Tájékoztató személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ

„Hungarian Cyber Security Challenge 2024” kiberversenyhez kapcsolódó adatkezelésről

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (a továbbiakban: NBSZ NKI) a 2024. évben is megrendezi a „Hungarian Cyber Security Challenge” elnevezési kiberversenyt (a továbbiakban: HCSC’23).

A HCSC’23 verseny lebonyolítása személyes adatok kezelésével jár, ezért az általános adatvédelmi rendelet (a továbbiakban: GDPR) 13. cikk (1)-(2) bekezdése alapján az alábbi tájékoztatást adjuk:

  1. Kapcsolattartási adatok

    Adatkezelő adatai

    Adatkezelő: NBSZ NKI
    Postacím: 1022 Budapest, Törökvész út 32-34.
    Web: nki.gov.hu
    Adatvédelmi tisztviselő: dr. Bakos Barbara
    E-mail: adatvedelmitisztviselo@nbsz.gov.hu

    Adatfeldolgozó adatai

    Adatkezelő: Óbudai Egyetem BMI Intézete
    Postacím: 1034 Budapest, Bácsi út 96/B.
    Web: bmi.nik.uni-obuda.hu
  2. Adatkezeléseink célja és jogalapja

    A HCSC’23 versenyhez különböző adatkezelési célok és jogalapok kapcsolódnak[1] az alábbiak szerint.

    1. Jelentkezés dokumentálása, jelentkezőkkel való kapcsolattartás, verseny lebonyolítása és népszerűsítése

      1. Milyen adatokat gyűjtünk?
        (Kezelt személyes adatok köre)

        Nevezési/regisztrációs adatok

        – versenyző neve vagy fantázia neve (amit a versenyen szeretne használni),
        – versenyzők születési éve,
        – versenyzők e-mail címe,
        – versenyzők neme (megadása opcionális, kizárólag statisztikai célokat szolgál).

      2. Miért kezelheti az NBSZ NKI ezeket az adatokat?
        (Adatkezelés jogalapja)

        Az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett hozzájárulása.
        A HCSC’22 versenyre történő nevezéssel és az NBSZ NKI honlapján történő regisztrációval az érintett hozzájárul a 2.1.1. pontban részletezett adatok kezeléséhez.
        Az érintett a hozzájárulását az adatvedelmitisztviselo@nbsz.gov.hu e-mail címen bármikor visszavonhatja, a visszavonás azonban nem érinti a hozzájáruláson alapuló, visszavonás előtti adatkezelés jogszerűségét.

      3. Meddig kezeli az NBSZ NKI ezeket az adatokat?

        (Adatkezelés időtartama)
        Az NBSZ NKI a jelzett személyes adatokat az adatkezeléshez történő hozzájárulás visszavonásáig, de legkésőbb a verseny eredményhirdetését követő 1 évig kezeli.

    2. A HCSC’23 verseny díjazása, valamint a díjazás elszámolása

      1. Milyen adatokat kezelünk?
        (Kezelt személyes adatok köre)

        A HCSC’23 verseny díjainak pénzügyi elszámolása kapcsán az NBSZ NKI az alábbi adatokat kezeli:

        – személyazonosításhoz szükséges adatok (versenyző neve, anyja neve, versenyző születési helye és ideje),
        – díjazás elszámolásához szükséges adatok (versenyző adóazonosító jele),
        – kapcsolattartási adat (versenyző telefonszáma).

      2. Miért kezelheti az NBSZ NKI ezeket az adatokat?
        (Adatkezelés jogalapja)

        Az adatkezelés a GDPR 6. cikk (1) bekezdés e) pontja alapján közhatalmi jogosítvány gyakorlása, közfeladat ellátása érdekében szükséges, tekintettel

        – az államháztartás számviteléről szóló 4/2013. (I. 1.) Korm. rendelet 40. § (1) bekezdésében[2], valamint
        – az államháztartás számviteléről szóló 4/2013. (I.11.) Korm. rendelet 15. mellékletének K123 kiadási egységes rovatrend d) pontjában[3], továbbá
        – a szociális hozzájárulási adóról szóló 2018. évi LII. törvény kapcsolódó rendelkezéseiben foglaltakra.

