Adatvédelem

1. Preambulum

A Portál  ügyfélregisztráció az ügyfélkapun keresztül történik, így az ügyfélregisztrációs adatbázis tekintetében az Adatkezelő (továbbiakban: Adatkezelő).

A Portál tájékoztatja látogatóit és felhasználóit a kezelt személyes adatokról, a személyes adatok kezelése körében követett gyakorlatáról, a személyes adatok védelme érdekében tett szervezési és technikai intézkedéseiről, valamint az érintettek jogai gyakorlásának módjáról és lehetőségeiről.

Az Adatkezelőnek a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott eszközöket úgy kell megválasztania és üzemeltetnie, hogy a kezelt adat

  • az arra feljogosított számára hozzáférhető (rendelkezésre állás),
  • hitelessége és hitelesítése biztosított (adatkezelési hitelesség),
  • változatlansága igazolható (adatintegritás),
  • a jogosulatlan hozzáférés ellen védett (adat bizalmassága)

legyen.

Az Adatkezelő a személyes adatok védelme iránt saját hatáskörében megteszi a szükséges intézkedéseket annak érdekében, hogy a jelen nyilatkozat tárgyát képező elektronikus ügyintézés során, az annak természetéből fakadó kockázatok a magyar jogszabályoknak és nemzetközi trendeknek megfelelő biztonságos szinten maradjanak. A fentiekhez kapcsolódóan kiemelt szempont, hogy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezései maradéktalanul érvényesüljenek.

2. Fogalom meghatározások

2.1. Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

2.2. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

2.3. Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.

2.4. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – adatok feldolgozását végzi.

Az Adatkezelő az önkormányzati ASP központ ügyfélregisztrációs nyilvántartás üzemeltetésére és az ezzel együtt járó adatfeldolgozási feladatok ellátására – adatfeldolgozási megállapodás útján - a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt., (címe: 1389 Budapest, Pf.: 133.) – (a továbbiakban: Adatfeldolgozó) bízta meg.

Az Adatkezelő egyes karbantartási, rendszerfelügyeleti és támogatási feladatok ellátásához az Adatfeldolgozón kívül más adatfeldolgozót is igénybe vehet. Az Adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az Adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

2.5. Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.

2.6. Ügyfélkapu: az ügyfél azonosítását biztosító jelszavas azonosítási részszolgáltatás.

2.7. Ügyfélkapu felhasználó: az Ügyfélkapu regisztrált felhasználója.

2.8. Önkormányzati ASP központ ügyfél: a  Portálon keresztül az önkormányzati ASP központba beregisztrált felhasználó.

2.9. Egyedi azonosító: a Felhasználó felhasználói neve és titkos jelszava együtt.

2.10. Felhasználói adat: az önkormányzati ASP központ Felhasználóra vonatkozó, vagy az általa a  Portálon keresztül benyújtott elektronikus dokumentumban (elektronikus eszköz útján értelmezhető adat- együttesben) foglalt adat.

2.11. Viszontazonosítás: Olyan ellenőrzési folyamat, melynek során a közigazgatási szerv - ideértve a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény szerinti közreműködő hatóságot is - megküldi az általa jogszerűen kezelt természetes személyazonosító adatokat az azonosítási szolgáltatónak, amely tájékoztatást ad a megküldött adatoknak a regisztráció során felvett adatokkal való egyezőségéről, illetve az esetleges eltérésről.

2.12. Szabályozott elektronikus ügyintézési szolgáltatás (SZEÜSZ): a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény 172. § j) pontja szerinti szolgáltatás

3. Adatok minősége, a személyes adatokra vonatkozó követelmények

3.1. Adatbiztonság

3.1.1. Az adatbiztonsági követelményrendszer a személyes adatok védelmének technológiai támogatását jelenti.

3.1.2. Az Adatkezelő és - az Adatkezelő megbízásából eljáró - Adatfeldolgozó az adatkezelési és Adatfeldolgozói tevékenysége során az Infotv.-ben előírtaknak, az adatvédelmi szabályoknak és joggyakorlatnak megfelelően jár el, a hatályos jogszabályok előírásait betartja, illetve az adatvédelemhez kapcsolódó fontosabb nemzetközi ajánlásokat is figyelembe veszi.

3.1.3. Az Adatkezelő az általa kezelt adatok kezelésére vonatkozóan adatvédelmi nyilatkozatot ad ki, amelyet jogosult időről időre frissíteni, a Felhasználók külön értesítése nélkül is. A  Portál internetes felületén a mindenkor hatályos adatvédelmi nyilatkozat kerül közzétételre, de a Felhasználó erre irányuló kérésre az Adatkezelő tájékoztatást ad a korábbi változatokról is.

3.1.4. A személyes adatok tárolása védett, korlátozott hozzáférésű kiszolgálókon történik, emellett az Adatkezelő és az Adatfeldolgozó minden szükséges technológiai és szervezési intézkedést megtesz a Felhasználó adatainak elvesztése, más célra való használata, engedély nélküli megismerése, kiadása, megváltoztatása vagy rongálása ellen. Az adatállományokhoz történő hozzáférés teljes körűen és megváltoztathatatlanul naplózott.

3.1.5. Az Adatkezelő, illetve az Adatkezelő megbízásából eljáró Adatfeldolgozó - többek között - gondoskodik arról, hogy a szolgáltatásokkal kapcsolatban tárolt adatokhoz belső rendszeren keresztül vagy a szerverhez való közvetlen hozzáférés útján kizárólag az arra feljogosított személyek, és kizárólag az adatkezelés céljával összefüggésben férjenek hozzá, gondoskodik a felhasznált eszközök szükséges, rendszeres karbantartásáról, fejlesztéséről, az adatokat tároló szervert megfelelő fizikai védelemmel ellátott zárt helyiségben helyezi el, gondoskodik annak fizikai védelméről is, biztosítja, hogy az önkormányzati ASP központ ügyfélazonosító adatai közvetlen hálózati úton ne legyenek elérhetőek és az önkormányzati ASP központ ügyfélregisztrációs adatállományának feltörése hálózati hozzáféréssel ne legyen lehetséges.

3.1.6. A regisztráció során képzett egyszer használható kódot, valamint Egyedi azonosítóhoz tartozó jelszót a SZEÜSZ-ökhöz kapcsolódó informatikai rendszer olyan formában tárolja, amely kizárólag a kód helyességének ellenőrzésére alkalmas, (ún. hash-elt kód), az eredeti információt nem tartalmazza.

3.1.7. Az adatvesztések megakadályozására, illetve csökkentésére a tárolt adatok megfelelő rendszerességgel mentésre és archiválásra kerülnek.

3.1.8. A 2.4. pont szerinti Adatfeldolgozó egyebekben a belső adatvédelmi és adatbiztonsági szabályzatában foglalt módon gondoskodik a személyes adatok informatikai védelméről, az adatok sérülésének megakadályozásáról.

3.2. A kezelt személyes adatok

3.2.1. Az önkormányzati ASP központ ügyfélregisztrációs nyilvántartásban az alábbi adatokat rögzíti a rendszer:

  • családi és utóneve, születési családi és utóneve;
  • születési hely;
  • születési idő;
  • anyja születési családi és utóneve;
  • állampolgárság
  • elektronikus levelezési cím;
  • Ügyfélkapu kapcsolati kód
  • telefonszám
  • postai levelezési cím.

3.2.2. A felhasználónak a felhasználói nevét és jelszavát védenie kell a jogosulatlan hozzáféréstől, elektronikus levelezési címének helyességét fenn kell tartania. Az azonosítók nem megfelelő biztonságú kezeléséből, valamint a téves vagy nem létező elektronikus levelezési címből származó kockázatot a felhasználó viseli, az ebből eredő következmények elhárítása a felhasználó feladata.

3.3. Az adatkezelés jogalapja és célhoz kötöttsége

3.3.1. Személyes adat akkor kezelhető, ha

a) ahhoz az érintett hozzájárul, vagy

b) azt törvény vagy - törvény felhatalmazása alapján, abban meghatározott körben - helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. 

Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében.

A 3.2.1. pontban írt adatok kezelése az Infotv. 5. § (1) bekezdés a) pontjában foglaltaknak felel meg, vagyis az érintett hozzájárulásán alapul.

3.3.2. Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

3.3.3. A személyes adatok kezelésének célja:

a Felhasználó önkormányzati ASP központ regisztrált ügyfél létesítéséhez és az ASP központ szakrendszereinek használatához kapcsolódó azonosítása;

az illetéktelenek személyes adatokhoz - különösen Felhasználói adatokhoz - való hozzáférésének megakadályozása.

3.4. Naplózás

A felhasználó a szolgáltatónál igényelheti, hogy a rendszer legfeljebb egy évig naplózza az önkormányzati ASP központ belépéseit. A kérés megújítható. A naplóban rögzítettekről kizárólag a felhasználó kaphat tájékoztatást kérelme alapján.

3.5. Adatkezelés időtartama

A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A személyes adatokat az érintett személy önkormányzati ASP központ ügyfél viszonyának megszűnéséig, illetve a sikertelen önkormányzati ASP központ ügyfélregisztrációs eljárás lezárásáig kezeli az Adatkezelő.

4. A Felhasználót védő további garanciák:

4.1. Személyes adatok továbbítása

Személyes adatok - így különösen Felhasználói adatok - továbbítására kizárólag a Felhasználó hozzájárulása, illetve törvényi felhatalmazás alapján, az ott meghatározott terjedelemben kerülhet sor.

Adattovábbítás az ügyfélkapu regisztrációs adatbázisból az adózás rendjéről szóló 2003. évi XCII. törvény 3. sz. mellékletének G) pont 7. alpontja alapján a Nemzeti Adó- és Vámhivatalnak történik.

Az anonimizált - természetes személlyel többé semmilyen módon kapcsolatba nem hozható - adat nem tekinthető többé személyes adatnak, ennek megfelelően továbbításához a Felhasználó hozzájárulása vagy tájékoztatása nem szükséges, ezek a Felhasználó hozzájárulása és értesítése nélkül felhasználhatók statisztikai vagy más jogszabályban meghatározott célra.

Az Adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

4.2. Tájékoztatáshoz való jog

Az érintett kérelmére az Adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa megbízott Adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az Adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.

A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az Adatkezelőhöz még nem nyújtott be.

Az érintettnek a tájékoztatáshoz való jogát törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is –, továbbá az érintett vagy mások jogainak védelme érdekében, valamint akkor, ha az Adatkezelő a személyes adatokat adatkezelési korlátozással vette át.

A tájékoztatás megtagadása esetén az Adatkezelő írásban közli az érintettel, hogy a felvilágosítás megtagadására e törvény mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az Adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) fordulás lehetőségéről.

4.3. Kezelt adatok módosítása, helyesbítése

A Felhasználó jogosult arra, hogy kezelt adatainak szükség szerinti helyesbítését vagy módosítását kérje, akár személyesen, akár elektronikus úton. Amennyiben az ügyfél személyes adatainak módosítását, helyesbítését a regisztrációs szervnél kezdeményezi, az azonosítás a természetes személyazonosító adatok segítségével történik.

Elektronikus úton kezdeményezett adatmódosítás (helyesbítés) esetén a regisztrált természetes személyazonosító adatokat a Felhasználó által - a kormányzati portálnak az Ügyfélkapu regisztrációs nyilvántartásban szereplő saját adatainak karbantartására szolgáló felületén - kiadott utasításra az Adatkezelő a SZEÜSZ-ök útján elektronikusan egyezteti a személyiadat- és lakcímnyilvántartással. A változás átvezetése akkor történik meg, ha a nyilvántartásban szereplő történeti adatokkal történő egyeztetés alapján egyértelmű egyezés állapítható meg. Egyértelmű azonosíthatóság hiányában az átvezetést a regisztrációs szervnél a regisztráció általános szabályai szerint lehet kérni.

4.4. Tiltakozási jog

A Felhasználó tiltakozhat személyes adatának kezelése ellen, ha

  1. a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
  2. a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
  3. a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.

Adatkezelő- az adatkezelés egyidejű felfüggesztésével - a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben az érintett az Adatkezelőnek a fenti döntésével nem ért egyet, illetve ha az adatkezelő az előző bekezdés szerinti határidőt elmulasztja, az érintett a döntés közlésétől illetve a határidő utolsó napjától számított  30 napon belül - bírósághoz fordulhat.

4.5 Jogorvoslat, panaszkezelés

A Felhasználó jogorvoslattal élhet, ha a jogszabályokban foglalt tájékoztatási vagy helyesbítési, illetve törlési kérelmét nem teljesítik.

Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

Amennyiben a Felhasználó úgy véli, hogy az Adatkezelés vagy az Adatfeldolgozás során jogait megsértették, a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat. A Hatóság eljárásának feltételei és elérhetősége a http://www.naih.hu címen található.

Fentieken túl, a Felhasználó a  Portálon keresztül bejelentéssel (panasszal, kifogással) élhet, ha véleménye szerint adatainak kezelésével kapcsolatban sérelem érte, vagy annak közvetlen veszélye fennáll, illetve jogszabályba ütköző adatkezelést észlel.

A bejelentés tartalmától, és a bejelentésben foglalt kifogás jellegétől függően az Adatkezelő, illetve az Adatfeldolgozó a bejelentés vizsgálatát köteles haladéktalanul megkezdeni, és a vizsgálatot lefolytatni és a vizsgálatát lezáró indokolt döntését 30 napon belül meghozni.

Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az Adatkezelő felel az Adatfeldolgozó által okozott kárért is. Az Adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Jelen adatvédelmi nyilatkozat a Magyarországi Tartalomszolgáltatók Egyesületének (MTE) a Tartalomszolgáltatásra vonatkozó működési, etikai és eljárási szabályzatában (Etikai Kódex) foglaltakra figyelemmel lett összeállítva, és mindenben megfelel a hatályos magyar jogszabályoknak. Így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, és az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény rendelkezéseinek.