Az Egyházmegyei Katolikus Iskolák Főhatósága által fenntartott oktatási intézmények részére
- Bevezetés
Az Egyházmegyei Katolikus Iskolák Főhatósága (a továbbiakban EKIF) 30 köznevelési intézmény (a továbbiakban Intézmény, vagy Adatkezelő) fenntartójaként működik. Minden intézmény kezel személyes adatokat.
Az EKIF célja egy egységes, minden intézmény által használható adatvédelmi szabályzat elkészítése, és a dokumentum folyamatos naprakészen tartása az adatvédelmi tisztviselő által.
Ebben a szabályzatban amikor „adatról” vagy „adatokról” esik szó, az alatt minden esetben személyes adatokat kell érteni.
- A szabályzat célja
A szabályzat alapvető célja az intézmények által történő adatkezelés, adatfeldolgozás és adattovábbítás szabályainak rögzítése.
A szabályzat további célja, hogy a benne összefoglalt eljárások, szabályok, utasítások segítségével biztosítsa az intézmények által kezelt adatok vonatkozásában az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát, valamint meghatározza az intézmények által vezetett, adatvédelemmel kapcsolatos nyilvántartások kezelésének rendjét.
- Az Adatkezelő adatai
Minden EKIF által fenntartott intézmény külön Adatkezelőként működik, de jellegük folytán (mindegyik közoktatási intézmény) az adatkezelések nagyban hasonlítanak, mivel azt túlnyomórészben törvény szabályozza.
Az EKIF által fenntartott intézmények listája:
Intézmény neve |
Címe |
032031 – Jó Pásztor Katolikus Óvoda |
3100 Salgótarján, Damjanich u. 5. |
032292 – Szent Imre Katolikus Általános Iskola és Gimnázium |
2660 Balassagyarmat, Szabó Lőrinc u. 1. |
203488 – Napsugár Katolikus Óvoda |
2660 Balassagyarmat, Ady Endre utca 1/A. |
032345 – Magyarok Nagyasszonya Római Katolikus Általános Iskola, és Magyarok Nagyasszonya Tagóvoda |
2730 Albertirsa, Köztársaság u. 29. |
032392 – Szent Erzsébet Katolikus Általános Iskola és Óvoda |
2119 Pécel, Kossuth tér 7. |
032716 – “Názáret” Római Katolikus Óvoda |
2750 Nagykőrös, Hősök Tere 2. |
032735 – Szent Család Katolikus Óvoda |
2600 Vác, Bauer M. út 22-24. |
032823 – A Fóti Római Katolikus Egyházközség Gondviselés Óvodája |
2151 Fót, Szeberényi utca 1. |
037300 – Szent Kereszt Katolikus Általános Iskola és Óvoda |
2700 Cegléd, Pesti út 2-4. |
037714 – Szent Imre Katolikus Általános Iskola és Óvoda |
2100 Gödöllő, Szabadság tér 19. |
037734 – Karolina Katolikus Általános Iskola, Székesegyházi Kórusiskola és Alapfokú Művészeti Iskola |
2600 Vác, Konstantin tér 7. |
057753 – Szent János Katolikus Általános Iskola |
2371 Dabas, Rákóczi u. 2/a. |
201078 – Szolnoki Mustármag Római Katolikus Óvoda |
5000 Szolnok, Templom út 8. |
201326 – Tiszaparti Római Katolikus Általános Iskola és Gimnázium |
5000 Szolnok, Tiszaparti sétány 4/a |
201509 – II. János Pál Pápa Katolikus Óvoda és Általános Iskola |
3078 Bátonyterenye, Zrínyi út 1. |
201528 – Újhatvani Római Katolikus Általános Iskola |
3000 Hatvan, Rákóczi út 4 |
201536 – Szent Ambrus Katolikus Általános Iskola |
2648 Patak, Rákóczi út 4. |
201611 – Szent Erzsébet Katolikus Óvoda |
2120 Dunakeszi, Szent László utca 4. |
203489 – Szent Ágoston Keresztény Általános Iskola és Gimnázium |
2151 Fót, Vörösmarty u. 4. |
201669 – Szent István Római Katolikus Általános Iskola és Óvoda |
5094 Tiszajenő, Széchenyi út 28. |
201690 – Széchenyi István Római Katolikus Technikum és Gimnázium |
3000 Hatvan, Bajcsy-Zs. u. 6. |
201696 – Magyar Szentek Római Katolikus Óvoda és Általános Iskola |
3060 Pásztó, Deák Ferenc út 17. |
201744 – Váci Mihály Katolikus Általános Iskola |
2760 Nagykáta, Vadász út 1. |
201791 – Petőfi Sándor Római Katolikus Általános Iskola és Gimnázium |
2220 Vecsés, Petőfi tér 1. |
201818 – Zagyvaszántói Római Katolikus Általános Iskola |
3031 Zagyvaszántó, Rákóczi Ferenc út 27-29. |
202722 – Páter Bárkányi János Katolikus Óvoda, Általános Iskola és Gimnázium |
3170 Szécsény, Magyar út 13-15. |
201609 – Búzaszem Katolikus Általános Iskola és Alapfokú Művészeti Iskola |
2131 Göd, Vécsey Károly utca 1. |
203217 – Veresegyházi Katolikus Gimnázium |
2112 Veresegyház, Fő út 117 – 125. |
203317 – Krisztus Király Római Katolikus Általános Iskola |
2120 Dunakeszi, Táncsics utca 4-6 |
203448 – Szent Anna Katolikus Óvoda |
2143 Kistarcsa, Pozsonyi utca 8-10. |
- Az EKIF, mint fenntartó adatkezeléssel kapcsolatos jogai és kötelezettségei
Általános elvek
Az Intézmények jogosultak a fenntartó Egyházmegyei Katolikus Iskolák Főhatósága (a továbbiakban: EKIF) részére az EKIF fenntartói feladatai, valamint jogszabályban meghatározott egyéb közfeladatai ellátásával kapcsolatban az Érintett személyes adatainak továbbítására.
Azon adatok tekintetében, melyet az Intézmény és az EKIF egyaránt jogosult kezelni, az Intézmény és az EKIF közös adatkezelőnek minősül. Az ilyen adatok tekintetében a közös adatkezelők jogosultak az Érintett mindkettőjük által kezelhető személyes adatainak az egymás között történő továbbítására, egymással történő megosztására.
Személyes adatok védelme az előterjesztések, tájékoztatók, valamint azok mellékleteinek közzététele során
Az EKIF részére készülő, az Intézménnyel kapcsolatos előterjesztések, tájékoztatók és azok mellékletei személyes adatokat csak a jogszabály szerinti kötelezettség teljesítése érdekében, és csak a jogszabály szerinti terjedelemben tartalmazhatnak.
A zárt ülésen tárgyalt, az Intézményt érintő, személyes adatokat is tartalmazó ügyek esetében hozott határozatok esetében az Érintett neve, valamint az Érintett azonosítására alkalmas adat nem hozható nyilvánosságra, illetve nem tehető közzé. A határozatok közzététele során a személyes adatokat felismerhetetlenné kell tenni. Az EKIF számára történő azonosítás ilyen esetekben álnevesítéssel vagy az Érintett monogramjával, továbbá technikai azonosító alkalmazásával biztosítható.
Nyilvános ülés tartása esetén az Intézmény vezetője az adatok előkészítése körében gondoskodik arról, hogy a tájékoztató, az előterjesztés vagy annak melléklete csak akkor tartalmazzon személyes adatot, ha annak nyilvánosságra hozatalához az Érintett írásban hozzájárult.
EKIF képviselő általi adatigénylés
Az EKIF képviselő jogosult a képviselői munkájához szükséges döntés megalapozását szolgáló, valamint üzleti titok körébe tartozó adatokat megismerni, azonban az így megismert adatokat, információkat a képviselő csak képviselő-testületi tevékenységével összefüggésben használhatja fel, és ezen adatokat nem jogosult korlátozás nélkül nyilvánosságra hozni.
- Adatvédelmi tisztviselő
Az adatvédelemmel kapcsolatos tevékenységek egységesítése céljából az EKIF központilag szerződött adatvédelmi tisztviselőt alkalmaz, aki az összes intézmény részére ellátja ezen tisztviselői feladatokat.
Az adatvédelmi tisztviselő elérhetősége:
Telefon: 06-70-793-5688
e-mail: gdpr@privacyprofessional.hu
Adatkezelő biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
Adatkezelő támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
Adatkezelő biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el.
Az adatvédelmi tisztviselő közvetlenül az adatkezelő vezetőjének tartozik felelősséggel. Az érintettek a személyes adataik kezeléséhez és az általános adatvédelmi rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak. Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség, az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
Az adatvédelmi tisztviselő alapvető feladatai:
- tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az általános adatvédelmi rendelet, valamint az egyéb adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
- ellenőrzi általános adatvédelmi rendeletnek, valamint az egyéb adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is.
- kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- együttműködik a felügyeleti hatósággal; és
- az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
- A szabályzat hatálya
-
- Személyi hatály
A szabályzat személyi hatálya kiterjed mindazokra, akik az intézmények általi adatkezeléssel érintettek, annak során jogaik vagy kötelességeik vannak.
Jellemzően azokra terjed ki a személyi hatály, akik:
- Adatkezelőnél tanulói jogviszonyban állnak
- Adatkezelőnél tanulói jogviszonyban álló személyek törvényes képviselői
- Adatkezelőnél foglakoztatott személyek, függetlenül a jogviszony jellegétől. (közalkalmazott, munkavállaló)
- Adatkezelővel munkavégzésre irányuló egyéb jogviszonyban (megbízás) álló személyek
- Adatkezelőnél vállalkozási / szolgáltatási feladatokat ellátó személyek/szervezetek
- Adatkezelővel egyéb szerződéses jogviszonyban (bérleti szerződés, együttműködési megállapodás) álló személyek
- Bármely olyan természetes személy, jogi személy, jogi személyiség nélküli szervezet, akiknek adatait adatkezelő tevékenységénél fogva kezeli, és nem tartozik az a-f pont alá.
-
- Tárgyi hatály
A szabályzat tárgyi hatálya kiterjed Adatkezelő mindazon
- szervezeti,
- működési,
- gazdasági,
- társadalmi vagy
- egyéb viszonyára,
melynek során adatkezelés valósul meg. Előbbiek körébe tartozik különösen a tanulói jogviszonnyal kapcsolatos adatkezelési tevékenyég, kirándulásokkal, rendezvényekkel kapcsolatos adatok kezelése, honlap adattartalma.
- Adatkezelési tevékenység Alapelvei
Adatkezelés során az Adatkezelőnek elsősorban az alábbi elvek betartására kell törekednie.
- Az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság elve”)
- gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, („célhoz kötöttség elve”);
- az adatkezelés célja szempontjából megfelelő és releváns kell, hogy legyen, és a szükséges mértékre kell korlátozódnia („arányosság, szükségesség, adattakarékosság elve”);
- a kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság, naprakészség elve”);
- az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor („korlátozott tárolhatóság elve”);
- kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg elve”).
- Az adatkezelési tevékenyég valamennyi művelete során úgy kell eljárni, hogy bármikor bizonyítható legyen, hogy az az adatvédelmi előírásoknak megfelel. („elszámoltathatóság elve”)
- Általános szabályok
Az Intézmény szervezeti egységeinek kötelezettsége
Az Intézmény szervezeti egységei:
- a jogszabályokban meghatározott szakmai feladatok ellátása során, kizárólag az adott feladat vagy döntés előkészítése érdekében feltétlenül vagy jelentős mértékben szükséges adatok kezelését, illetve szükség esetén a személyes adatok álnevesítését végezhetik,
- az Intézmény által kezelt közérdekű vagy közérdekből nyilvános adatok kezelésével és közzétételével kapcsolatos feladatokat kötelesek ellátni.
Az adatvédelem tárgya és terjedelme
Az adatvédelem követelményének teljesülését biztosítani kell valamennyi, az Intézmény működése során keletkezett személyes és közérdekű vagy közérdekből nyilvános adat esetében, a keletkezésüktől, beszerzésüktől a törlésükig, megsemmisítésükig terjedő időszakban.
Az adatvédelem kiterjed a fizikai megjelenésüktől, formájuktól, típusuktól függetlenül bármely adathordozóra, amely személyes vagy közérdekű adatot tartalmaz. Adathordozónak minősülnek többek között a papír alapú ügyiratok, kimutatások, listák, térképek, műszaki vagy közbeszerzési dokumentációk, továbbá a mágneses adathordozók és az elektronikus adattároló, adathordozó informatikai rendszerek.
Az adatvédelem kiterjed az Intézményre vagy harmadik személyekre vonatkozó üzleti titokra, illetve jó hírnév körébe tartozó adatokra.
Az adatvédelem kiterjed arra a fizikai térre is, ahol az adatállomány kezelése, tárolása történik.
Általános adatvédelmi követelmények
Az adatkezelés során az Adatkezelő köteles biztosítani az adatok helyes és pontos tartalmát, hibás adat észlelése esetén pedig köteles a hibás vagy pontatlan adat javítását haladéktalanul elvégezni. Az Adatkezelő köteles továbbá az általa kezelt adatokat lehetőségeihez mérten aktualizálni, frissen tartani. Az Adatkezelő köteles biztosítani a kezelésében lévő adatok, valamint az azokat tartalmazó adatállományok és adatbázisok folyamatos vezetését, aktualizálását, továbbá az adatállományoknak és adatbázisoknak az arra jogosultak számára való rendelkezésre állását.
- Adatkezelési tevékenység jogalapjai
Az adatkezelés jogszerűségéhez az alábbi jogalapok valamelyikének igazolása, fennállása szükséges:
- az érintett hozzájárulása;
- az adatkezelés olyan szerződés teljesítése érdekében szükséges, amelyben az egyik fél az érintett vagy az az érintett kérésére történő intézkedéshez szükséges;
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
- az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Amennyiben az adatkezelés hozzájáruláson alapul, minden esetben tudni kell igazolni, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
A tanulók esetében, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek felett szülői felügyeletet gyakorló személy adta meg, illetve engedélyezte
A hozzájárulást jelen szabályzat 1. számú mellékletében található minta, vagy azzal azonos adattartalmú nyilatkozat alkalmazásával kell beszerezni. A nyilatkozatokat meg kell őrizni a tanulói jogviszony befejezése utáni további 5 évig.
- Alapvevő fogalmak adatkezeléssel kapcsolatban
érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;
azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
személyes adat: az érintettre vonatkozó bármely információ;
különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,
genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;
biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;
egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat
közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;
adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;
adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;
adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;
adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;
adatközlő: az a közfeladatot ellátó szerv, amely – ha az adatfelelős nem maga teszi közzé az adatot – az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi;
adatállomány: az egy nyilvántartásban kezelt adatok összessége;
harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;
adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
profilalkotás: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
álnevesítés: személyes adat olyan módon történő kezelése, amely – a személyes adattól elkülönítve tárolt – további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;
- Az adatkezeléssel érintettek jogai
Az érintettek tájékoztatása, kérelem az érintett adatainak módosítására
Az adatkezelés által érintett személlyel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás milyen jogalapon történik. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. A munkavállaló, a tanuló vagy gondviselője tájékoztatást kérhet személyes adatainak kezeléséről, valamint kérheti személyi adatainak helyesbítését, illetve kijavítását, amelyet Adatkezelő köteles teljesíteni. A munkavállaló, a tanuló, illetve gondviselője jogosult megismerni, hogy az adatkezelés során adatait kinek, milyen céljából és milyen terjedelemben továbbították. Az érintett munkavállaló, tanuló, illetve gondviselője vagy az intézménnyel jogviszonyban nem álló személy számára, akinek adatait kezeli az intézmény, kérésére tájékoztatást ad az intézmény által kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Adatkezelő vezetője a kérelem benyújtásától számított 30 napon belül írásban, közérthető formában köteles megadni a tájékoztatást.
Törlés és elfeledtetés joga
Az érintett jogosult arra, hogy kérésére az Adatkezelő törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
- a személyes adatra már nincs szükség abból a célból, melyből azt gyűjtötték, vagy más módon kezelték
- az érintett hozzájárulásán alapuló adatkezelés esetén visszavonja hozzájárulását, és nincs más jogalap az adatkezelésre
- a személyes adatok jogellenesen kerültek kezelésre
- A személyes adatokat UNIO-s vagy hazai jogszabályban előírt kötelezettség teljesítéshez törölni kell
Zároláshoz/korlátozáshoz való jog
Az érintett nemcsak a törlést, hanem adatai kezelésnek korlátozását/zárolását is kérheti, az alábbi esetekben:
- az érintett vitatja személyes adati pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, mely lehetővé teszi, hogy Adatkezelő ellenőrizze a személyes adatok pontosságát,
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, helyette pedig kéri az adatok felhasználásnak korlátozását
- már nincs szükség a személyes adatok kezelésre, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez,
Adatkezelőnek az érintettet az adatkezelés korlátozásnak feloldásról értesítenie kell.
Az érintett személyek tiltakozási joga
Az érintett tiltakozhat személyes adatának kezelése ellen, ha
- a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
- a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvéleménykutatás vagy tudományos kutatás céljára történik;
- a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.
Adatkezelő vezetője – az adatkezelés egyidejű felfüggesztésével – a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 8 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Amennyiben az érintett a meghozott döntéssel nem ért egyet, az ellen – annak közlésétől számított 30 napon belül bírósághoz fordulhat.
Tájékoztatás az adatkezelés szabályairól
Adatkezelő honlapján közzéteszi „adatkezelés szabályairól” szóló tájékoztatóját.
Bírósági jogérvényesítés/panasztétel lehetősége
Amennyiben Adatkezelő adatkezelési tevékenysége során az érintett jogait megsérti, az érintett (pl. munkavállaló, tanuló vagy annak gondviselője) Adatkezelő ellen az adatvédelmi felügyeleti hatóságnál panasszal élhet a vagy bírósághoz fordulhat.
Az adatvédelmi felügyeleti hatóság:
Nemzeti Adatvédelmi és Információszabadság Hatóság
1055 Budapest, Falk Miksa utca 9-11.
e-mail: ugyfelszolgalat@naih.hu
- Adatkezelő feladatai és kötelezettségei
Adatkezelő tevékenysége során folyamatosan megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a személyes adatok kezelése az általános adatvédelmi rendelettel és a jelen szabályzattal összhangban történjen és annak érdekében, hogy kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek.
Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek.
A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az együttműködés feltételeit. A megállapodás lényegét az érintett rendelkezésére kell bocsájtani. Az érintett mindegyik adatkezelővel szemben gyakorolhatja a jogait.
Adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről írásbeli nyilvántartást vezet, amennyiben az adatkezelés a különleges személyes adatokat érinti.
E nyilvántartás a következő információkat tartalmazza:
- az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
- az adatkezelés céljai;
- az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
- olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják,
- ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
- technikai és szervezési intézkedések általános leírása.
Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáljon.
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
- természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
- Különleges személyi adatok vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
- nyilvános helyek nagymértékű, módszeres megfigyelése.
Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
- Az adatbiztonsággal kapcsolatos alapvető követelmények
Az Adatkezelő köteles biztosítani az Intézmény informatikai rendszerének, adatbázisainak,
nyilvántartásainak folyamatos, zavartalan működését, valamint a jogosultak számára a szükség
szerinti, szabályozott hozzáférést.
Az Adatkezelő köteles gondoskodni a tárolt adatok, adatállományok fizikai biztonságáról.
Az Adatkezelő köteles a legújabb technikai fejlesztések nyújtotta előnyöket is kihasználva
minden lehetséges intézkedést megtenni a kezelt adatokat érintő jogosulatlan hozzáférés,
megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a
véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltoztatásából fakadó
hozzáférhetetlenné válás megelőzése, megakadályozása érdekében.
A különböző nyilvántartásokban elektronikusan kezelt adatállományok vonatkozásában az
Adatkezelő megfelelő technikai megoldások alkalmazásával köteles biztosítani, hogy a különbözőnyilvántartásokban kezelt adatok közvetlenül ne legyenek egymással összekapcsolhatóak, valamint azokat ne lehessen az Érintetthez rendelni. Az Adatkezelő mentesül a jelen pontban foglalt kötelezettsége alól jogszabály eltérő rendelkezése esetén.
Az Adatkezelő az alkalmazott informatikai eszközöket köteles úgy megválasztani és üzemeltetni, hogy biztosítsa a személyes adatok tekintetében
- a jogosultak szükség szerinti hozzáférését,
- a személyes adatok védelmét a jogosulatlan hozzáféréssel szemben, továbbá
- a személyes adatok integritását, teljességét.
A döntés megalapozottságát szolgáló adatokat, valamint az üzleti titkot tartalmazó iratokat,
dokumentumokat azok keletkezésétől, beszerzésétől a törlésükig, megsemmisítésükig a
hozzáférési jogosultsággal nem rendelkező személyek elől elzártan kell tartani.
Az Adatkezelő köteles biztosítani, hogy az Intézmény azon helyiségeibe, ahol adatkezelés
történik, hozzáférési jogosultsággal nem rendelkező személyek ne juthassanak be.
Az Adatkezelő köteles gondoskodni arról, hogy az elektronikus adatbázisok, elektronikus
levelezés (e-mail), a hálózaton tárolt dokumentumok és más elektronikus adat esetében azok
kezelésére az informatikai szabályozások figyelembevételével kerüljön sor.
A papíralapon kezelt személyes adatok biztonsága érdekében az alábbi intézkedéseket kell alkalmazni:
- az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak
- a dokumentumokat jól zárható, száraz helyiségben kell elhelyezni
- a folyamatos aktív kezelésben lévő iratokhoz csak az illetékesek férhetnek hozzá
- Az intézmény adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja
- Az adatkezelést végző munkatárs a munkavégzés befejeztével a papíralapú adathordozót elzárja;
- amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat kell alkalmazni, és a papír alapú dokumentumot lehetőség szerint meg kell semmisíteni
A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az alábbi intézkedéseket kell alkalmazni:
- az adatkezelés során használt számítógépek az intézmény tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír;
- a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal – legalább felhasználói névvel és jelszóval – lehet csak hozzáférni, a jelszavak cseréjéről rendszeresen gondoskodni szükséges;
- a hálózati kiszolgáló gépen (a továbbiakban: szerver) tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
- amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;
- a személyes adatokat tartalmazó adatbázisok aktív adataiból napi mentést végez, a mentés a központi szerver teljes adatállományára vonatkozik;
- a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;
- a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését.
- Adatvédelem, adatbiztonság érdekben alkalmazandó eljárások
-
- Teendők adatvédelmi incidens esetén
Adatvédelmi incidens gyanúja esetén minden esetben célszerű azonnal az Adatvédelmi tisztviselő segítségét kérni, aki a teljes bejelentési és kivizsgálási folyamatot koordinálni fogja!
Az a személy, aki Adatkezelő által kezelt vagy feldolgozott személyes adatokkal kapcsolatban adatvédelmi incidenst, azaz személyes adat jogellenes kezelését vagy feldolgozását, így különösen jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést vagy megsemmisítést, valamint véletlen megsemmisülést és sérülést észlel, azt köteles Adatkezelő vezetőjének haladéktalanul bejelenteni, megadva az incidens tárgyát, valamint azt, hogy az incidens informatikai rendszert érint-e.
A bejelentő további olyan információkat is megadhat, amelyeket az incidens beazonosítása, megvizsgálása szempontjából lényegesnek ítél.
Adatkezelő vezetője a bejelentést követően tájékoztatja az adatvédelmi felelőst az adatvédelmi incidens bekövetkezéséről, megadva a bejelentő nevét, elérhetőségét, továbbá a bejelentett adatvédelmi incidens tárgyát, azt, hogy az incidens informatikai rendszert érint-e, valamint a további, a bejelentő által tudomására hozott egyéb információkat.
Amennyiben az adatvédelmi incidens informatikai rendszert érintően következett be, akkor az informatikai rendszert felügyelő személyt is tájékoztatja.
A bejelentés megvizsgálása és az incidens kezelése
A belső adatvédelmi felelős – informatikai rendszert érintő incidens esetén az informatikai rendszert felügyelő személlyel együttműködve – a bejelentést megvizsgálja, és a bejelentőtől adatszolgáltatást kér az alábbiakra vonatkozóan:
- az incidens bekövetkezésének időpontját és helyét,
- az incidens leírását, körülményeit, hatásait,
- az incidens során kompromittálódott adatok körét, számosságát,
- a kompromittálódott adatokkal érintett személyek körét,
- az incidens elhárítása érdekében tett intézkedések leírását,
- a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.
Amennyiben az adatszolgáltatás alapján az adatvédelmi incidens vizsgálatot igényel, azt a belső adatvédelmi felelős elvégzi, informatikai rendszerben bekövetkezett adatvédelmi incidens esetében az informatikai rendszert felügyelő személyt is bevonva.
A vizsgálat során bárkit meghallgathat, és bármilyen dokumentumba betekinthet, aki vagy amely az adatvédelmi incidenssel érintett, vagy annak kivizsgálást segítheti.
A vizsgálat eredménye alapján az adatvédelmi tisztviselő javaslatot tesz az adatvédelmi incidens elhárításához szükséges intézkedésekről az intézményvezetőnek.
A javaslat alapján a megvalósítandó további intézkedésekről az intézményvezető dönt.
Az incidens nyilvántartása
Az adatvédelmi incidensről a belső adatvédelmi felelős nyilvántartást vezet. A nyilvántartásba rögzíteni kell:
- az érintett személyes adatok körét,
- az adatvédelmi incidenssel érintettek körét és számát,
- az adatvédelmi incidens időpontját,
- az adatvédelmi incidens körülményeit, hatásait,
- az adatvédelmi incidens elhárítására megtett intézkedéseket,
- az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat személyes adatokat érintő incidens esetében 5 évig, különleges adatokat érintő incidens esetében 20 évig köteles a belső adatvédelmi felelős megőrizni.
Abban az esetben, amennyiben a biztonság sérül és ennek eredményeképpen adatvesztés vagy illetéktelen hozzáférés történik (adatvédelmi incidens) az adatkezelő legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelentéssel élni a felügyeleti hatóság felé. Ez alól kivételt jelent az, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira vonatkozóan.
Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira nézve az adatkezelő köteles az érintetteket is tájékoztatni az adatvédelmi incidens megtörténtéről. Ez alól kivételt jelent:
- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
-
- Elektronikus levelezéssel kapcsolatos fő szabályok
- A munkavállaló az elektronikus levelezőrendszert magán célra nem használhatja, a fiókban személyes leveleket nem kezelhet. Az elektronikus levelezőrendszer informatikai védelméről a rendszergazda gondoskodik.
- Az elektronikus levelezőrendszer használata során az érintett munkavállaló köteles megfelelő körültekintéssel eljárni, mind a címzettek megadása, titkos másolatok alkalmazása, mind a dokumentumok csatolása során. Ügyelni kell arra, hogy a címzettek és másolatot kapó személyhez kapcsolódó elektronikus levelezési cím is személyes adat.
- Az elektronikus levelezés során törekedni kell a személyes adatok titkosítására
- A dokumentumok tervezeteit személyes adatok feltüntetése nélkül kell egyeztetésre küldeni.
- A munkahelyi levelezőrendszer használata kizárólag munkahelyi eszközökön engedélyezett.
- Amennyiben megállapítható, hogy a munkavállaló az elektronikus levelezőrendszert személyes célra használta, fel kell szólítani, hogy a személyes adatokat haladéktalanul törölje.
- A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetleges magáncélú leveleit törölje. A jogviszony megszűnését követően a társaság az elektronikus levelezőrendszerben tárolt személyes adatokat megsemmisíti.
- Az a munkavállaló, aki a levelezőrendszer működésében rendellenességet észlel, vagy olyan személyes adat válik számára hozzáférhetővé, amelynek megismerésére nem jogosult, köteles azonnal jelezni a rendszergazda, és az intézmény vezetője felé.
-
- Kilépő munkavállaló e-mail fiókjának kezelése
- Amikor valaki elhagyja az intézményt, lehetőséget kell számára biztosítani a személyes e-mailjei összegyűjtéséhez. Ennek azt megelőzően kell megtörténnie, hogy az érintett ténylegesen távozna, ennek végrehajtására és felülvizsgálatára egy megbízható személy kijelölése javasolt. A személyes email-ek összegyűjtésének és átadásának tényét dokumentálni kell.
- A kilépő munkavállalóval közösen a folyamatban lévő ügyekkel kapcsolatos levelezéseket továbbítani kell abba a postafiókba, aki az intézményen belül tovább viszi az ügyeket.
- Kilépés után az intézménynek aktiválnia kell egy automatikus üzenetet, mely tájékoztatja a levélírókat, hogy az érintett személy már nem dolgozik, illetve megadja egy másik illetékes személy elérhetőségét, akihez kérdéseikkel fordulhatnak. A munkavállaló távozásáról tájékoztató automatikus válaszüzenetnek alapesetben egy hónapig üzemelni javasolt, mely szükség esetén 3 hónapig meghosszabbítható.
- Az automatikus válaszüzenet maximális időtartamának (3 hónap) elérése után az e-mail fiókot törölni kell.
-
- Tanulók email fiókjának kezelése a tanulói jogviszony megszűnése után
- A tanulói jogviszony megszűnése előtt lehetőséget kell neki biztosítani a személyes e-mailjei összegyűjtéséhez. Erre célszerű felhívni a figyelmét legalább egy hónappal az utolsó tanítási napja előtt. A tanuló maga felelős azért hogy a számára szükséges email-eket saját részre elmentse.
- Amint a tanulói jogviszony megszűnik az email fiókot a lehető leghamarabb törölni kell.
-
- Informatikai eszközök használata
- Az intézmény által, a munkavállalóknak biztosított számítástechnikai vagy elektronikus eszközt így különösen számítógépet, laptopot, tabletet a munkavállaló kizárólag a munkavégzéshez használhatja, ezek magáncélú használatát nem engedélyezzük. Ezen eszközökön a munkavállaló semmilyen, nem munkavégzéshez szükséges személyes adatot, levelezését nem kezelhet és nem tárolhat.
- Az elektronikai eszközök időszakos mentéséről szükség esetén gondoskodni kell, azonban ezt megelőzően az érintetteket fel kell hívni, hogy esetleges személyes adataikat távolítsák el az adathordozókról.
- Az intézmény által biztosított mobil adathordozókon kívül egyéb eszköz nem csatlakoztatható az informatikai eszközökhöz, jelszavas védelmi ellenőrzéssel biztosítani kell az idegen eszközök használatának kizárását.
- Az informatikai eszköz javítására az intézmény rendszergazdája gondoskodik, amennyiben ő nem tudja megjavítani, úgy a javítás idején jelen kell lennie, hogy személyes adat jogosulatlanul ne kerülhessen ki az informatikai eszköz adathordozójáról. A harmadik személy által végzett javítás idején akkor lehet az informatikus távol, ha adathordozót (winchestert) nem ad át, vagy a harmadik személy igazolja, hogy az általa folytatott tevékenység a GDPR rendeletnek megfelel, és titoktartási nyilatkozatot tesz.
- Az informatikai eszköz selejtezését, értékesítését megelőzően gondoskodni kell az adathordozó fizikai megsemmisítéséről.
- A jogviszony megszűnését megelőzően a munkavállaló gondoskodik arról, hogy az esetlegesen informatikai eszközön lévő magáncélú adatait törölje. A jogviszony megszűnését követően az intézmény az informatikai eszközön tárolt személyes adatokat megsemmisíti.
- Az informatikai eszközök védelméről a rendszergazda gondoskodik, amelynek során megfelelő intézkedéseket tesz annak érdekében, hogy az eszköz elvesztése esetén a tárolt személyes adatokhoz ne lehessen hozzáférni.
A munkavállaló köteles 24 órán belül bejelenteni a vezetője részére, ha informatikai eszközét elvesztette és közölni hogy az eszközön megközelítőleg hány, és milyen jellegű
személyes adat volt.
-
- A közérdekű adatok nyilvánossága
Az Intézmény biztosítja a lehetőségét, hogy a kezelésében lévő közérdekű adatot bárki megismerhesse. Nem minősülnek közérdekű adatnak a személyes adatok, a jóhírnév körébe tartozó adatok, a minősített adatok, a döntés előkészítéssel kapcsolatos adatok a jogszabályban meghatározott feltételekkel és ideig, valamint az üzleti titoknak minősülő adatok.
Az egyházi fenntartású Intézmény esetében adat üzleti titoknak csak különösen indokolt és kivételes esetben, egyedi mérlegelést követően minősíthető.
Azon ügyek, illetve dokumentumok esetén, amelyek az igénylő által megismerhető (közérdekű és közérdekből nyilvánosnak minősülő), illetve az igénylő által meg nem ismerhető (közérdekűnek és közérdekből nyilvánosnak nem minősülő) adatokat egyaránt tartalmaznak, biztosítani kell ezen adatok egymástól való elhatárolását, és az igénylő által meg nem ismerhető adatokat a kiadott másolaton felismerhetetlenné kell tenni.
A közérdekű adat megismerésére vonatkozó kérelemmel kapcsolatos eljárási szabályok
A közérdekű adatok megismerésére irányuló kérelemmel kapcsolatos eljárás a kérelem benyújtásával indul.
A közérdekű adat megismerése iránt bármely természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet (a továbbiakban: kérelmező) kérelmet nyújthat be. A kérelem benyújtása személyesen, illetve postai vagy elektronikus úton történhet. Személyesen a kérelmező a kérelmét szóban vagy írásban, míg postai vagy elektronikus út esetén kizárólag
írásban jogosult benyújtani. A szóban benyújtott kérelemről az Intézmény arra jogosult dolgozója jegyzőkönyvet vesz fel a későbbi azonosításra alkalmas módon történő rögzítés érdekében.
A beérkezett közérdekű adat megismerésére vonatkozó kérelmet az Intézmény mindenkori iratkezelési és iktatási rendjének megfelelően iktatni kell, majd az Intézmény vezetőjének szignálását követően haladéktalanul továbbítani kell az Adatfelelőshöz. Amennyiben a kérelem több Adatfelelőst érint, abban az esetben az Intézmény vezetője jelöli ki az ügyben eljáró Adatfelelőst (a továbbiakban: Illetékes Adatfelelős).
Az Illetékes Adatfelelős által kijelölt ügyintéző a beérkezett kérelmet – annak tartalma alapján – haladéktalanul megvizsgálja, valamint szükség esetén beszerzi a többi, ügyben érintett Adatfelelőstől a szükséges dokumentumokat, információkat, adatokat. Az Illetékes Adatfelelős az adatszolgáltatást követően visszaszolgáltatja az ügyben érintett többi Adatfelelős számára az adatszolgáltatással kapcsolatos valamennyi, általuk az Illetékes Adatfelelős részére rendelkezésre bocsátott dokumentumot, adatot.
Abban az esetben, ha a kérelmező hiánypótlására, nyilatkozatára vagy az iratok áttételére van szükség, az Illetékes Adatfelelős erről az Intézmény vezetőjét haladéktalanul értesíti.
Amennyiben nincs szükség a 3.5. pont szerinti eljárásra, akkor az Illetékes Adatfelelős az előkészített válaszlevél-tervezetet és az igényelt adatokat legkésőbb a teljesítési határidő leteltét megelőző harmadik napon küldi meg az Intézmény vezetőjének.
A közérdekű adat megismerésére irányuló kérelmet az Adatkezelő a kérelem beérkezését követő 15 napon belül bírálja el. Az adatigénylés határideje a jelentős terjedelmű, illetve nagyszámú adatra vonatkozó adatigénylés esetén egy alkalommal, 15 nappal meghosszabbítható.
Az ügyintézés során az Adatkezelő köteles a jelen Szabályzatban foglaltak mellett az Infotv. -ben foglalt egyéb szabályokat és határidőket is figyelembe venni, és biztosítani azok érvényesülését.
A közérdekű adatigénylés teljesíthetőségéről való döntéshozatal
A kérelem az alábbi feltételek együttes fennállása esetén minősül teljesíthetőnek:
- a kérelmező elérhetősége tisztázott,
- a kérelmező által megismerni kívánt adatok köre pontosan meghatározható, egyértelmű,
- a kérelem tárgyát képező adatok az Intézmény kezelésében vannak,
- az igényelt adatok közérdekű adatnak minősülnek, és az adatszolgáltatás költségtérítés nélkül teljesíthető, vagy a kérelmező vállalja a megállapított költségek megtérítését.
A kérelmet csak akkor lehet teljesíteni, ha a kérelmező a nevét és postai vagy elektronikus elérhetőségét megadta.
Amennyiben a kérelem vizsgálata során a megismerni kívánt adatok köre nem egyértelmű vagy nem határozható meg pontosan, az Adatkezelő haladéktalanul köteles a kérelmezőt mindezekről tájékoztatni, és felhívni kérelme pontosítására a kérelmező által megadott elérhetőségek (telefon, illetve postai vagy elektronikus út) valamelyikén.
Ha a kért adatot nem az Intézmény kezeli, akkor az Intézmény a kérelmet a kérelem megvizsgálásától számított 3 munkanapon belül továbbítja az illetékes szervnek, amelyről egyidejűleg tájékoztatja a kérelmezőt is.
Amennyiben a kérelmező olyan közérdekű adatot kíván megismerni, amelyet az Adatkezelő a honlapján már közzétett, vagy a közérdekű adat más honlapon fellelhető, az Adatkezelő úgy is eleget tehet tájékoztatási kötelezettségének, hogy a kérelmező részére az adatszolgáltatást az adat fellelhetőségének helyét megjelölő link megküldésével teljesíti.
Az adatigénylés teljesíthetőségének körében mérlegelni szükséges, hogy a kért módon vannak-e tárolva az adatok az Intézményben, vagy az adatok feldolgozása, átalakítása szükséges az adatigénylés teljesítéséhez. Ez utóbbi esetben a feldolgozáshoz, átalakításhoz szükséges munka anyagi és erőforrásigénye alapján költségtérítés megállapításának lehet helye a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendeletben foglaltak figyelembevételével, melyről a kérelmezőt haladéktalanul tájékoztatni kell. Ha az igényelt adatok elektronikus formában rendelkezésre állnak, és az adatszolgáltatás további aránytalan munkavégzést, adatfeldolgozást nem igényel, illetve az adatigénylés elektronikus formában lehetséges, abban az esetben költségtérítés nem állapítható meg.
Az adatigénylés beérkezésétől számított 15 napon belül az Intézmény köteles tájékoztatni a kérelmezőt az esetlegesen felmerült költségtérítés mértékéről, és egyúttal az Intézmény köteles felhívni a kérelmezőt, hogy a tájékoztatás kézhezvételétől számított 30 napon belül nyilatkozzon arról, hogy a költségtérítést megfizeti-e, vagy a kérelme teljesítésétől eltekint. Amennyiben a kérelmező a költségeket megtéríti, a költségtérítés Adatkezelőhöz történő megérkezésétől számított 15 napon belül az Adatkezelő köteles az adatigénylést teljesíteni.
A védett, közérdekű vagy közérdekből nyilvános adatnak nem minősülő adatok védelme
Az Adatfelelős egyeztet az adatvédelmi tisztviselővel, ha megítélése szerint a kérelmező által igényelt adatok között a jelen fejezet 5. pontja szerinti, közérdekű adatnak nem minősülő adatok is szerepelnek. Amennyiben az Adatfelelős jogi álláspontjával az adatvédelmi tisztviselő is egyetért, és ezen adatok nem minősülnek közérdekből nyilvános adatnak, abban az esetben az Adatfelelős a közérdekű adatot is tartalmazó dokumentum azon részét, mely a kérelmező által meg nem ismerhető adatot is tartalmaz, a másolaton felismerhetetlenné teszi.
A felismerhetetlenné tétel
- papír alapú másolat esetén az érintett, meg nem ismerhető részek fénymásolás közbeni letakarásával
- elektronikus adathordozó, illetve elektronikus levél esetén az érintett részek külön dokumentumba történő kiválogatásával, vagy ha ez nem lehetséges, az érintett részek dokumentumból való törlésével történik.
Ha a b) alpontban foglalt eljárás a tárolt adatok integritását veszélyezteti, abban az esetben az elektronikusan tárolt adatokat az Adatfelelős kinyomtatja, majd az így papír alapúvá vált adatok közül az érintett adatokat felismerhetetlenné teszi, majd ezt követően szükség esetén ismét digitalizálja a felismerhetetlenné tett másolatot.
Az érintett adatokat a személyes bemutatásra történő előkészítés során is felismerhetetlenné kell tenni, olyan eljárás alkalmazásával, mely garantálja, hogy a kérelmező ne ismerhesse meg személyes betekintése során az érintett adatokat.
Ha a kérelem csak részben teljesíthető, a kérelmezőt tájékoztatni kell a felismerhetetlenné tétel tényéről, a nyilvánosságra hozatalban korlátozott adatok köréről és megismerhetőségének módjáról.
A közérdekű adatok megismerésére vonatkozó igény teljesítése, az adatok átadása
Amennyiben a kérelmező az adatokat személyesen kívánja megismerni, abban az esetben a kérelmező az adatvédelmi tisztviselő által kiadhatónak minősített adatokat tartalmazó dokumentumokba az Adatkezelő nyitvatartási idejében, előre egyeztetett időpontban tekinthet be.
A kérelmező személyesen csak közvetlenül jogosult betekinteni, meghatalmazott útján a betekintési jogát nem gyakorolhatja.
A személyesen megjelent kérelmező köteles aláírásával ellátni a betekintésről felvett jegyzőkönyvet, mellyel a kérelmező elismeri az általa igényelt közérdekű adatok átvételének, megismerésének tényét. A jegyzőkönyv kérelmező általi aláírásának megtagadása vagy elmulasztása az adatok átadásának, megismerhetővé tételének akadályát képezi. Amennyiben a kérelmező az általa megismert adatokról másolatot kíván készíteni, az adatkezelő köteles őt az esetlegesen felmerült költségekről tájékoztatni. A kérelmező részére a másolat kizárólag abban az esetben adható ki, ha költségtérítés megállapításának nincs helye, vagy a megállapított költségek megfizetését a kérelmező igazolja. Amennyiben a kérelmező a helyszínen fizeti meg az adatszolgáltatás költségeit, abban az esetben ezt számára megfelelő módon igazolni kell.
Amennyiben a kérelmező az adatokat postai vagy elektronikus úton kívánja megismerni, az Adatfelelős az Intézmény vezetője által aláírt kísérőlevelet, valamint az adatszolgáltatás tárgyát képező adatokat haladéktalanul továbbítja a kérelmező által megjelölt módon (papír alapon, CD-n vagy DVD-n) a kérelmező által megjelölt címre.
Az Adatfelelős kötelezettsége annak biztosítása, hogy a kérelmező részére megküldött dokumentum, másolat – a felismerhetetlenné tétel eseteit leszámítva – az eredetivel megegyező adatokat tartalmazza.
A kérelmező jogorvoslati lehetőségei
Az adatkezelő az igény teljesítésének megtagadásáról, annak indokairól, valamint az Infotv. -ben meghatározott jogorvoslati lehetőségekről az igény beérkezését követő 15 napon belül írásban vagy – ha az igényben elektronikus levelezési címét közölte – elektronikus levélben értesíti a kérelmezőt. Az adatkezelő az elutasított kérelmekről, valamint az elutasítás indokáról nyilvántartást vezet, és az abban foglaltakról a tárgyévet követő év január 31-éig tájékoztatja a NAIH-ot.
A kérelmező a közérdekű adat megismerésére vonatkozó kérelmének elutasítása, vagy a kérelem teljesítésére nyitva álló, illetve az esetlegesen meghosszabbított határidő eredménytelen elteltét követően, továbbá az adatszolgáltatásért vagy másolat készítéséért megállapított költségtérítés összegének felülvizsgálata érdekében bírósághoz fordulhat. A kérelem megtagadásának jogszerűségét és a megtagadás indokait, illetve a másolat készítéséért megállapított költségtérítés összegének megalapozottságát az Adatkezelőnek kell bizonyítania.
A kérelmezőnek a pert az igény elutasításának közlésétől, a határidő eredménytelen elteltétől, illetve a költségtérítés megfizetésére vonatkozó határidő lejártától számított harminc napon belül kell megindítania az Adatkezelő ellen a területileg illetékes törvényszéken.
A kérelmező személyes adatainak kezelése
Az Adatkezelő a kérelem alapján történő adatszolgáltatás esetén a kérelmező személyazonosító adatait csak annyiban kezelheti, amennyiben a kérelem teljesítéséhez, a költségek megfizetéséhez az elengedhetetlenül szükséges. A magánszemély kérelmező személyes adatait az adatszolgáltatást követő egy év elteltével az Adatkezelő köteles törölni az összes digitálisan és papíralapon őrzött nyilvántartásból, dokumentumból.
8.3. Az iktatást és a nyilvántartást úgy kell megszervezni, hogy az adatszolgáltatást követően a kérelmező személyes adatai nehézség nélkül törölhetőek legyenek. A törlés elvégzését az Illetékes Adatfelelős végzi, illetve ellenőrzi.
8.4. A személyes adatok törlése érdekében a Szabályzat 4. számú melléklete szerinti közérdekű adat megismerése iránti kérelem formanyomtatványán külön rész szolgál a személyes adatok feltüntetésére. A személyes adatok részt az adatszolgáltatás teljesítését követően az Adatkezelő köteles a formanyomtatvány többi részétől elválasztani, valamint a személyes adatokat tartalmazó részt megsemmisíteni. A személyes adatok védelme érdekében az adatszolgáltatást követő egy hónap elteltével az Adatfelelős törli a megkeresést a levelezőrendszeréből.
-
- Adattovábbítás általános szabályai
A pedagógusok adatainak továbbítása
Az intézmény pedagógusainak a 17.1. fejezet szerint nyilvántartott adatai továbbíthatók
- Fenntartónak
- a kifizetőhelynek
- bíróságnak
- rendőrségnek
- ügyészségnek
- helyi önkormányzatnak
- államigazgatási szervnek
- a munkavégzésre vonatkozó rendelkezések ellenőrzésére jogosultaknak
- a nemzetbiztonsági szolgálatnak.
A tanulók adatainak továbbítása
a) a neve, születési helye és ideje, lakóhelye, tartózkodási helye, szülője neve, törvényes képviselője neve, szülője, törvényes képviselője lakóhelye, tartózkodási helye és telefonszáma, jogviszonya kezdete, szünetelésének ideje, megszűnése, egyéni munkarendje, mulasztásainak száma a tartózkodásának megállapítása, a tanítási napon a tanítási órától vagy az iskola által szervezett kötelező foglalkozástól való távolmaradás jogszerűségének ellenőrzése és a tanuló szülőjével, törvényes képviselőjével való kapcsolatfelvétel céljából, a jogviszonya fennállásával, a tankötelezettség teljesítésével összefüggésben a fenntartó, bíróság, rendőrség, ügyészség, települési önkormányzat jegyzője, közigazgatási szerv, nemzetbiztonsági szolgálat részére,
b) óvodai, iskolai felvételével, átvételével kapcsolatos adatai az érintett óvodához, iskolához, felsőoktatási intézménybe történő felvétellel kapcsolatosan az érintett felsőoktatási intézményhez,
c) a neve, születési helye és ideje, lakóhelye, tartózkodási helye, társadalombiztosítási azonosító jele, szülője, törvényes képviselője neve, szülője, törvényes képviselője lakóhelye, tartózkodási helye és telefonszáma, az óvodai, iskolai egészségügyi dokumentáció, a tanuló- és gyermekbalesetre, illetve a tanuló fizikai állapotára és edzettségére vonatkozó adatok az egészségi állapotának megállapítása céljából az egészségügyi, iskola-egészségügyi feladatot ellátó intézménynek,
d) a neve, születési helye és ideje, társadalombiztosítási azonosító jele, lakóhelye, tartózkodási helye, szülője, törvényes képviselője neve, szülője, törvényes képviselője lakóhelye, tartózkodási helye és telefonszáma, a gyermek, tanuló mulasztásával kapcsolatos adatok, a kiemelt figyelmet igénylő gyermekre, tanulóra vonatkozó adatok a veszélyeztetettségének megelőzése, feltárása, megszüntetése céljából a családvédelemmel foglalkozó intézménynek, szervezetnek, gyermek- és ifjúságvédelemmel foglalkozó szervezetnek, intézménynek,
e) az igényjogosultság elbírálásához és igazolásához szükséges adatai az igénybe vehető állami támogatás igénylése céljából a fenntartó részére,
f) az állami vizsgája alapján kiadott bizonyítványainak adatai a bizonyítványokat nyilvántartó szervezetnek a bizonyítványok nyilvántartása céljából, továbbá a nyilvántartó szervezettől a felsőfokú felvételi kérelmeket nyilvántartó szervezethez,
továbbítható.
-
- A hozzájáruláson alapuló adatkezelések
A tanulók és törvényes képviselőik személyes adatainak kezelése akkor jogszerű, ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
Amennyiben valamely adatkezelés jogalapja az érintett hozzájárulása, akkor jogosult bármikor a korábban az adatkezelésre adott hozzájárulását visszavonni. Fontos azonban tudnia, hogy a hozzájárulás visszavonása kizárólag azon adatokra vonatkozhat, amelyek kezelésének más jogalapja nincs.
Amennyiben az érintett személyes adatok kezelésének más jogalapja nincs, abban az esetben a hozzájárulás visszavonását követően a személyes adatokat véglegesen és visszaállíthatatlanul töröljük. A hozzájárulás visszavonása a Rendelet alapján a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét nem érinti.
A hozzájárulás érvényessége gyermekek esetében:
- 14 év alatti gyermek esetében a szülő (törvényes képviselő) hozzájárulása,
- 14-16 év közötti gyermek esetében a szülő és a gyermek közösen jogosult nyilatkozni,
- 16 év fölött a gyermek önállóan jogosult a hozzájárulás megadására.
Különélő vagy elvált szülők esetében csak az a szülő adhat érvényes adatkezelési nyilatkozatot, aki a szülői felügyeleti jogok gyakorlására jogosult – az intézménynek azonban nem feladata, hogy ezt a kérdést mélységében vizsgálja, el kell fogadnia az erről szóló szülői tájékoztatást azzal, hogy vita esetén az ellentmondást az erre jogosult hatóságnak (gyámhatóság, bíróság) kell megoldania.
-
- Weboldal üzemeltetésével kapcsolatos adatvédelmi szabályok
- Lehetőség szerint kerülni kell az olyan képek feltöltését, ami nem minősül csoportképnek, tehát 1-2 személy található a képen. Amennyiben ez elengedhetetlen, akkor a képen szereplőktől, vagy törvényes képviselőjüktől írásos hozzájárulást kell kérni.
- Lehetőség szerint kerülni kell a különféle követőapplikációk (mint pl google analytics) használatát, amennyiben erre mégis sort kerítenek, akkor a weboldalra ún süti bannert kell elhelyezni, ami tájékoztatja a látogatókat a követésről. Ezzel kapcsolatban ha kérdése, van forduljon az Adatvédelmi Tisztviselőhöz
- Lehetőség szerint kerülni kell a kapcsolatfelvételi űrlapok elhelyezését az oldalon, célszerűbb csak egy email címet megadni ahol kapcsolatba lehet lépni az intézménnyel. Ha a kapcsolati űrlap használata elengedhetetlen, akkor a küldést mindig előzze megy egy kötelezően bejelölendő négyzet, miszerint a küldő hozzájárul az ezzel kapcsolatos adatkezeléshez.
- Az adatkezelések technikai szabályozása
Adatkezelőnél kezelt személyes adatok nyilvántartási módja különösen a következő lehet:
- nyomtatott irat,
- Kézzel írott irat
- elektronikus adat,
- elektronikusan létrehozott, de papír alapon archivált adat,
- Papír alapon létrehozott, de elektronikusan archivált adat
- az iskola weblapján elhelyezett (elektronikus) adat, fénykép, videó.
-
- Az adatkezelő által kezelt adatok harmadik félnek történő kiadásával kapcsolatos szabályok
- Az adatkezelő által kezelt adatok harmadik félnek történő kiadásával kapcsolatos szabályok
A kezelt adatok általában csak az érintett írásbeli kérésére adhatók ki. Telefonon, illetve elektronikus megkeresés esetén csak az érintettnek, vagy jogszabály által arra feljogosított szervezeteknek (pl. ügyészég) adható ki bármilyen kezelt személyes adat, és csak abban az estben, amennyiben az arra igényt tartó pontosan beazonosítható. (pl e-mail cím nyilván van tartva az érintett vonatkozásban, vagy a telefonszám nyilván van tartva melyről az adatkérés érkezett). A személyes adat kiadást ilyen esetekben is dokumentálni kell valamilyen módon. (pl feljegyzés) Egyéb esetekben kérni kell a megkeresés írásba foglalását és megküldését hivatalos úton. Telefonon banknak, vagy más munkáltatónak nem adható át csak közérdekből nyilvános adat, mivel személyes adtok átadásra nincs jogszabályi felhatalmazás, ahhoz az érintett hozzájárulásának beszerzése szükséges.
-
- Kiadott adatok biztonságáért való felelősség
A kiadott adatok védelméről annak kell gondoskodnia, akinek az jogszerűen ki lett adva. A jogszerűen továbbított adatok biztonságáért az adatot fogadó szerv/személy a felelős. Előbbiekre tekintettel annak során, hogy kinek és milyen adatokat adunk át, fokozott körültekintéssel kell eljárni, és az átadást/továbbítást dokumentálni kell.
-
- Az adatkezelési jogkörök
Az adatkezelési jogköröket az informatikai rendszerbeli beállításokkal, valamint a papíralapú adatkezelés esetén a munkaköri leírásokkal kell meghatározni. Papíralapú kezelésnél a tárgyi feltételek (iratok megfelelő őrzésnek biztosítása) biztosításra fokozott figyelmet kell fordítani, míg az informatikai rendszerben kezelt adatok védelméért az informatikai feladatokat ellátó személy/szervezet kell, hogy gondoskodjon.
Az intézmény adatkezelési tevékenységéért az igazgató a felelős. Az intézményvezető legfőképpen adatvédelmi tisztviselő megbízásával/kijelölésével, valamint a szabályzat kiadásával és az adatkezelési tevékenység folyamatok ellenőrzésével tesz eleget ezen kötelezettségének.
-
- E-mailek kezelése (pl. megőrzés, nyomtatás)
Az e-mailek kezelése az iratkezelési szabályozás körébe is tartozó kérdés. Azt, hogy egy adatot papír alapon és elektronikusan is kezeljenek, nem tiltja jogszabály. Így az iratkezelési szabályzat rendelkezései az irányadóak arra, hogy az elektronikusan kezelt adat papír alapon is kezelésre kerül-e. Az e-mailekre és a papír alapú formátumaikra egyaránt a selejtezési idő az irányadó, azaz az adatokat addig lehet kezelni, ameddig az iratkezelési szabályzat a selejtezést elő nem írja.
Az elektronikus adatokat akkor kell törölni (e-maileket), amikor azok papír alapú formája, vagy ennek hiányában vélelmezett papír alapú formájának a selejtezésre sor nem kerül, azaz iratmegőrzési időre az irattári szabályzat rendelkezései az irányadóak
-
- Kéretlenül keletkező adatok kezelése
A kéretlenül kezelt olyan adatokat, melyek kezelése nem szükséges, és melyekre nincs felhatalmazás sem elektronikus érkezés esetén törlendők, míg a papír alapú küldemények esetén visszaküldendők a feladónak. Feladó ismeretlensége esetén megsemmisítendők, amennyiben a hatáskörrel rendelkező címzett nem állapítható meg. (hivatalos levelek, beadványok esetében). Amennyiben a hatáskörrel rendelkező szerv megállapítható, annak az adatokat továbbítani kell.
-
- Adatok törlése/iratok selejtezése
Selejtezés vagy irattározás papír alapú kezelés esetén, míg törlés vagy megsemmisítés adatrögzítőn tárolt adatok esetében történik. Előbbi műveleteket minden esetben dokumentálni kell.
Az iratok megsemmisítésnek módját úgy kell kiválasztani, hogy az azokon lévő adatok ne kerülhessenek azonosításra alkalmas módon illetéktelen, 3. személy birtokába. Így célszerű a papír alapú iratokat iratmegsemmisítővel ledarálni, vagy elégetni. A dokumentumok papírgyűjtőnek való átadása mindenképpen kockázatos, ezért elkerülendő
Személyi irat minden – bármilyen anyagon, alakban és bármilyen eszköz felhasználásával keletkezett – adathordozó, amely a munkaviszony létesítésekor, fennállása alatt, megszűnésekor, illetve azt követően keletkezik és a munkavállaló személyével összefüggésben adatot, megállapítást tartalmaz.
-
- Kutatási célú megkeresésekkel kapcsolatos adathozzáférés
Kutatási célból csak azonosításra nem alkalmas módon (anonimizálva), vagy az érintett hozzájárulásával adható ki személyes adat, amennyiben jogszabály eltérő felhatalmazást nem biztosít.
-
- A tanulókról készült fotók és egyéb képek és videók
A tanulókról készült fényképek kezelését a köznevelési törvény nem teszi kötelezővé, így az nem jogszabályon alapul.
Nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén. A közszereplés és nyilvános tömegfelvétel fogalmakat érdemes szűken értelmezni, és pl. egy szalagavató vagy évzáró alkalmával a tömegfelvételek készítésének esélyére és a felhasználás későbbi lehetőségére a közönség figyelmét külön is felhívni.
A nem tömegfelvétel jelleggel készített képek felhasználáshoz, kezeléshez azonban szükséges fentebb említetek alapján a törvényes képviselő hozzájárulása. (pl. közmédiában, honlapon megjelenő egyedi képek, felvételek akár egy vagy több személyről)
A népszerűsítő tevékenységhez, kiadványokhoz készített egyedi beállítású képek csak a szülők hozzájárulásával, és a kezelés/felhasználás céljának ismertetésével jelentethetők meg. Előbbiek alapján tehát hozzájáruló nyilatkozat beszerzése, valamint a kezelt adat nyilvántartásba vétele szükséges.
A gyakorlat szerint mikor minősül egy felvétel tömegfelvételnek?
- önmagában véve az a tény, hogy az egyén többedmagával szerepel a felvételen, nem teszi tömegfelvétellé a képet,
- tömegfelvétellé az teszi a képet, ha az egyének nem önmagukban, hanem mint sokaság vannak jelen rajta,
- az ábrázolás módja nem egyéni, hanem összhatást mutat
- nem történik individualizálás.
-
- A tanórákról készült videó felvételek
A tanórákról készült felvételek nem minősülnek tömegfelvételnek, azok egy zárt közösség zárt eseményeit rögzítik. Így az ilyen jellegű felvételek csak az érintett hozzájárulásával készíthetők. Előbbiek alapján tehát hozzájáruló nyilatkozat beszerzése, valamint a kezelt adat nyilvántartásba vétele szükséges.
-
- Iskolai szervezésű és iskolai támogatást élvező magánszervezésű utak, kirándulások adatkezelési
A magánszervezésű utak esetében a szülők annak adnak adatot, aki szervezi, azonban szükséges nyilatkoztatni őket az adatkezeléshez való hozzájárulásukról a szervezőnek. Iskola a szervezőnek, mint adatkezelő nem adhat át adatot, közérdekű adat kivételével. Iskolai szervezés esetén, azon adatok vonatkozásában, melyeket nem kezel az iskola jogszabály alapján, a törvényes képviselő hozzájárulását be kell szerezni, és az adatnyilvántartásban rögzíteni kell az adatkört és az érintetteket.
-
- Rendezvényekre, iskolai programokra történő jelentkezések adatai
A rendezvényekre, iskolai programokra jelentkezők adatait kezelni lehet a rendezvény/program megvalósulásig. Ezen adatkezelés az „adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges” kezelési elven alapul, így ehhez nem kell külön hozzájárulás. Az adatok kezelése célhoz kötött, és csak addig kezelhetők, míg azokra a program/rendezvény lebonyolításhoz szükség van, utána törlendők.
-
- Honlapon tárolt, oda feltöltött adatok
Az intézmény által kezelt adatok nem mindegyike közérdekű adat. Előbbiek korlátozás nélkül felhasználhatók/bárki számára kiadhatók, megismerhetők. Az infó tv. alapján közérdekű adat a személyes adat fogalma alá nem eső adat. Mivel a név személyes adat, és a köznevelési törvény nem ad ilyenre külön felhatalmazást, ezért a gyermekek neve a honlapon/osztálynévsorral vagy anélkül, csak az érintett hozzájárulásával nevesíthető, hozható nyilvánosságra. Előbbiek alapján ahhoz hozzájáruló nyilatkozat beszerzése, valamint a kezelt adat nyilvántartásba vétele szükséges.
Fényképek a képmásnál írtak szerint kezelhetők. A tömegfelvételek képei igen, míg az egyént/egyéneket ábrázoló képek csak az érintett hozzájárulásával hozhatók nyilvánosságra, azaz tehetők fel a honlapra.
-
- Közösségi oldalak
A facebook oldalt a honlappal azonos módon kell kezelni, azaz arra csak olyan képek, adatok kerülhetnek ki, melyek a törvény alapján az érintett hozzájárulása nélkül felhasználhatók (pl. tömegfelvételek, közérdekű adatok). egyéb esetben az érintett hozzájárulása szükséges minden közzétett adathoz. Önmagában az, hogy az adatot az intézmény kezeli, nem jelent azt, hogy azt a facebook oldalon fel is használhatja. Előbbiek alapján mindig vizsgálni kell, hogy a képek, adatok közérdekű adatok-e, vagy kötelezően közzé teendők. Előbbiek hiányában csak az érintett hozzájárulásával lehet azokat nyilvánosságra hozni. A facebook esetében mások is oszthatnak meg tartalmat, és kommentelhetnek is. Az admin jogokkal rendelkező személynek folyamatosan figyelnie kell, hogy csak személyiségi jogokat nem sértő megjegyzések legyenek közzé téve. Előbbiek megszegése esetén a jogsértő adattartalmat haladéktalanul el kell távolítani.
-
- Kamera és beléptető rendszer
Részletes működésük és az adatkezelés rendje külön szabályzatban való rögzítést igényel. Előbbit külön szabályzatban rögzíteni kell, hogy meddig kezelik az adatokat, abba kik és milyen esetben tekinthetnek be, hol vannak kezelve, milyen védelmi intézkedések biztosítják, hogy csak a jogosult tekintheti meg a felvételeket.
-
- A munkavállalók személyi iratainak kezelése, védelme
A személyi iratok köre különösen az alábbi:
- a munkavállaló személyi anyaga,
- a munkavállaló tájékoztatásáról szóló irat.
- a munkavállalói jogviszonnyal összefüggő egyéb iratok (pl. illetményszámfejtéssel kapcsolatos iratok),
- a pedagógus továbbképzéssel kapcsolatos iratok és adatok,
- a munkavállaló bankszámlájának száma
- a munkavállaló saját kérelmére kiállított vagy önként átadott adatokat tartalmazó iratok.
A személyi iratokra csak olyan adat és megállapítás vezethető, amelynek alapja:
- a közokirat vagy a munkavállaló írásbeli nyilatkozata,
- a munkáltatói jogkör gyakorlójának írásbeli rendelkezése,
- bíróság vagy más hatóság döntése,
- jogszabályi rendelkezés.
A személyi iratokba való betekintésre az alábbi személyek jogosultak:
- A munkáltatói jogok gyakorlója
- Az EKIF gazdasági vezetője és – munkaköri leírásuk alapján – beosztottjai,
- az iskolatitkár
- az adatvédelmi tisztviselő
- a vonatkozó törvény szerint jogosult személyek (adóellenőr, revizor, stb.),
- saját kérésére az érintett munkavállaló.
A személyi iratok kezelői kizárólag az alábbi személyek lehetnek:
- Adatkezelő vezetője
- EKIF gazdasági vezetője és – munkaköri leírásuk alapján – humángazdálkodási ügyekkel foglakozó beosztottjai
- az iskolatitkár.
A személyi iratokat és a személyi adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Ha az adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik, a személyes adatok technikai védelmének biztosítása érdekében az adatkezelőnek és az adat továbbítójának külön védelmi intézkedéseket (ellenőrzés, jelszavas védelem, az elküldés után a hálózatról való törlés stb.) kell tennie.
A személyi anyag vezetése és tárolása
A személyi anyagot tartalmuknak megfelelően csoportosítva, keletkezésük sorrendjében, az e célra személyenként kialakított gyűjtőben zárt szekrényben kell őrizni. A számítógéppel vezetett munkavállalói alapnyilvántartást ki kell nyomtatni a következő esetekben:
- a jogviszony első alkalommal való létesítésekor,
- a jogviszony megszűnésekor,
- ha a munkavállaló adatai lényeges mértékben megváltoztak.
A munkavállaló az adataiban bekövetkező változásokról nyolc napon belül köteles tájékoztatni a munkáltatói jogkör gyakorlóját, aki 8 napon belül köteles intézkedni az adatok változásnak átvezetéséről.
A személyi anyag vezetéséért és rendszeres ellenőrzéséért Adatkezelő vezetője a felelős.
-
- A tanulók személyi adatainak kezelése
Az intézmény tanulóinak személyes adatai tárolásra kerülhetnek mind helyileg, mind központilag a KIR, vagy KRÉTA rendszerben.
A tanulók személyi adatait az alábbi személyek kezelhetik:
- az iskolavezetés tagjai,
- osztályfőnökök,
- iskolatitkárok,
- a KRÉTA-rendszerben a rendszergazdák.
Új tanulói jogviszony létesítésekor az intézményvezető gondoskodik arról, hogy a jogszabálynak és jelen szabályzatnak megfelelően elkészüljön a tanulói adatállomány. A személyi adatokat osztályonként csoportosítva az alábbi nyilvántartásokban kell őrizni:
a) összesített tanulói nyilvántartás (felelős: iskolatitkár),
b) törzslapok (felelős: intézményvezető-helyettes, osztályfőnökök),
c) bizonyítványok (felelős: intézményvezető-helyettes, osztályfőnökök),
d) elektronikus napló (felelős: intézményvezető-helyettes, osztályfőnökök),
e) az oktatási igazolványok nyilvántartó dokumentuma (felelős: intézményvezető-helyettes).
- Adatkezeléssel kapcsolatos feladatkörök az intézményekben
Az intézményben folyó adatkezelési tevékenység során adatkezelői feladatokat látnak el az alábbi alkalmazottak a beosztás után részletezett tevékenységi körben:
-
- Az igazgató feladatai és felelőssége:
Felelős az intézmény adatkezelési tevékenységéért. A nem szabályozott területeken az adatkezeléssel kapcsolatos feladatokat az intézmény igazgatója személyesen vagy – utasítási jogkörét alkalmazva – saját felelősségével látja el.
Az igazgató személyes feladatai:
- az ügyek alább szabályozott körében helyetteseit, az egyes pozíciókat betöltő pedagógusokat, a gazdasági vezetőt és az iskolatitkárt meghatalmazza, ellenőrzi tevékenységüket,
- a nyilvántartott adatok kezelésének és továbbításának rendszeres ellenőrzése.
-
- Az igazgatóhelyettes feladatai és felelőssége:
A munkaköri leírásban meghatározott adatok kezelése és szükség esetén továbbítása.
-
- Gazdasági vezető feladatai és felelőssége:
- a munkaviszonyra, munkavállalói jogviszonyra vonatkozó összes adat kezelése,
- a pedagógusok és munkavállalók adatainak kezelése,
- a pedagógusok és munkavállalók személyi anyagának kezelése,
- a pedagógusok erkölcsi bizonyítványának nyilvántartása,
- a munkavállalók bankszámlaszámának kezelése.
-
- Iskolatitkár (amennyiben van ilyen feladatkör):
- tanulók adatainak kezelése a meghatározottak szerint,
- a pedagógusok és más munkavállalók adatainak kezelése,
- a tanulók felvételire vonatkozó adatainak kezelése,
- adatok továbbítása,
- rögzíti az étkező tanulók és dolgozók étkezésével kapcsolatos adatokat, azokat továbbítja a menzafelelős részére. (Kezelt adatok: tanuló neve, csoportjelölése, étkezések száma).
-
- Osztályfőnökök
Jogai:
- beletekinteni adategyeztetés céljából az elektronikus naplóba,
- beletekinteni kizárólagosan osztályába járó tanulók esetében a felvételivel kapcsolatos jelentkezési lapokba, kiemelt figyelmet igénylő tanulóra vonatkozó adatokba, a tanuló- és gyermekbalesetre vonatkozó adatokba, az országos mérés-értékelés adataiba, a tankönyvellátással kapcsolatos adatokba,
- beletekinteni szaktanárként az országos mérés-értékelés adataiba.
Feladata és felelőssége:
- a magatartás, szorgalom és tudás értékelésével kapcsolatos adatok kezelése az érintett osztályon belül, a nevelőtestületen belül az elektronikus naplóban, törzslapon, bizonyítványban,
- adatok kezelése a törzslapon és a bizonyítványban. (Kezelt adatok: a tanuló neve, oktatási azonosító száma, születési helye és ideje, anyja születéskori neve, a tanuló törzslapjának száma, az elvégzett évfolyam sorszáma, a tanuló által mulasztott órák száma, ezen belül külön megadva az igazolatlan mulasztások számát, a tanuló szorgalmának és magatartásának értékelése, a tanuló által tanult tantárgyak megnevezése és minősítése, a szükséges záradék, a nevelőtestület határozata, igazgató határozatai),
- lemorzsolódással kapcsolatos adatok kezelése.
-
- Gyermek- és ifjúságvédelmi felelős feladatai és felelőssége, jogai:
A feladatköréhez tartozó adatok kezelése, továbbítása az igazgató feladata. Joga beletekinteni az alábbi adatokba:
- a tanuló magatartásának, szorgalmának és tudásának értékelése és minősítése, vizsgaadatok,
- a gyermek, tanuló mulasztásával kapcsolatos adatok,
- kiemelt figyelmet igénylő gyermekre, tanulóra vonatkozó adatok,
- a tanuló- és gyermekbalesetre vonatkozó adatok,
- a magántanulói jogállással kapcsolatos adatok,
- évfolyamismétlésre vonatkozó adatok,
- az országos mérés-értékelés adatai,
- lemorzsolódással kapcsolatos adatok,
- intézményi étkeztetés biztosításával kapcsolatos személyes adatok és különleges adatok,
- délután foglalkozásokra való jelentkezéssel kapcsolatos személyes adatok,
- hazajutásról való nyilatkozatban szereplő személyes adatok,
- a rendszeres gyermekvédelmi kedvezmény megállapítására vonatkozó adatok az ingyenes vagy kedvezményes juttatások megállapítása érdekében.
-
- Tankönyvfelelős feladatai
- könyvtárhasználattal kapcsolatos adatkezelés (kezelt adat: a tanuló neve, oktatási azonosító száma, születési helye és ideje, anyja neve, lakcíme.)
- tankönyvrendeléssel kapcsolatos adatkezelés (kezelt adat: a tanuló neve, születési helye és ideje, anyja neve, lakcíme).
-
- Munkavédelmi felelős
- Betekintés munkahelyi balesetek jegyzőkönyvébe
- Adatleltár
Az intézmények jellemzően két esetben kezelhetnek személyes adatot:
- Ha azt törvény írja elő, vagy annak hiányában
- Ha ahhoz az érintett hozzájárult
A köznevelési törvény előírja hogy a tanulók, és a munkavállalók mely adatait tarthatja nyilván az intézmény:
-
- Az intézmények munkavállalóiról nyilvántartott adatok:
Az intézmény nyilvántartja és kezeli a munkavállalók alábbi adatait:
Az intézmény kezeli a Közoktatási Információs Rendszerében nyilvántartott, a jogszabály által meghatározott munkavállalói adatokat, úgymint:
- nevét, anyja nevét, nemét, állampolgárságát,
- születési helyét és idejét, lakcímét, tartózkodási helyét
- oktatási azonosító számát, pedagógusigazolványa számát,
- végzettségére és szakképzettségére vonatkozó adatokat: felsőoktatási intézmény nevét, a diploma számát, a végzettséget, szakképzettséget, a végzettség, szakképzettség, a pedagógus szakvizsga, PhD megszerzésének idejét,
- munkaköre megnevezését,
- munkáltató nevét, címét, valamint OM azonosítóját,
- munkavégzésének helyét,
- jogviszonya kezdetének idejét, megszűnésének jogcímét és idejét,
- vezetői beosztását,
- besorolását,
- jogviszonya, munkaviszonya időtartamát,
- munkaidejének mértékét,
- tartós távollétének időtartamát,
- elektronikus levelezési címét,
előmenetelével, pedagógiai – szakmai ellenőrzésével, pedagógus-továbbképzési kötelezettségének teljesítésével kapcsolatos adatok közül
- a szakmai gyakorlati idejét,
- esetleges akadémiai tagságát
- munkaidő-kedvezményének tényét,
- minősítő vizsgájának kinevezési okmányban, munkaszerződésben rögzített határidejét,
- minősítő vizsgájának, minősítő eljárásra történő jelentkezésének időpontját, a minősítővizsga és a minősítési eljárás időpontját és eredményét,
- az alkalmazottat érintő pedagógiai – szakmai ellenőrzés időpontját, megállapításait,
Kezeli továbbá a munkavállalással és alkalmassággal kapcsolatos további adatokat
- az alkalmazott egészségügyi alkalmassága
- alkalmazott által kapott kitüntetések, díjak és más elismerések, címek
- fegyelmi büntetés, kártérítésre kötelezés
- munkavégzés ideje, túlmunka ideje
- szabadság, kiadott szabadság
A fentieken kívül minden más személyes adat csak az érintett hozzájárulásával történhet.
-
- A tanulókról nyilvántartott adatok:
Az intézmény kezeli a Közoktatás Információs Rendszerében nyilvántartott, a jogszabály által meghatározott tanulói adatokat
A Köznevelési Információs Rendszer (KIR)-ben, nyilvántartott, az intézmény által kezelt, a jogszabályban előírt tanulói adatok az alábbiak:
- oktatási azonosító számát, adóazonosító jelét, társadalombiztosítási azonosító jelét
- sajátos nevelési igénye, beilleszkedési, tanulási és magatartási nehézsége tényét, hátrányos és halmozottan hátrányos helyzetének tényét és hatályát,
- jogviszonyával kapcsolatban azt, hogy magántanuló-e, tanköteles-e, jogviszonya szünetelésének kezdetét és befejezésének idejét,
- jogviszonya keletkezésének, megszűnésének jogcímét és idejét, valamint megszűnés esetén annak tényét, hogy az érintett az adott köznevelési intézményben szerzett-e iskolai végzettséget, szakképesítést,
- nevelési-oktatási intézményének nevét, címét, OM azonosítóját,
- jogviszonyát megalapozó köznevelési alapfeladatot,
- nevelésének, nevelés-oktatásának helyét,
- felnőttoktatás esetében az oktatás munkarendjével kapcsolatos adatokat,
- évfolyamát,
- melyik évfolyamon, mely országban vett részt az Nkt. -ban szabályozott határon túli kiránduláson.
Továbbá
- a gyermek, tanuló neve, születési helye és ideje, neme, állampolgársága, lakóhelyének, tartózkodási helyének címe, társadalombiztosítási azonosító jele, nem magyar állampolgár esetén a Magyarország területén való tartózkodás jogcíme és a tartózkodásra jogosító okirat megnevezése, száma,
- szülője, törvényes képviselője neve, lakóhelye, tartózkodási helye, telefonszáma,
- a gyermek óvodai fejlődésével kapcsolatos adatok,
- a gyermek óvodai jogviszonyával, a tanuló tanulói jogviszonyával kapcsolatos adatok
-
- felvételivel kapcsolatos adatok,
- az a köznevelési alapfeladat, amelyre a jogviszony irányul,
- jogviszony szünetelésével, megszűnésével kapcsolatos adatok,
- a gyermek, tanuló mulasztásával kapcsolatos adatok,
- kiemelt figyelmet igénylő gyermekre, tanulóra vonatkozó adatok,
- a tanuló- és gyermekbalesetre vonatkozó adatok,
- a gyermek, tanuló oktatási azonosító száma,
- mérési azonosító,
- a tanulói jogviszonnyal kapcsolatos adatok:
-
- a magántanulói jogállással kapcsolatos adatok,
- a tanuló magatartásának, szorgalmának és tudásának értékelése és minősítése, vizsgaadatok,
- felnőttoktatás esetében az oktatás munkarendjével kapcsolatos adatok,
- a tanulói fegyelmi és kártérítési ügyekkel kapcsolatos adatok,
- a tanuló diákigazolványának sorszáma,
- a tankönyvellátással kapcsolatos adatok,
- évfolyamismétlésre vonatkozó adatok,
- a tanulói jogviszony megszűnésének időpontja és oka,
- az országos mérés-értékelés adatai.
Az Adatkezelő által a fentiek alapján vezetett egyes nyomtatványok adatköreit az EMMI rendelet 95-111.§§-ai tartalmazzák.
A jogszabályokban meghatározott kötelező adatokon túlmenően a KRÉTA rendszerben egyéb személyes adatok tárolására is van lehetőség, azonban ezen egyéb személyes adatok megadása az érintett vagy törvényes képviselője önkéntes hozzájárulásán kell alapuljon!
- Adatkezelési tevékenységek nyilvántartása
Az adatkezelési tevékenységek nyilvántartása az alábbiakat tartalmazza Adatkezelő vonatkozásában a GDPR 30. cikke alapján:
- az adatkezelés céljai;
- az érintettek körét
- személyes adatok kategóriáinak ismertetését
- címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják,
- adatkategóriák törlésére előirányzott határidők;
- ha lehetséges, az adatbiztonság érdekében tett technikai és szervezési intézkedések általános leírását.
-
- Foglakoztatotti jogviszonnyal kapcsolatos adatkezelés:
Adatkezelés célja:
Jogviszony létesítése, teljesítése vagy megszűntetése, a munka irányítása, tervezése, szervezése, munkahelyi egészségvédelem és biztonság, juttatások,
Érintettek köre:
Adatkezelőnél foglalkoztatott alkalmazottak
A kezelt adatok, valamint az adatkezelés jogalapja:
- Jogszabályon alapuló adatkezelés (2011. évi CXC. törvény a nemzeti köznevelésről)
-
- neve (leánykori neve)
- születési helye, ideje
- anyja neve
- TAJ száma, adóazonosító jele
- lakóhelye, tartózkodási hely, telefonszáma
- családi állapota
- gyermekeinek születési ideje
- egyéb eltartottak száma, az eltartás kezdete
- legmagasabb iskolai végzettsége (több végzettség esetén valamennyi)
- szakképzettsége(i)
- iskolarendszeren kívüli oktatás keretében szerzett szakképesítése(i), valamint meghatározott munkakör betöltésére jogosító okiratok adatai
- tudományos fokozata
- idegennyelv-ismerete
- a korábbi, jogviszonyban töltött időtartamok megnevezése,
- a munkahely megnevezése,
- megszűnés módja, időpontja
- alkalmazotti jogviszony kezdete
- állampolgársága
- a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány száma, kelte
- a jubileumi jutalom és a végkielégítés mértéke kiszámításának alapjául szolgáló időtartamok
- foglalkoztató szerv neve, székhelye, statisztikai számjele
- e szervnél a jogviszony kezdete
- jelenlegi besorolása, besorolásának időpontja, vezetői beosztása, FEOR-száma
- címadományozás, jutalmazás, kitüntetés adatai
- a minősítések időpontja és tartalma
- személyi juttatások
- közalkalmazott munkából való távollétének jogcíme és időtartama
- a jogviszony megszűnésének, valamint a végleges és a határozott idejű áthelyezés időpontja, módja, a végkielégítés adatai
- Az érintett hozzájárulásával kezelt személyes adatok:
- fénykép
- telefonszám
- elektronikus levelezési cím
- egészségi állapotra vonatkozó adatok
- Jogos érdek alapon kezelt személyes adatok
- Képmás
Adattovábbítás címzettjei:
- Nemzeti Egészségbiztosítási Alapkezelő
- EKIF
- OEP
- Nyugdíjpénztár
- MÁK (KIRA)
- Oktatási Hivatal (KIR)
- eKréta Zrt (Kréta)
- bíróság
- ügyészség
- rendőrség
- ellenőrzésre jogosult szervek
Adatok törlési határideje:
- nem selejtezhető munkaügyi iratok esetében szervezet megszűnéséig
- selejtezhető munkaügyi iratok, valamint ezek körébe nem tartozó adatok esetében a jogviszony megszűnését követő 3 évig, azaz a munkaügyi követelések elévülési idejéig
Adatbiztonság érdekében tett intézkedések:
Lásd 13.fejezet
-
- Munkára jelentkezők, pályázók adataival kapcsolatos adatkezelés:
Adatkezelés célja:
Betöltetlen és megüresedő álláshelyek betöltése érdekében a jelentkezők elérése, illetve kiválasztásukkal összefüggő adatainak kezelése
Érintettek köre:
meghirdetett munkakörre jelentkezők, önéletrajzot benyújtók
A kezelt adatok, valamint az adatkezelés jogalapja:
- Szerződés teljesítése (melyben a szerződő az egyik fél) végett kezelt adatok:
- fénykép
- név
- lakcím
- születési hely időpont
- elektronikus levélcím
- telefonszám
- végzettségre vonatkozó adatok
- korábbi munkahelyekre vonatkozó adatok
- egyéb kompetenciák
- jelentkező által megadott egyéb adatok
Adattovábbítás címzettjei:
- Amennyiben a jelentkező közvetlenül az intézményhez jelentkezik: EKIF
- Amennyiben a jelentkező a Fenntartónál jelentkezik: Az adott intázmény
Adatok törlési határideje:
elbírálást követően az adatok törlésre kerülnek, kivéve a munkára felvett alkalmazottak adatait.
Adatbiztonság érdekében tett intézkedések:
Lásd 13.fejezet
-
- Tanulókkal kapcsolatos adatkezelés:
Adatkezelés célja:
Tanulói jogviszony létesítése, tankötelezettség teljesítése, tanulói jogviszonyból származó jogok gyakorlása és kötelezettségek teljesítése valamint kapcsolattartás a törvényes képviselőkkel
Érintettek köre:
Az intézménnyel tanulói jogviszonyban álló személyek, valamint törvényes képviselőik
A kezelt adatok, valamint az adatkezelés jogalapja:
- Jogszabályon alapuló adatkezelés (2011. évi CXC. törvény a nemzeti köznevelésről)
- oktatási azonosító számát, adóazonosító jelét, társadalombiztosítási azonosító jelét
- sajátos nevelési igénye, beilleszkedési, tanulási és magatartási nehézsége tényét, hátrányos és halmozottan hátrányos helyzetének tényét és hatályát,
- jogviszonyával kapcsolatban azt, hogy magántanuló-e, tanköteles-e, jogviszonya szünetelésének kezdetét és befejezésének idejét,
- jogviszonya keletkezésének, megszűnésének jogcímét és idejét, valamint megszűnés esetén annak tényét, hogy az érintett az adott köznevelési intézményben szerzett-e iskolai végzettséget, szakképesítést,
- nevelési-oktatási intézményének nevét, címét, OM azonosítóját,
- jogviszonyát megalapozó köznevelési alapfeladatot,
- nevelésének, nevelés-oktatásának helyét,
- felnőttoktatás esetében az oktatás munkarendjével kapcsolatos adatokat,
- évfolyamát,
- melyik évfolyamon, mely országban vett részt az Nkt. -ban szabályozott határon túli kiránduláson.
- Vallási meggyőződése
Továbbá
- a gyermek, tanuló neve, születési helye és ideje, neme, állampolgársága, lakóhelyének, tartózkodási helyének címe, társadalombiztosítási azonosító jele, nem magyar állampolgár esetén a Magyarország területén való tartózkodás jogcíme és a tartózkodásra jogosító okirat megnevezése, száma,
- szülője, törvényes képviselője neve, lakóhelye, tartózkodási helye, telefonszáma,
- a gyermek óvodai fejlődésével kapcsolatos adatok,
- a gyermek óvodai jogviszonyával, a tanuló tanulói jogviszonyával kapcsolatos adatok
-
-
- felvételivel kapcsolatos adatok,
- az a köznevelési alapfeladat, amelyre a jogviszony irányul,
- jogviszony szünetelésével, megszűnésével kapcsolatos adatok,
- a gyermek, tanuló mulasztásával kapcsolatos adatok,
- kiemelt figyelmet igénylő gyermekre, tanulóra vonatkozó adatok,
- a tanuló- és gyermekbalesetre vonatkozó adatok,
- a gyermek, tanuló oktatási azonosító száma,
- mérési azonosító,
-
- a tanulói jogviszonnyal kapcsolatos adatok:
-
-
- a magántanulói jogállással kapcsolatos adatok,
- a tanuló magatartásának, szorgalmának és tudásának értékelése és minősítése, vizsgaadatok,
- felnőttoktatás esetében az oktatás munkarendjével kapcsolatos adatok,
- a tanulói fegyelmi és kártérítési ügyekkel kapcsolatos adatok,
- a tanuló diákigazolványának sorszáma,
- a tankönyvellátással kapcsolatos adatok,
- évfolyamismétlésre vonatkozó adatok,
- a tanulói jogviszony megszűnésének időpontja és oka,
-
- az országos mérés-értékelés adatai.
- Hozzájárulás alapon kezelt adatok:
- tanuló fényképe (ide nem érve a nyilvános rendezvényen készült felvételeket)
- A tanuló telefonszáma, email címe
- jogos érdek alapon kezelt adatok:
- tanuló egészségi állapotával kapcsolatos napi életvitelt meghatározó egészségügyi adatok (pl cukorbetegség)
- Kamerarendszer által rögzített videófelvétel
Adattovábbítás címzettjei:
- a neve, születési helye és ideje, lakóhelye, tartózkodási helye, szülője neve, törvényes képviselője neve, szülője, törvényes képviselője lakóhelye, tartózkodási helye és telefonszáma, jogviszonya kezdete, szünetelésének ideje, megszűnése, egyéni munkarendje, mulasztásainak száma a tartózkodásának megállapítása, a tanítási napon a tanítási órától vagy az iskola által szervezett kötelező foglalkozástól való távolmaradás jogszerűségének ellenőrzése és a tanuló szülőjével, törvényes képviselőjével való kapcsolatfelvétel céljából, a jogviszonya fennállásával, a tankötelezettség teljesítésével összefüggésben a fenntartó, bíróság, rendőrség, ügyészség, települési önkormányzat jegyzője, közigazgatási szerv, nemzetbiztonsági szolgálat részére,
- óvodai, iskolai felvételével, átvételével kapcsolatos adatai az érintett óvodához, iskolához, felsőoktatási intézménybe történő felvétellel kapcsolatosan az érintett felsőoktatási intézményhez,
- a neve, születési helye és ideje, lakóhelye, tartózkodási helye, társadalombiztosítási azonosító jele, szülője, törvényes képviselője neve, szülője, törvényes képviselője lakóhelye, tartózkodási helye és telefonszáma, az óvodai, iskolai egészségügyi dokumentáció, a tanuló- és gyermekbalesetre, illetve a tanuló fizikai állapotára és edzettségére vonatkozó adatok az egészségi állapotának megállapítása céljából az egészségügyi, iskola-egészségügyi feladatot ellátó intézménynek,
- a neve, születési helye és ideje, társadalombiztosítási azonosító jele, lakóhelye, tartózkodási helye, szülője, törvényes képviselője neve, szülője, törvényes képviselője lakóhelye, tartózkodási helye és telefonszáma, a gyermek, tanuló mulasztásával kapcsolatos adatok, a kiemelt figyelmet igénylő gyermekre, tanulóra vonatkozó adatok a veszélyeztetettségének megelőzése, feltárása, megszüntetése céljából a családvédelemmel foglalkozó intézménynek, szervezetnek, gyermek- és ifjúságvédelemmel foglalkozó szervezetnek, intézménynek,
- az igényjogosultság elbírálásához és igazolásához szükséges adatai az igénybe vehető állami támogatás igénylése céljából a fenntartó részére,
- az állami vizsgája alapján kiadott bizonyítványainak adatai a bizonyítványokat nyilvántartó szervezetnek a bizonyítványok nyilvántartása céljából, továbbá a nyilvántartó szervezettől a felsőfokú felvételi kérelmeket nyilvántartó szervezethez,
továbbítható.
Adatok törlési határideje:
Nem selejtezhető iratok esetében szervezet megszűnéséig/levéltárba adásig, selejtezhető iratok esetében az irattározás idő végéig. (jogviszony megszűnését követő 10 év)
Adatbiztonság érdekében tett intézkedések:
Lásd 13.fejezet
-
- Szülőkkel/törvényes képviselőkkel kapcsolatos adatkezelés:
Adatkezelés célja:
kapcsolattartás a szülőkkel/törvényes képviselőkkel, tanulók szociális, családi helyzetének ismerete az oktatás hatékonyságának segítése érdekében
Érintettek köre:
Tanulók szülei, törvényes képviselői
A kezelt adatok, valamint az adatkezelés jogalapja:
- Jogszabályon alapuló adatkezelés (2011. évi CXC. törvény a nemzeti köznevelésről)
-
- szülő, törvényes képviselő neve, lakóhelye, tartózkodási helye, telefonszáma,
Adattovábbítás címzettjei:
-
- a fenntartó,
- bíróság,
- rendőrség,
- ügyészség,
- települési önkormányzat jegyzője,
- közigazgatási szerv,
- nemzetbiztonsági szolgálat,
Adatok törlési határideje:
Nem selejtezhető iratok esetében szervezet megszűnéséig/levéltárba adásig selejtezhető iratok esetében az irattározás idő végéig
Adatbiztonság érdekében tett intézkedések:
Lásd 13.fejezet
- Hozzájárulás alapon kezelt, a szülőkkel kapcsolatos személyes adatok:
- A szülő email címe
- jogos érdek alapon kezelt adatok
- Kamerarendszer által rögzített videófelvétel
-
- Iskolai eseményekkel összefüggésben kezelt adatok:
Adatkezelés célja:
rendezvényre való belépés/részvétel regisztrációja amennyiben fizetős vagy zártkörű az esemény nyilvános rendezvényeken az intézmény eseményeinek megörökítése, intézmény későbbi népszerűsítése kép vagy videófelvétel készítése útján.
Érintettek köre:
rendezvényen részt vett személyek
A kezelt adatok, valamint az adatkezelés jogalapja:
a) Jogszabályon alapuló adatkezelés (Ptk. 2:48 § (2))
- Nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén (kép és hangfelvétel tömegfelvétel esetében)
- Jogos érdek alapon kezelt adatok
-
- rendezvényen való résztvevők beazonosíthatósága (zártkörű, vagy fizetős események esetén) érdekében kezelt adatok, pl név
-
Adattovábbítás címzettjei:
-
- nincs adattovábbítás
Adatok törlési határideje:
határidőhöz nem kötött, az arányosság és szükségszerűség elvének szem előtt tartásával egyedileg állapítható meg
Adatbiztonság érdekében tett intézkedések:
Lásd 13.fejezet
-
- Személy és Vagyonvédelemmel összefüggésben kezelt adatok:
Adatkezelés célja:
az intézmény személy és vagyonvédelmének biztosítása.
Érintettek köre:
intézménybe belépő személyek
A kezelt adatok, valamint az adatkezelés jogalapja:
- Jogos érdek alapon kezelt adatok
-
- belépők neve és belépési célja
- esetlegesen belépők képmása, videófelvétel
-
Adattovábbítás címzettjei:
-
- rendőrség,
- ügyészség,
- bíróság,
- nemzetbiztonsági hivatal
Adatok törlési határideje:
-
- adattörlés kamerarendszer esetében folyamatos a kamera szabályzatban foglalt időszakonként,
- papír alapú dokumentációk törlése havonta
- elektronikusan kezelt adatok törlése papír alapú dokumentumokkal azonos időszakonként
Adatbiztonság érdekében tett intézkedések:
Lásd 13.fejezet
- Adatfeldolgozók
Az adatfeldolgozók minden egyes intézmény esetén mások, így az intézmények külön tartják őket nyilván.