12/2023. (V. 19.) ORFK utasítás

az adatvédelmi szabályzatról szóló 39/2019. (XI. 19.) ORFK utasítás módosításáról

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, a Rendőrségről szóló 1994. évi XXXIV. törvény 6. § (1) bekezdés b) pontjában, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 37. § (3) bekezdésében foglaltak alapján az adatvédelmi szabályzatról szóló 39/2019. (XI. 19.) ORFK utasítás módosítására kiadom az alábbi utasítást:

1. Az adatvédelmi szabályzatról szóló 39/2019. (XI. 19.) ORFK utasítás (a továbbiakban: Adatvédelmi Szabályzat) 21. pontja helyébe a következő rendelkezés lép:

"21. Adatvédelmi tisztviselőnek és adatvédelmi megbízottnak felsőfokú végzettséggel rendelkező és az adatvédelmi ismeretekből sikeres vizsgát tett személy jelölhető ki. A határrendészeti kirendeltségek esetében - az adatkezelő szerv vezetőjének döntése alapján - az adatvédelmi megbízotti feladatkör ellátására középfokú végzettséggel rendelkező személy is kijelölhető. Az adatvédelmi tisztviselő az ORFK adatvédelmi tisztviselője által szervezett képzést követő vizsga teljesítésével igazolja a szükséges adatvédelmi ismeretek meglétét."

2. Az Adatvédelmi Szabályzat 29. pont nyitó szövegrésze helyébe a következő rendelkezés lép:

"Az adatvédelmi tisztviselő elősegíti, hogy a rendőrségi adatkezelő szerv az adatvédelmi követelményeknek - megfelelően dokumentált módon - eleget tegyen, így az Infotv. 25/M. § (1) bekezdésében és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 39. cikkében foglalt feladatok ellátásán túl, illetve annak keretében"

3. Az Adatvédelmi Szabályzat 29. pont t) alpontja helyébe a következő rendelkezés lép:

[Az adatvédelmi tisztviselő elősegíti, hogy a rendőrségi adatkezelő szerv az adatvédelmi követelményeknek - megfelelően dokumentált módon - eleget tegyen, így az Infotv. 25/M. § (I) bekezdésében foglalt feladatok ellátásán túl, illetve annak keretében]

"t) évente, a tárgyévet követő január 15-éig értékeli - a vármegyei (fővárosi) rendőr-főkapitányságok esetében a helyi szervekre is kiterjedően - a rendőrségi adatkezelő szerv adatvédelmi és adatbiztonsági helyzetét, valamint a nyilvános adatok közzétételével kapcsolatos tevékenységet, az erről készült jelentést a tárgyévet követő január 20-áig az ORFK adatvédelmi tisztviselőjének megküldi;"

4. Az Adatvédelmi Szabályzat 30. pont f) alpontja helyébe a következő rendelkezés lép:

[Az adatvédelmi megbízott a foglalkoztató rendőrségi adatkezelő szerv adatvédelmi követelményeknek megfelelő működésének biztosítása érdekében közreműködik az adatvédelmi tisztviselő 29. pont a), c), h)-i) és k)-m) alpontjában felsorolt feladatai ellátásában, illetve]

"f) évente értékeli az adatvédelmi és adatbiztonsági helyzetet, az erről készült jelentést az adatvédelmi tisztviselőnek a tárgyévet követő január 10-éig megküldi;"

5. Az Adatvédelmi Szabályzat 31. pont f) alpontja helyébe a következő rendelkezés lép:

(A rendőrségi adatkezelő szerv adatvédelmi és adatbiztonsági helyzetét értékelő jelentés tartalmazza)

"f) a nyilvános adatoknak az Infotv.-ben meghatározott közzétételével kapcsolatos kötelezettség értékelését;"

6. Az Adatvédelmi Szabályzat 33. pont nyitó szövegrésze helyébe a következő rendelkezés lép:

"Az ORFK adatvédelmi tisztviselője - a 29. pontban meghatározott feladatai mellett - ellátja a rendőrségi adatkezelő szervek adatvédelmi tevékenységének szakmai irányítását, amelynek keretében az ORFK Hivatal Elektronikus Ügyintézési és Adatvédelmi Főosztály közreműködésével"

7. Az Adatvédelmi Szabályzat 33. pont m) alpontja helyébe a következő rendelkezés lép:

(Az ORFK adatvédelmi tisztviselője - a 29. pontban meghatározott általános adatvédelmi tisztviselői feladatai mellett -ellátja a rendőrségi adatkezelő szervek adatvédelmi tevékenységének szakmai irányítását, amelynek keretében az ORFK Hivatal Biztonság-felügyeleti és Ügykezelési Osztály közreműködésével)

"m) az adatvédelmi tisztviselők jelentései alapján évente január 31-éig elkészíti a Rendőrség adatvédelmi helyzetéről szóló jelentést;"

8. Az Adatvédelmi Szabályzat 41. pont nyitó szövegrésze helyébe a következő rendelkezés lép:

"Az adatfeldolgozói szerződésben az Infotv. 25/D. § (3) bekezdés a)-d) és f) pontjában, valamint a GDPR 28. cikk (3) bekezdésében megfogalmazottak mellett az alábbi - az adatfeldolgozóra vonatkozó - kötelezettségeket kell rögzíteni"

9. Az Adatvédelmi Szabályzat 42. pontja helyébe a következő rendelkezés lép:

"42. Az adatvédelmi tisztviselő és az érintett adatkezelő rendőri szerv elektronikus információbiztonságért felelős vezetője közreműködik annak vizsgálatában, hogy az adatfeldolgozó megfelel-e az Infotv. 25/C. § (1) bekezdésében, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény 91/A. § (2) bekezdésében meghatározottaknak."

10. Az Adatvédelmi Szabályzat 55. pontja helyébe a következő rendelkezés lép:

"55. Az adatvédelmi hatásvizsgálat összefoglaló jelentését a rendőrségi adatkezelő szerv vezetője hagyja jóvá."

11. Az Adatvédelmi Szabályzat 60-62. pontja helyébe a következő rendelkezés lép:

"60. A Rendőrség egységes elektronikus adatvédelmi nyilvántartásában létrehozott érintetti tájékoztatókat az ORFK Hivatal nyilvántartásba veszi, a Rendőrség Adatvédelmi Portálján (a továbbiakban: Adatvédelmi Portál) közzéteszi, és annak naprakész vezetéséről gondoskodik. A Rendőrség egységes elektronikus adatvédelmi nyilvántartásában kizárólag olyan adatkezelés tehető közzé, amelynek érintetti tájékoztatóját az ORFK adatvédelmi tisztviselője jóváhagyta.

61. A rendőrségi adatkezelő szerv a Rendőrség egységes elektronikus adatvédelmi nyilvántartásba bejegyzett adatkezelésekből összeállítja adatvédelmi nyilvántartását, és az adatvédelmi tisztviselő, helyi szervek esetében az adatvédelmi megbízott gondoskodik annak az Adatvédelmi Portálon történő közzétételéről.

62. A rendőrségi adatkezelő szerv az adatkezelési tevékenységében bekövetkező változást, így különösen új adatkezelési tevékenység megkezdését vagy a már folytatott adatkezelési tevékenység megszüntetését haladéktalanul átvezeti az adatvédelmi nyilvántartásában, és az adatvédelmi tisztviselő, helyi szervek esetében az adatvédelmi megbízott útján gondoskodik annak az Adatvédelmi Portálon történő közzétételéről."

12. Az Adatvédelmi Szabályzat 102. pontja helyébe a következő rendelkezés lép:

"102. Az előzetes tájékoztatás késleltetéséről, a tartalmának korlátozásáról vagy a tájékoztatás mellőzéséről abban az esetben hozható döntés, ha annak az Infotv. 16. § (3) bekezdésében vagy a GDPR 23. cikkében meghatározott feltétele megállapítható."

13. Az Adatvédelmi Szabályzat 106. pontja helyébe a következő rendelkezés lép:

"106. Az érintettet megillető jogok gyakorlásának biztosítására - az adatkezelésre vonatkozó előzetes általános tájékozódáshoz való jog kivételével - az érintettek adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva, csak a kérelmező megfelelő azonosítása, illetve a kérelme tartalmának hitelességét biztosító követelmények fennállása esetén van lehetőség. Nem biztosítható e jogok gyakorlása különösen az elektronikus aláírással nem hitelesített vagy a kérelmező személyének azonosítását nem biztosító elektronikus levél útján érkezett kérelmek esetén."

14. Az Adatvédelmi Szabályzat 121. pontja helyébe a következő rendelkezés lép:

"121. Amennyiben a nyilvános adat kezelője nem a megkeresett rendőrségi adatkezelő szerv, erről a tényről kell az érintettet tájékoztatni."

15. Az Adatvédelmi Szabályzat 127. pontja helyébe a következő rendelkezés lép:

"127. Az adatfelelősök közzétételi kötelezettségüknek az Adatvédelmi Portálon történő közzététellel tesznek eleget."

16. Az Adatvédelmi Szabályzat 130. pont b) alpontja helyébe a következő rendelkezés lép:

(Az adatfelelősök az 1-5. mellékletben kijelölt belső adatfelelősök útján gondoskodnak)

"b) a közzétenni kívánt, valamint a már közzétett adatok hitelességéről, pontosságáról, teljességéről, szakszerűségéről."

17. Az Adatvédelmi Szabályzat 132-134. pontja helyébe a következő rendelkezés lép:

"132. Az új adattartalom megjelenítését kezdeményező közzétételi kérelemnek tartalmaznia kell

a) a közzétételt kezdeményező belső adatfelelős nevét, beosztását, munkakörét;

b) a közzétételi egység hivatkozási számát és megnevezését;

c) a közzéteendő adatokat, dokumentumokat.

133. Az adat módosítását kezdeményező kérelemnek tartalmaznia kell

a) a módosítást kezdeményező belső adatfelelős nevét, beosztását, munkakörét;

b) a módosítani kívánt közzétételi egység hivatkozási számát és megnevezését;

c) a módosítás rövid indokolását;

d) a módosított adatot tartalmazó dokumentumot.

134. Az időszerűtlenné vált adattartalom eltávolítása iránti kérelemnek tartalmaznia kell

a) az eltávolítást kezdeményező belső adatfelelős nevét, beosztását, munkakörét;

b) az eltávolítani kívánt közzétételi egység hivatkozási számát és megnevezését;

c) az eltávolítás rövid indokolását;

d) amennyiben szükséges, az archívumba helyezés kérését."

18. Az Adatvédelmi Szabályzat 135. pont a) alpontja helyébe a következő rendelkezés lép:

(Az adatközlő felelős)

"a) a hozzá megküldött közérdekű adatoknak az Adatvédelmi Portálon történő közzétételéért, módosításáért és annak egyértelmű megállapíthatóságáért, hogy az egyes közzétételi egységek mely adatfelelőstől származnak;"

19. Az Adatvédelmi Szabályzat 23. alcím címe helyébe a következő alcím cím lép:

"23. Az Adatvédelmi Portál működtetésével összefüggő feladatok"

20. Az Adatvédelmi Szabályzat 137. pontja helyébe a következő rendelkezés lép:

"137. Az ORFK Hivatal - mint az Adatvédelmi Portál működtetéséért felelős szervezeti elem - gondoskodik az Adatvédelmi Portál adatstruktúrájának és formájának a közzétételi listákon szereplő adatok közzétételéhez szükséges közzétételi mintákról szóló 18/2005. (XII. 27.) IHM rendeletben, valamint a 305/2005. Korm. rendeletben meghatározottak szerinti kialakításáról."

21. Az Adatvédelmi Szabályzat 23. alcíme a következő 137/A-137/D. ponttal egészül ki:

"137/A. Az ORFK Hivatal az Adatvédelmi Portált fejlesztő és üzemeltető szerv (a továbbiakban: üzemeltető szerv) közreműködésével gondoskodik

a) az egységes közadatkereső rendszerhez kapcsolódás informatikai feltételeinek biztosításáról;

b) a közzétételi kötelezettségeket tartalmazó metainformációs rendszer működtetéséről és folyamatos adatkarbantartásról;

c) a közérdekű adat közzétételével, módosításával és eltávolításával kapcsolatos események, időpontok, valamint a belső adatfelelős, illetve az adatközlő személyének naplózásáról.

137/B. Az ORFK Hivatal az üzemeltető szerv közreműködésével köteles az Adatvédelmi Portál folyamatos működését biztosítani, amelynek érdekében

a) haladéktalanul gondoskodik az adatbiztonsági kockázatot jelentő üzemeltetési hibák kijavításáról;

b) felméri az üzemeltetési hibákból származó károkat;

c) gondoskodik a működéshez szükséges állapot helyreállításáról.

137/C. Az Adatvédelmi Portál működését érintő tervezett karbantartások (a továbbiakban: üzemszünet) vagy nem tervezett szolgáltatáskiesés (a továbbiakban: üzemzavar) esetén - ideértve a távközlési hálózat vagy a tápellátási rendszer hibáját is - a közzétételi kötelezettségnek az üzemszünet vagy üzemzavar elhárítását követően haladéktalanul eleget kell tenni.

137/D. Az ORFK Hivatal az Adatvédelmi Portál üzemszünetet előidéző karbantartásának idejéről előzetesen az Adatvédelmi Portál "Hírfolyam" oldalán, valamint az esetleges üzemzavarról - a karbantartás ideje alatt - e-mail útján a rendőrségi adatkezelő szervek részére tájékoztatást ad. Az üzemzavarról elektronikus eseménynaplót kell vezetni, ami tartalmazza az esemény leírását, időpontját, időtartamát és a megtett intézkedéseket."

22. Az Adatvédelmi Szabályzat 138. pontja helyébe a következő rendelkezés lép:

"138. A belső adatfelelősök az Adatvédelmi Portálon közzéteendő közzétételi egységeket elektronikus úton, közzétételre alkalmas Word (doc), Excel (xls), kép (jpg) vagy PDF formátumban juttatják el az adatközlőhöz."

23. Az Adatvédelmi Szabályzat 141. pontja helyébe a következő rendelkezés lép:

"141. Téves vagy pontatlan adat nem tehető közzé az Adatvédelmi Portálon, illetve nem tehető elérhetővé az egységes közadatkereső rendszerben."

24. Az Adatvédelmi Szabályzat 143. pontja helyébe a következő rendelkezés lép:

"143. A közzétételi egység Adatvédelmi Portálról történő eltávolításának időpontjára, az előző állapot archiválásának (Adatvédelmi Portálon tartásának) időtartamára az 1-3. melléklet esetén az Infotv. 1. melléklete, illetve a 4. és 5. melléklet az irányadók, az alábbiak szerint:

a) amennyiben a közzétételi egység a közérdekű adat előző állapotának archívumban tartását írja elő, a közérdekű adat módosítása esetén annak elérhetővé tétele a megőrzési idő elteltéig nem szüntethető meg, a módosítás tényét és idejét, az új állapot fellelhetőségét, az archívumban elérhető adat elavulását egyértelműen fel kell tüntetni;

b) a közzétételi egység új állapota mellett fel kell tüntetni a frissítés tényét és idejét, illetve a közzétételi egység előző állapotának archív állományban való elérhetőségét."

25. Az Adatvédelmi Szabályzat 25. alcíme a következő 144/A. és 144/B. ponttal egészül ki:

"144/A. Amennyiben a rendőrségi adatkezelő szerv új közzétételi egységet kíván létrehozni, arról az ORFK adatvédelmi tisztviselőjét a közzétételi egység tervezetének megküldésével tájékoztatja.

144/B. Az új közzétételi egység létrehozását az ORFK adatvédelmi tisztviselője az érintett szakterület bevonásával végzi. Új közzétételi egység akkor hozható létre, amennyiben annak szükségességét az ORFK adatvédelmi tisztviselője jóváhagyta."

26. Az Adatvédelmi Szabályzat 148. és 149. pontja helyébe a következő rendelkezések lépnek:

"148. A rendőrségi adatkezelő szerv adatvédelmi tisztviselője, valamint a helyi szervek esetében az adatvédelmi megbízott félévente köteles ellenőrizni az adatkezelő szervnél kiosztott hozzáférési jogosultságok aktualizálásának végrehajtását. Az ellenőrzést - a hozzáférésre jogosultak nyilvántartása alapján - a rendőrségi adatkezelő szerv informatikai üzemeltetésért felelős vezetője közreműködésével kell végrehajtani.

149. Az adatvédelmi tisztviselő, helyi szervek esetében az adatvédelmi megbízott végzi az országos nyilvántartásokból történő lekérdezések során a célhoz kötött adatkezelés elve érvényesülésének ellenőrzését. Az ellenőrzés végrehajtása során a közvetlen hozzáférési jogosultsággal rendelkező személyek közül havi rendszerességgel kiválasztott munkatársak kapcsán - elsődlegesen a Robotzsaru rendszerből kinyerhető adatok alapján - az érintett szolgálati elöljárójával szükség szerint együttműködve azt kell vizsgálni, hogy az ellenőrzésre kiválasztott adatlekérdezés összefüggésben volt-e az érintett munkaköri feladatainak végrehajtásával kapcsolatos ügyintézéssel."

27. Az Adatvédelmi Szabályzat 151. pontja helyébe a következő rendelkezés lép:

"151. A Rendőrség állományába újonnan került személyeket - a személyes adatokat munkakörüknél fogva semmilyen formában meg nem ismerő személyek kivételével - az adatvédelmi tisztviselő vagy az adatvédelmi megbízott - a rendőrségi adatkezelő szerv személyzeti feladatot ellátó szervezeti egységének, illetve szervezeti elemének tájékoztatása alapján - köteles az állományba vételt követő 3 hónapon belül adatvédelmi oktatásban részesíteni. Az oktatásra kötelezett részére a szükséges jogszabályokat, közjogi szervezetszabályozó eszközöket, belső normákat és egyéb segédanyagokat rendelkezésre kell bocsátani, vagy ezek tekintetében az elektronikus hozzáférés lehetőségét és módját kell ismertetni."

28. Az Adatvédelmi Szabályzat

a) 3. melléklete az 1. melléklet;

b) 4. melléklete a 2. melléklet

szerint módosul.

29. Az Adatvédelmi Szabályzat 79. pontjában a "természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR)" szövegrész helyébe a "GDPR" szöveg lép.

30. Ez az utasítás a közzétételét követő nyolcadik napon lép hatályba.

31. Hatályát veszti az Adatvédelmi Szabályzat 63. pontja.

32. Ez az utasítás a hatálybalépését követő napon hatályát veszti.

Dr. Balogh János r. altábornagy s. k.,

országos rendőrfőkapitány

1. melléklet a 12/2023. (V. 19.) ORFK utasításhoz

Az Adatvédelmi Szabályzat 3. melléklet 2. pontjában a "XI. Közzétételi egység: Közzétételi listák" című táblázat helyébe a következő táblázat lép:

"XI. Közzétételi egység: Közzétételi listák

"

2. melléklet a 12/2023. (V. 19.) ORFK utasításhoz

1. Az Adatvédelmi Szabályzat 4. mellékletében a "III. Közzétételi egység: Az európai uniós társfinanszírozással bonyolított pályázatok esetén a nettó 100 millió forintot meghaladó, teljesített kifizetések" című táblázat helyébe a következő táblázat lép:

"III. Közzétételi egység: Az európai uniós társfinanszírozással bonyolított pályázatok esetén a nettó 100 millió forintot meghaladó, teljesített kifizetések

"

2. Az Adatvédelmi Szabályzat 4. mellékletében a "VI. Közzétételi egység: Fokozott ellenőrzés elrendelése" című táblázat helyébe a következő táblázat lép:

"VI. Közzétételi egység: Fokozott ellenőrzés elrendelése

3. Az Adatvédelmi Szabályzat 4. mellékletében a "IX. Közzétételi egység: Elektronikus ügyintézéssel kapcsolatos szabályzatok" című táblázat, valamint a "X. Közzétételi egység: Közös adatkezelői megállapodás" című táblázat helyébe a következő táblázatok lépnek:

"IX. Közzétételi egység: Elektronikus ügyintézéssel kapcsolatos szabályzatok

X. Közzétételi egység: Közös adatkezelői megállapodás

"

4. Az Adatvédelmi Szabályzat 4. melléklete a következő XI. táblázattal egészül ki:

"XI. Közzétételi egység: Intézkedési terv arra vonatkozóan, ha az egyajánlatos közbeszerzések aránya - az uniós értékhatárt elérő becsült értékű közbeszerzések körében - a tárgyévet megelőző naptári évben a 20%-ot meghaladta

"