33/1999. (BK 22.) BM utasítás
33/1999. (BK 22.) BM utasítás
a személyes és a közérdekű adatok belügyi igazgatási területen való kezelésének és védelmének egyes szabályairól*
2000.01.01.
A személyes adatok védelmének és a közérdekű adatok nyilvánosságának biztosítását elősegítő feladatok meghatározása és végrehajtása érdekében kiadom az alábbi utasítást:
I.
Az utasítás hatálya, értelmező rendelkezések
1. Az utasítás hatálya kiterjed a Belügyminisztérium hivatali szervezeti egységeinek, a minisztérium hivatali tevékenységét segítő szervezeteinek, valamint a belügyminiszter irányítása alá tartozó önálló szervezeteknek (a továbbiakban együtt: belügyi szerv), és a tűz elleni védekezésről, a műszaki mentésről és a tűzoltóságról szóló 1996. évi XXXI. törvény 24. § h) pontja alapján a hivatásos önkormányzati tűzoltóságnak a személyes illetve közérdekű adatok kezelésére vonatkozó tevékenységére.
2. A belügyi adatkezelők és adatfeldolgozók felsorolását az utasítás 1. számú melléklete, a belügyminiszter irányítása alá tartozó szervek és szervezetek felsorolását az utasítás 2. számú melléklete tartalmazza.
3. Ezen utasítás alkalmazásában:
a) adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatok gyűjtése, felvétele, tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is;
b) adatfeldolgozás: az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől, és eszköztől, valamint az alkalmazás helyétől;
c) adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg. Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, valamint az adatkezelőt az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg;
d) adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi;
e) adat: adathordozón rögzített információ;
f) adatforrás: az a szerv vagy személy, amelyet (vagy akit) jogszabály az adat szolgáltatására elsődlegesen kötelezett, illetve amelynél (vagy akinél) az adatfelhasználás, illetőleg a további feldolgozás céljára átadásra kerülő adatok eredetileg keletkeztek, továbbá aki azt önmaga közvetlenül szolgáltatta;
g) adatigénylő: az érintett kivételével az a szerv vagy személy, akinek a részére az adatkezelő jogszabály kötelezése vagy kérelem teljesítése alapján adatokat szolgáltat, továbbít vagy átad;
h) adat zárolása: az adat felhasználásának, továbbításának, nyilvánosságra hozatalának megtiltása;
i) érintett: az a természetes személy, akinek személyes adata az adatkezelés tárgyát képezi,
j) adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik, ez alatt értve az adat kiadására irányuló adatszolgáltatást, vagy adatátadás iránti kérelem teljesítését is;
k) adatvédelmi megbízott: az a személy, akit az adatkezelést végző belügyi szerv vezetője az adatvédelmi feladatok ellátására kijelöl;
l) harmadik személy: bármely szerv vagy személy az érintetten, az adatkezelőn és az adatfeldolgozón kívül;
m) hírközlő eszköz: távbeszélő, rádió és telefax készülék;
n) hibás adat: helytelen, pontatlan vagy időszerűtlen adat. Az időszerűtlen adat nem hibás, ha törvény vagy az érintett felhatalmazása alapján azért kezelik, mert korábbi állapotot tükröz;
o) közvetlen lekérdezés: a kezelt adatokba számítástechnikai eszköz alkalmazásával előre meghatározatlan időpontban és alkalommal történő betekintés, illetve az így megismerhetővé vált információk kinyomtatása, vagy más módon való rögzítése;
p) személyes adatállomány: személyes adatok rendszerezett, állandó vagy változtatott összessége, mely a tartalmazott adatfajták szerint rendezhető, válogatható, kiértékelhető;
q) technikai adatállomány: a jogszerűen kezelt adatokból adatbiztonsági vagy technikai célból létrehozott – legfeljebb az adatok jogszabályban előírt törlési határidejéig kezelt – ideiglenes adatállomány, melyet nem továbbítanak, tartalmát nem hozzák nyilvánosságra.
II.
Az adatkezelőre és az adatkezelésre vonatkozó szabályok
4. Az adatkezelésre vonatkozó szabályokat a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.), az egyes adatkezelésekre vonatkozó törvények, rendeletek és az utasítás tartalmazza. Az adatbiztonságra vonatkozó szabályokat adatbiztonsági szabályzat határozza meg.
5. Az adatvédelmi szabályok betartásáért az adatkezelő a felelős. Az adatkezelő szerv dolgozója az adatvédelmi és adatbiztonsági szabályok betartásáért személyes felelősséggel tartozik.
6. Amennyiben az adatkezelő az adatkezelést adatfeldolgozóval végezteti, az adatbiztonsági szabályok betartásáért – a tevékenység végzésére vonatkozó szerződésben foglaltak szerint – az adatfeldolgozó szerv vezetőjét terheli felelősség.
7. Az adatkezelő személyes adatokat az Avtv. 3. § (1) és (5) bekezdésben meghatározott felhatalmazás alapján kezelhet.
8. A technikai adatállomány külön felhatalmazás nélkül kezelhető.
Az adatok tárolása
9. Az adatok tárolási módját úgy kell megválasztani, hogy – az esetleg eltérő törlési határidőre is tekintettel – törlésük az adattörlési határidő lejártakor, illetve ha az más okból szükséges, elvégezhető és a törlés ténye ellenőrizhető legyen.
Az adatok felhasználása
10. Az adatok a jogszabályban meghatározott célra használhatók fel.
11. Az adatkezelő szerv vezetője szervezési intézkedésekkel, ellenőrzési rendszer kiépítésével, szükség szerint az adatfelhasználás nyilvántartásával és műszaki, informatikai megoldások alkalmazásával biztosítja az adatok felhasználásának nyomon követhetőségét.
12. Az adatkezelő szerv nyilvántartásának, közvetlen lekérdezést lehetővé tevő számítástechnikai rendszerének (a továbbiakban közvetlen hozzáférést biztosító rendszer) vagy hírközlési eszközzel működő tájékoztató szolgálatának a szerv saját dolgozói által való igénybevételét, az adattovábbítások nyilvántartásának adattartalmát és megőrzési idejét figyelembe véve dokumentálni kell.
13. Számítástechnikai, távközlési eszközök és programok helyességének ellenőrzésére, felhasználók betanítására, illetve oktatási célra valós személyi adatokat felhasználni nem lehet.
Adatigénylés
14. Adatigénylés – jogszabály eltérő rendelkezése hiányában – akkor teljesíthető, ha a kérelem tartalmazza:
a) a kért adatok igénylésének célját, jogalapját,
b) a kért adatkör pontos meghatározását, továbbá
c) az egy személyre vonatkozó adattovábbítási kérelemnél az érintett személy azonosításához szükséges adatokat.
15. Több személyre vonatkozó adatigénylés akkor teljesíthető, ha a kérelem a céljától függően a személyek azonosítására alkalmas adatokat, vagy a csoportképző ismérveket tartalmazza.
16. Rendszeres adattovábbítás iránti kérelem csak akkor fogadható el, ha az az adattovábbítások gyakoriságát és az utolsó adattovábbítás határidejét is tartalmazza.
17. Az adatkezelőtől való adatigénylésre a jogszabályban kifejezetten feljogosított adatigénylő esetében az adattovábbítás céljának, jogalapjának igazolására elegendő az adatigénylésére feljogosító jogszabályhelyre történő hivatkozás.
18. Az adatkezelő a kérelmet az adatkezelésre vonatkozó jogszabály, és az államigazgatási eljárás általános szabályairól szóló 1957. évi IV. törvény (a továbbiakban: Áe.) rendelkezései alapján bírálja el.
19. A nyilvántartott adatokba harmadik személy által közvetlen lekérdezéssel megvalósuló betekintésre és hírközlő eszközön keresztül, vagy más, nem reprodukálható módon történő tájékoztatására az adattovábbítás szabályait kell alkalmazni.
20. Az adatkezelésben az adatfeldolgozó (illetve jogszabály alapján közreműködő) részére a szükséges személyes adatok külön felhatalmazás nélkül továbbíthatóak.
Közvetlen lekérdezés
21. Amennyiben az adatigénylő a személyes adatokat közvetlen lekérdezéssel kívánja átvenni, akkor az adatkezelő megvizsgálja, hogy adottak-e a feltételek a közvetlen hozzáférést biztosító rendszer biztonságos igénybevételére. A feltételek fennállásáról az adatigénylőtől előzetesen tájékoztatást kér.
22. A tájékoztatás-kérés mellőzhető, ha az adatigénylő olyan szervezethez tartozik, amelynek vezetője az adatkezelővel kötött előzetes együttműködési megállapodásban vállalta a szükséges biztonsági feltételek biztosítását a rendszerhez adatigénylőként csatlakozni kívánó szervek részéről.
23. Amennyiben az adatigénylő a közvetlen lekérdezés feltételeinek fennállásáról való meggyőződéshez szükséges tájékoztatást nem adja meg, vagy a biztonságos igénybevétel feltételei nem állnak fenn, akkor az adatkezelő a jogosult számára az adattovábbítást nem közvetlen hozzáféréssel teljesíti.
24. Közvetlen lekérdezéssel teljesíthető adatigény esetén az adatkezelő és az adatigénylő megállapodást, az utasítás hatálya alá nem tartozó szerv esetén szerződést köt a közvetlen hozzáférést biztosító rendszer igénybevételéről.
25. A felek a megállapodásban illetve a szerződésben rögzítik a közvetlen hozzáférést biztosító rendszer használatának technikai és adatbiztonsági követelményeit, valamint szükség szerint a költségek viselésének rendjét.
26. A szerződésben rögzíteni kell a 25. pontban foglaltakon kívül, hogy az adatigénylő vállalja az utasítás 22–34. pontjaiban foglaltak betartását.
27. A közvetlen lekérdezési engedély tartalmazza:
a) a lekérdezések célját;
b) a jogalapját;
c) a lehívható adatfajtákat;
d) a lekérdezést végző személyek egyedi azonosítóját;
e) a lekérdezési lehetőség kezdő időpontját és határidejét;
f) az adatok jogszerű felhasználására felhívó záradékot.
28. A lekérdezést végző felelős azért, hogy kizárólag a lekérdezési engedélyben meghatározott adatokat hívja le, az adatokat a lekérdezési engedélyben meghatározott célra használja fel, továbbá gondoskodik a lekérdezett adatok biztonságos kezeléséről és arról, hogy részéről lekérdezéseket csak az általa feljogosított személyek végezhessenek.
29. Az adatigénylő szerv a lekérdezést végzőkről és az egyedi azonosítójukról naprakész nyilvántartást vezet. A nyilvántartás megőrzési ideje megegyezik az adattovábbítási nyilvántartás megőrzési idejével.
30. Az adatkezelőt haladéktalanul tájékoztatni kell a lekérdezést végző személyében bekövetkezett változásról.
31. A közvetlen hozzáférést biztosító rendszert úgy kell kialakítani, hogy a lekérdezés során minden adatigénylő csak a jogosultságának megfelelő adatokat érhesse el. A lekérdezést egyedi azonosító és jelszó megadásához kell kötni.
32. Amennyiben az adatigénylő több – a lekérdezési engedélyben meghatározott – célból is végezhet lekérdezést, és az egyes adat-felhasználási célokhoz eltérő adatkör megismerésére jogosult, akkor gondoskodnia kell arról, hogy minden lekérdezés a megfelelő adat-felhasználási célhoz legyen rendelhető.
33. Az adatok lekérdezésekor a közvetlen célt az adatkezelővel közölni nem szükséges, azonban az adatkezelő és az adatigénylő megállapodása esetén az adatfelhasználás nyomon követhetősége érdekében az adatigénylő szerv vezetője előírhatja a szerv részéről lekérdezést végző személyeknek, hogy lekérdezéskor a közvetlen hozzáférést biztosító rendszer e célra kialakított adatállományába rögzítsék az adatfelhasználás közvetlen céljára utaló adatot.
34. A lekérdezés szabályait nem kell alkalmazni a nyilvános személyes adatok számítástechnikai eszközzel, a nyilvánosság tájékoztatása céljából történő közzététele esetén.
Tájékoztatás hírközlő eszközön
35. A nyilvántartott személyes adatokról hírközlő eszközön tájékoztatás csak a jogosult nyomozó hatóságok, nemzetbiztonsági szervek, honvédség szervei, valamint az adatkezelővel közös szervezetbe tartozó adatkezelők (társ-szervek) számára, szervezetszerűen működő ügyfélszolgálat vagy ügyeleti szolgálat által adható.
36. A 35. pontban foglaltaktól eltérni csak halaszthatatlan esetben, az élet, a testi épség és a vagyonbiztonság megóvása érdekében lehet.
37. A hívó azonosságáról jelszó alkalmazásával, visszahívással vagy más módon meg kell győződni. Ha a tájékoztatást igénylő azonossága nem állapítható meg, vagy a hívó az adatok megismerésére nem jogosult, akkor a tájékoztatás nem teljesíthető.
38. A tájékoztatást az adattovábbítások nyilvántartásának szabályai szerint a tájékoztatást adó ügyeletnél illetve ügyfélszolgálatnál dokumentálni kell.
39. A tájékoztatás engedélyezésének feltételei, megszervezése tekintetében – a 36. pont kivételével – a közvetlen lekérdezési megállapodás és az engedély kiadásának szabályait kell megfelelően alkalmazni.
Az adatok törlése, helyesbítése
40. Az adatokat törölni – manuális nyilvántartás esetén megsemmisíteni – szükséges, ha
a) az adatkezelésre a jogszabályban előírt határidő eltelt;
b) az adatkezelés jogszerűtlensége megállapítást nyert;
c) a felhasználási cél teljesülését követően, ha azt az átadó külföldi fél kérte;
d) az érintett hozzájárulását írásban visszavonta, kivéve, ha törvény az adatok további kezelését lehetővé teszi;
e) az adatkezelés célja megszűnt;
f) bírósági jogerős határozattal elrendelte.
41. Az érintett bejelentése vagy az adatkezelő által észlelt hibás adat esetén az adatkezelő a hibás adatot a helyesbítés elvégzéséig jelzéssel látja el.
42. A pontatlan, időszerűtlen adat csak a jelzéssel együtt és akkor továbbítható, ha az adatszolgáltatás az adatkezelés céljára tekintettel az érintett jogos érdekét nem sérti.
43. Ha a hibás adat nem helyesbíthető, akkor törölni kell. Amennyiben a törlés vagy a helyesbítés az adatok tárolási módja miatt nem lehetséges, akkor az adatot megfelelő, helyesbítő vagy figyelemfelhívó feljegyzés hozzáfűzésével véglegesen zárolni kell.
44. Ha az adat hibás volta annak továbbítása után derül ki, akkor ennek tényéről, illetve – amennyiben a hibás adatot az adatkezelő kijavította – a helyes adatról mindazokat tájékoztatni kell, akiknek az adatot továbbították. A tájékoztatás mellőzhető, ha ez az adat jellegére, az adatkezelés céljára, az időmúlásra, illetve az adatkezeléssel összefüggő más körülményeire tekintettel az érintett, illetve a korábbi adattovábbítás címzettjének jogos érdekét nem sérti.
45. Az adatok törlésének módját, illetve az eljárás részletes szabályait – az adatkezelésre vonatkozó jogszabályban, ennek hiányában az Avtv. 14–16. §-ait és az Áe. rendelkezéseit figyelembe véve – az adatbiztonsági szabályzatban kell meghatározni.
Adattovábbítás
46. Személyes adatok akkor továbbíthatók harmadik szervnek vagy személynek, ha ahhoz az érintett írásban hozzájárult (szóbeli nyilatkozatát a hatóság írásba foglalta), és ha az adatkezelés feltételei (Avtv. 5–10. §-ok) az adatot átvevő szervnél vagy személynél minden egyes adatra nézve teljesülnek.
47. Nem minősül a 46. pont szerinti adattovábbításnak és ezért az eljárási szabályoknak és az ügykezelési szabályzatban foglaltaknak megfelelően kell dokumentálni:
a) az egy nyilvántartáson (nyilvántartási rendszeren) belül az egymással alá-, fölé- vagy mellérendeltségi kapcsolatban lévő szervek adatfeldolgozási célú adatátadást;
b) a megbízási szerződés alapján történő adatfeldolgozás céljára történő adatátadást;
c) az érintett saját adatairól történő tájékoztatását;
d) az Avtv. 19. § (2) bekezdésében szereplő személyes adatok bárki számára hozzáférhetővé tételét.
Adattovábbítási nyilvántartás
48. Az adatkezelő a kezelt személyes adat továbbításáról nyilvántartást vezet, amely tartalmazza:
a) az adattovábbítás célját, jogalapját, időpontját;
b) az adatigénylő azonosításához szükséges adatokat;
c) a továbbított adatfajták megnevezését.
49. Az adattovábbítási nyilvántartásban fel kell tüntetni az érintett tájékoztatására vonatkozó tiltást, amennyiben azt a nyilvántartás vezetésének módja lehetővé teszi és a tiltás az adattovábbítás előtt az adatkezelő tudomására jutott.
50. Az adatigénylő részéről eljáró személy személyazonosító adatait is nyilvántartásba kell venni, ha ezt az adatkezelésről rendelkező jogszabály előírja.
51. Az adattovábbítási nyilvántartás tartalmazza továbbá az adatkezelést elrendelő jogszabály által meghatározott egyéb adatokat.
52. Az adattovábbítási nyilvántartásba nem kell felvenni a nyilvános személyes adatokhoz a nyilvánosság tájékoztatása céljából történt hozzáférést.
53. Ha az adatkezelésről rendelkező törvény az adattovábbítási nyilvántartás adatainak megőrzési idejét nem határozza meg, akkor az adattovábbítási nyilvántartás adatai az Avtv. 12. § (1) bekezdés szerint nem törölhetők.
54. Az adattovábbítási nyilvántartás módjának alkalmasnak kell lennie arra, hogy az érintett jogai gyakorlásához és az adatkezelés ellenőrzéséhez szükséges adatok megfelelő idő alatt kiválogathatóak legyenek.
55. Az adattovábbítás nyilvántartása végezhető az adattovábbításról felvett ügyirat irattározásával is, ha az 54. pontban meghatározott feltétel teljesül és az ügyiratok megőrzési ideje nem rövidebb az adattovábbítási nyilvántartás megőrzési idejénél.
56. Az adattovábbítási nyilvántartás vezetésére – az abból való adatszolgáltatás kivételével – igénybe vehető olyan adatfeldolgozó, amely az adott adatkezelésben közreműködik.
57. Az adattovábbítási nyilvántartás az érintett tájékoztatása, az adatvédelem ellenőrzése, illetve az arra jogosultak adatigényének teljesítése céljából kezelhető.
58. Az adattovábbítási nyilvántartásba betekinthet, abból adatot igényelhet:
a) az adatvédelmi biztos, a bíróság, nyomozó hatóság, a nemzetbiztonsági szerv, törvényben meghatározott feladatai ellátásához,
b) az adatkezelő szerv adatvédelmi ellenőrzést végző dolgozója.
59. Az adattovábbítási nyilvántartásba való betekintést, az abból történő adattovábbítást dokumentálni kell.
III.
Az érintett jogai gyakorlásának biztosítása
60. Az érintett Avtv. 11. § (1) bekezdés b) pontja alapján benyújtott kérelmére az adatkezelő az érintett, hibásan kezelt személyes adatát helyesbíti. Ha az adat helyesbítése nem lehetséges, vagy az adatkezelő az adatot törvényes felhatalmazás, illetve az érintett hozzájárulása nélkül kezeli, akkor az adatot a 41. és 42. pont szerint törölni, illetve véglegesen zárolni kell.
61. A helyesbítési, törlési kérelmet érdemben meg kell vizsgálni és amennyiben az megalapozott, a helyesbítést, törlést teljesíteni kell, attól függetlenül, hogy az érintett tájékoztatható-e az eljárás eredményéről.
63. A kijavításról az érintettet és az Avtv. 15. § szerinti szerveket az ott meghatározottak szerint, az Avtv. 16. §-ára is figyelemmel kell értesíteni.
64. Az érintett Avtv. 12. § szerinti tájékoztatásra irányuló kérelmét határozattal kell megtagadni, ha
a) a kérelmező – a hiánypótlásra történt felszólítás ellenére – sem közölte a személyazonosságának megállapításához szükséges adatokat, illetőleg
b) teljesítését az Avtv. 16. §-a szerint törvény az érintett vagy mások jogainak védelme érdekében korlátozza vagy kizárja.
65. A tájékoztatásnak a 64. pont b) alpontja alapján történő megtagadása esetén az Avtv. 16. §-ára kell hivatkozni.
IV.
Adatfeldolgozó igénybevétele
66. Az adatkezelő szerv vezetője a vonatkozó jogszabályok betartásával adatfeldolgozót bízhat meg.
67. Az adatfeldolgozásra csak olyan szervnek adható megbízás, amely az adatbiztonság szabályainak betartását az adatkezelővel azonos módon és mértékben biztosítja.
68. A 66. pont szerinti megbízás tartalmának a Polgári Törvénykönyvben megfogalmazott általános követelményeken túl különösen a következőkre kell kitérnie:
a) a megbízott mely adatfajtákkal, milyen konkrét adatkezelési tevékenységet végezhet, különösen az adatkezelő engedélye alapján végzett adattovábbítások szabályaira;
b) az adatvédelmi és adatbiztonsági kötelezettségek meghatározására, és a megbízottnak azok megtartásáért való felelősségére;
c) az adatok engedély nélküli továbbításának – beleértve a megbízott által vezetett, a megbízás tárgyán kívül eső, más felhasználási célú adattárakba történő átvételének, illetve felhasználásának – tilalmára;
d) a 47. pont a) és b) alpontja alapján adattovábbításnak nem minősülő adatkezelések részletes leírására;
e) az adatok törlésére (esetleg fizikai megsemmisítésére, levéltárnak történő átadására) vonatkozó szabályokra.
V.
Adatbiztonság
69. A belügyi adatkezelések során – az adatkezelés jellegétől függően – az információ-rendszerek következő védelmi módszereit kell alkalmazni:
a) Ügyviteli védelem: az információ-rendszer felelőseinek (rendszerirányító, rendszergazda, üzemeltető) és az adatkezeléssel kapcsolatos tevékenységnek szervezési és adminisztratív módon történő nyomon követése, a felelősség körülhatárolása. Kiterjed az információ-rendszerre és annak szolgáltatásaira, valamint az adathordozók kezelésére, beleértve a hozzáférési jogosultság és a betekintés dokumentálását is. Ahol annak technikai feltételei adottak, a hozzáférési jogosultság ellenőrzésére és dokumentálására digitális aláírás vagy ujjnyomat felismerő eszköz is alkalmazható.
b) Fizikai védelem: olyan eszközök alkalmazása, amelyekkel azok a helyiségek védhetők, ahol számítástechnikai erőforrásokat használnak, vagy az adatmegőrzés szempontjából fontosak. Az információs rendszer minősítésétől függő védelemben kell részesíteni az adathordozókat is.
c) Algoritmikus védelem: matematikai algoritmusok alapján működő védelem, amely egyedi számítógépen és hálózaton is lehetővé teszi a használó azonosítását, a jogosultság ellenőrzését. Magában foglalhat szoftver módon történő rejtjelezést is. Algoritmikus védelmet minden olyan információs rendszernek biztosítani kell, amely azonosítható természetes személyre vonatkozó adatot dolgoz fel és hálózat is csak algoritmikus védelem alatt üzemeltethető.
d) Rejtjelezés: a rejtjelezésről szóló 43/1994. (III. 29.) Korm. rendelet 1. § (1) bekezdése szerinti tevékenység alkalmazása.
70. Az információ-rendszereket biztonsági szempontból a következő fokozatok valamelyikébe kell besorolni:
a) Alap biztonsági fokozatba: azokat a rendszereket, amelyek egyedi azonosításra alkalmas személyes adatokat nem dolgoznak fel és a feldolgozott adatok egyéb okból sem minősülnek államtitoknak vagy szolgálati titoknak, továbbá azokat a személyes adatokat feldolgozó rendszereket, amelyekben a személyes adatok feldolgozását kifejezetten a nyilvánosság számára szánták, vagy a szolgáltatott adatokból a természetes személyt nem lehet egyedi módon azonosítani;
b) Minősített biztonsági fokozatba: azokat a rendszereket, amelyeknél a feldolgozott adatok minősítése szolgálati titok, és azokat a rendszereket, amelyek azonosítható személyes adatot kezelnek;
c) Kiemelt biztonsági fokozatba: az államtitkot feldolgozó rendszereket.
71. Az információ-rendszer minősítését a rendszer üzembe állításáig kell a minősítésre jogosultnak meghatározni.
72. Alap biztonsági fokozatba sorolt rendszerek védelmére a 69. pont a), b) alpontban, a minősített biztonsági fokozatba soroltakra a 69. pont a)–c) alpontban, míg a kiemelt biztonsági fokozatúakra a 69. pont a)–d) alpontban megjelölt eszközöket kell egyidejűleg alkalmazni.
73. Az adatbiztonságra vonatkozó intézkedésekre adatbiztonsági szabályzatot kell készíteni.
74. Az adatbiztonsági szabályzatot az adatfeldolgozó szerv vezetője az irányítása alatt végzett adatkezelésre – a 3. számú mellékletben foglalt Ajánlás figyelembevételével, az adatkezelő egyetértésével – adja ki. Több rendszer adatfeldolgozója az azonos technikai feltételekkel működő és azonos minősítésű rendszerekre egy szabályzatot is készíthet.
75. Az adatbiztonsági szabályzatban rögzített intézkedésekkel gondoskodni kell arról, hogy:
a) az adatkezelésre használt adathordozók az illetéktelen fizikai hozzáférést megakadályozzák;
b) az adathordozók tartalmának illetéktelen megismerését, lemásolását, megváltoztatását, vagy az adathordozó eltávolítását megelőzzék;
c) elkerülhető legyen, hogy adatkezelésre használt számítástechnikai és manuális eszköztárba illetéktelen bevitelt hajtsanak végre, vagy annak tartalmát illetéktelenül megismerjék, töröljék vagy bármilyen módon megváltoztassák;
d) megakadályozzák, hogy adatkezelésre használt táv-adatfeldolgozó vonalon az adatokhoz illetéktelenül hozzáférjenek;
e) az adatkezelésre alkalmazott eszközök használatára jogosultak csak a hozzáférési jogosultságuknak megfelelő adatokhoz férjenek hozzá;
f) azonosítsák azokat, akiknek táv-adatfeldolgozó vonalon vagy adathordozón adatokat továbbítanak;
g) azonosítsák, hogy a számítástechnikai, valamint manuálisan vezetett eszköztárba milyen adatokat, mikor és ki vitt be;
h) adatfeldolgozás során az adatkezelést kizárólag a megbízó utasításainak megfelelően végezzék;
i) az adatok továbbítása alkalmával – függetlenül attól, hogy a továbbítást távadatfeldolgozó vonalon végzik, vagy az adathordozót szállítják – az adatokat illetéktelenül ne ismerjék meg, ne másolják le, ne töröljék, vagy bármilyen módon ne változtassák meg;
j) az adatkezelést illetve adatfeldolgozást végző szervezet elhelyezésére szolgáló helyiségeket és az adatkezelés belső rendjét úgy alakítsák ki, hogy az az adatvédelmi rendelkezéseknek és az adatbiztonsági követelményeknek megfeleljen.
76. Az egyes információ-rendszerek vonatkozásában meg kell határozni az adatbiztonságért való felelősségi viszonyokat.
77. Az adatkezelő képviseletében a rendszer megtervezéséért és fejlesztéséért felelős rendszerirányító:
a) figyelemmel kíséri, hogy az irányított információ-rendszer tekintetében a biztonsági fokozatnak megfelelő védelmi és biztonsági módszerek megtervezésre és alkalmazásra kerüljenek;
b) ellenőrzi a védelmi és biztonsági szabályok gyakorlati érvényesülését és szükség szerint intézkedik a hiányosságok felszámolására, ezen belül a felelős vezetőnek javaslatot tesz a szervezeti és működési feltételek és követelmények biztosítására, szükség esetén a személyes felelősségre vonásra;
c) egyetértési jogot gyakorol az információ-rendszer adatbiztonsági szabályzata vonatkozásában.
78. Az adatkezelő képviseletében a rendszer informatikai működőképességéért és a jogosultságok érvényesítésért felelős rendszergazda:
a) kialakítja a rendszer védelmi és biztonsági előírásait és egyetértési jogot gyakorol az információ-rendszer adatbiztonsági szabályzata vonatkozásában;
b) meghatározza a jogszabályoknak megfelelő igények és hozzáférési jogosultságok szerinti hozzáférési előírásokat;
c) tervezi és ellenőrzi az adatszolgáltatások nyilvántartását;
d) ellenőrzi a rendszer biztonságos működését és szükség szerint intézkedik a feltárt hiányosságok megszüntetésére, rendszerkatasztrófa esetén átveszi a rendszer közvetlen irányítását;
e) egyetértési jogot gyakorol az informatikai rendszer adatbiztonsági szabályzata tekintetében.
79. Az adatfeldolgozó (üzemeltető):
a) elkészíti a rendszer adatbiztonsági szabályzatát és gondoskodik rendszeres karbantartásáról;
b) felelős a szabályzat rendelkezéseinek betartásáért és betartatásáért.
VI.
A közérdekű adatok kezelése
80. Az utasítás hatálya alá tartozó szervezet a feladatkörébe tartozó közérdekű adatról bárki számára tájékoztatást ad.
81. A tájékoztatási kötelezettség nem vonatkozik a szervezet kezelésében lévő azon adatra:
a) amely államtitok vagy szolgálati titok;
b) melynek nyilvánosságát a szervezet vezetője törvény alapján korlátozta;
c) amely belső használatra készült, illetve döntés-előkészítéssel összefüggő;
d) amelynek nyilvánosságra hozatalát más jogszabály határozza meg.
82. A 81. pont c) alpontjában meghatározott adat kérelemre továbbítható, nyilvánosságra hozható. A kérelem elbírálására annak a szervnek a vezetője illetékes, amelynek belső használatára, vagy döntésének előkészítésére az adatot tartalmazó anyag készült. Ha a kérelem más szervhez érkezik, akkor azt a kérelmező egyidejű tájékoztatása mellett az illetékes adatkezelőhöz kell áttenni.
83. A 81. pont c) alpontjában meghatározott adat hivatalból is továbbítható, nyilvánosságra hozható, ha ez a közfeladat ellátásához szükséges és nem áll fenn a 81. pont a)–b) alpontjaiban meghatározott körülmény.
84. A 81. pont d) alpontja esetén az adatok továbbítására, nyilvánosságra hozatalára az adatkezelésre vonatkozó jogszabály rendelkezéseit kell alkalmazni.
VII.
Adatvédelmi felelős, adatvédelmi megbízott
85. A Belügyminisztérium adatvédelmi felelősének feladat és hatáskörét a 22/1998. (BK 19.) BM utasítással kiadott, a „Belügyminisztérium ideiglenes Szervezeti és Működési Szabályzata” határozza meg.
86. Az adatkezelő szerv vezetője az adatvédelemmel kapcsolatos feladatok ellátására felelősségi körében adatvédelmi megbízottat jelölhet ki.
87. Adatvédelmi megbízottat köteles kijelölni a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal, az Országos Rendőr-főkapitányság, a Határőrség Országos Parancsnoksága és az Országos Katasztrófavédelmi Főigazgatóság.
88. A Központi Kórház és Intézményei vezetője az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 32. § (4) bekezdése szerint adatvédelmi felelőst nevez ki.
89. Az adatvédelmi megbízott feladata különösen:
a) segíti a szerv vezetőjét az adatok védelmével kapcsolatos feladatai ellátásában, megbízásából belső adatvédelmi ellenőrzést végez;
b) közreműködik a szerv feladatkörébe tartozó adatkezeléssel kapcsolatos jogszabályok felülvizsgálatában, tervezetek előkészítésében, rendszertervek kidolgozásában;
c) kapcsolatot tart az adatvédelmi felelőssel, az adatvédelmi felelős irányítása mellett – a belügyi szerv vezetőjével egyeztetett kijelölés alapján – közreműködik más szerveknél végzett adatvédelmi vizsgálatban;
d) gondoskodik az adatvédelmi szabályzat elkészítéséről, egyetértési jogot gyakorol az adatbiztonsági szabályzat tekintetében, ellenőrzi a szabályzatok betartását.
90. Az adatvédelmi megbízott feladatkörét a szervezeti és működési szabályzatban kell rögzíteni.
VIII.
Vegyes rendelkezések
91. Ez az utasítás 2000. január 1-jén lép hatályba.
92. Az utasítás hatályba lépését követő 60 napon belül az adatfeldolgozást végző szerveknél el kell készíteni az adatbiztonsági szabályzatot.
93. A 69. pont c)–d) alpontjában megjelölt védelmi eszközöket 2001. január 1-jéig kell bevezetni, és az adatbiztonsági szabályzatot a rendszerbeállítással egyidejűleg a vonatkozó rendelkezésekkel ki kell egészíteni.
Dr. Pintér Sándor s. k.,
belügyminiszter
1. számú melléklet
a 33/1999. (BK 22.) BM utasításhoz
a 33/1999. (BK 22.) BM utasításhoz
A belügyi adatkezelők és adatfeldolgozók
A személyiadat- és lakcímnyilvántartással kapcsolatos adatkezelések
[A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. tv. (a továbbiakban Nytv.)]
Személyiadat- és lakcímnyilvántartás (Nytv. 11. §)
Szint: központi, területi, helyi
Adatkezelő: helyi szinten a jegyző, területi szinten a közigazgatási hivatal, központi szinten a BM Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal (továbbiakban: BM Központi Hivatal)
Adatfeldolgozó: BM Központi Hivatal, (helyi szinten külön jogszabály szerint)
Adatfeldolgozásban jogszabály kijelölése alapján üzemeltető: TÁKISZ-ok
Személyazonosító igazolvány nyilvántartás (Nytv. 29. §)
Szint: központi, helyi
Adatkezelő: BM Központi Hivatal, rendőrség
Adatfeldolgozó: BM Központi Hivatal
Az országgyűlési és a helyi önkormányzati képviselők és polgármesterek, a kisebbségi önkormányzati képviselők választásával, valamint az országos és helyi népszavazással kapcsolatos adatkezelések
(A választási eljárásról szóló 1997. évi C. törvény 12. §, 13. § és 17. §)
Szint: központi, területi, helyi
a 17. § vonatkozásában a BM Központi Hivatal.
Adatfeldolgozó: BM Központi Hivatal, TÁKISZ-ok, OEVK központok
A magyar állampolgárok külföldre utazásával és útlevélellátásával kapcsolatos adatkezelések
(A külföldre utazásról szóló 1998. évi XII. tv. 24–32. §)
Szint: központi
Adatkezelő és adatfeldolgozó: BM Központi Hivatal
A 27. § (2) bekezdésben adatkezelő még a határőrség is.
A közszolgálati jogviszonnyal kapcsolatos adatkezelések
[A köztisztviselők jogállásáról szóló 1992. évi XXIII. tv. (a továbbiakban: Ktv.)]
Közszolgálati alapnyilvántartás (Ktv. 61. §)
Szint: helyi
Adatkezelő és adatfeldolgozó a Ktv. hatálya alá tartozó belügyi szerv.
Központi közszolgálati nyilvántartás (Ktv. 62. § KÖZIGTAD)
Szint: központi
Adatkezelő: Belügyminisztérium
Adatfeldolgozó: BM Központi Hivatal
(Az adatgyűjtési feladatokat a közigazgatási hivatalok, valamint a központi államigazgatási szervek tekintetében a BM Közszolgálati Főosztály látja el.)
A köztisztviselői tartalékállomány információs rendszere (Ktv. 20/A. § TARTINFO)
Szint: központi, területi, helyi
Adatkezelő: központi szinten BM Közszolgálati Főosztály,
helyi szinteken a Ktv. hatálya alá tartozó belügyi szervek.
Adatfeldolgozó: helyi szinten a Ktv. hatálya alá tartozó belügyi szerv,
területi szinten a közigazgatási hivatalok, valamint a központi államigazgatási szervek tekintetében a BM Közszolgálati Főosztály,
központi szinten a BM Közszolgálati Főosztály a BM Központi Hivatal közreműködésével.
A magyar állampolgársággal kapcsolatos adatkezelések
(A magyar állampolgárságról szóló 1993. évi LV. tv. 20. §)
Szint: központi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: BM Központi Hivatal, BM Bevándorlási és Állampolgársági Hivatal
A menedéket kérő külföldiek menekültként és menedékesként való elismerésével, továbbá a külföldiek befogadottként történő elismerésével kapcsolatos adatkezelések
(A menedékjogról szóló 1997. évi CXXXIX. tv. 50–52. §)
Szint: központi, területi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: BM Bevándorlási és Állampolgársági Hivatal, BM Központi Hivatal, az 1997. évi CXXXIX. tv. 50. § (2) bekezdés tekintetében az ORFK Bűnügyi Szakértői és Kutatóintézet
A külföldiek beutazásával és magyarországi tartózkodásával, bevándorlásával kapcsolatos adatkezelések
[A külföldiek beutazásáról, magyarországi tartózkodásáról és bevándorlásról szóló 1993. évi LXXXVI. törvény (a továbbiakban: Idtv.)]
Beutazási és tartózkodási tilalom alatt álló külföldiek nyilvántartása (Idtv. 53. §)
Szint: központi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség, BM Központi Hivatal
Beutazási és tartózkodási tilalom alatt álló külföldiek ujjnyomatainak nyilvántartása [Idtv. 31. § (3), 53. § (1) g)]
Szint: központi
Adatkezelő: rendőrség
Adatfeldolgozó: ORFK Bűnügyi Szakértői és Kutatóintézet
Tartózkodási engedélyt kérő és tartózkodási engedéllyel rendelkező külföldiek nyilvántartása (Idtv. 56. §)
Szint: központi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: rendőrség, BM Központi Hivatal
Bevándorlási engedélyt kérő és bevándorlási engedéllyel rendelkezők nyilvántartása (Idtv. 57. §)
Szint: központi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: rendőrség, BM Központi Hivatal
Központi hatáskörben elbírált vízumkérelmek adatainak nyilvántartása (Idtv. 55. §)
Szint: központi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
A személyes szabadság korlátozásával és a rendkívüli eseményekkel kapcsolatos adatok nyilvántartása (Idtv. 58.§)
Szint: központi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: rendőrség
Külföldit meghívó természetes és jogi személyek nyilvántartása
[Az Idtv. végrehajtásáról szóló 64/1994. (IV. 30.) Korm. rendelet 60. § f) pont]
Szint: központi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: rendőrség
Úti okmány elvesztését bejelentő külföldiek nyilvántartása
[Az Idtv. végrehajtásáról szóló 64/1994. (IV. 30.) Korm. rendelet 60. § g) pont]
Szint: központi
Adatkezelő: BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: rendőrség
A katasztrófa elhárítással kapcsolatos adatkezelések
[A polgári védelemről szóló 1996. évi XXXVII. törvény (a továbbiakban: Pvt.) 11. § és 33–37. §, valamint a katasztrófák elleni védekezés irányításáról, szervezetéről és a veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezésről szóló 1999. évi LXXIV. törvény (a továbbiakban: Kvt. 21. §]
Szint: területi, helyi
Adatkezelő: a Pvt. 11. §-a és a 33–37. §-ai, valamint a Kvt. 21. §-a szerint a megyei közgyűlés elnöke, a főpolgármester, az illetékes polgármester
Adatfeldolgozó: a Pvt. 36. §-a szerint illetékes hivatásos polgári védelmi szerv
A rendőrség bűnügyi, rendészeti, államigazgatási tevékenységével kapcsolatos adatkezelések
[A rendőrségről szóló 1994. évi XXXIV. törvény (a továbbiakban: Rtv.) alapján]
Bűnüldözési adatkezelési rendszerek:
Felderítetlenül maradt, egyes kiemelt helyszínes bűncselekmények nyilvántartása [Rtv. 84. § b)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Helyszíni nyomok, anyagmaradványok, eszközök és szagminták nyilvántartása [Rtv. 84. § c)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Szándékos bűncselekmény alapos gyanúja miatt kihallgatott személyek nyilvántartása [Rtv. 84. § c)]
Szint: központi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Gyanúsítottak és kriminalisztikai jellemzőik nyilvántartása [Rtv. 84. § c), d), j)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség, BM Központi Hivatala
Daktiloszkópiai nyilvántartás [Rtv. 84. § c)]
Szint: központi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség (BM ORFK Bűnügyi Szakértői és Kutatóintézet)
A rendőrségen fogvatartottak, lakhelyelhagyási tilalom alá helyezettek, biztosítékot letétbe helyezők nyilvántartása [Rtv. 84. § e)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Körözési információs rendszer [Rtv. 84. § f)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség, BM Központi Hivatal
Ismeretlen holttestek nyilvántartása [Rtv. 84. § h)]
Szint: központi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Titkos információgyűjtéssel érintett személyek nyilvántartása [Rtv. 84. § i), r)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség, BM Központi Hivatal
Titkos információgyűjtésben együttműködők nyilvántartása [Rtv. 84. § i)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség, BM Központi Hivatal
Nemzetközi bűnüldözési intézkedéssel érintett személyek nyilvántartása [Rtv. 84. § k)]
Szint: központi, területi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Szervezett bűnözésre utaló cselekmények és abban érintett személyek nyilvántartása [Rtv. 84. § l)]
Szint: központi, területi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Igazolással, körözési ellenőrzéssel érintett személyek nyilvántartása [Rtv. 84. § p)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Államigazgatási, rendészeti és szabálysértési adatkezelési rendszerek:
Lőfegyver nyilvántartás [Rtv. 90. § (1) a)]
Szint: központi, területi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Közbiztonságra veszélyes anyagok és eszközök engedélyezésének és az engedéllyel rendelkezők nyilvántartása [Rtv. 90. § (1) b)]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Pártfogó felügyelet alatt állók, bíróság által kitiltottak, foglalkoztatástól-, járművezetéstől eltiltottak nyilvántartása [Rtv. 90. § (1) e)]
Szint: területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Külföldiek vízumkérelmének, be-, és kiutazási adatainak nyilvántartása (Rtv. 90. §)
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Szabálysértési ügyintéző/ügykezelő rendszer [Rtv. 90. § (1) i), 1968. évi, a szabálysértésekről szóló, I. tv. 26/A. §]
Szint: központi, területi, helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
A személy- és vagyonvédelemmel, valamint magánnyomozással foglalkozók engedélyeinek és igazolványainak nyilvántartása (A vállalkozás keretében végzett személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól, a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamaráról szóló 1998. évi IV. tv. 7. §)
Szint: helyi
Adatkezelő: rendőrség
Adatfeldolgozó: rendőrség
Közúti közlekedési nyilvántartás adatkezelései
(A közúti közlekedési nyilvántartásról szóló 1999. évi LXXXIV. tv.)
Szint: központi, helyi
Adatkezelő: BM Központi Hivatal, 2001. január 1-jéig a rendőrség, utána a városkörnyéki önkormányzat jegyzője
Adatfeldolgozó: BM Központi Hivatal
A bűnügyi nyilvántartás
(A Büntető Törvénykönyvről szóló 1978. évi IV. törvény hatálybalépéséről és végrehajtásáról szóló 1979. évi 5. tvr. 29. §)
Szint: központi
Adatkezelő és feldolgozó: BM Központi Hivatal
A határőrség bűnüldözési, bűnmegelőzési, rendészeti, honvédelmi, államigazgatási tevékenységével kapcsolatos adatkezelések
(A határőrizetről és határőrségről szóló 1997. évi XXXII. törvény [a továbbiakban Hőr. tv.) szerint]
Személy, gépjármű és úti okmány határfigyelőztetések (Hőr. tv. 65. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Beutazási és tartózkodási tilalom alatt álló külföldiek nyilvántartása (Hőr. tv. 65. § és Hőr. tv. 70. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség, BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: határőrség, BM Központi Hivatal
Vízumkötelezett külföldiek ki- és beutazásának nyilvántartása (Hőr. tv. 67. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
A határőrség hatáskörébe utalt jogellenes cselekményt elkövetők adatai (Hőr. tv. 68. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Határátlépő magyar és külföldi személyek nyilvántartása (Hőr. tv. 69. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Vízumkérelmek, nyilvántartása (Hőr. tv. 70. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség, BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: határőrség
Szabálysértést elkövetők nyilvántartása (Hőr. tv. 71. §)
Szint: központi, területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Hadkötelesek nyilvántartásának adatai (Hőr. tv. 72. §)
Szint: központi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Szakhatósági és engedélyezési nyilvántartás (Hőr. tv. 73. §)
Szint: területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Menekültek és ideiglenes menedéket kérők nyilvántartása (Hőr. tv. 74. §)
Szint: területi
Adatkezelő: határőrség, BM Bevándorlási és Állampolgársági Hivatal
Adatfeldolgozó: határőrség
Engedéllyel beléptetett személyek nyilvántartása (Hőr. tv. 75. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Nem határátlépési céllal érkező személyek nyilvántartása (Hőr. tv. 76. §)
Szint: központi, területi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Felderítetlenül maradt bűncselekmények nyilvántartása [Hőr. tv. 77. § a)]
Szint: területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Szándékos bűncselekmény elkövetésének alapos gyanúja miatt kihallgatott személyek nyilvántartása [Hőr. tv. 77. § b)]
Szint: területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Szándékos bűncselekmény elkövetési módszereinek (modus operandi) nyilvántartása [Hőr. tv. 77. § c)]
Szint: területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Titkos információgyűjtéssel érintett személyek nyilvántartása [Hőr. tv. 77. § d)]
Szint: központi, területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Súlyos bűncselekmények adatai [Hőr. tv. 77. § e)]
Szint: területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Nyomozati iratokban szereplő személyek adatai [Hőr. tv. 77. § h)]
Szint: területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Titkos információgyűjtés adatai [Hőr: tv. 77. § i)]
Szint: központi, területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Titkos információgyűjtésben együttműködők nyilvántartása [Hőr. tv. 77. § j)]
Szint: központi, területi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
Igazoltatási és körözési ellenőrzési nyilvántartás [Hőr. tv. 77. § k)]
Szint: központi, területi, helyi
Adatkezelő: határőrség
Adatfeldolgozó: határőrség
2. számú melléklet
a 33/1999. (BK 22.) BM utasításhoz
a 33/1999. (BK 22.) BM utasításhoz
A belügyminiszter irányítása alá tartozó szervek és szervezetek
– Belügyminisztérium
– Országos Rendőr-főkapitányság és szervei
– Határőrség Országos Parancsnoksága és szervei
– BM Országos Katasztrófavédelmi Főigazgatóság és szervei
– Rendvédelmi Szervek Védelmi Szolgálata (Megelőzési Szolgálat)
– Területi Államháztartási és Közigazgatási Információs Szolgálatok
– BM Központi Kórház és Intézményei
– BM Központi Gazdasági Főigazgatóság
– BM Duna Palota és Kiadó
– Rendőrtiszti Főiskola
– Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal
– BM Bevándorlási és Állampolgársági Hivatal
– BM Nemzetközi Oktatási Központ
– Rendészeti Szakközépiskolák
3. számú melléklet
a 33/1999. (BK 22.) BM utasításhoz
a 33/1999. (BK 22.) BM utasításhoz
Ajánlás a belügyi szervezetek adatbiztonsági szabályzatának összeállításához
A fizikai biztonság megteremtéséhez szükséges irányelvek:
a) Az adathordozó eszközök elhelyezésére szolgáló helyiségeket (épületeket, épületrészeket) úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen.
b) Azokba a helyiségekbe, ahol adatkezelés folyik, a személyek belépését –a minősítéstől függően – korlátozni és ellenőrizni kell. A belépésre adott felhatalmazásnak összhangban kell lennie az adott személy hivatalos feladataival, illetőleg az ott kezelt adatokhoz történő hozzáférési jogosultságával.
c) A számítástechnikai eszközzel olvasható és a manuális adathordozók tárolását, hozzáférését és felhasználását ellenőrizni kell. Különös figyelmet kell fordítani arra, hogy a biztonságos területről kivitt eszközök maradványadatokat ne tartalmazzanak.
d) Az adathordozókról és mozgásukról, azok tartalmáról és felhasználásáról nyilvántartást kell vezetni.
e) Meg kell határozni azoknak a személyeknek a körét, akik az adathordozó eszközöket üzemeltethetik.
f) A számítástechnikai eszközök, különösen hálózatba kapcsolt – eszközök hozzáférési kulcsát (azonosító kártya, jelszó) szolgálati titokra vonatkozó szabályok szerint kell kezelni. Az INTERNET kapcsolatot külön eszközökkel (pl. fire-wall, jogosultság) kell biztosítani.
g) A számítástechnikai eszközök biztonsági megoldásának, valamint az adatokat feldolgozó rendszerek rendszerterveiből a biztonságra vonatkozó megoldások dokumentációjához csak az arra felhatalmazott személyek férjenek hozzá.
h) Ha az adatok tárolásának technikai körülményei, az épület elhelyezkedése, vagy egyéb fontos ok, illetőleg a kezelt adatok minősítése szükségessé teszi, célszerű gondoskodni a számítástechnikai eszközök másodlagos kibocsátásának árnyékolásáról.
Az üzemeltetési biztonság kialakítására vonatkozó irányelvek:
a) A számítástechnikai eszközöket üzemeltető személyek feladatait egyértelműen meg kell határozni. Egyéb, a feladatoktól eltérő tevékenységet csak külön, erre irányuló egyedi vezetői felhatalmazás alapján lehet végezni.
b) Össze kell állítani és elérhető helyen kell tartani a számítástechnikai eszközök használatára felhatalmazott személyek névsorát.
c) Meg kell határozni az adatokhoz való hozzáférés szintjét és személyekre lebontott egyedi szabályait.
d) Külső személy – pl. karbantartás, javítás, fejlesztés céljából – a számítástechnikai eszközökhöz lehetőleg úgy férjen hozzá, hogy a kezelt adatok megismerése elkerülhető legyen.
e) Azoknak a személyeknek, akik a számítástechnikai eszközök biztonságáért felelősek – az egymás között kialakított készenléti rendszerben – állandóan elérhetőnek kell lenniük. Az illetéktelen hozzáférési kísérlet észlelésekor haladéktalanul értesíteni kell a készenlétben levő személyt.
f) A számítástechnikai rendszer üzemeltetéséről – hagyományos vagy automatikus módon – nyilvántartást kell vezetni. A nyilvántartást, – ideértve a rendszer üzeneteit is, – az illetéktelen hozzáférés vagy hozzáférési kísérlet azonosítása céljából, az arra illetékes személynek folyamatosan ellenőriznie kell.
g) A rendszerbe kerülő adatokat tartalmazó hagyományos vagy számítástechnikai eszközökkel olvasható dokumentumokat úgy kell kezelni, hogy elvesztésük, elcserélésük vagy meghibásodásuk kiküszöbölhető legyen.
h) A hozzáférés jelszavait időközönként, az üzemeltető személyének megváltozása esetén haladéktalanul, de legkésőbb 24 órán belül meg kell változtatni. Jelszót ismételten nem lehet kiadni.
i) A számítástechnikai eszközök előre nem látható üzemzavara esetére olyan tervet kell kidolgozni, amellyel annak hatása ellensúlyozható.
A technikai biztonság elvei:
a) Az adatok és programok véletlen vagy szándékos megrongálását számítástechnikai módszerekkel is meg kell akadályozni.
b) Az adatállományok tartalmát képező adattételek számát folyamatosan ellenőrizni kell.
c) Az adatállományok kezelését úgy kell megszervezni, hogy részleges vagy teljes megsemmisülésük esetén tartalmuk rekonstruálható legyen, ennek érdekében az adatállományokról rendszeresen biztonsági másolatot kell készíteni és azt az eredeti adatállománytól lehetőleg földrajzilag is eltérő helyen, biztonságosan kell tárolni. A biztonsági másolathoz kizárólag az eredeti állomány részleges vagy teljes megsemmisülése, illetőleg katasztrófa esetén lehet hozzáférni.
d) Az adatokhoz és a számítástechnikai eszközökhöz való hozzáférést jelszavakkal kell ellenőrizni.
e) Az adatok és az adatállományok változását naplózni kell.
f) Az adatkezelő programok jogtisztaságát és előírásszerű működését ellenőrizni kell, ideértve biztonsági vizsgálatot is.
g) Programfejlesztés vagy – próba céljára valódi adatok felhasználását, különösen ha a próbát külső szerv vagy személy végzi, el kell kerülni (valós személyes adatok felhasználása az utasítás alapján nem megengedett).
h) Az adatbevitel során a bevitt adatok helyességét ellenőrizni kell.
i) Közvetlen adathozzáférés kezdeményezésének jogosultságát ellenőrizni kell.
j) Az adatbiztonsági programokat úgy kell megszerkeszteni, hogy az adatokhoz, vagy az adatkezelő programokhoz való illetéktelen hozzáférés kísérletét is jelezzék, illetőleg többszöri ilyen kísérlet esetén a hozzáférést megakadályozzák.
*
Az utasítást utóbb a 20/2005. (BK 12.) BM utasítás, a 17/2007. (BK 24.) ÖTM utasítás módosította, és a 9/2011. (IV. 15.) BM utasítás 16. pont c) alpontja hatályon kívül helyezte 2011. április 23. napjával.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás