8/2012. (II. 16.) LÜ utasítás

az Adatkezelési Szabályzat kiadásáról

Az ügyészségről szóló 2011. évi CLXIII. törvény 8. §-ának (3) bekezdésében foglalt felhatalmazás alapján a következő utasítást adom ki:

Az utasítás hatálya

1. § (1) Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 24. §-a (3) bekezdésében foglaltak szerinti Adatkezelési Szabályzat (a továbbiakban: Szabályzat) hatálya kiterjed Magyarország ügyészi szerveire [12/2012. (VI. 8.) LÜ utasítás 1. § (1) bekezdés a)-d) pont] és az Országos Kriminológiai Intézetre (OKRI).[1]

(2) A Szabályzat célja, hogy biztosítsa az ügyészi szervezet tevékenysége során a személyes adatok védelméhez fűződő alkotmányos információs önrendelkezési jog érvényesülését, továbbá, hogy az ügyészi szervezet által kezelt személyes adatok jogosulatlan felhasználásának megakadályozása érdekében meghatározza a személyes és különleges adatok kezelése során irányadó adatvédelmi és adatbiztonsági szabályokat.

Értelmező rendelkezések

2. § A Szabályzat alkalmazása során az Infotv.-ben és az ügyészségről szóló 2011. évi CLXIII. törvényben (a továbbiakban: Ütv.) meghatározottakon túl

a) adatvédelem: a személyes és különleges adatok kezelésének normatív szabályozása az adatalany információs önrendelkezési jogának érvényesítése érdekében;

b) információs önrendelkezési jog: az Alaptörvény VI. cikkében biztosított személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról;

c) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások és eljárási szabályok összessége; az adatkezelésnek az az állapota, amelyben a kockázati tényezőket - és ezzel a fenyegetettséget - a szervezési, műszaki megoldások és intézkedések a legkisebb mértékűre csökkentik;

d) adatgazda: az adatkezelő szerv vezetője, aki az adott adatkezelésre vonatkozó döntési jogosultsággal rendelkezik;

e) betekintési és megismerési jogosultság: az a jogkör, amelynek birtokában a jogosult számára elérhetővé, megismerhetővé válnak az adott adatállományban kezelt személyes és különleges adatok;

f) közvetlen megismerési jogosultság: adott adatállomány informatikai alkalmazás igénybevételével kezelt adatainak megismeréséhez adott olyan jogkör, amely a jogosult számára lehetőséget biztosít arra, hogy az ott kezelt adatokhoz az általa megválasztott időpontban közvetlen lekérdezéssel hozzáférjen;

g) közvetlen lekérdezés: adott adatállományban kezelt adatokban - az adatkezelő által előzetesen rendelkezésre bocsátott általános lekérdezési jogosultság felhasználásával - előre meghatározatlan időpontban és alkalommal, naplózott formában történő betekintés, illetve az így megismerhetővé vált információ kinyomtatása, vagy más módon történő rögzítése;

h) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, személyes vagy különleges adatot tartalmazó anyag;

i) hardver eszköz: valamennyi olyan eszköz, amelynek feladata az informatikai rendszer folyamatos működésének biztosítása, vagy amely biztonsági adatmentésre, avagy másolatok készítésére szolgál, valamint amely elektronikus vagy egyéb módon a számítógép külső behatás elleni védelmét szolgálja;

j) hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely egy vagy több fogadó személy számára jelzések, adatok és információk továbbítására vagy fogadására alkalmas.

Az adatvédelem alapelvei

3. § (1) Az ügyészi szervezet által, illetve az ügyészi szervezetben a cél megvalósulásához szükséges mértékben és ideig csak olyan személyes és különleges adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas.

(2) Az ügyészségi adatkezelők szolgálati feladataik ellátása körében személyes és különleges adatot csak a vonatkozó jogszabályok előírásainak betartásával kezelhetnek.

4. § A személyes adatok védelméhez való jog a természetes személyek Alaptörvényben biztosított alapjoga, amely garantálja az adatalanyok információs önrendelkezési jogát. Az információs önrendelkezési jog az érintettek beleegyezésének hiányában kizárólag törvényi felhatalmazás alapján korlátozható. Az információs önrendelkezési jog tiszteletben tartása érdekében az ügyészségi alkalmazott személyes adatot csak a törvényben írt esetekben, illetve akkor kezelhet, ha a törvény felhatalmazása alapján a legfőbb ügyész azt elrendeli, vagy ahhoz az adatalany kifejezetten - különleges adat esetén írásban - hozzájárult.

5. § Az ügyészségi adatkezelő fegyelmi, kártérítési, szabálysértési és büntetőjogi felelősséggel tartozik a feladat- és hatáskörének gyakorlása során tudomására jutott személyes adatok jogszerű kezeléséért, az ügyészi szervezet nyilvántartásaihoz rendelkezésére álló hozzáférési jogosultságok jogszerű gyakorlásáért.

6. § Személyes adat kezelésére csak az ügyészi szervezet jogszabályban meghatározott feladat- és hatáskörének gyakorlásához szükséges célból, jog gyakorlása vagy kötelezettség teljesítése érdekében van lehetőség. Törvényben elrendelt adatkezelés esetén kizárólag a felhatalmazást adó törvényben meghatározott célból valósulhat meg adatkezelés. Az ügyészi szervezet által kezelt - vagy az ügyészség feladatainak ellátásához más adatkezelő által rendelkezésre bocsátott - személyes adatok magáncélra való felhasználása tilos. Az adatkezelésnek mindenkor meg kell felelnie a célhoz kötöttség alapelvének.

7. § Ha az adatkezelő tudomást szerez arról, hogy az általa kezelt személyes adat hibás, hiányos, vagy időszerűtlen, köteles azt kijavítani.

Az érintett jogainak érvényesítése, a tiltakozási jog gyakorlása és az azokkal összefüggő feladatok

8. § (1) Az adatkezelő szerv vezetője köteles biztosítani, hogy az érintett az adatkezelő szerv által kezelt adataihoz hozzáférjen.

(2) Az érintett tájékoztatást kérhet az ügyészségtől személyes adatainak kezeléséről, és kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - azok törlését, valamint - ha arra törvény felhatalmazza - tiltakozhat személyes adatainak kezelése ellen.

(3) A tájékoztatás ingyenes, ha a tájékoztatást kérő az adott naptári évben azonos adatkezelésre vonatkozó tájékoztatási kérelmet még nem nyújtott be. Egyéb esetekben költségtérítést kell megállapítani, amelynek fedeznie kell a tájékoztatással kapcsolatban felmerült közvetlen és közvetett költségeket. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy ha a tájékoztatás kérése a személyes adat helyesbítését eredményezte.

(4) Az Infotv. 5. §-a (4) bekezdése szerinti, a büntetőeljárás körébe tartozó adathelyesbítés kérése esetén a büntetőeljárásról szóló 1998. évi XIX. törvénynek (a továbbiakban: Be.) a jegyzőkönyv és a határozat kijavítására vonatkozó rendelkezései [166. § (7) bekezdés és 169. § (5) bekezdés] szerint kell eljárni. Adattörlésre irányuló kérelem elbírálásánál figyelemmel kell lenni arra, hogy a büntetőeljárás során rögzített adatok csak akkor törölhetők, ha a Be. valamely rendelkezése ezt megengedi [Be. 63. § (3) bekezdés]. Ilyen megengedő rendelkezés a Be. 71. §-ának (4) bekezdése és a 204. § (4) bekezdése is.

(5) Amennyiben törvény alapján az érintett tájékoztatása nem tagadható meg, az kiterjed a kezelt adatok megjelölésére, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére, továbbá arra, hogy kik és milyen célból kapják vagy kapták meg az adatokat [Infotv. 15. § (1) bekezdés]. A tájékoztatás másolati példányát az adatkezelő ügyészi szerv megküldi az ügyészi szervezet belső adatvédelmi felelősének.

(6) Az elutasított tájékoztatás iránti kérelmekről a Nemzeti Adatvédelmi és Információszabadság Hatóságot (a továbbiakban: Hatóság) a tárgyévet követő január 31-éig tájékoztatni kell. A tájékoztatást a belső adatvédelmi felelős továbbítja a Hatóság felé.

(7) A valóságnak nem megfelelő adatot az adatkezelő - amennyiben a szükséges adatok rendelkezésre állnak - köteles helyesbíteni.

(8) A kezelt adatot törölni kell, ha:

a) az adat kezelése jogellenes;

b) az érintett azt - törvényben előírt kötelező adatkezelést kivéve - kéri;

c) az adat hiányos vagy téves, és ez az állapot jogszerűen nem orvosolható, feltéve, hogy a törlést törvény nem zárja ki;

d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;

e) azt a bíróság vagy a Hatóság elrendelte.

(9) Az adat helyesbítéséről vagy törléséről az érintetten kívül mindazokat tájékoztatni kell, akiknek az adatot továbbították, kivéve, ha a tájékoztatás elmaradása az adatkezelés céljára tekintettel az érintett jogos érdekeit nem sérti.

9. § (1) Az érintett tiltakozhat személyes adatának kezelése ellen, ha

a) a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;

b) a személyes adat felhasználása közvélemény-kutatás vagy tudományos kutatás céljára történik;

c) a tiltakozás jogának gyakorlását törvény lehetővé teszi.

(2) Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést (további adatfelvételt, adattovábbítást) megszüntetni és az adatokat zárolni, valamint a tiltakozásról, és az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította. Az érintettek kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

(3) Ha az érintett nem ért egyet a tiltakozásának elbírálása eredményeként hozott adatkezelői döntéssel, a döntés ellen a közléstől számított harminc napon belül - az Infotv. 22. §-ában foglalt módon - bírósághoz fordulhat.

Az ügyészi szervezet adatvédelmi intézményrendszere

10. § (1) Az adatvédelmi előírások alkalmazása szempontjából adatkezelő szerv vezetőjének kell tekinteni a legfőbb ügyészt, a fellebbviteli főügyészt, a főügyészt, a járási és járási szintű ügyészség vezetőjét és az OKRI igazgatóját.

(2) Az Infotv. 24. §-a (1) bekezdése szerinti belső adatvédelmi felelős a Legfőbb Ügyészségen - a fellebbviteli főügyészségekre, a főügyészségekre, a járási és járási szintű ügyészségekre, továbbá az OKRI-ra is kiterjedő hatáskörrel - az adatvédelmi feladatok végrehajtásának irányításával és ellenőrzésével megbízott, a legfőbb ügyész közvetlen felügyelete alatt működő vezető beosztású ügyész.

(3) A belső adatvédelmi felelős ellátja az ügyészség adatvédelmi tevékenységének irányítását. Ennek keretében:

a) közreműködik az adatvédelmet érintő jogszabálytervezetek véleményezésében, és részt vesz az ügyészség álláspontjának kidolgozásában;

b) elkészíti az adatvédelem tárgyában kiadandó irányító intézkedések tervezetét, közreműködik az egyes ügyészségi szakágak irányító intézkedéseinek adatvédelmi szabályai elkészítésében;

c) az egyes ügyészségi adatkezelő szervek megkeresése alapján közreműködik a felsőfokú jogi képesítéssel nem rendelkező ügyészségi alkalmazottak oktatásában és vizsgáztatásában;

d) egyedi ügyekben kidolgozott állásfoglalásával segíti az ügyészségi adatkezelő szervek adatvédelmi tevékenységét, az egységes gyakorlat kialakítását;

e) az ügyészség adatkezelési tevékenységét érintő ügyekben javaslatot tesz az ügyészség álláspontjának kialakítására, kapcsolatot tart a Hatósággal, az országos bűnügyi adatállományt kezelő egyéb hatóságokkal, különösen az Országos Rendőr-főkapitányság, a Nemzeti Adó- és Vámhivatal, a Honvédség, továbbá a Belügyminisztérium belső adatvédelmi felelőseivel, továbbá szükség szerint az EUROJUST adatvédelmi tisztviselőjével és az EUROPOL adatvédelmi felelősével;

f) közreműködik a Hatóság ügyészséget érintő vizsgálatainak lefolytatásában és az ezekkel kapcsolatos megkeresések megválaszolásában;

g) ellenőrzi a Legfőbb Ügyészségen, a fellebbviteli főügyészségeknél, a főügyészségeknél, a járási és járási szintű ügyészségeknél és az OKRI-nál az adatvédelmi jogszabályokban és az ilyen tárgyú legfőbb ügyészi utasításokban írt követelmények megtartását;

h) kivizsgálja a hozzá érkezett bejelentéseket és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót; indokolt esetben vizsgálat lefolytatását kezdeményezi az érintett adatkezelő ügyészi szerv vezetőjénél;

i) elbírálja a személyes adatának kezelése ellen az érintett által előterjesztett tiltakozást; j) elkészíti az ügyészség adatvédelmi helyzetéről szóló éves jelentést.

(4) A fellebbviteli főügyészek, a főügyészek, az OKRI igazgatója az adott adatkezelő ügyészi szervnél az adatvédelmi tevékenység irányítása, felügyelete és ellenőrzése érdekében írásban jogi, közigazgatási, vagy informatikai felsőfokú végzettséggel rendelkező adatvédelmi megbízottat jelölnek ki. Az adatvédelmi megbízott eljár a részére átruházott - és munkaköri leírásában rögzített - adatvédelemmel összefüggő feladatkörökben. A főügyészségek adatvédelmi megbízottainak hatásköre a járási és járási szintű ügyészségekre is kiterjed.

(5) Az adatkezelő ügyészi szerv vezetője felelős az adatkezelés jogszerűsége érdekében hatáskörébe tartozó intézkedések megtételéért. Az adatvédelmi megbízott adatvédelmi feladatainak gyakorlása során az őt kijelölő vezető közvetlen alárendeltségébe tartozik.

(6) Az adatkezelő ügyészi szerv adatvédelmi megbízottja:

a) segíti az adatkezelő ügyészi szerv vezetőjét az ügyészségi adatkezelésre vonatkozó jogszabályok és legfőbb ügyészi utasítások végrehajtásában, figyelemmel kíséri az adatvédelemmel kapcsolatos jogszabályváltozásokat, előkészíti az adatkezelő ügyészi szerv vezetőjének adatvédelmi tárgyú döntéseit;

b) kivizsgálja a szerv adatkezelésével összefüggésben érkezett kérelmeket és kifogásokat, közreműködik, és segítséget nyújt az érintettek jogainak gyakorlásában;

c) az adatkezelő ügyészi szerv vezetőjének megbízásából ellenőrzi az adatkezelő szervnél az adatvédelmi követelmények megtartását. Az előírások megsértésének észlelése esetén felhív a jogszerű állapot haladéktalan helyreállítására, a hiányosságokat jelzi az ügyészi szerv vezetőjének és az ügyészség belső adatvédelmi felelősének; indokolt esetben kezdeményezi a felelősség megállapításához szükséges vizsgálat lefolytatását;

d) nyomon követi az adatkezelő ügyészi szerv adatszolgáltatási tevékenységét, különös tekintettel a nemzetközi bűnügyi jogsegély-együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségéről;

e) elbírálja a személyes adatok kezelése ellen az érintett által bejelentett tiltakozást, és erről egyidejűleg értesíti a belső adatvédelmi felelőst;

f) feladatának ellátása során szükség szerint együttműködik az informatikai rendszergazdával és a szervezeti egység minősített adatkezelésének vezetőjével;

g) évenként február 15-ig a fellebbviteli főügyészi és főügyészi beszámolók részeként értékeli az adatkezelő ügyészi szerv adatvédelmi és adatbiztonsági helyzetét, s az általa készített értékelést megküldi az ügyészség belső adatvédelmi felelősének.

Adatállományok (nyilvántartások) létrehozása, ügyviteli és nyilvántartási célú adatkezelés

11. § (1) Az ügyészség az Ütv. 31. § (1) bekezdése alapján, törvényben szabályozott büntetőjogi, közérdekvédelmi, valamint ügyviteli, statisztikai és tudományos kutatási célú feladatainak ellátásához - az ügyészi szervezetben kijelölt központi, területi és helyi adatkezelő szervein keresztül - személyes és különleges adatokat kezelhet.

(2) Törvényi felhatalmazás hiányában az adatkezelés alapjául kizárólag az érintett megfelelő tájékoztatásán alapuló, önkéntes és határozott - különleges adat esetén írásbeli - hozzájárulása szolgálhat, amelyben félreérthetetlen beleegyezését adja a megfelelő személyes adatok meghatározott célból és körben történő kezeléséhez. A hozzájárulás megszerzése során az érintettet kifejezetten figyelmeztetni kell a beleegyezés önkéntességére. A hozzájárulást - a későbbi igazolhatósága érdekében - különleges adatnak nem minősülő személyes adatok esetén is célszerű írásban rögzíteni.

(3) Az ügyészi szervek - az adatkezelés eltérő célja alapján - ügyviteli és nyilvántartási célú (adatállomány kialakítására irányuló) adatkezeléseket végeznek. E körben:

a) az ügyvitelhez kapcsolódó adatkezelés az ügy feldolgozásához kapcsolódik. Alapvető célja az adott ügyhöz tartozó eljárás lefolytatásához, az eljárás szereplőinek azonosításához és az ügy befejezéséhez szükséges adatok biztosítása. Az ügyviteli célú adatkezelés során a személyes adatok kizárólag az adott ügy irataiban és az ügyviteli segédletekben szerepelnek; kezelésük ebből a célból csak az alapul szolgáló irat selejtezéséig lehetséges;

b) a nyilvántartási célú adatkezelés az előre meghatározott szempontok alapján gyűjtött személyes adatfajtákból adott szempontok szerint rendszerezett adatállományt hoz létre, az adatkezelés időtartama alatt biztosítva az adatok különböző jellemzők alapján történő visszakereshetőségét, automatizált nyilvántartások esetében a lekérdezhetőségét. Az egyes ügyekkel összefüggésben gyűjtött adatok kezelése ebben az esetben elválik az alapeljárástól, az adatok kezelésének időtartamát az adatok kezelésére felhatalmazást adó törvény, vagy az érintett beleegyezésében foglaltak határozzák meg;

c) nyilvántartási célú adatállomány kialakítását a legfőbb ügyész a belső adatvédelmi felelős állásfoglalása elkészítése alapján, írásban rendeli el. Az adatkezelés megkezdése előtt a nyilvántartási célú adatállomány létrehozását adatlap kitöltésével a belső adatvédelmi felelősnek dokumentálnia kell.

Belső adatvédelmi nyilvántartás

12. § (1) A nyilvántartási célú adatállományt kezelő ügyészi szervek új adatállomány kialakítását a tevékenység megkezdése előtt 15 nappal bejelentik a belső adatvédelmi felelősnek, aki azt a belső adatvédelmi nyilvántartásba bejegyzi.

(2) Az új adatállomány feldolgozására vagy az új feldolgozási technológia alkalmazására irányuló szándékot az Infotv. 68. §-a (5) bekezdésének a) pontja szerinti adatállományok tekintetében a tevékenység megkezdését megelőzően 45 nappal a belső adatvédelmi felelős elé kell terjeszteni.

(3) A belső adatvédelmi felelős a törvényen alapuló adatállományok esetén a bejelentésre irányuló előterjesztést a Hatóságnak történő bejelentés érdekében a legfőbb ügyésznek mutatja be. A legfőbb ügyész által kezelni elrendelt adatállományokat az ügyészi szervezet belső adatvédelmi felelőse jelenti be a Hatóságnak.

(4) Az adatkezelésnek a Hatóság általi nyilvántartásba vételekor adott nyilvántartási számot a belső adatvédelmi felelős közli az érintett adatkezelőkkel. A nyilvántartási számot az adatok harmadik személy részére történő továbbításánál, nyilvánosságra hozatalánál és az érintettnek történő kiadásánál fel kell tüntetni.

(5) Az adatkezelőnek nem kell bejelentenie többek között azt az adatkezelést, amely

a) az adatkezelővel ügyészségi szolgálati viszonyban álló személyek adatait tartalmazza;

b) a foglalkozás-egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés, vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából;

c) az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adatokra vonatkozik;

d) a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adataira, vagy a büntetés-végrehajtás során azzal összefüggésben kezelt személyes adatokra vonatkozik (ügyviteli célú adatkezelés);

e) a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve, hogy - törvényben meghatározottak szerint - az adatok érintettel való kapcsolatának megállapítását véglegesen lehetetlenné teszik;

f) tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra;

g) levéltári őrzésre átadott iratokkal összefüggésben valósul meg.

(6) Az Infotv. 65. §-a (3) bekezdésének a)-i) pontjaiban felsorolt bejelentési mentességek értelmezése során irányadó, hogy nem kell bejelenteni az olyan adatkezeléseket, amelyeknél az adatkezelő közvetlenül az érintettől veszi fel az adatokat és abból saját szervezetén kívüli intézmény vagy személy részére nem teljesít adatszolgáltatást; nem kell továbbá bejelenteni az egyedi közigazgatási, hatósági, peres és peren kívüli eljárások lefolytatásával kapcsolatos adatkezeléseket.

(7) A belső adatvédelmi nyilvántartásba bejelentett adatok változását, vagy az adatkezelés megszűnését a bejelentésre kötelezett köteles nyolc napon belül bejelenteni az ügyészség belső adatvédelmi felelősének, aki ennek megfelelően módosítja az ügyészség belső adatvédelmi nyilvántartásának adatait, és adott esetben tájékoztatja a Hatóságot a változásokról.

Az ügyészség büntetőjogi tevékenysége körében alkalmazandó speciális adatkezelési szabályok

13. § (1) Az ügyészség a törvényben meghatározott nyomozási, nyomozás felügyeleti és vádelőkészítő tevékenysége, valamint a büntetőbíróságok előtti tevékenysége során, illetve a törvényekben meghatározott joghátrányok végrehajtása törvényességének felügyelete körében az erre rendszeresített ügykönyvek, segédkönyvek, valamint számítógépes adattárak segítségével kezeli, illetve az adatkezelésre feljogosított más szervek nyilvántartásából átveszi

a) a természetes személyek egyedi azonosító adatait (név, születési név, korábbi név, leánykori név, születési hely, év, hó, nap, anyja neve, személyazonosító okmány száma, lakcíme, büntetett előéleti adatai, állampolgársága, fényképe és számítógépre vitt saját kezű aláírás-mintája);

b) az eljáró ügyészségre és az ügyre vonatkozó ügyészségi azonosítókat;

c) az érintett bűncselekményéhez kapcsolódó kriminalisztikai, kriminológiai, valamint büntetőjogi adatokat és következtetéseket;

d) az ügyészi feladatok ellátására vonatkozó utasításokat, amennyiben azok meghatározott személyre vonatkoznak;

e) az eljárás célja szempontjából különleges adatokat [Infotv. 3. § 3. pont b) alpont];

f) az ügyészség törvényben előírt feladatai ellátása szempontjából szükséges egyéb adatokat.

(2) Az ügyészség büntetőjogi tevékenysége során a büntetőeljárásban részt vevő személyek adatainak kezelésére a Be. szabályai irányadók. A büntetőeljárásban keletkezett egyes személyes adatok kezelésére az érintettek védelme érdekében a Be. különös adatkezelési szabályait kell alkalmazni.

(3) 15 év után selejtezhetők a számítógépes büntető ügyviteli nyilvántartásba iktatott ügyek számítástechnikai adathordozón kezelt adatállományai. A maradandó értékű, levéltárnak átadandó iratok körét az ügyészség Iratkezelési Szabályzatának mellékletét képező Irattári terv határozza meg. A segédkönyvek 5 év után selejtezhetők. Az ügykönyvek nem selejtezhetők, azokat 25 év után a levéltárnak kell átadni.

(4) Az ügyészség a büntetőjogi tevékenysége során a Rendőrségről szóló 1994. évi XXXIV. törvény 91/E. §-a (3) bekezdésének b) pontja, a büntetőeljárásban részt vevők, az igazságszolgáltatást segítők védelmi programjáról szóló 2001. évi LXXXV. törvény 38. §-ának (2) bekezdése, a bűnügyi nyilvántartási rendszerről, az Európai Unió tagállamainak bíróságai által magyar állampolgárokkal szemben hozott ítéletek nyilvántartásáról, valamint a bűnügyi és rendészeti biometrikus adatok nyilvántartásáról szóló 2009. évi XLVII. törvény 68. §-a (1) bekezdésének b) pontja, továbbá a Nemzeti Adó- és Vámhivatalról szóló 2010. évi CXXII. törvény 76. §-a (2) bekezdésének b) pontja alapján az általuk kezelt személyes adatokat a felhasználás céljának megjelölésével a hivatkozott törvényekben megjelölt szervektől átveheti.

(5) A (4) bekezdés szerinti adatátadás (adatátvétel) tényét az ügyészi szervezetnél úgy kell dokumentálni, hogy az tartalmazza:

a) az adatátadást vagy adatszolgáltatást kezdeményező szerv vagy személy megnevezését, postacímét, telefonszámát;

b) az adatátadás vagy adatszolgáltatás célját, rendeltetését;

c) az adatátadás vagy adatszolgáltatás jogszabályi alapját, vagy az érintett nyilatkozatát;

d) az adatátadásra vagy adatszolgáltatásra irányuló kérelem kézhezvételének időpontját;

e) az adatátadás vagy adatszolgáltatás alapjául szolgáló adatkezelés megnevezését;

f) az adatátadást vagy adatszolgáltatást teljesítő szervezeti egység megnevezését;

g) az érintettek nevét;

h) a kért személyes adatok körét, valamint

i) az adattovábbítás módját.

(6) A megkeresés egy példányát az adatkezelő ügyészi szervnél a személyes adatra vonatkozó adatkezelési jogosultság időtartamára meg kell őrizni.

(7) Az ügyészség általi adatátvétel és az adat felhasználásának jogszerűségéért az átvevő ügyészi szerv vezetője felelős.

(8) Az ügyészség a büntetőjogi tevékenysége során keletkező és az általa kezelt személyes adatot az Ütv. 32. §-ának (6) bekezdése alapján, az ott meghatározott szerveknek a törvényben megjelölt célból átadhatja. Az adatátadást és adatátvételt az (5) bekezdés szerint dokumentálni kell.

(9) Az adattovábbítás iránti külföldi megkeresés teljesítésekor [Infotv. 8. §; Ütv. 32. § (9)-(10) bekezdés] meg kell jelölni azt a nemzetközi szerződést vagy belső jogszabályt, amely a személyes adat külföldre történő továbbítását lehetővé teszi.

Az ügyészség közérdekvédelmi tevékenysége körében végzett adatkezelések speciális szabályai

14. § (1) Az ügyészség közérdekvédelmi tevékenysége során az ügyészségről szóló törvényben, valamint más törvényben meghatározott feladatai ellátásához az adattakarékosság elvét szem előtt tartva kezeli az eljárásának célja szempontjából lényeges személyes adatokat, illetve - az arra vonatkozó törvényi feltételek fennállása esetén - a különleges adatokat is. Az adatkezelés minden adatfajta tekintetében törvényi rendelkezés alapján, a törvényi felhatalmazás keretein belül maradva történhet.

(2) Az ügyészség közérdekvédelmi eljárásának célja szempontjából lényeges személyes adatok: különösen az eljárással érintett természetes személyek azonosítását szolgáló adatok (név, születési, leánykori név, születési hely, idő, anyja neve, lakóhely, tartózkodási hely, állampolgárság); a büntetőjogi tevékenység során keletkezett, onnan átvett adatok; a bíróságtól, az eljárással érintett szervtől vagy személytől, valamint az egyéb olyan szervtől, személytől átvett személyes adat, amelyet törvény arra kötelez, hogy az ügyész megkeresésére adatot szolgáltasson; a közérdekvédelmi eljárás során (például személyes meghallgatás során, szakértő kirendelése esetén stb.) keletkezett adat.

(3) Az Ütv. 5. § (2) bekezdésében meghatározott kérelem elbírálása során az eljárással érintett kérelmező személyes adatainak átvételére, kezelésére, valamint a bíróság vagy hatóság részére történő továbbítására az Ütv. 34. § (3) bekezdésében foglaltak irányadók.

(4) Amennyiben a kérelem jogi személy működése törvényességének ellenőrzésére irányul [Ütv. 28. § (2) bekezdés] a kérelmező személyes adatai a kérelmező egyértelmű hozzájárulásával továbbíthatók az ellenőrzéssel érintett jogi személy részére.

(5) Az ügyészség az erre rendszeresített lajstromok, ügykönyvek, segédkönyvek és segédkönyv jellegű gyűjtők, valamint számítógépes ügyviteli adattárak segítségével tartja nyilván:

a) a közérdekvédelmi eljárással érintett természetes személyek azonosítását szolgáló adatokat (név, születési, leánykori név, születési hely, idő, anyja neve, lakóhely, tartózkodási hely, állampolgárság);

b) az ügyészségi azonosítókat;

c) a büntetőjogi tevékenység során keletkezett, onnan átvett adatokat;

d) az ügyészi feladatok ellátására vonatkozó utasításokat.

(6) Az ügyészség az iratokban rögzített személyes adatokat az ügyészségi iratok selejtezésére, illetve a nem selejtezhető iratok levéltárba adására az ügyészség Iratkezelési Szabályzatának függelékét képező Irattári tervben előírt ideig - az adatkezelés célhoz kötöttségére vonatkozó előírások megtartásával - kezeli.

(7)[2] A termőföld tulajdonjogának megszerzését vagy használatát korlátozó jogszabályi rendelkezések kijátszására irányuló jogügyletek feltárásáról és megakadályozásáról szóló 2014. évi VII. törvény 4. §-ának (2) bekezdésében meghatározott nyilvántartásokból átvett, és az adatfeldolgozás során keletkezett személyes, illetve különleges adatok kezelésére az utasítás rendelkezéseit a törvény 4. §-ának (3)-(4) bekezdésében foglalt eltérésekkel kell alkalmazni. Az adatokat az adatkezelési jogosultság megszűnésekor törölni kell, a törölt adattal érintett iratokra az általános iratkezelési szabályok az irányadók.

Az ügyészségi alkalmazottak és a pályázók személyi adatainak kezelése

15. § (1) Az ügyészségi személyügyi nyilvántartásokat - az Infotv. 65. §-a (3) bekezdésének a) pontjára figyelemmel - nem kell bejelenteni az adatvédelmi nyilvántartásba.

(2) A személyügyi nyilvántartások vezetéséhez az érintett személy (saját magára vonatkozóan), valamint az adattal rendelkező szerv köteles adatot szolgáltatni. Az alapnyilvántartás adatkörében (a legfőbb ügyész, az ügyészek és más ügyészségi alkalmazottak jogállásáról és az ügyészi életpályáról szóló 2011. évi CLXIV. törvény 3. melléklete) beállt változást az érintett köteles a munkáltatónak haladéktalanul bejelenteni. A személyügyi adatot kezelő szerv vezetője gondoskodik arról, hogy az adatot a változás bejelentése után a személyügyi nyilvántartásban haladéktalanul átvezessék, indokolt esetben az erről szóló okiratot elkészítsék, vagy módosítsák.

(3) A szakszervezeti vagy érdek-képviseleti szervezeti tagságra utaló - az Infotv. 3. §-ának 3. pontja a) alpontja szerint különleges adatnak minősülő - adatok kezelésére az ügyészség külön törvényi felhatalmazással nem rendelkezik. Erre tekintettel a munkáltató ügyészi szerv a szakszervezeti, vagy az érdek-képviseleti tagdíj átutalásához szükséges intézkedéseket csak abban az esetben teheti meg, ha a személyes adatok kezeléséhez a szakszervezet vagy az érdek-képviseleti szervezet az érintett tagok önkéntes és írásbeli beleegyezését beszerzi, és egy példányát a munkáltató ügyészi szerv pénzügyi egységének megküldi.

(4) Az érdek-képviseleti szerv tisztségviselői személyes adatainak e minőségükre tekintettel történő kezelése végett be kell szerezni írásos nyilatkozatukat.

(5) Az ügyészségi alkalmazottak személyi adatait kezelő szerv köteles biztosítani, hogy az érintett a róla a személyi iratgyűjtőjében tárolt adatokat megismerhesse, a kezelt adatokat tartalmazó iratokról másolatot vagy kivonatot kaphasson. Az ügyészségi alkalmazott:

a) kérheti adatai helyesbítését, illetve kijavítását, amelyet megalapozott kérelem esetén az adatkezelő szerv köteles teljesíteni;

b) jogosult megismerni, hogy a személyi nyilvántartásokban kezelt adatait kinek, milyen célból és milyen adatkört érintően továbbították.

(6) A személyügyi nyilvántartás adatait kezelő ügyészi szerv köteles megtenni azokat az intézkedéseket, amelyek kizárják az adatok illetéktelen személy általi megismerését. A személyügyi nyilvántartásba és az alapul szolgáló iratokba (személyi iratgyűjtőbe, személyügyi iratba, személyi anyagba) történő betekintést - manuális adatkezelés esetén az ebből a célból rendszeresített betekintő lapon, számítógépes adatkezelés esetén pedig a betekintés naplózásával -írásban dokumentálni kell.

(7) A személyi iratgyűjtő dokumentumaiba vagy a személyügyi nyilvántartásba - az érintett egyidejű tájékoztatásával -bejegyzést tenni csak közokirat, az érintett írásbeli nyilatkozata, a munkáltatói jogkör gyakorlójának írásbeli rendelkezése, okirata, bíróság vagy más hatóság döntése, illetve jogszabályi rendelkezés alapján lehet. Amennyiben a személyi iratgyűjtőt és a személyügyi nyilvántartást kezelő személy azt észleli, hogy a kezelt adat a valóságnak nem felel meg, köteles az adat helyesbítése vagy törlése érdekében a szükséges intézkedéseket kezdeményezni az arra jogosult, vagy kötelezett személynél.

(8) Az ügyészi szervezet által kiírt pályázatokra beküldött jelentkezésekhez mellékelni kell a pályázóknak a személyes adatok kezeléséhez a pályázati anyaggal együtt megadott személyes hozzájárulását. A pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak - kérésére - 90 napon belül vissza kell küldeni, vagy a pályázónak a személyes adatai további pályázatok során történő felhasználására vonatkozó hozzájárulása hiányában meg kell semmisíteni. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni.

(9) Az ügyészi szervezethez bármilyen formában álláskeresési céllal (hirdetésre, spontán módon) eljuttatott önéletrajzokban lévő személyes adatok kezeléséhez az érintett hozzájárulását vélelmezni kell. Alkalmazás hiányában a személyes adatokat a (8) bekezdésben írt módon meg kell semmisíteni.

(10) A munkáltató az ügyészre vonatkozó adatok közül - az utóbbi hozzájárulása nélkül - közérdekből adhat tájékoztatást az ügyész nevéről, szolgálati helyéről és beosztásáról, valamint - ha azt törvény megengedi - egyéb adatairól.

(11) Az ügyészségi alkalmazott elhalálozása esetén az ügyészi szervezet gyászközleményének megjelentetéséhez - ha az elhalálozásról az elektronikus vagy az írott sajtóban közlemény nem jelenik meg - a közvetlen hozzátartozók nyilatkozatát kell kérni.

A személyes adatokat tartalmazó ügyészségi igazgatási és gazdasági ügyek adatkezelése

16. § (1) Az ügyészi szervezet igazgatási tevékenysége keretében az alábbi ügycsoportokban kezelhet személyes adatokat:

a) Sajtóügyek:

aa) legfőbb ügyész által tartott sajtótájékoztatók;

ab) egyéb sajtótájékoztatók.

b) Nemzetközi ügyek:

ba) magyar ügyészi delegációk utazásai;

bb) külföldi ügyészi delegációk programjai;

bc) egyéni célú utazások;

bd) nemzetközi konferenciák;

be) felsőszintű protokolláris levelezések;

bf) szakmai szempontból releváns európai és nemzetközi kontaktponti hálózatok működése;

bg) európai és más nemzetközi pályázatok, projektek;

bh) útlevél- és vízumügyek.

c) Vegyes ügyek:

ca) tanfolyamok és szakmai konferenciák;

cb) vezetői ügykör átadás;

cc) elfogultsági bejelentések;

cd) titoktartási kötelezettség alóli felmentés;

ce) szakértői ügyek;

cf) panaszirodai ügyek;

cg) üdülési ügyek;

ch) az ügyészség működésére vonatkozó panaszok és közérdekű bejelentések;

ci) az ügyészi szervek által kötött szerződések;

cj) ideiglenes belépési engedély az ügyészi szervek helyiségeibe;

ck) parkolási engedély az ügyészi szervek által kizárólagosan használható parkolóhelyekre;

cl) ügyészségi rendezvények szervezése.

d)[3] Az ügyészségi nyomozásért felelős ügyészségekhez érkező, feljelentésnek nem minősülő iratok (bejelentés, panasz, beadvány).

(2) az (1) bekezdésben írt adatokat tartalmazó iratokat 15 év után lehet selejtezni.

(3) Az igazgatási ügyekbe az ügy előadója és a szolgálati felettes tekinthetnek be. Az érintett tájékoztatását - kérelmére - a szolgálati felettes engedélyezheti.

(4) Az ügyészségi gazdasági nyilvántartások közül az alábbiak kezelnek személyes adatokat:

a) személyi anyagok, egészségbiztosítási ellátások nyilvántartása, magán-nyugdíjpénztári nyilvántartás, fizetési jegyzékek, járulék-nyilvántartások, melyek nem selejtezhetők;

b) számfejtési anyagok, bérfeladások, bérátutalások, statisztikai jelentések, szerszámlapok (lejárat után), munkaruha-nyilvántartások, melyek 10 év után selejtezhetők;

c) személyi jövedelemadó nyilvántartások, OEP elszámolások, adó- és járulékbevallások, kiküldetési rendelvények nyilvántartása, hivatali célra saját gépkocsihasználat nyilvántartása, melyek 5 év után selejtezhetők.

(5) Az előző bekezdésben írt ügyiratok adattartalmáról az érintettet a rendszeresen ismétlődő adatszolgáltatásokon kívül, kérelmére teljeskörűen tájékoztatni kell.

Az OKRI empirikus kutatótevékenységének adataira vonatkozó különös adatkezelési szabályok

17. § (1) Az OKRI - törvényben meghatározott kutatási tevékenysége ellátása körében, az erre rendszeresített nyilvántartási eszközök és számítógépes alkalmazások segítségével - kezeli az intézeti munkatervekben foglalt kutatások keretében lefolytatott felmérések, vagy a bűnügyi (nyomozási, ügyészségi, bírósági, büntetés-végrehajtási), közigazgatási (illetékes igazgatási szervek, ügyészségi felügyeleti, valamint a bíróság eljárásaiban keletkezett) ügyek iratainak, továbbá média hírek megfigyelése során keletkezett

a) természetes személyeknek a kutatási tervben meghatározott körben gyűjtött egyedi azonosító, illetve személyes és különleges adatait (például születési év, lakcím, büntetett előéleti adatok, állampolgárság stb.);

b) az eljáró szervezetekre és az ügyre vonatkozó azonosítókat;

c) az érintett személyek bűncselekményéhez kapcsolódó kriminalisztikai, kriminológiai, valamint büntetőjogi adatokat és következtetéseket;

d) az érintett személyek közigazgatási eljáráshoz kapcsolódó egyedi (szociológiai, pszichológiai, mentális stb.) jellemzőit, valamint alap-, és közigazgatási jogi adatokat és következtetéseket;

e) a kutatás célja szempontjából lényeges egyéb, és különleges adatokat, valamint

f) az utánkövetéses (longitudinális) és validálási vizsgálatokban keletkezett adatokat.

(2) A személyes adatok érintettekkel való kapcsolatának megállapítását véglegesen lehetetlenné kell tenni, amint azt a kutatási cél megengedi. Ennek megtörténtéig azokat elkülönítetten kell tárolni. [Infotv. 12. § (2) bekezdés].

(3) A személyes adatokat a vizsgálat lezárását követően törölni kell. E szabály alól kivételt képeznek az utánkövetési és a validálási vizsgálatokban keletkezett adatok, amelyek esetében kutatási érdek az adatok folyamatos kezelése lehetőségének megteremtése. Ezeknél a vizsgálatoknál az adatok az érintett személy írásba foglalt hozzájárulása alapján, és kizárólag kutatási célból az adatkezelésre vonatkozó törvényes határidő lejártát követően is kezelhetők. A kutatási beszámolók nem semmisíthetőek meg, azok levéltári elhelyezéséről kell gondoskodni a keletkezésük éve után számított 15 esztendő elteltével.

Az ügyészségi alkalmazottak vagyonnyilatkozataival kapcsolatos adatok kezelése

18. § Az ügyészségi alkalmazottak és velük közös háztartásban élő hozzátartozóik vagyonnyilatkozataiban foglalt személyes adatok kezelésére a vagyonnyilatkozat-tételi kötelezettséggel kapcsolatos egyes kérdésekről szóló 6/2008. (ÜK. 4.) LÜ utasítás rendelkezéseit kell alkalmazni.

Az adatvédelmi vizsgálatban való közreműködés szabályai

19. § (1) Ha az adatkezelő ügyészi szervhez a Nemzeti Adatvédelmi és Információszabadság Hatóság elnökétől - az adatkérés és a tájékoztatás kivételével - megkeresés érkezik, arról a megkeresés és a válasz egy példányának megküldésével három munkanapon belül tájékoztatni kell a belső adatvédelmi felelőst.

(2) Ha a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólítja fel, az adatkezelő ügyészi szerv vezetője haladéktalanul megteszi az általa szükségesnek vélt intézkedéseket, és erről harminc napon belül írásban tájékoztatja a Hatóság elnökét és a belső adatvédelmi felelőst.

Adatbiztonsági előírások

20. § (1) Az informatikai adatbiztonsági előírások részletes meghatározását külön legfőbb ügyészi utasítás, míg az ügyészségi iratok adatkezelési szabályait az Iratkezelési Szabályzat tartalmazza.

(2) Az adatbiztonsági intézkedések meghatározása érdekében az ügyészi szerv kezelésében lévő minden egyes adatállományt az adatkezelő szerv vezetője a védelmi igény szempontjából értékeli, és a megfelelő biztonsági fokozatba sorolja.

(3) Az egyes adatkezelések biztonsági fokozatának megállapításához az adatok minősítésének figyelembevételén kívül elemezni kell:

a) az adatkezelésnek az adatkezelő szerv jogszabályban meghatározott feladatai végrehajtásában betöltött szerepét;

b) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a várható kárt, figyelemmel arra, hogy az adatkezelés hiánya vagy az abban bekövetkezett sérülés milyen mértékben akadályozza az ügyészi szerv feladatainak teljesítését, ideértve a nemzetközi kapcsolatokból eredő kötelezettségek teljesítését is;

c) azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét;

d) azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni;

e) az adatbiztonságot veszélyeztető más kockázati elemeket;

f) azt, hogy a védelemhez szükséges feltételrendszer megteremtéséhez és fenntartásához biztosítottak-e a szükséges erőforrások.

Ellenőrzés

21. § (1) A belső adatvédelmi felelős ellenőrizheti az adatkezelési rendelkezések megtartását. Ennek keretében minden olyan helyiségbe beléphet, ahol adatkezelést folytatnak, az adatkezelést végzőktől az adatkezelési tevékenységgel összefüggő bármely felvilágosítást kérhet.

(2) Az ellenőrzés során feltárt hiányosságokról, vagy esetleges jogellenes gyakorlatról a belső adatvédelmi felelős az ellenőrzés befejezését követően írásban tájékoztatja az adatkezelő ügyészi szerv vezetőjét, aki haladéktalanul megteszi a jogszerű állapot helyreállításához szükséges intézkedéseket.

Oktatás, vizsgáztatás

22. § (1) Azokat a felsőfokú jogi képesítéssel nem rendelkező ügyészségi alkalmazottakat, akik személyes adatokat kezelnek, vagy feldolgoznak, a belső adatvédelmi felelős - az adatkezelő ügyészi szerv vezetőjével történő egyeztetés alapján, az adatvédelmi megbízottak közreműködésével - adatvédelmi oktatásban részesíti, és a szükséges jogszabályok, irányító intézkedések szövegét és egyéb tananyagokat rendelkezésre bocsátja. Az oktatást követően az érintett ügyészségi alkalmazott az adatvédelmi ismeretekből vizsgát tesz. Az erről szóló igazolást az érintett személyi anyagában kell elhelyezni. Eredménytelen vizsga esetén az érintett személyt megfelelő határidő kitűzésével pótvizsgára kell bocsátani. A pótvizsga sikertelensége esetén a vizsga letételéig az ügyészségi alkalmazottat személyes adatok kezelésével nem járó munkakörbe kell helyezni.

(2) A belső adatvédelmi felelős az adatvédelmi megbízottak útján tájékoztatja a személyes adatok kezelésével járó munkakört betöltő ügyészségi alkalmazottakat az adatvédelmi tárgyú jogszabályok és irányító intézkedések változásairól.

Közérdekű bejelentő adatainak védelme

23. §[4] A panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény 3. §-ának (3)-(4) bekezdésében előírtakat kell alkalmazni a közérdekű bejelentést tevő, illetve a panaszos személyes adatainak átadására és nyilvánosságra hozatalára.

Záró rendelkezések[5]

23/A. § Felhatalmazást kap az Informatikai Főosztály vezetője, hogy a Kabinet és a Közérdekvédelmi Főosztály vezetőjével egyetértésben körlevélben határozza meg a 14. § (7) bekezdésében említett adattörlés rendjét.

24. § (1) Ez az utasítás a közzétételét követő napon lép hatályba.

(2) Ahol az utasítás járási, járási szintű ügyészségről tesz említést, azon 2013. január 1-jéig helyi ügyészséget kell érteni.

(3) Hatályát veszti az Adatvédelmi és Adatbiztonsági Szabályzat kiadásáról szóló 18/2005. (ÜK. 11.) LÜ utasítás.

Dr. Polt Péter s. k.,

legfőbb ügyész