályok betartásáról, illetve a saját éves ellenőrzési terve vagy az Adatkezelő vezetőjének
felkérése alapján, továbbá minden olyan esetben amikor ezt az Adatvédelmi Tisztviselő a
jogszerű feladatellátásához szükségesnek tartja, ellenőrzést tart, értékeli a szervezeti
egységek adatvédelmi-adatkezelési gyakorlatát. A tapasztaltak alapján ajánlásokat fogalmaz
meg, valamint mérlegeli, hogy szükséges-e soron kívüli ismeretbővítő oktatás tartása, ha
igen, a vezetőknek vagy a dolgozók mely körének.
5.§ Az Adatkezelő dolgozóinak kötelezettsége a jelen Szabályzat előírásainak maradéktalan
betartása. (Erről nyilatkoznak az adatvédelmi és adatkezelési szabályok megismeréséről
szóló dokumentum aláírásával)
6.§ A vezetők és az Adatkezelő dolgozói kötelesek tájékoztatni az Adatvédelmi Tisztviselőt
bármely általuk észlelt adatvédelmi, adatkezelési problémáról.
7.§ Az adatkezelő dolgozóinak kötelezettsége, hogy észrevétel esetén az adatkezeléssel
kapcsolatosan feltárt visszásságot haladéktalanul megszüntessék.
8.§ Az Adatvédelmi Tisztviselő együttműködik az IBF-fel (továbbiakban: Információbiztonsági
Felelős). Az Adatkezelő vezetői, az Adatvédelmi Tisztviselő és az Információbiztonsági
Felelős szükség szerinti rendszerességgel együttesen értékelik az Adatkezelő Adatbiztonsági
Szabályzatában meghatározottak érvényesülését, illetve az adatvédelem szintjéhez
szükséges, továbbá az adatkezeléshez kapcsolódó érintetti jogok gyakorlásához szükséges
informatikai háttér biztosítására vonatkozó szabályokat.
10
VII. A személyes adatok kezelésének törvényes alapjai
1.§ Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból, kezelhető. A jelen
szakaszban felsorolt, bármely törvényi feltétel teljesülése biztosítja az adatkezelés kellő jogi
alapját.
2.§ Az adatkezelés jogalapja lehet:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból
történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik
fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések
megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú
érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány
gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez
szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan
érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik
szükségessé, különösen, ha az érintett gyermek.
Az első f) pont nem alkalmazható a közhatalmi szervek által feladataik ellátása során
végzett adatkezelésre.
A c) és e) pont szerinti adatkezelés jogalapját a következőknek kell megállapítania:
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az e) pontban
említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy
az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat
végrehajtásához. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és
arányosnak kell lennie az elérni kívánt jogszerű céllal.
3.§ Az Adatkezelő automatizált adatkezelést döntés meghozatala érdekében nem folytat.
4.§ Különleges személyes adat
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre
vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek
egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a
természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes
adatok kezelése tilos.
5.§ Az Adatkezelő az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában
meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a kezelendő
adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az
adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségességét időszakosan
felülvizsgálja, a felülvizsgálatot az adatkezelést elrendelő törvény, illetve önkormányzati
rendelet határozza meg.
Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát
törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem
határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente
felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró
11
adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának
megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az
adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig
megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban:
Hatóság) kérésére a Hatóság rendelkezésére bocsátja.
6.§ Az Adatkezelő az általa kezelt személyes adatokról, az adatok típusának megjelölésével,
részletes nyilvántartást vezet a személyes adatkezelés átláthatóságának biztosítása
érdekében a törvényi kötelezettséggel összhangban. A nyilvántartásokat az Adatvédelmi
Tisztviselő vezeti a szervezeti egységek vezetői által szolgáltatott adatok alapján.
12
VIII. Az Érintettek tájékoztatása
1.§ Az Adatkezelő feladatainak ellátása során az érintetteket az egyes adatkezelésekről külön
adatkezelési tájékoztatók útján tájékoztatja.
2.§ A tájékoztatás megtörténtét az Érintettnek igazolnia kell aláírásával, kijelentve, hogy a
tájékoztatást megismerte, megértette. A tájékoztatásnak az érintett jogairól és a
jogorvoslat lehetőségeiről is részletesen ki kell térnie.
3.§ Minden ügyintézéshez, adatkezeléséhez vizsgálni kell, hogy a már meglévő tájékoztatás
megfelelő-e, alkalmazható-e, mint teljes körű tájékoztatás. Amennyiben az adott ügyben
igazoltan nem áll rendelkezésre megfelelő és teljes körű tájékoztatás, a tájékoztatást
kötelező megadni.
4.§ Az Adatkezelő az ügyintézési eljárásaiban valamennyi ügyben alkalmazott tájékoztatást
elsődlegesen írásban, közérthető és egyszerű megfogalmazással kell, hogy kialakítsa.
Törekedni kell a tájékoztató tömörségére. A tájékoztatók tartalmi kialakításáért az
Adatvédelmi Tisztviselő felel. A tájékoztatók alkalmazását az önálló szervezeti egységek
vezetői ellenőrzik.
5.§ Az Érintettnek a jogai gyakorlásához a tájékoztatására vonatkozó valamennyi rendelkezés
betartása kiemelten fontos, egyúttal az Adatkezelő jogszerű feladatellátásának a
bizonyítására szolgáló eljárás, amely az Adatkezelő kiemelt érdeke, ennek megfelelően
betartása valamennyi dolgozó számára kötelező. (Érintetti kérelem kezelésének
eljárásrendje)
6.§ Új tájékoztató tartalmára az adott ügy, ügyek, ügytípusok intézésére kellő tapasztalattal
rendelkező ügyintéző tesz javaslatot, amelyet az önálló szervezeti egység vezetője hagy
jóvá az Adatvédelmi Tisztviselő álláspontjának kikérésével, szükség szerinti
közreműködésével. A tájékoztató kötelező bevezetéséről az Adatkezelő vezetője dönt.
IX. A tájékoztatás minimális tartalma
1. § Az egyes tájékoztatókban az alábbi információkat kell rendelkezésre bocsátani:
A. Rendelkezésre bocsátandó információk, tájékoztatás, ha a személyes adatokat az érintettől
gyűjtik:
Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a
személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a
következő információk mindegyikét:
a. az adatkezelőnek és az adatkezelő képviselőjének a kiléte és elérhetőségei;
b. az adatvédelmi tisztviselő elérhetőségei,
c. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d. a GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az
adatkezelő vagy harmadik fél jogos érdekei;
e. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái,
f. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy
nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
g. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen
időtartam meghatározásának szempontjai;
h. az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó
személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy
kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,
valamint az érintett adathordozhatósághoz való jogáról;
13
i. a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a)
pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő
visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás
alapján végrehajtott adatkezelés jogszerűségét;
j. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
k. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses
kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az
érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges
következményeikkel járhat az adatszolgáltatás elmaradása;
l. automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább
ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető
információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve
milyen várható következményekkel bír.
Az 1. § A. pontja nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az
információkkal.
B. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől
szerezték meg
Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett
rendelkezésére bocsátja a következő információkat:
a. az adatkezelőnek és - ha van ilyen - az adatkezelő képviselőjének a kiléte és
elérhetőségei;
b. az adatvédelmi tisztviselő elérhetőségei,
c. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés
jogalapja;
d. az érintett személyes adatok kategóriái;
e. a személyes adatok címzettjei, illetve a címzettek kategóriái;
f. adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli
címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a
személyes adatokat
g. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen
időtartam meghatározásának szempontjai;
h. ha az adatkezelés a GDPR 6. cikk (1) bekezdésének f) pontján alapul, az
adatkezelő vagy harmadik fél jogos érdekeiről;
i. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó
személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy
kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen,
valamint az érintett adathordozhatósághoz való joga;
j. a GDPR 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének
a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban
való visszavonásához való jog, amely nem érinti a visszavonás előtt a
hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
k. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
l. a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan
hozzáférhető forrásokból származnak-e; és
m. automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint
legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó
érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az
érintettre nézve milyen várható következményekkel bír.
Az 1. § B. pontját nem kell alkalmazni, ha és amilyen mértékben
a) az érintett már rendelkezik az információkkal;
14
b) a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy
aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából,
tudományos és történelmi kutatási célból vagy statisztikai célból, a GDPR 89. cikk (1)
bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés
esetében, vagy amennyiben az e cikkben említett kötelezettség valószínűsíthetően
lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését.
Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia - az
információk nyilvánosan elérhetővé tételét is ideértve - az érintett jogainak,
szabadságainak és jogos érdekeinek védelme érdekében;
c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó
uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló
megfelelő intézkedésekről rendelkezik; vagy
d) a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási
kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is,
bizalmasnak kell maradnia.
2.§ A tájékoztatás módjai:
a) Az Érintett - ügyfél - személyes eljárása esetén írásbeli tájékoztatót kell átadni, amely
átolvasása után az Érintett (ügyfél) aláírásával igazolja, hogy azt megismerte. Az aláírásával
igazolja a tájékoztató tartalmának megértését és tudomásulvételét.
b) Amennyiben az Érintett - ügyfél - az ügyintézés megindítását postai úton megküldött
levélben kéri, postafordultával, szintén postai úton kell számára a tájékoztatót megküldeni,
arra történő figyelmeztetéssel, hogy a tájékoztató tudomásulvételének igazolása az
ügyintézés megindításának feltétele.
c) E-mailben akkor lehet a tájékoztatót megküldeni, ha az Érintett maga is e-mailben
kezdeményezte az ügyintézést, de a tájékoztató visszaküldése csak postai úton vagy
személyes, illetve meghatalmazott személyes eljárásával lehetséges.
d) Telefonon csak abban az esetben adható tájékoztatás, ha az Érintett telefonon kezdeményezi
az ügyintézést, különösen, ha az ügyintézés érdemi megindítását megelőzően érdeklődik,
avagy az ügytípus olyan, általános vagy gyakran ismétlődő eljárást tesz lehetővé, amelyre
nézve a tájékoztatás tartalma nem tekinthető specifikusnak, illetve egyértelműen
megállapítható, hogy az ügyfelek számára ismert tartalommal bír. Ha az Érintett kérelme
telefonon elintézhető, a tájékoztatás megtörténtének tényét, módját akkor kell rögzíteni, ha
a telefonon való megkeresésről írásban legalább feljegyzés történik.
3.§ Az Adatvédelmi Tisztviselőnek törekednie kell arra, hogy ösztönözze a dolgozók az
adatkezelési folyamatok kapcsán az egyszerű, könnyen kezelhető és érvényesíthető
tájékoztatók alkalmazását, ennek megfelelően a tájékoztatókat lehetőség szerint az
ügyintézés megindításához kitöltendő nyomtatvány – elkülönült – részeként kell kialakítani.
4.§ Az Adatkezelő adatkezelési folyamat egyszerűsítése érdekében törekedni kell arra, hogy az
Adatkezelő hivatalos weboldalán részletes, általános tájékoztató és minél több olyan
adatkezelési, adatvédelmi információ elérhető legyen, amely egy-egy ügytípusra vonatkozik.
Az ügytípusok leírásánál, így különösen, ha az adott ügytípus körében az ügyintézés
megindításához űrlap, nyomtatvány is elérhető, ki kell alakítani, hogy a honlapon
hozzáférhető releváns adatvédelmi-, adatkezelési szabályok közvetlenül a leírások, űrlapok
megfelelő részére való koppintással (link beiktatásával) elérhetőek legyenek.
5.§ A tájékoztatást bármely módon történik, úgy kell megtenni, hogy utólagosan is bizonyítható
legyen.
6.§ Amennyiben az ügyintézés megkezdését megelőzően az érintett számára adott
tájékoztatáshoz képest az ügyintézés során a korábbi tájékoztatás bármely elemében változás
következett be, az ilyen körülményekről az Érintettet tájékoztatni kell.
7.§ Ha az Adatkezelő jogszerű eljárása körében a személyes adatokat más célra kívánja használni,
mint amilyen célból az adatokat beszerezte, az adatkezelés előtt ismét meg kell adni a jelen
15
cím szerinti tartalommal a tájékoztatót, amelyben az új cél szerepel. Ismételt tájékoztatás
nélkül az adatkezelés megkezdése tilos.
8.§ Az érintett azonosítása:
(1) A személyesen eljáró érintettől személyi azonosító okmány, lakcímkártya vagy útlevél
együttes megtekintésével és tartalmának rögzítésével lehet az azonosítást elvégezni.
(2) Igazolványt, okmányt fénymásolni, avagy bármely kép eszközzel, képfelvevővel a
lefényképezni tilos.
(3) Amennyiben bármely korábban felvett aktában ilyen dokumentum található, annak
észlelése esetén az igazolvány tartalmát rögzíteni kell, a képet (fénymásolt képet,
fényképet stb.) pedig haladéktalanul meg kell semmisíteni. A megsemmisítésről
jegyzőkönyvet kell felvenni.
X. Az érintett adatkezeléssel összefüggő jogairól
1.§ Érintett tájékoztatáshoz való joga
Az Adatkezelő a VII. és VIII. címben rögzített intézkedéseket hozta annak érdekében, hogy az érintett
részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben említett valamennyi
információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően
megfogalmazva nyújtsa.
2.§ Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy
személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult
arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
az adatkezelés céljai;
az érintett személyes adatok kategóriái;
azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat
közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a
nemzetközi szervezeteket;
adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem
lehetséges, ezen időtartam meghatározásának szempontjai;
az érintett azon joga, hogy kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatok
helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes
adatok kezelése ellen;
a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető
információ;
automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az
esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen
adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható
következményekkel jár.
3.§ Érintett helyesbítéshez való joga
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a
rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett
jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján
történő – kiegészítését.
4.§ Érintett törléshez való joga („az elfeledtetéshez való jog”)
Az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá
vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó
személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
16
a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más
módon kezelték;
az érintett visszavonja a hozzájárulását, és az adatkezelésnek nincs más jogalapja;
az érintett a tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az
adatkezelésre;
a személyes adatokat jogellenesen kezelték;
a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi
kötelezettség teljesítéséhez törölni kell;
A törlés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog
szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott
közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
a népegészségügy területét érintő közérdek alapján;
a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai
célból, amennyiben a törlési jog valószínűsíthetően lehetetlenné tenné vagy komolyan
veszélyeztetné ezt az adatkezelést; vagy
jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
Törlés esetén az összes kezelt adatot törölni kell.
5.§ Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak
valamelyike teljesül:
az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az
időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes
adatok pontosságát;
az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok
felhasználásának korlátozását;
az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az
érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra
vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget
élveznek-e az érintett jogos indokaival szemben.
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az
érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez,
vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely
tagállam fontos közérdekéből lehet kezelni.
Az Adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés
korlátozásának feloldásáról előzetesen tájékoztatja.
Az adatkezelés korlátozását esetében a személyes adatokon további adatkezelési műveletek nem
végezhetők.
6.§ Érintett adathordozhatósághoz való joga
Az Érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott
személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja,
továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt
akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.
Érintett jogosult arra, hogy kérje a személyes adatok adatkezelők közötti közvetlen továbbítását,
amely kérést teljesíteni kell.
7.§ Érintett tiltakozáshoz való joga
Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetükre vonatkozó
adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az
adatkezelésre közérdekből vagy az Adatkezelőre ruházott közhatalmi jogosítvány gyakorlása
keretében végzett feladat végrehajtásához, illetve az Adatkezelő vagy egy harmadik fél jogos érdekei
alapján van szükség.
17
8.§ Érintett jogainak gyakorlása esetében alkalmazandó eljárás
Amennyiben bármely érintetti jogot érintő kérelem érkezik, arról az adatok kezelését ténylegesen
végző tisztviselő, ügyintéző haladéktalanul köteles felettesét értesíteni.
Az adatok kezelését ténylegesen végző tisztviselő, ügyintéző felettese haladéktalanul felveszi a
kapcsolatot az Adatvédelmi Tisztviselővel, akivel közösen javaslatot tesznek a megkeresésre,
kérelemre adandó válaszra, amelyet az Adatkezelő vezetője elé terjesztenek. A válasz jóváhagyása az
Adatkezelő vezetőjének felelőssége.
Az érintetti jogokat érintő kérelmek esetében az alábbiakat kell figyelembe venni:
Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított
egy hónapon belül köteles tájékoztatni az érintettet a kérelem nyomán hozott intézkedésekről.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő
további két hónappal meghosszabbítható.
Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint
elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
Az Adatkezelő a tájékoztatást a kérelem beérkezésétől számított 1 hónapon belül, a kérelemmel
megegyező formában, írásban postai vagy elektronikus úton, díjmentesen köteles megadni.
Ha az Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de
legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az
intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely
felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Ha az érintett kérelme egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt -
túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért
intézkedés meghozatalával járó adminisztratív költségekre:
a) észszerű összegű díjat számíthat fel, vagy
b) megtagadhatja a kérelem alapján történő intézkedést.
A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.
Díj meghatározása esetén az Adatkezelő vezetője külön rendelkezést hoz a tárgyban, amely
részletesen és pontosan meghatározza a díjfizetéssel érintett eseteket és feltételeket, valamint a
felszámítható díjak összegét.
Ha az Adatkezelő ügyintézőjének megalapozott kétségei vannak a kérelmet benyújtó természetes
személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez
szükséges információk nyújtását kérheti.
Az Adatkezelő az adatok kezelését ténylegesen végző dolgozó biztosítja, hogy az Érintett számára
bármely értesítés, tájékoztatás könnyen hozzáférhető és olvasható formában, tömör, világos és
közérthetően megfogalmazott tartalmú legyen.
Az Érintett jogai gyakorlásának korlátozásához vagy teljesítésének megtagadásához, az Adatkezelő
vezetőjének az Adatvédelmi Tisztviselő álláspontjának kikérését követően meghozott döntése
szükséges.
A döntésről tájékoztatni kell az Érintettet, továbbá a jogi, ténybeli indokokról, az őt megillető
jogokról és a jogorvoslati lehetőségekről.
XI. Hozzájárulás
1.§ A hozzájárulással az Érintett önkéntes, egyértelmű és kifejezett hozzájárulását adja a
személyes adatai kezeléséhez abban az esetben, ha a személyes adatok kezelésének
jogalapja az érintett hozzájárulása. A hozzájárulás előfeltétele, az Érintett megfelelő és teljes
18
körű tájékoztatása. A közérthető, egyszerű és teljeskörű tájékoztatás elmaradása esetén az
Érintett hozzájáruló nyilatkozata nem tekinthető érvényesnek.
2.§ Ha az adatkezelés hozzájáruláson alapul, az Adatkezelőnek képesnek kell lennie annak
igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
3.§ Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más
ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen
megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában,
világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat
bármely olyan része, amely sérti a GDPR előírásait, kötelező erővel nem bír.
4.§ Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás
visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés
jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A
hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak
megadását
5.§ Az hozzájárulás érvényességét nem érinti, ha az Érintett a feltételek biztosítása ellenére a
tájékoztatót, vagy az annak megismeréséről szóló nyilatkozatot annak részletes elolvasása
nélkül írja alá.
6.§ Amennyiben az Érintett által indított ügyben – amely esetében az adatkezelés jogalapja a
hozzájárulás - más nagykorú személy is érintett (különösen az Érintett hozzátartozója), az
adatkezeléshez a hozzájárulást ezen személynek is meg kell adnia a tájékoztató alapján,
amelyet – ha a további érintett nem személyesen teszi meg a hozzájáruló nyilatkozatát –
legalább teljes bizonyító erejű magánokiratba kell foglalni.
7.§ Minden olyan esetben amikor a tájékoztatás tudomásulvétele, avagy a külön hozzájárulás
szükségessége kérdéses, az Adatvédelmi Tisztviselő álláspontját ki kell kérni. A kérdésben a
szervezeti egységek vezetői, illetve az Adatkezelő vezetője döntenek.
XII. Az érintett természetes személyekre vonatkozó különleges személyes
adatok köre és az adatkezelés különös szabályai
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy
szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi
azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes
személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése
főszabály szerint tilos.
Mindez nem alkalmazandó abban az esetben, ha:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét
célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy a
tilalom nem oldható fel az érintett hozzájárulásával;
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális
biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei
teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és
érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a
tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez
szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a
hozzájárulását megadni;
e) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány,
egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett
19
jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag
az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a
szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a
személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a
szervezeten kívüli személyek számára;
f) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten
nyilvánosságra hozott;
g) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez
szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
h) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely
arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog
lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és
konkrét intézkedéseket ír elő;
i) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a
munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása,
egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális
rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog
alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a GDPR-ban
említett feltételekre és garanciákra figyelemmel;
j) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a
határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az
egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és
biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely
megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő
garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
k) az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból
vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az
elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges
tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét
intézkedéseket ír elő;
XIII. Adattovábbításra vonatkozó rendelkezések
1.§ Személyes adatok továbbítását, közérdekű adatok közlését (a továbbiakban:
adattovábbítást) kizárólag erre jogosult, az Adatkezelő foglalkoztatásában levő személyek
végezhetnek.
2.§ Az Adatkezelő adatkezeléseiből személyes adatot továbbítani az érintett hozzájárulásának
hiányában csak jogszabályban meghatározott szervek részére, csak a törvényben
meghatározott adatkörben lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével.
Az Adatkezelő csak olyan személyes adatot továbbíthat, amelynek az Adatkezelő az
adatkezelője.
3.§ Az adattovábbítás feltételeit (jogalap, célhoz kötöttség, adatbiztonság) az adatot továbbító
minden esetben ellenőrizni köteles.
4.§ Az adattovábbítási kérelem elbírálása kétség esetén - a törvényben kötelezően előírt
adattovábbítás esetét kivéve – az Adatkezelő vezetőjének hatáskörébe tartozik.
XIV. Adatfeldolgozók, adatfeldolgozás
1.§ Az Adatkezelő kötelezettsége, hogy biztosítsa a személyes adatok védelmét olyan esetben is,
amikor az adatok kezelését adatfeldolgozó végzi.
20
2.§ Az Adatkezelő az adatfeldolgozóval szerződést köt, amelyben meg kell állapodni az
adatfeldolgozás pontos feltételeiről, az átadásra kerülő adatok köréről, továbbá
hangsúlyosan annak biztosításáról, hogy az adatfeldolgozó valamennyi törvényi rendelkezés
betartásával jár el, a szerződés kötelező elemeit a GDPR 28. cikke tartalmazza.
3.§ Az Adatkezelő, mint adatkezelő felelőssége meghatározni azokat a feltételeket, amelyek
ellenőrizhető és átlátható módon biztosítják az adatfeldolgozás törvényességét az
adatfeldolgozási tevékenység valamennyi részletében és teljes időtartamában. Ez
adatvédelmi és adatbiztonsági feltételek meghatározását egyaránt magában foglalja.
4.§ Az Adatkezelő jogosult továbbá megbizonyosodni az adatfeldolgozók jogszabálynak való
megfelelősségéről is.
5.§ Az adatkezelés során az adatfeldolgozó igénybevételéről tájékoztatni kell az Érintetett.
6.§ Az Érintett hozzájárulása az adatfeldolgozó igénybevételéhez nem szükséges.
7.§ Az adatfeldolgozókkal megkötendő szerződések részletes és minimális tartalmi feltételeiről
a „Adatkezelő/adatfeldolgozó egyezség eljárásrendje” rendelkezik, az adatfeldolgozóval
megkötendő mintaszerződést a „Adatfeldolgozói szerződésminta” tartalmazza.
Az adatfeldolgozó törvényes működésének, illetve az adatfeldolgozói szerződés betartásának
ellenőrzésére a „Adatfeldolgozók biztonsági ellenőrzésének eljárásrendje” előírásai
vonatkoznak.
8.§ Az adatfeldolgozókról részletes nyilvántartást kell vezetni az adatkezelés átláthatósága
érdekében. Ezt a nyilvántartást az Adatvédelmi Tisztviselő vezeti az Adatkezelő által
nyújtott információk alapján.
XV. Közös adatkezelők
1.§ Közös adatkezelés akkor valósul meg, ha az adatkezelés céljait és eszközeit két vagy több
adatkezelő közösen határozza meg.
2.§ A közös adatkezelők az adatkezelés tekintetében az Érintettekkel történő kapcsolattartásra,
kapcsolattartót jelölnek ki. A kapcsolattartó kijelölése nem érinti az Adatkezelők
felelősségét.
3.§ A közös adatkezelést valamennyi adatkezelő a közöttük létrejött megállapodás szerint végzi,
a felelősségük a megállapodásban meghatározott feladatmegosztásnak megfelelő. A
megállapodás érdemi részét az Érintettekkel ismertetni kell.
4.§ A közös adatkezelői megállapodás, illetve a közös adatkezelés ténye az érintett számára a
jogai gyakorlása vonatkozásában nem lehet terhesebb. Erre tekintettel az Érintett bármely
adatkezelő felé joghatályosan megteheti mindazt, illetve élhet valamennyi törvényes jogával
ugyanúgy, mintha egy adatkezelő végezné a személyes adatok kezelését.
XVI. További ügymenetek: panasz, észrevétel
1.§ Személyes adatok kezelését, védelmét érintő kérdésekben panasz benyújtása esetén a
panasz előzetes megvizsgálása arra irányul, hogy az abban foglaltak alapján szükséges-e a
panasz tárgyában vizsgálatot lefolytatni. Amennyiben igen, az érintettet tájékoztatni kell
erről a tényről és egyúttal a kivizsgáláshoz szükséges személyes adatok köréről.
2.§ Amennyiben a panasz kivizsgálásának ügymenetében az Érintett hozzájárulásának
megadása nem mellőzhető, a tájékoztatásnak erre ki kell térnie, azzal, hogy az érintett
bármikor jogosult visszavonni a kivizsgáláshoz szükséges személyes adatai kezeléséhez
adott hozzájárulását.
3.§ Amennyiben a panasz olyan tárgyra irányul, amelynek kivizsgálása az Adatkezelő számára
kötelező, különösen, ha más személyt, ügyintézést (az Adatkezelő kötelezettségét) is érint,
21
ezt a tényt a tájékoztatónak tartalmaznia kell, egyúttal az arra való figyelmeztetést is, hogy
az érintett a hozzájárulását nem vonhatja vissza, a panasz kivizsgálását nem szakíthatja meg.
4.§ Észrevétel megtétele esetén a tartalom szerinti elbírálás elvének megfelelően, a panaszra
irányadó szabályokat kell alkalmazni.
5.§ Amennyiben a panasz vagy észrevétel olyan tartalmú, amely nem igényli az ügyfél személyes
adatainak kezelését, az adatkezelésre vonatkozó tájékoztatót nem kell kiadni.
6.§ Az Adatvédelmi Tisztviselő a hozzá benyújtott panaszokat kivizsgálja és az ügyről,
intézkedési javaslatával együtt, tájékoztatja az Adatkezelő vezetőjét. Amennyiben a panaszt
vagy észrevételt valamely szervezeti egységhez terjesztik elő, a szervezeti egység vezetője
továbbítja az Adatvédelmi Tisztviselőnek.
7.§ Az adatvédelem, adatkezelés körét érintő beadványokról (kérdések, észrevételek, panaszok,
kérelmek, követelések) az Adatvédelmi Tisztviselő nyilvántartást vezet, az Adatkezelő által
nyújtott információk alapján. A nyilvántartás mintalapjaként a „Érintetti adatvédelemmel
kapcsolatos kérelem nyilvántartás” dokumentum szolgál.
XVII. Köznevelési intézmények adatkezelése
1.§. A 2011. évi CXC. a nemzeti köznevelésről szóló törvény rögzíti a köznevelési intézmények
adatkezelésre vonatkozó szabályokat.
2.§ A köznevelési intézmény a gyermek alábbi adatait tartja nyilván:
- a gyermek, tanuló neve, születési helye és ideje, neme, állampolgársága, lakóhelyének,
tartózkodási helyének címe, társadalombiztosítási azonosító jele, nem magyar
állampolgár esetén a Magyarország területén való tartózkodás jogcíme és a
tartózkodásra jogosító okirat megnevezése, száma,
- szülője, törvényes képviselője, a családi pótlékra jogosult neve, lakóhelye, tartózkodási
helye, telefonszáma,
- a gyermek óvodai fejlődésével kapcsolatos adatok,
- a gyermek óvodai jogviszonyával, a tanuló tanulói jogviszonyával kapcsolatos adatok
- felvételivel kapcsolatos adatok,
- az a köznevelési alapfeladat, amelyre a jogviszony irányul,
- jogviszony szünetelésével, megszűnésével kapcsolatos adatok,
- a gyermek mulasztásával kapcsolatos adatok,
- kiemelt figyelmet igénylő gyermekre vonatkozó adatok,
- gyermekbalesetre vonatkozó adatok,
- a gyermek oktatási azonosító száma,
- mérési azonosító,
- a gyermek, tanuló után családi pótlékra jogosult személy nevét, lakóhelyét, tartózkodási
helyét, telefonszámát, ha ez a személy nem a gyermek, tanuló szülője, törvényes
képviselője.
