15/2018. (V. 25.) ORFK utasítás
15/2018. (V. 25.) ORFK utasítás
az ideiglenes adatvédelmi szabályzatáról1
2018.05.27.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény 6. § (1) bekezdés b) pontjában foglaltak alapján a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és Tanács 2016/679 számú rendelete 24. cikk (2) bekezdésében, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 30. § (6) bekezdésében meghatározottak végrehajtása érdekében kiadom az alábbi utasítást:
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. Az utasítás területi hatálya kiterjed
a) az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK);
b) a Készenléti Rendőrségre, a Repülőtéri Rendőr Igazgatóságra, a Nemzetközi Bűnügyi Együttműködési Központra, a Rendőrségi Oktatási és Kiképző Központra, a Nemzetközi Oktatási Központra, a megyei (fővárosi) rendőr-főkapitányságokra (a továbbiakban együtt: területi szervek);
c) a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban együtt: helyi szervek)
[az a)–c) alpontok a továbbiakban együtt: rendőrségi adatkezelő szervek].
2. Az utasítás hatálya kiterjed a rendőrségi adatkezelő szervek kezelésében lévő közérdekű adatokra és közérdekből nyilvános adatokra vonatkozó, az információszabadsággal kapcsolatos követelmények teljesülésének biztosítására.
3. A bűncselekmények megelőzése, felderítése, a büntetőeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása céljából történő, valamint a közbiztonságot fenyegető veszélyekkel szembeni védelmet és ezen veszélyek megelőzését szolgáló adatkezelés tervezése, illetve végrehajtása kapcsán – jogszabály eltérő rendelkezése hiányában – az utasításnak a hozzájáruláson alapuló adatkezelésre, az adatvédelmi hatásvizsgálat lefolytatására, az adatvédelmi incidens bejelentésére és az előzetes konzultációra vonatkozó rendelkezései nem alkalmazhatók.
4. A minősített adatok kezelésére vonatkozó jogszabály eltérő rendelkezésének hiányában az utasítást alkalmazni kell a minősített adathordozóban szerepeltetett személyes adatok kezelése során is.
5. A Rendőrség adatkezelési tevékenységében állandó vagy eseti jelleggel részt vevő vagy abban közreműködő, a Rendőrség érdekkörében adatfeldolgozóként vagy közös adatkezelőként eljáró természetes és jogi személyekkel, jogi személyiséggel nem rendelkező szervezetekkel kötendő szerződésekben, megállapodásokban érvényesíteni kell a személyes adatok kezelésére vonatkozóan az utasításban meghatározott követelményeket.
6. Az utasításban foglaltakat kell alkalmazni a rendőrségi adatkezelő szervek által folytatott adatkezelési műveletekre az adatok megjelenési formájától függetlenül, az adatkezelés teljes folyamatára kiterjedően – az adatok megszerzésétől vagy a rendőrségi szervnél történő keletkezésétől azok törléséig, illetve megsemmisítéséig –, függetlenül attól, hogy az adatok valamely nyilvántartási rendszer vagy valamely ügyben keletkezett irat részét képezik-e.
1. Alapelvek
7. A rendőrségi adatkezelő szerv
a) köteles a személyes adatok kezelését – jogszabály eltérő rendelkezése hiányában – az érintett számára átlátható módon kialakítani és végrehajtani;
b) személyes adatot csak meghatározott, egyértelmű és jogszerű célból – az adatkezelésre vonatkozó jogszabályi előírások figyelembevételével – gyűjthet, rögzíthet vagy vehet át, személyes adatot az eredeti céllal össze nem egyeztethető célból nem kezelhet, a kellően pontosan meghatározható cél nélküli adatkezelés, így különösen az adatok készletező gyűjtése tilos;
c) kizárólag az adatkezelés céljai szempontjából szükséges, megfelelő és releváns adatokat kezelhet;
d) intézkedéseket hoz és hajt végre annak érdekében, hogy az adatkezelés céljai szempontjából felesleges vagy pontatlan személyes adatok haladéktalanul törlésre vagy – amennyiben az adatkezelés jellegéből fakadóan az értelmezhető – helyesbítésre kerüljenek;
e) biztosítja, hogy az érintett azonosítására alkalmas személyes adatok csak az adatkezelés céljainak eléréséhez szükséges ideig kerüljenek megőrzésre, a cél elérését követően az adatok – a vonatkozó jogszabályi rendelkezések által meghatározott keretek között – közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból őrizhetők meg;
f) biztosítja a személyes adatok zárt, teljes körű, folytonos és kockázatokkal arányos védelmét, szervezési és technikai intézkedéseket tesz különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelem kialakítása érdekében;
g) biztosítja a gyermekek és más kiszolgáltatott érintetti csoportok különös védelmét, a kifejezetten rájuk vonatkozó adatkezelés kapcsán minden tájékoztatást és kommunikációt olyan módon hajt végre, amelyet az érintettek könnyen megérthetnek.
8. A rendőrségi adatkezelő szerv vezetője köteles az alapelveknek történő megfelelést – ahol az értelmezhető, dokumentált módon – igazolni, így különösen az érintett jogainak biztosítása és hozzájárulásának megszerzése kapcsán, a végrehajtott ellenőrzésekre és oktatásokra, az előírt nyilvántartások vezetésére, továbbá az adatvédelmi hatásvizsgálatokhoz kapcsolódó feladatokra vonatkozóan.
2. Értelmező rendelkezések
9. Az utasítás alkalmazásában:
a) adatbiztonság: a személyes adatok jogosulatlan vagy jogellenes kezelése, véletlen elvesztése, megsemmisítése vagy károsodása elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége, az adatkezelés azon állapota, amelyben a kockázati tényezőket – és ezáltal a fenyegetettséget – az alkalmazott védelmi intézkedések a minimálisra csökkentik;
b) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármely eljárással előállított, személyes adatot tartalmazó vagy azt megjelenítő tárgy vagy eszköz;
c) adatvédelem: a személyes adatok jogszerű kezelését, az érintett személyek védelmét és információs önrendelkezési jogának teljesülését biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége;
d) adatvédelmi hatásvizsgálat: a rendőrségi adatkezelő szerv által a valószínűsíthetően magas kockázatot jelentő adatkezelés megkezdése előtt lefolytatott, majd azt követően rendszeresen ismételt eljárás, amelynek célja az érintett természetes személyek jogaira nézve gyakorolt hatások vizsgálata, és a magas kockázatú adatkezelési műveletek jelentette kockázatok mérséklése;
e) egységes elektronikus adatvédelmi nyilvántartás: a rendőrségi adatkezelő szervek által végzett adatkezelési tevékenységeket összesítő egységes nyilvántartás;
f) hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely jelzések, adatok, információk továbbítására, fogadására alkalmas, így különösen azok a készülékek, amelyek egy vagy több fogadó személy számára kép, hang, adat továbbítására alkalmasak, így például a távbeszélő, a rádió, valamint az elektronikus adatátviteli lehetőséget biztosító eszköz;
g) hordozható eszköz: olyan hardver eszköz, amely adathordozó vagy adathordozót tartalmaz, és funkcionalitása a könnyű szállítást és használhatóságot biztosítja;
h) hozzáférési jogosultság: az a jogosultság, amelynek birtokában a jogosult személy számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes adatok;
i) közös adatkezelés: olyan adatkezelés, amely esetében a rendőrségi adatkezelő szerv a feladatkörébe tartozó adatkezelés céljait és eszközeit más adatkezelő szervvel közösen határozza meg, így különösen a közös elektronikus információs rendszer vagy adatkezelési felület alkalmazása;
j) közvetlen hozzáférési jogosultság: adott adatállomány informatikai alkalmazás igénybevételével kezelt adatainak megismeréséhez adott olyan jogosultság, amely a jogosultnak lehetőséget biztosít arra, hogy az adatállományban kezelt adatokhoz az általa megválasztott időpontban közvetlen lekérdezéssel hozzáférjen;
k) közvetlen lekérdezés: az adott adatállományban kezelt adatokba – az adatkezelő által előzetesen rendelkezésre bocsátott általános lekérdezési jogosultság felhasználásával – előre meghatározatlan időpontban és alkalommal, naplózott formában történő betekintés, valamint a lekérdező döntése alapján az így megismerhetővé vált információk kinyomtatása vagy más módon történő rögzítése.
