Adatvédelmi szabályzat
Az MTA SZTAKI által üzemeltetett HunCERT általános adatkezelési tevékenysége, valamint a HunCERT PROBE program üzemeltetése során végzett adatkezeléssel összefüggésben
A Szabályzat célja
Jelen adatkezelési szabályzat célja, hogy Magyar Tudományos Akadémia Számítástechnikai és Automatizálási Kutatóintézet (MTA SZTAKI) és az ISZT Hun-CERT „PROBE” elnevezésű incidens érzékelő és kezelő programja során a kutatók által kezelt személyes adatok tekintetében biztosítsa az adatvédelemre, az adatbiztonságra vonatkozó jogszabályi követelmények betartását. Ennek érdekében megfogalmazza azokat az előírásokat, melyeket a kutatómunka végzése során a személyes adatok kezelése során a hatályos jogszabályoknak megfelelően be kell tartani.
A szabályzat hatálya
Jelen szabályzat hatálya kiterjed mindazon természetes személyre, akik a PROBE program üzemeltetésében és kivitelezésében részt vesznek, továbbá mindazon személyes adatra, mely a kutatómunka során kezelésbe kerül.
A szabályozás 2017. 06. 01-től lép hatályba és az adatkezelést végző személy köteles azt alkalmazni a hatályba lépés előtt már meglévő adatok kezelésére is.
A jelen szabályzatban foglaltakat, valamint azon előírásokat, melyek vonatkozásában jelen szabályzat nem tartalmaz külön rendelkezéseket, a mindenkori hatályos adatvédelmi jogszabályokban, különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (Info tv.) foglalt rendelkezések egyidejű betartása mellett kell alkalmazni.
A jelen szabályzat közzététele napjától lép hatályba és határozatlan ideig hatályban marad. Az adatkezelő bármikor jogosult a jelen szabályzat egyoldalú módosítására. A módosított adatvédelmi szabályzat ugyancsak közzététele napjától hatályos.
Az adatkezelő
Az adatok kezelője:
- Név: Magyar Tudományos Akadémia Számítástechnikai és Automatizálási Kutatóintézet (MTA SZTAKI)
- Székhely: 1111 Budapest, Kende utca 13-17.
- Levélezési cím: 1518 Budapest, Pf. 63.
- Adószám: 15300399-2-43
- Képviseli: dr. Monostori László igazgató
- Adatvédelmi nyilvántartási szám: NAIH-122636/2017
Központi ügyfélszolgálat elérhetőségei:
- E-mail: cert@cert.hu
- Levélezési cím: 1518 Budapest, Pf. 63.
Fogalom-meghatározások
Személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző isme-ret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.
Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, fel-használása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.
Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele.
Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi.
Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges.
Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.
Az adatkezelés elvei
A PROBE Program keretében kizárólag olyan személyes adat kerül kezelésre, amely a PROBE Program céljainak megvalósításához szükséges, és ahhoz alkalmas. A személyes adat kezelése kizárólag annyi ideig történik, ameddig az a PROBE Program céljára tekintettel szükséges.
Az adatkezelés jogalapja
Az adatkezelő a PROBE Program keretében személyes adatot vagy az érintett hozzájárulása alapján, vagy a hálózatbiztonság fejlesztése körében a web felhasználók jogos érdekének érvényesítése céljából vesz fel és kezel, illetve olyan esetekben, amikor azt törvény vagy – törvény felhatalmazása alapján, abban meghatározott körben – helyi önkormányzat rendelete elrendeli.
A PROBE Program megvalósítása során két kategóriába sorolható adatkezelő adatkezelési tevékenysége.
- Az incidenskezelési tevékenység megkezdésének érdekében a projektben résztvevő felhasználók jelen adatvédelmi szabályzat elfogadásával kifejezett és egyértelmű, önkéntes nyilatkozatukkal hozzájárulnak személyes adataik kezeléséhez és a projekt céljaival összhangban történő felhasználáshoz. A PROBE Program megvalósítása során különleges adat vagy arra vonatkozó információ nem kerül feldolgozásra.
- felhasználó személyi számítógépén az incidenskezelésre létrehozott hardveres eszköz vagy szoftver, mely a bejövő irányú, rosszindulatú, támadó jellegű adatforgalommal összefüggésben felmerülő adatokat, például ezen adatforgalmat indító eszköz IP-címét, adott esetben domain nevet, felhasználó nevet, e-mail címet, illetve más személyes adatnak minősülhető adatokat rögzíti. Ezek a hatékony incidenskezelés érdekében anominizált formában közzétételre kerülnek a www.cert.hu, hab.cert.hu és probe.cert.hu honlapokon, illetve a rosszindulatú támadások elhárítása és megelőzése érdekében a programban részt vevő szervezetek számár hozzáférhetővé válnak vagy szükség szerinti feldolgozott formában továbbításra kerülnek.