3.§. - Ha a szülő, törvényes képviselő a családi pótlékra jogosult nevét, lakóhelyét, tartózkodási
helyét, telefonszámát nem adja meg az óvodának, akkor az óvoda, ezeket az adatokat a
családtámogatási ügyben eljáró hatóságtól szerzi be.
4.§ A személyes adatok védelmére vonatkozó célhoz kötöttség megtartásával - továbbíthatók a
fenntartónak, a kifizetőhelynek, a bíróságnak, rendőrségnek, ügyészségnek, a közneveléssel
összefüggő igazgatási tevékenységet végző közigazgatási szervnek, a munkavégzésre vonatkozó
rendelkezések ellenőrzésére jogosultaknak, a nemzetbiztonsági szolgálatnak.
5.§. A gyermek adatai közül
- a neve, születési helye és ideje, lakóhelye, tartózkodási helye, szülője neve, törvényes
képviselője neve, szülője, törvényes képviselője lakóhelye, tartózkodási helye és
telefonszáma, jogviszonya kezdete, szünetelésének ideje, megszűnése, egyéni
munkarendje, mulasztásainak száma a tartózkodásának megállapítása, a jogviszonya
fennállásával, a tankötelezettség teljesítésével összefüggésben a fenntartó, bíróság,
22
rendőrség, ügyészség, települési önkormányzat jegyzője, közigazgatási szerv,
nemzetbiztonsági szolgálat részére,
- óvodai felvételével, átvételével kapcsolatos adatai az érintett óvodához,
- a neve, születési helye és ideje, lakóhelye, tartózkodási helye, társadalombiztosítási
azonosító jele, szülője, törvényes képviselője neve, szülője, törvényes képviselője
lakóhelye, tartózkodási helye és telefonszáma, az óvodai egészségügyi dokumentáció, a
gyermekbalesetre vonatkozó adatok az egészségi állapotának megállapítása céljából az
egészségügyi feladatot ellátó intézménynek,
- a neve, születési helye és ideje, társadalombiztosítási azonosító jele, lakóhelye,
tartózkodási helye, szülője, törvényes képviselője neve, szülője, törvényes képviselője
lakóhelye, tartózkodási helye és telefonszáma, a gyermek, a kiemelt figyelmet igénylő
gyermekre, tanulóra vonatkozó adatok a veszélyeztetettségének megelőzése, feltárása,
megszüntetése céljából a családvédelemmel foglalkozó intézménynek, szervezetnek,
gyermek- és ifjúságvédelemmel foglalkozó szervezetnek, intézménynek,
- az igényjogosultság elbírálásához és igazolásához szükséges adatai az igénybe vehető
állami támogatás igénylése céljából a fenntartó részére, továbbítható.
6.§. A gyermek
- sajátos nevelési igényére, beilleszkedési, tanulási, magatartási nehézségére, tartós
gyógykezelésére vonatkozó adatai, továbbá a gyermek speciális köznevelési ellátásához
elengedhetetlenül szükséges szakorvosi diagnózisának adatai a pedagógiai szakszolgálat,
a nevelési-oktatási intézmények és az egészségügyi szakellátó között,
- óvodai fejlődésével, valamint az iskolába lépéshez szükséges fejlettségével kapcsolatos
adatai a szülőnek, a pedagógiai szakszolgálat intézményeinek, az iskolának, továbbítható.
7.§ A nevelési-oktatási intézmény nyilvántartja továbbá azokat az adatokat, amelyek a
jogszabályokban biztosított kedvezményekre való igényjogosultság elbírálásához és
igazolásához szükségesek. E célból azok az adatok kezelhetők, amelyekből megállapítható a
jogosult személye és a kedvezményre való jogosultsága.
8.§ A köznevelési intézmény a nyilvántartott gyermekre vonatkozó adatokat a jogviszony
megszűnésétől számított tíz évig, az alkalmazottak, óraadók adatait a jogviszony
megszűnésétől számított öt évig kezeli. Az önkéntes adatszolgáltatásra vonatkozó szülői
engedélyt az elévülési idő végéig nyilván kell tartani.
9.§. A pedagógust, a nevelő és oktató munkát közvetlenül segítő alkalmazottat, továbbá azt, aki
közreműködik a gyermek felügyeletének az ellátásában, hivatásánál fogva harmadik
személyekkel szemben titoktartási kötelezettség terheli a gyermekkel és családjával
kapcsolatos minden olyan tényt, adatot, információt illetően, amelyről a gyermekkel,
tanulóval, szülővel való kapcsolattartás során szerzett tudomást.
E kötelezettség a foglalkoztatási jogviszony megszűnése után is határidő nélkül fennmarad. A
titoktartási kötelezettség nem terjed ki a nevelőtestület tagjainak egymás közti, valamint a
gyermekvédelmi jelzőrendszer tagjaival történő, a tanuló fejlődésével összefüggő
megbeszélésre.
A gyermek szülőjével minden, a gyermekével összefüggő adat közölhető, kivéve ha az adat
közlése súlyosan sértené a gyermek testi, értelmi vagy erkölcsi fejlődését.
A pedagógus, a nevelő és oktató munkát közvetlenül segítő alkalmazott a nevelési-oktatási
intézmény vezetője útján köteles a gyermekek védelméről és a gyámügyi igazgatásról szóló
1997. évi XXXI. törvény 17. § (2) bekezdésében foglaltak szerint eljárni. Ebben a helyzetben
az adattovábbításhoz az érintett, valamint az adattal kapcsolatosan egyébként rendelkezésre
jogosult beleegyezése nem szükséges.
10.§. A pedagógiai szakszolgálati tevékenységek során alkalmazott INYR a gyermekek teljes körű
pedagógiai szakszolgálati ellátása, fejlődésük figyelemmel kísérése céljából a gyermekekhez
kapcsolódóan, a számukra ellátást nyújtó intézmények, nevelési-oktatási intézmények és a
pedagógiai szakszolgálati intézmények feladatellátási adatainak nyilvántartását, továbbá az
ellátást igénybevevők ellátási eseményeinek nyomon követését szolgáló országos
informatikai nyilvántartó rendszer.
23
11.§ Az INYR keretében folyó adatkezelés tekintetében a hivatal minősül adatkezelőnek.
24
XVIII. Speciális szabályok
Adatvédelmi, adatkezelési követelmények a gyermek beilleszkedési, tanulási, magatartási
nehézségével (a BTMN-t megállapító szakértői véleménnyel és az ebbe foglalt adatokkal, továbbá a
különleges bánásmód intézményi kötelezettségének teljesítésével) kapcsolatos adatok kezeléséről,
továbbításáról, védelméről.
1.§. A köznevelési intézmény nyilvántartja a „kiemelt figyelmet igénylő gyermekre, vonatkozó
adatokat”, amely személyi körbe az Nkt. 4. § 13. pontja értelmében a beilleszkedési, tanulási,
magatartási nehézséggel küzdő gyermek, mint különleges bánásmódra jogosult gyermek is
beletartozik.
A törvényi felhatalmazás tehát adott a BTMN-adatok intézményi kezelésére, de csakis a
személyes adatokra vonatkozó általános adatkezelési szabályok megtartása mellett. (Ilyen
fontos alapelv például a BTMN-nel összefüggésben az adatkezelés célhoz kötöttségének
elve.)
2.§. Adattovábbítás tartalma harmadik személy- intézmény- részére:
- A gyermek, a tanuló
a) sajátos nevelési igényére, beilleszkedési zavarára, tanulási nehézségére, magatartási
rendellenességére vonatkozó adatai a pedagógiai szakszolgálat intézményei és a nevelési-
oktatási intézmények egymás között, továbbá gyermekpszichiátriai diagnózisának adatai a
pedagógiai szakszolgálat és az egészségügyi szakellátó között,
b) óvodai fejlődésével, valamint az iskolába lépéshez szükséges fejlettségével kapcsolatos
adatai a szülőnek, a pedagógiai szakszolgálat intézményeinek, az iskolának, […]
továbbítható.”
3.§. Adattovábbítás tartalma harmadik személy- intézményen kívül- részére:
- a BTMN gyerekkel, összefüggő adatok „továbbíthatók a fenntartónak, a kifizetőhelynek, a
bíróságnak, rendőrségnek, ügyészségnek, a közneveléssel összefüggő igazgatási
tevékenységet végző közigazgatási szervnek, a munkavégzésre vonatkozó rendelkezések
ellenőrzésére jogosultaknak, a nemzetbiztonsági szolgálatnak.”
Az Nkt. 41. § (7) bek. d) pontja hozzáveszi még ehhez a körhöz a kiemelt figyelmet
igénylő gyermekek, tanulók vonatkozásában – a veszélyeztetettségük feltárása,
megszüntetése céljából – a családvédelemmel, gyermek- és ifjúságvédelemmel foglalkozó
intézményeket, szervezeteket.
Végül az Nkt. 41. § (8) bekezdése kiterjeszti az adattovábbítás, adatközlés törvényes
körét a beilleszkedési zavarára, tanulási nehézségére, magatartási rendellenességére
vonatkozó adatok vonatkozásában a pedagógiai szakszolgálat intézményeire és a
nevelési-oktatási intézményekre egymás között.
3.§. Adattovábbítás - intézményen belül- részére:
Nkt. 41. § (8) bekezdés c)
A gyermek, tanuló magatartása, szorgalma és tudása értékelésével kapcsolatos adatai az
érintett osztályon belül, a nevelőtestületen belül továbbíthatók.
Tehát csak és kizárólag a pedagógiai értékelésével kapcsolatos adatok (szöveges értékelés,
jutalmazás és büntetés ténye, stb.) adhatók át az érintett osztályon belül másik gyermeknek
vagy akár az egész közösségnek. Azáltal, hogy ezt az adattovábbítási kört (osztályközösség) a
törvény csak a magatartás, szorgalom, tudás értékelésére vonatkozóan teszi lehetővé,
egyértelmű, hogy a BTMN-adatokra ez a jogi lehetőség nem áll fenn.
Fennmarad tehát a gyermeket megillető (az általános, polgári jogi. személyiségi jogok
védelméhez tartozó) adatvédelmi kötelezettsége a pedagógusoknak.
25
A köznevelési gyakorlatban legtöbb problémát jelentő adattovábbításra (például másik
szülő(k) irányában) a BTMN-nel kapcsolatosan, csak és kizárólag akkor kerülhet sor, ha a
szülő ehhez kifejezetten hozzájárul.
3.§. Pedagógus, nevelő kötelezettsége :
Kétirányú jogi kötelezettségük is van a nevelő-oktató munka során tudomásukra jutott
BTMN-információk (személyes adatok) szabályok által korlátozott, bizalmas kezelésére
vonatkozóan:
- mint a köznevelési intézmény alkalmazottai, kötelesek betartani a jogszabályokban az
intézményüket terhelő adattovábbítási korlátozásokat (Nkt. 41. §). (Adattovábbításra a
köznevelési intézmény vezetője és – az SZMSZ-ben meghatározott rend szerinti
meghatalmazás keretei között – az általa meghatalmazott másik vezető vagy más
alkalmazott jogosult. (Nkt.43.§))
- mint pedagógust, a nevelő és oktató munkát közvetlenül segítő alkalmazottat, továbbá
azt, aki közreműködik a gyermek, tanuló felügyeletének az ellátásában „hivatásánál
fogva harmadik személyekkel szemben titoktartási kötelezettség terheli a gyermekkel, a
tanulóval és családjával kapcsolatos minden olyan tényt, adatot, információt illetően,
amelyről a gyermekkel, tanulóval, szülővel való kapcsolattartás során szerzett
tudomást.”
E titoktartási kötelezettség nem terjed ki a nevelőtestület tagjainak egymás közti, valamint a
gyermekvédelmi jelzőrendszer tagjaival történő, a tanuló fejlődésével összefüggő
megbeszélésre. (Nkt. 42. § (1) bek.)
4.§. A pedagógiai szakszolgálatokról szóló 15/2013. EMMI rendelet 17. § - 24. §
A szakértői bizottság elsősorban a szülőt tájékoztatja előzetesen és a szülőnek kézbesíti a
szakértői véleményt. Az iskola, óvoda által kezdeményezett eljárásokban a szakértői
véleményt megküldik a szakértői vizsgálatot kezdeményező nevelési-oktatási intézménynek.
A nevelési-oktatási intézmények gyakorlatában az egyik legfontosabb BTMN-joghasználati
probléma, hogy a szakértői véleményt a gyerekek pedagógusai sokszor nem ismerik, főként
a szaktanárok nem.
Gyakorta félreértelmezett adatvédelmi szempontok miatt „hallgat” a szakértői vélemény
tartalmáról az intézmény-vezető saját pedagógusai előtt (praktikusan nem adja ki a
fiókjából); pedig a gyermekkel foglalkozó összes pedagógusnak nemcsak lehet, de szükséges
ismernie és betartania a szakértői véleményben javasolt módszertant, alanyi jogú vagy
kérelmezhető kedvezményeket. Márpedig hogyan tudná a pedagógus a BTMN gyereknek,
BTMN tanulónak járó különleges bánásmódot a szakértői véleményben foglaltak szerint
biztosítani, ha nem ismeri magát a szakértői véleményt és fogalma nincs arról (legfeljebb
csak homályos sejtései vannak róla), hogy milyen fajta beilleszkedési, magatartási, tanulási
nehézséggel küzd a tanuló, és hogy milyen pedagógiai megsegítésekben kell részesülnie
minden vele foglalkozó pedagógus által!
A pedagógusok szakmai kommunikációjában kerülendő az egyes gyerekeket, tanulókat
jellemző diagnózisok "becézése", pejoratív felhangokkal használata; mert ezek a „jelzőcskék”
alkalmasak lehetnek az intézményen belüli stigmatizációra. Csak a szakmai párbeszédek
közben kerüljön sor a gyerekek BTMN-jellemzőinek tárgyalására, amikor csak a pedagógus
kollégák hallják. Ez a tárgykör nem alkalmas a nyilvános megbeszélésre (még az
osztályközösségen belül sem!), mert az érintett gyermek, tanuló személyes adatairól történő
rendelkezés jogát sérti.
Az egy másik kérdés, ha maga a tanuló, vagy szülője látja helyesnek és szükségesnek az
osztályközösség, szülői közösség tájékoztatását a konkrét magatartási, beilleszkedési,
kommunikációs nehézség mibenlétéről és megfelelő intézményi, közösségi kezelésének
módjairól. Természetesen a szülőnek, vagy a szülő hozzájárulásával a pedagógusnak joga
van a BTMN-jelenségek megbeszélésére, optimális kezelésük elősegítésére a
nevelőtestületen belül, az osztályközösséggel és a szülői közösséggel is. Ez persze feltételezi
26
azt a szülői hozzáállást a problémához, amelyben a szülő érti és elfogadja a szakértői
véleménybe foglalt, gyermeke beilleszkedési, magatartási, tanulási nehézségeire vonatkozó
diagnózist és aktívan közreműködik a szakértői véleményben javasolt fejlesztés és
pedagógiai különleges bánásmód megvalósulásában
XIX. Bölcsődei jogviszonyhoz kapcsolódó speciális rendelkezések
1.§ A bölcsőde vezetője a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvénynek a
szociális, valamint a gyermekjóléti és gyermekvédelmi ágazatban történő végrehajtásáról
szóló 257/2000. (XII. 26.) Korm. rendeletben meghatározott pedagógus munkakörben
foglalkoztatott számára a KIR honlapján keresztül a Gyvt.-ben meghatározott adatok
megküldésével a jogszabályban meghatározott pedagógus munkakörben foglalkoztatott
részére a jogviszony létesítésének napját követő öt napon belül tizenegy jegyű azonosító
szám (a továbbiakban: oktatási azonosító szám) kiadását kezdeményezi.
2.§ Az Oktatási Hivatal az igénylés befogadása napjától számított tizenöt napon belül adja ki az
oktatási azonosító számot, amelyet a kiadással egyidejűleg a KIR zárt rendszerén keresztül a
bölcsőde számára elérhetővé tesz. A bölcsőde, vezetője gondoskodik arról, hogy az érintett
megismerje a részére kiadott oktatási azonosító számot.
3.§ Az oktatási azonosító szám a KIR-ben való megjelenésének időpontjától kezdve kezelhető és
használható fel.
4.§ Ha az érintett tájékoztatást kér az oktatási azonosító számáról és a KIR-ben róla
nyilvántartott adatokról, a bölcsőde vezetője a kérelem napján, térítésmentesen a KIR-ből
nyomtatható tájékoztatást állít ki. Az Oktatási Hivatal az oktatási azonosító szám kiadásával
egyidejűleg a KIR-en keresztül biztosítja a tájékoztatás céljául szolgáló formátumhoz való
hozzáférést.
5.§ A bölcsőde vezetője - az érintett kérelemére - a 4.§ bekezdés szerint új tájékoztatást állít ki az
elveszett, megsemmisült vagy megrongálódott tájékoztatás helyett.
6.§ Ha a bölcsőde a vonatkozó jogszabályban meghatározott pedagógus munkakörben olyan
személlyel létesített jogviszonyt, aki rendelkezik oktatási azonosító számmal, a jogviszony
létesítését követő öt napon belül köteles a jogviszony létrejöttét bejelenteni a KIR-en
keresztül. A bejelentéskor az érintett részére nem lehet új oktatási azonosító számot kérni és
kiadni.
Oktatási Hivatal felel azért, hogy a pedagógus munkakörben foglalkoztatottnak csak egy
oktatási azonosító száma legyen.
7.§ A bölcsőde vezetője a KIR-ben az oktatási azonosító számmal kapcsolatosan nyilvántartott
adatok változását a változást követő öt napon belül köteles bejelenteni. A tájékoztatás
tartalmát érintő adatváltozás átvezetése után a bölcsőde vezetője az érintettnek a
tájékoztatást a megváltozott adatok alapján állítja ki.
8.§ Ha az oktatási azonosító számmal rendelkező személy jogviszonya megszűnik, a bölcsőde
vezetője a jogviszony megszűnését a megszűnés időpontjától számított öt napon belül jelenti
be a KIR-en keresztül.
9.§ A Bölcsőde, mint gyermekjóléti alapellátást nyújtó intézmény az ellátások, intézkedések
nyújtása és megtétele, mindezek ellenőrzése, valamint biztosítása során, a meghatározott
jogok érvényesülésének elősegítése céljából a Gyvt-ben meghatározott, alábbi adatok
kezelésére jogosult.
a) a gyermek
aa) személyazonosító adatainak, társadalombiztosítási azonosító jelére és adóazonosító jelére
vonatkozó, személyazonosító igazolványával, lakcímet igazoló hatósági igazolványával,
diákigazolványával, közgyógyellátási igazolványával, oltási könyvével kapcsolatos,
ab) anyanyelvére vonatkozó,
ac) családi jogállására vonatkozó,
ad) veszélyeztetettségének megállapításához szükséges és elégséges adatainak, így különösen
vagyoni helyzetére, környezetére, élelmezésére, ruházatára, lakhatási viszonyaira vonatkozó,
27
ae) megfelelő ellátásához, gondozásához szükséges és elégséges adatainak, így különösen a
személyiségére, magatartására, személyes kapcsolataira, szokásaira, tanulmányi eredményeire,
neveltségi állapotára vonatkozó,
af) egészségi állapotára vonatkozó,
ag) büntetlen előéletére, illetve a vele kapcsolatos hatósági, bírósági eljárásokra, határozatokra
vonatkozó,
ah) kóros szenvedélyére vonatkozó,
ai) * áldozattá válásának körülményeire vonatkozó, a bűncselekmények áldozatainak segítéséről és
az állami kárenyhítésről szóló 2005. évi CXXXV. törvény (a továbbiakban: Ást.) 16. § (2) bekezdés a)-
c) pontjában meghatározott,
aj) * fényképére, a róla készített mozgóképre vonatkozó,
ak) * hátrányos vagy halmozottan hátrányos helyzetére vonatkozó;
b) * a szülő, törvényes képviselő, befogadó szülő
ba) * személyazonosító, és a társadalombiztosítási azonosító jelére vonatkozó,
bb) vagyoni helyzetére, munkahelyére, iskolai végzettségére, kapcsolataira vonatkozó,
bc) gyermekneveléssel összefüggő, így különösen életvezetésére, nevelési magatartására vonatkozó,
bd) egészségi állapotára vonatkozó,
be) büntetlen előéletére vonatkozó,
bf) * áldozattá válásának körülményeire vonatkozó, az Ást. 16. § (2) bekezdés a)-c) pontjában
meghatározott;
c) a gyermek
ca) * testvéreinek személyazonosító és társadalombiztosítási azonosító jelére vonatkozó,
cb) * saját gyermekének személyazonosító és társadalombiztosítási azonosító jelére vonatkozó,
cc) * kapcsolattartásra jogosult hozzátartozójának személyazonosító és társadalombiztosítási
azonosító jelére vonatkozó,
cd) lakóhelyén életvitelszerűen tartózkodó személyek személyazonosító és személyes körülményeire
vonatkozó,
ce) sorsának megtervezése szempontjából jelentőséggel bíró személyek, így különösen a korábbi
gondozók, szomszédok elérhetőségére vonatkozó,
cf) * háziorvosának, védőnőjének, ha gyermekek napközbeni ellátásában, óvodai, iskolai nevelésben
részesül, a napközbeni ellátást nyújtó szolgáltató, intézmény, a nevelési-oktatási intézmény
vezetőjének elérhetőségére vonatkozó, valamint a gyermek veszélyeztetettségének megelőzésében,
képességeinek, mentális állapotának fejlesztésében, vizsgálatában közreműködő intézmény,
szakember elérhetőségére vonatkozó,
10.§ A 9.§ bekezdésben meghatározott adatkörök rögzítése jogszabályban meghatározottak
szerint a gyermekjóléti szolgáltatás tekintetében a Gyermekeink védelmében elnevezésű
informatikai rendszerben történik.
XX. A köznevelésben foglalkoztatottakra vonatkozó adatkezelések
1.§ Adatkezelő a köznevelésben foglalkoztatottról az alábbi adattartalommal foglalkoztatotti
alapnyilvántartást vezet.
(1) A köznevelésben foglalkoztatott
- családi és utóneve, születési családi és utóneve, neme, születési helye, ideje, anyja születési
családi és utóneve, lakóhelye, lakáscíme, tartózkodási helye, telefonszáma, családi állapota,
adóazonosító jele, társadalombiztosítási azonosító jele, fizetési számlaszáma, e-mail-címe,
ügyfélkapu elérhetősége.
- legmagasabb iskolai végzettsége, több végzettség esetén valamennyi, szakképzettségei,
szakirányú továbbképzésben szerzett végzettség adatai, iskolarendszeren kívüli oktatás
keretében szerzett szakképesítései, valamint meghatározott munkakör betöltésére jogosító
okiratok adatai, tudományos fokozata, idegennyelv-ismerete, pedagógus-továbbképzésre
vonatkozó adatai, jogosítvánnyal rendelkezése, ha a munkakör ellátásához szükséges,
- a köznevelési foglalkoztatotti jogviszonya vagy munkaviszonya kezdete, a beszámításnál
figyelmen kívül hagyandó távollét jogcíme, időtartama, a korábbi munkahelyek és a
munkaviszony jellegű jogviszony típusának, kezdő és befejező időpontjának megnevezése,
szakmai gyakorlati idők a betöltött munkakör vagy óraadói megbízás megjelölésével, a
köznevelési foglalkoztatotti jutalom és a végkielégítés mértéke kiszámításának alapjául
szolgáló időtartamok, jogviszonya határozott idejének lejárta vagy határozatlan időtartama,
- állampolgársága, a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány száma,
kelte, munkaköre, FEOR-száma, a köznevelési foglalkoztatotti jogviszonyban álló jelenlegi
besorolása, besorolásának időpontja, következő minősítésének esedékessége, 5. vezetői
28
megbízása, próbaidő adatai, teljesítményértékelés időpontja, eredménye, törvényi keretek
között az illetmény-meghatározásról szóló munkáltatói döntés, jutalom, kitüntetés,
céljuttatás, egyéb juttatások időpontja, összege, a korábbi szabályozás alapján kifizetett
jubileumi jutalom jogcíme, teljes-, rész- vagy csökkentett munkaidejének mértéke, szabadság
mértéke, igénybevétele, kinevezéstől eltérő foglalkoztatásra vonatkozó adatok, kártérítési
felelősségre vonatkozó adatok, összeférhetetlenséggel, további jogviszonnyal kapcsolatos
adatok, kötelező alkalmassági vizsgálatra vonatkozó adatok, pályázata, önéletrajza,
érdekképviseleti tagdíj átutalására adott megbízás teljesítéséhez szükséges adatok, oktatási
azonosító száma, pedagógusigazolványának száma, fegyelmi felelősségre vonatkozó adatok,
- eltartott gyermekei családi és utóneve, születési helye, ideje, anyja születési családi és
utóneve, lakóhelye, lakáscíme, tartózkodási helye, adóazonosító jele, társadalombiztosítási
azonosító jele, egyéb eltartottak száma, az eltartás kezdete, családtámogatási kedvezményei,
az állami készfizető kezességvállalással összefüggő adatok, a hitelszerződést kötő
pénzintézet neve, címe, az állami kezességvállalással biztosított hitel nagysága; a hitel
lejártának időpontja,
- munkáltatójának neve, székhelye, statisztikai számjele, feladatellátási helye,
- köznevelési foglalkoztatotti jogviszonyának, munkaviszonyának megszűnése, megszüntetése
időpontja, jogcíme, a megszűnéssel, megszüntetéssel összefüggésben járó juttatások,
felmentési, lemondási, felmondási idő, végkielégítés adatai, áthelyezés esetén a fogadó
munkáltató adatai, a közalkalmazotti jogviszony megszűnésének, valamint a végleges és a
határozott idejű áthelyezés időpontja, módja, a végkielégítés adata.
(2) A foglalkoztatotti alapnyilvántartás adatai közül a munkáltató megnevezése, a
köznevelésben foglalkoztatott neve, továbbá a köznevelési foglalkoztatotti jogviszonyban álló
besorolására vonatkozó adat közérdekből nyilvános adat.
(3) A köznevelési foglalkoztatotti jogviszonyt vagy munkaviszonyt létesíteni szándékozó
személy a kinevezést, vagy a munkaszerződés megkötését megelőzően a bűnügyi nyilvántartó szerv
által kiadott hatósági bizonyítvánnyal igazolja, hogy büntetlen előéletű, Púétv. szerinti kizáró
feltételek nem állnak fenn vele szemben, nem áll olyan foglalkozástól eltiltás hatálya alatt, amely a
köznevelési foglalkoztatotti jogviszony létesítését nem teszi lehetővé. Adatkezelő a jelen bekezdés
szerinti adatokat annak vizsgálata céljából kezelheti, hogy az érintett a betölteni kívánt vagy a
betöltött munkakörben nem korlátozott vagy kizárt-e a foglalkoztatás.
(4) A köznevelési foglalkoztatotti jogviszony és a munkaviszony bármely jogcímen történő
megszűnését vagy megszüntetését követően a foglalkoztatotti alapnyilvántartásban az érintettre
vonatkozó személyes adatok kezelését ötven évig korlátozni kell. A korlátozás alá eső személyes
adatokat csak az érintett ismerheti meg, valamint a törvényben erre feljogosított szervnek
továbbítható megkeresés alapján. A korlátozás alá eső adatokkal - az előbbiekben rögzített
műveleteken túl - más művelet nem végezhető. A foglalkoztatotti alapnyilvántartásból az adatokat
az ötven éves határidő lejárta napján törölni kell.
(5) A munkáltatónál vezetett foglalkoztatotti alapnyilvántartásba betekinthet:
- a köznevelésben foglalkoztatott,
- a köznevelésben foglalkoztatott felett munkáltatói jogot gyakorló vezető,
- a humánpolitikai, munkaügyi és illetmény-számfejtési feladatokat ellátó szerv e feladattal
megbízott munkatársa feladatkörén belül,
- a fenntartó,
- a rá vonatkozó jogszabály alapján a hatóság és a bíróság.
(6) A foglalkoztatotti alapnyilvántartásban szereplő személyes adatok védelméért, az
adatkezelés jogszerűségéért, valamint a Púétv. -ben előírt adatszolgáltatásokért a munkáltató
vezetője felelős.
