• Tartalom

9/2017. (IV. 28.) BM utasítás

9/2017. (IV. 28.) BM utasítás

a Belügyminisztérium adatvédelmi, adatbiztonsági és közérdekű adat megismerésére vonatkozó szabályzatának kiadásáról1

2017.05.04.

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. § (3) bekezdésében és 30. § (6) bekezdésében meghatározottakra és a közérdekű adatok nyilvánosságának biztosítására vonatkozó szabályokra figyelemmel, a Belügyminisztérium által kezelt személyes adatok védelme érdekében a következő utasítást adom ki:

1. § A Belügyminisztérium adatvédelmi, adatbiztonsági és közérdekű adat megismerésére vonatkozó szabályzatát az 1. mellékletben foglaltak szerint határozom meg.

2. § Ez az utasítás a közzétételét követő ötödik napon lép hatályba.

3. §2

1. melléklet a 9/2017. (IV. 28.) BM utasításhoz

A Belügyminisztérium adatvédelmi, adatbiztonsági és közérdekű adat megismerésére vonatkozó szabályzata
Általános rendelkezések
1. A Szabályzat célja
1. A Belügyminisztérium adatvédelmi, adatbiztonsági és közérdekű adat megismerésére vonatkozó szabályzatának (a továbbiakban: Szabályzat) célja, hogy a Belügyminisztérium (a továbbiakban: Minisztérium) tevékenysége során a személyes adatok védelméhez fűződő jog érvényesülésének biztosítása, illetve a Minisztérium által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és adatbiztonsági előírásokat.
2. A Szabályzat célja továbbá a Minisztérium kezelésében lévő közérdekű adatok nyilvánosságának biztosítása. Ennek érdekében meghatározza a közérdekű adatok, valamint a közérdekből nyilvános adatok megismerésére irányuló igények elbírálása során irányadó eljárási szabályokat, illetve az elektronikus formában közzéteendő adatok nyilvánosságra hozatalával összefüggő feladatokat.
2. A Szabályzat hatálya
3. A Szabályzat hatálya kiterjed a Minisztérium hivatali szervezeti egységeire, a Minisztérium személyi állományára, a Minisztérium által igénybe vett adatfeldolgozókra és az általuk végrehajtott adatkezelésekre. Az elektronikusan kezelt adatokra a Belügyminisztérium Informatikai Biztonsági Szabályzatát is alkalmazni kell.
4. A közérdekű bejelentésekre és panaszokra vonatkozó szabályokról külön szabályzat rendelkezik.
5. A minősített adatokra vonatkozó szabályokat külön szabályzat határozza meg azzal, hogy a minősített adatnak is minősülő személyes adatra jelen Szabályzat rendelkezései is irányadóak.
3. A Szabályzat érvényesítése
6. A Szabályzat elkészítése és szükség szerinti módosítása a belső adatvédelmi felelős (a továbbiakban: adatvédelmi felelős) feladata.
7. A Szabályzatban előírtak betartatásáért feladatkörében a Belügyminisztérium Szervezeti és Működési Szabályzatáról szóló 15/2014. (IX. 5.) BM utasítás 1. melléklet 2. § (1) bekezdésében meghatározott önálló szervezeti egység vezetője (a továbbiakban: szervezeti egység vezetője) felelős.
8. A Minisztérium személyi állománya, feladatai ellátása során személyes adatot jogszabály, így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) és az egyes, az adatkezelésekre vonatkozó ágazati törvények előírásainak figyelembevételével vagy az érintett fél előzetes tájékoztatást követő egyértelmű hozzájárulása alapján az adatvédelemre vonatkozó alapelvek tiszteletben tartásával kezelhet. Ez a kötelezettség vonatkozik a Minisztérium megbízásából adatfeldolgozói tevékenységet végző természetes vagy jogi személyekre, amit az adatfeldolgozóval kötött írásbeli megbízási szerződésben kell érvényesíteni.
4. Értelmező rendelkezések
9. E Szabályzat alkalmazása során az Infotv. 3. §-ában meghatározott fogalmak az irányadók, továbbá:
a) egyedi adat: olyan adat vagy adatok olyan együttese, amely – a mindenkori legjobb technikai lehetőségek igénybevételével – lehetővé teszi a statisztikai egység közvetlen vagy közvetett azonosítását, illetve azon keresztül eddig nem ismert információ felfedését,
b) hivatalos statisztikai tevékenység: a Központi Statisztikai Hivatal által rendszeresen felülvizsgált statisztikai adat-előállítási folyamat, valamint az azzal kapcsolatos egyéb tevékenység,
c) Hivatalos Statisztikai Szolgálat: a hivatalos statisztikai tevékenységet ellátó szervezet, melynek tagjait a Központi Statisztikai Hivatal elnöke megjelenteti a Hivatalos Értesítőben,
d) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége, az adatkezelésnek az az állapota, amelyben a kockázati tényezőket – és ezzel a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik,
e) adatgazda: aki az adott adatkezelésre vonatkozó döntési jogosultsággal rendelkezik, elsődlegesen a belügyminiszter,
f) adatvédelem: az adatalany információs önrendelkezési jogának érvényesítése érdekében a személyes adatok kezelésének normatív szabályozása,
g) betekintési és megismerési jogosultság: az a jogkör, amelynek birtokában a jogosult számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes és különleges adatok,
h) közvetlen megismerési jogosultság: adott adatállomány informatikai alkalmazás igénybevételével kezelt adatainak megismeréséhez adott olyan jogkör, amely a jogosult számára lehetőséget biztosít arra, hogy az ott kezelt adatokhoz az általa megválasztott időpontban közvetlen lekérdezéssel hozzáférjen,
i) közvetlen lekérdezés: az adott elektronikus adatállományban kezelt adatok – az adatkezelő által előzetesen rendelkezésre bocsátott lekérdezési jogosultság felhasználásával – előre meghatározatlan időpontban és alkalommal, naplózott formában történő megismerése, illetve az így megszerzett információ kinyomtatása vagy más módon történő rögzítése, illetve felhasználása,
j) információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított, személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról.
Az adatvédelem szervezeti rendszerének irányítása és az adatvédelmi jelentési kötelezettség
5. Az adatkezelő szerv vezetője
10. Az adatkezelő szerv vezetője a belügyminiszter.
6. Az adatvédelem felsőszintű irányítása
11. A belügyminiszter a Minisztérium szervezeti egységeinek adatkezelésével és a közérdekű adatok nyilvánosságával kapcsolatos tevékenységnek a szakirányítását a közigazgatási államtitkár, végrehajtását a szabályozási és koordinációs helyettes államtitkár útján gyakorolja.
12. A 11. pont szerinti jogkörgyakorlással kapcsolatos szakmai feladatok végrehajtása a szabályozási és koordinációs helyettes államtitkár irányítása alatt álló Iratkezelési és Adatvédelmi Főosztály (a továbbiakban: IAF) hatáskörébe tartozik.
13. Az IAF főosztályvezetőjének közvetlen irányítása alatt áll az adatvédelmi felelős.
7. A Minisztérium önálló szervezeti egységeinek adatvédelmi vonatkozású jelentési kötelezettségei
14. A szervezeti egység vezetője a tárgyévet követő január 15-ig megküldi az IAF vezetőjének az irányítása alá tartozó szervezeti egységre vonatkozóan a 2. függelék alapján összesített adatokat.
15. A szervezeti egység vezetője a kötelező adatkezelés kivételével – 45 nappal a tervezett adatkezelés megkezdése előtt – megküldi az IAF vezetőjének a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) felé történő bejelentés érdekében az 1. függelék kitöltésével
a) a tervezett adatkezelés adatait,
b) az új adatállomány feldolgozására irányuló vagy új adatfeldolgozási technológia alkalmazásával járó adatállományok kialakításának megkezdésére vonatkozó adatokat.
16. A szervezeti egység vezetője az érintett hozzájárulásán alapuló adatkezelés megkezdése előtt megküldi az IAF vezetőjének véleményezésre a szervezeti egységét vagy a Minisztériumot érintő adatkezelési hozzájárulási nyilatkozatot az adatfeldolgozói szerződést és az 1. függelék adatait. Az IAF vezetője a véleményét a beérkezéstől számított 15 napon belül küldi meg az adatkezelő szervezeti egység vezetőjének.
17. A szervezeti egység vezetője az IAF vezetőjének haladéktalanul bejelenti a szervezeti egységénél bekövetkezett, az Infotv. 3. § 26. pontjában meghatározott adatvédelmi incidenst, az Infotv.-ben meghatározott adatokkal együtt a 3. függelék adatainak kitöltésével.
18. Ha a szervezeti egységhez az érintett, az Infotv. 14. §-a szerinti személyes adatok kezelésére vonatkozó tájékoztatás iránti kérelemmel, valamint az Infotv. 28. § (1) bekezdés szerinti közérdekű adatigénnyel fordul, a szervezeti egység vezetője köteles írásban tájékoztatni – a válaszlevél-tervezet egyidejű megküldése mellett – az IAF vezetőjét.
19. A megkeresett szervezeti egység vezetője köteles az IAF vezetője által megküldött kérdésekre 8 napon belül érdemben válaszolni és a kérdések alapján a választ előkészíteni az Infotv.-ben meghatározott határidőre figyelemmel.
20. A szervezeti egység vezetője köteles gondoskodni arról, hogy az általa vezetett szervezeti egység személyi állománya megismerje az alkalmazandó Szabályzatot.
8. Az adatvédelmi felelős
21. Az adatvédelmi felelős a Minisztérium adatvédelmi tevékenységének keretében
a) részt vesz az adatvédelmet érintő jogszabálytervezetek kidolgozásában, és annak koordinációja során képviseli a Minisztérium álláspontját,
b) előkészíti az adatvédelem tárgyában kiadandó közjogi szervezetszabályozó eszközök tervezetét, közreműködik az adatvédelmet érintő egyéb állásfoglalások kidolgozásában,
c) a Minisztérium szervezeti egységeitől érkező kérdések tekintetében kidolgozott tájékoztatóval segíti az adatvédelmi tevékenységet, az egységes gyakorlat kialakítását,
d) kapcsolatot tart a Minisztérium szervezeti egységeinek adatvédelemért felelős tagjával,
e) közreműködik a Minisztériumot érintő vizsgálatok lefolytatásában és az ezekkel összefüggő megkeresések megválaszolásában,
f) vezeti a belső adatvédelmi nyilvántartást, amelynek alapján kezdeményezi a Hatóság felé az Infotv.-ben meghatározott bejelentést,
g) vezeti a szervezeti egységek vezetői által megküldött adatvédelmi incidensek nyilvántartását,
h) részt vesz a belügyminiszter személyes adatok védelmével és közérdekű adatok nyilvánosságával kapcsolatos feladatainak ellátásában,
i) részt vesz az adatvédelmi felelősök konferenciáján, valamint az egységes joggyakorlat kialakítása érdekében kapcsolatot tarthat az irányított szervek adatvédelmi felelőseivel,
j) január 31-ig a Hatóság részére tájékoztatást küld a megelőző évben elutasított, személyes adatra és közérdekű adatra vonatkozó igényekről,
k) összeállítja és március 31-ig jóváhagyásra felterjeszti a belügyminiszter számára az éves adatvédelmi ellenőrzési tervet,
l) összeállítja és a tárgyévet követő február 28-ig felterjeszti a belügyminiszter részére az éves adatvédelmi ellenőrzési összefoglaló jelentést,
m) közreműködik az adatvédelemmel kapcsolatos vezetői döntések meghozatalában, valamint az érintett jogainak biztosításában,
