A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvény számos olyan alapelvet deklarál, amelyekből megérthető, hogy az adatkezelés során milyen jogoknak kell érvényesülniük. Az alábbiakban azt járjuk körül, hogy az idézett jogszabály miként szolgálja egyszersmind a személyes adatok védelmét és a közérdekű adatok megismeréséhez való jog érvényesülését.
A jogalkotó már a törvény céljai között utal arra, hogy személyes adataival mindenki jogosult maga rendelkezni, illetőleg hogy a közérdekű adatokat mindenki megismerheti, és e jogokat kizárólag jogszabály korlátozhatja. A vizsgált jogszabály hatálya alá tartozik minden olyan adatkezelés és adatfeldolgozás, amely természetes személy adatait érinti, valamint amely közérdekű vagy közérdekből nyilvános adatot tartalmaz. A jogalkotónak a technika fejlődésével megjelenő és állandóan bővülő adatkezelési eszközállományra is tekintettel kellett lennie, ezért rögzítette, hogy ezt a jogszabályt kell alkalmazni a teljesen vagy részben automatizált eszközzel végzett adatkezelésre és adatfeldolgozásra is.
3.1. Fogalmak az adatvédelmi törvényben
3.1.1. Személyes adat
Mivel a fogalmak és definícióik e téma kapcsán is számottevő jelentőségűek, nem tekinthetünk el attól, hogy kiemeljünk néhány meghatározást az értelmező rendelkezések köréből. A személyes adat tág fogalom, amelybe beletartozik bármely azonosított vagy azonosítható természetes személlyel összefüggésbe hozható információ. Miként alább látni fogjuk, sok esetben azáltal valósul meg jogsértés, hogy az adott személyre vonatkozó adatból levont következtetés válik nyilvánossá, ezért a személyes adat fogalmát a jogalkotónak kiterjesztően, ezt is beleértve kellett értelmeznie. Felmerül a kérdés, hogy egy adott személy mikor azonosítható. A jogalkotó megközelítésében ez akkor áll fenn, ha az illető kiléte a rá vonatkozó adat alapján minden kétséget kizáróan megállapítható.
3.1.1.1. Az adat ún. személyes jellege
Sajátos logika érvényesül annak meghatározása során, hogy az adott információ meddig őrzi meg személyes adat jellegét. A törvény szerint ez a minőség addig marad fenn, amíg az információ kapcsolata az érintettel helyreállítható, vagyis amennyiben arra már nincs lehetőség, bekövetkezett a személyes adat sérelme.
3.1.2. Különleges adatok
A jogalkotó különbséget tesz a személyes adatok és a különleges adatok között. Az előbbieket már érintettük, az utóbbiak közé pedig olyanok tartoznak, mint például a faji eredetre, a politikai véleményre, az egészségi állapotra, vagy pedig a szexuális életre vonatkozó információ. Később részletesen is elemezni fogjuk az adatvédelem büntetőjogi vonatkozásait, annyit azonban már itt célszerű leszögezni, hogy létezik az úgynevezett bűnügyi személyes adat fogalma, amely nem más, mint a büntetőeljárás során vagy azt megelőzően az eljáró szerv tudomására jutott személyes adat. Idesorolható például az, hogy az eljárás alá vont személy büntetett előéletű-e, avagy sem.
3.1.3. Közérdekű adat
A vizsgált jogszabály értelmezésében közérdekű adat az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv, illetőleg személy kezelésében lévő információ vagy ismeret, amely nem minősül személyes adatnak.
3.1.4. Közérdekből nyilvános adatok
Az olyan adatok, amelyek se nem személyesek, se nem közérdekűek, közérdekből nyilvánosak akkor lehetnek, ha nyilvánosságra hozatalukat vagy hozzáférhetővé tételüket törvény közérdekből elrendeli.
A későbbiekben – főként a polgári jogi és büntetőjogi jogviszonyok kapcsán - érinteni fogjuk azt is, hogy az egyén milyen módon adhat hozzájárulást személyes adatainak kezeléséhez. Míg a polgári jogi állásfoglalások csupán annyit rögzítenek, hogy a hozzájárulásnak kifejezettnek kell lennie, és azt kiterjesztően értelmezni nem lehet, addig az elemzett jogszabály az érintett kívánságának önkéntes és határozott kinyilvánítását követeli meg. A jogosultnak ezenfelül arra vonatkozóan is nyilatkoznia kell, hogy az adatkezelést teljeskörűen, avagy csupán bizonyos műveletekre kiterjedően engedélyezi, valamint követelmény, hogy a hozzájárulás félreérthetetlen beleegyezést fejezzen ki.
3.1.5. Adatkezelő, adatkezelés
Már eddig is igen gyakran előfordult az adatkezelés és az adatkezelő fogalma, azonban eddig szabatos meghatározással még nem szolgáltunk. Adatkezelő az a természetes vagy jogi személy, aki, illetőleg amely az adatokkal való eljárás célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg végrehajtatja. Az adatkezelés az adatokon végzett bármely művelet, például adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, megsemmisítése. Természetesen adatkezelésnek számít az is, ha az adatok körébe tartozó jelenségről fénykép-, hang- vagy képfelvételt készítünk, illetőleg ha személy azonosítására alkalmas fizikai jellemzőket rögzítünk.
3.1.6. Adattörlés, -továbbítás
Az adattörlés, az adattovábbítás látszólag magukért beszélő fogalmak, érdemes azonban belegondolni, hogy ezek a gyakorlatban egyszerűnek és problémamentesnek tűnő mozzanatok milyen veszélyeket hordoznak. Az adattovábbítás például mindig azt jelenti, hogy az adott szerv vagy személy által kezelt adatok harmadik személy számára hozzáférhetővé válnak, az adattörlés pedig a technika, különösképpen az informatika mai fejlettségi szintjén nem mindig tekinthető véglegesnek. Az adattovábbítás és az adat nyilvánosságra hozatala közötti alapvető különbség, hogy ez utóbbi esetben az információ bárki számára hozzáférhetővé válik.
3.2. Adatkezelés
3.2.1. Az adatkezelés általános szabályai
3.2.1.1. Az adatkezelés feltétele
Az adatkezelés általános szabálya szerint (és ezt az összeállítás során még többször felvillantjuk) személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, illetőleg ha azt törvény, vagy törvény felhatalmazása alapján helyi önkormányzati rendelet előírja. Különleges adat kezeléséhez ezzel szemben az érintett írásbeli hozzájárulása, avagy az szükséges, hogy az adatkezelés nemzetközi egyezményen alapuljon, illetőleg hogy azt törvény írja elő az Alkotmányban biztosított alapvető jog érvényesülésére, továbbá nemzetbiztonsági, bűnmegelőzési vagy bűnüldözési érdekre hivatkozva. Ez a felsorolás nem kimerítő, ugyanis a vizsgált jogszabály a különleges adatok egyes csoportjainak kezelését egyéb esetekben is engedélyezi, mindenkor követelmény azonban, hogy az adatkezelés törvény rendelkezésén alapuljon.
3.2.1.2. Személyes adat nyilvánosságra hozatala közérdekből
További fontos szabály, hogy törvény közérdekből az adatok körének kifejezett megjelölésével elrendelheti a személyes adat nyilvánosságra hozatalát. A nyilvánosságra hozatalhoz minden egyéb esetben az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Ha a beleegyezést illetően kétség merül fel, azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
3.2.1.3. Eltérő szabályok közszereplőkre
Miként a személyhez fűződő jogok kapcsán, úgy itt is eltérő szabályok vonatkoznak a közszereplőkre. Ennek oka, hogy ezen a területen fokozott társadalmi ellenőrzés érvényesül, amelynek célja a számonkérhetőség biztosítása. Ebből eredően az érintett hozzájárulását megadottnak kell tekinteni azon adatok vonatkozásában, amelyeket közszereplése során ő maga közölt vagy adott át, feltéve hogy ez utóbbit nyilvánosságra hozatal céljából teszi.
