25/2025. (XI. 20.) BVOP utasítás
25/2025. (XI. 20.) BVOP utasítás
a büntetés-végrehajtási szervezet adatvédelmi és adatbiztonsági szabályzatáról, valamint a közérdekű adatok megismerésének és közzétételének rendjéről
I. Általános rendelkezések
1. Az utasítás hatálya a Büntetés-végrehajtás Országos Parancsnokságára (a továbbiakban: BVOP), a büntetés-végrehajtási intézetekre és intézményekre, a fogvatartottak kötelező foglalkoztatására létrehozott gazdasági társaságokra mint adatkezelő szervekre (a továbbiakban együtt: bv. szerv), valamint az állományukban szolgálatot teljesítő hivatásos szolgálati jogviszonyban, rendvédelmi igazgatási szolgálati jogviszonyban, munkavállalói jogviszonyban álló állománytagokra (a továbbiakban: személyi állomány), továbbá a bv. szervnél szakmai gyakorlat keretében személyes adatokat megismerő személyekre terjed ki.
2. Az utasítás hatálya kiterjed a bv. szervek valamennyi adatkezelésére, amely személyes adatra (ideértve a személyes adatok különleges kategóriáit), továbbá közérdekű vagy közérdekből nyilvános adatra (a továbbiakban együtt: közérdekű adat) vonatkozik.
3. Az utasítás kiadásának célja a személyes adatok védelméhez fűződő alapvető jogon alapuló információs önrendelkezési jog érvényesülése érdekében az adatvédelmi és adatbiztonsági előírások meghatározása, valamint a közérdekű adatok megismeréséhez és terjesztéséhez fűződő alapvető jogon alapuló információszabadság érvényesülése érdekében a bv. szervek kezelésében lévő közérdekű adatok megismerésére irányuló igények elbírálásával, valamint az elektronikus formában közzéteendő adatok nyilvánosságra hozatalával összefüggő feladatok meghatározása.
II. A bv. szerv vezetőjének felelőssége, feladat- és hatásköre
4. Az adatvédelemre és információszabadságra vonatkozó előírások alkalmazása során adatkezelő szerv vezetőjének a bv. szerv vezetője minősül.
5. A bv. szerv vezetője felelős
a) a bv. szerv adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó műszaki és szervezési intézkedések megtételéért;
b) az alárendelt személyi állomány adatvédelmi oktatásáért és továbbképzéséért;
c) a bv. szerv tevékenységének rendszeres adatvédelmi ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért;
d) a közérdekű adatok megismerhetőségének biztosításáért és az elektronikusan közzéteendő közérdekű adatok hozzáférhetővé tételéért;
e) az adatkezeléssel érintettek az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46 EK rendelet hatályon kívül helyezéséről szóló (EU) 2016/679 rendeletében (a továbbiakban: általános adatvédelmi rendelet), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.), valamint az adott adatkezelést szabályozó ágazati jogszabályban meghatározott jogainak gyakorolásához szükséges feltételek biztosításáért.
6. A bv. szerv vezetőjének feladat- és hatásköre:
a) kijelöli a bv. szerv adatvédelmi tisztviselőjét és helyettesét,
b) dönt az adatvédelmi hatásvizsgálat lefolytatásáról vagy mellőzéséről,
c) kijelöli az adatvédelmi hatásvizsgálatban közreműködő személyeket,
d) dönt az adatvédelmi incidens minősítéséről és kezelése módjáról,
e) a tervezett adatkezelés magas kockázatának megállapítása esetén a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (a továbbiakban: Hatóság) előzetes konzultációt kezdeményez,
f) kijelöli a közzéteendő közérdekű adatok közzétételéért felelős személyt,
g) ellenőrzést folytat,
h) intézkedik az ellenőrzés keretében megállapított hibák, hiányosságok kezelésére.
III. A személyi állomány felelőssége
7. A személyi állomány
a) az utasításban és a bv. szerv adatvédelmi és adatbiztonsági szabályzatában meghatározottak szerint kezeli a feladatai ellátásával összefüggésben tudomására jutott személyes adatokat,
b) betartja az adatkezelésre vonatkozó jogszabályokban, közjogi szervezetszabályozó eszközökben és belső szabályozó eszközökben foglalt előírásokat,
c) tudását naprakészen tartja a feladatellátásra irányadó adatvédelmi és adatbiztonsági előírások kapcsán az adatvédelmi incidensek gyanújának felismerése érdekében.
8. A bv. szerv vezetőjének személyes felelőssége nem zárja ki a személyi állomány érintett tagjának felelősségét.
IV. Harmadik fél bevonása az adatkezelés folyamatába
9. Amennyiben a bv. szerv vezetője döntése alapján valamely feladat ellátása érdekében adatfeldolgozó igénybevétele szükséges, az adatfeldolgozó felelősségét önálló szerződésben vagy a felek között létrejövő szolgáltatási szerződés részeként kell rögzíteni, kivéve, ha az adatfeldolgozó igénybevételének kereteit és garanciális feltételeit jogszabály határozza meg. A szerződés tartalmának összeállítása során ki kell kérni az adatvédelmi tisztviselő véleményét.
10. Amennyiben az érintett bv. szervek vezetője döntése alapján valamely feladat ellátása érdekében közös adatkezelői jogviszony létesítése szükséges, annak részleteit a felek írásbeli megállapodásban rögzítik. A megállapodás tartalmának összeállítása során ki kell kérni az adatvédelmi tisztviselő véleményét.
11. A bv. szervvel szerződéses jogviszonyba kerülő önálló adatkezelővel megkötendő szerződés részeként szükséges rendelkezni a személyes adatok védelme és biztonsága érdekében alkalmazandó intézkedésekről. A szerződés adatkezelést érintő részének összeállítása során ki kell kérni az adatvédelmi tisztviselő véleményét.
V. Az adatvédelmi tisztviselő kijelölése, feladatai
12. A bv. szerv vezetője köteles a bv. szerv személyi állományából az adatkezelés irányítása, felügyelete és ellenőrzése érdekében a személyes adatok védelmére és a közérdekű adatok megismerhetőségére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkező adatvédelmi tisztviselőt, valamint akadályoztatása esetére helyettest, helyetteseket kijelölni.
13. Az adatvédelmi tisztviselő eljár a munkaköri leírásában rögzített, adatvédelemmel és információszabadsággal összefüggő feladatkörökben.
14. Az adatvédelmi tisztviselő helyettesének adatvédelemmel és információszabadsággal összefüggő feladatkörei megegyeznek az adatvédelmi tisztviselő adatvédelemmel és információszabadsággal összefüggő feladatköreivel.
15. Amennyiben az adatvédelmi tisztviselő az adott feladat ellátása kapcsán összeférhetetlennek minősül, arról haladéktalanul jelentést tesz a bv. szerv vezetője részére, ez esetben az ügyben a helyettes jár el. A helyettes összeférhetetlensége vagy akadályoztatása esetén a bv. szerv vezetője jelöli ki az ügyben a feltételeknek megfelelő eseti helyettest.