n) véleményezi az adatkezelési hozzájárulást tartalmazó dokumentumokat és az adatfeldolgozási szerződéseket,
o) a Minisztériumot érintő, 113–116. pontban meghatározott hatósági eljárásokban együttműködik a Hatósággal.
A személyes adatok kezelése
9. Előzetes tájékoztatás kötelezettsége
22. Az érintettet az adatkezelő szerv az adatkezelés megkezdése előtt tájékoztatja arról, hogy
a) mely adatait, mely jogalap alapján, milyen célból, milyen időtartamig jogosult kezelni,
b) mely szerv és hol végzi az adatkezelést,
c) az adatok továbbítására milyen célból és mely szervek részére kerülhet sor,
d) mely adatfeldolgozókat veszi igénybe,
e) az adatfeldolgozó milyen tevékenységet végez, milyen adatokhoz fér hozzá, meddig kezeli azt, és milyen adatbiztonsági intézkedéseket tart be,
f) az adatkezeléssel kapcsolatban tájékoztatáskérési, helyesbítési és törléskezdeményezési, valamint tiltakozási jog illeti meg,
g) milyen jogorvoslati lehetőséggel rendelkezik (bírósági jogérvényesítés útja).
23. Kötelező adatkezelés esetén az előzetes tájékoztatás megtörténhet a törvény címének, számának, valamint az adatkezelésre vonatkozó törvényi helynek az adatkezelő internetes honlapján való közzétételével. Ebben az esetben is utalni szükséges a 22. pontban foglaltakra. A Minisztérium által működtetett alkalmazások használata során az állampolgárok számára nyújtott elektronikus szolgáltatások adatkezelésére a jelen Szabályzat, valamint az alkalmazások honlapján elérhető adatvédelmi tájékoztatók az irányadóak.
10. Az adatkezelés alapelvei
24. A személyes adatok gyűjtése csak törvényes és tisztességes eszközökkel történhet.
25. Személyes adatokat csak előre meghatározott célból, csak a cél megvalósulásához szükséges mértékben és ideig lehet kezelni.
26. Az adatoknak az adatkezelés céljával összhangban pontosnak, teljesnek és aktuálisnak kell lenniük.
27. Az adatokat a technika mindenkori állásának megfelelő ésszerű intézkedésekkel védeni kell a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás, sérülés és megsemmisülés ellen.
11. A kezelt adatállomány
28. A Minisztérium – az adatkezelés eltérő célja alapján – ügyviteli, illetve nyilvántartási célú adatkezelést végez.
29. Az ügyvitelhez kapcsolódó adatkezelés kizárólag az ügy feldolgozásához kapcsolódik, alapvető célja az adott ügyhöz kapcsolódó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek. Kezelésükre e célból csak az alapul szolgáló irat selejtezéséig van lehetőség.
30. A nyilvántartási célú adatkezelés az előre meghatározott szempontok alapján gyűjtött személyes adatfajtákból strukturált adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, automatizált nyilvántartások esetében a lekérdezhetőségét. Az egyes ügyekkel összefüggésben gyűjtött adatok kezelése ebben az esetben elválik az alapeljárástól, az adatok kezelésének időtartamát az adatok kezelésére felhatalmazást adó törvény vagy az érintett beleegyezésében foglaltak határozzák meg.
31. A kötelező adatkezelés kivételével a nyilvántartási célú adatállomány kialakítását az adatvédelmi felelős állásfoglalása alapján a szervezeti egység vezetője írásban rendeli el.
32. A kötelező adatkezelés kivételével, az adatkezelés megkezdése előtt a nyilvántartási célú adatállomány létrehozatala során az érintett szervezeti egység a 15. pont alapján jár el.
12. Az objektumvédelmi feladatok ellátásával összefüggő képfelvevő berendezések alkalmazása
33. Amennyiben a védett objektum őrzésével összefüggő feladatok ellátása érdekében, a vonatkozó törvényi rendelkezések figyelembevételével képfelvevő berendezés alkalmazására kerül sor, akkor erről az objektumban dolgozókat és az oda érkezőket, az objektum őrzésére kijelölt szervezetnek felirat elhelyezésével, jól látható módon tájékoztatni kell.
34. A tájékoztatásnak ki kell terjednie:
a) a képfelvevő berendezés működtetésének tényére,
b) az adatrögzítés céljára,
c) a felvételek tárolásának idejére.
35. A megfigyelt területre történő belépéssel az érintett adatkezeléshez történő hozzájárulását megadottnak kell tekinteni, ebből adódóan a képfelvevő berendezés működésére vonatkozó figyelemfelhívást úgy kell elhelyezni, hogy az érintett a megfigyelt területre történő belépéskor a tájékoztatás tartalmát megismerhesse.
36. A képfelvevő berendezés által rögzített adatok felhasználására, továbbítására csak törvényben meghatározott esetekben van lehetőség.
37. A rögzített képek tárolási idejét az adatkezelés céljának megfelelő lehető legrövidebb időtartamban kell meghatározni.
38. Az érintettnek – jogai érvényesítése céljából – lehetőséget kell adni arra, hogy az adatok törlését megelőzően benyújtott kérelmében, a rá vonatkozó adatok tekintetében az adatkezelés eredeti megőrzési idejének meghosszabbítását kezdeményezze, megjelölve annak célját és a megőrzési idő meghosszabbításának időtartamát.
39. A védett objektum őrzésével összefüggő feladatok ellátása érdekében alkalmazott képfelvevő berendezéssel rögzített adatokkal kapcsolatban az érintett tájékoztatást kérhet az adatkezelő szervezeti egységtől adatainak kezeléséről, amennyiben jogszabályi felhatalmazás alapján végzett feladat tekintetében szakmai érdeket nem sért, kérheti adatai törlését, valamint jogvita esetén biztosítani kell, hogy a képfelvevő berendezés által rögzített felvételt – annak kezelésének időtartama alatt – az érintett is felhasználhassa.
40. Az adatkezelő törvényben meghatározott feltételek szerint adatfeldolgozót vehet igénybe a képfelvevő berendezés működtetésére.
13. A felvételek kezelésével kapcsolatos dokumentációs és nyilvántartási szabályok
41. Az adatkezelőnek a felvételekhez történő hozzáférést, a felvételek továbbítását az adattovábbítási nyilvántartásban dokumentálni kell az időpont, az adatkezelés céljának, jogalapjának, a felvételt átvevő szervezet vagy személy megjelölésével.
42. A felvételek továbbítása előtt minden esetben meg kell győződni az adatátadás jogalapjának meglétéről.
43. A felvételeket tartalmazó adathordozókról nyilvántartást (a továbbiakban: adathordozók nyilvántartása) kell vezetni. Az adathordozók nyilvántartásában az adathordozók forgalmára vonatkozóan a szolgálatot ellátó, valamint az adathordozókat kezelő állománynak a következő adatokat kell folyamatosan rögzítenie:
a) a felhasznált adathordozó azonosító adatait,
b) az adathordozó alkalmazásának kezdő és befejező időpontját,
c) a felhasznált adathordozó tárolási helyét,
d) az adathordozó tartalmának esetleges sokszorosítására, valamint arról kivonat készítésére vonatkozó adatokat,
e) a sokszorosítás vagy kivonatkészítés indokát,
f) a sokszorosítást végző vagy kivonatot készítő nevét és beosztását,
g) a felvétel megsemmisítésére, törlésére vonatkozó adatokat,
h) az adathordozó megsemmisítésére vonatkozó adatokat.
44. A felvételeket megsemmisítésükig olyan feltételek között kell őrizni, amelyek az illetéktelen megismerést kizárják. A felvételek megsemmisítését pontosan és visszaellenőrizhetően dokumentálni kell. A felvételek megsemmisítésétől függetlenül öt évig meg kell őrizni az adattovábbítási nyilvántartást, amelyből megállapítható, hogy a felvételeket kinek vagy mely szervnek, milyen célból és milyen jogalapra tekintettel adták.
14. Az adatfeldolgozás
45. A Minisztérium – a vonatkozó törvény betartásával – adatfeldolgozót vehet igénybe. Az adatfeldolgozó az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi, és e minőségében gyakorolja az adatkezelő által átruházott jogosultságokat, teljesíti kötelezettségeit.
46. Adatfeldolgozó igénybevétele esetén az adatkezelés céljának meghatározására, az adatkezelésre vonatkozó érdemi döntések meghozatalára az adatkezelő jogosult.
47. Az adat megismerésére vagy továbbítására vonatkozó kérelem esetén az érdemi döntést az adatkezelő szerv szervezeti egységének vezetője jogosult meghozni.
48. Az adatfeldolgozó tevékenységi körén belül, illetve az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá minden olyan jogsértésért, amit az adatkezelő utasításának vagy az adatfeldolgozással összefüggésben kötött megbízási szerződésben foglaltak megszegésével okozott.
49. Az adatfeldolgozói szerződést az adatkezelésben érintett szervezeti egység kezdeményezi és készíti elő az előkészítésért és ellenjegyzésért felelős szervezeti egységgel.
15. Az érintett tájékoztatása
50. Az érintett tájékoztatást kérhet a Minisztériumtól személyes adatai kezeléséről és kérheti személyes adatainak helyesbítését, illetve a jogszabályban elrendelt kötelező adatkezelések kivételével azok törlését, valamint tiltakozhat személyes adatának kezelése ellen.
51. Az adatkezelő köteles az érintett személyes adatának kezelésével összefüggő kérelmére legkésőbb 25 – tiltakozási jog gyakorlása esetén 15 – napon belül írásban, közérthető formában választ adni az Infotv. rendelkezései alapján.
52. Az érintett tájékoztatásának megtagadására az Infotv. 16. § (1) bekezdésében foglaltak alapján van lehetőség.
53. Ha az érintett tájékoztatása nem tagadható meg, a tájékoztatás kiterjed a kezelt adatok megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, az esetleges adatvédelmi incidensekre, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat.
54. A valóságnak nem megfelelő adatot az adatkezelő, ha a szükséges adatok rendelkezésre állnak, köteles helyesbíteni. Amennyiben a hibás adat nem helyesbíthető, akkor azt az Infotv. 17. § (2) bekezdése alapján, a 17. § (3) bekezdésében meghatározott kivételre figyelemmel törölni kell. A hibás adatot a kijavításig vagy a törlésig jelzéssel kell ellátni.
55. Az adat helyesbítéséről vagy törléséről az érintettet és mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti. Ezen tájékoztatást a szervezeti egységek közvetlenül végzik, az adatvédelmi felelőst pedig a levél másolatának megküldésével tájékoztatják.
56. A 18. és az 55. pont szerinti tájékoztatási kérelmek megküldése alól kivételt képez a Nyilvántartások Vezetéséért Felelős Helyettes Államtitkárság (a továbbiakban: NyHÁT), valamint az irányítása alá tartozó szervezeti egységhez érkezett tájékoztatási kérelmek. A személyes adatok kezeléséről az NyHÁT-nak és az irányítása alá tartozó szervezeti egységeknek elegendő minden év január 15-ig a 2. függelék szerinti összesítő jelentést megküldeni az adatvédelmi felelős részére.
16. A tiltakozási jog gyakorlása
57. Az adatkezelés elleni, az Infotv. 21. § (1) bekezdése szerinti tiltakozás elbírálásának időtartamára – legfeljebb 15 napra – az adatkezelést az adott szervezeti egység vezetője felfüggeszti, és erről az adatvédelmi felelőst tájékoztatja. A felfüggesztés időtartama alatt az adat a tiltakozási jog elbírásával összefüggő eljáráson kívül nem használható fel, nem továbbítható, a tárolásán kívül egyéb adatkezelési művelet nem végezhető.
58. Ha az adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. Ha az érintett az adatkezelő döntésével nem ért egyet, illetve ha az adatkezelő a 15 napos határidőt elmulasztja, az érintett – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – az Infotv. 22. §-ában meghatározott módon bírósághoz fordulhat. Ha az adatátvevő jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, a döntés alapján történő értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében – az Infotv. 22. §-ában meghatározott módon – bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja. Ha az adatkezelő az értesítést elmulasztja, az adatátvevő felvilágosítást kérhet az adatátadás meghiúsulásával kapcsolatos körülményekről az adatkezelőtől, amely felvilágosítást az adatkezelő az adatátvevő erre irányuló kérelmének kézbesítését követő 8 napon belül köteles megadni. Felvilágosítás kérése esetén az adatátvevő a felvilágosítás megadásától, de legkésőbb az arra nyitva álló határidőtől számított 15 napon belül fordulhat bírósághoz az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja. Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, vagy a bíróság a tiltakozás jogosságát megállapította.
17. Adattovábbítás
59. A Minisztérium által kezelt adatokból személyes adatot továbbítani az érintett beleegyezésének hiányában csak törvényben meghatározott szerv vagy személy részére, törvényben meghatározott körben lehet, a célhoz kötöttség elvének maradéktalan érvényesítésével.
60. Az adattovábbítás jogszerű, ha a személyes adat birtokában lévő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett hozzájárulásával rendelkezik. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
61. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt adattovábbítás esetét kivéve – az érintett szervezeti egység vezetőjének hatáskörébe tartozik. A szervezeti egység vezetője, amennyiben az adattovábbítás jogalapja kérdéses, kikérheti az adatvédelmi felelős állásfoglalását. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza
a) az adatigénylés célját, jogalapját (az alapul szolgáló törvényi rendelkezés pontos megjelölését),
b) a kért adatok körének pontos meghatározását és
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
62. A Minisztérium – törvény eltérő rendelkezése hiányában – csak olyan személyes adatokat továbbíthat, amelyeknek a Minisztérium a törvényben meghatározott adatkezelője. Amennyiben más szerv az adatkezelő, az adatkérést – törvény eltérő rendelkezése hiányában – el kell utasítani, és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely szervtől igényelheti.
63. Az adattovábbítás történhet kérelemre vagy törvény ilyen tartalmú rendelkezése alapján automatikusan, illetve a hozzáférés biztosítható kérelem alapján történő egyedi adatszolgáltatással vagy számítógépes (online) lekérdezés lehetővé tételével közvetlen lekérdezéssel.
64. A külföldre történő adattovábbítás során a személyes adatok megfelelő szintű védelme akkor biztosított, ha érvényesülnek az Infotv. 8. §-ában foglaltak.
65. A külföldre továbbított személyes adatokról – az EGT-államba irányuló és az automatikus adattovábbítás, valamint az online lekérdezés kivételével – az adatkezelő szervezeti egységnél külön adattovábbítási nyilvántartást kell vezetni. Minden külföldre továbbított személyes adat esetében fel kell tüntetni az adattovábbítás jogi alapját, nemzetközi egyezménynél a cikket és a bekezdést is meg kell jelölni.
18. Adattovábbítási nyilvántartás
66. A Minisztérium által kezelt személyes adatok továbbításáról az érintett szervezeti egységnél adattovábbítási nyilvántartást kell vezetni, amelyben rögzíteni kell
a) az érintett nevét,
b) az adattovábbítás időpontját,
c) az adattovábbítás célját és jogalapját,
d) az adatigénylő nevét vagy megnevezését,
e) a továbbított adatok fajtáját (maguk a szolgáltatott adatok nem képezik az adattovábbítási nyilvántartás részét).
67. Számítógépes adatállomány rendszerbe állítása esetén az adattovábbítás naplózását programtechnikailag biztosítani kell. A már működő adatállományok esetében a technikai és költségvetési lehetőségek függvényében szintén kezdeményezni kell az adattovábbítás céljának naplózásához szükséges technikai feltételek megteremtését. Manuális adatkezelések esetén – vagy ha a számítógépes adatkezeléseknél a naplózás nem biztosítható – manuális módon, például betekintőlap vezetésével kell gondoskodni az adattovábbítási nyilvántartás vezetéséről.
68. Az adattovábbítási nyilvántartás adatait az Infotv. 15. § (3) bekezdésében foglaltak szerint kell megőrizni. A nyilvántartásba kizárólag
a) a Hatóság, a bíróság, a nyomozó hatóság, a nemzetbiztonsági szolgálat törvényben meghatározott feladatai ellátásához, valamint
b) a Minisztérium adatvédelmi ellenőrzést végző munkatársa
tekinthet be.
19. Az adatigénylés során irányadó szabályok
69. A Minisztérium által kezelt személyes adatokból kizárólag a Minisztérium feladat- és hatáskörének gyakorlása érdekében, a célhoz kötöttség elvének szigorú érvényre juttatása mellett igényelhető és használható fel személyes adat. A más adatkezelők által kezelt olyan adatállományokból, amelyekből történő adatigénylésre a Minisztériumot az érintett adatkezelésre irányadó törvény felhatalmazza, csak az adott törvényben meghatározott feladat ellátása érdekében végezhető adatlekérdezés, azok harmadik személynek vagy szervnek nem továbbíthatók.
70. Az egyes eljárások során a különböző adattárakból lekért, de az ügy szempontjából érdektelenné vált, fel nem használt személyes adatok megőrzési idejét az ügy előadója az ügyirat továbbítását, illetve irattárba helyezését megelőzően köteles felülvizsgálni.
20. Statisztikai adatszolgáltatás
71. A Minisztérium mint a Hivatalos Statisztikai Szolgálat tagja által előállított, az Országos Statisztikai Adatgyűjtési Program adatgyűjtéseiről és adatátvételeiről szóló kormányrendelet szerinti adatokra vonatkozó, a Minisztériumhoz érkező statisztikai adatkéréseket (a továbbiakban: statisztikai adatkérés) – függetlenül attól, hogy az adatkérő a megkeresésében milyen jogszabályra hivatkozik – az adott adat kezelésre kijelölt szervezeti egységhez kell továbbítani az adatkérés teljesítése érdekében. A Minisztérium szervezeti egységénél felmerült statisztikai igény esetén, az adatigénylő statisztikai adatkérésével közvetlenül az adott adat kezelésre kijelölt szervezeti egységet keresi meg.
72. a) A statisztikai adatkéréseket az e statisztikai adatkezelésre kijelölt szervezeti egység teljesíti
aa) önállóan vagy
ab) az adatkérő által megkeresett szervezeti egység útján, ha a statisztikai adatkérés az adatkérő adatigényének csak egy része volt.
b) Az adatkérés teljesítéséről az IAF-et tájékoztatni kell.
73. Ha a Minisztériumhoz érkező adatkérés tartalma alapján nem állapítható meg egyértelműen, hogy a megkeresés statisztikai adatkérésnek minősül, vagy egyéb közérdekű adat igénylésére irányul, az adatkérést az IAF állásfoglalása szerinti szervezeti egység teljesíti a 72. pont értelemszerű alkalmazásával.
74. A megkeresés teljesítése során törekedni kell arra, hogy az adatkérő az általa meghatározott határidőben választ kapjon. Ha ez valamilyen okból nem lehetséges, az adatkérőt erről tájékoztatni kell annak megjelölésével, hogy az adatszolgáltatást mikorra várhatja. Ha az adatkérő nem határozott meg határidőt, vagy az meghaladja a 15 napot, akkor legkésőbb 15 napon belül kell választ adni.
75. Az adatkezelő szervezeti egység által hivatalosan nyilvánosságra hozott statisztikai adatokon túlmenően más kiválogatási szempontú és rendezési elvű vagy részletesebb adatokra vonatkozó statisztikai adatkérés (a továbbiakban: egyedi statisztikai adatkérés) teljesítésével kapcsolatos költségek elszámolásának módjára a Belügyminisztérium Igazgatása Önköltségszámítási Szabályzatát kell alkalmazni. A költség összegére az adatkérés teljesítéséért felelős szervezeti egység tesz javaslatot. A költségjavaslatot a Pénzügyi Erőforrás-gazdálkodási Főosztály ellenőrzi, szükség esetén korrigálja, arról számlát állít ki az adatkérő részére, és ezt eljuttatja az adatkérés teljesítéséért felelős szervezeti egység részére. A számlát az egyedi statisztikai adatkérés teljesítésével egyidejűleg kell az adatkérő részére megküldeni.
21. A belső adatvédelmi nyilvántartás
76. A szervezeti egységek 15. pont szerinti adatszolgáltatása alapján az adatvédelmi felelős vezeti a belső adatvédelmi nyilvántartást, kiegészítve a bejelentési kötelezettség alá nem eső belső adatkezelési nyilvántartásokkal.
77. Az adatvédelmi felelős a belső adatvédelmi nyilvántartás adatai alapján, a kötelező adatkezelést kivéve, az adatkezelés nyilvántartásba vételét kéri a Hatóságtól az adatkezelés megkezdése előtt legalább 30 nappal. A kötelező adatkezelés – az Infotv. 68. § (2) bekezdésében foglalt eset kivételével – nem kezdhető meg a bejelentés időpontjáig.
78. Az adatvédelmi felelős a kötelező adatkezelés nyilvántartásba vételét az adatkezelést elrendelő jogszabály hatálybalépését követő 20 napon belül kérelmezi a Hatóságnál.
79. Az új adatállomány feldolgozására irányuló vagy új adatfeldolgozási technológia alkalmazásával járó, a 15. pont b) alpontjában meghatározott adatállományok kialakítását az erre irányuló tevékenység megkezdése előtt 30 nappal az adatvédelmi felelősnek abban az esetben kell bejelenteni a Hatóság részére, ha az országos hatósági, munkaügyi és bűnügyi adatállományok kezelésére vonatkozik.
80. Nem kell bejelenteni az Infotv. 65. § (3) bekezdésében meghatározott adatkezeléseket.
81. Az adatkezelésnek a Hatóság nyilvántartásába vételekor adott nyilvántartási számot az adatvédelmi felelős írásban közli az érintett szervezeti egység vezetőjével. A nyilvántartási számot az adatok harmadik személy részére történő továbbításánál, nyilvánosságra hozatalánál és az érintettnek történő kiadásánál fel kell tüntetni.
82. Az adatvédelmi felelős a személyes adatok kezelésének nyilvántartásba vétele érdekében az iratokat a közigazgatási államtitkár jóváhagyásával postai úton vagy a Hatóság elektronikus felületén küldi meg a Hatóság részére.
83. A belső adatvédelmi nyilvántartásba bejelentett adatok változását vagy az adatkezelés megszüntetését a bejelentésre kötelezett szervezeti egység vezetője a 15. pont a) alpontban foglaltak alapján köteles bejelenteni az adatvédelmi felelősnek, aki ennek megfelelően módosítja a Minisztérium belső adatvédelmi nyilvántartásának adatait, és a közigazgatási államtitkár útján tájékoztatja a Hatóságot a változásokról.