3.2.1.4. A hozzájárulás vélelme
Hasonló megfontoláson alapszik az is, hogy vélelmezni kell az érintett hozzájárulását az adatkezeléshez minden olyan esetben, amikor az eljárás (például per) az érintett kérelmére indult, feltéve hogy a szóban forgó adat kezelése az eljárás lefolytatásához szükséges. Erre a tényre azonban fel kell hívni az érintett figyelmét.
3.2.1.5. Szerződés adatkezelésre
Ha az érintett és az adatkezelő között az adatkezelés tárgyában írásbeli szerződés jön létre, akkor az adatkezeléshez való hozzájárulás – feltéve hogy az a fentebb kifejtett ismérveknek mindenben megfelel – e szerződés keretében is megadható. A beleegyezés tehát mindaddig nem tekinthető érvényesnek, amíg pontosan és tételesen ki nem tér a kezelendő adatok körére, az adatkezelés időtartamára és a felhasználás céljára. Ha azonban az érintett oly módon adja meg hozzájárulását, hogy abból egyértelműen az adataival kapcsolatban alkalmazni kívánt eljárás teljes körű ismerete tűnik ki, mert például azt a szerződés kimerítően tartalmazza, akkor a beleegyezés érvényes. Ha az érintett személy cselekvőképtelen, avagy olyan fizikai állapotban van, hogy a reá vonatkozó információk felhasználását illetően nyilatkozatot tenni egyáltalán nem tud, adatai a törvény erejénél fogva szigorú védelmet élveznek, vagyis adatkezelés kizárólag olyan okból lehetséges, mint például katasztrófa- vagy szükséghelyzet elhárítása, megelőzése, illetőleg az érintett vagy más személy létfontosságú érdekének megóvása.
A személyes adatok védelméhez fűződő jog csaknem korlátlan érvényesülését jelenti az az összegzés, amellyel a jogalkotó az adatkezelésre vonatkozó szabályok ismertetését zárja. Eszerint a szóban forgó jogot és az érintett személyiségi jogait törvény eltérő rendelkezése hiányában az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát is, nem sérthetik.
3.2.2. Az adatkezelés célhoz kötöttsége
Fontos alapelv, amely, mint látni fogjuk, az összes jogág adatvédelmi vonatkozású szabálya kapcsán jelentőséggel bír. Lényege, hogy személyes adat kezelésére kizárólag meghatározott célból kerülhet sor, vagyis az adatkezelés hátterében nem állhat más, mint jog gyakorlásának vagy kötelezettség teljesítésének előmozdítása. Személyes adatot különösen olyan célból lehet kezelni, mint például az adatkezelő törvényi kötelezettségének teljesítése, hivatalos feladatának gyakorlása, az érintett létfontosságú érdekeinek védelme, az érintett és az adatkezelő között létrejött szerződés teljesítése, vagy társadalmi szervezetek jogszerű működése. A példálózó jellegű felsorolásból is kitűnik, hogy a törvény milyen esetekben szentesíti mások adatainak meghatározott szabályok szerinti kezelését. A célhoz kötöttségnek az adatkezelés minden szakaszában érvényesülnie kell, vagyis nem törvényes az adatkezelés, ha az valamilyen ürügyül szolgáló célra való hivatkozással történik. A törvény arra vonatkozóan is szigorú rendelkezéseket tartalmaz, hogy a személyes adatok kezelésére milyen mértékben és mennyi időn át van lehetőség. E tekintetben is meghatározó a célhoz kötöttség elve, vagyis kizárólag olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, továbbá amely erre alkalmas, és az is csupán annyi ideig, valamint olyan mértékben, amely a cél eléréséhez feltétlenül szükséges.
3.2.2.1. Adatkezelés elrendelése közérdekből
Olyan adatkezelést, amely kötelező adatszolgáltatáson alapszik, közérdekből lehet elrendelni. Az érintettel a rá vonatkozó adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező jellegű, és az adatkezeléssel kapcsolatos minden lényeges körülményre nézve, ideértve az igénybe vehető jogorvoslati lehetőségeket is, részletes, egyértelmű tájékoztatást kell számára nyújtani. Az érintettnek ugyanis alapvető, törvény által védett joga fűződik annak megismeréséhez, hogy személyes adatait kik és milyen célból kezelik, hiszen éppen ezen információk birtokában tud a törvény keretei között jogorvoslatért folyamodni. Az érintettel minden esetben közölni kell azt is, hogy kik lesznek jogosultak a reá vonatkozó és az adatkezelő által felvett, nyilvántartott adatok megismerésére. A tájékoztatás elmulasztása adott esetben bűncselekményt is megvalósíthat, miként azt alább, az adatvédelem büntetőjogi vonatkozásait taglaló fejezetben látni fogjuk.
3.2.2.2. Adatkezelés statisztikai, tudományos célból
Arra az esetre, ha az adatkezelés statisztikai vagy tudományos célokat szolgál, a törvény lehetővé teszi, hogy az adatkezelő ne egyénre szólóan, hanem az információk mindenki számára hozzáférhetővé tétele útján nyújtson tájékoztatást, mindez azonban nem eredményezheti az adatkezelésre vonatkozó lényeges tények elsikkadását. E könnyítés hátterében az áll, hogy ilyen kiterjedt adatkezelés esetén a személy szerinti tájékoztatás gyakorlatilag lehetetlen volna, de legalábbis aránytalan költséggel járna.
3.2.2.3. Adatkezelési monopóliumok
Léteznek úgynevezett adatkezelési monopóliumok, vagyis bizonyos típusú adatokat csak bizonyos szervek kezelhetnek. Például kizárólag állami vagy önkormányzati szerv kezelheti az állam bűnüldözési és bűnmegelőzési, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából nyilvántartott bűnügyi személyes adatokat, továbbá azokat az adatállományokat, amelyek a polgári peres és nemperes ügyekre vonatkozóan jöttek létre.
3.2.3. Az adatok minősége
Első hallásra nehezen értelmezhető fogalom, amely arra vonatkozik, hogy a kezelt személyes adatoknak milyen követelményeknek kell megfelelniük. A személyes adatokat törvényes és tisztességes módon kell felvenni és kezelni, vagyis nem elegendő az, hogy az eljárásnak minden mozzanatában meg kell felelnie a jogszabályi előírásoknak, hanem az is követelmény, hogy az adatkezelés olyan magasrendű normák figyelembevételével történjen, mint az általános emberi tisztesség. Ez gyakorlatilag a joggal való visszaélés és a rendeltetésellenes joggyakorlás tilalmát jelenti, aminek garanciális szerepe van az adatkezeléssel kapcsolatos jogok érvényesülése terén. A személyes adatokat tartalmazó nyilvántartásoknak és így maguknak a személyes adatoknak is pontosaknak, teljeseknek és szükség esetén időszerűeknek kell lenniük, amely utóbbi követelményből az adatbázisok állandó és folyamatos frissítésének, naprakészen tartásának adatkezelői, adatfeldolgozói kötelezettsége ered. Az adatok tárolásának azt a módját kell választani, amely garantálja, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani, korlátozás nélkül használható, általános és egységes személyazonosító jel használata pedig a törvény erejénél fogva tilos.
Az adatok fentiek szerint értelmezett minősége tehát fokmérője annak, hogy az adott nyilvántartás megfelel-e a vele szemben támasztott követelményeknek.
