NIIFI általános adatkezelési szabályzat

Az NIIF Intézet Adatvédelmi Szabályzata

(Budapest, 2010. október)

Bevezető

A jelen Szabályzat célja, hogy meghatározza az NIIF Intézet mint adatkezelő által végzett, az NIIF felhasználóira vonatkozó adatkezeléseinek egyes feltételeit, továbbá hogy a törvénynek megfelelő tájékoztatást nyújtson ezen felhasználóknak az NIIF Intézet által kezelt személyes adatokról, az adatkezelés részletes feltételeiről és módjáról, valamint a felhasználói személyes adatok továbbításának feltételeiről.

Az egyes adatkezelések végzésének feltételei alapvetően függenek az NIIF Intézet által a felhasználó számára nyújtott konkrét szolgáltatástól. Erre tekintettel a jelen Szabályzat az egyes különálló szolgáltatások esetében (1) a szolgáltatástól független általános jellegű rendelkezésekkel, valamint (2) az egyes szolgáltatások adatkezelésére vonatkozó külön tájékoztatóval és felhasználói hozzájárulással együtt érvényes.

A jelen Szabályzat illetve adatvédelmi tájékoztató elérhető a https://webform.niif.hu/oldalon.

Az egyes szolgáltatások adatvédelmi tájékoztatója, a hozzátartozó felhasználói hozzájárulással együtt az egyes szolgáltatások igénybevételekor érhető el.

Az Intézet információbiztonsági felelőse Springer Ferenc, elérhetősége: adatvedelem@niif.hu.

1. Fogalom meghatározások

Jelen Szabályzat a következő fogalmakat használja:

  • „Felhasználó”: a személyes adatok kezelése során érintett természetes személy adatalany (érintett).
  • „Intézet”: az NIIF Intézet, a Nemzeti Információs Infrastruktúra Fejlesztési Intézet (székhelye: 1132 Budapest, Victor Hugo u. 18-32.; ÁHT azonosító: 204 231; adószáma: 15329389-2-41; bankszámlaszám: Magyar Államkincstár: 10032000-01733088-00000000; képviseli: Nagy Miklós igazgató).
  • „Avtv.”: a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény.
  • „Természetes személyazonosító adat” vagy „személyes adat”: az egyes szolgáltatások kapcsán meghatározott konkrét személyes adatok, eltérő rendelkezés hiányában az érintett neve és lakcíme.
  • „Szolgáltatások”: Az NIIF Intézet által nyújtott különálló szolgáltatások, amelyek igénybevétele esetén a szolgáltatások adatkezelésére a jelen Szabályzat az egyes szolgáltatások adatkezelésére vonatkozó külön tájékoztató és felhasználói hozzájárulásban foglalt eltérésekkel együtt alkalmazandó.
  • „Hozzájárulás”: az egyes Szolgáltatások adatkezelésére vonatkozó külön tájékoztató és felhasználói hozzájárulás.

Az itt meg nem határozott fogalmak alatt az Avtv. fogalom meghatározásait kell alkalmazni.

2. A jelen Szabályzat hatálya, módosítása

Az Avtv. értelmében személyes adatnak egyértelműen csak természetes személlyel összefüggésbe hozható adatok tekinthetők, ezért az Intézet a jelen Szabályzatot csak a természetes személy adatalanyok esetén alkalmazza. A jelen Szabályzat nem terjed ki azokra az adatkezelési műveletekre, amelyeket az Intézet adatfeldolgozóként hajt végre, erre vonatkozóan az adatkezelőnek (általában az egyes NIIF tagintézményeknek) kell tájékoztatást adnia, így arra az adatkezelő adatvédelmi szabályzatában vagy tájékoztatójában foglaltak irányadóak.

Nem terjed ki a jelen Szabályzat azokra az adatkezelésekre sem, amelyeket az NIIF Intézet nem a következő szolgáltatásokkal kapcsolatban végez:

  • hálózati szolgáltatás (1. internet hozzáférési szolgáltatás, 2. IPv4/IPv6 regisztráció, 3. multicast, 4. MPLS VPN multicast; 5. HBONE hálózati szolgáltatások; 6. NIIF adathálózati szolgáltatás; 6. helytelen használat, spam bejelentése (CSIRT))
  • központi szolgáltatások (1.elektronikus levelezés-szolgáltatás; 2. levelezési listák üzemeltetése; 3. domain név regisztráció; 4. NTP szolgáltatás)
  • kiemelt hálózati szolgáltatás (1. intézményi behívás szolgáltatás (telefonos modemes), 2. VPN (virtuális magánhálózat) szolgáltatás)
  • központi szolgáltatások (1.web hosting; 2.adatbázis szolgáltatás; 3.adattárolási szolgáltatás)
  • middleware szolgáltatás (Tanúsítvány hitelesítő szolgáltatások – 1. szerver tanúsítvány (CA) szolgáltatás (SCS); 2. grid tanúsítvány (CA) szolgáltatás; 3. szuperszámítógép és grid (HPC) szolgáltatás; 4. cloud szolgáltatás)
  • kollaborációs szolgáltatások (1.videokonferencia szolgáltatás; 2.VoIP szolgáltatás; 3. video archívum és streaming szolgáltatás (Videotórium))
  • szerver hosting szolgáltatás
  • kiegészítő szolgáltatások (1. QoS szolgáltatások; 2. NIIF hírlevél).

Az Intézet fenntartja a jogot, hogy jelen Szabályzatot a felhasználók előzetes értesítése mellett egyoldalúan módosítsa. A módosítás az új Szabályzat elfogadását követő napon lép hatályba. A módosított Szabályzatot az Intézet a https://webform.niif.hu/ weboldalon a hatályba lépést megelőző öt (5) napon belül közzéteszi.

3. Az adatkezelésekre vonatkozó általános rendelkezések

Az Intézet a személyes adatokat a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény rendelkezései szerint kezeli, figyelembe véve az adatvédelmi biztos beszámolóiban közzétett jogértelmezéseket és a nyilvánosságra hozott bírósági gyakorlatot is.

Az adatkezelés különleges adatra nem terjed ki, az egyes adatkezelések jogcíme az egyes Szolgáltatásoknál írt kivételekkel a felhasználó önkéntes hozzájárulása.

Az adatkezeléssel érintett egyes személyes adatok körét és azok kezelésének időtartamát a Szolgáltatásra vonatkozó külön Hozzájárulás határozza meg.

Az NIIF Intézet adatkezelés a jelen Szabályzat alapján, a Szolgáltatások igénybevétele során szükséges felhasználói-azonosítás érdekében történik, az egyes Szolgáltatásoknál írt kivételekkel.

A Szolgáltatások használata során naplófájlban rögzítésre kerülő személyes adatok esetében az adatok tárolása kizárólag statisztikai célokat szolgál. A Felhasználó a Szabályzat elfogadásával, valamint a Hozzájárulás megadásával hozzájárul ahhoz, hogy az NIIF Intézet a Szolgáltatások működtetéséhez szükséges anonimizált statisztikai adatgyűjtést végezzen. A felhasználó megtilthatja adatainak ilyen célú felhasználását.

Ha a Szolgáltatásra vonatkozó Hozzájárulás eltérően nem rendelkezik, az adatkezelés időtartama a Szolgáltatás igénybevételi lehetőségének megszűnésétől (így különösen a szolgáltatás felmondásától, a határozott idejű szolgáltatási időtartam lejártától) számított öt (5) év, tekintettel arra, hogy a Szolgáltatás megszűnését követően ennyi időn belül felmerülhet az Irodának, harmadik személynek a felhasználóval vagy a felhasználó tevékenysége miatt az Irodával szembeni polgári jogi igénye, a felhasználó kiléte visszakereshető maradjon, és az Intézet szükség esetén érvényesíthesse a felhasználóval szemben a számára vagy harmadik fél számára okozott kár- vagy más polgári jogi igényét.

4. Adattovábbítás

Az Intézet a felhasználó személyes adatait harmadik személyeknek csak a felhasználó előzetes és tájékozott hozzájárulása esetén, valamint ha jogszabályi kötelezettségeinek teljesítése érdekében, az arra jogosult hatósági megkeresések alapján továbbítja. Az egyes Szolgáltatások esetében harmadik személyek, így különösen szolgáltatók részére történő adattovábbításokat a Hozzájárulás határozza meg. Az Intézet hatósági adatkérések teljesítése előtt minden egyes adat tekintetében megvizsgálja, hogy valóban fennáll-e az adattovábbítás jogalapja, kötelezettsége.

5. Adatbiztonság

Az Intézet az érintett személyes adatai kezelésének műszaki biztonságát biztosítja, valamint műszaki és szervezései intézkedésekkel meggátolja azt, hogy a személyes adatokhoz illetéktelen személyek hozzáférhessenek.

6. A személyes adatok kezelésével összefüggésben az érintettet megillető jogok

Az érintett tájékoztatást kérhet az adatkezelésről, valamint kérheti személyes adatainak helyesbítését, illetve téves adat esetén annak törlését. A személyes adatok kezelésével összefüggésben őket megillető jogokat az érintettek a Hozzájárulásban megadott email címekre megküldött értesítés útján gyakorolhatják. Az érintett tájékoztatásra irányuló, illetve kijavítás vagy törlés iránti kérelmét az Intézet belső információbiztonsági felelősének juttathatja el.

Tájékoztatás

Az érintett kérelmére az Intézet tájékoztatást ad az adatkezelést érintő összes tényről (az általa kezelt adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat).

Az Intézet öt (5) évig őrzi meg adattovábbítási nyilvántartásában, hogy kik és milyen célból kapják vagy kapták meg a személyes adatokat, így ezen információkról legfeljebb ebben az időtartamban lehet felvilágosítást kérni.

A tájékoztatás iránti kérelmet e-mailben a Hozzájárulásban megadott email címre kell eljuttatni. Az Intézet a tájékoztatást a kérelem benyújtásától számított legfeljebb harminc (30) napon belül írásban adja meg. Ezen tájékoztatás ingyenes, ha a tájékoztatást kérő az adott évben azonos területre vonatkozó tájékoztatási kérelmet az Irodához még nem nyújtott be. Egyéb esetekben az Intézet a tájékoztatási kérelem teljesítését költségtérítéshez kötheti.

Kijavítási kérelem

Az érintett kérheti a valóságnak meg nem felelő adatok helyesbítését a Hozzájárulásban.

Törlés

Az Intézet a személyes adatot törli, ha aztaz érintett kéri, a 3. pontban foglaltak figyelembevételével. Ha egy előzetesen felmerült jogvitában-, vagy jogszabályi-, illetve jogszabályon alapuló felügyeleti előírásra tekintettel vagy a felhasználóval kötött és még hatályos szerződés teljesítésére tekintettel a személyes adatot egyéb okból meg kell őrizni, vagy az adat a felhasználón kívül más személyes adatát is elválaszthatatlanul és törölhetetlenül tartalmazza (pl. képfelvétel), a soron kívül kért törlés nem feltétlenül jelenti a felvétel teljes körű elérhetetlenné tételét, a továbbiakban azonban a felvétel csak a törlést kizáró jogcím szerint használható fel. A törlést az Intézet költségmentesen végzi. A felhasználó saját személyes adatainak törlési igényét e-mailben a Hozzájárulásban megadott email címre kell eljuttatni. A felhasználó önkéntes döntése alapján, törlési igényének beérkezésétől számított harminc (30) napon belül törli az adatokat.

A törlés minden esetben költségmentes.

Az Intézet a helyesbítésről és a törlésről az érintettet értesítési, kivéve, ha az értesítés mellőzése az érintett jogos érdekét nem sérti.

7. Tiltakozási jog és jogorvoslati jogok
Tiltakozási jog

Az érintett tiltakozhat személyes adatának kezelése ellen, ha

  • a személyes adatok kezelése (továbbítása) kizárólag az Intézet vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
  • a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
  • a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.

A felhasználó tiltakozását az Intézet információbiztonsági felelősének juttathatja el.

Az Intézet – az adatkezelés egyidejű felfüggesztésével – a tiltakozást a kérelem benyújtásától számított legfeljebb 15 nap alatt megvizsgálja, és annak eredményéről a kérelmezőt írásban tájékoztatja. Amennyiben a tiltakozás indokolt, az Intézet az adatkezelést megszünteti, és az adatokat zárolja. Az Intézet a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Amennyiben az érintett az Irodának a tiltakozás alapján meghozott döntésével nem ért egyet, az ellen – annak közlésétől számított harminc (30) napon belül – bírósághoz fordulhat.

Jogérvényesítés

A felhasználó jogérvényesítési lehetőségei az Avtv. valamint a Polgári Törvénykönyvről szóló 1959. évi IV. törvény (Ptk.) alapján lehetséges. Az érintett a jogainak megsértése esetén az Intézet ellen bírósághoz fordulhat. A perre az adatkezelő székhelye szerinti helyi (városi vagy kerületi) bíróság az illetékes. A per – az érintett választása szerint – az érintett lakóhelye (tartózkodási helye) szerinti bíróság előtt is megindítható. Az érintett továbbá kérheti az adatvédelmi biztos segítségét is (Adatvédelmi Biztos Hivatala, 1051 Budapest, Székhely: Nádor u. 22. Postacím: 1387 Budapest Pf. 40.). A jogérvényesítés módját valamint az adatkezelő kötelezettségeire vonatkozó részletes törvényi rendelkezéseket az Avtv. valamint a Ptk. tartalmazza.

Kártérítés

Az Intézet az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az Intézet felel az esetlegesen alkalmazott adatfeldolgozója okozta kárért is.

Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
A kártérítési igény elbírálására szinténaz adatkezelő székhelye szerinti helyi (városi vagy kerületi) bíróság az illetékes.

Tájékoztatási és tiltakozási jog korlátozása

Az érintett felhasználó (adatalany) jogait törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.

Amennyiben ilyen korlátozás fennáll, az Intézet a kért felvilágosítást megtagadhatja, azonban az érintettel közli a felvilágosítás megtagadásának indokát.