      3. Meddig kezeli az NBSZ NKI ezeket az adatokat?
        (Adatkezelés időtartama)

        Az NBSZ NKI a jelzett személyes adatokat a kapcsolódó elszámolási kötelezettségre figyelemmel iktatja, és az iktatott iratokat a mindenkor hatályos irattári tervben meghatározott selejtezési időig kezeli.

  3. Kik férnek hozzá az adatokhoz?
    (Adatokhoz való hozzáférés, adattovábbítás)

    A fentiekben jelzett személyes adatokat az NBSZ azon munkatársai kezelik, akiknek a HCSC’23 verseny lebonyolításában szerepük van.
    Kiemelendő továbbá, hogy a verseny lebonyolításában adatfeldolgozóként vesz részt az Óbudai Egyetem mint a verseny lebonyolításához szükséges platform biztosítója és a White Hat IT Security Kft., mint technikai támogató. (Lásd: 1. pont Adatfeldolgozó adatai)
    Az adatokat az adatkezelő és az adatfeldolgozó bizalmasan, az adatvédelmi szabályoknak megfelelően kezelik, azokat – a hatóságok és más szervek részére történő, jogszabályon alapuló kötelező adatszolgáltatás kivételével – nem továbbítják.

  4. Milyen védelmet biztosít az NBSZ az adatoknak?
    (Adatbiztonsági intézkedések)

    Az NBSZ megfelelő technikai, informatikai, fizikai és személyi biztonsági intézkedésekkel gondoskodik arról, hogy a személyes adatokat védje többek között a jogosulatlan hozzáférés, jogosulatlan megváltoztatás ellen.
    Papíralapú adatkezelés esetén az adathordozók zárt helyen, kizárólag a munkakörük alapján illetékes személyek által hozzáférhetően kerülnek elhelyezésre.
    Elektronikus formában történő adatkezelés esetén a kapcsolódó programokhoz, rendszerekhez kizárólag a munkakörük alapján illetékes személyek férhetnek hozzá, naplózott, egyedi technikai azonosítást biztosító hozzáférési jogosultsággal.

  5. Milyen jogai vannak a versenyzőknek az adatkezeléshez kapcsolódóan?
    (Érintettek általános jogai)

    1. Tájékoztatáshoz való jog

      Tájékoztatás kérhető az adatkezelőtől a személyes adatok körét, valamint az adatkezelés jogalapját, célját, forrását, idejét illetően. Tájékoztatás kérhető továbbá, hogy kinek, mikor, milyen jogszabály alapján, mely személyes adathoz biztosít vagy biztosított hozzáférést az NBSZ, illetőleg történt-e adatvédelmi incidens az érintett adatait érintően.
      Az NBSZ a tájékoztatást legfeljebb 25 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.

    2. Az érintett hozzáférési joga

      Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, akkor jogosult arra, hogy ezzel kapcsolatban részletes információt kapjon (adatkezelés célja, jogalapja, időtartama, stb.).
      Az NBSZ a tájékoztatást legfeljebb 25 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.

    3. Helyesbítéshez való jog

      Az érintett jogosult arra, hogy kérésére az adatkezelő helyesbítse a rá vonatkozó pontatlan adatokat, valamint kiegészítse a hiányos adatokat.Az NBSZ a helyesbítést legfeljebb 25 napon belül – de a jogosulatlan megváltoztatás megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – teljesíti, és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

    4. Törléshez való jog

      Az érintett – általánosságban – jogosult arra, hogy kérésére az adatkezelő törölje a rá vonatkozó személyes adatokat.
      A törlési kérelmet az NBSZ abban az esetben utasítja el, ha a jogszabály vagy valamely belső szabályzat az NBSZ-t a személyes adatok további tárolására kötelezi. (Pl.: irattározásra vonatkozó belső szabályzatban foglalt határidő nem telt le.)
      Amennyiben nincs ilyen kötelezettség, akkor az NBSZ a törlésre vonatkozó kérelmet legfeljebb 25 napon belül – de a jogosulatlan törlés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – teljesíti, és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

    5. Az adatkezelés korlátozásához (zároláshoz) való jog

      Az érintett jogosult arra, hogy kérésére az NBSZ zárolja az adatait, ha:

      –  az érintett vitatja a személyes adatok pontosságát;
      – az adatkezelés jogellenes, de az érintett a törlés helyett a zárolást kéri;
      – az NBSZ-nek nincs szüksége a személyes adatok kezelésére, de az érintett igényli azokat jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez;
      – az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozik az adatkezelés ellen.
      Az NBSZ megvizsgálja a zárolási kérelem jogosságát, és ennek eredményéről legfeljebb 25 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – a kérelemben megadott elérhetőségen tájékoztatást nyújt.
      A zárolás – amennyiben az NBSZ jogosnak tartja a kérést – addig tart, ameddig az érintett által megjelölt indok szükségessé teszi azt. (Pl.: személyes adatok pontossága ellenőrzésének, esetleges pontatlanság javításának idejére, vagy tiltakozás esetén az NBSZ vagy érintett jogos indokainak elsőbbségének megállapítása idejére.)

    6. Adathordozhatósághoz való jog

      Az érintett jogosult arra, hogy a rá vonatkozó, általa az NBSZ rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az NBSZ, ha
      – az adatkezelés hozzájáruláson vagy szerződésen alapul és
      – az adatkezelés automatizált módon történik.
      Az NBSZ megvizsgálja az adathordozási kérelem jogosságát, és annak elfogadása esetén legfeljebb 25 napon belül – de a jogosulatlan hozzáférés/továbbítás megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – a kérelmet teljesíti, illetve elutasítás esetén a kérelemben megadott elérhetőségen erről részletes tájékoztatást nyújt.
      A kérelem pozitív elbírálása esetén a tájékoztatással egyidejűleg géppel olvasható formában megküldésre kerülnek az érintetti személyes adatok is.

    7. Tiltakozáshoz való jog

      Az érintett jogosult arra, hogy saját helyzetével kapcsolatos okból bármikor tiltakozzon személyes adatainak közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtás vagy jogos érdek jogalapon alapuló kezelése ellen.A tiltakozási kérelmet az NBSZ abban az esetben utasítja el, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos indokok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
      Amennyiben ilyen bizonyítás nem történik, akkor az NBSZ a tiltakozásra vonatkozó kérelemnek legfeljebb 25 napon belül – de a jogosulatlan törlés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – helyt ad (azaz törli az inkriminált adatot), és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

  6. Hogyan élhet az érintett a jogaival?
    (Jogérvényesítési lehetőségek)

    Az érintett, ha megítélése szerint az adatkezelés nem felelt meg a jogszabályi követelményeknek, kérheti az NBSZ adatvédelmi tisztviselőjének eljárását, vizsgálatot kezdeményezhet a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnál (NAIH), illetőleg bírósághoz fordulhat.NAIH elérhetőségei:
    Nemzeti Adatvédelmi és Információszabadság Hatóság
    Székhely: 1055 Budapest, Falk Miksa utca 9-11.
    Levelezési cím: 1363 Budapest, Pf. 9.
    Honlap: www.naih.hu
    E-mail: ugyfelszolgalat@naih.hu
    Telefon: +36 (1) 391-1400

[1] Az eltérő adatkezelési jogalapok kiemelése azért lényeges, mert azokhoz különböző érintetti jogok kapcsolódnak.
Pl.: –   Hozzájárulás jogalappal kezelt adatok esetén (pl.: regisztrációs adatok) a hozzájárulás bármikor visszavonható, s ez esetben az adatkezelő (azaz az NBSZ NKI) köteles a kezelt adatot törölni.
-Ugyanakkor az NBSZ NKI-re ruházott közérdekű, illetve közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés jogalap esetén (pl.: nyertesek díjazásának elszámolása) az érintett nem élhet a törléshez való jogával, csak tiltakozhat az adatkezelés ellen (lásd: 5.7. pont).

[2] 4/2013. Korm. rend. 40. § (1) bekezdés
A bevételi és kiadási előirányzatokat, a követeléseket, kötelezettségvállalásokat, más fizetési kötelezettségeket, valamint ezek teljesítését a 15. mellékletben meghatározott egységes rovatrend szerint kell nyilvántartani.

[3] K123. Egyéb külső személyi juttatások
Ezen a rovaton kell elszámolni
d) a nem foglalkoztatottaknak adományozott kitüntetésekkel, díjakkal, elismerésekkel járó pénz- és tárgyjutalmat.