3.2.4. Adatfeldolgozás
3.2.4.1. Felelősség
Ezt a témakört a jogalkotó azzal nyitja meg, hogy leszögezi: az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel. Az adatfeldolgozó felelőssége ezzel szemben kizárólag saját tevékenységi körére nézve, illetőleg az adatkezelő által meghatározott keretek között áll fenn. Eszerint az adatfeldolgozó felel a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért.
3.2.4.2. Más adatfeldolgozó igénybevételének tilalma
A jogszabály egyértelműen és határozottan kizárja, hogy az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót vegyen igénybe, ez ugyanis ellentmondana annak az alapvető követelménynek, hogy az adatkezelés minden mozzanata követhető kell, hogy legyen.
3.2.4.3. Érdemi döntéshozatal tilalma
A jogalkotó az adatkezelő és az adatfeldolgozó hatáskörének elválasztása céljából rögzíti, hogy az adatfeldolgozó nem hozhat olyan érdemi döntést, amely az adatkezelést érintené, valamint az adatfeldolgozás során kizárólag az adatkezelő rendelkezéseit követheti. Ez utóbbi szabály kizárja például azt, hogy az adatfeldolgozó saját céljára hozzon létre adatbázist, avagy egyéb módon használja fel a tudomására jutott személyes adatokat. Az adatkezelő és az adatfeldolgozó egymás közötti jogviszonyát általában megbízási szerződés szabályozza, amely okirattal szemben jogszabályi követelmény az írásbeliség. Az adatfeldolgozásra kizárólag olyan vállalkozásnak adható megbízás, amely nem érdekelt a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben.
3.2.5. Adattovábbítás, az adatkezelések összekapcsolása
A személyes adatok továbbítására és a különböző adatkezelések összekapcsolására három törvényi feltétel együttes teljesülése esetén van lehetőség. Ezek az alábbiak:
– az érintett hozzájárulása vagy
– jogszabály adta lehetőség, illetőleg
– az adatkezelés feltételeinek teljesülése
minden egyes személyes adatra nézve.
3.2.5.1. Külföldi vonatkozások
A törvény részletesen szabályozza, hogy milyen esetekben továbbíthatók külföldre személyes adatok. Ebben a körben is kiemelendő az érintett hozzájárulása, valamint az, hogy az átvevő adatkezelőre nézve is teljesülniük kell azoknak a törvényi feltételeknek, amelyeket a hazai jogszabály előír. Az érintett személyes adatai tehát olyan országba nem továbbíthatóak, ahol nem valósul meg a személyes adatok megfelelő szintű védelme. Ennek megítélésére az Európai Közösségek Bizottsága jogosult, amely az egységes európai mérce alapján vizsgálja az egyes államok jogalkotását és jogalkalmazását. A személyes adatok megfelelő szintű védelmét nemzetközi vagy a hazánkkal kötött egyezmény is tanúsíthatja, feltéve hogy az abban foglaltak összhangban állnak az adatvédelmi törvény deklarálta elvekkel. Eseti jelleggel a külföldi országban működő adatkezelő vagy adatfeldolgozó igazolása is elfogadható, amennyiben az részletesen tartalmazza az adatokkal kapcsolatos eljárás helyben érvényes és ténylegesen alkalmazott szabályait. A törvény rögzíti, hogy az Európai Gazdasági Térség tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor.
3.2.6. Személyes adatok kezelése kutatási és üzletszerzési céllal
A kutatási célú személyes adatkezeléssel az adatvédelmi törvény is foglalkozik. Napjainkban azonban sokkal gyakrabban találkozunk a személyes adatok üzleti céllal történő felhasználásával.
Az üzleti célú adatfelhasználás talán legismertebb példái a csomagküldő szolgálatok által névreszólóan továbbított levelek, amelyek különböző termékek vásárlására ösztönzik az adott személyt, esetleg még értékes nyereményekkel is kecsegtetik. Jogosan merül fel ilyenkor a kérdés, hogy a cég hogyan jutott hozzá személyes adatainkhoz, és vajon törvényes-e az eljárás? Ugyanakkor az is vitathatatlan tény, hogy a marketing egyik leghatásosabb fajtája a direkt marketing, amelyhez nélkülözhetetlenek a személyes adatok. A piac- és közvélemény-kutató cégek szintén csak személyes adatok birtokában képesek végezni munkájukat. Ezen a területen az Európa Tanács 108-as ajánlásának és az adatvédelmi törvény szellemiségének megfelelően született meg 1995-ben a kutatás és közvetlen üzletszerzés céljára szolgáló név- és lakcímadatok kezeléséről szóló törvény.
3.2.6.1. Alapfogalmak
A jogszabály először is néhány alapfogalmat definiál, a következők szerint:
– a törvény tudományos tevékenységen azt a tevékenységet érti, amelynek célja a világ jelenségeiről, a jelenségek összefüggéseiről szerzett ismeretek gyarapítása, és amelynél a vizsgált társadalmi, gazdasági és természeti jelenségek objektív összefüggéseinek a feltárásához név- és lakcímadat vagy a személyekkel történő közvetlen kapcsolatfelvétel szükséges;
– közvélemény-kutatáson az egyének és a csoportok véleményének és ítéletalkotásuk összetevőinek feltárását érti;
– a piackutatás nem más, mint az egyének és a különböző csoportok fogyasztói szokásának vizsgálata;
– a törvény pontosan deklarálja a közvetlen üzletszerzés (direkt marketing) fogalmát is (Eszerint a direkt marketing azoknak a közvetlen megkeresés módszerével végzett tájékoztató tevékenységeknek és kiegészítő szolgáltatásoknak az összessége, amelyek célja az adattulajdonos részére termékek vagy szolgáltatások ajánlása, hirdetések továbbítása, a fogyasztók vagy kereskedelmi partnerek tájékoztatása, mindez pedig üzletkötés előmozdítása céljából.);
– a törvény azt is pontosan meghatározza, hogy mely adatok összessége számít közvetlen üzletszerzési listának (direktmarketing-lista) (Eszerint üzletszerzési lista nevek és lakcímek gyűjteménye, amely az érintettekkel vagy kereskedelmi partnerekkel való kapcsolatfelvételt és kapcsolattartást szolgálja a közvetlen üzletszerzés céljából. A lista a név- és lakcímadatokon kívül kizárólag az ügyfelek és támogatók érdeklődésére vonatkozó információt tartalmazhatja.);
– a személyes adatok birtokában lévő szervezeteknek vezetniük kell egy úgynevezett tilalmi listát, amely azoknak a név- és lakcímadatait tartalmazza, akik nem járultak hozzá, hogy személyes adataikat közvetlen üzletszerzési célok valamelyikére felhasználják, vagy megtiltották azok e célból történő további kezelését;
– a jogszabály rendelkezik az adatfeldolgozásról is, amit az adatkezelést érintő, érdemi döntést nem jelentő technikai feladatok elvégzéseként definiál, végül
– érdemes szót ejteni az anonimizálásról is, amely egy olyan technikai eljárás, ami biztosítja az egyén, illetőleg a csoport és az adat közötti kapcsolat helyreállítása lehetőségének végleges kizárását.
3.2.6.2. Adatátvételi források
Az általános definíciók után nézzük, honnan, milyen forrásból lehet adatokat átvenni?
