Adatkezelési tájékoztató sérülékenységvizsgálathoz kapcsolódó adatkezelésről

Adatkezelő megnevezése

Adatkezelő:                       Nemzetbiztonsági Szakszolgálat (NBSZ)
Postacím:                           1399 Budapest 62. Pf.: 710.
Telefon:                             +36-1-325-7672
Adatvédelmi tisztviselő:    Soltész Tímea
E-mail:                               adatvedelmitisztviselo@nbsz.gov.hu

Adatkezelés alapjául szolgáló jogszabályok

  • az Európai Parlament és a Tanács 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR)
  • az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.)
  • az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet

Adatkezelés célja

Az adatkezelés céljai

  • rendszerek sérülékenységvizsgálatának lefolytatása,
  • sérülékenységvizsgálattal érintett szervezet munkatársai biztonságtudatos magatartásának vizsgálata

a szervezet rendszerei és rendszerelemei gyenge pontjának feltárása, a biztonság megerősítése érdekében[1].

Kezelt személyes adatok köre

A sérülékenységvizsgálathoz kapcsolódóan – a tevékenység jellege folytán – nem definiálható előre a kezelt személyes adatok köre.

Kezelt különleges személyes adatok köre

A sérülékenységvizsgálat során megismert/kezelt különleges személyes adatok köre – a tevékenység jellege folytán – nem definiálható előre.

Adatkezelés jogalapja

Közhatalmi jogosítvány gyakorlása, közfeladat ellátása, tekintettel

  • az Ibtv. 22. § (1) bekezdésben[2], valamint
  • a 217/218. Korm. rendelet 24. § (1) bekezdés a)-f) pontjaiban[3] foglaltakra.

Adatkezelés módja

Az adatkezelés elektronikus formában történik.

Adatkezelés időtartama

Az NBSZ a sérülékenységvizsgálat során látókörébe került személyes adatokat a vizsgálat lezárását követő 30 napon belül törli.

Adatokhoz való hozzáférés, adattovábbítás

A fentiekben jelzett személyes adatokat az NBSZ kijelölt munkatársai kezelik, azok az NBSZ székhelyén, az adott feladatok végrehajtásával megbízott szakterületen kerülnek tárolásra.

Az NBSZ egyéb külső szerv vagy személy részére a jelzett személyes adatokat – a hatóságok és más szervek részére történő, jogszabályon alapuló kötelező adatszolgáltatás kivételével – nem továbbítja.

Adatbiztonsági intézkedések

Az NBSZ megfelelő technikai, informatikai, fizikai és személyi biztonsági intézkedésekkel gondoskodik arról, hogy a személyes adatokat védje többek között a jogosulatlan hozzáférés, jogosulatlan megváltoztatás ellen.

Elektronikus formában történő adatkezelés esetén a kapcsolódó programokhoz, rendszerekhez kizárólag a munkakörük alapján illetékes személyek férhetnek hozzá, naplózott, egyedi technikai azonosítást biztosító hozzáférési jogosultsággal.

Érintettek általános jogai

Tájékoztatáshoz való jog

Tájékoztatás kérhető az adatkezelőtől a személyes adatok körét, valamint az adatkezelés jogalapját, célját, forrását, idejét illetően. Tájékoztatás kérhető továbbá, hogy kinek, mikor, milyen jogszabály alapján, mely személyes adathoz biztosít vagy biztosított hozzáférést az NBSZ, illetőleg történt-e adatvédelmi incidens az érintett adatait érintően.

Az NBSZ a tájékoztatást legfeljebb 25 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.

Az érintett hozzáférési joga

Az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, akkor jogosult arra, hogy ezzel kapcsolatban részletes információt kapjon (adatkezelés célja, jogalapja, időtartama, stb.).

Az NBSZ a tájékoztatást legfeljebb 25 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően –, a kérelemben megadott elérhetőségen keresztül teljesíti.

Helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő helyesbítse a rá vonatkozó pontatlan adatokat, valamint kiegészítse a hiányos adatokat.

Az NBSZ a helyesbítést legfeljebb 25 napon belül – de a jogosulatlan megváltoztatás megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – teljesíti, és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

Törléshez való jog

Az érintett – általánosságban – jogosult arra, hogy kérésére az adatkezelő törölje a rá vonatkozó személyes adatokat.

A törlési kérelmet az NBSZ abban az esetben utasítja el, ha a jogszabály vagy valamely belső szabályzat az NBSZ-t a személyes adatok további tárolására kötelezi. (Pl.: irattározásra vonatkozó belső szabályzatban foglalt határidő nem telt le.)

Amennyiben nincs ilyen kötelezettség, akkor az NBSZ a törlésre vonatkozó kérelmet legfeljebb 25 napon belül – de a jogosulatlan törlés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – teljesíti, és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

Az adatkezelés korlátozásához (zároláshoz) való jog

Az érintett jogosult arra, hogy kérésére az NBSZ zárolja az adatait, ha:

  • az érintett vitatja a személyes adatok pontosságát;
  • az adatkezelés jogellenes, de az érintett a törlés helyett a zárolást kéri;
  • az NBSZ-nek nincs szüksége a személyes adatok kezelésére, de az érintett igényli azokat jogi igény előterjesztéséhez, érvényesítéséhez vagy védelméhez;
  • az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozik az adatkezelés ellen.

Az NBSZ megvizsgálja a zárolási kérelem jogosságát, és ennek eredményéről legfeljebb 25 napon belül – de a jogosulatlan hozzáférés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – a kérelemben megadott elérhetőségen tájékoztatást nyújt.

A zárolás – amennyiben az NBSZ jogosnak tartja a kérést – addig tart, ameddig az érintett által megjelölt indok szükségessé teszi azt. (Pl.: személyes adatok pontossága ellenőrzésének, esetleges pontatlanság javításának idejére, vagy tiltakozás esetén az NBSZ vagy érintett jogos indokainak elsőbbségének megállapítása idejére.)

Adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa az NBSZ rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az NBSZ, ha

  • az adatkezelés hozzájáruláson vagy szerződésen alapul és
  • az adatkezelés automatizált módon történik.

Az NBSZ megvizsgálja az adathordozási kérelem jogosságát, és annak elfogadása esetén legfeljebb 25 napon belül – de a jogosulatlan hozzáférés/továbbítás megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – a kérelmet teljesíti, illetve elutasítás esetén a kérelemben megadott elérhetőségen erről részletes tájékoztatást nyújt.

A kérelem pozitív elbírálása esetén a tájékoztatással egyidejűleg géppel olvasható formában megküldésre kerülnek az érintetti személyes adatok is.

Tiltakozáshoz való jog

Az érintett jogosult arra, hogy saját helyzetével kapcsolatos okból bármikor tiltakozzon személyes adatainak közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtás vagy jogos érdek jogalapon alapuló kezelése ellen.

A tiltakozási kérelmet az NBSZ abban az esetben utasítja el, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos indokok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Amennyiben ilyen bizonyítás nem történik, akkor az NBSZ a tiltakozásra vonatkozó kérelemnek legfeljebb 25 napon belül – de a jogosulatlan törlés megakadályozása érdekében kizárólag az érintett személyazonosságának megállapítását követően – helyt ad (azaz törli az inkriminált adatot), és erről a kérelemben megadott elérhetőségen tájékoztatást nyújt.

Adatkezeléssel kapcsolatos jogérvényesítés lehetősége

Az érintett, ha megítélése szerint az adatkezelés nem felelt meg a jogszabályi követelményeknek, kérheti az NBSZ adatvédelmi tisztviselőjének eljárását, vizsgálatot kezdeményezhet a Nemzeti Adatvédelmi és Információbiztonsági Hatóságnál (NAIH), illetőleg bírósághoz fordulhat.

NAIH elérhetőségei

Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1055 Budapest, Falk Miksa utca 9-11.
Levelezési cím: 1363 Budapest, Pf. 9.
Honlap: https://www.naih.hu
E-mail: ugyfelszolgalat@naih.hu
Telefon: +36 (1) 391-1400