III. fejezet

A KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGA

19. § (1) Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy (a továbbiakban együtt: szerv) a feladatkörébe tartozó ügyekben - így különösen az állami és önkormányzati költségvetésre és annak végrehajtására, az állami és önkormányzati vagyon kezelésére, a közpénzek felhasználására és az erre kötött szerződésekre, a piaci szereplők, a magánszervezetek és -személyek részére különleges vagy kizárólagos jogok biztosítására vonatkozóan - köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását.

(2) Az (1) bekezdésben meghatározott szervek rendszeresen elektronikusan vagy más módon közzéteszik, továbbá erre irányuló igény esetén a 20. § rendelkezései szerint hozzáférhetővé teszik a tevékenységükkel kapcsolatos legfontosabb - így különösen a hatáskörükre, illetékességükre, szervezeti felépítésükre, szakmai tevékenységükre, annak eredményességére is kiterjedő értékelésére, a birtokukban lévő adatfajtákra és a működésükről szóló jogszabályokra, valamint a gazdálkodásukra vonatkozó - adatokat. A tájékoztatás módját, a vonatkozó adatok körét jogszabály is megállapíthatja.

(3) Az (1) bekezdésben említetteknek lehetővé kell tenniük, hogy a kezelésükben lévő közérdekű adatot bárki megismerhesse, kivéve, ha az adatot törvény alapján az arra jogosult szerv állam- vagy szolgálati titokká nyilvánította, illetve ha az nemzetközi szerződésből eredő kötelezettség alapján minősített adat, továbbá, ha a közérdekű adatok nyilvánosságához való jogot - az adatfajták meghatározásával - törvény

a) honvédelmi;

b) nemzetbiztonsági;

c) bűnüldözési vagy bűnmegelőzési;

d) központi pénzügyi vagy devizapolitikai érdekből;

e) külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra;

f) bírósági vagy közigazgatási hatósági eljárásra tekintettel

korlátozza.

(4) Ha törvény másként nem rendelkezik, közérdekből nyilvános adat az (1) bekezdésben meghatározott szervek feladat- és hatáskörében eljáró személy feladatkörével összefüggő személyes adata, továbbá egyéb, közfeladatot ellátó személy e feladatkörével összefüggő személyes adata. Ezen adatok megismerésére e törvénynek a közérdekű adatok megismerésére vonatkozó rendelkezéseit kell alkalmazni.

(5) Ha törvény másként nem rendelkezik, közérdekből nyilvános adat a jogszabály vagy állami, illetőleg helyi önkormányzati szervvel kötött szerződés alapján kötelezően igénybe veendő vagy más módon ki nem elégíthető szolgáltatást nyújtó szervek vagy személyek kezelésében levő, e tevékenységükre vonatkozó, személyes adatnak nem minősülő adat.

(6) A közérdekű adatok megismerésével és nyilvánosságával összefüggésben az üzleti titok megismerésére a Polgári Törvénykönyvben foglaltak az irányadók.

(7) A közérdekű adatok nyilvánosságát korlátozhatja, továbbá az Európai Unió jogszabálya az Európai Unió jelentős pénzügy- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is.

19/A. § (1) A 19. § (1) bekezdésében meghatározott szerv feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított tíz évig nem nyilvános. Ezen adatok megismerését - a 19. § (1) bekezdésében foglaltakat mérlegelve - az azt kezelő szerv vezetője engedélyezheti.

(2) A döntés megalapozását szolgáló adat megismerésére irányuló igény - az (1) bekezdésben meghatározott időtartamon belül - a döntés meghozatalát követően akkor utasítható el, ha az adat megismerése a szerv törvényes működési rendjét vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné.

(3) Jogszabály egyes adatok megismerhetőségének korlátozására az (1) bekezdésben meghatározottnál rövidebb időtartamot állapíthat meg.

20. § (1) A közérdekű adat megismerése iránt bárki - szóban, írásban vagy elektronikus úton - igényt nyújthat be.

(2) A közérdekű adat megismerésére irányuló igénynek az adatot kezelő szerv az igény tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül tesz eleget.

(3) Az adatokat tartalmazó dokumentumról vagy dokumentumrészről, annak tárolási módjától függetlenül az igénylő másolatot kaphat. Az adatot kezelő szerv kizárólag a másolat készítéséért - legfeljebb az azzal kapcsolatban felmerült költség mértékéig terjedően - állapíthat meg költségtérítést, amelynek összegét az igénylő kérésére előre közölni kell.

(4) Ha a közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a másolaton a meg nem ismerhető adatot felismerhetetlenné kell tenni.

(5) Az adatigénylésnek közérthető formában és - amennyiben az aránytalan költséggel nem jár - az igénylő által kívánt technikai eszközzel, illetve módon kell eleget tenni. Az adatigénylést nem lehet elutasítani arra való hivatkozással, hogy annak közérthető formában nem lehet eleget tenni.

(6) Az igény teljesítésének megtagadásáról, annak indokaival együtt, 8 napon belül írásban vagy - amennyiben az igényben elektronikus levelezési címét közölte - elektronikus úton értesíteni kell az igénylőt.

(7) A közérdekű adat megismerése iránti igény teljesítése nem tagadható meg azért, mert a nem magyar anyanyelvű igénylő az igényét anyanyelvén vagy az általa értett más nyelven fogalmazza meg.

(8) Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerveknek a közérdekű adatok megismerésére irányuló igények teljesítésének rendjét rögzítő szabályzatot kell készíteniük.

(9) A 19. § (1) bekezdésében meghatározott szervek évente értesítik az adatvédelmi biztost az elutasított igényekről, valamint az elutasítások indokairól.

21. § (1) Ha a közérdekű adatra vonatkozó igényét nem teljesítik, az igénylő a bírósághoz fordulhat.

(2) A megtagadás jogszerűségét és megalapozottságát az adatot kezelő szerv köteles bizonyítani.

(3) A pert a megtagadás közlésétől, illetve ennek elmaradása esetén a 20. § (2) bekezdésében meghatározott határidő eredménytelen elteltétől számított 30 napon belül az ellen a szerv ellen kell megindítani, amely a kért felvilágosítást megtagadta.

(4) A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.

(5) Az egész országra kiterjedő hatáskörű szerv ellen indult per a megyei (fővárosi) bíróság hatáskörébe tartozik. A helyi bíróság hatáskörébe tartozó ügyekben a megyei bíróság székhelyén lévő helyi bíróság, Budapesten a Pesti Központi Kerületi Bíróság jár el. A bíróság illetékességét az adatközlést nem teljesítő szerv székhelye (működési helye) alapítja meg.

(6) A bíróság soron kívül jár el.

(7) Ha a bíróság a kérelemnek helyt ad, határozatában az adatkezelő szervet a kért közérdekű adat közlésére kötelezi.

21/A. § (1) A 19. § (1) bekezdésében meghatározott szervek a közzétett adatok megismerését személyazonosító adatok közléséhez nem köthetik. Az elektronikusan közzétett közérdekű adatokhoz történő hozzáférés biztosításához személyes adat csak annyiban kezelhető, amennyiben az technikailag elengedhetetlenül szükséges; a személyes adatokat ezt követően haladéktalanul törölni kell.

(2) Igénylés alapján történő adatszolgáltatás esetén az adatigénylő személyazonosító adatai csak annyiban kezelhetők, amennyiben az az igény teljesítéséhez - beleértve az esetleges költségek megfizetését is - elengedhetetlenül szükséges. Az igény teljesítését, illetőleg a költségek megfizetését követően az igénylő személyes adatait haladéktalanul törölni kell.

(3) Törvény az (1) és (2) bekezdésben meghatározottaktól eltérően rendelkezhet.

22. § E fejezet rendelkezései nem alkalmazhatók a közhitelű nyilvántartásból történő - külön törvényben szabályozott - adatszolgáltatásra.

IV. fejezet

AZ ADATVÉDELMI BIZTOS
ÉS AZ ADATVÉDELMI NYILVÁNTARTÁS

Adatvédelmi biztos

23. § (1) A személyes adatok védelméhez és a közérdekű adatok nyilvánosságához való alkotmányos jog védelme érdekében az Országgyűlés adatvédelmi biztost választ azok közül az egyetemi végzettségű, büntetlen előéletű, kiemelkedő tudású elméleti vagy legalább 10 évi szakmai gyakorlattal rendelkező magyar állampolgárok közül, akik az adatvédelmet érintő eljárások lefolytatásában, felügyeletében vagy tudományos elméletében jelentős tapasztalatokkal rendelkeznek és köztiszteletnek örvendenek.

(2) Az adatvédelmi biztosra - e törvényben foglalt eltérésekkel - az állampolgári jogok országgyűlési biztosáról szóló törvény rendelkezéseit kell alkalmazni.

24. § Az adatvédelmi biztos

a) bejelentés alapján vagy - ha az adott ügyben bírósági eljárás nincs folyamatban - hivatalból ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok megtartását;

b) kivizsgálja a hozzá érkezett bejelentéseket;

c) gondoskodik az adatvédelmi nyilvántartás vezetéséről;

d) elősegíti a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó törvényi rendelkezések egységes alkalmazását;

e) feladatkörében általános jelleggel, valamint meghatározott adatkezelő részére ajánlást bocsáthat ki;

f) véleményezési jogot gyakorol az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv tevékenységével kapcsolatosan külön törvényben meghatározottak szerint közzéteendő adatokra vonatkozó különös, illetőleg egyedi közzétételi listák tekintetében;

g) külön törvényben meghatározott szervekkel vagy személyekkel együttműködve képviseli a Magyar Köztársaságot az Európai Unió közös adatvédelmi felügyelő testületeiben;

h) gyakorolja és ellátja az e törvényben meghatározott hatásköröket és feladatokat.

24/A. § (1) Az adatvédelmi biztos eljárására és intézkedéseire az állampolgári jogok országgyűlési biztosáról szóló 1993. évi LIX. törvény (a továbbiakban: Obtv.) rendelkezéseit az e törvényben meghatározott eltérésekkel kell alkalmazni.

(2) Az adatvédelmi biztos eljárására az Obtv. 16. § (1) és (2) bekezdését, 17. § (3) és (4) bekezdését, 18. § (1), (6) és (8) bekezdését nem kell alkalmazni.

25. § (1) Az adatvédelmi biztos figyelemmel kíséri a személyes adatok védelmének, a közérdekű adatok és a közérdekből nyilvános adatok nyilvánossága érvényesülésének feltételeit. Javaslatot tesz az adatkezelést, a közérdekű adatok és a közérdekből nyilvános adatok nyilvánosságát érintő jogszabályok megalkotására, illetve módosítására, véleményezi az ilyen jogszabályok tervezetét. Kezdeményezheti az államtitokkörben, valamint a szolgálati titokkörben meghatározott adatfajták szűkítését vagy bővítését.

(2) Az adatvédelmi biztos a jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólítja fel. Az adatkezelő haladéktalanul köteles megtenni a szükséges intézkedéseket, és erről 30 napon belül írásban tájékoztatni az adatvédelmi biztost.

(3) Az adatvédelmi biztos tájékoztathatja a nyilvánosságot eljárásának megindításáról, a jogellenes adatkezelés (adatfeldolgozás) tényéről, az adatkezelő (adatfeldolgozó) személyéről és a kezelt adatok köréről, valamint az általa kezdeményezett intézkedésekről, meghozott határozatokról.

(4) Ha az adatkezelő vagy adatfeldolgozó a személyes adatok jogellenes kezelését (feldolgozását) nem szünteti meg, az adatvédelmi biztos határozatban elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését, megtilthatja a jogosulatlan adatkezelést vagy adatfeldolgozást, továbbá felfüggesztheti az adatok külföldre továbbítását. A határozat ellen közigazgatási úton jogorvoslatnak nincs helye.

(5) Az adatkezelő, az adatfeldolgozó vagy az adatkezeléssel érintett személy az adatvédelmi biztos (4) bekezdés szerinti határozatának felülvizsgálatát - annak kézhezvételét követő 30 napon belül - jogszabálysértésre hivatkozással kérheti a bíróságtól, amely a felülvizsgálat során a polgári perrendtartásról szóló törvénynek a közigazgatási perekre vonatkozó szabályai szerint jár el. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban az adatvédelmi biztos határozatának kézhezvételekor fel kell függeszteni és az adatokat zárolni kell.

26. § (1) Az adatvédelmi biztos a feladatai ellátása során az adatkezelőtől minden olyan kérdésben felvilágosítást kérhet, az összes olyan iratba betekinthet, illetve iratról másolatot kérhet, adatkezelést megismerhet, amely személyes adatokkal, közérdekű adatokkal vagy közérdekből nyilvános adatokkal összefügghet.

(2) Az adatvédelmi biztos minden olyan helyiségbe beléphet, ahol adatkezelés folyik.

(3) Az adatkezelő köteles a részére kibocsátott ajánlásra harminc napon belül érdemben válaszolni.

(4) Az államtitok és szolgálati titok az adatvédelmi biztost e §-ban szabályozott jogainak gyakorlásában nem akadályozhatja, de a titok megtartására vonatkozó rendelkezések rá nézve is kötelezőek. Az államtitkot vagy a szolgálati titkot érintő adatkezelés esetén az adatvédelmi biztos jogait csak személyesen, vagy az általa kezdeményezett nemzetbiztonsági ellenőrzésen átesett munkatársai útján gyakorolhatja.

(5) Ha az adatvédelmi biztos eljárása során az adat minősítését - a nemzetközi szerződés alapján keletkezett minősített adatok kivételével - indokolatlannak tartja, a minősítőt annak megváltoztatására vagy a minősítés megszüntetésére szólítja fel. A felszólítás megalapozatlanságának megállapítása iránt a minősítő 30 napon belül a Fővárosi Bírósághoz fordulhat. A bíróság az ügyben zárt tárgyaláson soron kívül jár el.

27. § (1) Bárki az adatvédelmi biztoshoz fordulhat, ha véleménye szerint személyes adatainak kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogainak gyakorlásával kapcsolatban jogsérelem érte, vagy annak közvetlen veszélye fennáll, kivéve ha az adott ügyben bírósági eljárás van folyamatban.

(2) Az adatvédelmi biztoshoz tett bejelentése miatt senkit sem érhet hátrány. A bejelentőt a közérdekű bejelentővel azonos védelem illeti meg.

Adatvédelmi nyilvántartás

28. § (1) A személyes adatokat kezelő adatkezelő köteles e tevékenysége megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni

a) az adatkezelés célját;

b) az adatok fajtáját és kezelésük jogalapját;

c) az érintettek körét;

d) az adatok forrását;

e) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját;

f) az egyes adatfajták törlési határidejét;

g) az adatkezelő, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét;

h) a belső adatvédelmi felelős nevét és elérhetőségi adatait.

(2) A jogszabályban elrendelt adatkezelést a szabályozás tárgya szerint feladatkörrel rendelkező miniszter, hatáskörrel rendelkező központi államigazgatási szerv vezetője, illetőleg a polgármester, főpolgármester, a megyei közgyűlés elnöke köteles bejelenteni a jogszabály hatálybalépését követő 15 napon belül.

(3) A nemzetbiztonsági szervek az adatkezelésük célját és jogalapját jelentik be.

29. § (1) Az adatkezelő az első nyilvántartásba vételkor nyilvántartási számot kap. A nyilvántartási számot az adatok minden továbbításánál, nyilvánosságra hozásánál és az érintettnek való kiadásakor fel kell tüntetni.

(2) A 28. § (1) bekezdésében felsorolt adatok megváltozását 8 napon belül be kell jelenteni az adatvédelmi biztosnak, és a nyilvántartást megfelelően módosítani kell.

30. § Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely

a) az adatkezelővel munkaviszonyban, tagsági, tanulói viszonyban, ügyfélkapcsolatban álló személyek adatait tartalmazza;

b) egyház, vallásfelekezet, vallási közösség belső szabályai szerint történik;

c) az egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából;

d) az érintett anyagi és egyéb szociális támogatását célzó és nyilvántartó adatokat tartalmaz;

e) a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adatait tartalmazza;

f) a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy - külön törvényben meghatározottak szerint - az adatok személlyel való kapcsolatának megállapítását véglegesen lehetetlenné teszik;

g) a sajtótörvény hatálya alá tartozó társaságok és szervek olyan adatait tartalmazza, amelyek kizárólag saját tájékoztatási tevékenységüket szolgálják;

h) a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra;

i) az adatkezelőtől levéltári kezelésbe került át;

j) a természetes személy saját célját szolgálja.

Előzetes ellenőrzés

31. § (1) Az adatvédelmi biztos a nyilvántartásba vételt megelőzően előzetes ellenőrzést végezhet.

(2) Új adatállomány feldolgozását vagy új adatfeldolgozási technológia alkalmazását megelőzően az adatvédelmi biztos előzetes ellenőrzést végezhet a következő adatkezeléseket végző adatkezelőknél:

a) országos hatósági, munkaügyi és bűnügyi adatállományok;

b) pénzügyi szervezetek és közüzemi szolgáltatók ügyfelekre vonatkozó adatkezelései;

c) távközlési szolgáltatóknak a szolgáltatást igénybe vevőkre vonatkozó adatkezelései;

d) külön törvényben meghatározott egyedi statisztikai adatokat tartalmazó adatállományok.

(3) Az adatkezelőnek az új adatállomány feldolgozására vagy az új adatfeldolgozási technológia alkalmazására irányuló szándékát a tevékenység megkezdését megelőzően 30 nappal be kell jelentenie az adatvédelmi biztosnak. Az adatvédelmi biztos az előzetes ellenőrzésre vonatkozó igényét a bejelentéstől számított 8 napon belül köteles jelezni az adatkezelőnek, és az ellenőrzést 30 napon belül köteles elvégezni. Az adatkezelő a feldolgozást csak az adatvédelmi biztos előzetes ellenőrzésének befejezése után kezdheti meg.

(4) Az ellenőrzés alapján az adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel az adatkezelőt. Ha az adatvédelmi biztos az adatkezelést elrendelő jogszabályt kifogásolja, ajánlást tehet a jogszabály módosítására.

Belső adatvédelmi felelős és adatvédelmi szabályzat

31/A. § (1) Az adatkezelő, illetőleg az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni:

a) az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőnél és adatfeldolgozónál;

b) a pénzügyi szervezetnél;

c) a távközlési és közüzemi szolgáltatónál.

(2) A belső adatvédelmi felelős:

a) közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;

b) ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;

c) kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;

d) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;

e) vezeti a belső adatvédelmi nyilvántartást;

f) gondoskodik az adatvédelmi ismeretek oktatásáról.

(3) Az (1) bekezdésben meghatározott adatkezelőknek, valamint - az adatvédelmi nyilvántartásba bejelentési kötelezettség alá nem eső adatkezelők kivételével - egyéb állami és önkormányzati adatkezelőknek, e törvény végrehajtása érdekében, adatvédelmi és adatbiztonsági szabályzatot kell készíteniük.