18/2005. (ÜK. 11.) LÜ utasítás

az Adatvédelmi és Adatbiztonsági Szabályzat kiadásáról

A Magyar Köztársaság ügyészségéről szóló - többször módosított - 1972. évi V. törvény 19. §-ának (3) bekezdésében foglalt felhatalmazás alapján a következő utasítást adom ki:

Az Adatvédelmi és Adatbiztonsági Szabályzat hatálya

1. §

(1) A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló, többször módosított 1992. évi LXIII. törvény (a továbbiakban: Avtv.) 31/A. §-ának (3) bekezdésében foglaltak szerinti Adatvédelmi és Adatbiztonsági Szabályzat (a továbbiakban: Adatvédelmi Szabályzat) hatálya kiterjed a Magyar Köztársaság ügyészi szerveire [25/2003. (ÜK. 12.) LÜ utasítás (SZMSZ) 1. § (1) bek.] és az Országos Kriminológiai Intézetre (OKRI) . A katonai ügyészi szervezetre a katonai főügyész intézkedésében további részletes szabályokat állapíthat meg.

(2) Az OKRI igazgatója az ügyészségi szolgálati viszonyról és az ügyészségi adatkezelésről szóló 1994. évi LXXX. törvény (a továbbiakban: Üsztv.) 99. §-ában megállapított feladatkörében eljárva, az OKRI szervezeti egységeinél és szerződéses partnereinél alkalmazandó, a jelen Adatvédelmi Szabályzat rendelkezésein kívül, a legfőbb ügyész által jóváhagyandó külön adatvédelmi és adatbiztonsági szabályzatot ad ki.

(3) Az Adatvédelmi Szabályzat célja, hogy biztosítsa az ügyészi szervezet tevékenysége során a személyes adatok védelméhez fűződő alkotmányos információs önrendelkezési jog érvényesülését, továbbá, hogy az ügyészi szervezet által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes adatok kezelése során irányadó adatvédelmi és -biztonsági szabályokat.

Értelmező rendelkezések

2. §

Az Adatvédelmi Szabályzat alkalmazása során az Avtv.-ben és az Üsztv.-ben meghatározottakon túl

a) adatvédelem: a személyes adatok kezelésének normatív szabályozása az adatalany információs önrendelkezési jogának érvényesítése érdekében;

b) érintett (vagy adatalany): az az azonosított vagy azonosítható természetes személy, akire a személyes adat vonatkozik, vagy akivel az kapcsolatba hozható;

c) információs önrendelkezési jog: az Alkotmány 59. §-ában biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;

d) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége; az adatkezelésnek az az állapota, amelyben a kockázati tényezőket - és ezzel a fenyegetettséget - a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik;

e) adatgazda: az adatkezelő szerv vezetője, aki az adott adatkezelésre vonatkozó döntési jogosultsággal rendelkezik;

f) betekintési és megismerési jogosultság: az a jogkör, amelynek birtokában a jogosult számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes adatok;

g) közvetlen megismerési jogosultság: adott adatállomány informatikai alkalmazás igénybe vételével kezelt adatainak megismeréséhez adott olyan jogkör, amely a jogosult számára lehetőséget biztosít arra, hogy az ott kezelt adatokhoz az általa megválasztott időpontban közvetlen lekérdezéssel hozzáférjen;

h) közvetlen lekérdezés: adott adatállományban kezelt adatokban - az adatkezelő által előzetesen rendelkezésre bocsátott általános lekérdezési jogosultság felhasználásával - előre meghatározatlan időpontban és alkalommal, naplózott formában történő betekintés, illetve az így megismerhetővé vált információ kinyomtatása, vagy más módon történő rögzítése;

i) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, személyes adatot tartalmazó anyag;

j) hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, avagy másolatok készítésére szolgál, valamint amely elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja;

k) hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas.

Az adatvédelem alapelvei

3. §

(1) Az ügyészi szervezet által, illetve az ügyészi szervezetben a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.

(2) Az ügyészségi adatkezelők szolgálati feladataik ellátása körében személyes adatot csak a vonatkozó jogszabályok* előírásainak tartásával kezelhetnek.[1]

4. §

A személyes adatok védelméhez való jog a természetes személyek Alkotmányban biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az ügyészségi alkalmazott személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhet, ha a törvény felhatalmazása alapján a legfőbb ügyész azt elrendeli, vagy ahhoz az adatalany kifejezetten - különleges adat esetén írásban - hozzájárult.

5. §

Az ügyészségi adatkezelő fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat-és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, az ügyészi szervezet nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.