84. A tervezett adatkezelések tekintetében az Infotv. 69. § (1) bekezdésében meghatározott adatvédelmi audit vehető igénybe.
22. Adatvédelmi ellenőrzés
85. Az adatvédelmi ellenőrzés célja a 86. pontban meghatározott szempontrendszer figyelembevételével annak megállapítása, hogy az ellenőrzött szervezeti egységek adatkezelése megfelel-e a jogszabályoknak.
86. Az adatvédelmi ellenőrzés főbb szempontjai
a) az adatkezelés személyi feltételeinek megléte, az adatkezelést végző személyek felkészültsége, leterheltsége,
b) az adatkezelés tárgyi feltételei rendelkezésre állása,
c) annak vizsgálata, hogy az adatkezelő ismeri-e az adatkezelések jogalapját, célját, határidejét,
d) az elektronikus és papíralapú adathordozók tárolása, biztonsága,
e) az adatkezelés módja,
f) a szervezeti egységekhez érkezett adatvédelmi megkeresésekre adott válaszok jogszerűsége,
g) egyéb, adatvédelmet érintő rendszerek, különösen a beléptető, a zárt láncú kamera, valamint az elektronikus nyilvántartási rendszerek üzemeltetésének jogszerűsége.
87. Az adatvédelmi ellenőrzést az éves adatvédelmi ellenőrzési terv szerint kell végrehajtani.
88. Adatvédelmi ellenőrzést rendelhet el eseti jelleggel a belügyminiszter. Az eseti adatvédelmi ellenőrzést írásban kell elrendelni, amelyben meg kell jelölni különösen
a) az ellenőrzés alá vont szervezeti egységet,
b) azt, aki az adatvédelmi ellenőrzés lefolytatására kötelezett,
c) az adatvédelmi ellenőrzésre nyitva álló időtartamot,
d) az adatvédelmi ellenőrzés tárgyát.
89. Az adatvédelmi ellenőrzést szervezeti egységekre vonatkoztatva az elrendeléstől számított 60 napon belül be kell fejezni. E határidőbe nem számít bele az az időtartam, amely alatt az ellenőrzés alá vont szervezeti egység az adatvédelmi ellenőrzést végző felhívására az írásbeli felvilágosítást készíti, feltéve hogy enélkül az ellenőrzés nem folytatható. Az adatvédelmi ellenőrzést végző javaslatára az adatvédelmi ellenőrzés időtartamát, annak lejárta előtt, az azt elrendelő belügyminiszter egy alkalommal, legfeljebb 30 nappal meghosszabbíthatja.
90. Az adatvédelmi ellenőrzés – eltérő rendelkezés hiányában – kiterjed az ellenőrzés alá vont szervezeti egység minden adatkezelésére.
91. Az adatvédelmi ellenőrzés elrendeléséről az ellenőrzés alá vont szervezeti egységet előzetesen tájékoztatni lehet.
92. Az éves adatvédelmi ellenőrzési terv szerinti adatvédelmi ellenőrzést az IAF vezetője és a belső adatvédelmi felelős végzi.
93. Eseti adatvédelmi ellenőrzést végezhet:
a) a belügyminiszter által írásban kijelölt személy,
b) az IAF vezetője és az adatvédelmi felelős.
94. Az adatvédelmi ellenőrzést végző a szükséges személyi biztonsági feltételek megléte esetén
a) az ellenőrzés alá vont szervezeti egység kezelésében levő, az ellenőrzéssel összefüggésbe hozható összes iratba betekinthet, azokról másolatot kérhet,
b) az ellenőrzés során az üggyel összefüggésbe hozható adatkezelést megismerheti, az adatkezelés helyszínéül szolgáló helyiségbe beléphet, és
c) az ellenőrzés alá vont szervezeti egység vezetőjétől, az adatkezelő bármely munkatársától írásbeli és szóbeli felvilágosítást kérhet, továbbá az ellenőrzéssel összefüggésbe hozható bármely minisztériumi szervezettől vagy személytől írásbeli felvilágosítást kérhet.
95. Az adatvédelmi ellenőrzést úgy kell lefolytatni, hogy az az ellenőrzés alá vont szervezeti egység feladatainak ellátását csak a szükséges mértékben korlátozza.
96. Amennyiben az adatvédelmi ellenőrzés során az adatvédelmi ellenőrzést végző olyan szabálytalanságot észlel, amely a helyszínen orvosolható, javaslatot tesz annak rendezésére.
97. Az ellenőrzés alá vont szervezet vezetője
a) az adatvédelmi ellenőrzés lefolytatását elősegíti, így különösen az adatvédelmi ellenőrzést végző megkereséseit 15 napos határidőn belül teljesíti,
b) tartózkodik minden olyan magatartástól és döntéstől, amely az adatvédelmi ellenőrzés indokolatlan elhúzódásával jár, vagy arra vezethet,
c) az adatvédelmi ellenőrzéssel kapcsolatban észrevételt, javaslatot tehet.
98. Az adatvédelmi ellenőrzést végző az adatvédelmi ellenőrzésről, annak befejezését követő 15 napon belül jelentést készít, amely tartalmazza az adatvédelmi ellenőrzés megállapításait, ennek függvényében indokolt esetben javaslatot tesz a jogszerű állapot helyreállításához szükséges intézkedés megtételére, adatvédelmi vizsgálat lefolytatására, illetve felelősségre vonásra irányuló más eljárás megindítására.
99. Az adatvédelmi ellenőrzést végző a jelentésben az adatvédelmi ellenőrzés során feltárt tényállás alapján megállapíthatja, hogy
a) az adatkezelés megfelel a jogszabályoknak és egyéb szabályozóknak, és ezért további intézkedés nem indokolt,
b) a 96. pont szerinti szabálytalanságot az ellenőrzés alá vont szervezeti egység a helyszínen orvosolta, és ezért további intézkedés nem indokolt, vagy
c) az adatkezelés nem felel meg a jogszabályoknak, a 99. pont b) alpontja nem, vagy csak részben alkalmazható, ezért a jogszerű állapot helyreállítása érdekében további intézkedés megtétele szükséges.
100. Az ellenőrzést végző az ellenőrzést követő 30. napig elkészíti az ellenőrzési jegyzőkönyvet, amelyet elektronikusan megküld az ellenőrzés alá vont szervezeti egység vezetőjének, amelyben tájékoztatja az adatvédelmi ellenőrzés részleteiről és a lezárásáról az alábbiak szerint:
a) az ellenőrzés nem tárt fel jogsértést,
b) felhívja a jogszerű állapot helyreállításához szükséges intézkedés soron kívüli megtételére, vagy
c) tájékoztatja az adatvédelmi vizsgálat elrendeléséről, illetve a felelősségre vonásra irányuló más eljárás megindításáról.
23. Adatvédelmi vizsgálat
101. Adatvédelmi vizsgálat folytatható le a 103. pont szerinti bejelentés alapján vagy az adatvédelmi ellenőrzést követően, a 99. pont c) alpontja szerinti esetben, ha a személyes adatok kezelésére vonatkozó szabályok, a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlása megsértésének gyanúja merül fel.
102. Az adatvédelmi vizsgálat elrendelésére a belügyminiszter jogosult. Az adatvédelmi vizsgálatot az IAF vezetője és az adatvédelmi felelős az elrendelésétől számított 30 napon belül köteles befejezni. A határidőt indokolt esetben a belügyminiszter egy alkalommal, legfeljebb 30 nappal meghosszabbíthatja.
103. Az adatvédelmi vizsgálat alapjául szolgáló bejelentést az IAF-nél kell megtenni. A Minisztérium szervezeti egységéhez benyújtott bejelentést a beérkezését követő 5 napon belül át kell tenni az IAF vezetőjéhez.
104. Az IAF megvizsgálja a bejelentést, és azt a beérkezésétől számított 5 napon belül
a) az adatvédelmi vizsgálat elrendelésére vagy elutasítására vonatkozó indokolt javaslatával felterjeszti a belügyminiszter részére, vagy
b) érdemi vizsgálat nélkül elutasítja.
105. Érdemi vizsgálat nélkül el kell utasítani a bejelentést, ha
a) az adatvédelmi vizsgálat lefolytatása nem tartozik az IAF hatáskörébe,
b) a bejelentés nyilvánvalóan nem megalapozott, vagy
c) az ismételt bejelentés új tényt, körülményt vagy adatot nem tartalmaz.
106. Az IAF az adatvédelmi vizsgálatot jelentés készítése nélkül megszünteti, ha annak során kiderül, hogy a 103. pont szerinti bejelentés elutasításának lett volna helye, azonban az elutasítási okról az IAF csak az adatvédelmi vizsgálat megindítását követően szerzett tudomást.
107. A belügyminiszter az IAF felterjesztése alapján dönt az adatvédelmi vizsgálat elrendeléséről vagy elutasításáról. A belügyminiszter döntéséről, a bejelentés érdemi vizsgálat nélküli elutasításáról az IAF elektronikus úton 5 napon belül értesíti a bejelentőt.
108. Az IAF az adatvédelmi vizsgálatról jegyzőkönyvet, az adatvédelmi vizsgálat befejezéséről jelentést készít. A jelentés tartalmazza az adatvédelmi vizsgálat megállapításait, továbbá jogsérelem vagy annak közvetlen veszélye esetén az IAF indokolt javaslatát annak megszüntetésére, illetve felelősségre vonásra irányuló más eljárás megindítására.
109. Az IAF a jelentést és az annak alátámasztására szolgáló iratokat felterjeszti a belügyminiszter részére.
110. A belügyminiszter – egyetértése esetén – jóváhagyja a jelentést, és hatáskörébe tartozóan feladatot szab, megteszi a szükséges intézkedéseket, illetve kezdeményezi a hatáskörébe nem tartozó intézkedéseket.
111. Amennyiben a belügyminiszter az adatvédelmi vizsgálat továbbfolytatását tartja szükségesnek, elrendeli a jelentés kiegészítését. A jelentés kiegészítésére és a kiegészített jelentés felterjesztésére a 109–110. pontban foglaltakat kell alkalmazni.
112. Az IAF a vizsgálat befejezéséről a bejelentőt a belügyminiszter döntését követő 10 napon belül értesíti.
A Hatóság vizsgálatában történő közreműködés szabályai
24. A Hatóság eljárásai
113. A Hatóság vizsgálatával, valamint az adatvédelmi és a titokfelügyeleti hatósági eljárással érintett adatkezelő szervezeti egység vezetője köteles a Hatóság részére
a) minden szükséges tájékoztatást szóban és írásban megadni,
b) az összes olyan iratba való betekintést és másolatok készítését lehetővé tenni, amely személyes adatokkal, közérdekű adatokkal vagy közérdekből nyilvános adatokkal összefügghet,
c) biztosítani azokba a helyiségekbe való belépést, ahol adatkezelés folyik,
d) a minősített adatok megismerését elősegíteni.
114. Az adatkezelő az 113. pontban meghatározott kötelezettségeinek az Infotv. 54. § (2) bekezdésében meghatározott határideig köteles eleget tenni.
115. Az adatkezelő, illetve a tájékoztatásra felkért személy a tájékoztatást az Infotv. 54. § (3) bekezdése alapján tagadhatja meg.
116. A Minisztérium a Hatóság vizsgálata alapján a személyes adatok kezelésével, illetve közérdekű adatok vagy közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatos jogsérelem vagy annak közvetlen veszélye fennállását megalapozottnak tartó megállapításával való egyetértése vagy egyet nem értése esetén az Infotv. 56. § (2) bekezdésében foglaltak szerint jár el.
117. Ha a Minisztérium a Hatóság adatvédelmi és titokfelügyeleti hatósági eljárásban hozott határozatát nem fogadja el, az adatvédelmi felelős véleményének kikérését követően a bírósági felülvizsgálat kezdeményezésére nyitva álló határidőn belül a bírósághoz fordulhat.
118. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban a Hatóság határozatának kézhezvételekor, illetve a Hatóság eljárásának megkezdésekor fel kell függeszteni, és az adatokat zárolni kell.
Adatbiztonsági előírások
25. Adatbiztonsági fokozatba történő besorolás