II. FEJEZET
RÉSZLETES RENDELKEZÉSEK
3. A rendőrségi adatkezelő szerv vezetőjének feladatai
10. A rendőrségi adatkezelő szerv vezetője az általa vezetett rendőrségi adatkezelő szerv vonatkozásában felel
a) az adatvédelmi és adatbiztonsági intézményrendszer kiépítéséért és működtetéséért;
b) a személyes adatok védelméhez és az információszabadsággal kapcsolatos követelmények érvényesüléséhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések meghozataláért;
c) az alárendelt személyi állomány adatvédelmi oktatásáért és rendszeres továbbképzéséért;
d) a rendszeres adatvédelmi ellenőrzésért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, ennek érdekében a hatáskörébe tartozó eljárások lefolytatásáért;
e) az érintett jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételek biztosításáért;
f) az adatvédelmi hatásvizsgálatok lefolytatásáért és rendszeres felülvizsgálatáért, valamint az ahhoz szükséges feltételek biztosításáért;
g) az adatvédelmi hatásvizsgálat eredményének függvényében előzetes konzultáció kezdeményezéséért a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (a továbbiakban: NAIH);
h) az adatvédelmi incidensek nyilvántartásáért, a jogszabályi feltételek fennállása esetén a NAIH részére határidőben történő bejelentéséért, valamint az adatvédelmi incidenssel érintettek tájékoztatásáért;
i) az adatvédelmi feladatok ellátására alkalmas adatvédelmi tisztviselő kijelöléséért, nevének és elérhetőségének a NAIH részére történő bejelentéséért, és arról az ORFK adatvédelmi tisztviselőjének tájékoztatásáért;
j) az adatvédelmi tisztviselő feladatainak végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükséges feltételek és források biztosításáért;
k) az adatvédelmi tevékenységgel kapcsolatos közzétételi kötelezettség teljesítéséért;
l) a közérdekű adatokra és közérdekből nyilvános adatokra irányuló adatigénylések határidőben történő megválaszolásáért.
4. Az adatvédelmi tisztviselő és adatvédelmi megbízott
11. Az országos rendőrfőkapitány és a területi szervek vezetője az adatvédelemmel kapcsolatos tevékenység jogszerűségének, valamint az érintetti jogok érvényesülésének biztosítása érdekében a rendőrségi adatkezelő szerv állományából adatvédelmi tisztviselőt jelöl ki.
12. A megyei (fővárosi) rendőr-főkapitányság adatvédelmi tisztviselője ellátja a megyei (fővárosi) rendőr-főkapitányság alárendeltségébe tartozó helyi szervek adatvédelmi tisztviselői feladatait is.
13. A rendészeti, bűnügyi, gazdasági és személyügyi országos rendőrfőkapitány-helyettesek az irányításuk alatt álló szervezeti egység állományából az adatvédelmi feladatokat támogató adatvédelmi megbízottat jelölnek ki, az ORFK szervezeti elemei adatvédelmi megbízottat jelölhetnek ki, akik közreműködnek a személyes adatok jogszerű kezelését biztosító feladatok végrehajtásában.
14. A területi szerv tevékenységéhez kapcsolódóan az érintettek jogaira nézve fennálló kockázatok mértéke, valamint az ellátandó feladatok jellege, összetettsége és mennyisége alapján a területi szerv vezetője az adatvédelmi tisztviselő tevékenységének támogatása érdekében a területi szerv állományából adatvédelmi megbízottat vagy megbízottakat jelölhet ki.
15. A helyi szerv vezetője köteles az adatvédelmi tisztviselő tevékenységének támogatása érdekében a szerv állományából adatvédelmi megbízottat kijelölni.
16. Az adatvédelmi tisztviselő az adatvédelmi megbízott számára az utasításban meghatározottak végrehajtása céljából végzett tevékenységének a területi vagy a helyi szervnél történő végrehajtásában történő közreműködés érdekében feladatot határozhat meg.
17. Az adatvédelmi tisztviselőt a személyes adatok védelme területén szerzett ismeretei és gyakorlati tapasztalatai, valamint a számára jogszabályban vagy normában meghatározott feladatok ellátására való alkalmasság alapján, írásban kell kijelölni.
18. Nem lehet olyan személyt kijelölni adatvédelmi tisztviselőnek, akinek a Polgári Törvénykönyvről szóló 2013. évi V. törvény szerinti hozzátartozója az adatkezelő szervnél adatkezeléssel kapcsolatos döntések meghozatalára jogosult személy.
19. Az adatvédelmi tisztviselő munkaköri leírásának tartalmaznia kell a főbb ellátandó feladatait, különösen azt, hogy ezen tevékenységét mely szervek vonatkozásában végzi.
20. Az adatvédelmi tisztviselő kijelöléséről az ORFK adatvédelmi tisztviselőjét soron kívül tájékoztatni kell, nevét és elérhetőségét a NAIH nyilvántartásába be kell jelenteni.
21. Az adatvédelmi tisztviselő számára feladatainak ellátása céljából, az ahhoz szükséges mértékben biztosítani kell a minősítéssel védett iratokba történő betekintést, és az ennek jogszerű gyakorlásához szükséges személyi biztonsági feltételeknek történő megfelelést.
22. Adatvédelmi tisztviselőnek felsőfokú végzettséggel rendelkező személy jelölhető ki. Az adatvédelmi tisztviselő az ORFK adatvédelmi tisztviselője által szervezett képzést követő vizsga teljesítésével igazolja a szükséges adatvédelmi ismeretek meglétét.
23. Az adatvédelmi tisztviselő a kijelölését követő 60 napon belül köteles vizsgát tenni. Sikertelen vizsga esetén legfeljebb két alkalommal, a kijelölését követő 60 napon belül megismételt vizsgát tehet. A vizsgák sikertelensége esetén a rendőrségi adatkezelő szerv vezetője köteles más adatvédelmi tisztviselőt kijelölni.
24. Az adatvédelmi megbízott a területi szerv adatvédelmi tisztviselője által szervezett vizsgát tesz.
25. A rendőrségi adatkezelő szerv vezetője köteles bevonni az adatvédelmi tisztviselőt a személyes adatok védelmét érintő döntések, így különösen az adatvédelmet érintő normák, szerződések, együttműködési megállapodások és adatkezelésekre vonatkozó döntések előkészítésébe és kidolgozásába.
26. A rendőrségi adatkezelő szerv vezetője biztosítja az adatvédelmi tisztviselő, valamint – az adatvédelmi tisztviselő által az adatvédelmi megbízott számára meghatározott feladata kapcsán eljárva – az adatvédelmi megbízott számára a hozzáférést a feladatai végrehajtásához szükséges elektronikus rendszerekhez, iratokhoz, egyéb adathordozókhoz, valamint a szakmai ismeretei naprakészen tartásához szükséges feltételeket, jogosultságokat és erőforrásokat rendelkezésére bocsátja.
27. A rendőrségi adatkezelő szerv vezetője biztosítja annak lehetőségét, hogy az állomány bármely tagja a hivatali út betartása nélkül, továbbá az adatkezeléssel érintett egyéb személyek közvetlenül és egyszerű módon fordulhassanak az adatvédelmi tisztviselőhöz.
28. Az adatvédelmi tisztviselő a rendőrségi adatkezelő szervnél más feladatokat is elláthat, azonban a rendőrségi adatkezelő szerv köteles biztosítani, hogy ezekből a más feladatokból adódóan ne keletkezzen összeférhetetlenség, és az egyéb munkaköri feladatok ellátása nem veszélyeztetheti az adatvédelmi tisztviselői feladatok ellátását.
29. Amennyiben az adatvédelmi tisztviselő a szervezetben betöltött helye vagy beosztása miatt az utasításban foglalt feladataitól eltérő célból is jogosult személyes adatok kezelésének célját meghatározni vagy adatkezeléssel kapcsolatos döntéseket meghozni, az összeférhetetlenség megelőzése érdekében köteles az e körbe tartozó tevékenységét az ORFK adatvédelmi tisztviselőjének bejelenteni. Ezen tevékenység jóváhagyása esetén az adatvédelmi tisztviselő ebbe a körbe tartozó tevékenységét az ORFK adatvédelmi tisztviselője ellenőrizheti.
30. Az adatvédelmi megbízott feladatainak ellátásához szükséges feltételeket a foglalkoztató rendőrségi adatkezelő szerv biztosítja.