6. §

Személyes adat kezelésére csak az ügyészi szervezet jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. Az ügyészi szervezet által kezelt - vagy az ügyészség feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott - személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

7. §

Ha az adatkezelő tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt kijavítani.

Az érintett jogainak érvényesítése, a tiltakozási jog gyakorlása és az azokkal összefüggő feladatok

8. §

(1) Az adatkezelő szerv vezetője köteles biztosítani, hogy az érintett az adatkezelő szerv által kezelt adataihoz hozzáférjen.

(2) Az érintett tájékoztatást kérhet az ügyészségtől személyes adatainak kezeléséről, és kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - azok törlését, valamint - ha arra törvény felhatalmazza - tiltakozhat személyes adatainak kezelése ellen.

(3) A tájékoztatás ingyenes, ha a tájékoztatást kérő az adott naptári évben azonos adatkezelésre vonatkozó tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítést kell megállapítani, amelynek fedeznie kell a tájékoztatással kapcsolatban felmerült közvetlen és közvetett költségeket. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy ha a tájékoztatás kérése a személyes adat helyesbítését eredményezte.

(4) Az Avtv. 11. §-a (1) bekezdésének b) pontja szerinti, a büntetőeljárás körébe tartozó adathelyesbítés kérése esetén a Be.-nek a jegyzőkönyv és a határozat kijavítására vonatkozó rendelkezései [166. § (7) bek., és 169. § (5) bek.] szerint kell eljárni. Adattörlésre irányuló kérelem elbírálásánál figyelemmel kell lenni arra, hogy a büntetőeljárás során rögzített adatok csak akkor törölhetők, ha a Be. valamely rendelkezése ezt megengedi [Be. 63. § (3) bek.]. Ilyen megengedő rendelkezés lehet a Be. 71. §-ának (4) bekezdése és a 204. § (4) bekezdése is.

(5) A Be. 70/A. §-a alapján történő iratmásolat kiadásakor fel kell jegyezni, hogy az iratmásolatot kérő személy milyen résztvevője a büntetőeljárásnak.

(6) Amennyiben törvény alapján az érintett tájékoztatása nem tagadható meg, az kiterjed a kezelt adatok megjelölésére, az adatkezelés céljárajogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat [Avtv. 12. § (1) bek.]. A tájékoztatás másolati példányát az adatkezelő ügyészi szerv megküldi az ügyészi szervezet belső adatvédelmi felelősének.

(7) A teljesített és elutasított tájékoztatás iránti kérelmekről, továbbá adott esetben az elutasítás okairól évente egy alkalommal az adatvédelmi biztost - a Magyar Közlönyben közzétett felhívása alapján - tájékoztatni kell. A tájékoztatást a belső adatvédelmi felelős továbbítja az adatvédelmi biztos részére.

(8) A valóságnak nem megfelelő adatot az adatkezelő -amennyiben a szükséges adatok rendelkezésre állnak - köteles helyesbíteni. Amennyiben a hibás adat nem helyesbíthető, akkor azt - törvény eltérő rendelkezésének hiányában - törölni kell. A hibás adatot a kijavításig, vagy törlésig jelzéssel kell ellátni.

(9) A kezelt adatot törölni kell, ha:

a) az adat kezelése jogellenes;

b) az érintett azt - a törvényben előírt adatkezelést kivéve - kéri;

c) az adat hiányos vagy téves, és ez az állapot jogszerűen nem javítható ki, feltéve, hogy a törlést törvény nem zárja ki;

d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényi határideje lejárt;

e) azt a bíróság vagy az adatvédelmi biztos elrendelte.

(10) Az adat helyesbítéséről vagy törléséről az érintetten kívül mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti.

9. §

(1) Az érintett tiltakozhat személyes adatának kezelése ellen, ha

a) a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;

b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;

c) a tiltakozás jogának gyakorlását törvény lehetővé teszi [Avtv. 16/A. § (1) bek.].

(2) Az érintett tiltakozása elbírálásának időtartamára az adatkezelést fel kell függeszteni. A felfüggesztés időtartama alatt az adat a tiltakozási jog elbírálásával összefüggő eljáráson kívül nem használható fel, nem továbbítható, a tárolásán kívül egyéb adatkezelési művelet nem végezhető. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést megszüntetni és az adatokat - a tiltakozási jog miatt történt felfüggesztésre utaló jelölés elhelyezése mellett - zárolni, valamint a tiltakozásról, és az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította. Az érintettek kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

(3) Ha az érintett nem ért egyet a tiltakozásának elbírálása eredményeként hozott adatkezelői döntéssel, a döntés ellen a közléstől számított harminc napon belül, az Avtv. 17. §-ában írt módon, bírósághoz fordulhat.

Az ügyészi szervezet adatvédelmi intézményrendszere

10. §

(1) Az adatvédelmi előírások alkalmazása szempontjából adatkezelő szerv vezetőjének kell tekinteni a legfőbb ügyészt, a fellebbviteli főügyészt, a főügyészt, a helyi ügyészség vezetőjét, továbbá a katonai főügyészt, a fellebbviteli vezető ügyészt, a területi katonai ügyészséget vezető ügyészt és az OKRI igazgatóját.

(2) Az Avtv. 3 l/A. §-a (1) bekezdése szerinti belső adatvédelmi felelős:

a) a Legfőbb Ügyészségen - a fellebbviteli főügyészségekre, a főügyészségekre, a helyi ügyészségekre és az OKRI-ra is kiterjedő hatáskörrel - az adatvédelmi feladatok végrehajtásának irányításával és ellenőrzésével megbízott, a legfőbb ügyész közvetlen felügyelete alatt működő vezető beosztású ügyész,

b) a katonai ügyészi szervezetben a Katonai Ügyek Főosztályának vezetője.

(3) A belső adatvédelmi felelős ellátja az ügyészség adatvédelmi tevékenységének irányítását. Ennek keretében:

a) közreműködik az adatvédelmet érintő jogszabálytervezetek véleményezésében és részt vesz az ügyészség álláspontjának kidolgozásában;

b) elkészíti az adatvédelem tárgyában kiadandó irányító intézkedések tervezetét, közreműködik az egyes ügyészségi szakágak irányító intézkedéseinek adatvédelmi szabályai elkészítésében;

c) az egyes ügyészségi adatkezelő szervek megkeresése alapján közreműködik a felsőfokú jogi képesítéssel nem rendelkező ügyészségi alkalmazottak oktatásában és vizsgáztatásában;

d) egyedi ügyekben kidolgozott állásfoglalásával segíti az ügyészségi adatkezelő szervek adatvédelmi tevékenységét, az egységes gyakorlat kialakítását;

e) az ügyészség adatkezelési tevékenységét érintő ügyekben javaslatot tesz az ügyészség álláspontjának kialakítására, kapcsolatot tart az Adatvédelmi Biztos irodájával, az országos bűnügyi adatállományt kezelő hatóságokkal, különösen az Országos Rendőr-főkapitányság, a Vám- és Pénzügyőrség Országos Parancsnoksága, a Határőrség és a Honvédség, továbbá a Belügyminisztérium belső adatvédelmi felelőseivel, továbbá szükség szerint az EUROJUST adatvédelmi tisztviselőjével és az EUROPOL adatvédelmi felelősével;

f) közreműködik az adatvédelmi biztos ügyészséget érintő vizsgálatainak lefolytatásában és az ezekkel kapcsolatos megkeresések megválaszolásában;

g) ellenőrzi a Legfőbb Ügyészségen, a fellebbviteli főügyészségeknél, a főügyészségeknél, a helyi ügyészségeknél és az OKRI-nál az adatvédelmi jogszabályokban és az ilyen tárgyú legfőbb ügyészi utasításokban írt követelmények megtartását;

h) kivizsgálja a hozzá érkezett bejelentéseket és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót; indokolt esetben vizsgálat lefolytatását kezdeményezi az érintett adatkezelő ügyészi szerv vezetőjénél;

i) elbírálja a személyes adatának kezelése ellen az érintett által előterjesztett tiltakozást;

j) elkészíti az ügyészség adatvédelmi helyzetéről szóló éves jelentést.

(4) A fellebbviteli főügyészek, a főügyészek, az OKRI igazgatója az adott adatkezelő ügyészi szervnél az adatvédelmi tevékenység irányítása, felügyelete és ellenőrzése érdekében írásban jogi, közigazgatási, vagy informatikai felsőfokú végzettséggel rendelkező adatvédelmi megbízottat jelölnek ki. Az adatvédelmi megbízott eljár a részére átruházott - és munkaköri leírásában rögzített - adatvédelemmel összefüggő feladatkörökben. A főügyészségek adatvédelmi megbízottainak hatásköre a helyi ügyészségekre is kiterjed.

(5) Az adatkezelő ügyészi szerv vezetője felelős az adatkezelés jogszerűsége érdekében hatáskörébe tartozó intézkedések megtételéért. Az adatvédelmi megbízott adatvédelmi feladatainak gyakorlása során az őt kijelölő vezető közvetlen alárendeltségébe tartozik.

(6) Az adatkezelő ügyészi szerv adatvédelmi megbízottja:

a) segíti az adatkezelő ügyészi szerv vezetőjét az ügyészségi adatkezelésre vonatkozó jogszabályok és legfőbb ügyészi utasítások végrehajtásában, figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, előkészíti az adatkezelő ügyészi szerv vezetőjének adatvédelmi tárgyú döntéseit;

b) kivizsgálja a szerv adatkezelésével összefüggésben érkezett kérelmeket és kifogásokat, közreműködik, és segítséget nyújt az érintettek jogainak gyakorlásában;

c) az adatkezelő ügyészi szerv vezetőjének megbízásából ellenőrzi az adatkezelő szervnél az adatvédelmi követelmények megtartását. Az előírások megsértésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására, a hiányosságokat jelzi az ügyészi szerv vezetőjének és az ügyészség belső adatvédelmi felelősének; indokolt esetben kezdeményezi a felelősség megállapításához szükséges vizsgálat lefolytatását;

d) nyomon követi az adatkezelő ügyészi szerv adatszolgáltatási tevékenységét, különös tekintettel a nemzetközi bűnügyi jogsegély-együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségéről;

e) elbírálja a személyes adatok kezelése ellen az érintett által bejelentett tiltakozást (Avtv. 2. § 7. pont; 16/A. §);

f) feladatának ellátása során szükség szerint együttműködik az informatikai rendszergazdával és a szervezeti egység titkos ügykezelésének vezetőjével;

g) évenként február 28-ig a fellebbviteli főügyészi és főügyészi beszámolók részeként értékeli az adatkezelő ügyészi szerv adatvédelmi és adatbiztonsági helyzetét, s az általa készített értékelést megküldi az ügyészség belső adatvédelmi felelősének.

Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés

11. §

(1) Az ügyészség az Üsztv. 99. §-a értelmében törvényben szabályozott büntetőjogi, magánjogi és közigazgatási jogi, valamint gazdasági, ügyviteli, statisztikai, tudományos kutatási célú feladatainak ellátásához az Üsztv.-ben felsorolt adatkörben személyes adatokat kezelhet.

(2) Törvényi felhatalmazás hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott - különleges adat esetén írásbeli - hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére. A hozzájárulást - a későbbi igazolhatósága érdekében - különleges adatnak nem minősülő személyes adatok esetén is célszerű írásban rögzíteni.

(3) Az ügyészi szervek - az adatkezelés eltérő célja alapján - ügyviteli és nyilvántartási célú (adatállomány kialakítására irányuló) adatkezeléseket végeznek. E körben:

a) az ügyvitelhez kapcsolódó adatkezelés az ügy feldolgozásához kapcsolódik. Alapvető célja az adott ügyhöz tartozó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek; kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges;

b) a nyilvántartási célú adatkezelés az előre meghatározott szempontok alapján gyűjtött személyes adatfajtákból adott szempontok szerint rendszerezett adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, automatizált nyilvántartások esetében a lekérdezhetőségét. Az egyes ügyekkel összefüggésben gyűjtött adatok kezelése ebben az esetben elválik az alapeljárástól, az adatok kezelésének időtartamát az adatok kezelésére felhatalmazást adó törvény (Üsztv. 8. számú melléklet), vagy az érintett beleegyezésében foglaltak határozzák meg;

c) nyilvántartási célú adatállomány kialakítását a legfőbb ügyész a belső adatvédelmi felelős állásfoglalásának birtokában, írásban rendeli el. Az adatkezelés megkezdése előtt a nyilvántartási célú adatállomány létrehozását adatlap kitöltésével a belső adatvédelmi felelősnek dokumentálnia kell.

Belső adatvédelmi nyilvántartás

12. §

(1) A nyilvántartási célú adatállományt kezelő ügyészi szervek új adatállomány kialakítását a tevékenység megkezdése előtt tizenöt nappal bejelentik a belső adatvédelmi felelősnek, aki azt a belső adatvédelmi nyilvántartásba bejegyzi.

(2) Az új adatállomány feldolgozására vagy az új feldolgozási technológia alkalmazására irányuló szándékot az Avtv. 31. §-a (2) bekezdésének a) és d) pontja szerinti adatállományok tekintetében a tevékenység megkezdését megelőzően negyvenöt nappal a belső adatvédelmi felelős elé kell terjeszteni.

(3) A belső adatvédelmi felelős a törvényen alapuló adatállományok esetén a bejelentésre irányuló előterjesztést az adatvédelmi biztosnak történő bejelentés érdekében a legfőbb ügyésznek mutatja be. A legfőbb ügyész által elrendelt adatállományokat az ügyészi szervezet belső adatvédelmi felelőse jelenti be az adatvédelmi biztosnak.

(4) Az adatkezelésnek az adatvédelmi biztos általi nyilvántartásba vételekor adott nyilvántartási számot a belső adatvédelmi felelős közli az érintett adatkezelőkkel. A nyilvántartási számot az adatok harmadik személy részére történő továbbításánál, nyilvánosságra hozatalánál és az érintettnek történő kiadásánál fel kell tüntetni.

(5) Az adatkezelőnek nem kell bejelentenie többek között azt az adatkezelést, amely

a) az adatkezelővel ügyészségi szolgálati viszonyban álló személyek adatait tartalmazza;

b) a foglalkozás-egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés, vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából;

c) az érintett anyagi és egyéb szociális támogatását célzó és nyilvántartó adatokat tartalmaz;

d) a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adatait tartalmazza (ügyviteli célú adatkezelés);

e) a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve, hogy - a külön törvényben meghatározottak szerint - az adatok személlyel való kapcsolatának megállapítását véglegesen lehetetlenné teszik;

f) az adatkezelőtől levéltári kezelésbe került át.

(6) Az Avtv. 30. §-ának a)-e) pontjaiban felsorolt bejelentési mentességek értelmezése során irányadó, hogy nem kell bejelenteni az olyan adatkezeléseket, amelyeknél az adatkezelő közvetlenül az érintettől veszi fel az adatokat és abból saját szervezetén kívüli intézmény vagy személy részére nem teljesít adatszolgáltatást; nem kell továbbá bejelenteni az egyedi közigazgatási, hatósági, peres és peren kívüli eljárások lefolytatásával kapcsolatos adatkezeléseket.

(7) A belső adatvédelmi nyilvántartásba bejelentett adatok változását, vagy az adatkezelés megszűnését a bejelentésre kötelezett köteles nyolc napon belül bejelenteni az ügyészség belső adatvédelmi felelősének, aki ennek megfelelően módosítja az ügyészség belső adatvédelmi nyilvántartásának adatait, és adott esetben tájékoztatja az adatvédelmi biztost a változásokról.

Az ügyészség büntetőjogi adatkezelésekre vonatkozó speciális szabályok

13. §

(1) Az ügyészség a törvényben meghatározott nyomozási, nyomozás-felügyeleti, büntetőbírósági és büntetés-végrehajtási törvényességi felügyeleti és jogvédelmi tevékenységének ellátása körében, az erre rendszeresített lajstromok, ügykönyvek, segédkönyvek és segédkönyv jellegű gyűjtők, valamint számítógépes adattárak segítségével kezeli és az adatkezelésre feljogosított más szervek nyilvántartásaiból átveszi a törvényben meghatározott személyes, és különleges bűnügyi adatokat.

(2) Az ügyészség nyomozás felügyeleti és vádelőkészítő tevékenysége során - a Be. 63. §-ában foglaltaknak megfelelően - a büntetőeljárásban résztvevő személyek adatainak kezelésére a Be. szabályai irányadók.* A büntetőeljárásban keletkezett egyes személyes adatok kezelésére az érintettek védelme érdekében a Be. különös adatkezelési szabályait kell alkalmazni.**[2]

(3) Az ügyészség a rá vonatkozó jogszabályokban meghatározott tevékenysége során a Rendőrségről szóló 1994. évi XXXIV. törvény 86. §-a (2) bekezdésének c) pontja, a határőrizetről és a Határőrségről szóló 1997. évi XXXII. törvény 78. §-a (2) bekezdésének b) pontja, a büntetőeljárásban részt vevők, az igazságszolgáltatást segítők védelmi programjáról szóló 2001. évi LXXXV. törvény 38. §-ának (2) bekezdése és a Vám- és Pénzügyőrségről szóló 2004. évi XIX. törvény 37. §-a (2) bekezdésének b) pontja alapján az általuk kezelt személyes adatokat a felhasználás céljának megjelölésével a hivatkozott törvényekben megjelölt szervektől vagy személyektől átveheti.

(4) A (3) bekezdés szerinti adatátadás (adatátvétel) tényét az ügyészi szervezetnél akképpen kell dokumentálni, hogy az tartalmazza:

a) az adatátadást, vagy -szolgáltatást kezdeményező szerv vagy személy megnevezését, postacímét, telefonszámát,

b) az adatátadás, vagy -szolgáltatás célját, rendeltetését,

c) az adatátadás, vagy -szolgáltatás jogszabályi alapját, vagy az érintett nyilatkozatát,

d) az adatátadásra, vagy -szolgáltatásra irányuló kérelem kézhezvételének időpontját,

e) az adatátadás, vagy -szolgáltatás alapjául szolgáló adatkezelés megnevezését,

f) az adatátadást, vagy -szolgáltatást teljesítő szervezeti egység megnevezését,

g) az érintettek nevét,

h) a kért személyes adatok körét, valamint i) az adattovábbítás módját.

(5) A megkeresés egy példányát az adatkezelő ügyészi szervnél a személyes adatra vonatkozó adatkezelési jogosultság időtartamára meg kell őrizni.

(6) Az ügyészség általi adatátvétel és az adat felhasználásának jogszerűségéért az átvető ügyészi szerv vezetője felelős.

(7) Az ügyészség a büntetőjogi tevékenysége során keletkező, és általa kezelt személyes adatokat más hatóság, a büntetés-végrehajtási szervezet és a nemzetbiztonsági szolgálatok, valamint kegyelem iránti előterjesztéshez, továbbá jogsegélykérelem teljesítéséhez - a megkereső hatóság által törvény alapján kezelhető személyes adatok körére kiterjedően - átadhatja. Az adatátadást és -átvételt a (3) bekezdés szerint dokumentálni kell.

(8) Adattovábbítás iránti külföldi megkeresés teljesítésekor (Avtv. 9. § és Üsztv. 99. §) meg kell jelölni azt a nemzetközi szerződést vagy belső jogszabályt, amely a személyes adat külföldre történő továbbítását lehetővé teszi.

Az ügyészség magánjogi és közigazgatási jogi tevékenysége körében végzett adatkezelések speciális szabályai

14. §

(1) Az ügyészség magánjogi és közigazgatási jogi tevékenységi körében az ügyészség törvényességi felügyeleti jogköréből*, a polgári peres és peren kívüli eljárásokban való közreműködési jogosultságából eredően**, továbbá egyes külön törvényi rendelkezésben kapott ügyészi hatáskör gyakorlása során kezel személyes adatokat, különleges adatokat, közérdekű adatokat, továbbá közérdekből nyilvános adatokat.[3]

(2) Az Üsztv. 99. § (11) bekezdése alapján az ügyészség magánjogi és közigazgatási jogi tevékenységi körében végzett adatkezelésekre a polgári perrendtartásról szóló 1952. évi III. törvény (Pp.) és az Avtv. általános szabályai irányadók az ügyészi eljárással érintett jogviszonyokat szabályozó törvények rendelkezéseinek megfelelően. A Pp.-ben meghatározott korlátozásokkal az érintetteket kérelmükre, a nyilvántartási határidők lejártáig tájékoztatni kell.

(3) Az ügyészség magánjogi és közigazgatási jogi tevékenységére nem alkalmazhatók a bűnmegelőzés és a bűnüldözés érdekében foganatosított adatkezelési felhatalmazások. A magánjogi és a közigazgatási jogi tevékenységhez fűződő adatokat elkülönítetten kell kezelni a büntetőjogi feladatokhoz kapcsolódó adatoktól.

Az ügyészségi alkalmazottak és a pályázók személyi adatainak kezelése

15. §

(1) Az ügyészségi személyügyi nyilvántartásokat - az Avtv. 30. §-ának a) pontjára figyelemmel - nem kell bejelenteni az adatvédelmi nyilvántartásba.

(2) A személyügyi nyilvántartások vezetéséhez az érintett személy (saját magára vonatkozóan), valamint az adattal rendelkező szerv köteles adatot szolgáltatni. Az alapnyilvántartás adatkörében (Üsztv. 3. számú melléklet) beállt változást az érintett köteles a munkáltatónak haladéktalanul bejelenteni. A személyügyi adatot kezelő szerv vezetője gondoskodik arról, hogy az adatot a változás bejelentése után a személyügyi nyilvántartásban haladéktalanul átvezessék, indokolt esetben az erről szóló okiratot elkészítsék, vagy módosítsák.

(3) A szakszervezeti vagy érdekvédelmi szervezeti tagságra utaló - az Avtv. 2. §-ának 2. a) pontja szerint különleges adatnak minősülő - adatok kezelésére az ügyészség külön törvényi felhatalmazással nem rendelkezik. Erre tekintettel a munkáltató ügyészi szerv a szakszervezeti, vagy az érdekképviseleti tagdíj átutalásához szükséges intézkedéseket csak abban az esetben teheti meg, ha a személyes adatok kezeléséhez a szakszervezet vagy az érdekképviseleti szervezet az érintett tagok önkéntes és írásbeli beleegyezését beszerzi, és egy példányát a munkáltató ügyészi szerv pénzügyi egységének megküldi.

(4) Az érdekképviseleti szerv tisztségviselői személyes adatainak e minőségükre tekintettel történő kezelése végett be kell szerezni írásos nyilatkozatukat.

(5) Az ügyészségi alkalmazott [Üsztv. 1. § (2) bekezdés; SZMSZ 2. §] személyi adatait kezelő szerv köteles biztosítani, hogy az érintett a róla a Személyi Iratgyűjtőjében tárolt adatokat megismerhesse, a kezelt adatokat tartalmazó iratokról másolatot vagy kivonatot kaphasson. Az ügyészségi alkalmazott:

a) kérheti adatai helyesbítését, illetve kijavítását, amelyet megalapozott kérelem esetén az adatkezelő szerv köteles teljesíteni;

b) jogosult megismerni, hogy a személyi nyilvántartásokban kezelt adatait kinek, milyen célból és milyen adatkört érintően továbbították.

(6) A személyügyi nyilvántartás adatait kezelő ügyészi szerv köteles megtenni azokat az intézkedéseket, amelyek kizárják az adatok illetéktelen személy általi megismerését. A személyügyi nyilvántartásba és az alapul szolgáló iratokba (Személyi Iratgyűjtőbe, személyügyi iratba, személyi anyagba) történő betekintést - manuális adatkezelés esetén az ebből a célból rendszeresített betekintő lapon, számítógépes adatkezelés esetén pedig a betekintés naplózásával - írásban dokumentálni kell.

(7) A Személyi Iratgyűjtő dokumentumaiba vagy a személyügyi nyilvántartásba - az érintett egyidejű tájékoztatásával - bejegyzést tenni csak közokirat, az érintett írásbeli nyilatkozata, a munkáltatói jogkör gyakorlójának írásbeli rendelkezése, okirata, bíróság vagy más hatóság döntése, illetve jogszabályi rendelkezés alapján lehet. Amennyiben a Személyi Iratgyűjtőt és a személyügyi nyilvántartást kezelő személy azt észleli, hogy a kezelt adat a valóságnak nem felel meg, köteles az adat helyesbítése vagy törlése érdekében a szükséges intézkedéseket kezdeményezni az arra jogosult, vagy kötelezett személynél.

(8) Az ügyészi szervezet által kiírt pályázatokra beküldött jelentkezésekhez mellékelni kell a pályázóknak a személyes adatok kezeléséhez a pályázati anyaggal együtt megadott személyes hozzájárulását. A pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak - kérésére - hatvan napon belül vissza kell küldeni, vagy a pályázónak a személyes adatai további pályázatok során történő felhasználására vonatkozó hozzájárulása hiányában meg kell semmisíteni. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni.

(9) Az ügyészi szervezethez bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban lévő személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes adatokat a (8) bekezdésben írt módon meg kell semmisíteni.

(10) A munkáltató az ügyészségi alkalmazottra vonatkozó adatok közül - az utóbbi hozzájárulása nélkül - közérdekből adhat tájékoztatást az ügyészségi alkalmazott nevéről, szolgálati helyéről és beosztásáról.

(11) Az ügyészségi alkalmazott elhalálozása esetén az ügyészi szervezet gyászközleményének megjelentetéséhez, - ha az elhalálozásról az elektronikus vagy az írott sajtóban közlemény nem jelenik meg -, a közvetlen hozzátartozók nyilatkozatát kell kérni.

A személyes adatokat tartalmazó ügyészségi igazgatási és gazdasági ügyek adatkezelése

16. §

Az ügyészi szervezet adatkezelői ebben az adatkörben az Üsztv. 8. számú mellékletének III. részében, továbbá a külön irányító intézkedésekben írt szabályok szerint járnak el.

Az ügyészségi alkalmazottak vagyonnyilatkozataival kapcsolatos adatok kezelése

17. §

Az ügyészségi alkalmazottak és velük közös háztartásban élő hozzátartozóik vagyonnyilatkozataiban foglalt személyes adatok kezelésére a vagyonnyilatkozat átadásáról, kezeléséről és az abban foglalt adatok védelméről szóló 10/2001. (ÜK. 7.) LÜ utasítás, továbbá a vagyonnyilatkozatokkal kapcsolatos iratkezelési és adatvédelmi szabályokról szóló 11/2001. (ÜK. 9.) LÜ utasítás rendelkezéseit kell alkalmazni.

Az adatvédelmi biztos vizsgálatában való közreműködés szabályai

18. §

(1) Ha az adatkezelő ügyészi szervhez az adatvédelmi biztostól - az adatkérés és a tájékoztatás kivételével -megkeresés érkezik, arról a megkeresés és a válasz egy példányának megküldésével három munkanapon belül tájékoztatni kell a belső adatvédelmi felelőst.

(2) Ha az adatvédelmi biztos jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólítja fel, az adatkezelő ügyészi szerv vezetője haladéktalanul megteszi az általa szükségesnek vélt intézkedéseket, és erről harminc napon belül írásban tájékoztatja az adatvédelmi biztost és a belső adatvédelmi felelőst.

Adatbiztonsági előírások

19. §

(1) Az informatikai adatbiztonsági előírások részletes meghatározását az Informatikai Biztonsági Szabályzat, míg az ügyészségi iratok adatkezelési szabályait a 6/1998. (ÜK. 1999/1.) LÜ utasítás tartalmazza.

(2) Az adatbiztonsági intézkedések meghatározása érdekében az ügyészi szerv kezelésében lévő minden egyes adatállományt az adatkezelő szerv vezetője a védelmi igény szempontjából értékeli, és a megfelelő biztonsági fokozatba sorolja.

(3) Az egyes adatkezelések biztonsági fokozatának megállapításához az adatok minősítésének figyelembe vételén kívül elemezni kell:

a) az adatkezelésnek az adatkezelő szerv jogszabályban meghatározott feladatai végrehajtásában betöltött szerepét;

b) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver és szoftver eszközök megrongálásával járó kockázatot és a várható kárt, figyelemmel arra, hogy az adatkezelés hiánya vagy az abban bekövetkezett sérülés milyen mértékben akadályozza az ügyészi szerv feladatainak teljesítését, ideértve a nemzetközi kapcsolatokból eredő kötelezettségek teljesítését is;

c) azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét;

d) azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni;

e) az adatbiztonságot veszélyeztető más kockázati elemeket;

f) azt, hogy a védelemhez szükséges feltételrendszer megteremtéséhez és fenntartásához biztosítottak-e a szükséges erőforrások.

Ellenőrzés

20. §

(1) A belső adatvédelmi felelős ellenőrizheti az adatkezelési rendelkezések megtartását. Ennek keretében minden olyan helyiségbe beléphet, ahol adatkezelést folytatnak, az adatkezelést végzőktől az adatkezelési tevékenységgel összefüggő bármely felvilágosítást kérhet.

(2) Az ellenőrzés során feltárt hiányosságokról, vagy esetleges jogellenes gyakorlatról a belső adatvédelmi felelős az ellenőrzés befejezését követően írásban tájékoztatja az adatkezelő ügyészi szerv vezetőjét, aki haladéktalanul megteszi a jogszerű állapot helyreállításához szükséges intézkedéseket.

Oktatás, vizsgáztatás

21. §

(1) Azokat a felsőfokú jogi képesítéssel nem rendelkező ügyészségi alkalmazottakat, akik személyes adatokat kezelnek, vagy feldolgoznak a belső adatvédelmi felelős -az adatkezelő ügyészi szerv vezetőjével történő rendszeres egyeztetés alapján - adatvédelmi oktatásban részesíti, és a szükséges jogszabályok, irányító intézkedések szövegét és egyéb tananyagokat rendelkezésre bocsátja. Az oktatást követően az érintett ügyészségi alkalmazott az adatvédelmi ismeretekből vizsgát tesz. Az erről szóló igazolást az érintett személyi anyagában el kell helyezni. Eredménytelen vizsga esetén az érintett személyt megfelelő határidő kitűzésével pótvizsgára kell bocsátani. A pótvizsga sikertelensége esetén a vizsga letételéig az ügyészségi alkalmazottat személyes adatok kezelésével nem járó munkakörbe kell helyezni.

(2) A belső adatvédelmi felelős folyamatosan tájékoztatja a személyes adatok kezelésével járó munkakört betöltő ügyészségi alkalmazottakat az adatvédelmi tárgyú jogszabályok és irányító intézkedések változásairól.

22. §

Ez az utasítás 2005. december 15-én lép hatályba.

Dr. Polt Péter s. k.,

legfőbb ügyész