background image

…………………………………. (Egyházkerület megnevezése) 

Adatvédelmi és adatbiztonsági szabályzata 

 
I. A szabályzat célja 
 
1.  §  (1)  Jelen  szabályzat  célja,  hogy  az  ………………………………………..  (továbbiakban:  Egyházkerület)  a 
következőkben  kifejtett  adatvédelmi  garanciák  által  biztosítsa  az  adatkezelések  átláthatóságát, 
jogszerűségét,  és  biztosítsa  az  adatkezelésben  érintett  személy  személyes  adatok  védelméhez  való 
jogát, és ezen keresztül a magánszférája és a háborítatlan szabad vallásgyakorláshoz való jogát. 
 
II. Jelen szabályzat kapcsolata más jogi normákkal  
 
2. § Jelen szabályzat alkalmazása során elsődleges jogforrás a természetes személyeknek a személyes 
adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 
95/46/EK  rendelet  hatályon  kívül  helyezéséről  (általános  adatvédelmi  rendelet)  szóló  EURÓPAI 
PARLAMENT  ÉS  A  TANÁCS  (EU)  2016/679  RENDELETE  (2016.  április  27.),  valamint  az  információs 
önrendelkezési jogról és az információszabadságról szóló 2012. évi CXII. törvény.  
 
3.  §  A  püspöki  hivatal  ügyrendjét  szabályozó  egyházközségi  szabályrendelet  jelen  szabályzatnak 
megfelelően  fogadható  el,  illetőleg  módosítható.  Amennyiben  jelen  szabályzat  hatálybalépésekor 
szükséges, a szabályrendeletet e szabályzatnak megfelelően felül kell vizsgálni.  
 
III.  Az  érintettek  köre,  az  adatkezelés  céljai,  és  a  célok  szerint  kezelt  személyes  adatok  köre,  az 
adatkezelés formái és időtartama  
 
4. § Az Egyházkerület által folytatott adatkezelésben érintett személyek: az egyes ügyekben érintett 
Egyházkerületbe tartozó egyházközségek tagjai, az Egyházkerület tagjai közül választott tisztségviselői 
illetőleg  az  Egyházkerület  által  tevékenysége  során  alkalmazott  egyéb  tisztségviselők,  valamint  az 
Egyházkerület által foglalkoztatottak.  
 
5.  §  Az  Egyházkerület  által  folytatott  adatkezelések  célja  az  általa  képviselt  gyülekezet  közösségi 
életének biztosítása. Az adatkezelések a következő konkrét adatkezelési célok mentén különülnek el 
egymástól:  
a)  az Egyházkerület hitéleti tevékenységével kapcsolatos iratkezelés,  
b)  az Egyházkerület lelkészeinek nyilvántartása, 
c)  az Egyházkerület tisztviselőinek és munkatársainak nyilvántartása,  
d)  a fegyelmi eljárásokkal kapcsolatos adatkezelés,  
e)  a Gusztáv Adolf Segélyszolgálat tevékenységével kapcsolatos iratkezelés,  
f)  az Egyházkerületi gyűjtemények iratkezelése,  
g)  az Egyházkerület gazdasági szervezeti egységeinek működtetésével kapcsolatos adatkezelések.   
 
6. § (1) A személyes adatok köre az 5. § a) pont esetében: 

 

… 

(2) A személyes adatok köre az 5. § b) pont esetében:   
… 

background image

(3) A személyes adatok köre az 5. § c) pont esetében:  
… 
(4) A személyes adatok köre az 5. § d) pont esetében:  
… 
(5) A személyes adatok köre az 5. § e) pont esetében:  
… 
(6) A személyes adatok köre az 5. § f) pont esetében:  
… 
(7) A személyes adatok köre az 5. § g) pont esetében:  
… 
 
7. § Az Egyházkerület által vezetett nyilvántartások köre és formái:  
a)  egyházközségi lelkészek, tisztviselők és munkavállalók nyilvántartása, 
b)  irattár,  
c)  levéltár,  
d)  szociális ügyek nyilvántartása, 
e)  adminisztrációs ügyek nyilvántartása. 
 
8. § (1) Az 5. § a) és f) pontjai nem törölhetők, kezelésük az Egyházközség alapvető tevékenységének 
ellátásával kapcsolatos.  
(2) Az 5. § b) és c) pontban ismertetett, a munkáltatással kapcsolatos adatok mindaddig kezelendők, 
amíg a foglalkoztatás igazolása céljából szükséges.  