31. Az adatvédelmi tisztviselő elősegíti, hogy a rendőrségi adatkezelő szerv az adatvédelmi követelményeknek – megfelelően dokumentált módon – eleget tegyen, így különösen:
a) az adatvédelemre vonatkozó jogszabályokban, közjogi szervezetszabályozó eszközökben és belső normákban foglalt jogi előírásokról, kötelezettségekről naprakész tájékoztatást, illetőleg érvényesítésüket szolgáló tanácsot ad a rendőrségi adatkezelő szerv állományának tagjai számára;
b) részt vesz az adatvédelmet érintő belső normák kidolgozásában és közreműködik az adatkezeléssel járó vagy azt eredményező döntések előkészítésében;
c) elősegíti a rendőrségi adatkezelő szerv állománya adatvédelmi és adatbiztonsági tudatosságának növelését, ennek érdekében szervezi az adatkezelési folyamatokban részt vevő állomány képzését;
d) megvizsgálja az új adatkezelések és adatkezelésekkel kapcsolatos döntések következtében az érintettek jogaira nézve megjelenő kockázatokat, a valószínűsíthetően magas kockázatot jelentő adatkezelésekre vonatkozóan kezdeményezi a rendőrségi adatkezelő szerv vezetőjénél az adatvédelmi hatásvizsgálat lefolytatását;
e) szakmai tanácsaival segíti és felügyeli az adatvédelmi hatásvizsgálat lefolytatását, a hatásvizsgálatról szóló jelentés elkészítését;
f) rendszeresen és dokumentált módon felülvizsgálja az adatvédelmi hatásvizsgálattal érintett adatkezelések változásait és az ismételt vizsgálat lefolytatásának szükségességét;
g) közreműködik a NAIH-val folytatott előzetes konzultáció lefolytatásában, annak szükségességéről előzetesen kikéri az ORFK adatvédelmi tisztviselőjének véleményét;
h) tevékenysége során együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és hatóságokkal, így különösen kapcsolatot tart a NAIH-val, közreműködik a rendőrségi adatkezelő szervet érintő vizsgálatok lefolytatásában és az ezekkel összefüggő megkeresések megválaszolásában;
i) kivizsgálja a rendőrségi adatkezelő szerv adatkezelésével összefüggésben érkező panaszokat és kifogásokat, kezdeményezi a panasz orvoslásához szükséges intézkedések megtételét, közreműködik az érintettek jogainak gyakorlásában;
j) előkészíti az érintett személyes adatai kezeléséhez kapcsolódó jogai gyakorlása során, valamint vezetői döntés alapján, az abban meghatározott körben az információszabadsággal kapcsolatban előterjesztett kérelmekre vonatkozó döntéseket;
k) a rendőrségi adatkezelő szerv vezetője által jóváhagyott ellenőrzési tervet készít, a tervben foglaltak szerint – szükség esetén, így különösen adatvédelmi incidens bekövetkezése miatt ezen túlmenően is – ellenőrzi a rendőrségi adatkezelő szervnél az adatvédelmi és adatbiztonsági követelmények megtartását;
l) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény szerint meghatározott adatgazda közreműködésével ellenőrzi a rendőrségi adatkezelő szerv és harmadik felek elektronikus információs rendszereihez kapcsolódó hozzáférési jogosultságokról szóló nyilvántartás naprakész vezetését és rendszeres felülvizsgálatát;
m) ellenőrzi az országos nyilvántartásokból történő lekérdezések során a célhoz kötött adatkezelés elvének érvényesülését;
n) ellenőrzi az adattovábbításhoz kapcsolódó naplózási és nyilvántartási tevékenységet;
o) az adatkezeléssel kapcsolatos előírások megszegésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására, és a hiányosságokat a szolgálati út betartásával – amennyiben emiatt a szolgálati vagy adatvédelmi érdek sérelmet szenvedne, úgy közvetlenül – jelzi a rendőrségi adatkezelő szerv vezetőjének, indokolt esetben kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását;
p) közreműködik az adatvédelmi incidensek kivizsgálásában, vezeti a rendőrségi adatkezelő szerv adatvédelmi incidens nyilvántartását, és a vizsgálat eredménye alapján – az ORFK adatvédelmi tisztviselőjének egyidejű értesítése mellett – a jogszabályi feltételek fennállása esetén bejelenti azt a NAIH részére, és amennyiben szükséges, intézkedik az érintettek tájékoztatására;
q) vezeti a rendőrségi adatkezelő szerv 56. pont szerinti adatvédelmi nyilvántartását;
r) felügyeli a rendőrségi adatkezelő szerv adatszolgáltatási tevékenységét, különös tekintettel a nemzetközi együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségével kapcsolatban;
s) segíti az alárendelt rendőri szerv adatvédelmi tevékenységét;
t) tájékoztatja az ORFK adatvédelmi tisztviselőjét a rendőrségi adatkezelő szervnél végezni tervezett új adatkezelésekről, és az egységes elektronikus adatvédelmi nyilvántartásba történő rögzítés érdekében megküldi az adatkezelésre vonatkozó dokumentációt, így az adatkezelési adatlapot, az adatkezelési tájékoztatót, valamint – amennyiben az adatkezelés tekintetében szükséges az adatvédelmi hatásvizsgálat elkészítése – a hatásvizsgálati jelentést;
u) évente, a tárgyévet követő március 31-éig értékeli a rendőrségi adatkezelő szerv adatvédelmi és adatbiztonsági helyzetét, az erről készült jelentést az ORFK adatvédelmi tisztviselőjének a tárgyévet követő április 15-éig megküldi;
v) személyes adatot nem tartalmazó kimutatást vezet a közérdekű és a közérdekből nyilvános adatok megismerése iránt benyújtott és elutasított kérelmekről, az elutasítás indokairól, amelyekről – a rendőrségi adatkezelő szerv vezetőjének felterjesztett jelentésben – a tárgyévet követő év január 15-éig tájékoztatja az ORFK adatvédelmi tisztviselőjét;
w) személyes adatot nem tartalmazó kimutatást vezet az érintettnek a személyes adatai kezelésével kapcsolatos hozzáférésre, helyesbítésre, törlésre, tiltakozásra, valamint korlátozásra vonatkozóan benyújtott és elutasított kérelméről, az elutasítás indokairól, amelyekről – a rendőrségi adatkezelő szerv vezetőjének felterjesztett jelentésben – a tárgyévet követő év január 15-éig tájékoztatja az ORFK adatvédelmi tisztviselőjét;
x) vezeti a Belügyminisztérium Nyilvántartások Vezetéséért Felelős Helyettes Államtitkárság (a továbbiakban: BM NYHÁT) által vezetett adattárakból közvetlen lekérdezési jogosultság engedélyezésére feljogosított személyek névjegyzékét;
y) részt vesz a NAIH, illetve az ORFK adatvédelmi tisztviselője által szervezett képzéseken.
32. A rendőrségi adatkezelő szerv adatvédelmi és adatbiztonsági helyzetét értékelő jelentés tartalmazza
a) a rendőri adatkezelő szervnél lefolytatott adatvédelmi ellenőrzések megállapításait;
b) az esetlegesen feltárt szabálytalanságokat, hiányosságokat és a megszüntetésükre tett intézkedéseket;
c) az érintettek megjelölése nélkül a rendőri adatkezelő szervek állományába tartozók ellen az adatvédelmi előírások megsértése miatt indított fegyelmi és büntetőeljárásokra vonatkozó adatokat;
d) a rendőri adatkezelő szerveknél lefolytatott oktatások és továbbképzések gyakorlatát;
e) a NAIH által esetlegesen lefolytatott vizsgálatok megállapításait, a megtett intézkedéseket és az esetleges adatvédelmi hatósági eljárást, az azt befejező határozat tartalmának összefoglalását;
f) a közérdekű és a közérdekből nyilvános adatok megismerésére irányuló adatigénylésekkel kapcsolatos értékelést;
g) az adatvédelmi incidensekkel kapcsolatos tájékoztatást;
h) az ORFK adatvédelmi tisztviselője által az adatvédelmi feladatok aktualitásaira figyelemmel előzetesen meghatározott szempontokat.
33. Az ORFK adatvédelmi tisztviselője az ORFK Hivatalának vezetője, aki tevékenységét az országos rendőrfőkapitány közvetlen irányítása alatt végzi.
34. Az ORFK adatvédelmi tisztviselője – a 31. pontban meghatározott feladatai mellett – ellátja a rendőrségi adatkezelő szervek adatvédelmi tevékenységének szakmai irányítását, amelynek keretében az ORFK Hivatal Biztonság-felügyeleti és Ügykezelési Osztály közreműködésével
a) az adatvédelmet érintő jogszabályok tervezeteinek koordinációja során kidolgozza és képviseli a Rendőrség álláspontját;
b) a beépített és alapértelmezett adatvédelem elvének teljesülése érdekében közreműködik az adatkezelésekre vonatkozó döntések előkészítésében és kidolgozásában;
c) állásfoglalásaival segíti a rendőrségi adatkezelő szervek adatvédelmi tevékenységét, az egységes gyakorlat kialakítását;
d) a Rendőrség adatkezelési tevékenységét érintő ügyekben kialakítja a Rendőrség álláspontját, kapcsolatot tart a NAIH képviselőivel, a rendészetért felelős minisztérium és a társszervek adatvédelmi tisztviselőivel;
e) gondoskodik a Rendőrség egységes elektronikus adatvédelmi nyilvántartásának vezetéséről;
f) összeállítja és közzéteszi az ORFK elektronikus adatvédelmi nyilvántartását;
g) figyelemmel kíséri a rendőrségi adatkezelő szervek által folytatott adatvédelmi hatásvizsgálatokat és az azok eredményeként meghatározott intézkedések végrehajtását;
h) vezeti a rendőrségi adatkezelő szervek által folytatott adatvédelmi hatásvizsgálatokról szóló nyilvántartást;
i) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy adatfeldolgozót, indokolt esetben vizsgálat lefolytatását kezdeményezi a rendőrségi adatkezelő szerv vezetőjénél;
j) vezeti a rendőrségi adatkezelő szervek adatvédelmi tisztviselőinek névjegyzékét és az elérhetőségeiket tartalmazó belső nyilvántartást, és intézkedik annak a Rendőrség intranetes oldalán történő hozzáférhetővé tétele érdekében;
k) ellenőrzi a rendőrségi adatkezelő szerveknél az adatkezelésre vonatkozó követelmények, valamint az információs önrendelkezési joggal, az információszabadsággal és az adatbiztonsággal kapcsolatos jogszabályok és belső normák betartását;
l) továbbítja a BM NYHÁT felé az ORFK állományába tartozó egyéni felhasználók közvetlen hozzáférési jogosultságának igénylését és visszavonását, gondoskodik az ezzel kapcsolatos nyilvántartás vezetéséről;
m) továbbképzést szervez a rendőrségi adatkezelő szervek adatvédelmi tisztviselői és szükség szerint az adatvédelmi megbízottai számára;
n) az adatvédelmi tisztviselők jelentései alapján évente április 30-áig elkészíti a Rendőrség adatvédelmi helyzetéről szóló jelentést;
o) évente – a tárgyévet követő év január 31-éig – tájékoztatja a NAIH elnökét a rendőrségi adatkezelő szervek által a személyes adatok kezelésével kapcsolatos elutasított kérelmekről és azok indokairól;
p) évente – a tárgyévet követő év január 31-éig – tájékoztatja a NAIH elnökét a rendőrségi adatkezelő szervek által a közérdekű adatok, közérdekből nyilvános adatok megismerésére irányuló elutasított kérelmekről, valamint az elutasítás indokairól.
5. A hozzájáruláson alapuló adatkezeléshez kapcsolódó elvárások
35. A rendőrségi adatkezelő szerv által személyes adatok különleges kategóriáiba tartozó adat az érintett hozzájárulása alapján abban az esetben kezelhető, ha az adatkezeléshez az érintett írásban járult hozzá.
36. Nem tekinthető önkéntesnek a hozzájárulás, így nem alkalmazható jogalapként olyan adatkezelések során, ahol az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, illetve a hozzájárulás megtagadása vagy visszavonása számára kárt okozna. Nem tekinthető a hozzájárulás önkéntesnek akkor sem, ha az érintettnek nincs lehetősége külön-külön hozzájárulás adására, illetve a hozzájárulás megtagadására a különböző személyes adatkezelési műveletek vagy adatkörök vonatkozásában.
6. Közös adatkezelés
37. A rendőrségi adatkezelő szerv vezetője a közös adatkezelés megkezdése előtt megállapodást köt a közös adatkezelővel, amelyben az adatvédelmi jogszabályok által előírt kötelezettségek teljesítéséért fennálló, feladataikkal összefüggő felelősségük megosztását meg kell határozni, kivéve, ha a felelősség megosztása jogszabályban rendezett. A megállapodásban nem zárható ki az érintetti jogok gyakorlásával kapcsolatos feladatok valamelyik fél általi teljesítésének kötelezettsége.
38. A közös adatkezelésre vonatkozó legfontosabb szempontokról – az adatok érintettől történő felvétele esetén az adatok felvételekor, amennyiben ez nem lehetséges vagy az adatokat a rendőrségi adatkezelő szerv nem közvetlenül az érintettől szerzi be, úgy a Rendőrség internetes honlapján közzétett elektronikus adatvédelmi nyilvántartásban hozzáférhetővé tett tájékoztatóval – az érintettet tájékoztatni kell.
7. Adatfeldolgozó igénybevételének szabályai
39. Az adatfeldolgozói szerződésben az alábbi – az adatfeldolgozóra vonatkozó – kötelezettségeket kell rögzíteni:
a) az adatfeldolgozó az átvett adatokat, beleértve a személyes adat harmadik ország vagy nemzetközi szervezet számára továbbításának esetét is – jogszabályon alapuló adatkezelés kivételével – kizárólag a rendőrségi adatkezelő szerv írásbeli utasításai alapján, annak keretei között kezeli;
b) az adatfeldolgozó köteles megakadályozni az adatokhoz történő jogosulatlan, illetve jogosultságot meghaladó mértékű hozzáférést, amelynek érdekében kötelezettséget vállal arra, hogy az adattovábbítással érintett adatok kezelésére feljogosított személyek – jogszabályon alapuló megfelelő titoktartási kötelezettség hiányában – titoktartási kötelezettséget vállalnak;
c) gondoskodik a jogszabály által meghatározott adatbiztonsági követelményeknek való maradéktalan megfelelőségről, annak legfontosabb jellemzőiről tájékoztatja a rendőrségi adatkezelő szervet az adatkezelésre vonatkozó tájékoztató elkészítése és az adatvédelmi hatásvizsgálat teljes körű lefolytathatósága érdekében;
d) az adatfeldolgozó vállalja, hogy a rendőrségi adatkezelő szerv előzetes írásbeli hozzájárulása nélkül nem vesz igénybe további adatfeldolgozót, a további adatfeldolgozó igénybevétele esetén pedig az betartja a rendőrségi adatkezelő szerv, valamint az adatfeldolgozó között létrejött adatfeldolgozói szerződésben foglaltakat;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) az adatfeldolgozó köteles segítséget nyújtani a rendőrségi adatkezelő szerv részére az érintett tájékoztatásra vonatkozó kötelezettségének teljesítése során, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) az adatfeldolgozó köteles az adatfeldolgozói szerződés teljesítését követően – a rendőrségi adatkezelő szerv döntése alapján – valamennyi, a részére átadott személyes adatot törölni, megsemmisíteni vagy azokat visszajuttatni a rendőrségi adatkezelő szerv részére, beleértve az arról készített másolatokat is, kivéve, ha jogszabály a személyes adatok további tárolását írja elő, vagy azok az alkalmazott technikai megoldások jellemzőiből eredően nem törölhetők;
h) az adatfeldolgozó köteles a rendőrségi adatkezelő szerv rendelkezésére bocsátani minden olyan információt, amely az adatfeldolgozói tevékenységből származó kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti a rendőrségi adatkezelő szerv vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
40. A rendőrségi adatkezelő szerv kizárólag olyan adatfeldolgozót vehet igénybe, aki vagy amely megfelelő garanciát nyújt az adatkezelés jogszabályban foglalt követelményeinek történő megfelelés, és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. A rendőrségi adatkezelő szerv ezzel kapcsolatos döntésének előkészítésében az adatvédelmi tisztviselő és az érintett rendőri szerv elektronikus információbiztonságért felelős vezetője közreműködik.
41. Az adat megismerésére vagy továbbítására vonatkozó kérelem esetén az érdemi döntést a rendőrségi adatkezelő szerv vezetője vagy az általa kijelölt személy köteles, illetve jogosult meghozni, erre az adatfeldolgozó figyelmét az adatfeldolgozói szerződésben is fel kell hívni.
8. Az adatvédelmi hatásvizsgálat lefolytatása és az előzetes konzultáció kezdeményezése
42. Az adatkezelést előíró vagy a végrehajtása során adatkezelést eredményező döntés, így különösen az adatkezelő szerv hatáskörébe tartozó, az adatok korábbiaktól eltérő kezelését előíró norma, eljárásrend, valamint az azt eredményező eszköz, nyilvántartás vagy elektronikus információs rendszer alkalmazásának előkészítése során az adatvédelmi tisztviselő előzetes adatvédelmi kockázatelemzést végez, ennek keretében azonosítja az adatkezeléssel érintett személy jogaira nézve megjelenő – jogszabály által vagy a NAIH joggyakorlatában nevesített – lehetséges kockázatokat.