A legkézenfekvőbb azon ügyfelek adatainak felhasználása, akik korábban már kapcsolatban álltak az adatgyűjtővel. Ehhez célszerű saját adatbázist kialakítani, például úgy, hogy minden ügyfélnek olyan számlát állít ki a cég, amely tartalmazza a név- és lakcímadatokat is. A második módszer az adatok megszerzésére a nyilvánosság számára készített adatállományokból történő információnyerés, például szaknévsor, telefonkönyv, névjegyzék stb. Ennek feltétele azonban, hogy az adatgyűjtéskor vagy az adategyeztetéskor az érintettet tájékoztassák az eredetitől eltérő célra történő adatfelhasználás lehetőségéről, illetőleg élhessen a letiltás jogával. Emellett elterjedt módszer olyan szerv adatállományának az átvétele, amely az adott céghez hasonló tevékenységet végez. Erre akkor van lehetőség, ha ehhez az adattulajdonos hozzájárult, vagy ha azt kifejezetten nem tiltotta meg. Újabb forrást jelent a központi személyi adat- és lakcímnyilvántartás állománya, melyet igen sok cég használ direkt marketingjéhez. Azonban ennek is feltétele, hogy az állampolgár azt előzetesen kifejezetten ne tiltsa meg.
Egy 2003-as bírósági határozat szerint nem sért jogszabályt, ha egy közvélemény-kutató szerv a név- és lakcímadatokat az adatkezelő szervtől az érintettek hozzájárulása nélkül szerzi meg, mivel az indoklás szerint erre lehetőséget ad a kutatás és közvetlen üzletszerzés céljára szolgáló név- és lakcímadatok kezeléséről szóló törvény. Ebben az esetben ugyanis az a kulcsmozzanat, hogy az adatokat egy társadalmilag fontos cél megvalósulása érdekében szerezték. A törvény ilyen társadalmilag fontos célnak tekinti többek között a közvélemény-kutatási tevékenységet is.
(Az állampolgárok név- és lakcímadatai a központi adatbázisból a következők szerint igényelhetők. A tudományos kutatómunkához a kapcsolatfelvétel céljából kérhetőek ezek az adatok, emellett igényelhetők üzletszerzési lista összeállításához is, a más jogszabályokban rögzített feltételek teljesülése esetén. Fontos tudni, hogy a személyi adat- és lakcímnyilvántartótól igényelt adatokat maximum hat hónapon belül kell felhasználni, illetőleg tovább kell adni.)
3.2.7. Adatvédelem és adatbiztonság
3.2.7.1. Adattulajdonos jogának biztosítása személyes adatai védelméhez
A törvény értelmében a tudományos kutatás, a közvélemény-kutatás és piackutatás, valamint a közvetlen üzletszerzés céljára történő adatkezelés során is biztosítani kell az adattulajdonos jogát személyes adatainak védelméhez. Különösen ügyelni kell arra, hogy a kapcsolatfelvétellel egyidejűleg a megkeresőnek írásban kell tájékoztatnia az érintettet az adatok forrásáról, az adatfelhasználás céljáról és módjáról, valamint az adatfelhasználás időtartamáról. Emellett a törvény arról is rendelkezik, hogy az érintettet arról is tájékoztatni kell, hogy az adatkezelés során a megkereső igénybe vett-e közreműködőt, valamint amennyiben a későbbiekben az érintett adatait a megkereső tovább kívánja adni, akkor ezt a szándékot is közölni kell az adattulajdonossal az adatkezelésre jogosult szerv vagy személy megjelölésével. Fel kell hívni az érintett figyelmét arra is, hogy az adatszolgáltatás önkéntes, és jogában áll kérnie, hogy adatait a megjelölt célra ne használják fel, illetőleg arra is lehetősége van, hogy csupán a megadott célok egyikére nézve járuljon hozzá a felhasználáshoz.
A megkereső kötelezettsége tiszteletben tartani az érintett azon jogát, hogy a további együttműködést bármikor indokolás nélkül megtagadhassa. Erről őt szintén írásban kell tájékoztatni.
3.2.7.2. Adatkezelés kötelező megszüntetése
Abban az esetben, ha az érintett azt kifejezetten kéri, kötelező megszüntetni a név- és lakcímadatainak a törvényben meghatározott tevékenységek céljából történő kezelését. A törvényben rögzített kivételeken túl, az összes más esetben csak az érintett írásbeli hozzájárulásával továbbíthatók a név- és lakcímadatok harmadik személy vagy szerv részére – az adategyeztetés kivételével – adatfeldolgozási vagy egyéb célokból.
3.2.7.3. Kötelező nyilvántartás
Nyilvántartást kell vezetni mind az adatot átadónak, mind pedig az adatot átvevőnek azokról az adatokról, amelyeket az átadás érint. Ennek célja, hogy az adatforgalom ellenőrizhető, illetőleg jól nyomon követhető legyen, ezért a nyilvántartásoknak tartalmazniuk kell az adatforgalomban érintett adatok mellett az átadók és az átvevők adatait is. A nyilvántartást az adatátvétel, illetve az adatátadás évét követő ötödik év végéig kell megőrizni. A megbízás alapján történő adatfeldolgozás esetén a törvény szerint a megbízó minősül felelős adatkezelőnek.
3.2.7.4. Az adatkezelés megszüntetése
A személyes adatoknak az adott célból történő kezelését akkor kell megszüntetni, ha az a cél, amelyre az adatokat kérték, megvalósult. Ez alól kivételt képez, ha az érintett az új cél megjelölésével az adatok további kezeléséhez írásban hozzájárult. Meg kell szüntetni továbbá az adatkezelést abban az esetben is, ha az érintett nyilatkozott arról, hogy a megkereső szervezettel nem kíván együttműködni (tilalmi lista). Adatkezelés megszüntetésén a megsemmisítést vagy az anonimizálást, közvetlen üzletszerzés esetén pedig az üzletszerzési listáról való törlést, és ezzel egyidejűleg a tilalmi listára történő felvételt kell érteni.
Nem terheli jogi felelősség az adattulajdonost akkor sem, ha az adatkezelés megszüntetését már egy folyamatban lévő adatkezelés kapcsán kérelmezi.
3.2.7.5. Technikai, szervezési intézkedések az adatbiztonság érdekében
A tudományos kutatónak, a közvélemény-kutató, a piackutató és a közvetlen üzletszerző szervnek az adatok biztonságáról megfelelő technikai és szervezési intézkedésekkel kell gondoskodnia. Ennek során – a tudományos kutató kivételével – belső adatvédelmi és adatbiztonsági szabályzatot kell készíteni, melynek kialakításához a szakmai képviseleti szervezetek önszabályozó tevékenységgel nyújtanak segítséget. Ezekről az intézkedésekről és azok kötelező betartásáról az adatkezelőket és az adatok kezelésében részt vevő személyeket (alkalmazott, megbízott) is tájékoztatni kell.
Az adatkezelő a törvény hatálya alá tartozó adatkezelést – kivéve ha az tudományos kutatás célját szolgálja, és nem hozzák nyilvánosságra – a tevékenység megkezdése előtt az adatvédelmi törvény rendelkezései szerint köteles az adatvédelmi biztosnak bejelenteni.
3.2.8. Tudományos kutatási célú adatkezelés
3.2.8.1. Kutatási adatkezelési terv
A tudományos kutatónak a kutatási tevékenység megkezdése előtt kutatási adatkezelési tervet kell készítenie. A tervet módosítani kell, ha az adatkezelés célja a kutatás folyamata alatt megváltozik. A kutatási adatkezelési tervnek a kutatási jogosultságot, a kutatás pontos célját, a kezelendő személyes adatok körét és azok forrásait, az adatkezelés komplex folyamatát, az érintett jogainak érvényesítését biztosító intézkedéseket, valamint az adatvédelmet biztosító technikai és szervezési intézkedéseket kell tartalmaznia. A kutatási adatkezelési tervet az adatkezelés jogszerűségének bizonyíthatósága és az ellenőrzés lehetőségének biztosítása céljából az adatkezelés megszüntetéséig kell megőrizni.