(7) A foglalkoztatotti alapnyilvántartásban történő adatkezelés célja
- a köznevelési foglalkoztatotti jogviszonnyal és a munkaviszonnyal összefüggő munkáltatói
intézkedések és jognyilatkozatok előkészítésének és meghozatalának biztosítása,
- a köznevelési foglalkoztatotti jogviszonnyal és a munkaviszonnyal összefüggő jogok
gyakorlásának és kötelezettségek teljesítésének biztosítása,
- az állampolgári jogok és kötelezettségek teljesítése, továbbá
- a közeli hozzátartozót megillető társadalombiztosítási, szociális és kegyeleti gondoskodás
megállapításának és folyósításának biztosítása.
29
(8) A foglalkoztatotti alapnyilvántartást a munkáltató más személyes adatot tartalmazó
nyilvántartásától elkülönítetten kell kezelni. A foglalkoztatotti alapnyilvántartás más személyes
adatot tartalmazó nyilvántartással nem kapcsolható össze.
(9) A köznevelési foglalkoztatotti jogviszony, valamint a munkaviszony létesítésével és
megszüntetésével összefüggésben a munkáltató jogszabályban meghatározott feltételekkel igénybe
veheti, és foglalkoztatottjai számára nyújthatja a Kit. szerinti személyügyi központ Közszolgálati
Személyügyi Szolgáltatási Keretrendszere által nyújtott szolgáltatásokat.
(10) A nevelési-oktatási intézmény nyilvántartja az óraadók
- nevét,
- születési helyét, idejét,
- nemét, állampolgárságát, nem magyar állampolgár esetén a Magyarország területén való
tartózkodás jogcímét és a tartózkodásra jogosító okirat megnevezését, számát,
- lakóhelyét, tartózkodási helyét,
- végzettségével, szakképzettségével kapcsolatos adatokat,
- oktatási azonosító számát.
(11) Az óraadók nyilvántartására alkalmazni kell a (2)-(8) bekezdés rendelkezéseit.
(12) A Púétv. rendelkezése alapján munkáltató minden évben köteles a köznevelésért felelős
miniszter rendeletében meghatározott szabályok szerint értékelni a pedagógus és a pedagógus
szakképesítéssel vagy szakképzettséggel rendelkező nevelő-oktató munkát közvetlenül segítő
munkakörben foglalkoztatott teljesítményét. A teljesítményértékelést írásba kell foglalni. A
18/2024. (IV. 4.) BM rendelet alapján a pedagógusok értékelésének adminisztrációját az oviKRÉTA
rendszer TÉR menüpontjában szükséges elvégezni. A teljesítményértékeléshez kapcsolódó
adatkezelés esetében a jelen szabályzatban foglalt adatkezelési előírások betartása szükséges.
XXI. Beépített és alapértelmezett adatvédelem
1.§ A beépített adatvédelem érvényesítése jelentős mértékben növelheti az adatkezelés
törvényes menetének kiszámíthatóságát, fontos eszköz az Adatkezelő dolgozóinak az
adatvédelmi rendelkezések betartásával kapcsolatos kötelezettségei teljesítésében.
2.§ Az Adatvédelmi Tisztviselőnek figyelemmel kell lennie arra, hogy az Adatkezelő az
adatvédelmi eljárások, módszerek megtervezésekor, mind a manuális adatkezelés, mind az
elektronikus rendszerek tekintetében olyan módon alakítsa ki, amelyek a megkerülhetetlen
módon magukban hordozzák az adatvédelmi megfeleléshez szükséges szempontok
figyelembevételét. Ennek során az Adatvédelmi Tisztviselő együttműködik az Adatkezelő
szakembereivel és vezetőségével.
3.§ A beépített adatvédelem érvényesítése hosszabb folyamat, amelyre az együttműködésnek ki
kell terjednie. A beépített adatvédelem alkalmas arra, hogy az adatkezelési folyamat során az
adatvédelmi előírások betartása könnyen ellenőrizhető legyen, illetve az előírások be nem
tartása külön ellenőrzési mechanizmus nélkül is észlelhetővé váljon.
4.§ A beépített adatvédelem alapvető eszközei az álnevesítés, titkosítás.
5.§ Az alapértelmezett adatvédelem elvei alapján az Adatkezelőnek arra kell törekednie, hogy a
személyes adatok védelmével kapcsolatos szabályok, védelmi intézkedések, hozzáférések az
adatvédelmi szabályok körében a lehető legszigorúbb mértékre legyenek értelmezve és
beállítva, elősegítve, hogy az alapértelmezés az adatvédelmi eljárásokban az Érintettek
jogainak és alapvető szabadságainak a védelmét a lehető legmagasabb szinten biztosítsák.
6.§ Ezen elveknek való fokozott megfelelés érdekében az Adatvédelmi Tisztviselő rendszeres
ajánlásokat fogalmaz meg.
7.§ Az informatikai rendszerben a hozzáférési jogosultságot szintenként kell kialakítani és
rögzíteni. Valamennyi alkalmazott szoftver esetében meg kell határozni a hozzáférési
jogosultságokat és a hozzáférést ennek megfelelően lehetővé tenni belépési kódokkal. Az
egyes személyekre vonatkozó hozzáférésekről nyilvántartást kell vezetni.
XXII. Az adatkezelési tevékenységek nyilvántartása
30
1.§ Az adatkezelési tevékenységekről Adatkezelő nyilvántartást vezet.
2.§ A nyilvántartások tartalmi kialakítása az Adatvédelmi Tisztviselő szakmai kompetenciája,
amelyet az Adatkezelő vezetőjének információi alapján és jóváhagyásával határoz meg.
3.§ A nyilvántartások vezetése az Adatvédelmi Tisztviselő feladata az Adatkezelő által adott
információk alapján.
4.§ A nyilvántartások az Adatkezelő belső dokumentumai, amelyek biztosítják, hogy kétség
esetén az Adatkezelő bizonyítani tudja az adatkezelési folyamatok törvényességét.
5.§ Valamennyi nyilvántartás dinamikus jellegű, azokat folyamatosan frissíteni kell és
naprakészen tartani. Az Adatvédelmi Tisztviselő végzi a nyilvántartások frissítését az
Adatkezelő által adott információk alapján.
6.§ A nyilvántartásokat digitálisan kell tárolni, amelyhez megtekintésre az Adatkezelő vezetője,
továbbá a szervezeti egységek vezetői és az Információbiztonsági Felelős férhetnek hozzá.
XXIII. Adatvédelmi hatásvizsgálat
1.§ Az Adatkezelő által tervezett adatkezelést (adatgyűjtés, új adatkezelési folyamatok
bevezetése, továbbá bármely olyan eset, amely nincs nevesítve, de az Adatvédelmi
Tisztviselő vagy az Adatkezelő vezetője a GDPR rendelkezéseire figyelemmel indokoltnak
tartja) megelőzően az Adatkezelő adatvédelmi tisztviselőjének szakmai közreműködésével
hatásvizsgálatot végezhet annak érdekében, hogy felmérje, a tervezett adatkezelési
műveletek milyen hatást fognak gyakorolni az Érintettek alapvető jogaira és szabadságaira
nézve.
2.§ A hatásvizsgálat egyes műveleteit, továbbá valamennyi lépését, eredményét, a levont
köveztetéseket rögzíteni kell.
3.§ A hatásvizsgálat módszertani leírását a „Adatvédelmi hatásvizsgálat eljárásrendje”
tartalmazza.
4.§ A hatásvizsgálatra vonatkozó részletes eljárási szabályokat, menetét, eredményének
megállapítását, az Adatvédelmi Tisztviselő által jóváhagyott „Adatvédelmi hatásvizsgálat
eljárásrendje" rögzíti, amelyet a rájuk vonatkozó részek tekintetében az Adatkezelő vezetője
és a szervezeti egységek vezetői is jóváhagynak.
XXIV. Az adatvédelmi tisztviselő
1.§ Az Adatkezelő a személyes adatok törvényes védelmére vonatkozó szabályok betartása,
továbbá az Érintettek alapvető jogai és szabadságai védelme érdekében az adatvédelem és
adatbiztonság feltételeinek teljesítéséhez adatvédelmi tisztviselőt (a továbbiakban:
Adatvédelmi Tisztviselő) alkalmaz.
2.§ Az adatvédelmi tisztviselő az adatvédelem és adatbiztonság szakterületén magas szintű
szakértői kompetenciával bíró, különösen az adatvédelmi jog és gyakorlat szakértői szintű
ismeretével rendelkező, valamint a GDPR szerinti adatvédelmi tisztviselői feladatok
ellátására alkalmasság személy.
3.§ Az Adatkezelő bejelenti a Hatóság felé az adatvédelmi tisztviselő nevét, postai és
elektronikus levélcímét, ezen adatok változását.
4.§ Az Adatkezelő a hivatalos weblapján közzéteszi az adatvédelmi tisztviselő nevét,
telefonszámát, email címét, címét, amely utóbbi azonos az Adatkezelő székhelycímével.
5.§ Az Adatkezelő vezetője biztosítja, hogy az Adatvédelmi Tisztviselő minden esetben a kellő
időben értesüljön minden olyan belső eseményről, feladatról, amelyek személyes adatokra,
személyes adatok kezelésére vonatkoznak, avagy a személyes adatok kezelését bármely
vonatkozásban érinthetik.
31
6.§ Az Adatvédelmi Tisztviselőt be kell vonni a személyes adatok védelmét érintő döntések
előkészítésébe. Az ilyen döntésekre irányuló eljárás megkezdésekor az előzményiratokat és
valamennyi iratot meg kell küldeni az Adatvédelmi Tisztviselő részére.