A jelen adatvédelmi szabályzat V. pontjának B. alpontjában meghatározott esetben az adatkezelőnek a bejövő irányú, rosszindulatú, támadó jellegű adatforgalmat indító személy adataira kiterjedő adatkezelése az Infotv. 6. § b) pontján és a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló az Európai Parlament és a Tanács 95/46/EK irányelve 7. cikk. f.) pontján alapul. Az adatkezelés jogalapja, mely szerint az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna az adatkezelő számára, az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, valamint ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.
Amennyiben a személyes adat gyűjtésére az érintett hozzájárulásával kerül sor, a személyes adatokat harmadik személy vagy személyek jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll a további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának hiányában is kezelheti.
Az adatkezelés célja, az adatok felhasználása
Az adatkezelés a PROBE Program megvalósítása során a projektben résztvevők, valamint (az incidenskezelés által rögzített „támadó jellegű” adatok nyilvánosságra hozásával) harmadik személyek által használt eszközök és személyes adataiknak az informatikai védelmét szolgálja.
Személyes adat kizárólag meghatározott célból, jog gyakorlása és a kötelezettség teljesítése érdekében kezelhető.
Adatkezelő kijelenti, hogy az adatkezelés minden szakaszában megfelel az adatkezelés céljának, az adatok felvétele és kezelése a jogszabályi előírásoknak megfelelő, visszaélésektől mentes módon történik.
Csak olyan személyes adat – és a cél megvalósulásához szükséges mértékben és ideig – kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.
Adatbiztonság, adatok feldolgozása és továbbítása
A PROBE Programban résztvevők személyes adatai az érintett engedélye nélkül – a jogszabályokban meghatározott kivételektől eltekintve – nem továbbíthatók harmadik félnek, nem hozhatók nyilvánosságra.
Az incidenskezelés során gyűjtött, „támadó jellegű” adatokra kiterjedő adatkezeléssel kapcsolatban az adatkezelő nyomatékosan kijelenti, hogy azok anonimizált, a felhasználó egyéb személyes adatával nem összekapcsolt, a felhasználó azonosítására nem alkalmas módon kerülnek nyilvánosságra hozatalra.
Az adatkezelő a személyes adatokat feldolgozza, és azokat a programban részt vevő szervezetek számára lekérdezhetővé teszi, illetve egyes adat típusokra illetve informatikai biztonsági támadásokra tekintettel csoportosítva a támadás elhárításához és megelőzéséhez szükséges mértékben továbbítja.
Adatok tárolása és rögzítése
Adatkezelő kijelenti, hogy a PROBE Program megvalósítása során felvett és kezelt személyes adatok védve vannak a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az adatok kezelése és tárolása védett környezetben történik, kizárólag digitális formátumban. Az adatokhoz csak az arra feljogosított személyek férhetnek hozzá, ennek érdekében meg kell állapítani mindazon hozzáférési jogosultságokat, amelyek szükségesek az adatok megtekintéséhez és kezeléséhez.
Adatokat csak az arra kijelölt, megfelelő ismeretekkel és hozzáférési jogosultsággal rendelkező és beazonosítható személy gyűjthet és vihet be a nyilvántartásba. A hozzáférési jogosultságot a munkáltatói jogkört gyakorló vagy az a személy határozza meg, akit a munkáltatói jogkört gyakorló személy felhatalmaz.
Cookie (süti) használata a weboldalon
Weboldalunk az oldal látogatóinak a kényelmes böngészésének elősegítése érdekében cookie-t (sütiket) használ. A cookie-k kisméretű szövegfájlok, amelyek a felhasználók számítógépein tárolásra kerülnek. A cookie-kban tárolt információk arra is felhasználhatók, hogy kövessék böngészését az ugyanazon cookie-kat alkalmazó weboldalak között.
A felhasználó nyilatkozhat úgy is, hogy a böngésző egyáltalán ne helyezhessen el cookie-kat a számítógépén, vagy beállíthatja a böngészőt úgy, hogy minden értesítést megkapjon a cookie-k elhelyezéséről. A felhasználónak az egyes cookie-k visszautasítására és eltávolítására is lehetősége van, azonban ha nem engedélyezi a cookie-kat, nem garantálható a weboldal megfelelő működése.
Az érintett személyek jogai
Az érintett tájékoztatása
Az érintett bármely formában előterjesztett kérelmére az adatkezelő 30 napon belül, írásos formában, közérthető módon köteles tájékoztatást adni az általa az érintettre vonatkozó kezelt és feldolgozott adatokról, az adatkezelés céljáról, jogalapjairól, időtartamáról.
Az érintett tájékoztatását – a megfelelő, jogszabályhelyre utaló indoklással – csak a törvényben meghatározott esetekben lehet megtagadni. A felvilágosítás megtagadása esetén kötelező tájékoztatni az érintett személyt a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás lehetőségéről.
Helyesbítés
Amennyiben az érintett személyre vonatkozó személyes adat nem valós, az érintett jogosult kérni adatainak a valóságnak megfelelő helyesbítését.
Törlés
A kezelt személyes adatot törölni kell, ha kezelése jogellenes, vagy az érintett személy kérelmezi és az adatainak kezelésére a kutatómunka folytatásához már nincsen szükség (az adatkezelés célja megszűnt), ha az hiányos vagy téves, továbbá abban az esetben, ha a Nemzeti Adatvédelmi és Információszabadság Hatóság vagy bíróság elrendeli azt.
Zárolás
Törlés helyett a személyes adat zárolandó, ha az érintett személy ezt kérelmezi, vagy ha a rendelkezésre álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, amíg fennáll az az adatkezelési cél, amely a személyes adat törlését kizárja.
A helyesbítésről, a zárolásáról és a törlésről az érintett, továbbá mindazokat értesíteni kell, akiknek az adatot korábban adatkezelés céljából továbbították. (Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.) Ha az érintett helyesbítés, zárolás vagy törlés iránti kérelme nem teljesíthető, akkor a kérelem kézhezvételét követő 30 napon belül az érintettel írásban közölni kell a helyesbítés, zárolás vagy törlés iráni kérelem elutasítását és annak ténybeli és jogi indokait. Ebben az esetben az érintettet tájékoztatni kell a bírósági jogorvoslat, továbbá a Hatósághoz való fordulás lehetőségéről.
Nyilvánosságra hozatal
A PROBE Programmal összefüggésben végzett kutatómunka során kezelt, a résztvevők által megadott személyes adatokat az adatkezelést végző személyek nem hozzák nyilvánosságra.
Az incidenskezelés során rögzített „támadó jellegű” adatokat, domain neveket, e-mail címeket és felhasználói azonosítókat az adatkezelő a projekt weboldalán hozza nyilvánosságra, és ott nyilvános adatbázisban elérhetőek lesznek anonimizált, az érintett személy beazonosítására alkalmatlan módon.
Közérdekű adatok
A közérdekű adatok nyilvánosságra hozatala iránti kérelem abban az esetben teljesíthető, ha arra jogszabály kötelezi az adatkezelőt.
Tiltakozás
Az adatkezeléssel érintett személy tiltakozhat adatai kezelése ellen, ha az adatkezelés tudományos kutatás céljára történik. Az adatkezelő a tiltakozást tartalmazó kérelem benyújtásától számított 15 napon belül köteles megvizsgálni azt, és annak megalapozottsága esetén döntést hozni, melyről értesíti az érintett személyt. Amennyiben a kérelem megalapozottsága megállapításra kerül, az adatkezelő megszünteti az adatkezelést, az adatokat pedig zárolja, ellenkező esetben az érintett személy kérelmének elutasítását követő 30 napon belül, vagy az adatkezelő hallgatásának esetében a kérelem benyújtásától számított 15 napon belül bírósághoz fordulhat.
Bírósági jogérvényesítés
Amennyiben az adatkezelő elutasította az érintett személy megkeresésében foglalt kérelmeket, az érintett személy bírósághoz fordulhat. A per elbírálása az érintett lakóhelye vagy tartózkodási helye szerinti illetékes Törvényszék hatáskörébe tartozik.
Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembe vételére kötelezi.
Kártérítés és sérelemdíj
Az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Ha ezen magatartásokkal az adatkezelő az érintett személyiségi jogait is megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
A Nemzeti Adatvédelmi és Információszabadság Hatóság eljárása
Fentieken túl az érintett a Hatóságnál eljárást kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, (illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez való jogok gyakorlásával) kapcsolatosan jogsérelem következett be, vagy annak közvetlen veszély fennáll. A Hatóság eljárására vonatkozó szabályok az Infotv. VI. fejezetében találhatóak.
Jelen szabályzat mindenkor aktuális verziója a https://www.cert.hu/adatvedelmi webcímen érhető el.