119. Az adatbiztonsági intézkedések meghatározása érdekében a Minisztérium kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából értékelni kell. Az értékelést és besorolást az a szervezeti egység vezetője készíti, ahol az adat keletkezik. Az adatállományt az alábbi biztonsági fokozatok valamelyikébe kell sorolni:
a) alapbiztonsági fokozat: azon adatkezelések tartoznak ebbe a fokozatba, amelyekben feldolgozott személyes adatokat törvény nyilvánossá minősítette, valamint amelyek egyedi azonosításra alkalmas személyes adatokat nem tartalmaznak, és ezen adatok illetéktelen személy által történő megismerése, megváltoztatása vagy törlése és megsemmisítése alapvetően nem veszélyezteti a szerv feladatainak végrehajtását és az érintett személyiségi jogainak érvényesülését. A megsérült vagy megsemmisült adatok helyreállítása viszonylag kis ráfordítással, jelentős érdeksérelem nélkül elvégezhető;
b) fokozott biztonsági fokozat: azon adatkezelések tartoznak ebbe a fokozatba, amelyekben feldolgozott adatok illetéktelen személy által történő megismerése, megváltoztatása vagy törlése és megsemmisítése veszélyezteti a Minisztérium feladatainak végrehajtását, illetve az érintett személyiségi jogainak érvényesülését, a várható kár hatása túlmutat a minisztériumi érdekeken, hátrányosan befolyásolhatja a Minisztérium adatszolgáltatási tevékenységét. A megsérült vagy megsemmisült adatok helyreállítása nem, vagy csak jelentős anyagi, technikai ráfordítással valósítható meg;
c) kiemelt biztonsági fokozat: ebbe a fokozatba tartoznak azon adatkezelések, amelyek illetéktelen személy által történő megismerése, nyilvánosságra hozatala, illetve az adatok megváltoztatása, törlése és megsemmisítése a Minisztérium, illetve más állami szerv feladatainak ellátását lehetetlenné teszi, a nemzetközi kapcsolatokat, esetleg az érintett személyét veszélyeztetheti. A megsérült vagy megsemmisült adatok helyreállítása nem, vagy csak aránytalan anyagi, technikai ráfordítással valósítható meg.
120. Az egyes adatkezelések biztonsági fokozatának megállapításához a 4. függelékben meghatározott adatbiztonságot veszélyeztető kockázati elemeket kell figyelembe venni.
26. A személyhez fűződő tevékenységgel összefüggő intézkedések
121. Teljes betekintési joggal az adatok teljes köréhez hozzáférhet a belügyminiszter.
122. A Minisztérium személyi állománya a munkaköri leírásban meghatározott nyilvántartásokhoz férhet hozzá, a hozzáférések engedélyezéséről és kiadásáról a Belügyminisztérium Informatikai Biztonsági Szabályzata rendelkezik.
A közérdekű adatok megismerésével összefüggő szabályok
27. A közérdekű adatok nyilvánossága
123. A Minisztérium szervezeti egységei a feladatkörükbe tartozó ügyekben kötelesek elősegíteni a közvélemény pontos és gyors tájékoztatását. Ez a kötelezettség kiterjed különösen
a) az állami költségvetésre és annak végrehajtására,
b) az állami vagyon kezelésére,
c) a közpénzek felhasználására és az erre kötött szerződésekre, valamint
d) a piaci szereplők, a magánszervezetek és más személyek részére különleges vagy kizárólagos jogok biztosítására vonatkozó szerződésekre.
124. A közérdekű adatok nyilvánosságával összefüggő jog biztosítása érdekében hozzáférhetővé kell tenni a Minisztérium tevékenységével kapcsolatos legfontosabb adatokat. Ez a kötelezettség kiterjed különösen az érintett szervezeti egység
a) hatáskörére, illetékességére,
b) szervezeti felépítésére,
c) szakmai tevékenységére, annak eredményességére is kiterjedő értékelésére,
d) birtokában lévő adatfajtákra,
e) működéséről szóló jogszabályokra, valamint
f) gazdálkodására vonatkozó adatokra.
125. Közérdekből nyilvános személyes adat a közfeladatot ellátó szerv feladat- és hatáskörében eljáró személy neve, feladatköre, munkaköre, vezetői megbízása, a közfeladat ellátásával összefüggő egyéb személyes adata, valamint azok a személyes adatai, amelyek megismerhetőségét törvény előírja.
126. Ha törvény másként nem rendelkezik, közérdekből nyilvános adat a jogszabály vagy állami, illetve helyi önkormányzati szervvel kötött szerződés alapján kötelezően igénybe veendő vagy más módon ki nem elégíthető szolgáltatást nyújtó szervek vagy személyek kezelésében lévő, e tevékenységükre vonatkozó, személyes adatnak nem minősülő adat.
127. A közérdekű adatokhoz történő hozzáférés biztosítható közzététellel (különösen elektronikus formában, a közérdekű adatokat kezelő szerv honlapján) vagy erre irányuló egyedi igény megválaszolásával. Jogszabály vagy jogerős bírósági határozat erre irányuló rendelkezése esetén a közérdekű adatok ott megjelölt körét az előírt módon – külön erre irányuló kérelem hiányában is – nyilvánosságra kell hozni. A Minisztérium általános közzétételi listáját az adatvédelmi felelős a szervezeti egységek vezetőinek szakmai segítségével állítja össze és a Minisztérium belső internetes felületén minden év március 31-ig közzéteszi. A külön honlapon való közzétételi kötelezettséggel érintett szervezeti egységekre vonatkozó szabályokat a 173. és 174. pont tartalmazza.
128. A szervezeti egységek, ha az adatok közzétételéhez különös vagy egyedi közzétételi lista létrehozatalára van szükség, írásban megkeresik az adatvédelmi felelőst annak érdekében, hogy a Hatóság felé a véleményezési eljárást megindítsa.
28. A közérdekű adatok nyilvánosságának korlátozása
129. A közérdekű adatok megismerése az Infotv. 27. § (1)–(4) bekezdése alapján korlátozható.
130. A Minisztérium feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított 10 évig nem nyilvános. Ezen adatok megismerését – az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának mérlegelésével – az azt kezelő szerv vezetője engedélyezheti.
131. A döntés megalapozását szolgáló adat megismerésére irányuló igény a 130. pontban meghatározott időtartamon belül akkor utasítható el, ha az adat további jövőbeli döntés megalapozását is szolgálja, vagy az adat megismerése a közfeladatot ellátó szerv törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné.
132. A 28. alcím rendelkezései nem alkalmazhatók a közhitelű nyilvántartásból történő – külön törvényben szabályozott – adatszolgáltatásra.
133. A közérdekű adat megismerésére irányuló igény elutasítását az adatkezelő szervezeti egység vezetője minden esetben köteles írásban indokolni.
134. A tájékoztatási kötelezettség a közérdekből nyilvános adatok nyilvánosságra hozatalával vagy a korábban már elektronikus formában nyilvánosságra hozott adatot tartalmazó nyilvános forrás megjelölésével is teljesíthető.
135. A közérdekű adat megismeréséhez való jogot kizárólag csak a jogszabályban meghatározott feltételek figyelembevételével lehet korlátozni.
29. A „Nem nyilvános!” adat kezelésére vonatkozó különös szabályok
136. Az Infotv. 27. § (5) bekezdésének hatálya alá tartozó adathordozón – fedőlapján vagy az első oldalának jobb felső sarkán – fel kell tüntetni a „Nem nyilvános!” jelölést az alábbiak szerint: „Nem nyilvános az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 27. § (5) bekezdése alapján”. Fel kell tüntetni továbbá a nyilvánosság korlátozásának időtartamát. A „Nem nyilvános!” jelölés alkalmazását a kiadmányozási jogkör gyakorlója a kiadmányozással hagyja jóvá.
137. A Minisztériumban „Nem nyilvános!” jelöléssel ellátott adat megismerésére és kezelésére kizárólag az a személy jogosult, akinek az feladat- és hatáskörének gyakorlásához szükséges.
138. A „Nem nyilvános!” jelöléssel ellátott adatot a korlátozás időtartama alatt a jelölést alkalmazó közfeladatot ellátó szerv vezetőjének engedélyével lehet nyilvánosságra hozni vagy a közérdekű adat megismerésére irányuló igény előterjesztőjével közölni.
139. A döntés megalapozását szolgáló, „Nem nyilvános!” jelöléssel ellátott adat megismerésére irányuló igényt a 131. pontban foglaltak alapján lehet elutasítani.
30. A közérdekű adatok megismerésére irányuló igény elintézésének eljárási szabályai és a költségtérítés
140. A közérdekű adat megismerése iránt bárki szóban, írásban vagy elektronikus úton terjeszthet elő kérelmet. A közérdekből nyilvános adatok megismerésére a közérdekű adatok megismerésére vonatkozó rendelkezéseket kell alkalmazni. A közérdekű adat megismerésére irányuló igényt soron kívül be kell mutatni az adatot kezelő szervezeti egység vezetőjének, aki haladéktalanul írásban értesíti az IAF vezetőjét. Az adatkezelő szervezeti egység vezetője köteles gondoskodni a válasz határidőben történő előkészítéséről. Az előkészített adatokat 8 napon belül meg kell küldeni az IAF vezetőjének, aki az Infotv. szabályai alapján gondoskodik a válasz kiküldéséről.
141. A közérdekű adat megismerése iránti igénynek az IAF vezetője és az adatot kezelő szerv vezetője az igény tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül köteles eleget tenni.
142. Nem kell eleget tenni a közérdekű adat megismerésére vonatkozó igényben foglaltaknak, ha
a) azonos igénylő által egy éven belül benyújtott, azonos adatkörre irányuló adatigényléssel megegyezik, feltéve hogy az azonos adatkörbe tartozó adatokban változás nem állt be, vagy
b) az adatigénylő nem adja meg nevét, nem természetes személy igénylő esetén megnevezését, valamint azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos bármely tájékoztatás és értesítés megadható.
143. Ha a közérdekű adatot kezelő szerv javaslata alapján az IAF az igény teljesítését a 129–131. pontban foglaltak alapján megtagadja, arról annak indokaival együtt 15 napon belül írásban vagy – ha elektronikus levelezési címét közölte – elektronikus úton értesíti az igénylőt az Infotv. alapján őt megillető jogorvoslati lehetőségekről való tájékoztatással együtt.
144. Ha az igényelt adat kezelője a Minisztérium irányítása vagy felügyelete alatt álló szerv és egyértelműen megállapítható adatkezelői minősége, úgy az igényt a Minisztérium haladéktalanul köteles továbbítani a közérdekű adatot kezelő szervnek. Az igény áttételéről egyidejűleg írásban tájékoztatni kell az igénylőt.
145. Ha az igény az Infotv. 29. § (2) bekezdésében foglaltak miatt 15 nap alatt nem teljesíthető, erről az igénylőt az IAF vezetője – az adatokat kezelő érintett szervezeti egység vezetőjének tudomása mellett – 15 napon belül írásban tájékoztatja.
146. Ha az igénylés olyan adatra vonatkozik, amelyet az Európai Unió valamely intézménye vagy tagállama állított elő, az adatkezelő szervezeti egység haladéktalanul megkeresi az Európai Unió érintett intézményét vagy tagállamát az Európai Uniós és Nemzetközi Helyettes Államtitkárság, valamint a Miniszterelnökség feladat- és hatáskörrel rendelkező államtitkársága bevonásával, és erről az igénylőt tájékoztatja. A tájékoztatás megtételétől az Európai Unió érintett intézménye vagy tagállama válaszának az adatkezelőhöz való beérkezéséig terjedő időtartam az adatigénylés teljesítésére rendelkezésre álló határidőbe nem számít bele.