(3) Az 5. § d) pontban ismertetett adatkezelés időtartama a lelkészi szolgálattal összefüggő szükséges 
időtartam. 

(4)  Az  5.  §  e)  pontban  ismertetett  adatköröket  az  adatkezelés  céljának  megszűnésével  törölni  kell, 
mely időszak legfeljebb 1 év lehet. 

(3) A g) pontban ismertetett adatkörök kezelésére az adózással és számvitellel kapcsolatos elévülési 
idők, mint adatkezelési idők vonatkoznak.  
 
IV. A kezelt adatok jellege 
 
9. § Az Egyházkerület által kezelt, a jelen szabályzat 5. § a)-g) pontban meghatározott, természetes 
személlyel  kapcsolatos  adatok  az  Adatvédelmi  Rendelet

1

  értelmében  különleges  személyes  adatok 

kategóriájába  tartoznak.  Az  ilyen  adatok  kezelése,  gyűjtése  és  nyilvántartása  során  fokozott 
figyelemmel kell lenni az adatok szenzitív jellegére, és kiemelten be kell tartani a jelen szabályzatban, 
illetőleg a lelkészi hivatal ügyrendjében rögzített, adatbiztonságra vonatkozó szabályokat.  
 
V. Az adatkezelés jogalapja 
 
10.  §  (1)  A  jelen  szabályzat  5.  §  a)  és  f)  pontjában  meghatározott  személyes  adatok  kezelésének 
jogalapjai a következők:  
a) az érintett kifejezett hozzájárulása személyes adatai kezeléséhez

2

 

                                                           

1

 Adatvédelmi Rendelet 9. § (1) bek.: „A (…) vallási vagy világnézeti meggyőződésre (…) utaló személyes adatok” 

különleges személyes adatok.  

2

 Adatvédelmi rendelet 9. § cikk (2) bekezdés a) pont 

background image

b)  az  adatkezelés  az  Egyházközösség  jogszerű  tevékenysége  keretében,  a  rá  vonatkozó  egyházi 
normák, vagy a hatályos állami törvényi rendelkezések szerint meghatározott célból történnek

3

.  

(2)  Az  5.  §  b)  és  c)  pontjaiban  ismertetett,  a  munkáltatással  kapcsolatos  adatok  mindaddig 
kezelendők, amíg a foglalkoztatás igazolása céljából szükséges.  
(3)  Az  5.  §  d)  pontban  ismertetett  adatkezelés  a  munkáltatással  kapcsolatos  jogok  gyakorlásának 
érvényesítéséhez szükséges. 

(4)  Az  5.  §  e)  pontban  ismertetett  adatköröket  az  adatkezelés  céljának  megszűnésével  törölni  kell, 
mely időszak legfeljebb 1 év lehet. 

(3) A g) pontban ismertetett adatkörök kezelésére az adózással és számvitellel kapcsolatos elévülési 
idők, mint adatkezelési idők vonatkoznak.  
(2) Amennyiben az adatkezelés jogalapja (1) bekezdés a) pontjában foglalt hozzájárulás, azt úgy kell 
megkérni, hogy annak megtörténte utóbb igazolható legyen.  
 
VI. Az adattovábbításra vonatkozó különös szabályok 
 
11.  §  (1)  A  jelen  szabályzat  5.  §  a)-f)  pontjában  meghatározott  célból  kezelt  személyes  adatok  az 
Egyházkerület  szervezetén kívüli személynek csak  akkor továbbítható, ha ahhoz az érintett személy 
kifejezett,  írásbeli  hozzájárulását  adta,  vagy  ha  azt  törvény  elrendeli  és  az  adatkezelés  célja  azt 
indokolja, illetőleg az más, nem személyes adatok kezelésével nem valósítható meg.  
(2) Az adattovábbításokat elsődlegesen az érintett személyen keresztül kell megvalósítani, vagyis az 
adatokat,  az  azokat  tartalmazó  dokumentumot,  elektronikus  küldeményt  az  érintett  számára  kell 
továbbítani, aki az adatokat igénylő személy felé a tényleges adatátadást megteszi. E szabálytól csak 
konkrét törvényi rendelkezés esetében, vagy olyan adattovábbításokkor lehet eltekinteni, amikor az 
adatokat  a  Magyarországi  Evangélikus  Egyház  egyházkormányzati  testületeinek,  részeinek,  egyházi 
jogi  személyeinek  szükséges  továbbítani,  az  érintett  kérelmére,  illetőleg  az  érintett  által  vállalt 
tisztség, egyéb státusz betöltéséhez szükséges igazolásul.  
(3) Az Egyházkerület tisztviselőinek adatait munkaügyi és adóügyi célból a törvényben adatkezelésre 
felhatalmazott állami szervezetek részére, a törvényben rögzített adatkör elejéig továbbítani kell.  
 
