Eszterházy Károly Egyetem

Cím: H-3300 Eger, Eszterházy tér 1

Postacím: 3301 Eger, Pf.: 43.

Eszterházy Károly Egyetem
Adatvédelmi és Incidenskezelési Szabályzata

HATÁLYBA LÉPÉS NAPJA: 2018. május 25.

I. rész – Általános rendelkezések

1. § E szabályzat célja, hogy biztosítsa az adatvédelemmel kapcsolatos jogoknak és az adatbiztonság követelményeinek az érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok jogosulatlan megváltoztatását és nyilvánosságra hozatalát, rendelkezzen az adatvédelmi incidensek bekövetkezése esetében követendő eljárási szabályokról.

2. § (1) A szabályzat hatálya kiterjed az Eszterházy Károly Egyetemen, annak valamennyi szervezeti és működési egységénél, gyakorlóiskolánál és saját alapítású alapítványánál folytatott személyes adatokat tartalmazó adatkezelésre.

(2) Az egyes szervezeti egységek adatvédelmi tájékoztatói külön-külön dokumentumban kerülnek kiadásra, melyek jelen szabályzat folyamatosan bővülő mellékletét képezik.

II. rész – A személyes adatok kezelése

3. § (1) Az Eszterházy Károly Egyetemnél folytatott adatkezelések tekintetében az adatkezelő az Egyetem (a továbbiakban: adatkezelő).

(2) Az adatkezelőnél személyes adat csak az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) rendelkezéseivel összhangban kezelhető, a cél eléréséhez szükséges minimális mértékben és ideig. Ha az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatokat törölni kell.

4. § Az érintettel az adat felvétele előtt közölni kell az adatkezeléssel kapcsolatos minden tényt, így különösen az adatkezelés célját, jogalapját, az adatkezelésre és adatfeldolgozásra jogosult adatait, az adatkezelés időtartamát, valamint azt, hogy az adatszolgáltatás önkéntes vagy kötelező, továbbá hogy az adatszolgáltatás elmaradása milyen jogkövetkezménnyel jár. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. A tájékoztatásnak ki kell terjednie különösen az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Ez a tájékoztatás írásban, valamint az adatkezelő honlapján elhelyezett közlemény formájában is történhet.

5. § Az adatkezelőnél adatkezelést végző közalkalmazottak kötelesek az általuk megismert személyes adatokat hivatali titokként megőrizni. Ilyen munkakörben csak az foglalkoztatható, aki titoktartási nyilatkozatot tett.

6. § Az adatkezelő által végzett adatkezelés biztonságát a következő technikai és szervezési intézkedések garantálják:
a) az elektronikusan tárolt személyes adatokhoz csak a munkakörükre tekintettel erre feljogosított munkavállalók férhetnek hozzá, belépési jelszavuk megadását követően;
b) adminisztratív szabályozók;
c) rendszeres mentések;
d) a közalkalmazottak által tett titoktartási nyilatkozat;
e) informatikai biztonsági beállítások.

7. § Minden olyan személyes adatkezelés esetében, amely nem jogszabályi rendelkezésen alapul, és a GDPR 6. cikk (1) bekezdés b), c), d) vagy f) pontja alapján nincs jogalap az adatkezelésre, az adatkezelés megkezdése előtt az érintett kifejezett hozzájárulását kell kérni.

8. § (1) Az adatkezelés során a személyes adatot a jogszabályban, kifejezett jogszabályi rendelkezés hiányában pedig a (2) bekezdésben meghatározott ideig lehet kezelni.

(2) Az adatkezelő által kezelt azon személyes adatokat, amelyekre vonatkozóan jogszabály nem rendelkezik a törlésről, az alábbi időpontot, illetve időtartamot követően kell törölni:
a) egyéb adatok vonatkozásában – egyéb törvényi rendelkezés hiányában – az adatkezelés céljának megszűnését követő 30 napon belül, figyelembe véve az intézmény felügyeleti szervei által elrendelhető utólagos ellenőrzéseket is;
b) projektekhez kapcsolódó adatkezelés esetén: a projekt fenntartási időszakot követően

9. § (1) Az adatkezelő jogosult kezelni a közalkalmazottai munkavégzésével összefüggő személyes adatait, ennek jogszabályi alapját képezi a nemzeti felsőoktatásról szóló 2011. évi CCIV. tv. 3.számú mellékletének I/A. és I/B. szakasza. Ezen személyes adatok biztonságának megóvása érdekében a papíralapú iratokat zárt szekrényben kell tárolni.

(2) A közalkalmazottakra vonatkozó személyes adatot tartalmazó iratokba csak a munkáltatói jogok gyakorlója, valamint a munkakörénél fogva a személyes adatok kezelésében, feldolgozásában résztvevő közalkalmazott tekinthet be.

(3) Az adatkezelő jogosult kezelni a hallgatói tanulmányokkal összefüggő személyes adatokat, ennek jogszabályi alapját képezi a nemzeti felsőoktatásról szóló 2011. évi CCIV. tv. 3. I/B. számú melléklete. Ezen személyes adatok biztonságának megóvása érdekében a papíralapú iratokat zárt szekrényben kell tárolni.

(4) A hallgatókra vonatkozó személyes adatot tartalmazó iratokba a munkakörüknél fogva a hallgatók ügyiben eljáró, a hallgatókra vonatkozó adatok feldolgozásában résztvevő közalkalmazottak, valamint konkrét hallgatói ügyek kapcsán az EHÖK tisztségviselői tekinthetnek be.

10. § Az adatkezelő épületeiben a GDPR 6. cikk (1) bekezdés f) pontja alapján vagyonvédelmi és ellenőrzési célból elektronikus megfigyelőrendszert (kamerákat) üzemeltet. Erről az épületek bejáratánál jól látható tájékoztató ábrát (piktogramot) kell elhelyezni. A közalkalmazottakat, hallgatókat, valamint az épületekbe belépőket az elektronikus megfigyelőrendszer által rögzített személyes adatok kezelésére vonatkozó jogszabályi rendelkezésekről az adatkezelő tájékoztatja. A tájékoztatás a közalkamazottak vonatkozásában a közalkalmazotti kinevezéstől független dokumentumban történik, amelynek megtörténtét a közalkalmazottak e dokumentum aláírásával tanúsítják. Az épületbe belépő egyéb személyek tájékoztatása jól látható helyen elhelyezett adatkezelési tájékoztatóval történik.

11. § Az adatkezelő tulajdonában álló gépjárművekben esetlegesen elhelyezett GPS nyomkövető szerkezetei által a munkaidőben történő használat alatt rögzített személyes adatokba az adatkezelő jogosult betekinteni. A GPS nyomkövető szerkezet által munkaidőn kívüli használat esetén nem gyűjthető személyes adat.

12. § (1) Az adatkezelő által a munkavállaló részére biztosított hivatali mobiltelefon jelkóddal használható. A munkavállaló köteles gondoskodni arról, hogy a munkavégzéssel összefüggésben tudomására jutott, a hivatali mobiltelefonon tárolt személyes adatokhoz, valamint a jelkódjához illetéktelenek ne férhessenek hozzá. A hivatali mobiltelefon ellopását, elvesztését a munkavállaló köteles haladéktalanul bejelenteni az adatkezelőnek.

(2) A munkavállaló részére biztosított hivatali laptop jelszóval használható. A munkavállaló köteles gondoskodni arról, hogy a munkavégzéssel összefüggésben tudomására jutott, a hivatali laptopon tárolt személyes adatokhoz, valamint a jelszavához illetéktelenek ne férhessenek hozzá. Ennek érdekében köteles a készüléket kikapcsolni vagy képernyőzárral lezárni, amikor nem használja. Nyilvános helyen nem lehet hivatali ügyet intézni úgy, hogy illetéktelen személy ráláthat a gépre. Nyilvános wifi-hálózathoz csatlakozva nem lehet hivatali ügyet intézni, kivéve ha a munkavállaló virtuális magánhálózathoz (VPN) is csatlakozik. A hivatali laptop elsősorban munkavégzés céljából, a munkakörhöz kapcsolódóan kerül kiadásra a közalkalmazott részére. A munkakörhöz nem tartozó saját tartalmat (fotó, videó, egyéb szöveges dokumentum, stb.) kizárólag Személyes_adatok elnevezésű mappában lehet tárolni, ennek célja, hogy ebbe az állományba az informatikus kollégák a gép karbantartásakor nem nézhetnek be, semmilyen változtatást azon nem végezhetnek, illetve ezt az állományt a számítógép ledásakor a közalkalmazott köteles saját maga eltávolítani a számítógépről. A hivatali laptop ellopását, elvesztését a munkavállaló köteles haladéktalanul bejelenteni az adatkezelőnek.

(3) A munkavállaló által használt személyi számítógép jelszóval használható. A munkavállaló köteles gondoskodni arról, hogy a munkavégzéssel összefüggésben tudomására jutott, a személyi számítógépen tárolt személyes adatokhoz, valamint a jelszavához illetéktelenek ne férhessenek hozzá. Ennek érdekében köteles a készüléket kikapcsolni vagy képernyőzárral lezárni, amikor nem használja, különösen amikor nem tartózkodik az irodájában. A hivatali számítógép munkavégzés céljából, a munkakörhöz kapcsolódóan kerül kiadásra a közalkalmazott részére. A munkakörhöz nem tartozó saját tartalom nem tárolható az asztali számítógépen.

(4) Minden egyetemi adatot (ide értve a hordozható informatikai eszközökön tárolt adatokat is) kizárólag az egységvezető engedélyével szabad az Egyetem épületeiből kivinni, és azokat kizárólag zárt dossziéban, vagy titkosított adathordozón lehet tárolni.

(5) A munkavállalók részére biztosított hivatali mobiltelefon, hivatali laptop és személyi számítógép munkavégzés céljára használható. Amennyiben a munkavállaló a fentiek ellenére a hivatali mobiltelefonon, hivatali laptopon az erre a célra rendszeresített külön mappán kívül, illetve személyi számítógépen saját személyes adatait tárolja, tudomásul veszi, hogy azokhoz az adatkezelő hozzáférhet, illetve azokat kezelheti.

13. § (1) A munkavállaló köteles valamennyi, intézményi adatot tartalmazó eszközét úgy tárolni, hogy elvesztésének, eltulajdonításának kockázata minimális legyen. Az eszközök használatához szükséges kódok, jelszavak (PIN, PUK) nem tárolhatók ugyanazon a helyen.

(2) A közalkalmazott nem hagyhat az asztalán személyes adatot tartalmazó iratot, amikor nem tartózkodik az irodájában. A munkavállaló köteles betartani a „tiszta asztal, tiszta monitor” elvet.

(3) A személyes adatokat tartalmazó iratokat zárható szekrényben, vagy zárható helyiségben kell tárolni. A személyes adatot tartalmazó irat kizárólag külön erre a célra kialakított mappában, iratborítóban tárolható, illetve továbbítható (ide értve az óraadói megbízási szerződéseket, hallgatói dokumentumokat, előterjesztéseket, stb. is). A mappa/iratborító használata valamennyi személyes adatot tartalmazó dokumentum továbbítása során kötelező. Az adott egységhez más egységtől nem borítóval ellátottan érkező személyes adatot tartalmazó irat nem vehető át. A borítóban lévő dokumentumokba kizárólag az arra feljogosított személy tekinthet be.

(4) Személyes adatot tartalmazó dokumentum elektronikusan kizárólag az egyetemi levelező rendszeren keresztül továbbítható, más levelező rendszer hivatali ügyek továbbítására nem vehető igénybe.

(5) Az adatkezelő az érintett hozzájárulásával rögzítheti a beérkező telefonhívásokat.

(6) Személyes adatokat tartalmazó hivatali dokumentumok kizárólag az Egyetem saját felhő alapú, illetve file-küldő szolgáltatásán keresztül tárolhatók, külső felhőszolgáltató kizárólag az Informatikai Igazgató engedélyével vehető igénybe.

14. § (1) Az adatkezelőnél történt minden adattovábbításról nyilvántartást kell vezetni, amely tartalmazza az Infotv. 15. § (2) bekezdésében foglaltakat.

(2) Az adattovábbítási nyilvántartásban tárolt adatok személyes adatot érintő adattovábbítás esetén 5 év, különleges adatot érintő adattovábbítás esetén 20 év elteltével törölhetők.

15. § (1) Az adatkezelőn kívüli, a (2) bekezdésben nem említett jogi személytől vagy természetes személytől érkező, adattovábbításra irányuló megkeresés csak akkor teljesíthető, ha az érintett erre írásban felhatalmazza az adatkezelőt. Az érintett előzetesen is adhat ilyen tartalmú felhatalmazást, amely szólhat valamely időtartamra és a megkereséssel élő jogi vagy természetes személyek meghatározott körére.

(2) Az érintett nyilatkozattételétől függetlenül teljesíteni kell a büntető ügyekben eljáró hatóságoktól (rendőrség, bíróság, ügyészség), valamint a nemzetbiztonsági szolgálatoktól, a fenntartótól, felügyeleti szervektől (pl.: Állami Számvevőszék), társhatóságoktól (pl.: Magyar Államkincstár, Oktatási Hivatal, stb.), pályázatok esetén a pályázatot kiíró és elbíráló, valamint ellenőrző szervektől érkező, jogszabályon alapuló, valamint a közérdekű adat kiadása iránti megkereséseket. A megkeresések teljesítéséről az érintetteket kérésére tájékoztatni kell.

(3) A nemzetbiztonsági szolgálatoktól érkező megkeresésről, annak tényéről, tartalmáról, a megtett intézkedésről a megkereséssel érintett, illetőleg más szerv vagy személy nem tájékoztatható.

16. § (1) Az adattovábbításról – amennyiben az elektronikusan vezetett nyilvántartásból kerül teljesítésre – a nyilvántartás vezetésére szolgáló informatikai alkalmazás a nyilvántartásra vonatkozó jogszabályi rendelkezések szerinti naplót vezet.

(2) A napló adatait azok keletkezésétől a nyilvántartásra vonatkozó jogszabályban előírtak szerinti ideig kell megőrizni, és biztosítani kell az azok megismeréséhez szükséges technikai eszközöket.

17. § (1) Az adatkezelő a rendelkezésre álló adatok alapján megvizsgálja az adattovábbítás feltételeinek fennállását, a megkeresés teljesíthetőségét, szükség esetén további tájékozódást végez.

(2) A megkeresés teljesíthetőségéről az adatkezelő az elektronikus ügyintézés, valamint a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény szerinti együttműködő szerv (a továbbiakban: együttműködő szerv) megkeresése esetében 3, egyéb esetben 15 napon belül dönt. Együttműködő szerv az adattovábbítás megtagadása esetén egyeztetést kezdeményezhet, amelyet 3 napon belül kell lefolytatni.

(3) Amennyiben az adattovábbítás feltételei fennállnak, az adatokat a megkeresést benyújtó szerv vagy személy rendelkezésére kell bocsátani. Az adatok átadásával kapcsolatban felmerült költségeket a megkeresést benyújtó szerv vagy személy viseli.

18. § Személyes adatoknak az Európai Unión kívüli országba vagy nemzetközi szervezet részére történő továbbítása a GDPR vonatkozó rendelkezéseinek megfelelően, az adatkezelő jóváhagyásával történhet.

19. § (1) Az adatkezelő által végzett, jelen szabályzat hatálya alá tartozó személyes adatokat érintő adatkezelési tevékenységekről adatkezelési nyilvántartást kell vezetni, illetve információ átadási szabályzatot kell készíteni.

(2) Az adatkezelési nyilvántartás nem nyilvános, abba az adatkezelő, valamint a GDPR szerinti feladatainak ellátása során a felügyeleti hatóság tekinthetnek bele.

(3) Az adatkezelési nyilvántartást az adatkezelő elektronikus úton vezeti.

(4) Az adatkezelő köteles gondoskodni az általa végzett személyes adatkezelést érintő változásoknak az adatkezelési nyilvántartásban történő haladéktalan átvezetéséről.

20. § (1) Az adatkezeléssel kapcsolatos, a GDPR 15-22. cikke szerinti jogainak gyakorlásával összefüggő kérelmet az érintett írásban az adatkezelő postai címére, vagy elektronikus úton az adatvedelem@uni-eszterhazy.hu címre, az adatkezelőnek címezve terjesztheti elő.

(2) A kérelemről az adatkezelő a beérkezésétől számított egy hónapon belül az adatvédelmi tisztviselővel történt egyeztetést követően dönt, és tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről vagy amennyiben intézkedés nem történik, ennek okáról, a felügyeleti hatósághoz panasz, illetve a bírósághoz jogorvoslat benyújtásának lehetőségéről.

21. § (1) Az adatvédelmi tisztviselő közvetlenül az adatkezelőnek felelős.

(2) Az adatvédelmi tisztviselő feladatainak ellátásával kapcsolatban utasításokat senkitől sem fogadhat el.

(3) Az adatvédelmi tisztviselő számára lehetővé kell tenni, hogy a személyes adatok kezelésével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

(4) Az adatvédelmi tisztviselő a feladatai ellátása során tudomására jutott információkkal kapcsolatban titoktartásra köteles. E kötelezettség az adatvédelmi tisztviselőt e tisztségének megszűnését követően is terheli.

III. rész – Az adatvédelmi incidensek kezelése

22. § (1) Adatvédelmi incidens (a továbbiakban: incidens) bekövetkezése esetében az ezt észlelő munkavállaló haladéktalanul, de legkésőbb annak észlelésétől számított 24 órán belül köteles jelezni az incidenst e-mailben az adatvedelem@uni-eszterhazy.hu címre, vagy telefonon az adatkezelőnek.

(2) Az incidenst az adatkezelő haladéktalanul, az adatvédelmi tisztviselő bevonásával kivizsgálja abból a szempontból, hogy az valószínűsíthetően jár-e kockázattal a természetes személyek jogaira és szabadságaira nézve.

(3) Amennyiben a (2) bekezdés szerinti kivizsgálás eredménye alapján az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, legkésőbb 72 órával az incidens észlelését követően az adatkezelő elektronikus úton, a GDPR 33. cikk (3) bekezdése szerinti tartalommal bejelenti az incidenst a felügyeleti hatóságnak és az incidens kezelése érdekében megteszi a szükséges technikai, illetve szervezeti intézkedést.

(4) Amennyiben a (2) bekezdés szerinti kivizsgálás eredménye alapján az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a (3) bekezdésben foglalt intézkedéseken túl az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintett az incidensről, kivéve, ha a GDPR 34. cikk (3) bekezdésében meghatározott feltételek bármelyike fennáll.

23. § Az incidensekről az adatkezelő elektronikus nyilvántartást vezet, amelyben feltünteti az incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

IV. rész – Záró rendelkezések

24. § Jelen szabályzat 2018. május 25. napján lép hatályba, az az Eszterházy Károly Egyetem Szenátusa a 38/2018. (V.24.) számú határozatával fogadta el

25. § A jelen szabályzatban nem szabályozott kérdések tekintetében a GDPR és az Infotv. rendelkezései alkalmazandók.