147. Az adatigénylésnek közérthető formában és – ha az aránytalan költséggel nem jár – az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni.
148. Ha az igénylő az adatokat tartalmazó dokumentumról vagy dokumentumrészről másolatot kíván kérni, valamint ha az adatigény teljesítése a közfeladatot ellátó szerv alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, a Minisztérium költséget állapíthat meg.
149. A költségtérítés megállapításánál az Infotv. 29. § (5) bekezdésében felsorolt költségelemek vehetők figyelembe, a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló 301/2016. (IX. 30.) Korm. rendeletben foglaltak szerint.
150. Az Infotv. alapján dologi és személyi költségek állapíthatók meg, amelyek számítási módját a Belügyminisztérium Igazgatása Önköltségszámítási Szabályzata tartalmazza.
151. Az adatigény teljesítésénél elszámolható költségek megállapítására minden esetben sor kerül az adatokat kezelő szervezeti egységnél az 5. függelékben feltüntetett dokumentum kitöltésével, számlázásra azonban csak akkor kerül sor, ha ez indokolt és a teljesítéshez szükséges munkaerő-ráfordítás időtartama meghaladja a 4 munkaórát, vagy a dologi költségek vonatkozásában a másolt oldalak száma meghaladja a 10 oldalt. A személyi és dologi költségekről a Minisztérium állít ki számviteli bizonylatot.
152. A személyi és dologi költségek megállapítására van lehetőség a közérdekű adatok megismerésére vonatkozó adatigény teljesítésekor.
153. Az IAF vezetője az adatigény megválaszolásában érintett szervezeti egység vezetőjének megküldi az 5. függelékben meghatározott dokumentumot az adatigénnyel együtt.
154. Az érintett szervezeti egység vezetője a közérdekű adatigényben foglaltak alapján előzetesen felméri a kezelésében lévő adatok kiadására fordított munkaórát, amelyet kerekítve, az egyes munkafolyamatot végző dolgozó nevének, beosztásának feltüntetésével az 5. függelék szerinti dokumentumban rögzít.
155. Ha a személyi költségek a 4 munkaórát vagy a dologi költségek vonatkozásában a másolandó oldalak száma a 10 oldalt meghaladja, e-mailben az igényelt közérdekű adatot kezelő szervezeti egység vezetője megküldi az 5. függelék szerinti dokumentumot a Pénzügyi Erőforrás-gazdálkodási Főosztály (a továbbiakban: PEF) vezetőjének a költségszámítás elkészítése céljából.
156. A PEF vezetője, a rendelkezésre álló tényleges személyügyi béradatok és dologi költségek feltüntetése után, az 5. függelék szerinti dokumentumot megküldi az IAF vezetőjének a költségek összegszerű kimutatásával.
157. Az IAF vezetője a várható személyügyi és dologi kiadások összegéről a közérdekű adat megismerésére vonatkozó igény beérkezésétől számított 15 napon belül tájékoztatást küld az adatigénylő részére.
158. Az adatigénylőnek a költség megfizetésének elutasítására és a bírósághoz forduláshoz a tájékoztatás kézhezvételétől számított 30 nap áll rendelkezésére.
159. Ha az adatigénylő a tájékoztatásban foglaltakat elfogadja, a költség elfogadásától számított 15 napon belül köteles azt befizetni a Minisztérium által írásban meghatározott folyószámlaszámra.
160. A Minisztérium a számviteli bizonylat elkészítése céljából az adatigénylőnek – a költségekről szóló tájékoztatóval egy időben – megküldi a 6. függelékben meghatározott dokumentumot, amelyen az adatigénylő nevét és címét szükséges feltüntetni a számviteli bizonylat kiállítása céljából.
161. A Minisztérium az adatigényre a választ az előzetes költségelszámolás elfogadását követő 15 napon belül köteles megküldeni.
162. Ha az adatigénylő az általa elfogadott költségtérítést nem fizeti meg, vagy a bíróság jogerős határozatában foglalt fizetési kötelezettségének nem tesz eleget, a Minisztérium végrehajtási eljárást indít.
163. Az 5. függelékben feltüntetett költségek megfizettetéséről az IAF vezetője dönt az adatigénnyel kapcsolatos összes körülmény mérlegelése után.
164. A költségtérítés megfizetésénél az adatigénylőtől a Minisztérium a költségek előlegezését kérheti, ha a költség összege meghaladja az 5000 Ft-ot. A költség előlegezéséről és annak mértékéről az adatigénylőt előzetesen írásban tájékoztatni szükséges. Elutasítására és a kereset indításra nyitva álló határidőre a 158. pontban foglaltak vonatkoznak. Elfogadása esetén a 159. pont rendelkezései alkalmazandók.
165. Az igény teljesítése során kiemelt figyelmet kell fordítani arra, hogy a közérdekű adatok közlése ne járjon mások jogainak vagy törvény alapján korlátozottan megismerhető adatok bizalmasságának sérelmével. Különös figyelmet kell fordítani arra, hogy az adatszolgáltatással ne kerüljenek nyilvánosságra személyes adatok, minősített adatok, törvény által nyilvánosságában korlátozott vagy – ha az adatkezelő szerv vezetője másként nem döntött – „Nem nyilvános!” jelöléssel ellátott adatok.
166. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni olyan módon, hogy a korlátozottan megismerhető adatok tartalmára megalapozott következtetést ne lehessen levonni.
167. A közérdekű adatok megismerése személyazonosító adatok közléséhez nem köthető. Az elektronikusan közzétett közérdekű adatokhoz történő hozzáférés biztosításához személyes adat csak annyiban kezelhető, amennyiben az technikailag elengedhetetlenül szükséges, törvény eltérő rendelkezése hiányában a személyes adatokat ezt követően haladéktalanul törölni kell.
168. Az igénylés alapján történő adatszolgáltatás esetén az adatigénylő személyazonosító adatai csak annyiban kezelhetők, amennyiben az az igény teljesítéséhez – beleértve az esetleges költségek megfizetését is – elengedhetetlenül szükséges. Az igény teljesítését, illetve a költségek megfizetését követően az igénylő személyes adatait – törvény eltérő rendelkezése hiányában – 1 év elteltével törölni kell.
31. A közérdekű adatok elektronikus úton történő közzététele
169. Az elektronikus információszabadság elvének megfelelően a Minisztérium külön erre irányuló kérelem nélkül internetes honlapon nyilvánosságra hozza
a) a közérdekű adatok adatvédelmi felelős által előkészített egyedi adatigénylési szabályait,
b) az érintett szervezeti egységek által az Infotv. 1. mellékletében meghatározott általános közzétételi lista szerinti adatokat (a továbbiakban: általános közzétételi lista),
c) a különös és egyedi közzétételi listában a belügyminiszter által elfogadott adatköröket,
d) a külön törvényekben meghatározott adatkört.
A Minisztérium a közzétételi kötelezettségének a központi kormányzati honlapon, a www.kormany.hu internetes portálon tesz eleget.
170. Az általános közzétételi listán megjelölt adatok összegyűjtése, az adattovábbítónak történő továbbítása, illetve az adatok folyamatos karbantartása
a) az általános közzétételi lista I. fejezetében megjelölt „Szervezeti, személyzeti adatok” esetében a személyügyi helyettes államtitkár,
b) az általános közzétételi lista II. fejezetében megjelölt „Tevékenységre, működésre vonatkozó adatok” esetében a nyilvántartások vezetéséért felelős helyettes államtitkár, valamint az érintett főosztály vezetője,
c) az általános közzétételi lista III. fejezetében megjelölt „Gazdálkodási adatok” esetében a gazdasági helyettes államtitkár
feladat- és hatáskörébe tartozik.
171. Az adatkezelő szervezeti egység vezetője a 169. pont a)–d) alpontjaiban meghatározott adatok továbbítása és állandó karbantartása érdekében adatfelelőst nevez ki. Az adatfelelős kinevezéséről nevének, elérhetőségeinek feltüntetésével az adatkezelő szervezeti egység vezetője e-mailben értesíti az adatvédelmi felelőst a Szabályzat hatálybalépést követő 30 napon belül. Új szervezeti egység létrejötte vagy az adatfelelős személyének megváltozása esetén a bejelentést 15 napon belül kell megtenni.
172. Az adatfelelős gondoskodik a kezelésében lévő közérdekű és közérdekből nyilvános adatok, adatbázisok, illetve nyilvántartások leíró adatainak hitelességéről és a továbbított adatok rendszeres frissítéséről.
173. Az adatfeltöltést a www.kormany.hu internetes portálra a Minisztérium kommunikációval foglalkozó szervezeti egysége végzi. Az adatfelelős a közzétételre előkészített adatokat előzetes engedélyezésre megküldi a kommunikációval foglalkozó szervezeti egység vezetőjének. Az engedélyezést követően a kommunikációval foglalkozó szervezeti egység vezetője által kijelölt személy (a továbbiakban: adatfeltöltő) végzi el az adatok feltöltését a www.kormany.hu internetes oldalra. Az adatok közzétételével és közzétételi egységével kapcsolatban az adatfelelős kikérheti az adatvédelmi felelős előzetes véleményét, amely megküldésre kerül a kommunikációval foglalkozó szervezeti egység vezetőjének is. Azon szervezeti egységek, amelyek külön internetes honlapon tesznek eleget kötelező közzétételüknek, erről tájékoztatják a kommunikációval foglalkozó szervezeti egység és az IAF vezetőjét, valamint megküldik a kommunikációval foglalkozó szervezeti egységnek a külön közzétételre szolgáló honlap linkjét, hogy az a www.kormany.hu internetes oldal megfelelő közzétételi egységében kereshető formában elhelyezésre kerüljön.
174. A külön honlapon való közzététel szabályait és a 170. pont a)–c) alpontban meghatározott általános közzétételi listát az arra kötelezett szervezeti egység saját hatáskörben készíti el, amelyet minden év április 15-ig megküld az IAF vezetőjének. A külön honlapon való közzétételét, adatai naprakészségének és rendelkezésre állásának ellenőrzését külön szabályozás alapján az arra kijelölt szervezeti egység végzi el. A kijelölt szervezeti egység végzi el a Közadattárba szükséges közérdekű adatok feltöltését is. A közzétételi listákkal kapcsolatos kérdésekben az adatvédelmi felelőshöz lehet fordulni. A különös és egyedi közzétételi listák elkészítéséhez a Hatóság véleményének megkérésére van szükség. A közzétételre való engedélyt a szerv vezetője adja meg. Azon szervezeti egységek, amelyek külön honlapon teszik közzé az általános, különös és egyedi közzétételi listák alapján az adatokat, az azzal kapcsolatos véleménykérési és engedélyezési eljárást saját hatáskörben végzik el, amelynek eredményéről tájékoztatják az IAF vezetőjét. Az adatfeltöltő az adatfelelősök által megküldött dokumentumokat az Egységes Közadat Kereső Rendszerbe is továbbítja.
175. Külön jogszabály előírhatja az általános közzétételi listákon nem szereplő adatok nyilvánosságra hozatalát.

1. függelék

Adatlap
a Hatóság felé történő bejelentéshez
    1.    Adatkezelő
1.1. Az adatkezelő megnevezése:
1.2. Címe:
1.3. Telefonszáma:
1.4. Kapcsolattartó:
Adatkezelés
1.5. Előző adatkezelés
1.5.1. Az adatkezelő megváltozásának jogcíme:
1.5.2. Előző nyilvántartási azonosító:
1.6. Az adatkezelés megnevezése:
1.7. Az adatkezelés célja:
1.8. Jogalapja
1.8.1. Jogszabályhely vagy más jogalap:
1.8.2. Jogszabály címe:
1.9. A tényleges adatkezelés helye:
1.10. Az adatkezelés automatizáltsága:
    2.    Adatfeldolgozás
2.1. Az adatfeldolgozó megnevezése:
2.2. Címe:
2.3. Telefonszáma:
2.4. Kapcsolattartó:
    3.    Az adatok forrása
3.1. Adatfajta megnevezése:
3.2. Adatforrás megnevezése:
3.3. Adatfelvétel (átvétel) jogalapja
3.3.1. Jogszabályhely vagy más jogalap:
3.3.2. Jogszabály címe:
3.4. Adatfelvétel (átvétel) módja:
3.5. Az adat törlési határideje:
    4.    Adattovábbítás(ok)
4.1. Adatfajta megnevezése:
4.2. Címzett neve:
4.3. Az adattovábbítás jogalapja
4.3.1. Jogszabályhely vagy más jogalap:
4.3.2. Jogszabály címe:
4.4. Az adattovábbítás módja:
4.5. Időpontja:
    5.    Az érintettek csoportja(i)
5.1. A csoport leírása:
5.2. Érintettek száma:
    6.    Egyéb közlendők:
Dátum: …………………………………             Aláírás ……………………………………
Kitöltési útmutató az adatlaphoz
Az adatvédelmi nyilvántartás vezetésének kötelezettségét az Infotv. 65. § (1) bekezdése a Hatóság részére írta elő. Az adatvédelmi nyilvántartás szerepe, hogy hozzájáruljon az állampolgárok Alaptörvényben biztosított információs önrendelkezési jogának érvényesítéséhez, valamint ahhoz, hogy átfogó ismereteket szerezzenek a magyarországi adatkezelésekről. A nyilvántartásba történő bejelentés az Infotv. 65. § (1) bekezdése alapján – az Infotv. 65. § (3) bekezdés a)–i) pontjában felsoroltak kivételével – minden személyes adatot kezelő szerv számára kötelező. Nem kell bejelenteni továbbá az olyan nyilvántartásokat, amelyek nem tartalmaznak személyes adatokat, illetőleg olyan statisztikai adatokat tartalmaznak, amelyek személyes jellege emiatt nem állapítható meg, mert azokat nem lehet egy meghatározott természetes személlyel kapcsolatba hozni.
Az adatlap kitöltése
    1.    Adatkezelő
1.1. Adatkezelő megnevezése:
A rovatba a Minisztérium hivatalos nevét kell beírni.
1.2. Adatkezelő címe:
A Minisztérium székhelye.
1.3. Telefonszáma:
1.4. Kapcsolattartó:
A rovat kitöltése nem kötelező. Elégséges a belső adatvédelmi felelőst feltüntetni.
Adatkezelés
1.5. Előző adatkezelés:
Csak abban az esetben kell kitölteni, ha a Minisztérium vagy jogelődje korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba.
1.5.1. Az adatkezelő megváltozásának jogcíme:
Csak abban az esetben kell kitölteni, ha a konkrét adatkezelést előzőleg más adatkezelő végezte, vagy az adatkezelő személyében változás történt.
(pl. jogutódlás, átalakulás, névváltozás, jogszabályváltozás)
1.5.2. Előző nyilvántartási azonosító:
Csak abban az esetben kell kitölteni, ha a Minisztérium korábban már bejelentette az adatkezelést az adatvédelmi nyilvántartásba.
1.6. Az adatkezelés megnevezése:
A bejelenteni kívánt adatkezelést – a nyilvántartásban történő keresés lehetővé tétele céljából – röviden kell megnevezni. A nyilvántartásnak az adatkezelést létrehozó törvény által meghatározott elnevezését kell megjelölni, amennyiben azonban rendelkezik egy általánosan használt fantázianévvel, akkor ezt az elnevezést is fel kell tüntetni. Az azonos adattartalommal rendelkező adatkezeléseket egységes elnevezéssel kell szerepeltetni.
1.7. Az adatkezelés célja:
Az adatkezelés céljának – figyelemmel az Infotv. 4. § (1) bekezdésére – rövid megfogalmazása. Pontosan meg kell jelölni, hogy milyen jogszabály által meghatározott feladat teljesítése érdekében van erre szükség. Ilyen esetben a feladatmeghatározást tartalmazó ágazati jogszabály megfelelő hivatkozási alapnak tekinthető.
1.8. Az adatkezelés jogalapja:
Az adatkezelés jogalapja az érintett hozzájárulása vagy törvényi felhatalmazás lehet. A törvénynél alacsonyabb szintű jogszabályra történő hivatkozás nem fogadható el, ugyanis a jogalap meglétét csak törvényi előírás garantálhatja. Olyan megoldás alkalmazása azonban helyes és a pontosítás érdekében kívánatos is, mely szerint a törvény mellett a végrehajtási rendelete megfelelő szakaszaira is történik hivatkozás. Nemcsak a vonatkozó törvény megjelölését kell szerepeltetni, hanem a pontos törvényi rendelkezés(eke)t is meg kell jelölni. Nem fogadható el az adatkezelés jogalapjaként az olyan törvényi rendelkezésre történő hivatkozás, amely a Minisztériumot csupán adatigénylésre hatalmazza fel, ugyanis ez nem azt jelenti, hogy ezen adatokról a Minisztérium külön nyilvántartást vezethet.
1.8.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása vagy a konkrét jogszabályhely megjelölése.
1.8.2. Jogszabály címe:
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
1.9. A tényleges adatkezelés helye:
Nem szükségképpen azonos az adatkezelő címével, csak akkor kell kitölteni, ha nem azonos az adatkezelő címével.
1.10. Az adatkezelés automatizáltsága:
Kézi, gépi, részben gépesített, párhuzamos (nem kötelezően kitöltendő elem).
    2.    Adatfeldolgozás:
2.1. Adatfeldolgozó megnevezése:
A rovatba az adatfeldolgozó szerv vagy személy hivatalos nevét kell beírni.
2.2. Az adatfeldolgozó címe:
Az adatkezelő szerv székhelye, a természetes személy lakóhelye.
2.3. Telefonszáma:
2.4. Kapcsolattartó:
A rovat kitöltése nem kötelező.
    3.    Az adatok forrása:
3.1. Adatfajta megnevezése:
Az egyes adatfajtákat külön-külön pontosan meg kell jelölni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”. Az adatlap ezen pontjában összefoglaló néven kell szerepeltetni a személyes adatokat, valamilyen jellemzők szerint csoportosítva azokat. (Például természetes személyazonosító adatok; gépjármű azonosító adatai stb.)
3.2. Adatforrás megnevezése:
A kezelt adatok forrásának megjelölése (pl. érintett, más adatkezelőtől adatátvétellel).
Más adatkezelőtől történő adatátvétel esetén az adatokat továbbító adatkezelő adatvédelmi nyilvántartási számát is meg kell jelölni.
3.3. Adatfelvétel (átvétel) jogalapja:
3.3.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása vagy a konkrét jogszabályhely megjelölése.
3.3.2. Jogszabály címe:
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
3.4. Adatfelvétel (átvétel) módja:
Meg kell jelölni az adatok gyűjtésének, felvételének, átvételének konkrét módját (pl. kérdőív, címlista átvétele).
3.5. Az adat törlési határideje:
Ha jogszabály másképp nem rendelkezik, az adatokat az adatkezelés céljának elérésével, illetve az érintett kérésére törölni kell.
    4.    Adattovábbítások:
4.1. Adatfajta megnevezése:
Az egyes adatfajtákat külön-külön pontosan meg kell jelölni (pl. név, cím, telefonszám). Nem elég annyit megadni, hogy „azonosító adatok”.
4.2. Címzett neve:
A rovatba az adattovábbítás címzettjének hivatalos nevét kell beírni.
Ebben a rovatban kell megjelölni azt is, ha az adatkezelő az adatokat nyilvánosságra hozza.
4.3. Az adattovábbítás jogalapja:
4.3.1. Jogszabályhely vagy más jogalap:
Az érintett hozzájárulása vagy a konkrét jogszabályhely megjelölése.
4.3.2. Jogszabály címe:
Az adatkezelés jogalapját meghatározó jogszabály megnevezése.
4.4. Az adattovábbítás módja:
(pl. online kapcsolat)
4.5. Időpontja:
Meg kell jelölni az adattovábbítás határnapját, határidejét, valamint az adattovábbítás gyakoriságát is.
    5.    Az érintettek csoportja(i):
5.1. A csoport leírása:
Azoknak a csoportoknak a meghatározása, amelyek tagjainak személyes adataival a Minisztérium adatkezelést végez.
5.2. Érintettek száma:
A rovat kitöltése nem kötelező.
    6.    Egyéb közlendők:
(pl. hiánypótlás, korábbi bejelentés)
Kiegészítő lapok
Az adatlaphoz tartozó kiegészítő lapokra csak bonyolult adatkezeléseknél van szükség.
Kiegészítő lap (adatfeldolgozás):
Csak abban az esetben kell kitölteni, ha a bejelenteni kívánt adatkezelő párhuzamosan több adatfeldolgozót vesz igénybe. Ekkor az egyes adatfeldolgozókat külön kiegészítő lapon kell megjelölni.
Kiegészítő lap (adatok forrása):
Csak abban az esetben kell kitölteni, ha az egyes adatokat több különböző forrásból gyűjti a Minisztérium, vagy az egyes adatokat különböző módon gyűjti, vagy az egyes adatoknak különböző a törlési határideje. Ekkor a különböző adatforrások megjelölésére külön kiegészítő lapot kell kitölteni.
Kiegészítő lap (adattovábbítás):
Csak abban az esetben kell kitölteni, ha a Minisztérium több szervnek vagy személynek továbbít adatot, vagy ha az adatoknak csak egy részét továbbítja, vagy ha az adatokat különböző módon és időben továbbítja. Ekkor az egyes adattovábbításokat külön kiegészítő lapon kell megjelölni.
Kiegészítő lap (érintettek csoportjai):
Csak abban az esetben kell kitölteni, ha az adatkezelő az érintett személyek szempontjából több szempontú adatkezelést végez.

