5/2022. (IX. 19.) OBH utasítás
5/2022. (IX. 19.) OBH utasítás
a bíróságok és az Országos Bírósági Hivatal adatvédelmi tisztviselőiről és az adatvédelmi incidensek jelentéséről
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés d) pontjában kapott felhatalmazás alapján, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 24. cikk (2) bekezdésében meghatározottaknak való megfelelés, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény személyes adatok védelmére vonatkozó rendelkezéseivel való összhang megteremtése érdekében a bíróságok szervezetéről és igazgatásáról szóló 2011. évi CLXI. törvény 76. § (1) bekezdés b) pontjában meghatározott feladatkörömben eljárva a következő normatív utasítást adom ki:
1. Általános rendelkezések
1. § Jelen utasítás (a továbbiakban: szabályzat) célja, hogy meghatározza a bíróságokon és az Országos Bírósági Hivatalnál (a továbbiakban: OBH) az adatvédelmi tisztviselők kinevezését, feladatait, továbbá az őket megillető kedvezményeket, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 4. cikk 12. pontjában, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 3. § 26. pontjában meghatározott adatvédelmi incidensek (a továbbiakban: adatvédelmi incidensek) bejelentésének rendjét és az azokkal kapcsolatos további feladatokat.
2. § (1) A szabályzat személyi hatálya a bíróságok szervezetéről és igazgatásáról szóló 2011. évi CLXI. törvény (a továbbiakban: Bszi.) 16. § (1) bekezdésében meghatározott bíróságokra (a továbbiakban: bíróságok), az OBH-ra, valamint a bíróságokkal és az OBH-val szolgálati jogviszonyban álló bírákra és igazságügyi alkalmazottakra, továbbá azon személyekre terjed ki, akik szakmai gyakorlatukat a bíróságokon vagy az OBH-nál töltik (a továbbiakban együtt: bírák és igazságügyi alkalmazottak).
(2) A szabályzat tárgyi hatálya a bíróságok igazgatási tevékenysége során végzett adatkezelési műveletek esetében az adatvédelmi tisztviselők kinevezésére és feladataira, az őket megillető kedvezményekre, továbbá a bírósági szervezetben bekövetkezett adatvédelmi incidenseknek a bírósági szervezetrendszeren belüli jelentésének rendjére és a bíróságok igazgatási tevékenysége során bekövetkezett adatvédelmi incidensek esetében a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: a Hatóság) részére történő bejelentésére, valamint az azzal kapcsolatos egyes további feladatokra terjed ki.
3. § (1) E szabályzat alkalmazásában
1. adatkezelés: a bíróságok és az OBH által végzett, természetes személy személyes adatainak kezelésével járó valamennyi művelet, így különösen a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
2. adatkezelő: a Bszi. 16. § (1) bekezdés a)–c) pontjában meghatározott bíróságok és az OBH;
3. az adatkezelő vezetője: a Bszi. 16. § (1) bekezdés a)–c) pontjában meghatározott bíróságok és az OBH elnöke;
4. szervezeti egység: az adatkezelőnek az a szervezeti egysége, amely a bíróság vagy az OBH szervezetrendszerén belül elkülöníthető feladat- és hatáskörében végzett személyes adatok kezelésének célját és eszközeit meghatározza;
5. érintett: a bíróságok és az OBH által végzett adatkezelés alapján azonosított vagy azonosítható természetes személy;
6. adatvédelmi incidens: a bíróságok és az OBH által végzett adatkezelés során a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
(2) Egyebekben az e szabályzatban használt fogalmakat az adatkezeléstől függően a GDPR vagy az Info tv. szabályaiban meghatározottak alapulvételével kell értelmezni.
2. Az adatvédelmi tisztviselő
4. § (1) Az adatkezelő vezetője – a bíróságok esetében a bekövetkezett adatvédelmi incidensek nyilvántartásának vezetésében való közreműködésen túlmenően kizárólag az igazgatási feladatok ellátása során végzett adatkezelésekre vonatkozóan – az adatkezelési műveletek jogszerűségének, valamint az érintetti jogok érvényesülésének biztosítása érdekében adatvédelmi tisztviselőt jelöl ki, és személyét a Hatóság részére nyilvántartásba vétel céljából bejelenti.
