II. fejezet

A SZEMÉLYES ADATOK VÉDELME

Adatkezelés

3. § (1) Személyes adat akkor kezelhető, ha

a) ahhoz az érintett hozzájárul, vagy

b) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete elrendeli.

(2) Különleges adat akkor kezelhető, ha

a) az adatkezeléshez az érintett írásban hozzájárul, vagy

b) a 2. § 2. a) pontjában foglalt adatok esetében, az nemzetközi egyezményen alapul, vagy Alkotmányban biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében törvény elrendeli;

c) egyéb esetekben azt törvény elrendeli.

(3) Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg.

(4) Törvény közérdekből - az adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

(5) Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében.

(6) Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.

(7) Az érintett a hozzájárulását az adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

(8) Ha az érintett fizikai okból vagy cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben sor kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére.

4. § A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait - ha törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát (19. §) is, nem sérthetik.

Adatfeldolgozás

4/A. § (1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit e törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel.

(2) Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe.

(3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

(4) Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

(5)

(6) E törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással a Magyar Köztársaság területén székhellyel, telephellyel (fiókteleppel) vagy lakóhellyel (tartózkodási hellyel) rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek ki kell jelölnie egy képviselőt a Magyar Köztársaság területén.

Az adatkezelés célhoz kötöttsége

5. § (1) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.

(2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.

(3) Kötelező adatszolgáltatáson alapuló adatkezelést közérdekből lehet elrendelni.

(4) A személyes adatot - akár az érintett hozzájárulásával, akár jogszabály alapján - különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges.

(5) Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűnüldözési és bűnmegelőzési, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, illetve a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó adatállományokat.

6. § (1) Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is.

(2) Az érintettet - egyértelműen és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

(3) Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.

(4) A tájékoztatás - különösen statisztikai vagy tudományos (ideértve a történelmi kutatásokat is) célú adatkezelés esetén - megtörténhet az adatgyűjtés tényének, az érintettek körének, az adatgyűjtés céljának, az adatkezelés időtartamának és az adatok megismerhetőségének mindenki számára hozzáférhető módon történő nyilvánosságra hozatalával, ha az egyénre szóló tájékoztatás lehetetlen vagy aránytalan költséggel járna.

Az adatok minősége

7. § (1) A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek:

a) felvételük és kezelésük tisztességes és törvényes;

b) pontosak, teljesek és ha szükséges időszerűek;

c) tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani.

(2) Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos.

Adattovábbítás, az adatkezelések összekapcsolása

8. § (1) A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.

(2) Az (1) bekezdést kell alkalmazni az ugyanazon adatkezelő, valamint az állami és az önkormányzati szervek által kezelt adatok összekapcsolására is.

Adattovábbítás külföldre

9. § (1) Személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha

a) ahhoz az érintett kifejezetten hozzájárult, vagy

b) azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.

(2) A személyes adatok megfelelő szintű védelme akkor biztosított, ha

a) az Európai Közösségek Bizottsága - külön törvényben meghatározott jogi aktus alapján - megállapítja, hogy a harmadik ország megfelelő szintű védelmet nyújt,

b) a harmadik ország és a Magyar Köztársaság között az érintetteknek a 11. § szerinti jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban, vagy

c) a harmadik országbeli adatkezelő vagy adatfeldolgozó az adatkezelés vagy adatfeldolgozás szabályainak ismertetésével igazolja, hogy az adatkezelés vagy adatfeldolgozás során megfelelő szinten biztosítja a személyes adatok védelmét, az érintettek jogait és azok érvényesítését, különösen, ha az adatkezelést vagy az adatfeldolgozást az Európai Unió Bizottsága külön törvényben meghatározott jogi aktusának megfelelően végzi.

(3) Személyes adatok nemzetközi jogsegélyegyezmény végrehajtása érdekében, az egyezményben meghatározott célból és tartalommal továbbíthatók harmadik országba.

(4) Az Európai Gazdasági Térség tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor.

Automatizált egyedi döntés

9/A. § (1) Kizárólag számítástechnikai eszközzel végrehajtott automatizált adatfeldolgozással az érintett személyes jellemzőinek értékelésére csak akkor kerülhet sor, ha ahhoz kifejezetten hozzájárult, vagy azt törvény lehetővé teszi. Az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani.

(2) Az automatizált adatfeldolgozás esetén az érintettet - kérelmére - tájékoztatni kell az alkalmazott matematikai módszerről és annak lényegéről.

Adatbiztonság

10. § (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.

Az érintettek jogai és érvényesítésük

11. § (1) Az érintett

a) tájékoztatást kérhet személyes adatai kezeléséről (12. és 13. §), valamint

b) kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - törlését (14-16. §).

(2) Az adatvédelmi nyilvántartásba [28. § (1) bek.] bárki betekinthet, az abban foglaltakról feljegyzést készíthet és kivonatot kérhet. A kivonatért díjat kell fizetni.

12. § (1) Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az adattovábbításra vonatkozó nyilvántartás - és ennek alapján a tájékoztatási kötelezettség - időtartamát az adatkezelést szabályozó jogszabály korlátozhatja. A korlátozás időtartama személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb nem lehet.

(2) Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában megadni a tájékoztatást.

(3) A (2) bekezdésben foglalt tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

13. § (1) Az érintett tájékoztatását az adatkezelő csak akkor tagadhatja meg, ha azt a 16. §-ban meghatározott esetekben a törvény lehetővé teszi.

(2) Az adatkezelő köteles az érintettel a felvilágosítás megtagadásának indokát közölni.

(3) Az elutasított kérelmekről az adatkezelő az adatvédelmi biztost évente értesíti.

14. § (1) A valóságnak meg nem felelő személyes adatot az adatkezelő helyesbíteni köteles.

(2) A személyes adatot törölni kell, ha

a) kezelése jogellenes;

b) az érintett - a 11. § (1) bekezdésének b) pontjában foglaltak szerint - kéri;

c) az hiányos vagy téves - és ez az állapot jogszerűen nem korrigálható -, feltéve, hogy a törlést törvény nem zárja ki;

d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;

e) azt a bíróság vagy az adatvédelmi biztos elrendelte.

(3) A törlési kötelezettség - jogellenes adatkezelés kivételével - nem vonatkozik azon személyes adatra, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni.

15. § A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

16. § Az érintett jogait (11-15. §) törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából - beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.

Tiltakozási jog

16/A. § (1) Az érintett tiltakozhat személyes adatának kezelése ellen, ha

a) a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;

b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;

c) a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.

(2) Az adatkezelő - az adatkezelés egyidejű felfüggesztésével - a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

(3) Amennyiben az érintett az adatkezelőnek a (2) bekezdés alapján meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - e törvény szerint bírósághoz fordulhat.

(4) Ha az adatátvevő törvényes jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, a (2) bekezdés alapján történő értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében - e törvény szerint - bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.

(5) Ha a bíróság az adatátvevő kérelmét elutasítja, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. Az adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő a (4) bekezdésben meghatározott határidőn belül nem fordul bírósághoz.

(6) Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította.

Bírósági jogérvényesítés

17. § (1) Az érintett a jogainak megsértése esetén, valamint a 16/A. § (4) bekezdésében meghatározott személy, az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.

(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani.

(3) A perre az adatkezelő székhelye (lakóhelye) szerinti bíróság az illetékes. A per - az érintett választása szerint - az érintett lakóhelye (tartózkodási helye) szerinti bíróság előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.

(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, törlésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve a 16/A. § (4) bekezdésében meghatározott személy által kért adat kiadására kötelezi.

(5) A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett e törvényben védett jogai megkövetelik.

Kártérítés

18. § (1) Az adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.

(2) Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.