Egyházközségek adatvédelmi szabályzata

egyházközségek adatvédelmi szabályzata_1.4.final_20180523.pdf — PDF document, 545Kb

Fájl tartalma ( Teljes képernyő )
background image

…………………………………. (egyházközség megnevezése) 

Adatvédelmi és adatbiztonsági szabályzata 

 
I. A szabályzat célja 
 
1.  §  (1)  Jelen  szabályzat  célja,  hogy  az  ………………………………………..  (továbbiakban:  Egyházközség)  a 
következőkben  kifejtett  adatvédelmi  garanciák  által  biztosítsa  az  adatkezelések  átláthatóságát, 
jogszerűségét,  és  biztosítsa  az  adatkezelésben  érintett  személy  személyes  adatok  védelméhez  való 
jogát, és ezen keresztül a magánszférája és a háborítatlan szabad vallásgyakorláshoz való jogát.  
(2)  A  jelen  szabályzat  kiemelten  figyelembe  veszi,  hogy  az  Egyházközség  tagjainak  különleges 
személyes adatait kezeli, melyek szükségesek az Egyházközség céljainak megvalósításához, azonban 
az  érintett  személyek  magánszférájának  bensőségesebb  területéhez  tartoznak.  Ezen  adatok  bár  az 
Egyházközségen belül viszonylag szélesebb körben ismertek, azonban jogosulatlan személyek azzal az 
érintett  életét  jelentősen  befolyásolva  visszaélhetnek.  Ennek  elkerülése  jelen  szabályzat  kiemelt 
célja. 
 
II. Jelen szabályzat kapcsolata más jogi normákkal  
 
2. § Jelen szabályzat alkalmazása során elsődleges jogforrás a természetes személyeknek a személyes 
adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 
95/46/EK  rendelet  hatályon  kívül  helyezéséről  (általános  adatvédelmi  rendelet)  szóló  EURÓPAI 
PARLAMENT  ÉS  A  TANÁCS  (EU)  2016/679  RENDELETE  (2016.  április  27.),  valamint  az  információs 
önrendelkezési jogról és az információszabadságról szóló 2012. évi CXII. törvény.  
 
3.  §  A  lelkészi  hivatal  ügyrendjét  szabályozó  egyházközségi  szabályrendelet  jelen  szabályzatnak 
megfelelően  fogadható  el,  illetőleg  módosítható.  Amennyiben  jelen  szabályzat  hatálybalépésekor 
szükséges, a szabályrendeletet e szabályzatnak megfelelően felül kell vizsgálni.  
 
III.  Az  érintettek  köre,  az  adatkezelés  céljai,  és  a  célok  szerint  kezelt  személyes  adatok  köre  és 
formái, az adatkezelés formái és időtartama 
 
4.  §  Az  Egyházközség  által  folytatott  adatkezelésben  érintett  személyek:  az  egyházközség 
anyakönyvében szereplő személyek,  az egyházközség  tagjai,  az egyházközség  tagjai közül választott 
tisztségviselői, az egyházközség által tevékenysége során alkalmazott egyéb tisztségviselők, valamint 
az egyházközség által foglalkoztatottak.  
 
5.  §  Az  Egyházközség  által  folytatott  adatkezelések  célja  az  általa  képviselt  szellemi  és  kulturális 
gyülekezeti  közösségi  élet  biztosítása.  Az  adatkezelések  a  következő  konkrét  adatkezelési  célok 
mentén különülnek el egymástól:  
a)  az Egyházközség által vezetett anyakönyvek, 
b)  az Egyházközség tagjainak nyilvántartása, 
c)  az Egyházközség tisztviselőinek és további foglalkoztatottjainak nyilvántartása,  
d)  az Egyházközség hitéleti tevékenységével kapcsolatos iratkezelés,  
e)  az Egyházközség gazdasági szervezeti egységeinek működtetésével kapcsolatos adatkezelések.   
 

background image

6. § (1) A személyes adatok köre az 5. § a) pont esetében: 
… 
(2) A személyes adatok köre az 5. § b) pont esetében:   
… 
(3) A személyes adatok köre az 5. § c) pont esetében:  
… 
(4) A személyes adatok köre az 5. § d) pont esetében:  
… 
(5) A személyes adatok köre az 5. § e) pont esetében:  
… 
 
7. § Az Egyházközség által vezetett nyilvántartások köre és formái:  
a)  anyakönyvek,  
b)  egyházközségi nyilvántartások,  
c)  irattár,  
d)  levéltár,  
e)  munkaügyi nyilvántartás, 
f)  adminisztrációs ügyek nyilvántartása. 
 