3.2.8.2. Jogosultságok, kötelezettségek
Az intézeti tudományos kutatási tevékenység esetén a tudományos kutató jogai és kötelezettségei a kutatási tevékenységet végző intézetet illetik meg, illetőleg terhelik.
3.2.9. Adatátvétel és adattovábbítás
3.2.9.1. Felhasználás hozzájárulás birtokában
A tudományos kutatás céljából átvett adatok újabb információk beszerzése érdekében történő felhasználásához az örökösök hozzájárulása szükséges, ha az érintett személy az adatok felvételét vagy átvételét megelőző harminc éven belül elhalt. Amennyiben az örökös személye nem állapítható meg, vagy hozzájárulásának beszerzése aránytalan nehézséget jelentene, úgy a hozzájárulást az elhunyt személy hozzátartozója is megadhatja.
3.2.9.2. Adatátvétel, tudományos kutatás
A tudományos kutatásban érintett személlyel történő kapcsolatfelvételhez szükséges adatok a törvény által a fentiekben már ismertetett módon vehetők át. A kapcsolatfelvételt követően az érintett név- és lakcímadata csak a vele való folyamatos kapcsolattartáshoz használható fel, a kutatás befejezésekor pedig az adatok kezelését meg kell szüntetni. A kutatás-fejlesztés területén azonban adódhat olyan eset is, amikor a tájékoztatási kötelezettség teljesítése a kutatási cél megvalósulását veszélyeztetné. Ez esetben az adatgyűjtés befejezését követően kell az érintett személyt adatainak felhasználásáról és jogairól teljeskörűen tájékoztatni.
A már ismertetett tájékoztatási kötelezettségtől, illetőleg a hozzájárulás beszerzésétől csak abban az esetben szabad eltekinteni, ha a kutatás célja szociális, népegészségügyi, közoktatási vagy környezetvédelmi érdekekkel van összefüggésben, és a tájékoztatás vagy hozzájárulás beszerzése az érintettek nagy száma miatt aránytalanul sok időt, költséget és emberi munkát igényelne. A tájékoztatás, illetőleg a hozzájárulás beszerzése mellőzésének jogszerűségéért az adatigénylő felelős.
3.2.9.3. Külföldi vonatkozások
A külföldi illetőségű tudományos kutató személy, aki ebben a törvényben rögzített adatkezelést kíván végezni, illetőleg ha a belföldi tudományos kutató a tevékenységét külföldi megbízás alapján végzi, annak tényéről az érintettet köteles írásban tájékoztatni. Külföldre csak anonimizált adat továbbítható, kivéve ha az érintett az adatai átadásához írásban hozzájárult.
3.2.10. Közvélemény-kutatási és piackutatási célú adatkezelés
3.2.10.1. Kutatási terv
A közvélemény-kutatási, illetőleg a piackutatási tevékenység megkezdése előtt a közvélemény-kutató, illetőleg piackutató szervnek az adatkezelés folyamatának nyomon követése érdekében kutatási adatkezelési tervet kell készítenie, amelynek ugyanazokat az információkat kell tartalmaznia, mint a kutatási adatkezelési tervnek.
3.2.10.2. Korlátozások
A közvélemény-kutatás megkezdéséhez a név- és lakcímadatok csak a törvényben meghatározott forrásból vehetők át. A közvélemény-kutató szerv a birtokában lévő név- és lakcímadatokat a kapcsolatfelvételen kívül egyéb célra csak az érintett írásbeli hozzájárulásával használhatja fel. Amennyiben a közvélemény-kutató szerv és a megkeresett között létrejön a kapcsolat, a név- és lakcímadatokat a közvélemény-kutatás egyéb adataitól le kell választani, onnantól elkülönítetten kell tárolni, és biztosítani kell, hogy a közvélemény-kutatással érintett személye ne legyen semmilyen módon azonosítható (anonimizálás). A név- és lakcímadatok ismételt kapcsolatfelvételre csak akkor használhatók fel, ha az érintett a folyamatos kapcsolattartáshoz vagy az ismételt kapcsolatfelvételhez előzőleg írásban hozzájárult. Az érintett név- és lakcímadatait, valamint egyéb személyes adatait és az általa nyújtott információkat csak akkor lehet együttesen feldolgozni, illetőleg tárolni, ha az érintett ehhez írásban kifejezetten hozzájárult. Az elkülönítetten tárolt név- és lakcímadatok feldolgozására olyan technikai módszert kell alkalmazni, amely lehetetlenné teszi a megkérdezett válaszainak a személyes adatokkal történő összekapcsolását. A közvélemény-kutatás során adott válaszok feldolgozásának minden szakaszában biztosítani kell az anonimitást, valamint a véleményadás önkéntességét. A közvélemény-kutatás eredményeként levont és összesített következtetésben nem szerepelhet az érintett azonosítására alkalmas semminemű adat. A közvélemény-kutatás során tilos az érintett személyes adatai, illetőleg véleménye alapján olyan intézkedést tenni, döntést hozni, vagy következtetést levonni, amely a személyére vonatkozik.
3.2.10.3. Tájékoztatási kötelezettség, adatátadás külföldre
A közvélemény-kutató az érintettek személyiségi jogairól, a személyes adatok védelméről és az adatvédelmi követelmények megszegésének jogkövetkezményeiről köteles a megbízásából eljáró személyeket megfelelően tájékoztatni. A személyes adatok védelméért a közvélemény-kutató a felelős. Az adatok külföldre történő átadásáról szintén rendelkezik a törvény. Eszerint külföldre csak olyan feldolgozott információ továbbítható, amelyből az érintett személyére nem lehet következtetni, kivéve ha az érintett az adatai átadásához előzőleg írásban hozzájárult. Fontos tudni, hogy a piackutatás céljára gyűjtött adatok semmiféleképpen nem adhatók át közvetlen üzletszerzés céljára.
3.2.11. A közvetlen üzletszerzési célú adatkezelés
3.2.11.1. Tilalmak
A közvetlen üzletszerző személy vagy szerv a jogszerű tevékenységének végzéséhez szükséges listák összeállításához a név- és lakcímadatokat csak a már ismertetett forrásból veheti át, és csak a törvényben előírt feltételek mellett gyűjtheti. A jogszabály rendelkezései szerint üzletfélnek vagy támogatónak az tekinthető, aki akaratlagos cselekedetével – a termékekre vagy szolgáltatásokra vonatkozóan információkat kérve, vagy nyilvános hirdetésre válaszolva – a maga részéről is kapcsolatokat kezdeményezett, és ennek során név- és lakcímadatait az adatkezelő közvetlen üzletszerző szervnek átadta. Az üzletszerzési listán szereplő név- és lakcímadatok harmadik személy részére közvetlen üzletszerzés céljára, illetőleg egyéb célból történő továbbadása abban az esetben lehetséges, ha ehhez az érintettek a harmadik szerv nevének és tevékenységének ismeretében írásban hozzájárultak. Adatátadás esetén az üzletszerzési lista felhasználásának feltételeit az adatátadó és az adatátvevő külön szerződésben határozza meg. A közvetlen üzletszerzési lista nem kapcsolható össze piackutatás céljára gyűjtött adatállománnyal.
3.2.11.2. Külföldi vonatkozások
Külföldi illetékességű közvetlen üzletszerző szervezet, amennyiben a törvényben meghatározott adatkezelést kíván végezni, illetőleg, ha a belföldi közvetlen üzletszerző szerv a tevékenységét külföldi megbízás alapján végzi, erről a tényről az érintettet köteles írásban tájékoztatni. Név- és lakcímadat külföldre csak adatfeldolgozás céljára továbbítható, ha az adat átadásához az érintett írásban hozzájárult, és csak akkor, ha az adatvédelmi követelmények az adatátvevőnél is biztosítottak. A külföldre történő adatátadást az adatvédelmi biztosnak előzetesen be kell jelenteni.
3.2.11.3. Az adattulajdonos rendelkezési joga
Minden adattulajdonosnak, akinek adatai érintve vannak a törvény által meghatározott adatkezelésben, lehetősége van megtagadni vagy megtiltani a név- és lakcímadatainak az üzletszerzési listára való felvételét, közvetlen üzletszerzési, vagy meghatározott konkrét célra történő felhasználását, illetőleg azok harmadik személy részére történő átadását. Kérheti továbbá személyes adatainak az adatkezelő birtokában lévő valamennyi vagy meghatározott célú üzletszerzési listán történő kezelésének megszüntetését, beleértve a harmadik személy részére átadott adatokat is. Az adatkezelő köteles írásban tájékoztatni az adattulajdonost kérésének teljesítéséről. Az érintett kérésére az adatkezelő köteles az általa kezelt adatokról írásban tájékoztatást adni, illetőleg azokat kijavítani.
3.2.11.4. Nyilvánosság
A törvényben meghatározott adatkezelést végző közvetlen üzletszerző szervek kötelesek azonosító adataikat (név/cégnév, lakcím/telephely) egyértelműen mindazon személyek tudomására hozni, akiknek név- és lakcímadatai az üzletszerzési listán szerepelnek, illetőleg akiket arra fel kívánnak venni.
3.2.11.5. Tilalmi lista
A közvetlen üzletszerző szervnek nyilvántartást (tilalmi listát) kell vezetni azoknak az érintetteknek a név- és lakcímadatairól, akik megtagadták az együttműködést, illetőleg kérték adataik kezelésének az adott célból történő megszüntetését. A tilalmi listára fel kell venni azokat is, akik az adatok átvétele után a személyi adat- és lakcímnyilvántartás szervénél éltek az adatletiltás lehetőségével.
A tilalmi lista célja annak biztosítása, hogy a rajta szereplő érintettek adatai ismételten ne kerüljenek átvételre, harmadik személynek átadásra, illetőleg ne kerülhessenek fel újabb listára. A tilalmi listán szereplő érintettek részére küldemény nem küldhető, kivéve ha a tilalom csak egyedileg meghatározott célra vonatkozik.
A tilalmi lista nyilvántartásának vezetésére a közvetlen üzletszerző szervek együttesen is megbízhatnak egy harmadik szervet. A tilalmi listán szereplő adatokat az adatkezelő csak a törvényben meghatározottak teljesítésének biztosításához szükséges mértékig használhatja fel, más adatállománnyal nem kapcsolhatja össze, nem adhatja át, más célra nem használhatja fel, és köteles biztosítani az érintettek jogainak gyakorlását.
3.2.12. Automatizált egyedi döntés
A technika fejlődésével párhuzamosan megjelent fogalom, amelynek lényege, hogy az érintett személyes jellemzőinek értékelésére kizárólag számítástechnikai eszközzel végrehajtott automatizált adatfeldolgozás útján akkor kerülhet sor, ha az érintett ahhoz kifejezetten hozzájárult, vagy azt törvény lehetővé teszi. Az érintettnek lehetőséget kell adni arra, hogy kifejtse álláspontját, valamint kérésére tájékoztatni kell őt az automatizált adatfeldolgozás során alkalmazott matematikai módszerről és annak lényegéről.
3.2.13. Adatbiztonság
Alapvető követelmény az adatkezelés során. Lényege, hogy az adatkezelő és az adatfeldolgozó mindvégig köteles gondoskodni az adatok biztonságáról, vagyis leginkább arról, hogy azokhoz jogosulatlanul hozzáférni ne lehessen. Az eljáró szervek kötelesek minden olyan óvintézkedést folyamatosan, szükség esetén pedig haladéktalanul megtenni, amely révén biztosítható, hogy az érintett jogai ne sérüljenek. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek és az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. Az adatbiztonság megteremtésének törvényi kötelezettsége tehát tételesen fel nem sorolható feladatokat ró az adatokkal kapcsolatban eljáró szervekre és személyekre, az azonban már a fentiekből is érzékelhető, hogy e kötelezettségek teljesítésének vizsgálata során az érintett érdekeinek elsődlegessége alapján kell eljárni.
3.2.14. Az érintettek jogai
Az érintettnek az adatkezeléssel kapcsolatban két alapvető joga van. Az egyik, hogy tájékoztatást kérhet személyes adatainak kezeléséről, a másik pedig, hogy kérheti személyes adatainak helyesbítését, amennyiben azok a nyilvántartásban tévesen szerepelnek.
3.2.14.1. Korlátlan betekintési jog, tájékoztatás
Garanciális, az érintett jogérvényesítését segítő szabály, az adatvédelmi nyilvántartásba bárki betekinthet, az abban foglaltakról feljegyzést készíthet, és díj ellenében kivonatot kérhet. Az adatvédelmi nyilvántartás az egyes adatkezelők bejelentései alapján tartalmazza többek között az adatkezelés célját, jogalapját, a kezelt adatok fajtáját és forrását, valamint az érintettek körét, vagyis ez az a nyilvántartás, amelyből az érintett arról tájékozódhat, hogy személyes adatait kik és milyen célból, illetőleg mennyi ideig tartják nyilván. Mindez tájékoztatási kötelezettséget jelent adatkezelői oldalon, vagyis az adatkezelőnek az érintett kérelmére számot kell adnia arról, hogy ő maga, illetőleg az általa megbízott adatfeldolgozó miként jár el a nyilvántartásba vett adatokkal kapcsolatban. A tájékoztatásnak ki kell terjednie arra is, hogy az érintett adataihoz kik és milyen jogcímen férhetnek hozzá, vagyis az adattovábbítás egész folyamata megismerhető az érintett számára. A visszaélések kiszűrése érdekében a jogszabály azt is rögzíti, hogy az adatkezelő a tájékoztatást a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban harminc napon belül írásban, közérthető formában köteles megadni. E jogának gyakorlásáért az érintettet fizetési kötelezettség nem terheli, feltéve hogy a tárgyi évben azonos területre vonatkozó tájékoztatási kérelmet ugyanazon adatkezelőhöz még nem nyújtott be. A jogszabály egyéb esetekre nézve lehetővé teszi költségtérítés megállapítását, az e címen megfizetett összeget azonban vissza kell téríteni, ha utóbb bebizonyosodik, hogy az adatkezelő jogellenesen járt el, illetőleg ha a tájékoztatás kérése helyesbítéshez vezetett.
3.2.14.2. A kérelem megtagadhatóságának esetei
Az adatkezelő a kérelem teljesítését kizárólag olyan esetekben tagadhatja meg, amikor igazolható, hogy a tájékoztatás megadása az állam külső és belső biztonságát veszélyeztetné, avagy a törvény által előtérbe helyezett és fokozottan védett érdeket sértene. Az érintett azonban ilyen esetben is igényt tarthat arra, hogy a tájékoztatás megtagadásának indokait megismerje, sőt, a jogalkotó ennél jóval szigorúbban fogalmaz, amikor kötelezettségként rögzíti, hogy a megtagadó határozatot is indokolni kell. E vonatkozásban egyfajta felsőbb kontroll érvényesül, ugyanis az adatvédelmi biztost évente értesíteni kell az elutasított kérelmekről.
3.2.14.3. A személyes adatok helyesbítésének kötelezettsége
A személyes adatot haladéktalanul helyesbíteni kell, ha az a valóságnak nem felel meg. A személyes adat törlésére akkor kerül sor, ha kezelése jogellenes, illetőleg ha a törlést az érintett olyan okból kéri, amelyhez a törvény ilyen jogkövetkezményt fűz. Ha az adat a nyilvántartásban hiányosan vagy tévesen szerepel, és a jogszerű állapot egyéb eszközzel nem állítható helyre, ugyancsak törlésre kerül sor. Hasonlóan kell az adatkezelőnek eljárnia akkor is, ha az adatkezelés célja megszűnt, vagy az adat tárolásának törvényben meghatározott határideje lejárt. A személyes adat törlését bíróság vagy az adatvédelmi biztos is elrendelheti. Sajátos ellentmondást igyekszik feloldani a jogalkotó, amikor kimondja, hogy a törlési kötelezettség, hacsak nem jogellenes adatkezelés áll a hátterében, nem vonatkozik az olyan személyes adatokra, amelyek adathordozóját a vonatkozó jogszabály értelmében levéltári őrizetbe kell adni.
3.2.14.4. Értesítési kötelezettség
Az érintett jogai körébe tartozó további garanciális szabály, hogy minden egyes aktusról, amely a kezelt adatot érinti, értesíteni kell az érintettet, továbbá mindazokat, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés kizárólag akkor mellőzhető, ha annak elmaradása az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
3.2.15. Az érintett tiltakozási joga
A törvény az adatkezelés törvényességének biztosítása érdekében az érintettnek úgynevezett tiltakozási jogot biztosít az adatkezelés ellen. E jogával az érintett akkor élhet, ha a személyes adatok kezelése kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, feltéve hogy az adatkezelést nem törvény rendelte el. Megilleti az érintettet a tiltakozás joga akkor is, ha a személyes adat felhasználásának vagy továbbításának célja közvetlenül üzletszerzés, közvélemény-kutatás, avagy tudományos kutatás.
Amennyiben az érintett az adatkezeléssel szemben tiltakozást jelent be, az adatkezelő haladéktalanul, de legfeljebb tizenöt napon belül köteles vizsgálatot lefolytatni, és annak eredményéről a kérelmezőnek írásbeli tájékoztatást nyújtani. Ha a tiltakozás indokoltnak bizonyul, az adatkezelő haladéktalanul köteles az adatkezeléssel felhagyni, és az adatokat zárolni, valamint mindazon további intézkedéseket megtenni, amelyek a tiltakozás nyomán szükségessé váltak. Az adatkezelőnek erről az eljárásáról tájékoztatnia kell az érintettet, az érintett tiltakozásáról pedig azt, akinek részére a tiltakozással érintett személyes adatot továbbította, és akiknek a tiltakozás nyomán ugyancsak kötelezettségeik keletkeztek. Ha az érintett az adatkezelő döntésével, ideértve azt is, hogy az adatkezelő a tiltakozást alaptalannak ítéli, nem ért egyet, harminc napon belül jogában áll bírósághoz fordulni.
Sajátos jogviszony keletkezik akkor, ha az, akinek részére az adatokat továbbítani kellett volna, az érintett tiltakozása miatt nem jut hozzá az adatokhoz. Ilyenkor ez a szerv bírósághoz fordulhat az adatkezelő ellen, aki azonban perbe hívhatja a tiltakozó érintettet. Ebben az eljárásban tehát a bíróság előkérdésként fogja eldönteni azt, hogy az érintett tiltakozása indokolt-e, és ennek függvényében határoz a jogviszony másik két szereplőjére nézve is. Ha a bíróság olyan határozatot hoz, amelynek értelmében az adatátvevő kérelme megalapozatlan, akkor ez kihat az adatkezelőre is, aki három napon belül köteles az érintett személyes adatát törölni. Eltérő a helyzet akkor, ha az adatkezelést törvény rendelte el. Ilyen esetben az adatkezelő az érintett adatát nem törölheti, az azonban nem továbbítható az olyan adatátvevő részére, aki egyetértett a tiltakozással, illetőleg az adat egyáltalán nem továbbítható, ha a bíróság a tiltakozás jogosságát megállapította.
3.2.16. A bírósághoz fordulás joga
Az adatvédelmi jogszabályok érvényesülésének garanciájaként a jogszabály külön szerkezeti egységet szentel az érintett bírósági jogérvényesítésének. Főszabály szerint az, akinek személyes adatát az adatkezelő kezeli, jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ilyen típusú pereket soron kívül köteles lebonyolítani. Az eljárás során az adatkezelőnek kell bizonyítania, hogy az általa végzett adatkezelés a jogszabálynak megfelel.
Az eljáró bíróság illetékességét főszabály szerint az adatkezelő székhelye határozza meg, hiszen a pernek az adatkezelő az alperese, az érintett azonban úgy is dönthet, hogy az eljárást a saját lakóhelye szerint illetékes bíróság előtt indítja meg. Tekintettel a perben érvényesíteni kívánt jog jellegére, az ilyen eljárásokban az is félként vehet részt, akinek egyébként perbeli jogképessége nincsen.
Ha a bíróság a felperes kérelmét megalapozottnak ítéli, az adatkezelőt az elmulasztott tájékoztatás megadására, az adat helyesbítésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére kötelezheti. Ha az adott perben elbírált jogviszony az abból levonható tanulságok miatt a nyilvánosság érdeklődésére tarthat számot, a bíróság elrendelheti ítéletének nyilvánosságra hozatalát, ehhez azonban az szükséges, hogy az adatvédelem érdekei minden kétséget kizáróan ezt követeljék meg.
3.2.17. Kártérítés
Az adatkezelő köteles megtéríteni mindazt a kárt, amelyet azáltal okozott, hogy az érintett adatait jogellenesen kezelte, avagy hogy a technikai adatvédelem követelményeit megszegte.
Az adatkezelő felel azért a kárért is, amelyet az adatfeldolgozó okozott az érintettnek. Az e címen kifizetett kártérítés összegének megtérítését azonban az adatkezelő a polgári jog szabályai szerint követelheti az adatfeldolgozótól.
3.2.17.1. Mentesülés
Az adatkezelő kizárólag akkor mentesül szigorú kártérítési felelőssége alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok (vis maior) idézte elő, és nem kell megtérítenie a kárt annyiban, amennyiben azt a károsult szándékos vagy súlyosan gondatlan magatartása okozta.
3.2.18. A közérdekű adatok nyilvánossága
3.2.18.1. Közzététel
A jogalkotó ennek a témakörnek külön fejezetet szentel. A közérdekű adat fogalmát fentebb már definiáltuk, ezért itt csupán azt jegyezzük meg, hogy egyes adatok közérdekűségének hátterében olyan szempontok állnak, mint a közvélemény gyors és hiteles tájékoztatása az államigazgatási szervek működéséről és egyéb hasonló jelentőségű kérdésekről. Az e kötelezettséggel érintett szervek rendszeresen közzéteszik, illetőleg egyéb módon hozzáférhetővé teszik azokat az adatokat, amelyek megismeréséhez a közvéleménynek alapvető érdeke fűződik. A közzététel történhet elektronikusan is, és tartalmaznia kell azokat az adatokat, amelyek az adott szerv működésére, hatáskörére, illetékességére, tevékenységére, illetőleg annak eredményességére vonatkoznak. A jogszabály előírja, hogy a közvéleménnyel az ilyen szervek által folytatott adatkezelés jogcímét, módját, valamint azt is közölni kell, hogy az adatkezelés milyen adatfajtákra terjed ki.