43. Az adatvédelmi tisztviselő kockázatelemzési feladata kapcsán kikérheti a tervezett adatkezelés által érintett személyek, a döntés végrehajtásáért felelős szakterület, valamint az azzal érintett elektronikus információs rendszerek üzemeltetésében részt vevő vagy biztonságáért felelős személyek véleményét, azonban az nem eredményezheti a döntés előkészítésének szükségtelen elhúzódását.
44. Amennyiben a tervezett adatkezelés kapcsán annak körülményeire, így különösen céljára, az érintettek körére, az adatkezelési műveletek során alkalmazott technológiára tekintettel – az adatkezeléssel várhatóan érintett személyek jogaira nézve – valószínűsíthetően magas kockázatot az adatvédelmi tisztviselő nem azonosít, vagy megállapítható, hogy az adatkezelés az adatvédelmi hatásvizsgálat lefolytatása alóli mentesítést tartalmazó valamely jogszabályban meghatározott kivételi körbe tartozik, úgy ennek tényét írásban rögzíti. Az adatvédelmi tisztviselő az adatkezelés megkezdését követően köteles ezt bejegyezni az adatkezeléshez kapcsolódó dokumentációba, így különösen feltüntetni a rendőrségi adatkezelő szerv adatvédelmi nyilvántartásában.
45. Az adatvédelmi tisztviselő – a döntése alapjául szolgáló legfontosabb szempontokat írásban megjelölve – adatvédelmi hatásvizsgálat lefolytatását kezdeményezi a rendőrségi adatkezelő szerv vezetőjénél
a) a jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési tevékenységek esetén;
b) a dokumentált módon lefolytatott előzetes kockázatelemzés eredményeként valószínűsíthetően magas kockázatot jelentő adatkezelésként azonosított tevékenységek, folyamatok vagy tervezetek esetében.
46. A rendőrségi adatkezelő szerv vezetője az adatvédelmi tisztviselő javaslatára elrendeli az adatvédelmi hatásvizsgálat lefolytatását vagy írásban rögzíti mellőzésének okait és az adatvédelmi tisztviselő kapcsolódó álláspontját. Az adatvédelmi hatásvizsgálat lefolytatásáig vagy az annak elmaradásával kapcsolatos okok írásban történő rögzítéséig az adatkezelésről szóló döntés nem hozható meg.
47. Az adatvédelmi hatásvizsgálat lefolytatására a döntés végrehajtásáért felelős szakterület, valamint az azzal érintett elektronikus információs rendszerek üzemeltetését ellátó vagy az elektronikus vagy fizikai biztonságáért felelős szakterület résztvevőt jelöl ki. Az adatvédelmi hatásvizsgálat lefolytatását az adatvédelmi tisztviselő támogatja, abban az adatvédelmi megbízott részt vehet. Amennyiben annak jogszabályban meghatározott feltételei fennállnak, akkor ki kell kérni az adatkezeléssel érintett személyek vagy az azok képviseletét ellátó szervezet kapcsolódó véleményét.
48. Az adatvédelmi hatásvizsgálat során keletkezett iratok esetében vizsgálni kell, hogy azok tartalmaznak-e a rendőrségi adatkezelő szerv döntését előkészítő olyan adatokat, amelyekre figyelemmel szükséges a „Nem nyilvános!” jelzés feltüntetése.
49. A rendőrségi adatkezelő szerv vezetője köteles megvizsgálni, hogy a hatásvizsgálat során keletkezett adatok vagy azok egy része esetében fennállnak-e a minősítés jogszabályban meghatározott feltételei.
50. Az adatvédelmi hatásvizsgálat eredményeiről minősített adatot nem tartalmazó összefoglaló jelentést kell készíteni, amely tartalmazza
a) a hatásvizsgálat lefolytatásának okait;
b) a hatásvizsgálatra vonatkozó szerep- és felelősségi köröket;
c) a hatásvizsgálat során alkalmazott módszertan leírását;
d) az adatkezelés folyamatának bemutatását;
e) az adatvédelmi alapelveknek történő megfelelést;
f) az érintetti jogok biztosításának módját;
g) az érintettek alapvető jogainak érvényesülését fenyegető kockázatok leírását és jellegét;
h) az adatbiztonsági intézkedések értékelését;
i) a jogszerűség biztosítása érdekében tervezett intézkedések leírását és a végrehajtásának feladattervét.
51. Az adatvédelmi hatásvizsgálat összefoglaló jelentését a rendőrségi adatkezelő szerv vezetője hagyja jóvá. Az összefoglaló jelentést és a kapcsolódó adatvédelmi tisztviselői véleményt nyilvántartásba vétel céljából meg kell küldeni az ORFK adatvédelmi tisztviselőjének.
52. Az adatvédelmi hatásvizsgálatról szóló összefoglaló jelentés döntés előkészítéséhez nem szükséges részei felhasználhatók az adatkezelésre vonatkozó tájékoztatóban, illetve az adatkezelés nyilvántartási adatlapján.
53. Az ORFK adatvédelmi tisztviselőjének előzetes tájékoztatását követően a rendőrségi adatkezelő szerv előzetes konzultációt kezdeményez a NAIH-nál, amennyiben azt jogszabály kötelezően előírja, vagy az adatvédelmi hatásvizsgálat arra az eredményre jut, hogy a tervezett adatkezelés jelentette kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon.
54. A rendőrségi adatkezelő szervek széles körét érintő adatkezelést előíró vagy a végrehajtása során adatkezelést eredményező döntések előkészítése során az előzetes adatvédelmi kockázatelemzést az ORFK folytatja le.
9. A Rendőrség egységes elektronikus adatvédelmi nyilvántartása és a rendőrségi adatkezelő szervek adatvédelmi nyilvántartása
55. A Rendőrség honlapján közzé kell tenni a Rendőrség egységes elektronikus adatvédelmi nyilvántartását, amely tartalmazza a rendőrségi adatkezelő szervek által folytatott adatkezelések jellemzőit és az azokhoz kapcsolódó érintetti jogokat rögzítő érintetti tájékoztatókat.
56. A rendőrségi adatkezelő szerv a Rendőrség egységes elektronikus adatvédelmi nyilvántartásának vezetése céljára létrehozott iktatókönyvében (a továbbiakban: Iktatókönyv) nyilvántartásba vett, az adatkezelés főbb jellemzőit ismertető adatlapokból álló adatvédelmi nyilvántartást vezet. Az adatlapon kötelező adattartalomként szerepeltetni kell
a) a közös adatkezelő nevét, elérhetőségét, vezetőjének vagy képviselőjének és az adatvédelmi tisztviselőjének a nevét és elérhetőségét;
b) az adatkezelés rövid megnevezését;
c) az adatkezelés célját és esetleges részcéljait;
d) az adatkezelés jogszerűségét biztosító jogalapot, az azt biztosító jogszabály helyének megjelölésével, jogi kötelezettség teljesítése esetén az annak tartalmát pontosan meghatározó uniós vagy nemzeti jogszabály helyének megjelölésével;
e) az adatkezeléssel érintett személyes adatok körének ismertetését, külön nevesítve a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelését;
f) az adatkezeléssel feltételezhetően érintett személyek körét;
g) az adatkezelés lehetséges címzettjeinek kategóriáit, akiknek a személyes adatokat továbbítják;
h) az igénybe vett adatfeldolgozó nevét, elérhetőségét, vezetőjének vagy képviselőjének nevét;
i) a harmadik országbeli személyek vagy szervezetek, nemzetközi szervezetek részére történő adattovábbítás esetén annak címzettjét, az érintett adatkört és annak célját és jogalapját;
j) az adatkezelés időtartamát vagy az annak meghatározására irányadó szempontokat;
k) amennyiben lehetséges, az adatbiztonsági intézkedések általános leírását, illetőleg az iratkezelésre és/vagy az informatikai biztonsági szabályzatra vonatkozó belső norma kapcsolódó rendelkezéseit meghatározó pontjaira történő utalást.
57. A rendőrségi adatkezelő szerv az általa végzett adatkezelések jellemzőit köteles az adatvédelmi tisztviselő útján a Rendőrség honlapján közzétenni, és annak naprakész vezetéséről gondoskodni. Kizárólag olyan adatkezelés tehető közzé, amelynek érintetti tájékoztatóját a rendőrségi adatkezelő szerv vezetője jóváhagyta, és az a rendőrségi adatkezelő szerv külön iktatókönyvében nyilvántartásba vételre került.
58. A rendőrségi adatkezelő szerv az adatkezelési tevékenységében bekövetkező változást, így különösen új adatkezelési tevékenység megkezdését vagy megszüntetését haladéktalanul átvezeti az adatvédelmi nyilvántartásában, és az adatvédelmi tisztviselője útján gondoskodik annak a Rendőrség honlapján történő közzétételéről.
59. A Rendőrség honlapján kizárólag az ORFK adatvédelmi tisztviselője által létrehozott Iktatókönyvben nyilvántartásba vett érintetti tájékoztató tehető közzé.
60. Amennyiben a rendőrségi adatkezelő szerv olyan új, személyes adatok kezelésével járó tevékenységet kíván folytatni, amelynek érintetti tájékoztatója még nem található meg a Rendőrség egységes elektronikus adatvédelmi nyilvántartásában, úgy köteles – még a változás rendőrségi adatkezelő szervnél vezetett adatvédelmi nyilvántartásában történő bejegyzését megelőzően – arról az ORFK adatvédelmi tisztviselőjét tájékoztatni.
61. A Rendőrség egységes elektronikus adatvédelmi nyilvántartásában korábban még nem szereplő adatkezelés jogszerűségének vizsgálatát – így különösen az alapelveknek történő megfelelést és a kapcsolódó dokumentáció teljességét –, valamint az új adatlappal történő kiegészítését az ORFK adatvédelmi tisztviselője, szükség esetén az elektronikus információbiztonságért felelős vagy a vizsgált adatkezelésben érintett szakterület bevonásával végzi.
62. Országos szintű adatkezelést az országos rendőrfőkapitány vagy a szakterület szerint hatáskörrel rendelkező helyettese, területi szintű adatkezelést az adatkezelő területi szerv vezetője, helyi szintű adatkezelést az adatkezelő helyi szerv vezetője jogosult írásban elrendelni.
10. Az adatigénylés és a lekérdezés során irányadó szabályok
63. A rendőrségi adatkezelő szerv feladataihoz kapcsolódó egyes eljárások során az országos hatósági nyilvántartásokból vagy más célból kezelt adatbázisokból lekért vagy átvett, de az ügy szempontjából érdektelenné vált vagy fel nem használt személyes adatok esetében az ügy előadója az ügyirat továbbítását, illetőleg irattárba helyezését megelőzően gondoskodik azok dokumentált törléséről, illetve megsemmisítéséről.
64. Az olyan elektronikus információs rendszerek esetében, ahol az adatkezelés célját, az érintett adatokat, illetve az adatkezelést folytató személy azonosítását lehetővé tevő adatok és az elvégzett műveletek folyamatos és zárt rendszerben történő naplózása nem biztosított, a törvényi előírások teljesítése érdekében más módon – így különösen manuálisan vezetett lekérdezési napló vagy a nyilvántartásból történő lekérdezéshez alkalmazott információs rendszerben történő rögzítéssel – kell gondoskodni az adatkezelési művelet céljának dokumentálásáról.
65. Az adatkérés naplózására irányadó szabályokat megfelelően alkalmazni kell a rendőrségi adatkezelő szerv állománya részére az ügyeleti szolgálat és a tevékenység-irányítási központ által teljesített adatszolgáltatás esetén is. A naplózási tevékenységet az adatvédelmi tisztviselő rendszeresen, de legalább félévente dokumentált módon ellenőrzi.
66. A folyamatos ügyeleti vagy tevékenység-irányítási szolgálatot ellátók esetében az adatbázisba történő belépés és abból történő adattovábbítás csak az ügyeleti vagy tevékenység-irányítási szolgálatot ellátó személy saját hozzáférési kódjának felhasználásával történhet. Az ügyeleti vagy tevékenység-irányítási szolgálatot ellátók a szolgálat átadásakor kötelesek kilépni a számítógépes rendszerekből, a szolgálatba lépők pedig saját jogosultságuk és azonosító kódjuk alapján belépni a rendszerekbe.
67. Az elrendelt akciók, fokozott ellenőrzések időtartamára az adatkérésre jogosultak körét, a hozzáférés módját, az adatszolgáltatás naplózásának rendjét, valamint ezen átmeneti intézkedések hatályának lejártát az akció vagy a fokozott ellenőrzés elrendeléséről szóló intézkedésben vagy az annak végrehajtására készített tervben kell meghatározni.
11. Adattovábbítás a Rendőrség által kezelt személyes adatokból
68. Az adatkezelő rendőri szerv az adattovábbítás feltételeinek meglétét minden egyes személyes adattal összefüggésben köteles ellenőrizni, így különösen azt, hogy az igényelt adatokra vonatkozóan az adatok kezelőjének minősül-e.
69. Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adatot kezelő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig rendelkezik az adat kezeléséhez szükséges jogalappal vagy az érintett írásos – a vonatkozó jogszabályi elvárásoknak megfelelő tartalmú – hozzájárulásával, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
70. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt adattovábbítás esetét kivéve – a rendőrségi adatkezelő szerv vezetőjének vagy az általa kijelölt vezetőnek a hatáskörébe tartozik, azzal kapcsolatban köteles kikérni az adatvédelmi tisztviselő véleményét. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza
a) az adatigénylés célját, jogalapját;
b) a kért adatok körének pontos meghatározását;
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
71. Amennyiben az adatigénylés olyan személyes adatra vonatkozik, amely esetében az adatkezelő más szerv, a rendőrségi adatkezelő szerv pedig az érintett adatállományból csak adatkérésre jogosult, az adatkérést – törvény eltérő rendelkezése hiányában – el kell utasítani, és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely adatkezelő szervtől igényelheti.
72. Az adattovábbítás történhet kérelem alapján egyedi adatszolgáltatással, illetőleg – törvény ilyen tartalmú rendelkezése vagy erre vonatkozó megállapodás alapján – közvetlen hozzáférés biztosításával.
12. Adattovábbítási nyilvántartás
73. Amennyiben olyan adat továbbítására kerül sor, amellyel kapcsolatban az adattovábbítást végző rendőrségi adatkezelő szerv – a személyes adat érintettjének a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és Tanács 2016/679 számú rendelete vagy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) által biztosított jogait érintő – adatkezelési korlátozást jelzett, az adatkezelési korlátozást szerepeltetni kell az adattovábbítási nyilvántartásban.
74. Az olyan elektronikus információs rendszerek esetében, ahol a folyamatos és zárt rendszerben történő naplózás nem biztosított, valamint manuális adatkezelések esetén az adatkezelés célját, az érintett adatokat, illetve az adatkezelést folytató személy azonosítását lehetővé tevő adatokra és az elvégzett műveletekre vonatkozóan papíralapú adattovábbítási nyilvántartás vezetéséről kell gondoskodni.
13. A közvetlen lekérdezés
75. A közvetlen lekérdezést biztosító rendszert – a lekérdezés és a felhasználás jogszerűségének dokumentálása érdekében – úgy kell kialakítani, hogy
a) a személyes adatokhoz történő hozzáférés egyedi azonosító és jelszó megadásához kötötten történjen;
b) a lekérdezés naplózása biztosított legyen;
c) a hozzáférésre felhatalmazott munkatárs a lekérdezéskor a rendszer erre a célra kialakított állományában rögzíteni tudja az adatkérés céljára utaló adatot, így különösen az ügyszámot.
76. Amennyiben a lekérdezéskor nincs lehetőség a közvetlen lekérdezést biztosító rendszerben a lekérdezés céljának rögzítésére, a lekérdezést végző köteles dokumentálni a lekérdezéssel érintett adatbázis megjelölését, a lekérdezés időpontját és célját.
77. A rendőri szervek személyi állományának tagja részére közvetlen hozzáférési jogosultság igénylésének kezdeményezésére az érintett legalább osztályvezető jogállású vezetője jogosult (a továbbiakban: kezdeményező vezető). A jogosultságok kiadását, jogszerűségét az adatvédelmi tisztviselő ellenőrizheti.
78. A rendőrségi adatkezelő szerv adatkezelése esetén a kezdeményező vezető gondoskodik a közvetlen hozzáférési jogosultság beállítása érdekében készített elektronikus igénylés adatkezelő szerv részére történő továbbításáról.
79. A nem rendőri szerv adatkezelése esetén a kezdeményezést a rendőrségi adatkezelő szerv vezetője által kijelölt személy részére kell továbbítani, aki az adatkezelő szervnek küldi meg a közvetlen hozzáférési jogosultság beállítására vonatkozó elektronikus igénylést.
80. A közvetlen hozzáférési jogosultsággal rendelkezők naprakész, egyedi azonosítójával ellátott névjegyzékét (a továbbiakban: hozzáférésre jogosultak nyilvántartása) a rendőrségi adatkezelő szerv vezetője által kijelölt személy vezeti, akinek a részére az elektronikus igénylés egy példányát meg kell küldeni.
81. A közvetlen hozzáférési jogosultsággal rendelkező személy munkakörét érintő változás, illetőleg a jogviszonyának megszűnése esetén a kezdeményező vezető köteles kezdeményezni a jogosultság módosítását, illetőleg visszavonását. A kezdeményezés egy példányát továbbítani kell a hozzáférésre jogosultak nyilvántartására kijelölt személynek.
82. A közvetlen hozzáférési jogosultsággal rendelkező személy kizárólag a munkaköri feladatainak ellátásával kapcsolatban – a célhoz kötöttség elvének szem előtt tartásával – a feladatkörének ellátásához szükséges adatokat kérheti le és használhatja fel.
83. A közvetlen hozzáférési jogosultsággal rendelkező személy a jelszavát más személynek nem hozhatja tudomására.
84. A közvetlen lekérdezés törvényi feltételeinek fennállása esetén a rendőrségi adatkezelő szerv a nem rendőri adatigénylő szervnél megállapodás megkötését kezdeményezi
a) a rendszer igénybevételének feltételei;
b) a rendszer használatának technikai és adatbiztonsági követelményei;
c) a költségviselés rendjének
rögzítése céljából.
85. A megállapodás tartalmazza különösen
a) a közvetlen lekérdezések célját;
b) az adatokhoz történő hozzáférés jogalapját;
c) a lekérhető adatfajtákat;
d) a lekérdezésre feljogosított személyi kör megjelölését;
e) az adatok jogszerű felhasználására felhívó záradékot;
f) a közvetlen lekérdezésre irányadó, jelen címben meghatározott előírásokat.
14. Adattovábbítás hírközlő eszköz alkalmazásával
86. A rendőrségi nyilvántartásokban kezelt személyes adatot hírközlő eszközön csak a rendőrségi adatkezelő szervek állománya számára, ügyeleti szolgálat, tevékenység-irányítási központ vagy a szerv szervezeti és működési szabályzatában vagy ügyrendjében erre kijelölt szervezeti elem továbbíthat. Ettől eltérni csak halaszthatatlan esetben, az élet, a testi épség vagy a vagyonbiztonság megóvása érdekében lehet, amelynek lezárultát követően az eltérés okait és a hírközlő eszközön adott tájékoztatás tartalmát dokumentálni kell, illetve azokat az adattovábbítási nyilvántartásban rögzíteni szükséges.
87. Az adatigénylő jogosultságáról jelszó alkalmazásával, visszahívással vagy egyéb arra alkalmas módon meg kell győződni. Ha az igénylő jogosultsága nem állapítható meg, a tájékoztatás hírközlő eszközön nem teljesíthető.
88. Hírközlő eszközön történő adatszolgáltatás esetén a legszükségesebb adatok közlésére kell szorítkozni.
15. Az érintettek jogai, valamint az érintett jogainak érvényesítésével összefüggő feladatok
89. Az érintettet megillető jogok gyakorlására – az adatkezelésre vonatkozó előzetes általános tájékozódáshoz való jog kivételével – az érintettek adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva csak a kérelmező megfelelő azonosítása, illetve kérelme tartalmának hitelesítését biztosító követelmények fennállása esetén van lehetőség. Nem biztosítható ezen jogok gyakorlása különösen az elektronikus aláírással nem hitelesített, vagy a kérelmező személyének azonosítását nem biztosító elektronikus levél, valamint telefax útján érkezett kérelmek esetén.
90. A rendőrségi adatkezelő szerv kizárólag bűncselekmények megelőzése, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából folytatott adatkezelés kapcsán
a) törvény korlátozó rendelkezése alapján, vagy
b) személyes adatok más adatkezelő szervtől jogszabály alapján történt átvétele esetén az adattovábbító szerv korlátozó rendelkezése alapján
tagadhatja meg az érintett tájékoztatását vagy hozzáférési jogának gyakorlását a megtagadás alapjául szolgáló pontos törvényi rendelkezés, továbbá a bírósági jogorvoslat és a NAIH-hoz fordulás lehetőségének megjelölésével.
91. A rendőrségi adatkezelő szerv az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti. A rendőrségi adatkezelő szerv az információt írásban, elektronikus úton, illetve az érintett kérelmére szóban is megadhatja, amennyiben az érintett személyazonossága igazolt.
92. Az érintett hozzáférési jogának gyakorlása során a tájékoztatást és az adatról kért első másolatot díjmenetesen kell biztosítani, kivéve, ha az érintett kérelme – annak ismétlődő jellege vagy jogszabályban, illetve a NAIH joggyakorlata értelmében – túlzó. Ez esetben – eltérő jogszabályi rendelkezés hiányában – a rendőrségi adatkezelő szerv jogosult észszerű, a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló jogszabály előírásai szerint megállapított mértékű adminisztrációs díjat felszámítani.
16. Az adatvédelmi incidenskezelési eljárásrend
93. Az adatbiztonság sérülése, illetve a rendőrségi adatkezelő szerv által kezelt személyes adatok véletlen vagy jogellenes megsemmisülése, elvesztése, módosulása, jogosulatlan továbbítása vagy nyilvánosságra hozatala, továbbá az azokhoz való jogosulatlan hozzáférés (a továbbiakban: adatvédelmi incidens) bekövetkezését annak észlelését követően azonnal jelenteni kell a szervezeti egység vezetőjének.
94. A szervezeti egység vezetője vagy az általa kijelölt személy a jelzést követően azonnal tájékozódik az eset lényeges körülményeiről, és a kárenyhítési intézkedések megtétele mellett értékeli annak az érintettek jogaira nézve gyakorolt hatásának súlyosságát.
95. A szervezeti egység vezetője vagy az általa kijelölt személy azonosítja, hogy az incidens valószínűsíthetően jár-e az érintettre nézve fizikai, vagyoni vagy nem vagyoni károkozással. Amennyiben az adatvédelmi incidens – jogszabályban rögzített vagy a NAIH joggyakorlata által kialakított jellemzők alapján – valószínűsíthetően
a) magas kockázattal jár a természetes személyek jogaira nézve, akkor azonnal és a szolgálati út kihagyásával közvetlenül értesíti a szerv adatvédelmi tisztviselőjét;
b) kockázattal jár a természetes személyek jogaira nézve, akkor soron kívül és a szolgálati út kihagyásával közvetlenül értesíti a szerv adatvédelmi tisztviselőjét;
c) nem jár kockázattal a természetes személyek jogaira nézve, akkor soron kívül és a szolgálati út betartásával értesíti a szerv adatvédelmi tisztviselőjét.
96. Az értesítésnek tartalmaznia kell
a) a bekövetkezett incidens jellegét;
b) az incidenssel valószínűsíthetően érintett személyek körét;
c) a valószínűsíthetően érintett adatok kategóriáit, nagyságrendjét;
d) a megtett halaszthatatlan intézkedéseket.
97. Az adatvédelmi tisztviselő – a 95. pont a) alpontja szerinti esetben azonnal, a 95. pont b) alpontja szerinti esetben soron kívül – megvizsgálja az értesítésben foglaltakat. A vizsgálatba szükség szerint bevonhatja a rendőrségi adatkezelő szerv informatikai biztonságért felelős vezetőjét és biztonsági vezetőjét, a szervezeti egység vezetőjét vagy a szakterület tekintetében szakértelemmel rendelkező személyeket.
98. Az adatvédelmi tisztviselő indokolatlan késedelem nélkül, de legkésőbb az adatvédelmi incidens észlelésétől számított 72 órán belül a rendelkezésre álló adatokat bejelenti a NAIH-hoz az e célból rendszeresített felületen keresztül, amennyiben az értesítésben foglaltak az adatvédelmi tisztviselő előzetes értékelése szerint valószínűsíthetően helytállóak, és annak jogszabályban meghatározott feltételei fennállnak. A bejelentéssel egyidejűleg az adatvédelmi tisztviselő tájékoztatja a rendőrségi adatkezelő szerv vezetőjét az adatvédelmi incidensről.
99. Ha a bejelentés 72 órán belül nem tehető meg, akkor a késedelmes jelentésben meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
100. Az adatvédelmi tisztviselő a bejelentést követően intézkedik a kivizsgálás szükség szerinti pontosításáról, és amennyiben megállapítja, hogy az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor – a rendőrségi adatkezelő szerv vezetőjének tájékoztatása mellett – tájékoztatnia kell az érintetteket az adatvédelmi incidensről. Amennyiben arra észszerű módon nincs lehetőség, úgy az incidens főbb jellemzőire vonatkozó értesítés soron kívüli közzétételét kezdeményezi a Rendőrség honlapján.
101. Az adatvédelmi tisztviselő az adatvédelmi incidensek nyilvántartását az információbiztonsági incidens- és eseménykezelési folyamatra alkalmazandó informatikai támogató rendszer útján, az elektronikus információbiztonságért felelős vezető közreműködésével végzi.
17. Ellenőrzés
102. A rendőrségi adatkezelő szervek vezetői kötelesek gondoskodni a NAIH feladat- és hatáskörével összefüggésben végzett ellenőrzések eredményes végrehajtásához szükséges közreműködésről.
103. Az egyes rendőrségi adatkezelő szervek, szolgálati ágak, szolgálatok és szakszolgálatok szakmai tevékenységét érintő átfogó ellenőrzéseknek ki kell terjedniük a szakmai feladatellátáshoz szükséges adatkezelések törvényességének ellenőrzésére is.
104. A rendőrségi adatkezelő szerv adatvédelmi tevékenységének célellenőrzését az ORFK adatvédelmi tisztviselője és a rendőrségi adatkezelő szerv szakirányítására jogosult szerv vezetője is elrendelheti.
105. A rendőrségi adatkezelő szerv adatvédelmi tisztviselője havonta köteles ellenőrizni az adatkezelő szervnél kiosztott hozzáférési jogosultságok aktualizálásának végrehajtását. Az ellenőrzést – a hozzáférésre jogosultak nyilvántartása alapján – a rendőrségi adatkezelő szerv rendszergazdájával (informatikai szakemberével) közösen kell végrehajtani.
106. Az adatvédelmi tisztviselő végzi az országos nyilvántartásokból történő lekérdezések során a célhoz kötött adatkezelés elve érvényesülésének ellenőrzését. Az ellenőrzés végrehajtása során a közvetlen hozzáférési jogosultsággal rendelkező személyek közül havi rendszerességgel kiválasztott jogosultak esetén – az adatkezelővel, illetőleg az érintett szolgálati elöljárójával szükség szerint együttműködve – azt kell vizsgálni, hogy az ellenőrzésre kiválasztott adatlekérdezés összefüggésben volt-e az érintett munkaköri feladatainak végrehajtásával kapcsolatos ügyintézéssel.
107. Az ellenőrzés megállapításairól, az esetlegesen feltárt hiányosságokról, jogszabály- vagy normasértésekről az ellenőrzést végző az ellenőrzés befejezését követően írásban köteles tájékoztatni a rendőrségi adatkezelő szerv vezetőjét, aki köteles haladéktalanul megtenni a jogszerű állapot helyreállításához szükséges intézkedéseket, indokolt esetben elrendeli vagy kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását.
18. A rendőri szervek által kezelt közérdekű és közérdekből nyilvános adatok megismerésével összefüggő szabályok
108. A közérdekű és közérdekből nyilvános adatok (a továbbiakban együtt: nyilvános adat) megismerésére irányuló igényt soron kívül be kell mutatni a rendőrségi adatkezelő szerv vezetőjének, aki köteles gondoskodni a megkeresés határidőben történő megválaszolásáról.
109. Amennyiben az igényelt adat kezelője nem a megkeresett rendőrségi adatkezelő szerv, és az adatot ténylegesen kezelő szerv megállapítható, úgy az adatigénylést haladéktalanul továbbítani kell a nyilvános adatot kezelő szervnek, és az áttételről egyidejűleg tájékoztatni kell az igénylőt. Amennyiben a megkeresett szerv az adatkezelő szerv ismeretének hiányában vagy az adatigénylés pontatlan, hiányos megfogalmazása miatt a megkeresés áttételére nem tud intézkedni, úgy az adatigénylőt erről kell tájékoztatni.
110. Amennyiben az adat keletkeztetőjének megítélése szerint az adat a szerv döntés-előkészítő tevékenységével függ össze és az Infotv. hatálya alá tartozik, annak adathordozóján – fedőlapján vagy az első oldalának jobb felső sarkán – fel kell tüntetni a „Nem nyilvános!” jelölést és a nyilvánosság korlátozásának időtartamát. A „Nem nyilvános!” jelölés alkalmazását a kiadmányozási jogkör gyakorlója a kiadmányozással hagyja jóvá.
111. Amennyiben a nyilvános adat megismerésére irányuló igény olyan statisztikai adatra vonatkozik, mely valamely honlapon, különösen a Központi Statisztikai Hivatal oldalán közzétételre került vagy onnan elérhető, az igényt a honlap elérhetőségére történő hivatkozással kell teljesíteni.
112. A nyilvános adat megismerésére irányuló igény elutasítását a rendőrségi adatkezelő szerv vezetője minden esetben olyan módon köteles írásban indokolni, hogy az az igénylő által esetlegesen indított perben alkalmas legyen a megtagadás jogszerűségének és megalapozottságának igazolására.
113. Az adatigénylés teljesítése során kiemelt figyelmet kell fordítani arra, hogy a nyilvános adat közlése ne járjon mások jogainak sérelmével. Különös figyelmet kell fordítani arra, hogy az adatszolgáltatással ne kerüljenek nyilvánosságra személyes és különleges adatok, minősített adatok, törvény által nyilvánosságában korlátozott vagy – ha a rendőrségi adatkezelő szerv vezetője másként nem döntött – a „Nem nyilvános!” jelöléssel ellátott adatok.
114. A rendőrségi adatkezelő szerv köteles gondoskodni arról, hogy a részben vagy egészben megtagadott nyilvános adatigénylésekről, valamint azok megtagadásának okáról vezetett nyilvántartásban az adatigénylő személyes adatai ne kerüljenek rögzítésre.
19. Oktatás, vizsgáztatás
115. A Rendőrség állományába újonnan került személyeket – a személyes adatokat munkakörüknél fogva semmilyen formában nem megismerő személyek kivételével – az adatvédelmi tisztviselő – a rendőrségi adatkezelő szerv személyzeti feladatot ellátó szervezeti egységének/elemének tájékoztatása alapján – köteles az állományba vételt követő két hónapon belül adatvédelmi oktatásban részesíteni. Az oktatásra kötelezett részére a szükséges jogszabályokat, közjogi szervezetszabályozó eszközöket, belső normákat és egyéb segédanyagokat rendelkezésre kell bocsátani, vagy ezek tekintetében az elektronikus hozzáférés lehetőségét és módját kell ismertetni.
116. Az oktatást követően 30 napon belül a rendőrségi állomány tagjának az adatvédelmi ismeretekből vizsgát kell tenni, amelyről szóló igazolást az érintett személyi anyagában kell elhelyezni. Eredménytelen vizsga esetén az érintett személyt megfelelő határidő kitűzésével pótvizsgára kell bocsátani, a pótvizsga sikertelensége esetén a vizsga letételéig személyes adatok kezelésével járó feladatokat nem láthat el.
117. Az adatvédelmi tisztviselők rendszeres és az adatvédelmi megbízottak szükség szerinti továbbképzéséről az ORFK adatvédelmi tisztviselője gondoskodik.
118. Az adatvédelmi tisztviselő a rendőrségi adatkezelő szerv személyes adatok kezelését végző személyi állományát a bekövetkezett adatvédelmi tárgyú jogszabály- és normaváltozásokról köteles tájékoztatni, indokolt esetben – különösen a jelentősebb adatvédelmi tárgyú normaváltozásoknál vagy az ellenőrzés során feltárt visszatérő vagy egyébként súlyos hiányosságoknál és súlyos adatvédelmi incidenst követően – az érintett állomány kötelező adatvédelmi oktatását kell elvégezni.
III. FEJEZET
ZÁRÓ RENDELKEZÉSEK
119. Ez az utasítás a közzétételét követő napon lép hatályba.
120. Az utasítás 101. pontjában megjelölt információbiztonsági incidens- és eseménykezelési folyamatra alkalmazandó informatikai támogató rendszert az informatikai biztonsági szabályzatról szóló ORFK utasításban meghatározottak szerint, annak alkalmazásba vételét követően kell alkalmazni.
121–122.2
1
Az utasítást a 39/2019. (XI. 19.) ORFK utasítás 157. pont a) alpontja hatályon kívül helyezte 2019. december 1. napjával.
2
A 121–122. pont a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás