Adatkezelési tájékoztató

A Nemzeti Kibervédelmi Intézet honlapjának adatkezeléséről

1. Adatkezelő megnevezése

Adatkezelő: Nemzetbiztonsági Szakszolgálat (NBSZ)
Postacím: 1399 Budapest 62. Pf.: 710.
Telefon: +36-1-325-7672
Adatvédelmi tisztviselő: Soltész Tímea
E-mail: adatvedelmitisztviselo@nbsz.gov.hu

2. Az adatkezelés alapjául szolgáló jogszabályok

– az Európai Parlament és a Tanács 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR)
– az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)
– az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.)
– az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet
– az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbizonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet
– az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. rendelet
– az eseménykezelő központok feladat és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet

3. Adatkezelési tevékenységek

3.1. Statisztikai célú adatkezelés
3.2. Kibervédelmi tevékenységhez köthető adatkezelés
3.3. Sérülékenységvizsgálathoz köthető adatkezelés

4. Adatkezelés célja

4.1. Statisztikai célból kezelt adatok esetén a honlap látogatóinak statisztikai célból történő azonosítása.
4.2. Kibervédelmi tevékenységhez köthetően a kibertérből érkező támadások, fenyegetettségek kezelése és a honlapon keresztül elérhető szolgáltatások igénybevétele.
4.3. Sérülékenységvizsgálathoz köthető adatok esetén a honlapon keresztül elérhető szolgáltatások igénybevétele.

5. Kezelt adatok köre

5.1. Statisztikai célból kezelt adatok: IP cím, látogatás időpontja, böngésző adatai
5.2. Kibervédelmi tevékenységhez köthető adatok: kapcsolati adatok (név, telefon, e-mail cím, szervezet neve, szervezet címe)
5.3. Sérülékenységvizsgálathoz köthető adatok: kapcsolati adatok (név, telefon, e-mail cím, szervezet neve)

6. Adatkezelés jogalapja

6.1. Statisztikai célból kezelt adatok esetén a GDPR 6. cikk (1) bekezdés a) pont szerint önkéntes hozzájárulás (lásd: Tájékoztató a sütikről)
6.2. Kibervédelmi tevékenységhez köthető adatok esetén a GDPR 6. cikk (1) bekezdés e) pont, azaz az adatkezelés az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
6.3. Sérülékenységvizsgálathoz köthető adatok esetén a GDPR 6. cikk (1) bekezdés b) pont, azaz az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

7. Adatkezelés időtartalma

7.1. Statisztikai célból kezelt adatok esetén 1 év.
7.2. Kibervédelmi tevékenységhez köthető adatok esetén 5 év.
7.3. Sérülékenységvizsgálathoz köthető adatok esetén max. 5 év.

8. Az adattárolás módja

8.1. Statisztikai célból kezelt adatok esetén kizárólag elektronikus formában történik a tárolás.
8.2. Kibervédelmi tevékenységhez köthető adatok esetén alapvetően elektronikus formában történik az adattárolás, de kiemelt ügyekben papíralapú, iktatott jelentés készül, amely tartalmazhat személyes adatokat.
8.3. Sérülékenységvizsgálathoz köthető adatok esetén vegyes – elektronikus és papír alapú – formában történik a tárolás.

9. Adatokhoz való hozzáférés és adattovábbítás

A fentiekben jelzett személyes adatokat kizárólag az NBSZ kijelölt munkatársai kezelik, azok az NBSZ székhelyén, illetve az érintett szakterületeken kerülnek tárolásra. Az NBSZ külső szerv vagy személy részére a jelzett személyes adatokat – a hatóságok és más szervek részére történő, jogszabályon alapuló kötelező adatszolgáltatás kivételével – nem továbbítja.

10. Adatbiztonsági intézkedések

Az NBSZ megfelelő technikai, informatikai, fizikai és személyi biztonsági intézkedésekkel gondoskodik arról, hogy az általa kezelt személyes adatokat védje többek között a jogosulatlan hozzáférés, jogosulatlan megváltoztatás ellen. Papíralapú tárolás esetén az adathordozók zárt helyen, kizárólag a munkakörük alapján illetékes személyek által hozzáférhetően kerülnek tárolásra. Elektronikus formában történő adattárolás esetén a munkakörük alapján illetékes személyek egyedi technikai azonosítással férhetnek hozzá a személyes adatokhoz.

11. Érintettek jogai

11.1. Tájékoztatáshoz való jog
Tájékoztatás kérhető az adatkezelőtől a személyes adatok körét, valamint az adatkezelés jogalapját, célját, forrását, idejét illetően. Tájékoztatás kérhető továbbá, hogy kinek, mikor, milyen jogszabály alapján, mely személyes adathoz biztosít vagy biztosított hozzáférést az NBSZ, illetőleg történt-e adatvédelmi incidens az érintett adatait érintően. Az NBSZ a tájékoztatást legfeljebb 30 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.

11.2. Az érintett hozzáférési joga
Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, akkor jogosult arra, hogy az 9.1. pontban felsorolt adatokról információt kapjon. Az NBSZ a tájékoztatást legfeljebb 30 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.

11.3. Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő helyesbítse a rá vonatkozó pontatlan adatokat, valamint kiegészítse a hiányos adatokat. Az NBSZ a helyesbítést legfeljebb 30 napon belül – de a jogosulatlan megváltoztatás megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – teljesíti, és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

11.4. Törléshez való jog
Az érintett – általánosságban – jogosult arra, hogy kérésére az adatkezelő törölje a rá vonatkozó személyes adatokat. A törlési kérelmet az NBSZ abban az esetben utasítja el, ha a jogszabály vagy valamely belső szabályzat az NBSZ-t a személyes adatok további tárolására kötelezi. (Pl.: irattározásra vonatkozó belső szabályzatban foglalt határidő nem telt le.) Amennyiben nincs ilyen kötelezettség, akkor az NBSZ a törlésre vonatkozó kérelmet legfeljebb 30 napon belül – de a jogosulatlan törlés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – teljesíti, és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

11.5. Az adatkezelés korlátozásához (zároláshoz) való jog
Az érintett jogosult arra, hogy kérésére az NBSZ zárolja az adatait, ha:
– az érintett vitatja a személyes adatok pontosságát;
– az adatkezelés jogellenes, de az érintett a törlés helyett a zárolást kéri;
– az NBSZ-nek nincs szüksége a személyes adatok kezelésére, de az érintett igényli azokat jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez;
– az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozik az adatkezelés ellen.

Az NBSZ megvizsgálja a zárolási kérelem jogosságát, s ennek eredményéről legfeljebb 30 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – a kérelemben megadott elérhetőségen tájékoztatást nyújt. A zárolás – amennyiben az NBSZ jogosnak tartja a kérést – addig tart, ameddig az érintett által megjelölt indok szükségessé teszi azt. (Pl.: személyes adatok pontossága ellenőrzésének, esetleges pontatlanság javításának idejére, vagy tiltakozás esetén az NBSZ vagy érintett jogos indokainak elsőbbségének megállapítása idejére.)

11.6. Az adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa az NBSZ rendelkezésére bocsátott személyes adatokat géppel olvasható formában megkapja, továbbá jogosult arra, hogy ezen adatokat egy másik adatkezelőnek továbbítsa, amennyiben az adatkezelés jogalapja az érintett hozzájárulása vagy szerződés teljesítése és az adatkezelés automatizált módon történik. Az NBSZ megvizsgálja az adathordozhatósági kérelem jogosságát, s annak eredményéről legfeljebb 30 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – a kérelemben megadott elérhetőségen tájékoztatást nyújt. A kérelem pozitív elbírálása esetén a tájékoztatással egyidejűleg géppel olvasható formában megküldésre kerülnek az érintetti személyes adatok is.

11.7. Tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) e) pontján alapuló (közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtáshoz szükséges) kezelése ellen. Ebben az esetben az NBSZ érdekmérlegelési eljárás keretében köteles bizonyítani, hogy van-e olyan kényszerítő erejű jogos ok, amely elsőbbséget élvez az érintett érdekeivel, jogaival és szabadságával szemben, vagy amely jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik. Az érdekmérlegelési eljárás eredményéről, illetőleg az esetleges intézkedésekről az NBSZ 30 napon belül – de a jogosulatlan hozzáférés, illetve a kérelem pozitív elbírálása esetén végrehajtandó jogosulatlan törlés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – nyújt tájékoztatást a kérelemben megadott elérhetőségen.

12. Adatkezeléssel kapcsolatos jogérvényesítés lehetősége

Az érintett, ha megítélése szerint az adatkezelés nem felelt meg a jogszabályi követelményeknek, kezdeményezheti az NBSZ adatvédelmi tisztviselőjének eljárását, panasszal élhet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), illetőleg bírósághoz fordulhat.

NBSZ belső adatvédelmi felelős neve: Soltész Tímea
Elérhetőségei: +36 (1) 336-4929; adatvedelmitisztviselo@nbsz.gov.hu

NAIH elérhetőségei:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1025 Budapest, Szilágyi Erzsébet fasor 22/C.
Honlap: https://www.naih.hu
E-mail: ugyfelszolgalat@naih.hu
Telefon: +36 (1) 391-1400