16. A bv. szerv vezetője biztosítja az adatvédelmi tisztviselő számára a hozzáférést és a megfelelő jogosultságokat a feladatai végrehajtásához szükséges elektronikus rendszerekhez, iratokhoz, egyéb adatokhoz, valamint a rendelkezésére bocsátja a feladatai ellátásához és szakmai ismeretei naprakészen tartásához szükséges eszközöket és erőforrásokat.
17. Az adatvédelmi tisztviselő feladatai:
a) tájékoztatást nyújt és szakmai tanácsot ad a vonatkozó európai uniós és hazai jogszabályokban foglalt adatvédelemmel és információszabadsággal összefüggő kötelezettségekről;
b) figyelemmel kíséri az adatvédelemmel és információszabadsággal összefüggő jogszabályváltozásokat,
c) ellenőrzési tervet készít, amely alapján, továbbá szükség esetén azon felül is ellenőrzi a személyes és közérdekű adatok kezelésére vonatkozó jogszabályok és belső szabályozó eszközök érvényesülését;
d) közreműködik, segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
e) új adatkezeléssel járó tevékenység tervezése vagy valamely adatkezelés körülményeinek változása esetén megvizsgálja, hogy szükséges-e azzal kapcsolatban adatkezelési tájékoztató, új adatvédelmi nyilvántartási lap vagy más dokumentum összeállítása vagy módosítása;
f) adatvédelmi szempontból véleményezi az adatfeldolgozóval, közös adatkezelővel vagy más önálló adatkezelővel kötendő szerződést vagy megállapodást;
g) közreműködik az adatvédelmi hatásvizsgálat lefolytatásában;
h) előkészíti az adatvédelmi és adatbiztonsági, valamint a közérdekű adatok megismerésének és közzétételének rendjére vonatkozó szabályzatot, véleményezi a belső szabályozó eszközök adatkezeléssel kapcsolatos rendelkezéseit;
i) vezeti az adatvédelmi nyilvántartást és az adatvédelmi incidensek nyilvántartását;
j) adatvédelmi incidens bekövetkezése esetén haladéktalanul intézkedik annak kezelésére, valamint szükség esetén ellátja a Hatóság részére történő bejelentéssel, továbbá az érintett tájékoztatásával kapcsolatos feladatokat;
k) tájékoztatja a Hatóságot az adatvédelmi tisztviselő adatairól (név, postai és elektronikus levélcím) és azok változásáról, továbbá gondoskodik ezen adatok a bv. szervezet honlapján történő közzétételéről;
l) kivizsgálja a bv. szerv adatkezelésével összefüggésben érkező panaszokat, kifogásokat;
m) felügyeli az adatkezelő szerv adattovábbítási tevékenységét, felkérésre adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségével kapcsolatban;
n) gondoskodik a bv. szerv személyi állományának oktatásáról, tudatosításáról.
18. A BVOP adatvédelmi tisztviselője további feladatai:
a) állásfoglalást ad a BVOP szakterületei, valamint a bv. szervek részére az adatok nyilvánossága, megismerhetősége tárgyában;
b) elbírálja az érintetti hozzáférési joggyakorlásra, valamint a közérdekű adat megismerésére irányuló kérelmeket;
c) kapcsolatot tart a Hatósággal és a társszervekkel;
d) nyilvántartást vezet, és minden év január 31-éig tájékoztatja a Hatóságot a bv. szervek elutasított közérdekű adatigényléseinek számáról és az elutasítások indokairól;
e) megszervezi az adatvédelemmel és információszabadsággal összefüggő továbbképzéseket.
19. A BVOP kivételével a bv. szerv adatvédelmi tisztviselője további feladatai:
a) közreműködik a kérelem tárgyában érintett szakterülettel az érintetti hozzáférési joggyakorlásra vonatkozó, a közérdekű adat megismerésére irányuló, valamint szükséges esetben az egyéb adatszolgáltatási kérelmekre adandó válasziratok elkészítésében;
b) közvetlenül a BVOP adatvédelmi tisztviselője részére felterjeszti
ba) bejelentésköteles adatvédelmi incidens esetén az 1. melléklet szerinti nyilvántartó lapot,
bb) adatvédelmi incidens kezelése során a honlapon közzététellel megvalósuló érintetti tájékoztatás szükségessége esetén annak tervezetét jóváhagyás céljából,
bc) a beérkezett közérdekű adatigénylést haladéktalanul, az elkészített választervezetet az adatigénylés beérkezését követő 4 munkanapon belül jóváhagyás céljából,
bd) közérdekű adatok kiadása iránti per esetén a felperes kereseti kérelmét, valamint az előzményét képező adatigénylést és adatszolgáltatást haladéktalanul,
be) a Hatóság részéről érkezett megkeresést, valamint az elkészített választervezetet jóváhagyás céljából;
c) ellátja mindazon feladatokat, amelyeket a bv. szerv adatvédelmi és adatbiztonsági, valamint a közérdekű adatok megismerésének és közzétételének rendjére vonatkozó szabályzata részére feladatként meghatároz.
20. Az agglomerációs központ adatvédelmi tisztviselője további feladatai:
a) szakirányítás keretében közreműködik a személyes és közérdekű adatok kezelésére vonatkozó büntetés-végrehajtási intézeti tevékenység irányításában,
b) ellenőrzi a személyes és közérdekű adatok kezelésére vonatkozó jogszabályok és belső szabályozó eszközök érvényesülését az agglomeráció tekintetében.
21. Az adatvédelmi tisztviselő feladatai elvégzéséhez szükséges mértékben – a minősített adatra vonatkozó szabályok megtartásával – korlátozás nélkül jogosult a bv. szerv szakterületeinek adatkezeléseibe, az azzal kapcsolatos ügyiratokba betekinteni. A betekintési jogosultság a BVOP adatvédelmi tisztviselője esetén valamennyi bv. szervre, az agglomerációs központ adatvédelmi tisztviselője esetén az adott agglomeráció bv. szerveire terjed ki.
22. Az adatvédelmi tisztviselő feladata ellátása során együttműködik az adatkezeléssel érintett szakterületekkel, szükség szerint az informatikai szakterülettel, továbbá az elektronikus információs rendszer biztonságáért felelős személlyel.
VI. A bv. szerv által vezetendő nyilvántartások és az elektronikus napló
23. A bv. szerv adatkezeléseiről a Robotzsaru integrált ügyviteli, ügyfeldolgozó és elektronikus iratkezelő rendszerben (a továbbiakban: Robotzsaru) e célból létrehozott 13. iktatókönyvben adatvédelmi nyilvántartást vezet.
24. Az adatkezelés adatvédelmi nyilvántartásba vételét az érintett szakterület a 2. melléklet szerinti adatlap megküldésével kezdeményezi az adatvédelmi tisztviselőnél.
25. Az adatvédelmi tisztviselő az adatkezelést a 2. melléklet szerinti adatlap önálló főszámra iktatásával veszi nyilvántartásba, az adatkezelésben bekövetkezett változás esetén a módosított adatlapot alszámra iktatja.
26. Az érintett szakterület gondoskodik az általa kezelt személyes adatok vonatkozásában az adatvédelmi adatlap folyamatos felülvizsgálatáról és szükség szerinti aktualizálásáról, az adatvédelmi adatlap tartalmában bekövetkezett változás esetén az aktualizált adatvédelmi adatlapot haladéktalanul továbbítja az adatvédelmi tisztviselő részére.
27. Az adatvédelmi nyilvántartás időszakos felülvizsgálatát az adatvédelmi tisztviselő az érintett szakterületek bevonásával végzi.
28. A bv. szerv által kezelt személyes adatokba betekintésekről, valamint az adatok és azok kezelésével összefüggő információk érintett részére való rendelkezésre bocsátásáról az érintett szakterület a 3. melléklet szerinti betekintési nyilvántartást vezet, amely tartalmazza
a) a betekintést/másolatot kérő, hozzáférési jogot gyakorló nevét, rendelkezésre álló azonosító adatait,
b) a kérelem keltét,
c) az igényelt adatok, információk körét,
d) a kérelem teljesítésének időpontját,
e) a hozzáférés, betekintés korlátozásának vagy megtagadásának jogi és ténybeli indokait.
29. Az adattovábbításról a 4. melléklet szerinti adattovábbítási nyilvántartást kell vezetni. A nyilvántartás vezetése annak a szakterületnek a feladata, amely az adattovábbítást végezte. A törvényi előíráson alapuló, rendszeres adattovábbításokat nem szükséges a nyilvántartásban feltüntetni.
30. Az adattovábbítási nyilvántartás tartalmazza
a) az érintett nevét,
b) az adattovábbítás időpontját,
c) az adattovábbítás célját és jogalapját,
d) az adatigénylő nevét, nem természetes személy esetén megnevezését,
e) a továbbított adatok fajtáját.
31. Az adattovábbítás során szolgáltatott adatok nem képezik az adattovábbítási nyilvántartás részét.
32. A betekintési és az adattovábbítási nyilvántartásban nem kötelező rögzíteni azon adatkezeléseket, amelyekre vonatkozóan a 28. vagy 30. pontban meghatározott információk valamely szakrendszerből az érintett nevére keresés útján teljeskörűen lekérhetőek.
33. A bv. szerv az adatvédelmi incidensekről az 1. melléklet szerinti nyilvántartó lapokból álló nyilvántartást vezet, mely tartalmazza az incidens
a) leírását, bekövetkezésének körülményeit (helye, időpontja, oka stb.),
b) hatásait (érintetti jogok sérülése, érintetti kör nagysága stb.),
c) kezelésére tett intézkedéseket (kezelés módja, időpontja, Hatóságnál való bejelentés, érintett értesítése esetén ennek ténye stb.).
34. Az elektronikus szakrendszerben végzett adatkezelési műveletek jogszerűségének ellenőrizhetőségére kialakított elektronikus napló szabadszavas részeit minden esetben kötelező kitölteni. Az adatkezelés célját és indokát az ellenőrizhetőséget lehetővé tevő módon szükséges feltüntetni, a bv. szervezet szakrendszere esetében lehetőség szerint ügyszám, annak hiányában a konkrét szolgálati feladat rögzítésével, más szerv szakrendszere esetében az irányadó törvényi rendelkezés és a konkrét szolgálati feladat feltüntetésével.
VII. Az adatkezelés kialakításával összefüggő kötelezettségek, az adatvédelmi hatásvizsgálat és az előzetes konzultáció
35. A személyes adatok kezelésével járó új tevékenység megkezdése vagy a folyamatban lévő adatkezelési tevékenységekkel kapcsolatos módosítások hatálybalépése előtt a feladat ellátásáért felelős szakterület vezetője írásban rögzíti és az adatvédelmi tisztviselő részére továbbítja a tervezett adatkezelés legfontosabb jellemzőit, így legalább
a) az adatok kezelésére okot adó körülményt vagy jogszabályi rendelkezést,
b) a feladat ellátásához szükséges adatköröket és azok tervezett forrását,
c) a tervezett vagy jogszabályban meghatározott megőrzési időt vagy az annak meghatározásához szükséges szempontokat,
d) az ahhoz kapcsolódó adattovábbítás címzettjeit,
e) az adatok biztonsága, valamint az érintettekre nézve azonosított kockázatok csökkentése érdekében tervezett intézkedéseket.
36. Az adatvédelmi tisztviselő – több bv. szervet érintő adatkezelés esetén a BVOP adatvédelmi tisztviselője – megvizsgálja, hogy a tervezett adatkezelésnek várhatóan milyen hatásai lesznek az érintettek alapvető jogai érvényesülésére (a továbbiakban: előzetes kockázatbecslés).
37. Az előzetes kockázatbecslés során az adatvédelmi tisztviselő az általános adatvédelmi rendelet vagy az Infotv. rendelkezései alapján, a Hatóság iránymutatásai figyelembevételével, szükség esetén az érintett szakterületek bevonásával azonosítja a tervezett adatkezeléssel járó várható kockázatokat az érintettek alapvető jogai érvényesülése vonatkozásában.
38. Az adatvédelmi tisztviselő az előzetes kockázatbecslés eredményét írásban rögzíti, amelyben javaslatot tesz a bv. szerv vezetője részére
a) az ahhoz kapcsolódóan szükségesnek tartott további szervezési és technikai intézkedésekre vagy az adatkezelési alapelveknek megfelelő adatkezelés kialakításának szempontjaira nézve,
b) a kapcsolódó adatvédelmi hatásvizsgálat szükségessége kapcsán,
c) az ahhoz kapcsolódó adatkezelési tájékoztató tartalmára és esetleges közzétételére vonatkozóan.
39. Nem szükséges adatvédelmi hatásvizsgálatot lefolytatni, amennyiben az adatvédelmi tisztviselő megállapítja, hogy
a) az előzetes kockázatbecslés alapján a tervezett adatkezelés valószínűsíthetően nem jár magas kockázattal,
b) a tervezett adatkezelés a Hatóság által meghatározott kivételi körbe tartozik,
c) a tervezett adatkezeléssel megegyező adatkezelés esetében korábban lefolytatott adatvédelmi hatásvizsgálat eredménye rendelkezésre áll, vagy
d) a jogszabályban előírt adatkezelés esetében a jogalkotó lefolytatta előzetesen a hatásvizsgálatot.
40. Az adatvédelmi hatásvizsgálat lefolytatásáról vagy mellőzéséről az adatvédelmi tisztviselő által tett megállapítások figyelembevételével a bv. szerv vezetője dönt.
41. Az adatvédelmi hatásvizsgálat lefolytatásának elrendelése esetén a bv. szerv vezetője a tervezett adatkezelés tárgyát, formáját figyelembe véve kijelöli az abban részt vevő személyeket, szakterületeket.
42. Az adatvédelmi hatásvizsgálat lefolytatásának mellőzése esetén annak indokait az adatvédelmi tisztviselő írásban rögzíti, és az előzetes kockázatbecslés irataihoz csatolja.
43. Az adatvédelmi hatásvizsgálat lefolytatása során az általános adatvédelmi rendelet vagy az Infotv. rendelkezései alapján, a Hatóság iránymutatásai figyelembevételével a kijelölt személyek rögzítik
a) a tervezett adatkezelési műveletek általános leírását és az adatkezelés céljainak meghatározását,
b) a tervezett adatkezelés céljaira figyelemmel az adatkezelési műveletek vonatkozásában elvégzett szükségességi és arányossági vizsgálat eredményét,
c) az érintett alapvető jogai érvényesülését fenyegető kockázatokat,
d) a kockázatok kezelését célzó adatbiztonsági intézkedések részletes leírását és értékelését.
44. Az adatvédelmi hatásvizsgálat eredményéről összefoglaló jelentés készül, mely tartalmazza a hatásvizsgálat lefolytatásának okait, a lefolytatására kijelölt csoportban részt vevők szerep- és felelősségi köreit, a 43. pontban foglaltakat, valamint annak megállapítását, hogy a hatásvizsgálat alapján a tervezett adatkezelés magas kockázatú-e.
45. Amennyiben az előkészítés során megtett intézkedésekkel nem csökkenthető elfogadható mértékűre a tervezett adatkezelés kockázata, a bv. szerv vezetője a Hatóságnál előzetes konzultációt kezdeményez.
46. Az összefoglaló jelentés alapján az adatkezelés megkezdését megelőzően a bv. szerv vezetője meghatározza az adatkezelés megvalósulásának nyomon követésében részt vevő személyeket, szakterületeket és az adatkezelés felülvizsgálatának gyakoriságát és módszerét.
VIII. Az érintetti jogok érvényesítése és az adatszolgáltatások teljesítése
47. A bv. szerv valamennyi adatkezeléséről az érintettek előzetes tájékoztatása céljából a 2. melléklet szerinti adatlap érintetti jogokkal és jogorvoslati lehetőségekkel történő kiegészítésével érintetti tájékoztatót készít, amelyet az érintettek számára elérhetővé tesz.
48. A bv. szerv valamennyi érintetti tájékoztatót köteles közzétenni a bv. szerv honlapján a közérdekű adatok között, a fogvatartotti adatkezelésekre vonatkozó érintetti tájékoztatókat a fogvatartottak számára elérhető belső elektronikus felületen, továbbá az elektronikus felület használatához hozzá nem járuló fogvatartottak részére papír alapon. Indokolt esetben az érintetti tájékoztatók eltérő módon is rendelkezésre bocsáthatók.
49. Az érintetti tájékoztatók elérhetőségéről
a) a bv. szerv személyi állományába jogviszony létesítésére jelentkező részére a jelentkezésre szolgáló felületen, egyéb módon történő jelentkezés esetén az első kapcsolatfelvételkor,
b) a fogvatartott részére a befogadás során,
c) a bv. szerv területére belépő személy részére a beléptetési ponton kihelyezett eszközön
szükséges tájékoztatást nyújtani.
50. A bv. szerv az elektronikus megfigyelésre irányuló adatkezelésről az elektronikus megfigyelési eszköz látóterébe kerülő érintettek előzetes tájékoztatása céljából a bv. szerv bejáratánál, valamint megfigyeléssel érintett külső falain figyelmeztetést helyez el.
51. Közös adatkezelés esetén az adatkezelő bv. szervek az érintettek tájékoztatására szolgáló felületen az adott adatkezelés érintetti tájékoztatója mellett közzéteszik a közös adatkezelésre vonatkozóan kötött megállapodást.
52. Hozzájáruláson alapuló adatkezelés esetén a hozzájárulást igazolható módon, elsősorban írásban vagy más rögzített formában kell dokumentálni.
53. Az érintett által benyújtott, hozzáféréshez, helyesbítéshez, az adatkezelés korlátozásához vagy törléshez való joga érvényesítésére irányuló kérelem elbírálása és megválaszolása a bv. szerv a kérelemmel érintett adatkezelést végző szakterületének feladata.
54. Minden érintetti joggyakorlásra irányuló kérelem kapcsán vizsgálni kell az érintett azonosíthatóságát. Azonosítottnak minősül az érintett személyazonosítást követően személyesen, postai úton vagy elektronikusan, hitelesített üzenetküldő alkalmazáson keresztül benyújtott kérelem esetén.
55. Az érintett tájékoztatása a kérelmében foglaltaknak megfelelően az adatai kezelésére szolgáló szakrendszerből, a betekintések és adattovábbítások tekintetében a 28. és 30. pont szerinti nyilvántartásból vagy a 32. pont szerinti szakrendszerből teljesítendő.
56. Az érintetti adatkérésre irányuló megkeresést tartalma alapján kell elbírálni, ennek keretében vizsgálandó, hogy a megkeresés az általános adatvédelmi rendelet vagy fogvatartotti adatkezelés esetén az Infotv. hatálya alá tartozó érintetti hozzáférésijog-gyakorlásnak minősül-e, továbbá valamely ágazati jogszabály speciális rendelkezései irányadóak-e, különös tekintettel
a) a büntetés-végrehajtási szervezetről szóló 1995. évi CVII. törvény (a továbbiakban: Bvsztv.) 30. § (2)–(4) bekezdése,
b) a büntetések, az intézkedések, egyes kényszerintézkedések és a szabálysértési elzárás végrehajtásáról szóló 2013. évi CCXL. törvény (a továbbiakban: Bvtv.) 26. §-a
rendelkezéseire.
57. Az érintettre vonatkozó adatok kiadására irányuló más személy vagy szerv általi megkeresés kizárólag jogszerű jogalap fennállása esetén teljesíthető, különösen
a) a Bvsztv. 29–29/A. §-a, 30. § (1) bekezdése és a megkereső szervre vonatkozó jogszabályi felhatalmazás vagy okirattal igazolt jogérvényesítési szükséglet,
b) a Bvtv. 26. §-a rendelkezései,
c) a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény 24. és 27. §-a rendelkezései,
d) az érintett megfelelő tájékoztatáson alapuló írásban vagy más formában rögzített hozzájárulása
alapján.
58. Személyes adatot továbbítani kizárólag pontosan meghatározott és jogszerű célból, a konkrét esetben hivatkozható jogalap birtokában lehetséges, és a továbbítandó adatok körét az alkalmazandó jogszabályi követelményeket mérlegelve az adatkezelés céljához szükséges körre kell szűkíteni.
59. Személyes adatot tartalmazó tájékoztatás jogszerű jogalap fennállása esetén is kizárólag azonosítható címzett részére teljesíthető személyes átvétellel, postai úton tértivevényes küldési móddal vagy elektronikusan, hitelesített üzenetküldő alkalmazáson keresztül. Azonosíthatóság hiányában kizárólag általános tájékoztatás nyújtható.
60. A bv. szerv a kiadásra kerülő iratot vagy felvételt harmadik fél személyes adatai tekintetében köteles anonimizálni érintetti hozzáférésijog-gyakorlás vagy – különösen bíróság részére teljesítendő – adatszolgáltatás esetén, amennyiben a későbbiekben az érintett számára is megismerhetővé válik.
61. Az anonimizálásnak ki kell terjednie az érintetten kívüli személy azonosítására alkalmas valamennyi információra, különös tekintettel a személyazonosító adatokra, nyilvántartási számra, arcképre, egyéb különös ismertetőjegyre.
62. A bv. szerv vezetője döntése alapján az anonimizálás kiterjed továbbá a Bvsztv. 12/A. §-a alapján nem megismerhető adatokra.
63. Az anonimizálás technikai feltételeinek hiányában a bv. szerv a BVOP Informatikai Főosztálya közreműködését kérheti, a kérelemben pontosan meg kell határozni az anonimizálandó részeket.
64. A bv. szerv az adatszolgáltatást kérő szervet minden esetben köteles az irányadó jogszabályi rendelkezés megjelölésével tájékoztatni arról, ha a rendelkezésre bocsátott irat vagy felvétel vagy annak egy része az érintett által nem megismerhető.
65. Amennyiben bíróság vagy hatóság részéről érkező átirat a továbbított személyes adatok zártan történő kezelésére irányuló felhívást tartalmaz, az ügyintézésre kijelölt személy gondoskodik ezen adatok zárt kezeléséről.
66. A zártan kezelendő adatokat tartalmazó iratot az ügyintézésre kijelölt személy a Robotzsaruban erre utaló jelzéssel látja el az alszám megfelelő elnevezésével vagy egyéb jól látható módon.
67. A zártan kezelt adatok más szerv vagy személy részére nem továbbíthatóak, nem adhatóak ki, azokra döntés indokolásában vagy egyéb módon hivatkozni tilos.
IX. Az adatvédelmi incidens kezelése
68. Adatvédelmi incidens bekövetkezésének gyanúja esetén haladéktalanul jelentést kell tenni szakterületi vezetőnek.
69. A szakterület vezetője haladéktalanul tájékozódik a bekövetkezett adatvédelmi incidens körülményeiről, és intézkedik a kárelhárítás, kárenyhítés érdekében.
70. A szakterület vezetője haladéktalanul értesíti az adatvédelmi tisztviselőt az adatvédelmi incidens bekövetkezéséről, és rendelkezésére bocsátja az incidenssel kapcsolatban rendelkezésre álló iratokat és információkat.
71. Az adatvédelmi tisztviselő a rendelkezésre álló iratok, információk alapján, valamint szükség esetén az érintett szakterület, valamint a szükséges szakértelemmel rendelkező személy bevonásával elvégzi a kockázatbecslést a bekövetkezett adatvédelmi incidenssel összefüggésben, és jelentést tesz a bv. szerv vezetőjének.
72. Amennyiben a kockázatbecslés eredménye alapján az adatvédelmi incidens kockázattal jár az érintettek jogai érvényesülése vonatkozásában, az adatvédelmi tisztviselő a tudomásszerzést követő 72 órán belül a Hatóság honlapján elérhető adatvédelmi incidensbejelentő nyomtatványon, Robotzsarun keresztül megteszi a bejelentést. Amennyiben a bejelentés nem teljesíthető az előírt határidőben, a bejelentésben meg kell jelölni a késedelem okait.
73. Amennyiben a kockázatbecslés eredménye alapján az adatvédelmi incidens magas kockázattal jár az érintettek jogai érvényesülése vonatkozásában, és nem áll fenn az általános adatvédelmi rendeletben vagy az Infotv.-ben meghatározott mentesülési okok egyike sem, az adatvédelmi tisztviselő haladéktalanul jelentést tesz a bv. szerv vezetője felé, és dokumentált módon tájékoztatja az érintetteket, vagy amennyiben a közvetlen tájékoztatás aránytalan erőfeszítéssel járna, a BVOP adatvédelmi tisztviselője jóváhagyását követően intézkedik a tájékoztatás közzétételéről a bv. szerv honlapján.
X. Adatbiztonsági intézkedések
74. A bv. szerv a személyes adatok bizalmasságát, sértetlenségét és rendelkezésre állását biztosítandó, az érintettekre nézve megjelenő kockázatokkal arányos, a technológiai fejlődés szempontjából naprakész, zárt, teljes körű és folytonos szervezési és technikai védelmi intézkedéseket alkalmaz.
75. A bv. szerv elektronikus információs rendszereihez és – a tevékenységével összefüggésben ellátott feladatok ellátásához szükséges – más szerv kezelésében lévő elektronikus információs rendszerekhez, valamint nem elektronikus úton vezetett nyilvántartásokhoz történő hozzáférési jogosultságot és annak szintjét a jogosult elöljárójának személyre szólóan kell megállapítania, figyelemmel a személyi állományi tag beosztására és az ahhoz kapcsolódó jogszabályban meghatározott feladatra. Amennyiben a jogosultság megállapítására alapot adó körülményben változás történik, haladéktalanul intézkedni kell a jogosultság módosítására vagy visszavonására.
76. A jogosultságot megállapító vezető köteles gondoskodni arról, hogy a betekintési és hozzáférési jogosultságok a személyi változásokkal összhangban aktualizálásra kerüljenek. A személyi állomány tagja jogviszonyának megszűnése esetén legkésőbb az érintett utolsó munkában töltött napján intézkedni kell a betekintési és hozzáférési jogosultságok visszavonására. A leszerelő lap mindaddig nem írható alá, amíg a betekintési, illetve hozzáférési jogosultság visszavonásának tényét a leszerelő lap szignálásával az arra hatáskörrel rendelkező szakterületek nem igazolták.
77. A bv. szervnél szakmai gyakorlatot teljesítő személy személyes adatot tartalmazó irathoz és elektronikus információs rendszerhez kizárólag a feladata elvégzésére vonatkozó adatkezelési szabályok megismerését, továbbá titoktartási nyilatkozat aláírását követően férhet hozzá.
78. A személyes adatok fizikai biztonságának biztosítása érdekében a személyes adatot tartalmazó papíralapú iratokat, adathordozókat a megismerésre nem jogosult személyek elől elzárva, zárt páncélszekrényben, lemezszekrényben, irodabútorban vagy irattári helyiségben kell őrizni.
79. Az adminisztratív védelem keretében gondoskodni kell szervezési, szabályozási, ellenőrzési intézkedések megtételéről, továbbá a védelemre vonatkozó oktatásról.
80. A fizikai védelem keretében biztosítani kell a rendelkezésre állás és működőképesség megőrizhetőségének követelményeit. A bv. szerv tulajdonában, használatában lévő hardvereszközöket kategorizálni kell a hardvereszközön keletkezett, feldolgozott vagy továbbított adat kategóriának megfelelően. A hardvereszközök védelmi intézkedéseinek kialakításánál figyelembe kell venni az adat érzékenységét, és biztosítani kell az adat magas fokú rendelkezésre állását.
81. A logikai védelmi megoldásoknak biztosítania kell az adat bizalmassága és sértetlensége megőrizhetőségének követelményeit. A logikai védelmi intézkedések kialakításánál figyelembe kell venni az adat érzékenységét. A védelmi intézkedések célja bizalmasság esetén, hogy az adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról, sértetlenség esetén az adat tartalma és tulajdonságai az elvárttal megegyeznek.
XI. A közérdekű adatok közzétételére és megismerésére vonatkozó szabályok
82. A bv. szerv köteles honlapján az Infotv. 1. mellékletét képező általános közzétételi lista szerinti, a bv. szerv esetében releváns adatokat közzétenni.
83. A bv. szerv az Infotv. 37/C. §-ában foglaltak alapján a Központi Információs Közadat-nyilvántartásba köteles feltölteni az ott meghatározott adatokat a meghatározott bontásban és gyakorisággal.
84. A gazdasági társaság köteles továbbá honlapján közzétenni
a) a köztulajdonban álló gazdasági társaságok takarékosabb működéséről szóló 2009. évi CXXII. törvény 2. §-ában,
b) a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény 63. § (2) bekezdésében
meghatározott adatokat.
85. A honlapon közzéteendő adatok közzétételét a Kommunikációs Főosztály a tárgykör szerint illetékes szakterület közreműködésével végzi. A honlap karbantartása a BVOP-ra vonatkozóan a Kommunikációs Főosztály, a bv. szervekre vonatkozóan a bv. szerv vezetője által kijelölt személy feladata.
86. A Tevékenységre, működésre vonatkozó adatok 1. pontjában meghatározott jogszabályok és közjogi szervezetszabályozó eszközök közzétételét a BVOP végzi a bv. szervezet egészére kiterjedően. A bv. szerv honlapján feltünteti a szervezeti honlap jogszabályok felsorolását tartalmazó menüpontja elérési útvonalát, továbbá közzéteszi a bv. szerv szervezeti és működési szabályzatát és adatvédelmi és adatbiztonsági szabályzatát.
87. A Gazdálkodási adatok 4. pontjában meghatározott adatok közzététele a honlapon a Központi Információs Közadat-nyilvántartásra hivatkozással teljesítettnek minősül.
88. A telephelynek minősülő bv. szerv honlapján az adott adatköröknél – különös tekintettel a Gazdálkodási adatok egyes adatköreire – megjelöli azon bv. szervet, amelynek közérdekű adatai között elérhetőek a telephelyre vonatkozó adatok. A telephellyé válást megelőzően keletkezett adatokat a telephely saját honlapján szerepelteti.
89. A BVOP tekintetében a közzéteendő adatok vonatkozásában az adatszolgáltatást
a) a Szervezeti, személyzeti adatok vonatkozásában – a 10. pont kivételével – a Humán Szolgálat vezetője,
b) a Szervezeti, személyzeti adatok 10. pont, a Tevékenységre, működésre vonatkozó adatok 2., 7. és 10. pont vonatkozásában a Kommunikációs Főosztály vezetője,
c) a Tevékenységre, működésre vonatkozó adatok 1., 4., 6. és 13. pont vonatkozásában a Jogi és Adatkezelési Főosztály vezetője,
d) a Tevékenységre, működésre vonatkozó adatok 11. és 12. pont vonatkozásában a szakmailag illetékes főosztály vezetője,
e) a Gazdálkodási adatok vonatkozásában – a 7–8. pont kivételével – a Közgazdasági Főosztály vezetője,
f) a Gazdálkodási adatok 7. pont vonatkozásában a projektet koordináló főosztály vezetője,
g) a Gazdálkodási adatok 8. pont vonatkozásában a Büntetés-végrehajtás Gazdasági Ellátó Intézete Beszerzési Osztály vezetője
végzi.
90. A honlap karbantartását az Infotv. 1. mellékletében az egyes adatköröknél meghatározott időpontban vagy időszakonként kell elvégezni.
91. A megőrzési idő lejártáig a már nem aktuális adatokat tartalmazó dokumentumot az érvényesség időszakának megjelölésével az aktuális adatokat tartalmazó dokumentum alatt vagy az archívumban kell őrizni.
92. A megőrzési idő lejártát követően vagy megőrzésre irányuló kötelezettség hiányában a már nem aktuális adatot vagy dokumentumot a honlapról el kell távolítani.
93. A közérdekű adatigénylés teljesítésére rendelkezésre álló határidő a bv. szervhez érkezést követő napon kezdődik.
94. Az adatvédelmi tisztviselő az adatigénylés beérkezését követően haladéktalanul megvizsgálja az adatigénylést, és amennyiben szükséges, az adatszolgáltatás összeállításába bevonja az igényelt adatot kezelő szakterületet.
95. A bv. szerv vezetője döntése alapján az adatszolgáltatást a nem közérdekű vagy nem megismerhető adatok tekintetében anonimizálni kell, melynek keretében figyelembe kell venni különösen
a) az Infotv. 3. § 5. és 6. pontja,
b) a Bvsztv. 12/A. §-a,
c) az Infotv. 27. §-a
rendelkezéseit.
XII. Ellenőrzés
96. Az adatkezelési rendelkezések betartásának ellenőrzésére jogosult
a) a bv. szerv vezetője,
b) a bv. szerv adatvédelmi tisztviselője,
c) a BVOP Ellenőrzési Szolgálat erre felhatalmazott személyi állományi tagja,
d) a BVOP Jogi és Adatkezelési Főosztály erre felhatalmazott személyi állományi tagja,
e) az agglomerációs központ adatvédelmi tisztviselője,
f) az agglomerációs központ erre felhatalmazott személyi állományi tagja,
g) a belügyminiszter által írásban felhatalmazott személy.
97. Az agglomerációs központ, valamint a bv. szerv a személyes és közérdekű adatok kezelésére vonatkozó jogszabályok és belső szabályozó eszközök érvényesülését ellenőrzési terv alapján ellenőrzi, amelyet az adatvédelmi tisztviselő az 5. mellékletben meghatározott szempontrendszer figyelembevételével készít el.
98. Az ellenőrzésre feljogosított az ellenőrzés céljára figyelemmel az ellenőrzés érdekében minden olyan helyiségbe beléphet, ahol adatkezelés folyik, az adatkezelést végzőktől minden olyan kérdésben felvilágosítást kérhet, minden olyan adatkezelést megismerhet, vagy abba betekinthet, amely az ellenőrzött bv. szerv adatkezelési tevékenységével összefügg, és az adatok megismerését jogszabály nem korlátozza.
99. A bv. szerv, szakterület szakmai tevékenységét érintő átfogó ellenőrzésnek ki kell terjednie a szakmai feladatellátáshoz szükséges adatkezelések törvényességének ellenőrzésére is.
100. Az ellenőrzés során feltárt hiányosságokról, esetleges jogszabály- vagy egyéb normasértésekről az ellenőrzést végző az ellenőrzés befejezését követően írásban köteles tájékoztatni a bv. szerv vezetőjét, aki köteles haladéktalanul megtenni a jogszerű állapot helyreállításához szükséges intézkedéseket, illetve indokolt esetben elrendeli vagy kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását.
XIII. Oktatás, tájékoztatás
101. A bv. szerv állományába újonnan felvételre került személyek adatvédelmi oktatása a központi elektronikus képzési rendszerben kerül végrehajtásra.
102. A bv. szerv állományába újonnan felvételre került személyeket a munkakörből fakadó sajátosságokra tekintettel, indokolt esetben az adatvédelmi tisztviselő kiegészítő adatvédelmi oktatásban részesíti, amelynek keretében a szükséges jogszabályokat, belső szabályozó eszközöket és egyéb segédanyagokat rendelkezésre bocsátja.
103. Az adatvédelmi tisztviselő a bv. szerv személyi állományát a személyes és közérdekű adatok kezelését érintő jogszabály- és egyéb normaváltozásokról köteles tájékoztatni, indokolt esetben – különösen a jelentősebb változások vagy az ellenőrzés során feltárt visszatérő vagy egyébként súlyos hiányosságok esetén – az érintett állomány kötelező adatvédelmi oktatását elvégezni.
104. A bv. szervek adatvédelmi tisztviselői rendszeres továbbképzéséről a BVOP adatvédelmi tisztviselője gondoskodik.
105. A BVOP adatvédelmi tisztviselője az intranet felületen az Adatvédelem mappában elérhetővé teszi a személyes és közérdekű adatok kezelését érintő oktatási anyagokat és mintadokumentumokat.
XIV. Záró rendelkezések
106. Ez az utasítás 2026. január 1-jén lép hatályba.
107. Hatályát veszti a büntetés-végrehajtási szervek Adatvédelmi és Adatbiztonsági Szabályzatáról szóló 3/2019. (III. 20.) BVOP utasítás.
országos parancsnok
3. melléklet a 25/2025. (XI. 20.) BVOP utasításhoz
|
Sorszám |
Hozzáférési jogot gyakorló érintett neve vagy betekintést/másolatot kérő neve, adatai |
Kérelem kelte |
Igényelt adatok, információk köre |
Kérelem teljesítésének időpontja |
Hozzáférés, betekintés korlátozásának vagy megtagadásának jogi és ténybeli indokai |
|
1. |
|||||
|
2. |
|||||
|
3. |
|||||
|
4. |
|||||
|
5. |
|||||
|
6. |
|||||
|
7. |
|||||
|
8. |
|||||
|
9. |
|||||
|
10. |
|||||
|
11. |
|||||
|
12. |
|||||
|
13. |
|||||
|
14. |
|||||
|
15. |
|||||
|
16. |
|||||
|
17. |
|||||
|
18. |
|||||
|
19. |
|||||
|
20. |
|||||
|
21. |
|||||
|
22. |
|||||
|
23. |
|||||
|
24. |
|||||
|
25. |
|||||
|
26. |
|||||
|
27. |
|||||
|
28. |
|||||
|
29. |
|||||
|
30. |
|||||
|
31. |
|||||
|
32. |
|||||
|
33. |
|||||
|
34. |
|||||
|
35. |
|||||
|
36. |
|||||
|
37. |
|||||
|
38. |
|||||
|
39. |
|||||
|
40. |
|||||
|
41. |
|||||
|
42. |
|||||
|
43. |
|||||
|
44. |
|||||
|
45. |
|||||
|
46. |
|||||
|
47. |
|||||
|
48. |
|||||
|
49. |
|||||
|
50. |
4. melléklet a 25/2025. (XI. 20.) BVOP utasításhoz
|
Sorszám |
Érintett neve |
Az adattovábbítás időpontja |
Adattovábbítás jogalapja |
Adatigénylő neve/megnevezése |
A továbbított személyes adatok fajtája |
|
1. |
|||||
|
2. |
|||||
|
3. |
|||||
|
4. |
|||||
|
5. |
|||||
|
6. |
|||||
|
7. |
|||||
|
8. |
|||||
|
9. |
|||||
|
10. |
|||||
|
11. |
|||||
|
12. |
|||||
|
13. |
|||||
|
14. |
|||||
|
15. |
|||||
|
16. |
|||||
|
17. |
|||||
|
18. |
|||||
|
19. |
|||||
|
20. |
|||||
|
21. |
|||||
|
22. |
|||||
|
23. |
|||||
|
24. |
|||||
|
25. |
|||||
|
26. |
|||||
|
27. |
|||||
|
28. |
|||||
|
29. |
|||||
|
30. |
|||||
|
31. |
|||||
|
32. |
|||||
|
33. |
|||||
|
34. |
|||||
|
35. |
|||||
|
36. |
|||||
|
37. |
|||||
|
38. |
|||||
|
39. |
|||||
|
40. |
|||||
|
41. |
|||||
|
42. |
|||||
|
43. |
|||||
|
44. |
|||||
|
45. |
|||||
|
46. |
|||||
|
47. |
|||||
|
48. |
|||||
|
49. |
|||||
|
50. |
5. melléklet a 25/2025. (XI. 20.) BVOP utasításhoz
1. Az adatvédelmi tisztviselő kijelölésére vonatkozó előírások teljesülése, az adatvédelmi tisztviselő tevékenysége
1. Annak megállapítása, hogy van-e a bv. szervnek kijelölt adatvédelmi tisztviselője, mióta látja el feladatát, rendelkezik-e a feladat ellátásához szükséges ismeretekkel, megtörtént-e bejelentése a Hatóság felé.
2. Annak megállapítása, hogy jelöltek-e ki helyettest az adatvédelmi tisztviselő távolléte esetére.
3. Annak ellenőrzése, hogy az adatvédelmi tisztviselő(k) aktuális elérhetőségei szerepelnek-e
a) a Hatóság honlapján,
b) a bv. szerv honlapján,
c) az érintetti tájékoztatókon.
4. Vizsgálni kell, hogy az adatvédelmi tisztviselő(k) munkaköri leírásában szerepelnek-e ezen tisztségével kapcsolatos feladatok.
5. Annak vizsgálata, hogy az adatvédelmi tisztviselő tanácsadóként bevonásra kerül-e adatvédelmet érintő döntések, ügyek, kérdések kapcsán, illetve milyen módon kap lehetőséget az adatvédelmi szabályok érvényesítésére.
2. Az adatkezelési tevékenységek felmérése, dokumentáltsága, az Adatvédelmi Szabályzat aktualizáltsága, megfelelősége
6. Vizsgálni kell, hogy mikor történt meg legutóbb az adatkezelési tevékenységek felülvizsgálata (az adatvagyonleltár felvétele), az eltelt időben szükség volt-e új adatkezelés kialakítására.
7. Annak megállapítása, hogy elkészültek-e az adatkezelési adatlapok.
8. Vizsgálni kell, hogy mikor került sor az adatvédelmi szabályzat aktualizálására, megfelelő-e az adatvédelmi szabályzat tartalma.
3. Az adatkezelési tájékoztatók alkalmazásának gyakorlata
9. Annak megállapítása, hogy a bv. szerv honlapján elérhetőek-e az érintetti tájékoztatók, tartalmilag megfelelően kerültek-e kiadásra.
10. Vizsgálni kell, hogy a fogvatartotti adatkezelésre vonatkozó érintetti tájékoztatók milyen módon érhetőek el számukra, milyen módon szereznek róla tudomást.
11. Annak megállapítása, hogy a kamerahasználatról szóló tájékoztató tábla kihelyezésre került-e, tartalmazza-e a szükséges információkat.
12. Az érintetti kérelmek teljesítésének gyakorlatát vizsgálni kell.
4. Az előírt adminisztrációs/nyilvántartás vezetési kötelezettségek teljesülése, különös tekintettel az adatkezelési tevékenységek nyilvántartására, az adatkezelői nyilvántartásra, illetve az adatvédelmi incidensek nyilvántartására
13. Annak megállapítása, hogy a Robotzsaru 13. iktatókönyvébe az adatvédelmi adatlapok feltöltésre kerültek-e, az adatlapokon kívül más ügyek iktatására is sor került-e ezen iktatókönyvbe.
14. Annak vizsgálata, hogy az adatvédelmi incidens nyilvántartás milyen módon van vezetve a bv. szervnél.
15. Vizsgálni kell, hogy a betekintési nyilvántartás megfelelően van-e vezetve.
16. Vizsgálni kell az adattovábbítási nyilvántartás vezetésének gyakorlatát.
5. Az adatvédelmi incidensek kezelésével kapcsolatos belső eljárásrend, illetve annak gyakorlati alkalmazása, a ténylegesen bekövetkezett adatvédelmi incidensek kivizsgálásának tapasztalatai
17. Annak megállapítása, hogy előfordult-e már adatvédelmi incidens a bv. szervnél.
18. Amennyiben igen, úgy vizsgálni szükséges, hogy az incidens
a) nem minősült kockázatosnak, és nyilvántartó lap felvételével zárult-e, vagy
b) kockázatosnak minősült, és Hatóság részére bejelentésre került-e határidőben, sor került-e az érintett(ek) tájékoztatására.
19. Vizsgálni szükséges az adatvédelmi incidens esetén követendő helyi eljárásrendet, a bejelentéssel összefüggő tapasztalatokat.
6. Az adatvédelmi hatásvizsgálati kötelezettségre vonatkozó előírások gyakorlati érvényesülése, az ezzel kapcsolatban tett intézkedések, a ténylegesen elvégzett hatásvizsgálattal érintett adatkezelések megnevezése
20. Annak megállapítása, hogy készült-e adatvédelmi hatásvizsgálat valamely adatkezelés kapcsán.
21. Amennyiben igen, úgy vizsgálni szükséges, hogy milyen adatkezeléssel összefüggésben és milyen megállapításokkal zárult.
7. Az adatfeldolgozók bevonása az adatkezelési tevékenységbe, a velük kötött szerződések aktualizáltsága
22. Annak megállapítása, hogy adatfeldolgozó bevonásra kerül-e valamely adatkezelés kapcsán.
23. Amennyiben igen, úgy vizsgálni szükséges, hogy az erre vonatkozó szerződés megkötésére sor került-e az adatfeldolgozóval.
24. Annak vizsgálata, hogy az adatkezelési adatlapon és az érintetti tájékoztatóban feltüntetésre került-e az adatfeldolgozásra vonatkozó információ és adatfeldolgozóra vonatkozó adatok.
8. Az adatvédelmi oktatás helyi gyakorlata
25. Annak vizsgálata, hogy szükség esetén tartott-e az adatvédelmi tisztviselő oktatást a személyi állomány részére (pl. adatvédelmi incidens vagy jogszabályváltozás esetén).
26. Vizsgálni szükséges az adatvédelmi tisztviselő adatvédelmi tudatosság növelése érdekében folytatott tevékenységét.
9. A közérdekű adatok közzétételével, illetve a közérdekű adatigénylések elintézésével kapcsolatos belső eljárásrend, illetve annak gyakorlati alkalmazása
27. Annak megállapítása, hogy a közérdekű adatok közzétételéért felelős személyek kijelölése megtörtént-e.
28. Annak ellenőrzése, hogy a közzétett adatok Infotv. szerinti aktualizálása végrehajtásra került-e.
29. Annak vizsgálata, hogy közérdekű adatigénylés érkezése esetén adatvédelmi tisztviselő minden esetben bevonásra kerül-e a válasz elkészítésébe.
30. A közérdekű adatigénylések elintézése eljárásrendjének vizsgálata.
31. Annak megállapítása, hogy az adatigénylés és az előkészített választervezet BVOP részére történő felterjesztése megvalósul-e.
10. A személyes adatok kezelésével kapcsolatos alapelveknek történő megfelelés érdekében tett intézkedések
32. A jogszerűség, tisztességes eljárás és átláthatóság elvének érvényesülése keretében annak vizsgálata, hogy
a) rendelkezésre áll-e megfelelő jogalap valamennyi adatkezeléshez,
b) az érintetti tájékoztatók elérhetősége megfelelően biztosított-e.
33. A célhoz kötöttség, adattakarékosság elvének érvényesülése keretében annak vizsgálata, hogy az adatvédelmi adatlapokon szereplőkhöz képest további adatok vagy eltérő adatkezelések előfordulnak-e.
34. A pontosság, korlátozott tárolhatóság elvének érvényesülése keretében
a) a helyesbítési, törlési kérelmek elintézési gyakorlata,
b) az iratok törlésével, megsemmisítésével kapcsolatos eljárásrend vizsgálata.
35. Az integritás és bizalmas jelleg elvének érvényesülése keretében
a) a hozzáférési jogosultság szakrendszerekhez, mappákhoz,
b) az iratok/adathordozók tárolása, elvitele,
c) a fogvatartotti részlegen megvalósuló adatkezelések vizsgálata.
36. Az elszámoltathatóság elvének érvényesülése keretében annak vizsgálata, hogy a megfelelő dokumentáltság (hozzájárulás, nyilatkozat, tájékoztatás stb.) megvalósul-e.
11. Az adatvédelmi tisztviselő ellenőrzési tevékenysége
37. Vizsgálni kell, hogy az adatvédelmi tisztviselő hogyan látja el ellenőrzési feladatait, ellenőrzése mely területekre terjed ki (hozzáférési jogosultságok, iratok/adatok megfelelő tárolása, közérdekű adatok elérhetősége, nyilvántartások vezetése stb.).
38. Annak vizsgálata, hogy készül-e az ellenőrzésről előzetes terv, a megállapításokról és a szükséges intézkedésekről jelentés.
39. Annak megállapítása, hogy az ellenőrzés során feltárt hibák, hiányosságok tekintetében utóellenőrzésre sor került-e.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás