23/2013. (V. 17.) ORFK utasítás
a belső adatvédelmi és adatbiztonsági szabályzatról1
2018.02.09.
I. Általános rendelkezések
1. Az utasítás hatálya kiterjed:
a) az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK),
b)2 a Készenléti Rendőrségre, a Repülőtéri Rendőr Igazgatóságra, a Nemzetközi Bűnügyi Együttműködési Központra, a Rendőrségi Oktatási és Kiképző Központra, a Nemzetközi Oktatási Központra, a megyei (fővárosi) rendőr-főkapitányságokra (a továbbiakban: területi szervek), valamint
c) a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban: helyi szervek)
(a továbbiakban együtt: rendőri szervek).
2. Az utasítás tárgyi hatálya kiterjed az általános rendőrségi feladatok ellátására létrehozott szerv (a továbbiakban: Rendőrség) által kezelt személyes adatokra, közérdekű és közérdekből nyilvános adatokra.
3. Az utasítás alkalmazásában
a) adatvédelem: az érintett információs önrendelkezési jogának érvényre juttatása érdekében a személyes adatok kezelésének normatív szabályozása;
b) adatbiztonság: a személyes adatok jogosulatlan kezelése elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége, az adatkezelés azon állapota, amelyben a kockázati tényezőket – és ezáltal a fenyegetettséget – a szervezési, műszaki megoldások és intézkedések a minimálisra csökkentik;
c) adathordozó: bármely alakban, bármely eszköz felhasználásával és bármely eljárással előállított személyes adatot tartalmazó anyag;
d) hozzáférési jogosultság: az a jogosultság, amelynek birtokában a jogosult személy számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes adatok;
e) hardver eszköz: mindazon eszközök, amelyek feladata a Rendőrség által alkalmazott informatikai rendszerek folyamatos működésének biztosítása, valamint amelyek biztonsági adatmentésre vagy másolatok készítésére szolgálnak;
f) hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely jelzések, adatok, információk továbbítására, fogadására alkalmas, így különösen azok a készülékek, amelyek egy vagy több fogadó személy számára kép, hang, adat továbbítására alkalmasak (különösen: távbeszélő, rádió, valamint az elektronikus adatátviteli lehetőséget biztosító eszköz);
g) közvetlen hozzáférési jogosultság: adott adatállomány informatikai alkalmazás igénybevételével kezelt adatainak megismeréséhez adott olyan jogosultság, amely a jogosultnak lehetőséget biztosít arra, hogy az adatállományban kezelt adatokhoz az általa megválasztott időpontban közvetlen lekérdezéssel hozzáférjen;
h) közvetlen lekérdezés: az adott adatállományban kezelt adatokba – az adatkezelő által előzetesen rendelkezésre bocsátott általános lekérdezési jogosultság felhasználásával – előre meghatározatlan időpontban és alkalommal, naplózott formában történő betekintés, valamint a lekérdező döntése alapján az így megismerhetővé vált információk kinyomtatása vagy más módon történő rögzítése;
i) hordozható eszköz: olyan hardver eszköz, amely adathordozó vagy adathordozót tartalmaz, és funkcionalitása a könnyű szállítást és használhatóságot biztosítja.
II. Adatvédelmi intézményrendszer
4. Az információs önrendelkezési joggal és az információszabadsággal kapcsolatos jogszabályok alkalmazásában adatkezelő szerv vezetője:
a) az ORFK esetében az országos rendőrfőkapitány;
b) a területi szervek vezetői;
c) a helyi szervek vezetői.
5. Az ORFK belső adatvédelmi felelőse az ORFK Hivatalának vezetője, aki tevékenységét az országos rendőrfőkapitány közvetlen irányítása alatt végzi.
6. Az ORFK belső adatvédelmi felelőse részt vesz a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) által szervezett belső adatvédelmi felelősök konferenciáján.
7. Az ORFK belső adatvédelmi felelőse ellátja a Rendőrség adatkezelő szervei adatvédelmi tevékenységének szakmai irányítását, ennek keretében az ORFK Hivatal Biztonság-felügyeleti és Ügykezelési Osztály (a továbbiakban: Biztonság-felügyeleti és Ügykezelési Osztály) közreműködésével:
a) az adatvédelmet érintő jogszabályok tervezeteinek koordinációja során kidolgozza és képviseli a Rendőrség álláspontját;
b) elkészíti az adatvédelem tárgyában kiadandó ORFK normák tervezetét, közreműködik az adatvédelmet érintő egyéb belső normák kidolgozásában;
c) egyedi ügyekben kidolgozott állásfoglalásával segíti az adatkezelő szervek adatvédelmi tevékenységét, az egységes gyakorlat kialakítását;
d) a Rendőrség adatkezelési tevékenységét érintő ügyekben kialakítja a Rendőrség álláspontját, kapcsolatot tart a NAIH képviselőivel, a rendészetért felelős minisztérium és a társszervek belső adatvédelmi felelőseivel, közreműködik a Rendőrséget érintő vizsgálatok lefolytatásában és az ezekkel összefüggő megkeresések megválaszolásában;
e) gondoskodik a rendőrségi adatkezeléseknek a NAIH által vezetett hatósági adatvédelmi nyilvántartásba történő bejelentéséről;
f)3 gondoskodik a Rendőrség belső adatvédelmi nyilvántartásának, valamint az ORFK adatvédelmi incidens nyilvántartásának vezetéséről;
g) ellenőrzi a Rendőrség adatkezelő szerveinél az információs önrendelkezési joggal, az információszabadsággal és az adatbiztonsággal kapcsolatos jogszabályok és belső normák betartását;
h)4 továbbítja a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (a továbbiakban: KEKKH) felé az ORFK állományába tartozó egyéni felhasználók közvetlen hozzáférési jogosultságának igénylését és visszavonását, gondoskodik az ezzel kapcsolatos nyilvántartás vezetéséről, valamint vezeti a Rendőrség adatkezelő szervei részéről a KEKKH-tól közvetlen hozzáférési jogosultság igénylésére feljogosítottak névjegyzékét.
i) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy adatfeldolgozót, indokolt esetben vizsgálat lefolytatását kezdeményezi az adatkezelő szerv vezetőjénél;
j) vezeti a rendőrségi adatkezelő szervek belső adatvédelmi felelőseinek névjegyzékét;
k) szervezi a belső adatvédelmi felelősök képzését;
l) a belső adatvédelmi felelősök jelentései alapján évente április 30-áig elkészíti a Rendőrség adatvédelmi helyzetéről szóló jelentést;
m) évente – a tárgyévet követő év január 31-éig – tájékoztatja a NAIH elnökét a rendőrségi adatkezelő szervek által a személyes adatok kezelésével kapcsolatos elutasított kérelmekről és azok indokairól;
n) évente – a tárgyévet követő év január 31-éig – tájékoztatja a NAIH elnökét a rendőrségi adatkezelő szervek által a közérdekű adatok, közérdekből nyilvános adatok megismerésére irányuló elutasított kérelmekről, valamint az elutasítás indokairól.