(2) A törvényszék adatvédelmi tisztviselője ellátja a törvényszék illetékességi területén működő járásbíróságok adatvédelmi tisztviselői feladatait is.
(3) Az adatvédelmi tisztviselő – a GDPR-ban, az Info tv.-ben és a szabályzatban meghatározott tevékenységének ellátása során – közvetlenül az őt kijelölő vezetőnek tartozik felelősséggel, e feladatainak ellátása során nem utasítható.
(4) Az adatvédelmi tisztviselőt – a tanácselnök vezetői tevékenységén túl – más vezetői tisztséggel vagy megbízatással nem rendelkező bírák vagy vezető beosztásúnak nem minősülő, jogi szakvizsgával vagy felsőfokú szakirányú végzettséggel rendelkező igazságügyi alkalmazottak közül kell kijelölni.
(5) Az adatkezelő vezetője az adatvédelmi tisztviselő nevéről és elérhetőségéről tájékoztatja a bírákat és igazságügyi alkalmazottakat.
5. § (1) Az adatvédelmi tisztviselő törvényben és az Európai Unió kötelező jogi aktusában foglalt kötelező feladatain kívül
a) részt vesz az adatvédelmet érintő szabályzatok és intézkedések megalkotásában, véleményezi a személyes adatok védelmét érintő jogszabálytervezeteket;
b) közreműködik az érintettek jogainak – a bíróságok esetében az igazgatási tevékenységek során végzett adatkezelések során történő – gyakorlásával összefüggésben az adatkezelőhöz érkező megkeresések elintézésében;
c) közreműködik az adatvédelmi incidensek nyilvántartásának vezetésében, az igazgatási tevékenység során bekövetkezett adatvédelmi incidens nyilvántartásba vételének megtörténtéről értesíti az érintett szervezeti egység vezetőjét;
d) közreműködik – a bíróságok esetében az igazgatási tevékenységek során végzett adatkezeléseknél – az adatvédelmi incidensek kivizsgálásában és a Hatóság részére történő bejelentésében, a vizsgálat eredménye alapján – szükség esetén – kialakítja az érintett részére megküldendő tájékoztatást;
e) véleményezi a közös adatkezelésekre vonatkozó és az adatfeldolgozóval kötendő megállapodásokat;
f) megválaszolja a bíráktól és igazságügyi alkalmazottaktól az adatvédelem tárgyában hozzá érkező kérdéseket;
g) gondoskodik a bírák és igazságügyi alkalmazottak adatvédelmi képzéséről és tájékoztatásáról;
h) részt vesz a Hatóság, illetve az OBH adatvédelmi tisztviselője által szervezett konferenciákon és képzéseken;
i) az ellenőrzési tevékenységének dokumentálása érdekében minden év november 15. napjáig elkészíti a következő évre vonatkozó ellenőrzési tervét, melyet megküld az adatkezelő vezetője részére, továbbá a törvényszék adatvédelmi tisztviselője az ellenőrzési terv járásbíróságra vonatkozó részét a járásbíróság elnökének is;
j) az adatkezelő vezetője által jóváhagyott ellenőrzési tervben foglaltak szerint – szükség esetén, így különösen adatvédelmi incidens bekövetkezése miatt ezen túlmenően is – ellenőrzi az adatkezelőnél az adatvédelmi és adatbiztonsági követelmények megtartását;
k) félévente az adott félévet követő hónap utolsó napjáig jelentést tesz a tevékenységéről és az annak során feltárt adatvédelmi kockázatokról az adatkezelő vezetője felé; továbbá a törvényszék adatvédelmi tisztviselője tájékoztatást ad a törvényszék illetékességi területén működő járásbíróság elnöke részére a jelentésének a járásbíróságot érintő részéről; valamint
l) ellátja az adatkezelő vezetője által meghatározott egyéb, a személyes adatok védelmével összefüggő feladatokat.
(2) Az adatvédelmi tisztviselő az általa folytatott ellenőrzések és vizsgálatok során jogosult a bíráktól és igazságügyi alkalmazottaktól felvilágosítást kérni.
