Adatvédelmi változások

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2003. október 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 66. számában (2003. október 1.)
A marketing, a reklám sokszor találja szembe magát az adatvédelmi előírásokkal, amelyek védik a fogyasztók autonómiáját is. Éppen ezért nem árt tájékozódni arról, hogy jövő januártól több ponton változik az adatvédelmi törvény. A módosítás összhangba hozza a magyar szabályozást az Európai Unió követelményeivel.

Az adatvédelmi törvényt módosító 2003. évi XLVIII. törvényre azért volt szükség, hogy az ország ezen a téren is eleget tegyen az európai uniós jogharmonizációs kötelezettségének. A változások túlnyomórészt 2004. január 1-jén lépnek hatályba, néhány rendelkezést azonban csak a magyar uniós tagságtól kezdve kell alkalmazni.

Kire terjed ki az adatvédelmi törvény?

A módosítást követően az adatvédelmi törvény (1992. évi LXIII. törvény) külön rendelkezik arról, hogy az előírások kikre vonatkoznak. A törvény hatályáról szóló rendelkezés szerint az adatvédelmi törvény kiterjed a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz. A törvényt egyaránt alkalmazni kell a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra. Nem tartozik a törvény hatálya alá viszont, amikor a természetes személy kizárólag saját személyes céljaiból kezel adatokat.

Adatkezelés

Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete elrendeli.

Kötelező adatkezelés

Új elem a szabályozásban, hogy kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét csak az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg.

Hozzájárulás szerződésben

Az érintett a hozzájárulását az adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az adatvédelmi törvény alapján az érintettnek ismernie kell. Ebbe a körbe tartozik például

– a kezelendő adatok meghatározása,

– az adatkezelés időtartama,

– a felhasználás célja,

– az adatok továbbítása,

– az adatfeldolgozó igénybevétele.

A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul a szerződésben meghatározottak szerinti adatkezeléshez.

Adatkezelés hozzájárulás hiányában

Az új szabályozás szűk körben hozzájárulás hiányában is lehetőséget ad az adatkezelésre. Amennyiben ugyanis az érintett fizikai cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás hiányában is kezelhetik a személyes adatait, ideértve a különleges adatait is.

Adatfeldolgozás

A törvénymódosítás az adatkezelésre vonatkozó eddigi előírásokat kiegészíti azzal, hogy az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

Megbízási szerződés

Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Nem adható adatfeldolgozási megbízás olyan vállalkozásnak, amely érdekelt a feldolgozandó személyes adatokat felhasználó vállalkozás üzleti tevékenységében.

A magyar uniós csatlakozástól kezdődően hatályos az az előírás, amely szerint az Európai Unió területén kívüli adatfeldolgozóval a megbízási szerződést az Európai Közösségek Bizottságának erre vonatkozó határozatában foglaltaknak megfelelő tartalommal kell elkészíteni. (A határozatot az adatvédelmi biztos teszi közzé a Magyar Közlönyben.)

A magyar szabályokat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő a Magyarország területén székhellyel, telephellyel (fiókteleppel) vagy lakóhellyel (tartózkodási hellyel) rendelkező adatfeldolgozót bíz meg az adatfeldolgozással, vagy itt lévő eszközt használ fel, kivéve ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek ki kell jelölnie egy magyarországi képviselőt.

Adatkezelési célok

Személyes adatot csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet kezelni. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.

A 2004. január 1-jétől hatályos törvénymódosítás példálózó jelleggel felsorolja az adatkezelést megalapozó célokat. E szerint a személyes adatot – akár az érintett hozzájárulásával, akár jogszabály alapján – különösen akkor lehet kezelni, ha ez

– közérdekű feladat, vagy az adatkezelő törvényi kötelezettségének teljesítéséhez,

– az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához,

– az érintett létfontosságú érdekeinek védelméhez,

– az érintett és az adatkezelő között létrejött szerződés teljesítéséhez,

– az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez,

– társadalmi szervezetek jogszerű működéséhez szükséges.

Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűnüldözési és bűnmegelőzési, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, illetve a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó adatállományokat.

Fogalmak

A törvénymódosítás új fogalommeghatározásokat iktatott az eddigi definíciók helyébe. * Személyes adat * Személyes adatnak minősül bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (az úgynevezett érintettel) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. * Különleges adat * Különleges adatnak kell tekinteni a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adatot, valamint a bűnügyi személyes adatot. * Bűnügyi személyes adat * Bűnügyi személyes adat a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat. * Közérdekű adat * Közérdekű adatnak kell tekinteni az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső adatot. * Közérdekből nyilvános adat * A közérdekből nyilvános adat fogalmába tartozik minden olyan, természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet kezelésében lévő vagy rá vonatkozó, a közérdekű adat fogalma alá nem tartozó adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli. * Hozzájárulás * Hozzájárulásnak tekinti a törvény az érintett kívánságának önkéntes és határozott kinyilvánítását, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. * Tiltakozás * A tiltakozás adatvédelmi szempontból az érintett olyan nyilatkozatát jelenti, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. * Adatkezelő * Adatkezelő az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. * Adatkezelés * A törvény szerint az adatkezelés fogalmi körébe tartozik az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is. * Adattovábbítás * Adattovábbításról akkor beszélünk, ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik. * Nyilvánosságra hozatal * Nyilvánosságra hozatalnak számít, ha az adatot bárki számára hozzáférhetővé teszik. * Adattörlés * Az adattörlés azt jelenti, hogy az adatokat felismerhetetlenné teszik olyan módon, hogy a helyreállításuk többé nem lehetséges. * Adatzárolás * Az adatzárolás az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele. * Adatmegsemmisítés * Az adatmegsemmisítés a törvény szóhasználatában az adatok vagy az azokat tartalmazó adathordozók teljes fizikai megsemmisítését jelenti. * Adatfeldolgozás * Az adatfeldolgozás az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. * Adatfeldolgozó * Adatfeldolgozó az a személy, aki vagy amely az adatkezelő megbízásából – beleértve a jogszabály rendelkezése alapján történő megbízást is – személyes adatok feldolgozását végzi. * Nyilvántartó rendszer * A személyesadat-nyilvántartó rendszer (röviden: nyilvántartó rendszer) a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állományát jelenti, amely meghatározott ismérvek alapján hozzáférhető. * Adatállomány * Az adatállomány az egy nyilvántartó rendszerben kezelt adatok összessége. * Harmadik személy * Az úgynevezett harmadik személy fogalma olyan természetes vagy jogi személyt, illetve jogi személyiséggel nem rendelkező szervezetet takar, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval. * Harmadik ország * Harmadik országnak minősül az adatvédelmi előírások szempontjából minden olyan ország, amely nem tagja az Európai Uniónak.

Tájékoztatás az érintett részére

Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. A törvénymódosítás szerint az érintettet – egyértelműen és részletesen – tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így például

– az adatkezelés céljáról és jogalapjáról,

– az adatkezelésre és az adatfeldolgozásra jogosult személyéről,

– az adatkezelés időtartamáról, illetve

– arról, hogy kik ismerhetik meg az adatokat.

A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Az adatkezelésről szóló tájékoztatásnak minősül, ha jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről. Ilyenkor az adatkezelőnek nincs tennivalója.

Nyilvánosságra hozatal

Amennyiben az egyénre szóló tájékoztatás lehetetlen vagy aránytalan költséggel járna, a tájékoztatás úgy is történhet, hogy mindenki számára hozzáférhető módon nyilvánosságra hozzák

– az adatgyűjtés tényét,

– az érintettek körét,

– az adatgyűjtés célját,

– az adatkezelés időtartamát és

– az adatok megismerhetőségét.

A törvény szerint az ilyen tájékoztatásra elsősorban statisztikai vagy tudományos (ideértve a történelmi kutatásokat is) célú adatkezelés esetén van lehetőség.

Adattovábbítás külföldre

A jövő január 1-jétől személyes adat (beleértve a különleges adatot is) – függetlenül az adathordozótól vagy az adatátvitel módjától – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha

– ahhoz az érintett hozzájárul,

– azt törvény lehetővé teszi, vagy

– arról nemzetközi szerződés rendelkezik.

Az adattovábbítás feltétele, hogy a harmadik ország joga az Európai Unió által meghatározott megfelelő védelmet biztosítson az átadott adatok kezelése során.

A magyar uniós tagságot követően az Európai Unió tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarországon belüli adattovábbításra kerülne sor.

Automatizált egyedi döntés

A jognak követnie kell a technika fejlődését, s megfelelő válaszokat kell adnia például a számítástechnika teljesítményei következtében kialakult helyzetekre is. Erre tekintettel került 2004. január 1-jei hatállyal az adatvédelmi törvénybe az úgynevezett automatizált egyedi döntésre vonatkozó szabályozás. Ennek lényege, hogy kizárólag számítástechnikai eszközzel végrehajtott automatizált adatfeldolgozással csak akkor lehet értékelni az érintett személyes jellemzőit, ha ahhoz az érintett kifejezetten hozzájárult, vagy azt törvény lehetővé teszi.

Az érintett számára lehetőséget kell biztosítani arra, hogy kifejthesse az álláspontját. Kérelmére tájékoztatni kell az alkalmazott matematikai módszerről és annak lényegéről.

Adatvédelmi biztos

2004-től bővül az adatvédelmi biztos feladatköre. A jövőben az adatvédelmi biztos nemcsak * ellenőrzi az adatvédelmi törvény és az adatkezelésre vonatkozó más jogszabály megtartását; * kivizsgálja a hozzá érkezett bejelentéseket; * gondoskodik az adatvédelmi nyilvántartás vezetéséről, hanem * elősegíti a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó törvényi rendelkezések egységes alkalmazását, * gyakorolja és ellátja az adatvédelmi törvényben meghatározott hatásköröket és feladatokat. * Az adatvédelmi biztos figyelemmel kíséri a személyes adatok védelmének és a közérdekű adatok nyilvánossága érvényesülésének feltételeit. Javaslatot tesz az adatkezelést és a közérdekű adatok nyilvánosságát érintő jogszabályok megalkotására, illetve módosítására, véleményezi az ilyen jogszabályok tervezetét. Kezdeményezheti az államtitokkörben, valamint a szolgálati titokkörben meghatározott adatfajták szűkítését vagy bővítését. * Amennyiben jogellenes adatkezelést észlel, az adatvédelmi biztos az adatkezelés megszüntetésére szólítja fel az adatkezelőt. Az adatkezelő haladéktalanul köteles megtenni a szükséges intézkedéseket, és erről 30 napon belül írásban tájékoztatni az adatvédelmi biztost. Ha az adatkezelő vagy adatfeldolgozó a jogellenes adatkezelést (adatfeldolgozást) nem szünteti meg, az adatvédelmi biztos elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését, illetve megtilthatja a jogosulatlan adatkezelést vagy adatfeldolgozást, továbbá felfüggesztheti az adatok külföldre továbbítását. Az adatvédelmi biztos tájékoztathatja a nyilvánosságot a jogosulatlan adatkezelés (adatfeldolgozás) tényéről, az adatkezelő (adatfeldolgozó) személyéről és a kezelt adatok köréről, valamint az általa kezdeményezett intézkedésekről. * Jogorvoslat az adatvédelmi biztos intézkedése ellen * Az adatkezelő, az adatfeldolgozó vagy az adatkezeléssel érintett személy az adatvédelmi biztos intézkedése ellen bírósághoz fordulhat. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban fel kell függeszteni, és az adatokat zárolni kell.

Adatbiztonság

Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról. Meg kell tennie azokat a technikai és szervezési intézkedéseket és ki kell alakítania azokat az eljárási szabályokat, amelyekkel érvényre lehet juttatni az adat- és titokvédelmi szabályokat.

A törvénymódosítás szerint különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen kell védeni az adatokat. Amennyiben hálózaton vagy egyéb informatikai eszköz útján továbbítják a személyes adatokat, azok technikai védelme érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének.

A személyes adat törlése

Jövő évtől akkor kell törölni a személyes adatot, ha

– az adat kezelése jogellenes;

– az érintett kéri (erre a jogszabályban elrendelt adatkezelések kivételével van lehetősége);

– az adat hiányos vagy téves – és ez az állapot jogszerűen nem korrigálható (feltéve, hogy a törlést törvény nem zárja ki);

– az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;

– azt a bíróság vagy az adatvédelmi biztos elrendelte.

A törlési kötelezettség – a jogellenes adatkezelés kivételével – nem vonatkozik arra a személyes adatra, amelynek adathordozóját levéltári őrizetbe kell adni.

Az érintett jogainak korlátozása

A magyar uniós csatlakozást követően az érintett jogait törvény

– az állam külső és belső biztonsága (honvédelem, nemzetbiztonság, bűnmegelőzés, bűnüldözés) érdekében,

– állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve

– az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint

– a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek,

– a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából (beleértve minden esetben az ellenőrzést és a felügyeletet is), továbbá

– az érintett vagy mások jogainak védelme érdekében korlátozhatja.

Tiltakozási jog

A jövő év elejétől az adatvédelmi törvény külön szabályozza az érintett tiltakozási jogát. Ennek értelmében az érintett akkor tiltakozhat az adatkezelés ellen, ha

– a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges (kivéve, ha az adatkezelést törvény rendelte el);

– a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;

– a tiltakozást egyébként törvény lehetővé teszi.

Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni a tiltakozást, és annak eredményéről írásban tájékoztatni a kérelmezőt. Ezzel egyidejűleg fel kell függesztenie az adatkezelést.

Amennyiben a tiltakozás indokolt, az adatkezelőnek meg kell szüntetnie az adatkezelést (beleértve a további adatfelvételt és adattovábbítást is). Az adatokat köteles zárolni. A tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesítenie kell mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

Jogorvoslat

Amennyiben az érintett nem ért egyet az adatkezelő döntésével, az ellen a döntés közlésétől számított 30 napon belül bírósághoz fordulhat.

Ugyancsak a bíróság előtt érvényesítheti igényét az adatátvevő is, ha az érintett tiltakozása miatt nem kapja meg a törvényes jogának érvényesítéséhez szükséges adatokat. Erre az érintett tiltakozását kivizsgáló döntésről szóló értesítés közlésétől számított 15 napon belül van lehetőség. Az adatokhoz való hozzájutás érdekében indított perben az adatkezelő az érintettet is perbe hívhatja. Amennyiben a bíróság elutasítja az adatátvevő kérelmét, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. (Az adatkezelő akkor is köteles törölni az adatokat, ha az adatátvevő az említett határidőn belül nem fordul bírósághoz.) Nem lehet törölni az érintett adatát, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította.

Előzetes ellenőrzés

A jövő évtől az adatvédelmi biztos az adatvédelmi nyilvántartásba vételt (lásd keretes írásunkat!) megelőzően előzetes ellenőrzést végezhet. Új adatállomány feldolgozását vagy új adatfeldolgozási technológia alkalmazását megelőzően a következő adatkezeléseket végző adatkezelőknél van helye előzetes ellenőrzésnek:

– országos hatósági, munkaügyi és bűnügyi adatállományok;

– pénzügyi szervezetek és közüzemi szolgáltatók ügyfelekre vonatkozó adatkezelései;

– távközlési szolgáltatóknak a szolgáltatást igénybe vevőkre vonatkozó adatkezelései;

– külön törvényben meghatározott egyedi statisztikai adatokat tartalmazó adatállományok.

Az adatkezelőnek az új adatállomány feldolgozására vagy az új adatfeldolgozási technológia alkalmazására irányuló szándékát a tevékenység megkezdését megelőzően 30 nappal be kell jelentenie az adatvédelmi biztosnak. Az adatvédelmi biztos az előzetes ellenőrzésre vonatkozó igényét a bejelentéstől számított 8 napon belül köteles jelezni az adatkezelőnek, és az ellenőrzést 30 napon belül köteles elvégezni. Az adatkezelő a feldolgozást csak az előzetes ellenőrzésének befejezése után kezdheti meg.

Az ellenőrzés alapján az adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel az adatkezelőt. (Ha az adatvédelmi biztos az adatkezelést elrendelő jogszabályt kifogásolja, ajánlást tehet a jogszabály módosítására.)

Belső adatvédelmi felelős és adatvédelmi szabályzat

2004-től az adatkezelő, illetőleg az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó belső adatvédelmi felelőst kell kinevezni vagy megbízni:

– az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőnél és adatfeldolgozónál;

– a pénzügyi szervezetnél;

– a távközlési és közüzemi szolgáltatónál.

A belső adatvédelmi felelős:

– közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;

– ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;

– kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;

– elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;

– vezeti a belső adatvédelmi nyilvántartást;

– gondoskodik az adatvédelmi ismeretek oktatásáról.

Az adatvédelmi felelősnek jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel kell rendelkeznie.

Adatvédelmi és adatbiztonsági szabályzat

Az adatvédelmi felelős alkalmazására kötelezett adatkezelőknek, valamint – az adatvédelmi nyilvántartásba bejelentési kötelezettség alá nem eső adatkezelők kivételével – egyéb állami és önkormányzati adatkezelőknek adatvédelmi és adatbiztonsági szabályzatot kell készíteniük.

Adatvédelmi nyilvántartás

2004-től – az eddigieken túlmenően – az adatkezelés megkezdése előtt az adatkezelő köteles nyilvántartásba vétel végett bejelenteni a belső adatvédelmi felelős nevét és elérhetőségi adatait.

Személyes adatok felhasználása statisztikai célra

Új elem a szabályozásban, hogy a statisztikai célra felvett, átvett vagy feldolgozott személyes adatok csak statisztikai célra használhatók fel. A külön törvény szerinti egyedi statisztikai adatok – beleértve a személyes adatokat is – a statisztikai céltól eltérő célra semmilyen módon vagy jogcímen nem adhatók és vehetők át, nem dolgozhatók fel, és nem hozhatók nyilvánosságra.

Bírósági eljárás

Az érintett a jogainak megsértése esetén, valamint az az adatátvevő, aki az érintett tiltakozása miatt nem kapja meg a törvényes jogának érvényesítéséhez szükséges adatokat, az adatkezelő ellen bírósághoz fordulhat. * A perre az adatkezelő székhelye (lakóhelye) szerinti bíróság az illetékes. A per – az érintett választása szerint – az érintett lakóhelye (tartózkodási helye) szerinti bíróság előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. * A bíróság az ügyben soron kívül jár el. * Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. * Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, törlésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve a kért adat kiadására kötelezi. * A bíróság elrendelheti ítéletének – az adatkezelő azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett adatvédelmi jogai megkövetelik

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2003. október 1.) vegye figyelembe!