8. Az adatkezelő szerv vezetője felelős:
a) az irányítása alá tartozó szerv adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a szerv által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtételéért;
b) az alárendelt személyi állomány adatvédelmi oktatásáért és továbbképzéséért;
c) az irányítása alá tartozó szerv tevékenységének rendszeres adatvédelmi ellenőrzéséért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, a hatáskörébe tartozó eljárások lefolytatásáért;
d) az érintett törvényben meghatározott jogainak gyakorolásához szükséges feltételek biztosításáért.
9. A megyei (fővárosi) rendőr-főkapitányságok, valamint a Repülőtéri Rendőr Igazgatóság belső adatvédelmi felelőse a hivatalvezető, de az adatkezelő szerv vezetője a belső adatvédelmi felelősi feladatok ellátására indokolt esetben – az ORFK belső adatvédelmi felelőse véleményének kikérésével – az adatkezelő szerv állományába tartozó, felsőfokú végzettséggel rendelkező más személyt is kijelölhet. Más területi szervek, valamint a helyi adatkezelő szervek vezetői kötelesek az irányításuk alá tartozó személyi állományból írásban, felsőfokú végzettségű belső adatvédelmi felelőst kijelölni, és erről, valamint elérhetőségéről az ORFK belső adatvédelmi felelősét elektronikus úton tájékoztatni. A belső adatvédelmi felelős egyéb feladatokkal csak az adatvédelmi feladatok ellátásának veszélyeztetése nélkül bízható meg.
10.5 Az országos bűnügyi, rendészeti, gazdasági és humánigazgatási nyilvántartások kezelését és a kapcsolódó adatfeldolgozói feladatok ellátását végző ORFK főigazgatóságok vezetői, valamint az ORFK Humánigazgatási Szolgálat vezetője kötelesek az irányításuk alatt álló szervezeti egység, illetve szervezeti elem állományából adatvédelmi felelőst kijelölni.
11. A belső adatvédelmi felelős eljár a részére átruházott – és munkaköri leírásában rögzített – adatvédelemmel összefüggő feladatkörökben, ami az adatkezelő szerv vezetőjének az adatkezelés jogszerűségének biztosítása érdekében hatáskörébe tartozó intézkedések megtételéért fennálló felelősségét nem érinti. A belső adatvédelmi felelős az adatvédelmi feladatainak gyakorlása során az őt kijelölő vezető közvetlen irányítása alatt látja el feladatait, az esetlegesen feltárt szabálytalanságokat köteles haladéktalanul az adatkezelő szerv vezetőjének jelenteni.
12. A belső adatvédelmi felelős és az adatvédelmi felelős:
a) segíti az adatkezelő szerv vezetőjét az adatkezelésre vonatkozó jogszabályok, közjogi szervezetszabályozó eszközök és belső normák érvényre juttatásában, figyelemmel kíséri a jogszabályváltozásokat, előkészíti az adatkezelő szerv vezetőjének adatvédelmi és adatbiztonsági tárgyú döntéseit;
b) kivizsgálja a szerv adatkezelésével összefüggésben érkező panaszokat, kifogásokat, közreműködik, valamint segítséget nyújt az érintettek jogainak gyakorlásában;
c) az adatkezelő szerv vezetőjének megbízásából ellenőrzi az adatkezelő szervnél, valamint az alárendelt adatkezelő szerveknél az adatvédelmi és adatbiztonsági követelmények megtartását, az előírások megszegésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására, és a hiányosságokat a szolgálati út betartásával – amennyiben emiatt a szolgálati érdek sérelmet szenvedne, úgy közvetlenül – jelzi a szerv vezetőjének, indokolt esetben a szerv vezetőjénél kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását;
d)6 gondoskodik – az ORFK belső adatvédelmi felelőse útján – az adatkezelő szerv új adatkezeléseinek bejelentéséről, vezeti az adatkezelő szerv adatvédelmi nyilvántartását és az adatvédelmi incidensek nyilvántartását;
e) ellenőrzi az egyes adatállományokhoz a hozzáférési jogosultságok nyilvántartását;
f) felügyeli az adatkezelő szerv adatszolgáltatási tevékenységét, különös tekintettel a nemzetközi együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségével kapcsolatban;
g) a területi szervek esetében segíti és ellenőrzi a helyi szerv belső adatvédelmi felelőseinek adatvédelmi tevékenységét;
h)7 évente március 31-éig jelentésben értékeli az adatkezelő szerv adatvédelmi és adatbiztonsági helyzetét, a jelentést az ORFK belső adatvédelmi felelősének április 15-éig felterjeszti;
i) kimutatást vezet a közérdekű, közérdekből nyilvános adatok megismerése iránti elutasított kérelmekről, valamint az elutasítás indokairól, és azokról a területi szerv belső adatvédelmi felelőse – a területi szerv alárendeltségébe tartozó helyi szervekre is kiterjedően – a tárgyévet követő év január 15-éig tájékoztatja a Biztonság-felügyeleti és Ügykezelési Osztályt;
j) kimutatást vezet az érintettnek a személyes adatai kezelésével kapcsolatos tájékoztatáskéréssel, helyesbítéssel, törléssel, tiltakozással kapcsolatos elutasított kérelméről és az elutasítás indokairól, és azokról a területi szerv belső adatvédelmi felelőse – a területi szerv alárendeltségébe tartozó helyi szervekre is kiterjedően – a tárgyévet követő év január 15-éig tájékoztatja a Biztonság-felügyeleti és Ügykezelési Osztályt.
12/A.8 A területi szervek belső adatvédelmi felelősei – a területi és az alárendeltségébe tartozó helyi adatkezelő szervek vonatkozásában – a KEKKH adattáraiból közvetlen lekérdezési jogosultság engedélyezésére feljogosított személyek névjegyzékét első alkalommal 2016. augusztus 31-ig, az azt követő változásokat pedig soron kívül megküldik az ORFK belső adatvédelmi felelősének.
13. Az érintett személyes adatai kezelésével kapcsolatos kérelmének elbírálásakor be kell szerezni a belső adatvédelmi felelős és az adatvédelmi felelős írásos véleményét.
14. A 12. pont h) alpontjában meghatározott jelentés tartalmazza különösen:
a) az adatkezelő szervnél, valamint az alárendeltségében működő adatkezelő szerveknél lefolytatott adatvédelmi ellenőrzések megállapításait, az esetlegesen feltárt szabálytalanságokat, hiányosságokat és a megszüntetésükre tett intézkedéseket;
b) az érintettek megjelölése nélkül az adatkezelő szervek állományába tartozók ellen az adatvédelmi előírások megsértése miatt indított fegyelmi és büntetőeljárásokra vonatkozó adatokat;
c) az adatkezelő szerveknél lefolytatott oktatások, továbbképzések gyakorlatát;
d) a NAIH által esetlegesen lefolytatott vizsgálat megállapításait, az intézkedéseket és az esetleges adatvédelmi hatósági eljárást, valamint az azt befejező határozat tartalmának összefoglalását;
e) a közérdekű és a közérdekből nyilvános adatok megismerésére irányuló igénylésekkel kapcsolatos értékelést.
15. A rendőri szervek – az adatkezelés eltérő célja alapján – ügyviteli, valamint nyilvántartási célú adatkezelést végeznek.
16. Az ügyvitelhez kapcsolódó adatkezelés közvetlenül egy ügy feldolgozásához kapcsolódik, célja az adott ügyhöz kapcsolódó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek, kezelésükre ezen célból csak az alapul szolgáló irat irattári tervben meghatározott selejtezéséig van lehetőség.
17. A nyilvántartási célú adatkezelés az előre meghatározott szempontok alapján gyűjtött személyes adatfajtákból adott szempontok szerint létrehozott strukturált adatállomány, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, automatizált nyilvántartások esetében a lekérdezhetőségét. Az egyes ügyekkel összefüggésben gyűjtött adatok kezelése ebben az esetben elválik az alapeljárástól, az adatok kezelésének időtartamát az adatok kezelésére felhatalmazást adó törvény vagy az érintett adatkezeléshez adott hozzájárulásában foglaltak határozzák meg.
18. Nyilvántartási célú adatállomány kialakítását írásban kell elrendelni, arra országos szinten az országos rendőrfőkapitány vagy a szakterület szerint hatáskörrel rendelkező helyettese, területi szintű adatkezelés esetén az érintett területi szerv vezetője, helyi szintű adatkezelés esetén a helyi szerv vezetője jogosult.
19. A személyes adatokat tartalmazó adatállományok dokumentációit nyilvántartásba kell venni, és gondoskodni kell azok szükség szerinti aktualizálásáról. Meg kell határozni a dokumentációkhoz történő hozzáférésre jogosultak körét, egyébként a hozzáférés csak az adatkezelő szerv vezetőjének engedélyével történhet. Szabályozni kell a dokumentációk tárolásának, másolásának, esetleges kölcsönzésének rendjét.
IV. Az adatkezelések bejelentése a hatósági adatvédelmi nyilvántartásba, a Rendőrség belső adatvédelmi nyilvántartása
20.9 Nyilvántartási célú adatállomány esetében a személyes adatok kezelésének megkezdése előtt, továbbá azonos adatkör eltérő célú kezelése esetén, valamint az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott új adatfeldolgozási technológia bevezetése esetén az adatkezelő szerv a NAIH által rendszeresített adatlap kitöltésével – az ORFK belső adatvédelmi felelősének útján – kezdeményezi az adatkezelés hatósági adatvédelmi nyilvántartásba történő bejelentését.
21. Az adatvédelmi hatósági nyilvántartásba vételi és a változásbejegyzési kérelmet az ORFK belső adatvédelmi felelőse továbbítja a NAIH elnökének.
22.10 A NAIH által adott nyilvántartási azonosítót minden adattovábbításnál, nyilvánosságra hozatalnál és az érintettnek történő kiadáskor fel kell tüntetni.
23. Az ORFK belső adatvédelmi felelőse a Biztonság-felügyeleti és Ügykezelési Osztály közreműködésével gondoskodik a Rendőrség belső adatvédelmi nyilvántartásának vezetéséről. A Rendőrség belső adatvédelmi nyilvántartása az adatkezelő szerv adatkezeléseiről kiállított adatlapok összessége, amelynek az Intraneten történő közzétételéről a Biztonság-felügyeleti és Ügykezelési Osztály gondoskodik.
24.11 Új országos hatósági és bűnügyi adatállomány hatósági adatvédelmi nyilvántartásba történő bejelentésének kérelmezését megelőzően, ha az az adatkezelő korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, valamint amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem alkalmazott új adatfeldolgozási technológia alkalmazásával történik, a jogszerű adatkezelés feltételeinek meglétét – a 7. pont e) alpontjában meghatározott bejelentést megelőzően – az ORFK belső adatvédelmi felelőse a Biztonság-felügyeleti és Ügykezelési Osztály útján, az Informatikai Fejlesztési Főosztály szükség szerinti bevonásával ellenőrzi.
24/A.12 A belső adatvédelmi nyilvántartásba bejelentett adatok változását vagy az érintett adatkezelés megszüntetését a hatósági változásbejegyzési eljárás kezdeményezése céljából az adatkezelő szerv vezetője – a változás alapjául szolgáló indokok egyidejű feltüntetése mellett – köteles írásban jelezni az ORFK belső adatvédelmi felelősének, aki azt továbbítja a NAIH elnökének.
25. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.) meghatározott adatvédelmi auditnak a NAIH-nál történő kérelmezését megelőzően az adatkezelő szervnek ki kell kérnie az ORFK belső adatvédelmi felelősének szakmai véleményét, továbbá a hatáskörrel és illetékességgel rendelkező gazdasági vezetőt előzetesen tájékoztatni kell az igazgatási szolgáltatási díj várható összegéről.
26. A kérelemben az auditot kérő adatkezelő szervnek előzetesen nyilatkoznia kell arról, hogy a NAIH által adott értékelés nyilvánosságra hozható-e.
VI. Az adatfeldolgozás szabályai
27. Az adatkezelő szerv vezetője – a rá vonatkozó kötelezettségvállalási szabályzat szerint – írásos megbízási szerződés alapján adatfeldolgozót vehet igénybe. Amennyiben az adatfeldolgozóként igénybe venni kívánt szervre vagy személyre jelen utasítás hatálya nem terjed ki, akkor az írásba foglalt megbízási szerződésben kell érvényesíteni az adatfeldolgozóval szemben az adatkezelő által érvényesíteni kívánt adatvédelmi követelményeket.
28. Az adat megismerésére vagy továbbítására vonatkozó kérelem esetén az érdemi döntést az adatkezelő szerv vezetője vagy az általa kijelölt személy köteles, illetve jogosult meghozni, erre az adatfeldolgozó figyelmét az adatfeldolgozásra kötött megbízási szerződésben is fel kell hívni.
VII. Adattovábbítás a rendőrségi adatállományokból
29. Az adatkezelő az általa kezelt személyes adatokért az érintettel szemben felelősséggel tartozik, erre figyelemmel az adattovábbítás feltételeinek meglétét az adatot továbbító adatkezelő minden egyes személyes adattal összefüggésben köteles ellenőrizni.
30. Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adatot kezelő szerv vagy személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig törvényi felhatalmazással vagy az érintett írásos hozzájárulásával rendelkezik az adat kezeléséhez, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte és a célhoz kötöttség a jogszerűség együttes követelménye.
31. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt adattovábbítás esetét kivéve – az adatkezelő szerv vezetőjének vagy az általa kijelölt vezetőnek a hatáskörébe tartozik. Az adatigénylés abban az esetben teljesíthető, ha az tartalmazza:
a) az adatigénylés célját, jogalapját, az alapul szolgáló törvényi rendelkezés pontos megjelölésével;
b) a kért adatok körének pontos meghatározását;
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén az érintettek azonosításához szükséges csoportképző ismérveket.
32. A Rendőrség – törvény eltérő rendelkezése hiányában – csak olyan személyes adatokat továbbíthat, amelyeknek a Rendőrség törvényben meghatározott adatkezelője. Amennyiben az adatigénylés olyan személyes adatra vonatkozik, amely esetében az adatkezelő más szerv, a Rendőrség pedig az érintett adatkezelésből csak adatkérésre jogosult, az adatkérést – törvény eltérő rendelkezése hiányában – el kell utasítani, és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely adatkezelő szervtől igényelheti.
33.13 Az adattovábbítás történhet kérelem alapján egyedi adatszolgáltatással, illetőleg – törvény ilyen tartalmú rendelkezése vagy erre vonatkozó megállapodás alapján – közvetlen hozzáférés biztosításával.
VIII. Az érintett jogainak érvényesítésével összefüggő feladatok
34. Az adatkezelő szerv vezetője gondoskodik arról, hogy az érintett:
a)14 személyes adatai kezelésével kapcsolatos tájékoztatás kérésére, a helyesbítéssel, valamint törléssel vagy zárolással kapcsolatos kérelmére legkésőbb huszonöt napon belül,
b) a személyes adatai kezelésével kapcsolatos tiltakozására tizenöt napon belül
írásban, közérthető formában választ kapjon.
35. Amennyiben törvény alapján az érintett tájékoztatása nem tagadható meg, az kiterjed:
a) az adatok megjelölésére, azok forrására;
b) az adatkezelés céljára, jogalapjára, időtartamára;
c) az esetlegesen igénybe vett adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére;
d)15 arra, hogy mely harmadik szervek, illetve személyek, milyen célból és milyen jogalap szerint ismerték meg az adatokat;
e)16 az adatvédelmi incidens körülményeire, hatásaira és az elhárítására megtett intézkedésekre.
36. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkezelésre vonatkozó tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben az adatkezelő szerv gazdasági szakszolgálatának tájékoztatása alapján költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell fizetni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
37. Az adatkezelő szerv vezetője által kijelölt személy kizárólag az adattovábbító adatkezelőnek az adatkezelési korlátozása vagy törvény korlátozó rendelkezése alapján, részletes indokolással tagadhatja meg az érintett tájékoztatását, megjelölve a pontos törvényi rendelkezést, a bírósági jogorvoslat és a NAIH-hoz fordulás lehetőségét.
38. Az adatkezelő szerv vezetője gondoskodik a valóságnak nem megfelelő adatnak – amennyiben a szükséges adatok rendelkezésre állnak – helyesbítéséről. Amennyiben a hibás adat nem helyesbíthető, akkor azt – törvény eltérő rendelkezésének hiányában – törölni kell. A hibás adatot a kijavításig vagy a törlésig jelzéssel kell ellátni.
39. Az Infotv. 17. § (2) bekezdésében meghatározott esetekben az adatkezelő szerv vezetője a belső adatvédelmi felelős útján intézkedik a személyes adat törlése érdekében.
40. A belső adatvédelmi felelős előkészíti az adatkezelő szerv vezetőjének intézkedését annak érdekében, hogy az adat helyesbítéséről, zárolásáról, megjelöléséről és a törlésről az érintett és mindazok tájékoztatást kapjanak, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti.
Az érintett előzetes tájékoztatása
41. A Rendőrség személyi állományának adatkezelést végző munkatársa az adatkezelés megkezdése előtt az érintettel köteles közölni, hogy az adatkezelés hozzájáruláson alapul vagy kötelező. A tájékoztatásnak ki kell terjedni:
a) az adatkezelés céljára, jogalapjára, időtartamára;
b) igénybevétele esetén az adatfeldolgozóra;
c) arra, hogy kik ismerhetik meg az adatokat;
d) az érintettnek az adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire.
42. Kötelező adatkezelés esetén a 41. pont szerinti előzetes tájékoztatás – az ORFK belső adatvédelmi felelősének hozzájárulását követően – történhet az adatkezelésre vonatkozó információkat tartalmazó jogszabályi rendelkezésnek a Rendőrség internetes honlapján történő nyilvánosságra hozatalával.
43. Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna – az ORFK belső adatvédelmi felelőse hozzájárulását követően – a tájékoztatás a Rendőrség internetes honlapján az alábbi információk nyilvánosságra hozatalával is megtörténhet:
d) az adatkezelés időtartama;
e) az adatok megismerésére jogosult lehetséges adatkezelők személye;
f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint az adatkezelés nyilvántartási száma (kivéve ha az időben benyújtott kérelem alapján a nyilvántartásba vétel határidőben nem történt meg).
A tiltakozási jog gyakorlása
44. Az érintett tiltakozása elbírálásának időtartamára az adatkezelő szerv vezetője gondoskodik az adatkezelés felfüggesztéséről. A felfüggesztés időtartama alatt az adat a tiltakozási jog elbírálásával összefüggő eljáráson kívül nem használható fel, nem továbbítható, a tároláson kívül egyéb adatkezelési művelet nem végezhető.
45. Amennyiben a tiltakozás indokolt, az adatkezelő szerv vezetője köteles gondoskodni az adatkezelés megszüntetéséről, és – a tiltakozási jog miatt történt felfüggesztésre utaló jelölés elhelyezése mellett – az adatok zárolásáról, valamint a tiltakozásról és az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította. Az értesítettek kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
IX. Adattovábbítási nyilvántartás
46. Az adatkezelő szerv vezetője az érintett tájékoztatása és az adattovábbítás jogszerűségének megállapítása érdekében köteles gondoskodni – a Rendőrségről szóló 1994. évi XXXIV. törvényben (a továbbiakban: Rtv.) meghatározott tartalommal – adattovábbítási nyilvántartás vezetéséről. A szolgáltatott adatok nem képezik az adattovábbítási nyilvántartás részét.
47. Amennyiben olyan adat továbbítására kerül sor, amellyel kapcsolatban az adattovábbító adatkezelő – a személyes adat érintettjének az Infotv. által biztosított jogait érintő – adatkezelési korlátozást jelzett, az adatkezelési korlátozást szerepeltetni kell az adattovábbítási nyilvántartásban.
48. Manuális adatkezelések esetén – vagy ha a számítógépes adatkezeléseknél a naplózás nem biztosított – papír alapú adattovábbítási nyilvántartás vezetéséről kell gondoskodni.
X.17 A közvetlen lekérdezés
49.18 A közvetlen lekérdezést biztosító rendszert – a lekérdezés és a felhasználás jogszerűségének dokumentálása érdekében – úgy kell kialakítani, hogy:
a) a személyes adatokhoz történő hozzáférés egyedi azonosító és jelszó megadásához kötötten történjen;
b) a lekérdezés naplózása biztosított legyen;
c) a hozzáférésre felhatalmazott munkatárs a lekérdezéskor a rendszer erre a célra kialakított állományában rögzíteni tudja az adatkérés céljára utaló adatot (így különösen az ügyszámot).
50.19 Amennyiben a lekérdezéskor nincs lehetőség a közvetlen lekérdezést biztosító rendszerben a lekérdezés céljának rögzítésére, a lekérdezést végző maga köteles dokumentálni a lekérdezéssel érintett adatállomány megjelölését, a lekérdezés időpontját és célját.
51.20 A rendőri szervek személyi állományának tagja részére közvetlen hozzáférési jogosultság igénylésének kezdeményezésére az érintett legalább osztályvezető jogállású vezetője jogosult (a továbbiakban: kezdeményező vezető).
52.21 A rendőrségi adatkezelő szerv adatkezelése esetén a kezdeményező vezető a belső adatvédelmi és adatbiztonsági szabályzatban meghatározottak szerint gondoskodik a közvetlen hozzáférési jogosultság beállítása érdekében készített igénylés adatkezelő szerv részére történő továbbításáról.
53.22 A nem rendőri szerv adatkezelése esetén a kezdeményezést az adatkezelő szerv vezetője által kijelölt személy részére kell továbbítani, aki az adatkezelő szervnek küldi meg a közvetlen hozzáférési jogosultság beállítására vonatkozó igénylést.
54.23 A közvetlen hozzáférési jogosultsággal rendelkezők naprakész, azok egyedi azonosítójával ellátott névjegyzékét (a továbbiakban: hozzáférésre jogosultak nyilvántartása) az adatkezelő szerv vezetője által kijelölt személy vezeti, akinek a részére az 52. és 53. pontban meghatározott igénylés egy példányát meg kell küldeni.
54/A.24 A közvetlen hozzáférési jogosultsággal rendelkező személy munkakörét érintő változás vagy más munkakörbe kerülése, illetőleg a jogviszonyának megszűnése esetén a kezdeményező vezető köteles kezdeményezni a jogosultság módosítását, illetőleg visszavonását. A kezdeményezés egy példányát továbbítani kell a hozzáférésre jogosultak nyilvántartására kijelölt személynek.
54/B.25 A közvetlen hozzáférési jogosultsággal rendelkező személy kizárólag a munkaköri feladatainak ellátásával kapcsolatban – a célhoz kötöttség elvének szem előtt tartásával – a feladatkörének ellátásához szükséges adatokat kérheti le és használhatja fel.
54/C.26 A közvetlen hozzáférési jogosultsággal rendelkező személy a jelszavát más személynek nem hozhatja tudomására.
54/D.27 A közvetlen lekérdezés törvényi feltételeinek fennállása esetén a rendőri adatkezelő szerv és a nem rendőri adatigénylő szerv megállapodást köt a rendszer igénybevételének feltételeiről, a rendszer használatának technikai és adatbiztonsági követelményeiről, valamint a költségviselés rendjéről.
54/E.28 A megállapodás tartalmazza a közvetlen lekérdezések célját, jogalapját, a lekérhető adatfajtákat, a lekérdezésre feljogosított személyi kör megjelölését, az adatok jogszerű felhasználására felhívó záradékot, továbbá a közvetlen lekérdezésre irányadó, jelen fejezetben meghatározott előírásokat.
XI. Adattovábbítás hírközlő eszköz alkalmazásával
55. A rendőrségi nyilvántartásokban kezelt személyes adatot hírközlő eszközön csak a jogosult nyomozó hatóságok, nemzetbiztonsági szervek, bíróságok, ügyészségek, valamint az adatkezelővel közös szervezetbe tartozó személyek számára, szervezetszerűen működő ügyfélszolgálat, ügyeleti szolgálat, valamint a szerv szervezeti és működési szabályzatában vagy ügyrendjében erre kijelölt szervezeti elem továbbíthat. Ettől eltérni csak halaszthatatlan esetben, az élet, a testi épség vagy a vagyonbiztonság megóvása érdekében lehet.
56. A hívó jogosultságáról jelszó alkalmazásával, visszahívással vagy egyéb arra alkalmas módon meg kell győződni. Ha a hívó jogosultsága nem állapítható meg, a tájékoztatás hírközlő eszközön nem teljesíthető.
57. A hírközlő eszközön adott tájékoztatást dokumentálni kell az Rtv. rendelkezései által meghatározott adattovábbítási nyilvántartásra vonatkozó szabályok szerint.
58. Abban az esetben, ha egy nyilvántartásból hordozható számítástechnikai eszközzel történik a lekérdezés, és ezek naplózására az igénybe vett nyilvántartás nem alkalmas, akkor az adatlekérés időpontját, az adatkérő személyét (a név, a rendfokozat és a beosztás megjelölésével, valamint a jelvény számával), valamint a kért adat fajtáját manuális módon kell rögzíteni, és a hordozható számítástechnikai eszköz leadásakor azt az eszközt kezelő szervnek kell leadni.
59. Hírközlő eszközön történő adatszolgáltatás esetén a legszükségesebb adatok közlésére kell szorítkozni.
XII. Az adatigénylés során irányadó szabályok
60. A rendőrségi adatállományokból kizárólag a Rendőrség feladat- és hatáskörének gyakorlása érdekében – a célhoz kötöttség elvének érvényre juttatása mellett – igényelhető és használható fel személyes adat. A más adatkezelők által kezelt olyan adatállományokból, amelyekből történő adatigénylésre a Rendőrséget az érintett adatkezelésre irányadó törvény felhatalmazza, csak az adott törvényben meghatározott rendőrségi feladat ellátása érdekében végezhető adatlekérdezés, azok – törvény eltérő rendelkezésének hiányában – harmadik személynek vagy szervnek nem továbbíthatók.
61. Az egyes eljárások során a különböző adatállományokból lekért, de az ügy szempontjából érdektelenné vált, fel nem használt személyes adatokat az ügy előadója az ügyirat továbbítását, illetőleg irattárba helyezését megelőzően köteles megsemmisíteni. A megsemmisítés tényét és időpontját az iratborítón, az előadói íven vagy az ügyiratban elhelyezett külön iraton rögzíteni és aláírással igazolni kell. Az adatlekérdezéssel vagy a megsemmisítéssel érintett adatok későbbi azonosíthatósága érdekében a lekérdezés időpontját, az érintett személy(ek) nevét és az igénybe vett adatállomány megjelölését kell rögzíteni, maguk a lekérdezett személyes adatok nem szerepeltethetők.
62. Az adatkérés naplózására irányadó szabályokat megfelelően alkalmazni kell az állomány részére az ügyeleti szolgálat által teljesített adatszolgáltatás esetén is. Ha a naplózás programtechnikailag nem megoldott, a manuális naplózást az adatkérés kezdeményezője a szolgálat befejezését követően aláírásával hitelesíti, vagy a maga által vezetett nyilvántartásban dokumentálja a kezdeményezett lekérdezést.
63. A folyamatos ügyeleti szolgálatot ellátók esetében az adatállományokba történő belépés és abból adattovábbítás csak az ügyeleti szolgálatot ellátó személy saját hozzáférési kódjának felhasználásával történhet. Az ügyeleti szolgálatot ellátók a szolgálat átadásakor kötelesek kilépni a számítógépes rendszerekből, a szolgálatba lépők pedig saját jogosultságuk és azonosító kódjuk alapján belépni a rendszerekbe.
64. Az elrendelt akciók, fokozott ellenőrzések időtartamára az adatkérésre jogosultak körét, a hozzáférés módját, az adatszolgáltatás naplózásának rendjét, valamint ezen átmeneti intézkedések hatályának lejártát az akció vagy a fokozott ellenőrzés elrendeléséről szóló intézkedésben vagy az annak végrehajtására készített tervben kell meghatározni.
XIII. Külföldre történő adattovábbítás különös szabályai
65. A külföldre továbbított személyes adatokról az adatkezelő szervnél külön adattovábbítási nyilvántartást kell vezetni. Minden külföldre továbbított személyes adat esetében fel kell tüntetni az adattovábbítás jogi alapját, nemzetközi egyezménynél a cikket és a bekezdést is meg kell jelölni.
XIV. A Rendőrség által működtetett képfelvevő rendszerek működtetésének szabályai
A közterületi térfigyelő rendszerek működtetése során irányadó adatvédelmi előírások
66. Amennyiben a megfigyelni szándékozott közterületre vonatkozó rendészeti és bűnügyi szakmai vélemény alapján közterületen képfelvevő elhelyezése közbiztonsági, bűnmegelőzési, valamint bűnüldözési célból igazolhatóan szükséges, a megfigyelt terület kijelölése érdekében az adatkezelő területi vagy helyi szerv vezetője előterjesztést tesz az illetékes önkormányzatnak.
67. Az adatkezelő rendőri szerv kezdeményezi az illetékes önkormányzattal együttműködési megállapodás megkötését a képfelvevők működtetésével kapcsolatban felmerülő költségek viseléséről, valamint az adatbiztonsági követelményekről.
68. A térfigyelő rendszer kameráit úgy kell elhelyezni, hogy a működésük a megfigyelt területen jelenlévő állampolgárok számára nyilvánvalóan észlelhető legyen. A kamerák észlelhetősége érdekében a működtető szerv a megfigyelt területen köteles – az állampolgárok számára jól látható módon – figyelemfelhívó táblák elhelyezéséről gondoskodni.
69. A térfigyelő rendszer által közvetített képek figyelemmel kíséréséről olyan módon kell gondoskodni, hogy az észlelt jogszabálysértések esetében szükséges rendőri intézkedések megfelelő időben kezdeményezhetők legyenek.
70. A térfigyelő rendszert működtető szerv vezetője köteles intézkedni a képek figyelését, valamint megtekintését végző állomány feladatai ellátásához szükséges oktatásának megszervezésére, különös tekintettel az irányadó adatvédelmi és személyiségi jogi jogszabályokra. Az állomány feladatait, jogait és kötelezettségeit a munkaköri leírásban vagy a megbízási szerződésben kell rögzíteni.
71. Az adatkezelő szerv vezetője a képfelvevők által megfigyelt területre vonatkozó adatokat a Rendőrség internetes honlapján történő közzététele érdekében köteles megküldeni a honlap tartalomszolgáltatói feladatait ellátó ORFK Kommunikációs Szolgálatának, amely gondoskodik az adatok megjelentetéséről.
72.29 Az adatkezelő szerv vezetőjének nevében és megbízásából eljáró személy gondoskodik arról, hogy a képfelvevő által készített képfelvétel, hangfelvétel, kép- és hangfelvétel (a továbbiakban: felvétel), valamint az abban szereplő személyes adat csak bűncselekmény, szabálysértés elkövetése vagy a közlekedés szabályainak megsértése miatt indult büntető-, szabálysértési vagy más hatósági eljárás során, körözött személy vagy tárgy azonosítása, vagy a rendőri intézkedés jogszerűségének közigazgatási hatósági eljárásban történő vizsgálata céljából, valamint az érintett személy jogainak gyakorlása érdekében kerüljön felhasználásra. Ha ezen eljárások lefolytatásához a felvételekre nincs szükség, a felvételeket a rögzítést követő öt munkanap elteltével törölni kell.
73. Ha szabálysértés vagy bűncselekmény elkövetésére utaló adat vagy információ öt munkanapon belül merül fel, a szabálysértési vagy büntetőeljárás megindításához szükséges adatok és információk biztosítása céljából az adatkezelő szerv vezetője a rögzített adatok kezelésének határidejét legfeljebb harminc napig meghosszabbítja. Ha ezen időtartamon belül nem indul olyan szabálysértési vagy büntetőeljárás, amelyben a felvételek felhasználhatók, az adatokat haladéktalanul törölni kell.
74. Ha a felvétel felhasználására a 72. pont szerinti eljárásokban kerül sor, az adatok kezelésére az alapul szolgáló eljárás szabályait kell alkalmazni.
75. Az adatkezelő szerv vezetőjének nevében és megbízásából eljáró személy gondoskodik arról, hogy a 72. és 73. pontok szerinti határidőn belül a rögzített felvételből – a külön jogszabályban meghatározott szabálysértési, bűnüldözési, igazságszolgáltatási, valamint nemzetbiztonsági feladatok ellátása céljából – nyomozó hatóság, szabálysértési hatóság, ügyészség, bíróság, a nemzetbiztonsági szolgálatok, nemzetközi jogsegély keretében külföldi hatóság a rögzített felvételt haladéktalanul megkapja.
76. A térfigyelő rendszer központi kezelési helyiségébe csak az ott feladatot ellátó állomány, az ellenőrzésre jogosult személy, a rendszergazda, az adatkezelő szerv, valamint a felettes szerv belső adatvédelmi felelőse, az érintett rendőri szervnél a térfigyelő rendszer működtetésének szabályait tartalmazó belső normában meghatározott személyek, valamint a NAIH munkatársai léphetnek be. Ezen személyeken kívül más a térfigyelő rendszer központi kezelési helyiségébe csak a rendszert működtető rendőri szerv vezetőjének előzetes engedélyével léphet be, valamint tartózkodhat.
77. A térfigyelő rendszer karbantartását végző külső személy a térfigyelő rendszer központi kezelési helyiségébe csak az ott tartózkodásra jogosult személy kíséretében léphet be és végezheti tevékenységét.
78. A térfigyelő rendszer központi kezelési helyiségébe belépő, ott feladatot ellátó személyekről naplót kell vezetni. A naplóban rögzíteni kell a szolgálatot teljesítő személyek nevét – és amennyiben van –, a rendfokozatát, a szolgálati idő kezdő és befejező időpontját, valamint a szolgálati idő alatt bekövetkezett eseményeket. A szolgálati naplót olyan módon kell vezetni, hogy egyértelműen megállapítható legyen a térfigyelő rendszer központi kezelési helyiségébe belépő személyek köre, a felhasznált adathordozók nyilvántartási száma és a bekövetkezett eseményekre tekintettel kezdeményezett intézkedés.
Az objektumvédelmi feladatok ellátásával összefüggő képfelvevő berendezések alkalmazása
79. Amennyiben a védett objektum őrzésével összefüggő feladatok ellátása érdekében képfelvevő berendezés alkalmazására kerül sor, akkor erről az objektumban dolgozókat és az oda érkezőket erre vonatkozó felirat elhelyezésével jól látható módon tájékoztatni kell.
80. A tájékoztatásnak ki kell terjednie:
a) a képfelvevő berendezés működtetésének tényére,
b) az adatrögzítés céljára,
c) a felvételek tárolásának idejére.
81. A megfigyelt területre történő belépéssel az érintett adatkezeléshez történő hozzájárulását megadottnak kell tekinteni, ebből adódóan a képfelvevő berendezés működésére szolgáló figyelemfelhívást úgy kell elhelyezni, hogy az érintett a megfigyelt területre történő belépéskor a tájékoztatás tartalmát megismerhesse.
82. A képfelvevő berendezés által rögzített adatok felhasználására, továbbítására csak törvényben meghatározott esetekben vagy az érintett(ek) erre irányuló írásos hozzájárulása esetén van lehetőség.
83. A rögzített képek tárolási idejét az adatkezelés céljának megfelelő lehető legrövidebb időtartamban kell meghatározni. Amennyiben az objektumvédelmi feladatokat fegyveres biztonsági őrség látja el, abban az esetben a fegyveres biztonsági őrségről, a természetvédelmi és a mezei őrszolgálatról szóló törvényben meghatározott adatmegőrzési határidők figyelembevételével kell eljárni.
84. Az érintettnek jogai érvényesítése céljából lehetőséget kell adni arra, hogy – az adatok törlését megelőzően benyújtott kérelmében – a rá vonatkozó adatok tekintetében az adatkezelés eredeti megőrzési idejének meghosszabbítását kezdeményezze, megjelölve annak célját és a megőrzési idő meghosszabbításának időtartamát.
85. A védett objektum őrzésével összefüggő feladatok ellátása érdekében alkalmazott képfelvevő berendezéssel rögzített adatokkal kapcsolatban az érintett tájékoztatást kérhet adatainak kezeléséről, kérheti adatai törlését, valamint jogvita esetén biztosítani kell, hogy a képfelvevő berendezés által rögzített felvételt – annak kezelésének időtartama alatt – az érintett is felhasználhassa.
A rendőri intézkedések rögzítésére használt kép-, valamint kép- és hangrögzítő eszközök alkalmazására vonatkozó szabályok30
86.31 A rendőri intézkedések rögzítésére használt kép-, valamint a kép- és hangrögzítő eszközök alkalmazásával kapcsolatos szabályokat az adatkezelő szerv vezetője – a kép-, valamint a kép- és hangrögzítő eszköz technikai sajátosságának, illetve az alkalmazás körülményének megfelelően – normatív intézkedésben köteles rögzíteni.
87.32 A normatív intézkedésnek tartalmaznia kell:
a) az adatkezeléssel kapcsolatos feladatokat;
b) az érintett állomány felkészítésére, oktatására vonatkozó rendelkezéseket;
c) a felvételek készítésére irányadó szabályokat;
d) a felvételek kezelésével, továbbításával, felhasználásával kapcsolatos adatvédelmi és adatbiztonsági rendelkezéseket;
e) a felvételekhez történő hozzáférésre vonatkozó szabályokat;
f) az ellenőrzés rendjét.
88.33 A kép-, valamint a kép- és hangrögzítő eszközt alkalmazó állomány munkaköri leírásában az adatkezeléssel kapcsolatos jogokat és kötelezettségeket rögzíteni kell. Amennyiben a szolgálati feladatok ellátása során technikai eszköz alkalmazására kerül sor, a technikai eszköz eseti vagy állandó alkalmazásával kapcsolatos adatvédelmi szabályokat az érintett munkaköri leírásában vagy annak kiegészítésében szerepeltetni kell.
A felvételek kezelésével kapcsolatos dokumentációs és nyilvántartási szabályok
100. A felvételekhez történő hozzáférést, a felvételek továbbítását az adattovábbítási nyilvántartásban dokumentálni kell az időpont, az adatkezelés céljának, jogalapjának, a felvételt átvevő szervezet vagy személy megjelölésével.
101. A felvételek továbbítása előtt minden esetben meg kell győződni az adatátadás jogalapjának meglétéről.
102. A felvételeket tartalmazó adathordozókról nyilvántartást kell vezetni (adathordozók nyilvántartása). Az adathordozók nyilvántartásában az adathordozók forgalmára vonatkozóan a szolgálatot ellátó, valamint az adathordozókat kezelő állománynak a következő adatokat kell folyamatosan rögzítenie:
a) a felhasznált adathordozó azonosító adatait;
b) az adathordozó alkalmazásának kezdő és befejező időpontját;
c) a felhasznált adathordozó tárolási helyét;
d) az adathordozó tartalmának esetleges sokszorosítására, valamint arról kivonat készítésére vonatkozó adatokat;
e) a sokszorosítás vagy kivonatkészítés indokát;
f) a készítő nevét és beosztását;
g) a felvétel megsemmisítésére, törlésére vonatkozó adatokat;
h) az adathordozó megsemmisítésére vonatkozó adatokat.
103. A felvételeket megsemmisítésükig olyan feltételek között kell őrizni, amelyek az illetéktelen megismerést kizárják. A felvételek megsemmisítését pontosan és visszaellenőrizhetően dokumentálni kell. A felvételek megsemmisítésétől függetlenül öt évig meg kell őrizni az adattovábbítási nyilvántartást, amelyből megállapítható, hogy a felvételeket kinek vagy mely szervnek, milyen célból és milyen jogalapra tekintettel adták át.
XV. A rendőri szervek által kezelt közérdekű adatok megismerésével összefüggő szabályok
104. A közérdekű adat megismerésére irányuló igényt soron kívül be kell mutatni az adatkezelő szerv vezetőjének, aki köteles gondoskodni a megkeresés határidőben történő megválaszolásáról.
105. Amennyiben az igényelt adat kezelője nem a megkeresett szerv, és az adatot ténylegesen kezelő szerv megállapítható, úgy az adatigénylést haladéktalanul továbbítani kell a közérdekű adatot kezelő szervnek, és az áttételről egyidejűleg tájékoztatni kell az igénylőt. Amennyiben a megkeresett szerv az adatkezelő szerv ismeretének hiányában a megkeresés áttételére nem tud intézkedni, úgy az adatigénylőt erről kell tájékoztatni.
106. A közérdekű adat nyilvánosságának korlátozására a következő esetekben és feltételekkel van lehetőség:
a) az adatot az arra jogosult személy a minősítéshez szükséges anyagi és eljárási szabályoknak megfelelően minősítette;
b) törvény a közérdekű adatok megismeréséhez való jogot – az adatfajták meghatározásával – honvédelmi, nemzetbiztonsági érdekből, bűncselekmények üldözése vagy megelőzése érdekében, környezet- vagy természetvédelmi, központi pénzügyi vagy devizapolitikai érdekből, külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, bírósági vagy közigazgatási hatósági eljárásra vagy szellemi tulajdonhoz fűződő jogra tekintettel korlátozza;
c) a közfeladatot ellátó szerv feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezéstől számított tíz évig nem nyilvános adat;
d) a közérdekű adat megismerése korlátozható uniós jogi aktus alapján az Európai Unió jelentős pénzügy- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is.
107. Amennyiben az adat keletkeztetőjének megítélése szerint az adat a szerv döntés-előkészítő tevékenységével függ össze és az Infotv. hatálya alá tartozik, annak adathordozóján – fedőlapján vagy az első oldalának jobb felső sarkán – fel kell tüntetni a „Nem nyilvános!” jelölést, és a nyilvánosság korlátozásának időtartamát, ami jogszabály eltérő rendelkezése hiányában maximum tíz év. A „Nem nyilvános!” jelölés alkalmazását a kiadmányozási jogkör gyakorlója a kiadmányozással hagyja jóvá.
108.35 Az adatkezelő szerv vezetője – a belső adatvédelmi felelős vagy az adatvédelmi felelős és az adat tárgya szerint érintett szakterület vezetőjének előterjesztése alapján – a döntés megalapozását szolgáló adat megismerésére irányuló igényt az adat keletkezésétől számított tíz éven belül a döntés meghozatalát követően akkor utasíthatja el, ha:
a) az adat további jövőbeni döntés megalapozását szolgálja, vagy
b) az adat megismerése a közfeladatot ellátó szerv törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő kifejtését veszélyeztetné.
109. A közérdekű adat megismerésére irányuló igény elutasítását az adatkezelő szerv vezetője minden esetben olyan módon köteles írásban indokolni, hogy az az igénylő által esetlegesen indított perben alkalmas legyen a megtagadás jogszerűségének és megalapozottságának igazolására, tekintettel arra, hogy ezt minden esetben az adatkezelő köteles bizonyítani.
110. A közérdekű adatigénylés teljesítése során kiemelt figyelmet kell fordítani arra, hogy a közérdekű adatok, közérdekből nyilvános adatok közlése ne járjon mások jogainak sérelmével. Különös figyelmet kell fordítani arra, hogy az adatszolgáltatással ne kerüljenek nyilvánosságra személyes adatok, minősített adatok, törvény által nyilvánosságában korlátozott vagy – ha az adatkezelő szerv vezetője másként nem döntött – „Nem nyilvános!” jelöléssel ellátott adatok.
111. Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni, olyan módon, hogy annak tartalmára megalapozott következtetést ne lehessen levonni.
112.36 Közérdekű adatigényléssel összefüggésben keletkezett iratok kezelésére az Iratkezelési Szabályzat függelékeként kiadott irattári tervben meghatározott megőrzési idők irányadók, azonban az igény teljesítéséhez, a költségek megfizetéséhez szükséges időtartam lejártát követően az igénylő személyes adatait felismerhetetlenné kell tenni.
113. Az adatkezelő szervek vezetői kötelesek gondoskodni a NAIH hatáskörének gyakorlásával összefüggésben végzett ellenőrzések eredményes végrehajtásához szükséges közreműködésről.
114. Az ellenőrzésre feljogosított személy az ellenőrzés céljára figyelemmel az ellenőrzés érdekében minden olyan helyiségbe beléphet, ahol adatkezelés folyik, az adatkezelést végzőktől minden olyan kérdésben felvilágosítást kérhet, a minősített adatot tartalmazó nyilvántartások esetében a minősített adatok kezelésére meghatározott előírások betartásával minden olyan adatkezelést megismerhet vagy abba betekinthet, amely az ellenőrzött szerv adatkezelési tevékenységével összefügg.
115. Az egyes szervek, szolgálati ágak, szolgálatok és szakszolgálatok szakmai tevékenységét érintő átfogó ellenőrzéseknek ki kell terjedniük a szakmai feladatellátáshoz szükséges adatkezelések törvényességének ellenőrzésére is.
116. Az adatkezelő szerv adatvédelmi tevékenységének célellenőrzését az ORFK belső adatvédelmi felelőse vagy az adatkezelő szerv szakirányítására jogosult szerv vezetője rendelheti el.
117.37 A belső adatvédelmi felelős vagy az adatvédelmi felelős havonta köteles ellenőrizni az adatkezelő szervnél kiosztott hozzáférési jogosultságok aktualizálásának végrehajtását. Az ellenőrzést – a hozzáférésre jogosultak nyilvántartása alapján – a szerv rendszergazdájával (informatikai szakemberével) közösen kell végrehajtani.
118.38 A belső adatvédelmi felelős és az adatvédelmi felelős végzi az országos nyilvántartásokból történő lekérdezések során a célhoz kötött adatkezelés elve érvényesülésének ellenőrzését. Az ellenőrzés végrehajtása során a közvetlen hozzáférési jogosultsággal rendelkező személyek közül havi rendszerességgel kiválasztott jogosultak esetén – az adatkezelővel, illetőleg az érintett szolgálati elöljárójával szükség szerint együttműködve – azt kell vizsgálni, hogy az ellenőrzésre kiválasztott adatlekérdezés összefüggésben volt-e az érintett munkaköri feladatainak végrehajtásával kapcsolatos ügyintézéssel.
119. Az ellenőrzés során feltárt hiányosságokról, esetleges jogszabály- vagy normasértésekről az ellenőrzést végző az ellenőrzés befejezését követően írásban köteles tájékoztatni az adatkezelő szerv vezetőjét, aki köteles haladéktalanul megtenni a jogszerű állapot helyreállításához szükséges intézkedéseket, indokolt esetben elrendeli vagy kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását.
XVII. Oktatás, vizsgáztatás
120. A Rendőrség állományába újonnan került olyan személyeket, akik munkakörüknél fogva személyes adatokat kezelnek, a belső adatvédelmi felelős vagy az adatvédelmi felelős – az adatkezelő szerv személyzeti feladatot ellátó szervezeti egységével történő rendszeres egyeztetés alapján – köteles az állományba vételt követő két hónapon belül adatvédelmi oktatásban részesíteni, és részére a szükséges jogszabályokat, közjogi szervezetszabályozó eszközöket, belső normákat, és egyéb segédanyagokat rendelkezésre bocsátani.
121. Az oktatást követően az adatvédelmi ismeretekből vizsgát kell tenni, amelyről szóló igazolást az érintett személyi anyagában kell elhelyezni. Eredménytelen vizsga esetén az érintett személyt megfelelő határidő kitűzésével pótvizsgára kell bocsátani, a pótvizsga sikertelensége esetén a vizsga letételéig személyes adatok kezelésével nem járó munkakörbe kell helyezni.
122. A belső adatvédelmi felelősök és az adatvédelmi felelősök kijelölésüket vagy megbízásukat követően három hónapon belül az ORFK belső adatvédelmi felelőse által megállapított tárgykörben vizsgát tesznek. Rendszeres továbbképzésük szervezéséről az ORFK belső adatvédelmi felelőse gondoskodik.
123. A belső adatvédelmi felelős és az adatvédelmi felelős az adatkezelő szerv személyes adatok kezelését végző személyi állományát a bekövetkezett adatvédelmi tárgyú jogszabály- és normaváltozásokról köteles tájékoztatni, indokolt esetben – különösen a jelentősebb adatvédelmi tárgyú normaváltozásoknál vagy az ellenőrzés során feltárt visszatérő vagy egyébként súlyos hiányosságoknál – az érintett állomány kötelező adatvédelmi oktatását kell elvégezni.
XVIII. Záró rendelkezések
124. Az utasítás a közzétételét követő hónap első napján lép hatályba.
127. Az utasítás 125. és 126. pontja a hatályba lépést követő 61. napon hatályát veszti.