…………………………………. (Egyházkerület megnevezése)
Adatvédelmi és adatbiztonsági szabályzata
I. A szabályzat célja
1. § (1) Jelen szabályzat célja, hogy az ……………………………………….. (továbbiakban: Egyházkerület) a
következőkben kifejtett adatvédelmi garanciák által biztosítsa az adatkezelések átláthatóságát,
jogszerűségét, és biztosítsa az adatkezelésben érintett személy személyes adatok védelméhez való
jogát, és ezen keresztül a magánszférája és a háborítatlan szabad vallásgyakorláshoz való jogát.
II. Jelen szabályzat kapcsolata más jogi normákkal
2. § Jelen szabályzat alkalmazása során elsődleges jogforrás a természetes személyeknek a személyes
adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a
95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló EURÓPAI
PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.), valamint az információs
önrendelkezési jogról és az információszabadságról szóló 2012. évi CXII. törvény.
3. § A püspöki hivatal ügyrendjét szabályozó egyházközségi szabályrendelet jelen szabályzatnak
megfelelően fogadható el, illetőleg módosítható. Amennyiben jelen szabályzat hatálybalépésekor
szükséges, a szabályrendeletet e szabályzatnak megfelelően felül kell vizsgálni.
III. Az érintettek köre, az adatkezelés céljai, és a célok szerint kezelt személyes adatok köre, az
adatkezelés formái és időtartama
4. § Az Egyházkerület által folytatott adatkezelésben érintett személyek: az egyes ügyekben érintett
Egyházkerületbe tartozó egyházközségek tagjai, az Egyházkerület tagjai közül választott tisztségviselői
illetőleg az Egyházkerület által tevékenysége során alkalmazott egyéb tisztségviselők, valamint az
Egyházkerület által foglalkoztatottak.
5. § Az Egyházkerület által folytatott adatkezelések célja az általa képviselt gyülekezet közösségi
életének biztosítása. Az adatkezelések a következő konkrét adatkezelési célok mentén különülnek el
egymástól:
a) az Egyházkerület hitéleti tevékenységével kapcsolatos iratkezelés,
b) az Egyházkerület lelkészeinek nyilvántartása,
c) az Egyházkerület tisztviselőinek és munkatársainak nyilvántartása,
d) a fegyelmi eljárásokkal kapcsolatos adatkezelés,
e) a Gusztáv Adolf Segélyszolgálat tevékenységével kapcsolatos iratkezelés,
f) az Egyházkerületi gyűjtemények iratkezelése,
g) az Egyházkerület gazdasági szervezeti egységeinek működtetésével kapcsolatos adatkezelések.
6. § (1) A személyes adatok köre az 5. § a) pont esetében:
…
(2) A személyes adatok köre az 5. § b) pont esetében:
…
(3) A személyes adatok köre az 5. § c) pont esetében:
…
(4) A személyes adatok köre az 5. § d) pont esetében:
…
(5) A személyes adatok köre az 5. § e) pont esetében:
…
(6) A személyes adatok köre az 5. § f) pont esetében:
…
(7) A személyes adatok köre az 5. § g) pont esetében:
…
7. § Az Egyházkerület által vezetett nyilvántartások köre és formái:
a) egyházközségi lelkészek, tisztviselők és munkavállalók nyilvántartása,
b) irattár,
c) levéltár,
d) szociális ügyek nyilvántartása,
e) adminisztrációs ügyek nyilvántartása.
8. § (1) Az 5. § a) és f) pontjai nem törölhetők, kezelésük az Egyházközség alapvető tevékenységének
ellátásával kapcsolatos.
(2) Az 5. § b) és c) pontban ismertetett, a munkáltatással kapcsolatos adatok mindaddig kezelendők,
amíg a foglalkoztatás igazolása céljából szükséges.
(3) Az 5. § d) pontban ismertetett adatkezelés időtartama a lelkészi szolgálattal összefüggő szükséges
időtartam.
(4) Az 5. § e) pontban ismertetett adatköröket az adatkezelés céljának megszűnésével törölni kell,
mely időszak legfeljebb 1 év lehet.
(3) A g) pontban ismertetett adatkörök kezelésére az adózással és számvitellel kapcsolatos elévülési
idők, mint adatkezelési idők vonatkoznak.
IV. A kezelt adatok jellege
9. § Az Egyházkerület által kezelt, a jelen szabályzat 5. § a)-g) pontban meghatározott, természetes
személlyel kapcsolatos adatok az Adatvédelmi Rendelet
1
értelmében különleges személyes adatok
kategóriájába tartoznak. Az ilyen adatok kezelése, gyűjtése és nyilvántartása során fokozott
figyelemmel kell lenni az adatok szenzitív jellegére, és kiemelten be kell tartani a jelen szabályzatban,
illetőleg a lelkészi hivatal ügyrendjében rögzített, adatbiztonságra vonatkozó szabályokat.
V. Az adatkezelés jogalapja
10. § (1) A jelen szabályzat 5. § a) és f) pontjában meghatározott személyes adatok kezelésének
jogalapjai a következők:
a) az érintett kifejezett hozzájárulása személyes adatai kezeléséhez
2
1
Adatvédelmi Rendelet 9. § (1) bek.: „A (…) vallási vagy világnézeti meggyőződésre (…) utaló személyes adatok”
különleges személyes adatok.
2
Adatvédelmi rendelet 9. § cikk (2) bekezdés a) pont
b) az adatkezelés az Egyházközösség jogszerű tevékenysége keretében, a rá vonatkozó egyházi
normák, vagy a hatályos állami törvényi rendelkezések szerint meghatározott célból történnek
3
.
(2) Az 5. § b) és c) pontjaiban ismertetett, a munkáltatással kapcsolatos adatok mindaddig
kezelendők, amíg a foglalkoztatás igazolása céljából szükséges.
(3) Az 5. § d) pontban ismertetett adatkezelés a munkáltatással kapcsolatos jogok gyakorlásának
érvényesítéséhez szükséges.
(4) Az 5. § e) pontban ismertetett adatköröket az adatkezelés céljának megszűnésével törölni kell,
mely időszak legfeljebb 1 év lehet.
(3) A g) pontban ismertetett adatkörök kezelésére az adózással és számvitellel kapcsolatos elévülési
idők, mint adatkezelési idők vonatkoznak.
(2) Amennyiben az adatkezelés jogalapja (1) bekezdés a) pontjában foglalt hozzájárulás, azt úgy kell
megkérni, hogy annak megtörténte utóbb igazolható legyen.
VI. Az adattovábbításra vonatkozó különös szabályok
11. § (1) A jelen szabályzat 5. § a)-f) pontjában meghatározott célból kezelt személyes adatok az
Egyházkerület szervezetén kívüli személynek csak akkor továbbítható, ha ahhoz az érintett személy
kifejezett, írásbeli hozzájárulását adta, vagy ha azt törvény elrendeli és az adatkezelés célja azt
indokolja, illetőleg az más, nem személyes adatok kezelésével nem valósítható meg.
(2) Az adattovábbításokat elsődlegesen az érintett személyen keresztül kell megvalósítani, vagyis az
adatokat, az azokat tartalmazó dokumentumot, elektronikus küldeményt az érintett számára kell
továbbítani, aki az adatokat igénylő személy felé a tényleges adatátadást megteszi. E szabálytól csak
konkrét törvényi rendelkezés esetében, vagy olyan adattovábbításokkor lehet eltekinteni, amikor az
adatokat a Magyarországi Evangélikus Egyház egyházkormányzati testületeinek, részeinek, egyházi
jogi személyeinek szükséges továbbítani, az érintett kérelmére, illetőleg az érintett által vállalt
tisztség, egyéb státusz betöltéséhez szükséges igazolásul.
(3) Az Egyházkerület tisztviselőinek adatait munkaügyi és adóügyi célból a törvényben adatkezelésre
felhatalmazott állami szervezetek részére, a törvényben rögzített adatkör elejéig továbbítani kell.
12. § Amennyiben az Egyházkerület harmadik személy részére személyes adatokat ad át, a
nyilvántartást olyan formában kell vezetnie, hogy az érintett erről utóbb tájékoztatást kérhessen
(adattovábbítási nyilvántartás). Az adatkezelést úgy kell megszervezni, hogy a tájékoztatást legalább
húsz évig meg kell tudni adni az érintett részére.
VII. Az adatkezelő személye, és az adatvédelmi tisztviselőre vonatkozó rendelkezések
13. § (1) Az Egyházkerület által végzett személyes adatok kezeléséért az Egyházkerület elnöksége a
felelős. A konkrét személyes adatok kezelésével kapcsolatos eljárási rendet és az adatkezelésben
részt vevő tisztviselők kötelezettségeit a lelkészi hivatal ügyrendjében kell rögzíteni.
(2) Az Egyházkerület valamennyi tisztségviselőjének, illetőleg az adatokhoz jogszerűen hozzáférő
tagjának kötelessége, hogy az általa megismert, kezelt adatokhoz arra fel nem hatalmazott személy
ne férhessen hozzá.
3
Adatvédelmi Rendelet 9. § cikk (2) bekezdés d) pont
14. § Az Egyházkerület elnökségének címe, elérhetősége: …
15. § (1) Az Egyházkerület adatvédelmi tisztviselőt kell kineveznie. A tisztviselő az Egyházkerület
elnökségének felel, és ellátja a vonatkozó jogszabályokban foglalt feladatait.
(2) Adatvédelmi tisztviselőnek az Egyházkerület olyan munkatársa nevezhető ki, aki rendelkezik
mindazon szakmai gyakorlattal és tudással, mely e feladat ellátásához szükséges. Amennyiben ilyen
munkatársa nincs, megbízhatja az Magyar Evangélikus Egyház Országos Irodájának (a továbbiakban:
Országos Iroda) adatvédelmi tisztviselőjét a feladatok ellátására.
16. § (1) Amennyiben az Egyházkerület tevékenysége során, a személyes adatok kezelésével
kapcsolatosan olyan jogkérdés merül fel, melyet a jelen dokumentum nem szabályoz, az elnökség
kérdésével a Magyar Evangélikus Egyház Országos Irodájának adatvédelmi tisztségviselőjéhez
(továbbiakban: adatvédelmi tisztviselő) fordulhat. Az adatvédelmi tisztviselő válaszát az ügy jellegére
és az esetleges határidőkre tekintettel adja meg.
(2) Ha az ügy jellege indokolja, és az Egyházkerület elnöksége azt elfogadja, az adatvédelmi tisztviselő
a jogkérdésben konzultációt kezdeményezhet harmadik személyekkel, így a Nemzeti Adatvédelmi és
Információszabadság Hatósággal.
(3) Az Egyházkerület elnöksége az adatvédelmi tisztviselő válaszát figyelembe veheti, azonban a
döntését saját hatáskörben hozza meg.
17. § Amennyiben az Egyházkerület új adatkezelési technológiát, eljárási rendet vezet be,
adatvédelmi hatásvizsgálatot szükséges végezni annak vizsgálata céljából, hogy az újítás megfelelően
biztosítja-e az adatkezelésben érintett személyek jogainak védelmét. Az adatvédelmi hatásvizsgálat
elvégzéséhez az adatvédelmi tisztviselő az Egyházkerület elnökségének kérésére segítséget nyújt.
VIII. Az érintettek jogai
18. § Az Egyházkerület által kezelt adatok elsődleges forrása az érintett személy. Harmadik
személytől csak akkor kérhető adat,
a) ha azt törvény lehetővé teszi,
b) az érintett ahhoz kifejezetten hozzájárult.
19. § (1) Az adatkezelésben érintett személyek saját adataikról tájékoztatást kérhetnek. A
tájékoztatást indokolatlan késedelem nélkül, de legfeljebb egy hónapon belül kell az érintett részére
megadni. A tájékoztatást az érintett számára az általa kért formában – szóban, írásban, a kezelt
adatokról készült másolat útján, vagy elektronikusan kell megtenni. A tájékoztatás megadása
ingyenes.
(2) Az érintett személy jogosult arra, hogy a következő információkról tájékoztatást kapjon az
Egyházkerület elnökségétől:
a) az adatkezelés céljáról,
b) amennyiben lehetséges, az 5. § b-e) és f) pontja esetében a személyes adatok tárolásának
időpontjáról, valamint arról, hogy az 5. §-ban ismertetett további adatkörök kezelésének
megszűntetése nem lehetséges,
c) a helyesbítés és amennyiben lehetséges a személyes adatok törlésének lehetőségéről és
formájáról,
d) amennyiben adatfeldolgozót vettek igénybe, annak személyéről,
e) ha a személyes adatait továbbították, mely személyek részére történt és milyen jogalappal,
f) ha adatvédelmi incidens történt, annak körülményeiről, hatásáról, az elhárításra tett
intézkedésekről,
g) arról, hogy esetleges panaszával mely hatósághoz nyújthat be panaszt, illetőleg
h) amennyiben az adatokat nem az érintettől gyűjtötték, az adatok forrásáról minden elérhető
információról.
(3) A (2) bekezdés e) pontjában foglalt panasszal az érintett döntésétől függően fordulhat:
a) az Egyházkerület elnökségéhez,
b) az adatvédelmi tisztviselőhöz,
c) a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, valamint
d) az érintett lakóhelye szerint illetékes törvényszékhez.
20. § Ha az érintett észleli, hogy a kezelt személyes adata hibás, helyesbítését kérheti az
Egyházkerület elnökségétől. Az érintett kérését, amennyiben az szükséges, indokolatlan késedelem
nélkül át kell vezetni. A kérés elbírálásáig a személyes adatok kezelését korlátozni kell.