8. §  (1)  Az 5. § a)-d)  pontjai  nem törölhetők,  kezelésük  az Egyházközség alapvető tevékenységének 
ellátásával kapcsolatos.  
(2) Az 5. § e) pontban ismertetett, a munkáltatással kapcsolatos adatok mindaddig kezelendők, amíg 
a foglalkoztatás igazolása céljából szükséges.  
(3)  Az  5.  §  f)  pontban  ismertetett  adatkörök  kezelésére  az  adózással  és  számvitellel  kapcsolatos 
elévülési idők, mint adatkezelési idők vonatkoznak.  
 
IV. A kezelt adatok jellege 
 
9. §  Az Egyházközség által kezelt, a jelen szabályzat 5. §  a)-e)  pontban meghatározott,  természetes 
személlyel  kapcsolatos  adatok  az  Adatvédelmi  Rendelet

1

  értelmében  különleges  személyes  adatok 

kategóriájába  tartoznak.  Az  ilyen  adatok  kezelése,  gyűjtése  és  nyilvántartása  során  fokozott 
figyelemmel kell lenni az adatok szenzitív jellegére, és kiemelten be kell tartani a jelen szabályzatban, 
illetőleg a lelkészi hivatal ügyrendjében rögzített, adatbiztonságra vonatkozó szabályokat.  
 
V. Az adatkezelés jogalapja 
 
10.  §  (1)  Az  5.  §  a)-d)  pontjában  meghatározott  személyes  adatok  kezelésének  jogalapjai  a 
következők:  
a) az érintett kifejezett hozzájárulása személyes adatai kezeléséhez

2

 

b)  az  adatkezelés  az  Egyházközösség  jogszerű  tevékenysége  keretében,  a  rá  vonatkozó  egyházi 
normák, vagy a hatályos állami törvényi rendelkezések szerint meghatározott célból történnek

3

                                                           

1

 Adatvédelmi Rendelet 9. § (1) bek.: „A (…) vallási vagy világnézeti meggyőződésre (…) utaló személyes adatok” 

különleges személyes adatok.  

2

 Adatvédelmi rendelet 9. § cikk (2) bekezdés a) pont 

3

 Adatvédelmi Rendelet 9. § cikk (2) bekezdés d) pont 

background image

(2)  Az  5.  §  e)  pontjában  meghatározott  személyes  adatok  kezelése  a  foglakoztatásból  és  szociális 
ellátások biztosításából fakadó kötelezettségek teljesítése.  
(3) Az 5. § f) pontjában meghatározott személyes adatok kezelése az adatkezelőre vonatkozó adóügyi 
és számviteli kötelezettségek teljesítése.  
(3) Amennyiben az adatkezelés jogalapja (1) bekezdés a) pontjában foglalt hozzájárulás, azt úgy kell 
megkérni, hogy annak megtörténte utóbb igazolható legyen.  
(4) A 5. § e) pontban ismertetett adatok kezelése az adóügyi és számviteli jogszabályokon alapszik.  
 
VI. Az adattovábbításra vonatkozó különös szabályok 
 
11.  §  (1)  A  jelen  szabályzat  5.  §  a)-e)  pontjában  meghatározott  célból  kezelt  személyes  adatok  az 
Egyházközség  szervezetén kívüli  személynek  csak  akkor  továbbítható,  ha  ahhoz  az  érintett  személy 
kifejezett,  írásbeli  hozzájárulását  adta,  vagy  ha  azt  törvény  elrendeli  és  az  adatkezelés  célja  azt 
indokolja, illetőleg az más, nem személyes adatok kezelésével nem valósítható meg.  
(2) Az adattovábbításokat elsődlegesen az érintett személyen keresztül kell megvalósítani, vagyis az 
adatokat,  az  azokat  tartalmazó  dokumentumot,  elektronikus  küldeményt  az  érintett  számára  kell 
továbbítani, aki az adatokat igénylő személy felé a tényleges adatátadást megteszi. E szabálytól csak 
konkrét törvényi rendelkezés esetében, vagy olyan adattovábbításokkor lehet eltekinteni, amikor az 
adatokat  a  Magyarországi  Evangélikus  Egyház  egyházkormányzati  testületeinek,  részeinek,  egyházi 
jogi  személyeinek  szükséges  továbbítani,  az  érintett  kérelmére,  illetőleg  az  érintett  által  vállalt 
tisztség, egyéb státusz betöltéséhez szükséges igazolásul.  
(3) Az Egyházközség tisztviselőinek adatait munkaügyi és adóügyi célból a törvényben adatkezelésre 
felhatalmazott állami szervezetek részére, a törvényben rögzített adatkör elejéig továbbítani kell.  
 
12.  §  Amennyiben  az  Egyházközség  harmadik  személy  részére  személyes  adatokat  ad  át,  a 
nyilvántartást  olyan  formában  kell  vezetnie,  hogy  az  érintett  erről  utóbb  tájékoztatást  kérhessen 
(adattovábbítási nyilvántartás). Az adatkezelést úgy kell megszervezni, hogy a tájékoztatást legalább 
húsz évig meg kell tudni adni az érintett részére. 
 
VII. Az adatkezelő személye, és az adatvédelmi tisztviselőre vonatkozó rendelkezések 
 
13.  §  (1)  Az  Egyházközség  által  végzett  személyes  adatok  kezeléséért  az  Egyházközség  elnöksége  a 
felelős.  A  konkrét  személyes  adatok  kezelésével  kapcsolatos  eljárási  rendet  és  az  adatkezelésben 
részt vevő tisztviselők kötelezettségeit a lelkészi hivatal ügyrendjében kell rögzíteni.  
(2)  Az  Egyházközség  valamennyi  tisztségviselőjének,  illetőleg  az  adatokhoz  jogszerűen  hozzáférő 
tagjának kötelessége, hogy az általa megismert, kezelt adatokhoz arra fel nem hatalmazott személy 
ne férhessen hozzá.  
 
14. § Az Egyházközség elnökségének címe, elérhetősége: … 
 
15. § (1) Az Egyházközségnek, mivel szenzitív adatokat kezel, adatvédelmi tisztviselőt kell kineveznie. 
A  tisztviselő  az  Egyházközség  elnökségének  felel,  és  ellátja  a  vonatkozó  jogszabályokban  foglalt 
feladatait.  
(2)  Adatvédelmi  tisztviselőnek  az  Egyházközség  olyan  munkatársa  nevezhető  ki,  aki  rendelkezik 
mindazon szakmai gyakorlattal és tudással, mely e feladat ellátásához szükséges. Amennyiben ilyen 

background image

munkatársa nincs, megbízhatja az Magyar Evangélikus Egyház Országos Irodájának (a továbbiakban: 
Országos Iroda) adatvédelmi tisztviselőjét a feladatok ellátására.  
 
16.  §  (1)  Amennyiben  az  Egyházközség  tevékenysége  során,  a  személyes  adatok  kezelésével 
kapcsolatosan  olyan  jogkérdés  merül  fel,  melyet  a  jelen  dokumentum  nem  szabályoz,  az  elnökség 
kérdésével  a  Országos  Irodájának  adatvédelmi  tisztségviselőjéhez  (továbbiakban:  adatvédelmi 
tisztviselő) fordulhat. Az adatvédelmi tisztviselő válaszát az ügy jellegére és az esetleges határidőkre 
tekintettel adja meg.  
(2) Amennyiben az ügy jellege indokolja, és az Egyházkerület elnöksége azt elfogadja, az adatvédelmi 
tisztviselő  a  jogkérdésben  konzultációt  kezdeményezhet  harmadik  személyekkel,  így  a  Nemzeti 
Adatvédelmi és Információszabadság Hatósággal.  
(3)  Az  Egyházközség  elnöksége  az  adatvédelmi  tisztviselő  válaszát  figyelembe  veheti,  azonban  a 
döntését saját hatáskörben hozza meg.  
 
17.  §  Amennyiben  az  Egyházközség  új  adatkezelési  technológiát,  eljárási  rendet  vezet  be, 
adatvédelmi hatásvizsgálatot szükséges végezni annak vizsgálata céljából, hogy az újítás megfelelően 
biztosítja-e az adatkezelésben érintett személyek jogainak a védelmét. Az adatvédelmi hatásvizsgálat 
elvégzéséhez  az  Egyházközség  elnöksége,  illetőleg  saját  adatvédelmi  tisztviselője  az  Országos  Iroda 
Adatvédelmi tisztviselőjétől segítséget kérhet. 
 
VIII. Az érintett jogai 
 
18. § Az Egyházközség által kezelt adatok elsődleges forrása az érintett személy. Harmadik személytől 
csak akkor kérhető adat,  
a)  ha azt törvény lehetővé teszi,  
b)  az érintett ahhoz kifejezetten hozzájárult.  
 
19.  §  (1)  Az  adatkezelésben  érintett  személyek  saját  adataikról  tájékoztatást  kérhetnek.  A 
tájékoztatást indokolatlan késedelem nélkül, de legfeljebb egy hónapon belül kell az érintett részére 
megadni.  A  tájékoztatást  az  érintett  számára  az  általa  kért  formában  –  szóban,  írásban  –,  a  kezelt 
adatokról  készült  másolat  útján,  vagy  elektronikusan  kell  megtenni.  A  tájékoztatás  megadása 
ingyenes.  
(2)  Az  érintett  személy  jogosult  arra,  hogy  a  következő  információkról  tájékoztatást  kapjon  az 
Egyházközség elnökségétől:  
a)  az adatkezelés céljáról, 
b)  amennyiben  lehetséges,  az  5.  §  c)  és  f)  pontjai  esetében  a  személyes  adatok  tárolásának 

időpontjáról,  valamint  arról,  hogy  az  5.  §-ban  ismertetett  további  adatkörök  kezelésének 
megszűntetése nem lehetséges,  

c)  a  helyesbítés  és  amennyiben  lehetséges  a  személyes  adatok  törlésének  lehetőségéről  és 

formájáról,  

d)  amennyiben adatfeldolgozót vettek igénybe, annak személyéről, 
e)  ha a személyes adatait továbbították, mely személyek részére történt és milyen jogalappal, 
f)  ha  adatvédelmi  incidens  történt,  annak  körülményeiről,  hatásáról,  az  elhárításra  tett 

intézkedésekről,  

g)  arról, hogy esetleges panaszával kihez fordulhat, illetőleg 

background image

h)  amennyiben  az  adatokat  nem  az  érintettől  gyűjtötték,  az  adatok  forrásáról  minden  elérhető 

információt.  

 
(3) Az (2) bekezdés g) pontjában foglalt panasszal az érintett döntésétől függően fordulhat:  
a)  az Egyházközség elnökségéhez, 
b)  az adatvédelmi tisztviselőhöz,  
c)  a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, valamint  
d)  az érintett lakóhelye szerint illetékes törvényszékhez.  

 

20.  §  Ha  az  érintett  észleli,  hogy  a  kezelt  személyes  adata  hibás,  helyesbítését  kérheti  az 
Egyházközség  elnökségétől.  Az  érintett  kérését,  amennyiben  az  szükséges,  indokolatlan  késedelem 
nélkül át kell vezetni. A kérés elbírálásáig a személyes adatok kezelését korlátozni kell.  
 
21.  §  (1)  Amennyiben  az  érintett  úgy  látja,  hogy  a  személyes  adatok  kezelése  jogellenes,  kérheti 
személyes adatainak törlését.  
(2)  Amennyiben  az  érintett  személyes  adatainak  kezelése  kizárólag  a  hozzájárulásán  alapszik,  és  az 
adatok  törlése  az  Egyházközség  vallási  feladatainak  ellátását  nem  korlátozza

4

,  kérheti  személyes 

adatainak törlését.  
(3)  Törlés  helyett  zárolni  kell  azokat  a  személyes  adatokat,  amelyek  kezelésének  megszűntetése  az 
érintett személy személyiségi jogait sértik.  
(4)  Amennyiben  az  Egyházközség  Elnöksége  az  adatok  törlésének  jogosságát  nem  tudja  eldönteni, 
állásfoglalás megkérése céljából az adatvédelmi tisztviselőhöz fordulhat.  
(3) Az érintett kérésének elbírálásáig a személyes adatok kezelését korlátozni kell.  
 
22. § Amennyiben a személyes adatok kezelését korlátozni kell, azokat felhasználni csak az érintett 
személy hozzájárulásával lehet.  
 
IX. Adatbiztonságra vonatkozó szabályok 
 
23. § (1) Az Egyházközségnek az általa kezelt személyes adatokat, azok szenzitív jellegére tekintettel 
megfelelő technikai és szervezési intézkedések érvényesítésével kell védelemben részesíteni. 
(2) A technikai intézkedések során a következő követelményeket kell érvényesíteni:  
a)  biztosítani kell,  hogy  az  adatok  –  papír  alapú, vagy  digitális  –  hordozója  megfelelő védelemben 

részesüljön.  Így  papír  alapú  nyilvántartás  esetén,  a  papírokat  elzárt  helyiségben,  zárható 
szekrényben kell elhelyezni. Digitális nyilvántartás esetén a számítógépet megfelelő jelszóval kell 
ellátni, és amennyiben lehetséges, a számítógépet nem lehet összekötni az internettel.   

b)  Fokozottan  kell  felügyelni,  hogy  a  kezelt  adatok  ne  vesszenek  el,  vagy  jogellenesen  ne 

módosuljanak.  

c)  Kiemelten  biztosítani  kell,  hogy  a  kezelt  személyes  adatok  ne  kerülhessenek  arra  fel  nem 

jogosított személy(ek) birtokába.  

d)  Biztosítani  kell,  hogy  amennyiben  az  eredeti  adathordozó  megsérül,  az  adatok  eredeti 

tartalmukban  rekonstruálhatóak  legyenek.  Így  digitális  nyilvántartás  esetén  a  nyilvántartásról 
heti vagy havi rendszerességgel kell másolatot készíteni.  

                                                           

4

 Az adatok törlése csak akkor lehetséges, ha az Adatvédelmi Rendelet 9. § cikk (2) bekezdés d) pontban foglalt 

jogalap az adatkezelést nem alapozza meg. 

background image

(3)  Szervezési  intézkedéseken  keresztül  biztosítani  kell,  hogy  az  adatokhoz  az  Egyházközség 
tisztviselői és dolgozói közül is csak az arra jogosult személy férhessen hozzá.  
 
24. § Amennyiben külső személy kér személyes adatot az Egyházközségtől, akkor a jelen szabályzat 
11.  §-át  kell  alkalmazni.  Ha  az  adatokat  közvetlenül  az  azokat  igénylő  személynek  továbbítanák, 
előtte  meg  kell  győződni  arról,  hogy  az  adatok  kezelésére  valóban  jogosult.  Így  az  adatigénylését 
írásban  kell  megkérni,  és  abban  az  adatigénylés  célját  és  jogalapját  közérthető  formában  ki  kell 
fejtenie.  Ezt  a  követelményt  állami  szervek  esetén  is  fokozottan  érvényesíteni  kell.  Amennyiben 
kétség merülne fel az adatigénylés jogszerűségéről, azt meg kell tagadni.  
 
25.  §  (1)  Amennyiben  az  adatbiztonsági  követelmények  sérelmével  a  kezelt  személyes  adatok 
sérültek,  megsemmisültek,  elvesztek,  megváltoztak,  vagy  jogosulatlan  személy  ahhoz  hozzáfért, 
adatvédelmi incidens történt.  
(2) Ha az adatvédelmi incidens nem jelent magas kockázatot az érintett jogaira nézve, a megtörtént 
eseményt nyilván kell tartania. Ennek keretében rögzíteni kell a keletkezett eseményt, és a megtett 
intézkedéseket.  
(3)  Amennyiben  az  adatvédelmi  incidens  magas  kockázattal  járt  az  érintett  személy  jogaira  nézve, 
annak  tudomására  jutásától  számított  72  órán  belül  be  kell  jelenteni  a  Nemzeti  Adatvédelmi  és 
Információszabadság Hatósághoz.

5

  

(4)  Az  Egyházközség  elnöksége  a  bejelentés  megtételéhez  az  adatvédelmi  tisztviselő  segítségét 
kérheti.  
 
X. Záró rendelkezések 
 
26. § Jelen szabályzat a elfogadásának napján lép hatályba. A szabályzat a helyben szokásos módon 
kerül közzétételre.  
 
Kelt: 2018. ……………………….. 

                                                           

5

 A bejelentés tartalmi követelményeit az Adatvédelmi rendelet 33. cikke és a nemzeti jogszabályok rendezik. 

 

Dokumentummal kapcsolatos tevékenységek
« 2018. június »
június
HKSzeCsPSzoV
123
45678910
11121314151617
18192021222324
252627282930