2. függelék

Adatlap
a szervezeti egységek részére az érintett jogainak gyakorlására vonatkozó kimutatáshoz

A kitöltő szervezeti egység:

Az érintett saját adataira vonatkozó kérelmek:

A kérelem jellege

Teljesített

Részben teljesített

Elutasított

Tájékoztatás iránti kérelem saját nyilvántartott személyes adatról

 

 

 

Tájékoztatás iránti kérelem arról, hogy az érintett személyes adatát kinek továbbították

 

 

 

Helyesbítés iránti kérelem

 

 

 

Törlés iránti kérelem

 

 

 

Az érintett személyes adatára vonatkozó részben teljesített, illetve elutasított kérelmek indokolása:



A közérdekű adatok megismerésére vonatkozó kérelmek:

Teljesített

Részben teljesített

Elutasított

 

 

 

A közérdekű adatok megismerésére vonatkozó részben elutasított, elutasított kérelmek indokolása:



3. függelék

Az Infotv. 15. § (1a) bekezdése szerinti adatvédelmi incidens* adatai:

Nyilatkozó szervezeti egység megnevezése:

 

Adatkezelő szervezeti egység megnevezése:

 

Adatfeldolgozó szervezeti egység megnevezése:

 

Adatkezelésre vonatkozó törvény megnevezése:

 

Adatvédelmi incidenssel érintett adatkezelés:

 

Adatvédelmi incidens időpontja:

 

Adatvélelmi incidens körülményei:

 

Adatvédelmi incidens hatása:

 

Adatvédelmi incidenssel érintettek köre:

 

Adatvédelmi incidens megszüntetésére tett intézkedések:

 

* Infotv. 3. § 26. pont adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

4. függelék

Az adatbiztonságot veszélyeztető főbb kockázati elemek
1. A külső fenyegető tényezők:
a) természeti katasztrófa;
b) külső személy által elkövetett erőszakos cselekmény;
c) közműellátási zavarok;
d) külső személy tartózkodása a minisztériumi objektumban;
e) védelmi berendezések technikai hibája, vészhelyzet (pl. rövidzárlat, tűz, csőtörés).
2. A hardvereszközök fenyegetettsége:
a) műszaki jellegű hibák, rendellenességek;
b) káros környezeti hatás (feszültségingadozás, szennyeződés, elektromágneses sugárzás, elektrosztatikus feltöltődés);
c) a berendezések kezelésével, karbantartásával kapcsolatos hibák;
d) perifériákhoz való illetéktelen hozzáférés;
e) a berendezések manipulálása, rongálása, lopás;
f) az eszköz elhelyezésére szolgáló helyiség vagy munkahely helytelen kiválasztása.
3. Az adathordozók veszélyeztetettsége:
a) gyártási hiba;
b) károsodás nem szabályszerű tárolás vagy kezelés miatt;
c) ismeretlen vagy kétes eredetű adathordozó alkalmazása;
d) kontroll nélküli hozzáférés az adathordozókhoz, másolás;
e) saját adathordozó ellenőrzés nélküli alkalmazása szolgálati vagy magáncélra (vírusveszély, illegális másolás).
4. Az iratokhoz, informatikai dokumentációkhoz kapcsolódó kockázati elemek:
a) a rendszerdokumentáció teljes vagy részleges hiánya;
b) az iratok követhető rendszerezettségének hiánya;
c) az aktualitás hiánya;
d) jogosulatlan, hibás, ismeretlen eredetű változtatás;
e) kontroll nélküli hozzáférés, sokszorosítás.
5. A szoftverekhez kapcsolódó veszélyforrások:
a) nem jogtiszta, ismeretlen szoftver alkalmazása;
b) szoftverhiba;
c) jogosulatlan hozzáférés, másolás lehetősége;
d) szoftver ellenőrizetlen bevitele az informatikai rendszerbe;
e) vírusveszély;
f) szándékos vagy gondatlan kezelési, karbantartási hiba;
g) a szoftver sérülése, károsodása hardverhiba miatt;
h) dokumentációk hiánya, sérülése.
6. Az alkalmazói tevékenységgel, adatokkal összefüggő kockázati elemek:
a) adatvesztés, károsodás hardver- vagy szoftverhiba miatt;
b) teljes vagy részleges adatvesztés hibás adathordozó miatt;
c) a jogosult adatkezelő által szándékosan vagy tévedésből végzett adattörlés, módosítás;
d) jogosulatlan adatkezelő által végzett másolás, törlés, módosítás;
e) hibás adatkezelés ismerethiány miatt;
f) kezelési előírások, oktatás hiánya.
7. Fenyegető tényezők a kommunikáció területén:
a) jogosulatlanok bejutása a hálózatba nem ellenőrizhető csatlakozás révén;
b) hálózati hardverek és szoftverek szándékos vagy gondatlan manipulálása;
c) adatforgalom lehallgatása;
d) váratlan forgalmazási akadályok, az átvitelt zavaró befolyások;
e) üzenetvesztés, üzenet megváltoztatása;
f) az adatátviteli eszközök sérülése, károsodása.
8. Személyhez fűződő veszélyforrások:
a) hibás adatkezelés ismerethiány vagy fáradtság, figyelmetlenség miatt;
b) az adatkezelésre vonatkozó előírások figyelmen kívül hagyása hiányos „biztonságtudat” miatt, a fenyegetettség lebecsülése;
c) szándékosan hibás adatkezelés belső késztetés vagy külső ráhatás következményeként;
d) jogosulatlan hozzáférés;
e) az ellenőrzés hiánya.

5. függelék

KIMUTATÁS
közérdekű adat megismerésére vonatkozó igénnyel kapcsolatos költség előzetes
és utólagos elszámolásához, munkaidő-elszámoláshoz
BM/…………-……/20…/ számú ügyirathoz
1.     Adatszolgáltatás előkalkulációhoz:

Az adatszolgáltatásért felelős vezető megnevezése:

 

Feladatvégzésre kijelölt neve:

 

Feladatvégzésre kijelölt beosztása:

 

A feladat megérkezésesének időpontja:

 

Feladatvégzés tervezett munkaidőigénye: …… óra
Feladatvégzés tervezett anyagköltsége:

adatok lapban

színes

fekete-fehér

Fénymásolatok száma

A/4

A/3

Feladatvégzéshez szükséges adathordozók száma: ……… db
Az adatszolgáltatásért felelős vezető aláírása: ……………………………
2.     Adatszolgáltatás várható költsége:
Pénzügyi Erőforrás-gazdálkodási Főosztály vezetőjének nyilatkozata az adatigénylés várható költségéről:
Dologi költség:    …………………
Személyi költség:    …………………
Összesen:    …………………
4 munkaórát meghaladja: igen/nem
Az összeghatár mértéke az 5000 Ft-ot meghaladja: igen/nem
Számviteli bizonylat kiállítható: igen/nem
…………………………………………
aláírás/dátum
3.     Munkalap:

 

Kezdés

Befejezés

………………………………….

 

 

 

Összesen: …………………… óra

Feladatvégzés anyagköltsége:

adatok lapban

színes

fekete-fehér

Fénymásolatok száma

A/4

A/3

Feladatvégzéshez igénybe vett adathordozók száma: ……… db


A feladat elvégzését követően az ügyintéző aláírása:


A feladat elvégzését igazoló vezető aláírása:

4. Tényleges költségek kimutatása:

Pénzügyi/személyügyi szervezeti egység bérkimutatása (óra/Ft)

Dologi költség:    …………………
Személyi költség:    …………………
Összesen:    …………………

Pénzügyi vezető aláírása:


Minden ügyintéző külön munkaidő-elszámolást tölt ki.
A kitöltött és aláírt elszámolást az Iratkezelési és Adatvédelmi Főosztályra kell elektronikusan megküldeni.

6. függelék

Az Infotv. 28. § (2) bekezdése alapján az igénylő költségtérítés megfizetésének
teljesítéséhez szükséges személyes adatai
A közérdekű adat megismerésére vonatkozó igény tárgya:
Az igénylő
Neve:     
Címe:     
Adóazonosító jele/adószáma:     
Számlázásra vonatkozó adatok:
Számlázási név:     
Számlázási cím:     
Kelt …………………… év …………… hó …… nap
Az Ön személyes adatait a Belügyminisztérium mint adatkezelő a számviteli bizonylat kiállításához használja fel. Az adatkezelés idejére és az adatok átadásának szabályaira a pénzügyi bizonylatok megőrzésére és ellenőrzésére vonatkozó törvényi előírások az irányadóak. A Belügyminisztérium a személyes adatokat harmadik fél számára csak külön törvényben foglaltak alapján megfelelő jogalap fennállása esetén adja át.
1

Az utasítást a 25/2018. (XII. 28.) BM utasítás 3. §-a hatályon kívül helyezte 2019. január 2. napjával.

2

A 3. § a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

  • Másolás a vágólapra
  • Nyomtatás
  • Hatályos
  • Már nem hatályos
  • Még nem hatályos
  • Módosulni fog
  • Időállapotok
  • Adott napon hatályos
  • Közlönyállapot
  • Indokolás
Jelmagyarázat Lap tetejére