(3) Az OBH adatvédelmi tisztviselője az (1) bekezdésben meghatározott feladatokat a tisztségéből adódó sajátosságoknak megfelelő eltérésekkel látja el, azokon túl
a) összegezi a bíróságoktól beérkezett összefoglalókat, bejelentéseket és tájékoztatásokat, melyről félévente az adott félévet követő hónap utolsó napjáig jelentést tesz az OBH elnökének;
b) indokolt esetben jelzi az OBH elnökének, ha – a Kúria elnökének kivételével – az adatkezelő vezetőjével szemben a Bszi. 76. § (6) bekezdés b) pontja szerinti vizsgálat lefolytatását tartja szükségesnek;
c) kérelemre segítséget nyújt a bíróságok adatvédelmi tisztviselői részére;
d) legalább évente egy alkalommal konferenciát szervez a bíróságok adatvédelmi tisztviselői számára; valamint
e) közreműködik az adatvédelemmel kapcsolatos központi képzések szervezésében.
6. § (1) Az adatvédelmi tisztviselőnek kijelölt bírót feladatai ellátásának időtartamára havi 1 tárgyalási nap kedvezmény illeti meg. Ha a feladatellátás nem az egész naptári hónapot érinti, a tárgyalási nap kedvezmény arányos része jár.
(2) Az OBH által meghirdetett adatvédelmi tárgyú külföldi tanulmányútra és konferenciára történő jelentkezés elbírálása során az adatvédelmi tisztviselőt előnyben kell részesíteni. A Magyar Igazságügyi Akadémia (MIA) által szervezett központi adatvédelmi tárgyú képzésen az adatvédelmi tisztviselő részvételét biztosítani kell.
7. § (1) Az adatvédelmi tisztviselői megbízás megszűnik
a) az adatvédelmi tisztviselő szolgálati jogviszonyának megszűnésével;
b) a határozott idejű megbízás lejártával;
c) a megbízásról történő lemondással;
d) a megbízás visszavonásával;
e) az adatvédelmi tisztviselőnek a 4. § (4) bekezdése szerinti vezetői tisztségre való kinevezésével vagy az e körbe tartozó igazgatási feladatok ellátásával történő megbízásával;
f) az adatvédelmi tisztviselővel szembeni fegyelmi büntetés jogerős kiszabásával vagy
g) az adatvédelmi tisztviselő más adatkezelőnél bíróként vagy igazságügyi alkalmazottként történő kinevezésével.
(2) Az adatkezelő vezetője az adatvédelmi tisztviselői megbízását visszavonhatja, ha
a) az adatvédelmi tisztviselő megbízásának ellátásában 1 hónapot meghaladóan akadályoztatva van, különösen az OBH-ba, a Kúriára, az Igazságügyi Minisztériumba történő beosztás, külföldi tanulmányok, külföldi csereprogramban vagy ösztöndíjprogramban való részvétel miatt;
b) az adatvédelmi tisztviselő az adatkezelő vezetőjének felhívása ellenére sem tesz eleget a törvényben és az Európai Unió kötelező jogi aktusában foglalt kötelező feladatainak, valamint a jelen szabályzatban meghatározott kötelezettségének.
(3) Az adatvédelmi tisztviselő az 1 hónapon túli akadályoztatásáról a tudomásszerzést követően haladéktalanul írásban tájékoztatja az adatkezelő vezetőjét.
3. Az adatvédelmi incidensek kezelésének szabályai
8. § (1) A bekövetkezett adatvédelmi incidenst az azt felismerő személynek haladéktalanul jelentenie kell a szolgálati út betartásával, a bíróságok igazgatási tevékenysége során bekövetkezett adatvédelmi incidens esetén az adatvédelmi tisztviselő és – személyes adatok elektronikus kezelése esetén – a helyi szervezeti felépítéstől függően az informatikai osztály vagy főosztály vezetője és az informatikai biztonsági felelős egyidejű értesítése mellett az adatkezelő vezetőjének, járásbíróságon bekövetkezett adatvédelmi incidens esetében a járásbíróság elnökének.
(2) Az adatkezelőhöz külső észlelő személytől származó, adatvédelmi incidens bejelentésére vonatkozó tájékoztatást az azt fogadó bírónak vagy igazságügyi alkalmazottnak haladéktalanul jelentenie kell a szolgálati út betartásával az adatkezelő vezetőjének, a bíróságok igazgatási tevékenysége során bekövetkezett adatvédelmi incidens esetén az adatvédelmi tisztviselő és – személyes adatok elektronikus kezelése esetén – a helyi szervezeti felépítéstől függően az informatikai osztály vagy főosztály vezetője és az informatikai biztonsági felelős egyidejű értesítése mellett, járásbíróságon bekövetkezett adatvédelmi incidens esetében a járásbíróság elnökének.
(3) A járásbíróság elnöke a törvényszék elnökét 24 órán belül értesíti a tudomására jutott adatvédelmi incidensről az 1. melléklet szerinti bejelentőlapon rögzített tartalommal.
(4) Az igazgatási feladatok ellátása során végzett adatkezelési műveletek tekintetében bekövetkezett adatvédelmi incidenst az adatkezelő vezetője – az adatvédelmi tisztviselő közreműködésével – az annak bekövetkezéséről való tudomásszerzéstől számított 72 órán belül, az erre a célra kialakított elektronikus felületen, elektronikusan bejelenti a Hatóság felé. Kivételt képeznek e kötelezettség alól azon adatvédelmi incidensek, amelyek valószínűsíthetően nem járnak kockázattal az érintettek jogaira és szabadságaira nézve.
(5) Amennyiben magas kockázatú adatvédelmi incidens bekövetkezése miatt az érintett tájékoztatása szükséges, az igazgatási tevékenységek során végzett adatkezelések esetében az adatkezelő vezetője a tájékoztatást az adatvédelmi tisztviselővel történő előzetes egyeztetést követően küldi meg az érintett részére. A bíróságok igazságszolgáltatási tevékenysége során végzett adatkezelések esetében az érintett tájékoztatása az eljáró bíró, bírósági titkár feladata az eljárásjogi szabályok keretei között.
9. § A bejelentett adatvédelmi incidensekről az adatkezelő vezetője külön elnöki szám alatt nyilvántartást vezet a 2. melléklet szerinti adatlap kitöltésével.
4. Az adatvédelmi incidensekkel kapcsolatos egyes feladatok
10. § (1) A bírák és igazságügyi alkalmazottak a bekövetkezett adatvédelmi incidenst annak észlelését követően haladéktalanul kötelesek jelezni a 8. § (1) és (2) bekezdésében írt módon.
(2) A bírák és igazságügyi alkalmazottak kötelesek együttműködni az adatvédelmi tisztviselővel az általa folytatott ellenőrzések és vizsgálatok során.
11. § (1) Az adatkezelő vezetője
a) tájékoztatja az adatvédelmi tisztviselőt az igazgatási tevékenység során bekövetkezett adatvédelmi incidensek vizsgálatának eredményéről, a személyes adatok védelmével kapcsolatban tudomására jutott hiányosságokról és más lényeges körülményekről;
b) gondoskodik az adatvédelem területén feltárt hiányosságok vagy más jogsértő helyzet megszüntetéséről, ennek során vizsgálatot rendelhet el;
c) gondoskodik az adatvédelmi incidensek nyilvántartásának vezetéséről;
d) jóváhagyja az adatvédelmi tisztviselő által készített, a következő évre vonatkozó ellenőrzési tervet minden év november 30. napjáig.
(2) Az ítélőtábla és a törvényszék elnöke minden év január 15. napjáig megküldi az OBH elnöke részére az adatvédelmi tisztviselő által készített ellenőrzési terv és jelentések összefoglalóját, aki arról az OBH adatvédelmi tisztviselőjét tájékoztatja.
12. § (1) A szervezeti egység – járásbíróság elnökén túli – vezetője
a) gondoskodik a személyes adatok védelmére vonatkozó szabályok betartásáról,
b) a bekövetkezett adatvédelmi incidenst jelzi az adatkezelő vezetőjének, járásbíróság szervezeti egységének vezetője esetében a járásbíróság elnökének az 1. melléklet szerinti bejelentőlapon rögzített tartalommal, egyúttal a bíróságok igazgatási tevékenysége során bekövetkezett adatvédelmi incidens esetén értesíti az adatvédelmi tisztviselőt, valamint
c) vizsgálatot rendelhet el, az elrendelt vizsgálatot lefolytatja, melynek eredményéről beszámol az adatkezelő vezetőjének, járásbíróság szervezeti egységének vezetője esetében a járásbíróság elnökének.
(2) A járásbíróság elnöke a 11. § (1) bekezdés a)–b) pontjában rögzített feladatokat a bíróság sajátosságainak megfelelő eltérésekkel gyakorolja, valamint minden év október 31. napjáig javaslatot tesz az adatvédelmi tisztviselő számára az ellenőrzési terv járásbíróságra vonatkozó részére.
(3) A szervezeti egység vezetője köteles együttműködni az adatvédelmi tisztviselővel az általa folytatott ellenőrzések és vizsgálatok során.
5. Záró rendelkezések
13. § (1) Ez az utasítás a közzétételét követő napon lép hatályba.
(2) Az adatkezelő vezetője a 4. § (1) bekezdésében írt kötelezettségének első alkalommal az ezen utasítás hatálybalépését követő 15 napon belül köteles eleget tenni.
(3) Az adatvédelmi tisztviselő az 5. § (1) bekezdés k) pontjában írt kötelezettségének első alkalommal az ezen utasítás hatálybalépését követő első teljes naptári félév elteltével köteles eleget tenni.
(4) Ezen utasítás rendelkezéseit az utasítás hatálybalépését megelőzően bekövetkezett adatvédelmi incidensek alapján még fennálló kötelezettségek teljesítésére is alkalmazni kell.
14. §1
1. melléklet az 5/2022. (IX. 19.) OBH utasításhoz
Bejelentőlap az adatvédelmi incidens bejelentéséhez |
|
1. Kapcsolati adatok |
|
Bejelentő bíróság / szervezeti egység |
|
Az incidenssel érintett szervezeti egység megnevezése |
|
A kapcsolattartó neve, tisztsége és elérhetőségei |
|
Az ügy iktatószáma |
|
2. Az adatvédelmi incidens |
|
Az adatvédelmi incidens időpontja |
|
Az adatvédelmi incidens észlelésének időpontja |
|
Az adatvédelmi incidens továbbra is fennáll |
Igen/Nem |
Az adatvédelmi incidens észlelésének módja |
|
Az adatvédelmi incidens leírása |
|
Az adatvédelmi incidenssel érintett személyes adatok felsorolása |
|
Minősített adat érintettsége esetén annak iktatószáma |
Igen/Nem |
Az adatvédelmi incidens bekövetkezésének oka |
|
3. Megtett intézkedések |
|
Az adatvédelmi incidens nyomán megtett bírósági intézkedés |
|
Az érintett tájékoztatása megtörtént-e |
Igen/Nem |
„Igen” válasz esetén – Az érintett tájékoztatásának módja és tartalma röviden |
|
„Nem” válasz esetén – A tájékoztatás elmaradásának indoka |
|
Kezdeményezett központi intézkedés (ha szükséges) |
|
4. Egyéb adatok |
|
A bejelentőlap késedelmes megküldésének okai |
|
Az adatkezelésben részt vevő közös adatkezelő vagy adatfeldolgozó megnevezése és elérhetősége |
|
2. melléklet az 5/2022. (IX. 19.) OBH utasításhoz
Sorszám. A … napján bekövetkezett adatvédelmi incidens |
|
Az adatvédelmi incidenshez kapcsolódó tények, bekövetkezésének körülményei |
|
Az adatvédelmi incidens hatásai |
|
Minősített adat érintettsége esetén annak iktatószáma |
Igen/Nem |
Az adatvédelmi incidens orvoslására tett intézkedések |
|
Az adatvédelmi incidens bejelentése a Hatóságnak megtörtént-e |
Igen/Nem |
Az adatvédelmi incidens bejelentése mellőzésének indokai |
|
Az érintett tájékoztatása megtörtént-e |
Igen/Nem |
Az érintett tájékoztatása mellőzésének indokai |
|
Az adatvédelmi incidens orvoslására tett intézkedések vagy azok elmaradásának indokai |
|
Elnöki szám |
|
A 14. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás