Adatkezelési tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

A Nemzeti Kibervédelmi Intézet honlapjának adatkezeléséről

  1. Adatkezelő megnevezése
    Adatkezelő: Nemzetbiztonsági Szakszolgálat (NBSZ)

    Postacím: 1399 Budapest 62. Pf.: 710.
    Telefon: +36-1-325-7672
    Adatvédelmi tisztviselő: dr. Bakos Barbara Sára
    E-mail: adatvedelmitisztviselo@nbsz.gov.hu
  2. Az adatkezelés alapjául szolgáló jogszabályok
    1. az Európai Parlament és a Tanács 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR)
    2. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)
    3. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.)
    4. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet
    5. az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbizonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet
    6. az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. rendelet
    7. az eseménykezelő központok feladat és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet
  3. Adatkezelési tevékenységek
    1. Statisztikai célú adatkezelés
    2. Kibervédelmi tevékenységhez köthető adatkezelés
    3. Sérülékenységvizsgálathoz köthető adatkezelés
    4. Nem anonim incidens bejelentőkhöz köthető adatkezelés
  4. Adatkezelés célja
    1. Statisztikai célból kezelt adatok esetén a honlap látogatóinak statisztikai célból történő azonosítása.
    2. Kibervédelmi tevékenységhez köthetően a kibertérből érkező támadások, fenyegetettségek kezelése és a honlapon keresztül elérhető szolgáltatások igénybevétele.
    3. Sérülékenységvizsgálathoz köthető adatok esetén a honlapon keresztül elérhető szolgáltatások igénybevétele.
    4. Nem anonim incidens bejelentőkhöz köthető adatok esetén kapcsolati adatok kezelése.
  5. Kezelt adatok köre
    1. Statisztikai célból kezelt adatok: IP cím, látogatás időpontja, böngésző adatai
    2. Kibervédelmi tevékenységhez köthető adatok: kapcsolati adatok (név, telefon, e-mail cím, szervezet neve, szervezet címe)
    3. Sérülékenységvizsgálathoz köthető adatok: kapcsolati adatok (név, telefon, e-mail cím, szervezet neve)
    4. Nem anonim incidens bejelentőkhöz köthető adatok: kapcsolati adatok (név, telefon, e-mail cím, szervezet neve)
  6. Adatkezelés jogalapja
    1. Statisztikai célból kezelt adatok esetén a GDPR 6. cikk (1) bekezdés a) pont szerint önkéntes hozzájárulás (lásd: Tájékoztató a sütikről)
    2. Kibervédelmi tevékenységhez köthető adatok esetén a GDPR 6. cikk (1) bekezdés e) pont, azaz az adatkezelés az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
    3. Sérülékenységvizsgálathoz köthető adatok esetén a GDPR 6. cikk (1) bekezdés b) pont, azaz az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
    4. Nem anonim incidens bejelentőkhöz köthető adatok esetén GDPR. 6. cikk (1) bekezdés a) pont szerint önkéntes hozzájárulás (lásd: Tájékoztató a sütikről)
  7. Adatkezelés időtartalma
    1. Statisztikai célból kezelt adatok esetén 1 év.
    2. Kibervédelmi tevékenységhez köthető adatok esetén 5 év.
    3. Sérülékenységvizsgálathoz köthető adatok esetén max. 5 év.
    4. Nem anonim incidens bejelentők adatai esetén max. 5 év.
  8. Az adatkezelés módja
    1. Statisztikai célból kezelt adatok esetén kizárólag elektronikus formában történik az adatkezelés.
    2. Kibervédelmi tevékenységhez köthető adatok esetén alapvetően elektronikus formában történik az adatkezelés, de kiemelt ügyekben papíralapú, iktatott jelentés készül, amely tartalmazhat személyes adatokat.
    3. Sérülékenységvizsgálathoz köthető adatok esetén vegyes – elektronikus és papír alapú – formában történik az adatkezelés.
    4. Nem anonim incidens bejelentőkhöz köthető adatok esetén kizárólag elektronikus formában történik az adatkezelés.
  9. Adatokhoz való hozzáférés és adattovábbítás
    A fentiekben jelzett személyes adatokat kizárólag az NBSZ kijelölt munkatársai kezelik, azok az NBSZ székhelyén, illetve az érintett szakterületeken kerülnek tárolásra.

    Az NBSZ külső szerv vagy személy részére a jelzett személyes adatokat – a hatóságok és más szervek részére történő, jogszabályon alapuló kötelező adatszolgáltatás kivételével – nem továbbítja.
  10. Adatbiztonsági intézkedések
    Az NBSZ megfelelő technikai, informatikai, fizikai és személyi biztonsági intézkedésekkel gondoskodik arról, hogy az általa kezelt személyes adatokat védje többek között a jogosulatlan hozzáférés, jogosulatlan megváltoztatás ellen.

    Papíralapú tárolás esetén az adathordozók zárt helyen, kizárólag a munkakörük alapján illetékes személyek által hozzáférhetően kerülnek tárolásra.
    Elektronikus formában történő adattárolás esetén a munkakörük alapján illetékes személyek egyedi technikai azonosítással férhetnek hozzá a személyes adatokhoz.
  11. Érintettek általános jogai
    1. Tájékoztatáshoz való jog
      Tájékoztatás kérhető az adatkezelőtől a személyes adatok körét, valamint az adatkezelés jogalapját, célját, forrását, idejét illetően. Tájékoztatás kérhető továbbá, hogy kinek, mikor, milyen jogszabály alapján, mely személyes adathoz biztosít vagy biztosított hozzáférést az NBSZ, illetőleg történt-e adatvédelmi incidens az érintett adatait érintően.
      Az NBSZ a tájékoztatást egy hónapon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.
    2. Az érintett hozzáférési joga
      Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, akkor jogosult arra, hogy ezzel kapcsolatban részletes információt kapjon (adatkezelés célja, jogalapja, időtartalma, stb.).
      Az NBSZ a tájékoztatást egy hónapon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.
    3. Helyesbítéshez való jog
      Az érintett jogosult arra, hogy kérésére az adatkezelő helyesbítse a rá vonatkozó pontatlan adatokat, valamint kiegészítse a hiányos adatokat.
      Az NBSZ a tájékoztatást egy hónapon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.
    4. Törléshez való jog
      Az érintett – általánosságban – jogosult arra, hogy kérésére az adatkezelő törölje a rá vonatkozó személyes adatokat.

      A törlési kérelmet az NBSZ abban az esetben utasítja el, ha a jogszabály vagy valamely belső szabályzat az NBSZ-t a személyes adatok további tárolására kötelezi. (Pl.: irattározásra vonatkozó belső szabályzatban foglalt határidő nem telt le.)
      Az NBSZ a tájékoztatást egy hónapon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.
    5. Az adatkezelés korlátozásához (zároláshoz) való jog
      1. Az érintett jogosult arra, hogy kérésére az NBSZ zárolja az adatait, ha:
        1. az érintett vitatja a személyes adatok pontosságát;
        2. az adatkezelés jogellenes, de az érintett a törlés helyett a zárolást kéri;
        3. az NBSZ-nek nincs szüksége a személyes adatok kezelésére, de az érintett igényli azokat jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez;
        4. az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozik az adatkezelés ellen.
      2. Az NBSZ a tájékoztatást egy hónapon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.
      3. A zárolás – amennyiben az NBSZ jogosnak tartja a kérést – addig tart, ameddig az érintett által megjelölt indok szükségessé teszi azt. (Pl.: személyes adatok pontossága ellenőrzésének, esetleges pontatlanság javításának idejére, vagy tiltakozás esetén az NBSZ vagy érintett jogos indokainak elsőbbségének megállapítása idejére.)
    6. Az adathordozhatósághoz való jog
      Az érintett jogosult arra, hogy a rá vonatkozó, általa az NBSZ rendelkezésére bocsátott személyes adatokat géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezen adatokat egy másik adatkezelőnek továbbítsa, amennyiben az adatkezelés jogalapja az érintett hozzájárulása vagy szerződés teljesítése és az adatkezelés automatizált módon történik.

      Az NBSZ a tájékoztatást egy hónapon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.
      A kérelem pozitív elbírálása esetén a tájékoztatással egyidejűleg géppel olvasható formában megküldésre kerülnek az érintetti személyes adatok is.
      A kérelem pozitív elbírálása esetén a tájékoztatással egyidejűleg géppel olvasható formában megküldésre kerülnek az érintetti személyes adatok is.
    7. Tiltakozáshoz való jog
      Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okból bármikor tiltakozzon személyes adatainak közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtás vagy jogos érdek jogalapon alapuló kezelése ellen.

      Ebben az esetben az NBSZ érdekmérlegelési eljárás keretében köteles bizonyítani, hogy van-e olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságával szemben, vagy amely jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik.
      Az NBSZ a tájékoztatást egy hónapon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.
  12. Adatkezeléssel kapcsolatos jogérvényesítés lehetősége
    Az érintett, ha megítélése szerint az adatkezelés nem felelt meg a jogszabályi követelményeknek, kezdeményezheti az NBSZ adatvédelmi tisztviselőjének eljárását, panasszal élhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), illetőleg bírósághoz fordulhat.

    NBSZ belső adatvédelmi felelős neve: dr. Bakos Barbara Sára
    Elérhetőségei: +36 (1) 336-4929; 25-405; adatvedelmitisztviselo@nbsz.gov.hu
    NAIH elérhetőségei:
    Nemzeti Adatvédelmi és Információszabadság Hatóság
    Székhely: 1055 Budapest, Falk Miksa utca 9-11
    Honlap: https://www.naih.hu
    E-mail: ugyfelszolgalat@naih.hu
    Telefon: +36 (1) 391-1400