21. § (1) Amennyiben az érintett úgy látja, hogy a személyes adatok kezelése jogellenes, kérheti
személyes adatainak törlését.
(2) Amennyiben az érintett személyes adatainak kezelése kizárólag a hozzájárulásán alapszik, és az
adatok törlése az Egyházkerület vallási feladatainak ellátását nem korlátozza
4
, kérheti személyes
adatainak törlését.
(3) Törlés helyett zárolni kell azokat a személyes adatokat, amelyek kezelésének megszűntetése az
érintett személy személyiségi jogait sértik.
(4) Amennyiben az Egyházkerület Elnöksége az adatok törlésének jogosságát nem tudja eldönteni,
állásfoglalás megkérése céljából az adatvédelmi tisztviselőhöz fordulhat.
(3) Az érintett kérésének elbírálásáig a személyes adatok kezelését korlátozni kell.
22. § Amennyiben a személyes adatok kezelését korlátozni kell, azokat felhasználni csak az érintett
személy hozzájárulásával lehet.
IX. Adatbiztonságra vonatkozó szabályok
23. § (1) Az Egyházmegyének az általa kezelt személyes adatokat, azok szenzitív jellegére tekintettel
megfelelő technikai és szervezési intézkedések érvényesítésével kell védelemben részesíteni.
(2) A technikai intézkedések során a következő követelményeket kell érvényesíteni:
a) biztosítani kell, hogy az adatok – papír alapú, vagy digitális – hordozója megfelelő védelemben
részesüljön. Így papír alapú nyilvántartás esetén, a papírokat elzárt helyiségben, zárható
szekrényben kell elhelyezni. Digitális nyilvántartás esetén a számítógépet megfelelő jelszóval kell
ellátni, és amennyiben lehetséges, a számítógépet nem lehet összekötni az internettel.
b) Fokozottan kell felügyelni, hogy a kezelt adatok ne vesszenek el, vagy jogellenesen ne
módosuljanak.
4
Az adatok törlése csak akkor lehetséges, ha az Adatvédelmi Rendelet 9. § cikk (2) bekezdés d) pontban foglalt
jogalap az adatkezelést nem alapozza meg.
c) Kiemelten biztosítani kell, hogy a kezelt személyes adatok ne kerülhessenek arra fel nem
jogosított személy(ek) birtokába.
d) Biztosítani kell, hogy amennyiben az eredeti adathordozó megsérül, az adatok eredeti
tartalmukban rekonstruálhatóak legyenek. Így digitális nyilvántartás esetén a nyilvántartásról
heti vagy havi rendszerességgel kell másolatot készíteni.
(3) Szervezési intézkedéseken keresztül biztosítani kell, hogy az adatokhoz az Egyházkerület
tisztviselői és dolgozói közül is csak az arra jogosult személy férhessen hozzá.
24. § Amennyiben külső személy kér személyes adatot az Egyházközségtől, akkor a jelen szabályzat
10. §-át kell alkalmazni. Ha az adatokat közvetlenül az azokat igénylő személynek továbbítanák,
előtte meg kell győződni arról, hogy az adatok kezelésére valóban jogosult. Így az adatigénylését
írásban kell megkérni, és abban az adatigénylés célját és jogalapját közérthető formában ki kell
fejtenie. Ezt a követelményt állami szervek esetén is fokozottan érvényesíteni kell. Amennyiben
kétség merülne fel az adatigénylés jogszerűségéről, azt meg kell tagadni.
25. § (1) Amennyiben az adatbiztonsági követelmények sérelmével a kezelt személyes adatok
sérültek, megsemmisültek, elvesztek, megváltoztak, vagy jogosulatlan személy ahhoz hozzáfért,
adatvédelmi incidens történt.
(2) Ha az adatvédelmi incidens nem jelent magas kockázatot az érintett jogaira nézve, a megtörtént
eseményt nyilván kell tartania. Ennek keretében rögzíteni kell a keletkezett eseményt, és a megtett
intézkedéseket.
(3) Amennyiben az adatvédelmi incidens magas kockázattal járt az érintett személy jogaira nézve,
annak tudomására jutásától számított 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és
Információszabadság Hatósághoz. A bejelentés tartalmi követelményeit az Adatvédelmi rendelet 33.
cikke és a nemzeti jogszabályok rendezik.
(4) Az Egyházkerület elnöksége a bejelentés megtételéhez az adatvédelmi tisztviselő segítségét
kérheti.
X. Záró rendelkezések
26. § Jelen szabályzat a jóváhagyásának napján lép hatályba. A szabályzat a helyben szokásos módon
kerül közzétételre.
Kelt: 2018. ………………………..