background image

Az  adatvédelmi  és  adatbiztonsági  szabályzat  alapvető  célja  négy  fő  követelmény 
érvényesítése: 
a)  Tartalmaznia  kell  az  adatkezelő  által  lefolytatott  adatkezelés(ek)  leírását  (minden 

adatkezelési  cél  estén  külön-külön):  milyen  adatot,  milyen  célból  -  ha  meg  lehet 
határozni,  -  mennyi  ideig  kezelnek,  pontosan  ki  az  adatkezelő,  ha  alkalmaz,  milyen 
adatfeldolgozót.  Célszerű  a  szabályzatot  olyan  részletességgel  megírni,  hogy  az  érintett 
személy átláthassa a személyes adatai kezelésének útját.  

b)  Az adatvédelmi rendelet  és a hatályos adatvédelmi törvény meghatározza, hogy milyen 

tájékoztatásokat  kell  az  adatkezelőnek  az  érintett  számára  adni.  A  szabályzatnak 
tartalmaznia  kell  ezeket,  és  meg  kell  határoznia,  hogy  milyen  ügyrendben  kell  az 
adatigényléseket  teljesíteni.  Az  adatvédelmi  tájékoztatónak  tartalmaznia  kell  továbbá, 
hogy  amennyiben  az  érintett  kifogással,  panasszal  kíván  élni,  mely  szervhez,  külső 
intézmény fordulhat. 

c)  Az  adatvédelmi  szabályzatnak,  ha  szükséges,  az  adatkezelőn  belül  meg  kell  határoznia, 

hogy  mely  szervezeti  egységnek  milyen  adatvédelmi  feladata,  kötelezettsége  van.  Igen 
fontos,  hogy  az  adatbiztonsági  rendelkezések  iránymutatást  adjanak  a  kezelt  adatok 
védelmére, és kezelésére.  

d)  A  szabályzatnak  végezetül  konkrét,  az  intézmény  működését  lekövető  adatbiztonsági 

szabályokat  kell  tartalmaznia.  Elvben  lehetséges,  hogy  jelen  szabályzat  csak  a 
legfontosabb  adatbiztonsági  szabályokat  tartalmazza,  és  más  szabályzat,  vagy  ügyrend 
azt konkretizálja. Ebben az esetben jelen szabályzat alkalmazása elsődleges, és az ebben 
foglalt szabályoknak elégségesnek kell lenniük a legfontosabb kérdések, iránymutatások 
meghatározására.  

 
Az  adatvédelmi  szabályzatnak  a  fenti  elemeket  kellő  mértékben  le  kell  írnia,  és  a  konkrét 
intézmény tekintetében szükséges, a rá jellemző, egyedi adatkezelésekre is ki kell terjedjen, 
és azt megfelelően le kell írnia, illetőleg szabályoznia kell.  
A  továbbiakban  egy  általános  adatvédelmi  szabályzat  legfontosabb  pontjait  írjuk  le,  és 
bemutatjuk, hogy az egyes címeknél milyen adatokkal kell kitölteni azt. Hangsúlyozzuk, hogy 
a  szabályzatminta  általános  jellegű,  és  minden  intézménynél,  annak  jellege  alapján  kell  azt 
véglegesíteni.  Fekete  színnel  azokat  a  rendelkezéseket  írtuk,  melyet  javaslunk  véglegesen 
átvenni, kék színnel a magyarázó, iránymutató tájékoztatást szedtük.  

 

…………………………………. (szervezet megnevezése) 

Adatvédelmi és adatbiztonsági szabályzata 

 
I. A szabályzat célja 
 
Jelen  szabályzat  célja,  hogy  az  ………………………………………..  (továbbiakban:  Adatkezelő)  kifejtett 
adatvédelmi  garanciák  által  biztosítsa  az  adatkezelő  által  végzett  adatkezelések  átláthatóságát, 
jogszerűségét, és biztosítsa az adatkezelésben érintett személyek személyes adatok védelméhez való 
jogát, és ezen keresztül magánszférájuk és háborítatlan szabad vallásgyakorlásukhoz való jogukat.  
 