12.  §  Amennyiben  az  Egyházkerület  harmadik  személy  részére  személyes  adatokat  ad  át,  a 
nyilvántartást  olyan  formában  kell  vezetnie,  hogy  az  érintett  erről  utóbb  tájékoztatást  kérhessen 
(adattovábbítási nyilvántartás). Az adatkezelést úgy kell megszervezni, hogy a tájékoztatást legalább 
húsz évig meg kell tudni adni az érintett részére. 
 
VII. Az adatkezelő személye, és az adatvédelmi tisztviselőre vonatkozó rendelkezések 
   
13. §  (1) Az  Egyházkerület  által végzett  személyes adatok kezeléséért  az  Egyházkerület elnöksége a 
felelős.  A  konkrét  személyes  adatok  kezelésével  kapcsolatos  eljárási  rendet  és  az  adatkezelésben 
részt vevő tisztviselők kötelezettségeit a lelkészi hivatal ügyrendjében kell rögzíteni.  
(2)  Az  Egyházkerület  valamennyi  tisztségviselőjének,  illetőleg  az  adatokhoz  jogszerűen  hozzáférő 
tagjának kötelessége, hogy az általa megismert, kezelt adatokhoz arra fel nem hatalmazott személy 
ne férhessen hozzá.  
 

                                                           

3

 Adatvédelmi Rendelet 9. § cikk (2) bekezdés d) pont 

background image

14. § Az Egyházkerület elnökségének címe, elérhetősége: … 
 
15.  §  (1)  Az  Egyházkerület  adatvédelmi  tisztviselőt  kell  kineveznie.  A  tisztviselő  az  Egyházkerület 
elnökségének felel, és ellátja a vonatkozó jogszabályokban foglalt feladatait.  
(2)  Adatvédelmi  tisztviselőnek  az  Egyházkerület  olyan  munkatársa  nevezhető  ki,  aki  rendelkezik 
mindazon szakmai gyakorlattal és tudással, mely e feladat ellátásához szükséges. Amennyiben ilyen 
munkatársa nincs, megbízhatja az Magyar Evangélikus Egyház Országos Irodájának (a továbbiakban: 
Országos Iroda) adatvédelmi tisztviselőjét a feladatok ellátására.  
 
16.  §  (1)  Amennyiben  az  Egyházkerület  tevékenysége  során,  a  személyes  adatok  kezelésével 
kapcsolatosan  olyan  jogkérdés  merül  fel,  melyet  a  jelen  dokumentum  nem  szabályoz,  az  elnökség 
kérdésével  a  Magyar  Evangélikus  Egyház  Országos  Irodájának  adatvédelmi  tisztségviselőjéhez 
(továbbiakban: adatvédelmi tisztviselő) fordulhat. Az adatvédelmi tisztviselő válaszát az ügy jellegére 
és az esetleges határidőkre tekintettel adja meg.  
(2) Ha az ügy jellege indokolja, és az Egyházkerület elnöksége azt elfogadja, az adatvédelmi tisztviselő 
a jogkérdésben konzultációt kezdeményezhet harmadik személyekkel, így a Nemzeti Adatvédelmi és 
Információszabadság Hatósággal.  
(3)  Az  Egyházkerület  elnöksége  az  adatvédelmi  tisztviselő  válaszát  figyelembe  veheti,  azonban  a 
döntését saját hatáskörben hozza meg.  
 
17.  §  Amennyiben  az  Egyházkerület  új  adatkezelési  technológiát,  eljárási  rendet  vezet  be, 
adatvédelmi hatásvizsgálatot szükséges végezni annak vizsgálata céljából, hogy az újítás megfelelően 
biztosítja-e  az  adatkezelésben  érintett  személyek  jogainak  védelmét.  Az  adatvédelmi  hatásvizsgálat 
elvégzéséhez az adatvédelmi tisztviselő az Egyházkerület elnökségének kérésére segítséget nyújt.  
 
VIII. Az érintettek jogai 
 
18.  §  Az  Egyházkerület  által  kezelt  adatok  elsődleges  forrása  az  érintett  személy.  Harmadik 
személytől csak akkor kérhető adat,  
a)  ha azt törvény lehetővé teszi,  
b)  az érintett ahhoz kifejezetten hozzájárult.  
 
19.  §  (1)  Az  adatkezelésben  érintett  személyek  saját  adataikról  tájékoztatást  kérhetnek.  A 
tájékoztatást indokolatlan késedelem nélkül, de legfeljebb egy hónapon belül kell az érintett részére 
megadni.  A  tájékoztatást  az  érintett  számára  az  általa  kért  formában  –  szóban,  írásban,  a  kezelt 
adatokról  készült  másolat  útján,  vagy  elektronikusan  kell  megtenni.  A  tájékoztatás  megadása 
ingyenes.  
(2)  Az  érintett  személy  jogosult  arra,  hogy  a  következő  információkról  tájékoztatást  kapjon  az 
Egyházkerület elnökségétől:  
a)  az adatkezelés céljáról, 
b)  amennyiben  lehetséges,  az  5.  §  b-e)  és  f)  pontja  esetében  a  személyes  adatok  tárolásának 

időpontjáról,  valamint  arról,  hogy  az  5.  §-ban  ismertetett  további  adatkörök  kezelésének 
megszűntetése nem lehetséges,  

c)  a  helyesbítés  és  amennyiben  lehetséges  a  személyes  adatok  törlésének  lehetőségéről  és 

formájáról,  

background image

d)  amennyiben adatfeldolgozót vettek igénybe, annak személyéről, 
e)  ha a személyes adatait továbbították, mely személyek részére történt és milyen jogalappal, 
f)  ha  adatvédelmi  incidens  történt,  annak  körülményeiről,  hatásáról,  az  elhárításra  tett 

intézkedésekről,  

g)  arról, hogy esetleges panaszával mely hatósághoz nyújthat be panaszt, illetőleg 
h)  amennyiben  az  adatokat  nem  az  érintettől  gyűjtötték,  az  adatok  forrásáról  minden  elérhető 

információról.  

 
(3) A (2) bekezdés e) pontjában foglalt panasszal az érintett döntésétől függően fordulhat:  
a)  az Egyházkerület elnökségéhez, 
b)  az adatvédelmi tisztviselőhöz,  
c)  a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, valamint  
d)  az érintett lakóhelye szerint illetékes törvényszékhez.  

 

20.  §  Ha  az  érintett  észleli,  hogy  a  kezelt  személyes  adata  hibás,  helyesbítését  kérheti  az 
Egyházkerület  elnökségétől.  Az  érintett  kérését,  amennyiben  az  szükséges,  indokolatlan  késedelem 
nélkül át kell vezetni. A kérés elbírálásáig a személyes adatok kezelését korlátozni kell.  
 
21.  §  (1)  Amennyiben  az  érintett  úgy  látja,  hogy  a  személyes  adatok  kezelése  jogellenes,  kérheti 
személyes adatainak törlését.  
(2)  Amennyiben  az  érintett  személyes  adatainak  kezelése  kizárólag  a  hozzájárulásán  alapszik,  és  az 
adatok  törlése  az  Egyházkerület  vallási  feladatainak  ellátását  nem  korlátozza

4

,  kérheti  személyes 

adatainak törlését.  
(3)  Törlés  helyett  zárolni  kell  azokat  a  személyes  adatokat,  amelyek  kezelésének  megszűntetése  az 
érintett személy személyiségi jogait sértik.  
(4)  Amennyiben  az  Egyházkerület  Elnöksége  az  adatok  törlésének  jogosságát  nem  tudja  eldönteni, 
állásfoglalás megkérése céljából az adatvédelmi tisztviselőhöz fordulhat.  
 (3) Az érintett kérésének elbírálásáig a személyes adatok kezelését korlátozni kell.  
 
22. § Amennyiben a személyes adatok kezelését korlátozni kell, azokat felhasználni csak az érintett 
személy hozzájárulásával lehet.  
 
IX. Adatbiztonságra vonatkozó szabályok 
 
23. § (1) Az Egyházmegyének az általa kezelt személyes adatokat, azok szenzitív jellegére tekintettel 
megfelelő technikai és szervezési intézkedések érvényesítésével kell védelemben részesíteni. 
(2) A technikai intézkedések során a következő követelményeket kell érvényesíteni:  
a)  biztosítani kell,  hogy  az  adatok  –  papír  alapú, vagy  digitális  –  hordozója  megfelelő védelemben 

részesüljön.  Így  papír  alapú  nyilvántartás  esetén,  a  papírokat  elzárt  helyiségben,  zárható 
szekrényben kell elhelyezni. Digitális nyilvántartás esetén a számítógépet megfelelő jelszóval kell 
ellátni, és amennyiben lehetséges, a számítógépet nem lehet összekötni az internettel.   

b)  Fokozottan  kell  felügyelni,  hogy  a  kezelt  adatok  ne  vesszenek  el,  vagy  jogellenesen  ne 

módosuljanak.  

                                                           

4

 Az adatok törlése csak akkor lehetséges, ha az Adatvédelmi Rendelet 9. § cikk (2) bekezdés d) pontban foglalt 

jogalap az adatkezelést nem alapozza meg. 

background image

c)  Kiemelten  biztosítani  kell,  hogy  a  kezelt  személyes  adatok  ne  kerülhessenek  arra  fel  nem 

jogosított személy(ek) birtokába.  

d)  Biztosítani  kell,  hogy  amennyiben  az  eredeti  adathordozó  megsérül,  az  adatok  eredeti 

tartalmukban  rekonstruálhatóak  legyenek.  Így  digitális  nyilvántartás  esetén  a  nyilvántartásról 
heti vagy havi rendszerességgel kell másolatot készíteni.  

(3)  Szervezési  intézkedéseken  keresztül  biztosítani  kell,  hogy  az  adatokhoz  az  Egyházkerület 
tisztviselői és dolgozói közül is csak az arra jogosult személy férhessen hozzá.  
 
24. § Amennyiben külső személy kér személyes adatot az  Egyházközségtől, akkor a jelen szabályzat 
10.  §-át  kell  alkalmazni.  Ha  az  adatokat  közvetlenül  az  azokat  igénylő  személynek  továbbítanák, 
előtte  meg  kell  győződni  arról,  hogy  az  adatok  kezelésére  valóban  jogosult.  Így  az  adatigénylését 
írásban  kell  megkérni,  és  abban  az  adatigénylés  célját  és  jogalapját  közérthető  formában  ki  kell 
fejtenie.  Ezt  a  követelményt  állami  szervek  esetén  is  fokozottan  érvényesíteni  kell.  Amennyiben 
kétség merülne fel az adatigénylés jogszerűségéről, azt meg kell tagadni.  
 
25.  §  (1)  Amennyiben  az  adatbiztonsági  követelmények  sérelmével  a  kezelt  személyes  adatok 
sérültek,  megsemmisültek,  elvesztek,  megváltoztak,  vagy  jogosulatlan  személy  ahhoz  hozzáfért, 
adatvédelmi incidens történt.  
(2) Ha az adatvédelmi incidens nem jelent magas kockázatot az érintett jogaira nézve, a megtörtént 
eseményt nyilván kell tartania. Ennek keretében rögzíteni kell a keletkezett eseményt, és a megtett 
intézkedéseket.  
(3)  Amennyiben  az  adatvédelmi  incidens  magas  kockázattal  járt  az  érintett  személy  jogaira  nézve, 
annak  tudomására  jutásától  számított  72  órán  belül  be  kell  jelenteni  a  Nemzeti  Adatvédelmi  és 
Információszabadság Hatósághoz. A bejelentés tartalmi követelményeit az Adatvédelmi rendelet 33. 
cikke és a nemzeti jogszabályok rendezik.  
(4)  Az  Egyházkerület  elnöksége  a  bejelentés  megtételéhez  az  adatvédelmi  tisztviselő  segítségét 
kérheti.  
 
X. Záró rendelkezések 
 
26. § Jelen szabályzat a jóváhagyásának napján lép hatályba. A szabályzat a helyben szokásos módon 
kerül közzétételre.  
 
Kelt: 2018. ………………………..