7.§ Az Adatkezelő köteles biztosítani, hogy az adatvédelmi tisztviselő a személyes adatok
védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Az
Adatvédelmi Tisztviselő részére a feladatai ellátásához szükséges valamennyi tájékoztatást,
dokumentumot meg kell adni, illetve meg kell küldeni.
8.§ Amennyiben az Adatvédelmi Tisztviselő úgy értékeli a kapott információt, hogy az
álláspontjának, véleményének kialakításához és közléséhez szükséges - így különösen, ha az
adott ügyben a törvényeknek való megfelelés kérdésében összetett szempontrendszert kell
figyelembe venni avagy a vizsgálandó kérdés jelentős számú érintett jogait avagy különleges
személyes adatokat érint -, előzetes konzultációt kezdeményezhet az Adatkezelői vezetéssel,
továbbá többletinformációt kérhet bármely szervezeti egység vezetőjétől, illetve az
Adatkezelő bármely dolgozójától.
9.§ Az Érintettek a személyes adataik kezeléséhez és a GDPR szerinti jogaik gyakorlásához
kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz közvetlenül fordulhatnak.
Ezt az Adatkezelő weblapján egyértelműen fel kell tüntetni.
10.§ Az Adatvédelmi Tisztviselő a feladatait az adatkezelési műveletekhez fűződő kockázatok
megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára
is tekintettel végzi.
11.§ Az Adatvédelmi Tisztviselő javaslatot tesz az adatvédelmi nyilvántartások kialakítására,
tartalmi kérdéseire. A nyilvántartások vezetéséhez szükséges adatok megadása az
adatkezelést ténylegesen végző dolgozók feladata, a nyilvántartások naprakész vezetésének
feladatát az Adatvédelmi Tisztviselő látja el.
12.§ Az Adatvédelmi Tisztviselő rendszeresen áttekinti az adatkezelés belső szabályzatait,
kapcsolódó dokumentumait, indokolt esetben szövegszerűen kidolgozott javaslatot tesz a
szabályzatok harmonizációjára, amelynek alkalmazásáról az Adatkezelő vezetője dönt.
13.§ Az Adatvédelmi Tisztviselő bármely szabályozási és gyakorlati (megvalósítási) kérdésben
jogosult javaslattal, indítvánnyal élni. Ilyen esetben elsődlegesen írásban fordul az
Adatkezelő vezetőjéhez. Az Adatkezelő vezetőjének részéről a válaszadás nem tagadható
meg, de a javaslat elfogadásáról önállóan hoz döntést. Amennyiben az Adatkezelő vezetője
az Adatvédelmi Tisztviselő bármely indítványának, észrevételének nem ad helyt, kérheti a
módosított előterjesztés kidolgozását.
XXV. Adatbiztonság - adatvédelmi incidens
1.§ Adatvédelmi incidens bekövetkezése esetén az alábbiak szerint kell eljárni.
2.§ A jelen címben meghatározottakat az Információbiztonsági Szabályzattal összhangban kell
alkalmazni.
3.§ Adatvédelmi incidens bekövetkezése, illetve bekövetkezésének közvetlen veszélye, avagy
korábban történt adatvédelmi incidens felismerése esetén szükséges értesíteni a közvetlen
felettest, valamint az adatvédelmi tisztviselőt.
4.§ A 3. § rendelkezése szerint kell eljárni abban az esetben is, ha az adatvédelmi incidenst,
avagy annak közvetlen veszélyét észlelő személy nem tudja megállapítani az események
tényleges bekövetkezését, avagy a bekövetkezésének közvetlen lehetőségét, csak
valószínűsíteni tudja. A bejelentést tevő dolgozót semmilyen hátrány nem érheti akkor sem,
ha jóhiszeműen megtett bejelentésének bármely része tévesnek minősül.
5.§ Az észlelő személy köteles haladéktalanul jelezni a közvetlen felettesének vagy az
Adatvédelmi Tisztviselőnek a tapasztaltakat. A felettes értesítése esetén a felettes késedelem
nélkül értesíti az Adatvédelmi Tisztviselőt és az Adatkezelő vezetőjét.
32
6.§ Az adatvédelmi incidensekről az Adatvédelmi Tisztviselő szükség szerint tájékoztatja az
Információbiztonsági Felelőst, akit indokolt esetben az incidens kivizsgálásába és a
szükséges intézkedések kidolgozásába be kell vonni.
7.§ Amennyiben megállapítható az adatvédelmi incidens bekövetkezése, továbbá az incidens
következményeképp az is megállapítható, hogy az valószínűsíthetően kockázattal jár a
természetes személyek jogaira és szabadságaira, az Adatkezelő az Adatvédelmi Tisztviselő
útján haladéktalanul, de legkésőbb 72 órán belül jelenti az adatvédelmi incidenst a
felügyeleti hatóságnak.
8.§ Amennyiben a 8.§ esetében a bejelentésre nem kerül sor 72 órán belül, a késedelem okának
bejelentésével együtt kell az akadály elhárultát követően haladéktalanul megtenni a
bejelentést.
9.§ Az Adatvédelmi Tisztviselő - az adatvédelmi incidensekről nyilvántartást vezet, amely
legalább az incidenssel érintett személyes adatok körét, az incidens bekövetkezésének
körülményeit, azok hatásait, és a kezelésükre tett intézkedések leírását tartalmazza.
10.§ Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes
személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül
tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott
végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében
alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –,
amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára
értelmezhetetlenné teszik az adatokat;
b) az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett,
amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a
továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az
érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló
intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
11.§ Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően
indokolatlan késedelem nélkül köteles bejelenteni az Adatkezelőnek.
12.§ Az Adatkezelő által megbízott adatfeldolgozóktól a velük kötött szerződésben erről a
kötelezettségről minden esetben rendelkezni kell.
13.§ Az adatfeldolgozóval megkötendő szerződésbe kell foglalni a kötelező intézkedések körét,
amelyeket az adatfeldolgozónak az adatvédelmi incidens bekövetkezésére esetére kell
végrehajtani az Adatkezelő felé.
14.§ Az adatkezelési incidens esetében, amennyiben nem egyértelmű, hogy az magas kockázattal
jár a természetes személyek jogaira és szabadságaira nézve, a bejelentést megelőzően
vizsgálatot kell lefolytatni.
15.§ A vizsgálat ebben az esetben a hatásvizsgálatnál rögzített kockázatelemzés lefolytatására,
majd ezen eljárás eredménye alapján a vizsgálat értékelési részének lefolytatására irányul.
(A szükségesség-arányosság teszt az ilyen esetekben általában nem indokolt.) A vizsgálat az
eredménye szerint az alábbi következtetésekre vezethet:
1) A személyes adat incidens nem igényel bejelentést,
2) A személyes adat incidens csak a Hatósághoz igényel bejelentést,
3) A személyes adat incidens a Hatóság felé és az Érintettek felé is bejelentést igényel.
33
16.§ A jelen pont szerinti vizsgálatot minden olyan esetben is le kell folytatni, amikor az
Adatvédelmi Tisztviselő, az Adatkezelő vezetője, avagy a szervezeti egységek álláspontja
szerint az incidensre alapot adó / kiváltó körülmények kockázati megítélése nem
egyértelmű, avagy a kockázatok kiküszöbölését követően is vélhetően maradvány kockázati
körülmények maradtak vagy maradhattak fenn.
17.§ A bejelentést a Hatóság weboldalán kell megtenni a bejelentést az Adatvédelmi Tisztviselő
közreműködésével teheti meg Adatkezelő a szükséges adatok megadásával.
18.§ Amennyiben az Érintetteket tájékoztatni kell, az alábbi adatok megadása kötelező: világosan
és közérthetően ismertetni kell az adatvédelmi incidens jellegét, az adatvédelmi tisztviselő
neve, elérhetősége, az adatvédelmi incidens valószínű következményeinek ismertetése,
továbbá az incidens kezelésére megtett vagy tervezett intézkedésekről tájékoztatás.
XXVI. Az érintett jogorvoslati jogosultságai és a jogorvoslati jogok érvényesítésének
feltételei
1.§ Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat, és
panasszal a Hatóságnál lehet élni.
2.§ Közvetlen érintetti panasz esetében az Adatvédelmi Tisztviselő javaslatot tesz az eset
megoldására, megválaszolására a jelen szabályzat XVI. Címében foglaltaknak megfelelően.
3.§ A jelen Címben meghatározott joggyakorlás, illetve jogorvoslatok esetében Az Adatkezelő
Adatvédelmi Tisztviselője az Adatkezelő vezetője tájékoztatására és kérelmére megvizsgálja
az esetet.
Az Adatvédelmi Tisztviselő a vizsgálat eredményét írásban terjeszti elő az Adatkezelő
vezetője számára és egyúttal megjelöli azokat a szervezeten belüli okokat, amelyek a
jogsérelmet okozták vagy lehetővé tették, egyúttal ajánlásokat és indítványokat dolgoz ki a
hasonló esetek ismétlődő előfordulásának a megakadályozása érdekében.
4.§ A Hatóság törvényben biztosított, kérelemre vagy hivatalból indított eljárása esetén az
Adatvédelmi Tisztviselő elősegíti az Adatkezelőnek a vizsgálattal összefüggésben keletkező
kötelezettségei teljesítését, együttműködésben az Adatkezelő vezetőjével.
XXVII. Záró rendelkezések
1.§ Adatkezelő vezetője intézkedik arról, hogy az Adatkezelő valamennyi olyan szabályzata,
amely érinti a jelen Szabályzat rendelkezéseit, felülvizsgálatra kerüljön. A felülvizsgálat
során meg kell szüntetni a jelen Szabályzat előírásaival ellentétes szabályokat, továbbá
szükség szerint módosítani kell a hatályban lévő szabályzatokat a jelen Szabályzat
rendelkezései betartásának elősegítése érdekében.
Kelt, 2024. …….
főigazgató