II. Jelen szabályzat kapcsolata más jogi normákkal  
 

background image

Jelen  szabályzat  alkalmazása  során  elsődleges  jogforrás  a  természetes  személyeknek  a  személyes 
adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 
95/46/EK  rendelet  hatályon  kívül  helyezéséről  (általános  adatvédelmi  rendelet)  szóló  EURÓPAI 
PARLAMENT  ÉS  A  TANÁCS  (EU)  2016/679  RENDELETE  (2016.  április  27.),  valamint  az  információs 
önrendelkezési jogról és az információszabadságról szóló 2012. évi CXII. törvény.  
 
Az  Adatkezelő  adatkezelését  szabályozó  más  belső  normák  jelen  szabályzatnak  megfelelően 
fogadhatók el, illetőleg módosíthatók. Amennyiben jelen szabályzat hatálybalépésekor szükséges, az 
adatkezelésekre vonatkozó további belső szabályzatokat felül kell vizsgálni.  

 

III.  Az  érintettek  köre,  az  adatkezelés  céljai,  és  a  célok  szerint  kezelt  személyes  adatok  köre  és 
formái, az adatkezelés formái és időtartama 
 
Az Adatkezelő által folytatott adatkezelésben érintett személyek:  
 

E  pont  alatt  az  adatkezelő  feladatkörének  ellátásához  szükséges  adatkezelésekben  érintett 
személyek  körét  (például:  iskolák  esetében  diákok,  üdülők  esetében:  vendégek)  kell  leírni. 
Ettől  elkülönítve  kell  ismertetni  az  intézmény  működtetésével  kapcsolatos  adatkezelések 
érintettjeit  (például  a  tisztviselők,  oktatók,  munkavállalók  stb.),  illetőleg  a  gazdasági 
működéssel kapcsolatos adatkezelések érintettjeit (ha ilyen személy van). 

 
Az Egyházkerület által folytatott adatkezelések célja  
 

Az  adatkezelési  céljának  azt  kell  tekinteni,  aminek  az  érvényesítése  céljából  a  személyes 
adatokat gyűjtik, és kezelik. Minden egyes célt jelen pont alatt önállóan fel kell sorolni. Igen 
lényeges, hogy a lista teljes legyen. Adatkezelés célokat alapvetően két csoportra oszthatjuk, 
az  intézmény  szakmai  feladatainak  érvényesítése  végett  meghatározott  célok  (pl.  oktatás), 
másrészt a gazdasági tevékenységgel kapcsolatos célok (pl. munkáltatás, üzemeltetés stb.) 

 
Az Egyházkerület által vezetett adatok köre és az adatkezelés formája 
a)  ... 
b)  … 
 

Az adatok körét az adatkezelés céljaiként kell meghatározni, és kellő részletességgel leírni. A 
hatályos magyar jog nem követeli meg, hogy az ismertetés teljesen lefedje a kezelt adatokat, 
de  amennyiben  lehetséges,  erre  törekedni  kell,  és  érvényesíteni  kell  azt  az  elvet,  hogy  az 
érintett ezen keresztül átláthassa az adatkezelést.  

 
Az egyes adatkörök a következő időtartamig kezelhetők:  
a) … 
b) … 

 

Amennyiben  lehetséges,  az  adatköröknél meg  kell  határozni  az adatkezelés  időtartamát.  Ez 
történhet  az  adatkezelésre  vonatkozó  jogszabályi  rendelkezésre  hivatkozva,  illetőleg  az 
adatkezelés időtartalmának években történő meghatározásában.  

background image

 
IV. A kezelt adatok jellege, az adattovábbításra vonatkozó korlátozások 
 

Az  egyes  személyes  adatok  egyes  típusai  az  érintett  magánszféráját  kevésbé,  mások  jóval 
inkább  érinthetik.  A  hatályos  adatvédelmi  törvény,  és  az  Adatvédelmi  Rendelet  is  taxatíve 
meghatározza azon adatok körét, melyek az érintett személyiségét érzékenyebben érintik, és 
ezeket  szenzitív  személyes  adatoknak  nevezi.  Ilyen  adatok  kezelésének  más  a  jogalapja, 
kezelésükre szigorúbb szabályok vonatkoznak, illetőleg az ilyen adatokkal történő visszaélésre 
szigorúbb szankciót határoz meg a jog.  
Adatvédelmi  Rendelet  9.  §  (1)  bek.  értelmében  például:  „A  (…)  vallási  vagy  világnézeti 
meggyőződésre (…) utaló személyes adatok” különleges személyes adatok. Amennyiben ilyen 
adatot  kezel  az  Adatkezelő,  ezen  adatok  körét  a  fenti  szakaszokban  elkülönülten  kell 
meghatározni,  és  kezelésüknél  a  szigorúbb  adatvédelmi  szabályokra  kell  figyelemmel  lenni. 
Jelen pontban az ilyen adatokra plusz garanciális szabályokat érdemes megfogalmazni.  

 
VI. Az adatkezelő személye, és az adatvédelmi tisztviselőre vonatkozó rendelkezések 
 
Az Adatkezelő által végzett személyes adatok kezeléséért az Adatkezelő ….. (

ügyvezető, igazgató stb.

a felelős.  
 

A  konkrét  személyes  adatok  kezelésével  kapcsolatos  eljárási  rendet  és  az  adatkezelésben 
részt vevő tisztviselők, dolgozók kötelezettségeit jelen szabályzatban is meg lehet határozni, 
de önálló szabályt is lehet például ügyrendekben meghatározni. Lényeges, hogy amennyiben 
önálló  szabályzatban  végzik  el  a  szabályozást,  annak  tekintettel  kell  lennie  az  adatvédelmi 
jogszabályokra, és jelen szabályzatra.  

 
Az Adatkezelő  valamennyi tisztségviselőjének,  illetőleg az adatokhoz jogszerűen hozzáférő tagjának 
kötelessége,  hogy  az  általa  megismert,  kezelt  adatokhoz  arra  fel  nem  hatalmazott  személy  ne 
férhessen hozzá.  
 
Az Adatkezelő vezetőségének címe, elérhetősége: … 
 

Az  adatok  megadásának  a  célja,  hogy  az  érintett  tudja,  pontosan  kihez,  milyen  úton  tud 
fordulni személyes adatainak kezelésével kapcsolatos kérdésével, kifogásával.  

 
Az  Adatkezelőnek,  amennyiben  szenzitív  adatot  kezel,  adatvédelmi  tisztviselőt  kell  kineveznie.  A 
tisztviselő az Adatkezelő vezetőjének felel, és ellátja a vonatkozó jogszabályokban foglalt feladatait.  
Adatvédelmi tisztviselőnek az Adatkezelő olyan munkatársa nevezhető ki, aki rendelkezik mindazon 
szakmai gyakorlattal és tudással, mely e feladat ellátásához szükséges. Amennyiben ilyen munkatársa 
nincs,  megbízhatja  az  Magyarországi  Evangélikus  Egyház  Országos  Irodájának  (a  továbbiakban: 
Országos Iroda) adatvédelmi tisztviselőjét a feladatok ellátására.  
 

Az  adatkezelőnek  abban  az  esetben  kötelező  adatvédelmi  tisztviselőt  kineveznie,  ha  a 
szenzitív  adatok  kezelése  a  „főtevékenységéhez”  kapcsolódik.  Azt,  hogy  mi  nevezhető 
főtevékenységnek  konkrét  tevékenységi  körönként  lehet  megítélni.  Amennyiben  kérdéses, 

background image

hogy a kötelezettség az adatkezelőre kiterjed, érdemes az adatvédelmi tisztviselő kinevezése 
mellett  dönteni.  Ha  ilyen  képzettséggel  rendelkező  személy  az  adatkezelőnél  nincs,  az 
Országos Iroda adatvédelmi tisztviselőjét érdemes megbízni.  

 
Amennyiben  az  Adatkezelő  új  adatkezelési  technológiát,  eljárási  rendet  vezet  be,  adatvédelmi 
hatásvizsgálatot szükséges végezni annak vizsgálata céljából, hogy az újítás megfelelően biztosítja-e 
az adatkezelésben érintett személyek jogainak védelmét.  

 

Fontos  adatvédelmi  újítása  az  adatvédelmi  rendeletnek,  hogy  bevezeti  az  adatvédelmi 
hatásvizsgálatot. Ezt a kötelező esetekben el kell végezni: 
a)  valószínűsíthetően magas kockázattal jár a természetes személyek jogaira,  
b)  különleges személyes adatok kezelését érinti, illetőleg  
c)  nyilvános 

helyek 

nagymértékű, 

módszeres 

megfigyelése 

(kamera-rendszerek 

alkalmazása) esetében.  

 
Az  adatvédelmi  hatásvizsgálat  szabályai  jelenleg  még  nem  kiforrottak.  E  mellett  azonban 
annak  elmaradása  a  Nemzeti  Adatvédelmi  és  Információszabadság  Hatóság  oldaláról 
szankcionálható. 

 
X. Az érintettek jogai 
 

Az  alábbi  rendelkezések  az  érintett  személyek  számára  tájékoztatást  tartalmaznak,  hogy 
hogyan,  milyen  módon  tudják  az  adatkezeléssel  kapcsolatos  jogaikat  érvényesíteni. 
Javasoljuk változatlan formában elfogadni. Amennyiben az intézmény működése, vagy jellege 
okán  szükséges,  a  szabályok  konkretizálhatók,  illetőleg  részletezhetők  azzal,  hogy  az 
érintettek jogait az alábbi szabályok korlátozásával, szigorításával nem lehet 

 
Az  Adatkezelő  által  kezelt  adatok  elsődleges  forrása az  érintett  személy.  Harmadik  személytől  csak 
akkor kérhető adat,  
a)  ha azt törvény lehetővé teszi,  
b)  az érintett ahhoz kifejezetten hozzájárult, illetőleg  
c)  ha az adatkezelésben érintett személy 16. életévét még nem töltötte be és az adatkezeléshez a 

törvényes képviselő adja a hozzájárulást.  

 
Az  adatkezelésben  érintett  személyek  saját  adataikról  tájékoztatást  kérhetnek.  A  tájékoztatást 
indokolatlan késedelem nélkül, de  legfeljebb egy  hónapon belül kell az érintett részére megadni.  A 
tájékoztatást az érintett számára az általa kért formában – szóban, írásban, a kezelt adatokról készült 
másolat útján, vagy elektronikusan kell megtenni. A tájékoztatás megadása ingyenes.  
Az  érintett  személy  jogosult  arra,  hogy  a  következő  információkról  tájékoztatást  kapjon  az 
Adatkezelőtől:  
a)  az adatkezelés céljáról, 
b)  amennyiben lehetséges, a személyes adatok tárolásának időpontjáról, 
c)  a  helyesbítés  és  amennyiben  lehetséges  a  személyes  adatok  törlésének  lehetőségéről  és 

formájáról,  

d)  amennyiben adatfeldolgozót vettek igénybe, annak személyéről, 

background image

e)  ha a személyes adatait továbbították, mely személyek részére történt és milyen jogalappal, 
f)  ha  adatvédelmi  incidens  történt,  annak  körülményeiről,  hatásáról,  az  elhárításra  tett 

intézkedésekről,  

g)  arról, hogy esetleges panaszával mely hatósághoz nyújthat be panaszt, illetőleg 
h)  amennyiben  az  adatokat  nem  az  érintettől  gyűjtötték,  az  adatok  forrásáról  minden  elérhető 

információról.  

 
A fenti felsorolás e) pontjában foglalt panasszal az érintett döntésétől függően fordulhat:  
a) 

amennyiben van, az Adatkezelő adatvédelmi tisztviselőjéhez, ennek hiányában, az Adatkezelő 
vezetőjéhez

b)  a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, valamint  
c)  az érintett lakóhelye szerint illetékes törvényszékhez.  
 
Ha  az  érintett  észleli,  hogy  a  kezelt  személyes  adata  hibás,  helyesbítését  kérheti  az  Egyházkerület 
elnökségétől.  Az  érintett  kérését,  amennyiben  az  szükséges,  indokolatlan  késedelem  nélkül  át  kell 
vezetni. A kérés elbírálásáig a személyes adatok kezelését korlátozni kell.  
 
Amennyiben  az  érintett  úgy  látja,  hogy  a  személyes  adatok  kezelése  jogellenes,  kérheti  személyes 
adatainak törlését.  
Törlés  helyett  zárolni  kell  azokat  a  személyes  adatokat,  amelyek  kezelésének  megszűntetése  az 
érintett személy személyiségi jogait sértik.  
Az érintett kérésének elbírálásáig a személyes adatok kezelését korlátozni kell.  
 
Amennyiben  a  személyes  adatok  kezelését  korlátozni  kell,  azokat  felhasználni  csak  az  érintett 
személy hozzájárulásával lehet.  
 
XI. Adatbiztonságra vonatkozó szabályok 
 

Az  adatvédelmi  és  adatbiztonsági  szabályzat  lényeges  része  a  jelen  fejezet,  mely  az 
adatbiztonsággal kapcsolatos rendelkezéseket tartalmazza. Ebben az Adatkezelőnek konkrét 
szabályokat  kell  hoznia  arra,  hogy  milyen  technikai  és  eljárási  garanciákat  alkalmaz  annak 
érdekében,  hogy  a  személyes  adatok  integritásukat megőrizzék, és  jogosulatlan  személy  ne 
ismerhesse meg azokat.  
A  technikai  intézkedések  olyan  szabályokat  jelentenek,  amelyek  fizikailag  biztosítják  a 
személyes adatok védelmét. Ilyen a zárt helyiségben történő elhelyezése az adattárolónak, az 
adattároló számítógép jelszóval történő ellátása, szükség esetén az adattároló helyiségének 
klimatizálása, vagy tűzjelző berendezés elhelyezése.  
Lényeges adatbiztonsági szabály, hogy a leginkább biztonságos és megfelelő technológiát kell 
alkalmazni.  A  papíralapú  nyilvántartások  sérülékenyek,  és  azok  megsemmisülése,  vagy 
elvesztése  esetén  a  kezelt  adatok  nem  rekonstruálhatók.  Ezért,  amennyiben  ez  anyagilag 
nem  lehetetlen,  digitalizálni  kell  a  nyilvántartásokat,  és  megfelelő  biztonsági  intézkedések 
mellett  meghatározott  időszakonként  másolatot  kell  készíteni  az  adatokról.  A  másolatra 
azonos biztonsági követelmények vonatkoznak, mint az elsődleges adathordozóra.  
Szervezési intézkedések elsősorban azt  jelenik, hogy az adatvédelmi szabályzatnak meg kell 
határoznia  azt  az  ügyrendet,  hogy  kik  és  milyen  eljárás  mellett  férhetnek  az  adatokhoz, 

background image

illetőleg  amennyiben  az  adatkezelőhöz  külső  intézményből  adatigénylés  érkezik,  azt  milyen 
protokoll szerint kell elbírálni és megválaszolni.  
A  továbbiakban  a  legfontosabb  és  legáltalánosabb  adatbiztonsági  szabályokat  írjuk  le  azzal, 
hogy az adatkezelőnek a konkrét gyakorlatát kell a szabályzatban rögzítenie.  

 
21.  §  (1)  Az  Adatkezelő  az  általa  kezelt  személyes  adatokat,  azok  szenzitív  jellegére  tekintettel 
megfelelő technikai és szervezési intézkedések érvényesítésével kell védelemben részesíteni. 
(2) A technikai intézkedések során a következő követelményeket kell érvényesíteni:  
a)  biztosítani kell,  hogy  az  adatok  –  papír  alapú, vagy  digitális  –  hordozója  megfelelő védelemben 

részesüljön.  Így  papír  alapú  nyilvántartás  esetén,  a  papírokat  elzárt  helyiségben,  zárható 
szekrényben kell elhelyezni. Digitális nyilvántartás esetén a számítógépet megfelelő jelszóval kell 
ellátni, és amennyiben lehetséges, a számítógépet nem lehet összekötni az internettel.   

b)  Fokozottan  kell  felügyelni,  hogy  a  kezelt  adatok  ne  vesszenek  el,  vagy  jogellenesen  ne 

módosuljanak.  

c)  Kiemelten  biztosítani  kell,  hogy  a  kezelt  személyes  adatok  ne  kerülhessenek  arra  fel  nem 

jogosított személy(ek) birtokába.  

d)  Biztosítani  kell,  hogy  amennyiben  az  eredeti  adathordozó  megsérül,  az  adatok  eredeti 

tartalmukban  rekonstruálhatóak  legyenek.  Így  digitális  nyilvántartás  esetén  a  nyilvántartásról 
heti vagy havi rendszerességgel kell másolatot készíteni.  

(3)  Szervezési  intézkedéseken  keresztül  biztosítani  kell,  hogy  az  adatokhoz  az  Egyházkerület 
tisztviselői és dolgozói közül is csak az arra jogosult személy férhessen hozzá.  
 
Amennyiben  külső  személy  kér  személyes  adatot  az  Adatkezelőtől  és  az  adatokat  közvetlenül  az 
azokat  igénylő személynek továbbítanák, előtte meg kell győződni arról, hogy az adatok kezelésére 
valóban  jogosult.  Így  az  adatigénylését  írásban  kell  megkérni,  és  abban  az  adatigénylés  célját  és 
jogalapját  közérthető  formában  ki  kell  fejtenie.  Ezt  a  követelményt  állami  szervek  esetén  is 
fokozottan  érvényesíteni  kell.  Amennyiben  kétség  merülne  fel  az  adatigénylés  jogszerűségéről,  azt 
meg kell tagadni.  
 
Amennyiben  az  adatbiztonsági  követelmények  sérelmével  a  kezelt  személyes  adatok  sérültek, 
megsemmisültek,  elvesztek,  megváltoztak,  vagy  jogosulatlan  személy  ahhoz  hozzáfért,  adatvédelmi 
incidens történt.  
Ha  az  adatvédelmi  incidens  nem  jelent  magas  kockázatot  az  érintett  jogaira  nézve,  a  megtörtént 
eseményt nyilván kell tartania. Ennek keretében rögzíteni kell a keletkezett eseményt, és a megtett 
intézkedéseket.  
Amennyiben az adatvédelmi incidens magas kockázattal járt az érintett személy jogaira nézve, annak 
tudomására  jutásától  számított  72  órán  belül  be  kell  jelenteni  a  Nemzeti  Adatvédelmi  és 
Információszabadság Hatósághoz. A bejelentés tartalmi követelményeit az Adatvédelmi rendelet 33. 
cikke és a nemzeti jogszabályok rendezik.  
 
XII. Záró rendelkezések 
 
Jelen  szabályzat  az  elfogadása  napján  lép  hatályba.  A  szabályzat  a  helyben  szokásos  módon  kerül 
közzétételre.  
 

background image

Kelt: 2018. ………………………..