Az említett szerveknek tehát lehetővé kell tenniük, hogy a kezelésükben lévő közérdekű adatot bárki megismerhesse. Ez alól kivétel, ha az adatot törvény alapján az arra jogosult szerv állam- vagy szolgálati titokká nyilvánította, illetve ha az nemzetközi szerződésből eredő kötelezettség alapján minősített adatnak számít. Ugyancsak nem áll fenn közzétételi kötelezettség, ha a közérdekű adatok nyilvánosságához való jogot az adatfajták meghatározásával törvény olyan érdekből korlátozza, amely a közvélemény tájékoztatáshoz való jogával szemben elsőbbséget élvez (honvédelem, nemzetbiztonság, bűnüldözés, bűnmegelőzés).
3.2.18.2. Közérdekből nyilvános adatok
Főszabály szerint közérdekből nyilvános adatnak minősül annak a feladatkörével összefüggő személyes adata, aki a fentebb említett szervek részéről jár el. Hasonló megítélés alá esik a közfeladatot ellátó személynek a feladatkörével összefüggő személyes adata is. A közérdekből nyilvános adatok érintett általi megismerésére a törvény azokat a szabályokat rendeli alkalmazni, amelyek a közérdekű adatokra vonatkoznak, vagyis a megismerés joga az adatkezelőre szigorú kötelezettségeket ró. Közérdekből nyilvános adatnak számítanak továbbá azok a személyes adatnak nem minősülő információk is, amelyek kötelezően igénybe veendő vagy más módon ki nem elégíthető szolgáltatást nyújtó szervek kezelésében állnak, feltéve hogy a szóban forgó adatok e tevékenységgel kapcsolatosak. Mindez annak garanciájaként értékelhető, hogy ezek a privilegizált helyzetben lévő szervek semmilyen módon ne tudjanak visszaélni pozíciójukkal.
3.2.18.3. Joggyakorlás - közérdekű adatok megismerése
A közérdekű adatok megismeréséhez fűződő jog úgy gyakorolható, hogy az iránt szóban, írásban vagy elektronikus úton bárki igényt nyújthat be. A kérelemnek az adatot kezelő szerv köteles haladéktalanul, de legkésőbb tizenöt napon belül eleget tenni. A közérdekű adat megismerésének joga magában foglalja azt is, hogy az ilyen előterjesztő személy jogosult az adatokat tartalmazó dokumentumról vagy dokumentumrészről másolatot kérni. Költségtérítés kizárólag a ténylegesen felmerült és indokolt költségeknek megfelelően állapítható meg, vagyis a jog gyakorlása semmiféle anyagi feltételtől nem tehető függővé. A közérdekű adat megismerése iránti kérelem nem utasítható el arra hivatkozással sem, hogy ezáltal a kérelmező olyan adathoz is hozzáférne, amelynek megismerésére nem jogosult. Ilyenkor az adatkezelőnek gondoskodnia kell a titkos és másra nem tartozó adat felismerhetetlenné tételéről. Az adatigénylésnek közérthető formában és az igénylő által kívánt technikai eszköz útján kell eleget tenni, feltéve hogy az nem mond ellent az ésszerűség követelményének, és nem jár aránytalan költséggel. Ha az adatkezelő az adatigénylést nem látja teljesíthetőnek, erről és az elutasítás indokairól a kérelmezőt nyolc napon belül értesítenie kell. Az állami vagy helyi önkormányzati feladatot vagy egyéb közfeladatot ellátó szerveknek a törvény értelmében olyan szabályzatot kell készíteniük, amelyből kitűnik, hogy e szervek miként teljesítik a közérdekű adatok megismerésével kapcsolatos igényeket. A közérdekű adatok kezelőit az adatvédelmi biztos irányában az elutasítások és azok indokai tekintetében értesítési kötelezettség terheli.
3.2.18.4. Jogorvoslat
Az a kérelmező, akinek igényét az adatkezelő elutasította, a fentiekben már ismertetetthez hasonló eljárási rend szerint bírósághoz fordulhat. A bíróság eljárására és a perbeli bizonyítási teherre a már vázolt szabályok vonatkoznak. Eszerint a per alperese az a szerv, amely az adatközlést megtagadta, félként pedig az is részt vehet az eljárásban, akinek egyébként perbeli jogképessége nincsen. Ha a pert a kérelmező olyan szerv ellen indítja meg, amelynek hatásköre az egész országra kiterjed, a megyei, illetőleg fővárosi bíróság kizárólagos illetékessége áll fenn. A helyi bíróság hatáskörébe tartozó ügyekben a megyei bíróság székhelyén lévő helyi bíróság, Budapesten a Pesti Központi Kerületi Bíróság jár el. A bíróság illetékességét az adatközlést nem teljesítő szerv székhelye vagy működésének helye alapozza meg. Ha a bíróság soron kívüli eljárása során úgy találja, hogy a kérelmező igénye jogos, határozatában az adatkezelőt az igényelt tájékoztatás megadására kötelezi.
3.2.18.5. Tilalmak, korlátok
A közérdekű adatok nyilvánossága szempontjából adatkezelőnek számító szervek a közérdekű adatok megismerését személyazonosító adatok közléséhez nem köthetik, illetőleg e célból személyes adat csak annyiban és kizárólag addig kezelhető, amennyiben és ameddig az technikailag elengedhetetlenül szükséges. Az adott szerv feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezéstől számított tíz éven át nem nyilvános. Az ilyen adatok megismeréséhez a kezelő szerv vezetőjének engedélye szükséges.
3.2.18.6. Közzétételi kötelezettség elektronikus formában
A törvény rendelkezései szerint az állami, önkormányzati vagy jogszabályban meghatározott egyéb közfeladatot ellátó szervek rendszeresen kötelesek elektronikusan vagy más módon közzétenni a tevékenységükkel kapcsolatos adatokat. A törvényi rendelkezés értelmében a tájékoztatás módját és a vonatkozó adatok körét jogszabály állapítja meg.
Az elektronikus információszabadság törvényi szabályozásának célja, hogy definiálja a közzétételi kötelezettségek tartalmi elemeit.
A közzétételre az elektronikus módon kívül számos lehetőség van: a szerv általa szerkesztett időszaki kiadványok, közkönyvtárak részére átadott kötetek, beszámolók, prospektusok útján is eljuttathatja a nyilvánossághoz a közérdekű adatokat. A mai technikai viszonyok között azonban kézenfekvő és hatékony az elektronikus közzététel lehetőségével élni. A közérdeklődésre leginkább számot tartó közérdekű adatoknak az elektronikus közzététele számos pozitív hatással jár. Először is a bőséges és naprakész információk világhálón való megjelenése elősegíti az internethasználat elterjedését, mert ráébresztheti az állampolgárokat az elektronikus információszerzés könnyebb és gyorsabb lehetőségére, de emellett a közzétevő jelentős költséget tud vele megtakarítani, és ami még szembeötlőbb, az az állampolgárok előtt megnyíló anonim információszerzés lehetősége.
A törvény rendelkezik a közérdekű és közérdekből nyilvános adatok elektronikus közzétételének általános szabályairól, az internet segítségével nyitottabbá teszi a jogalkotást, végül megteremti a bíróságok anonimizált határozatai megismerésének lehetőségét. Ez utóbbi a gyakorlatban azt jelenti, hogy például törvényszövegekhez fűzött kommentárok gyakran utalnak bírósági határozatokra, amelyek tanulmányozása révén lehetőség nyílik a jogeset megismerésére, anélkül hogy az abban érintettek személyes adatairól tudomást szereznénk. Létezik tehát olyan adatbázis, amely a bírósági határozatokat tartalmazza, és megállapítható, hogy a korábban kizárólagos papírformát ma már ezen a területen is kezdi háttérbe szorítani a digitális technika.
A törvény célja, hogy elektronikus közzététel útján megismerhetővé tegye a közérdekű adatokat. A hagyományos közzétételi módok a technológiai változások következtében előálló új társadalmi igények miatt elégtelenné és gazdaságtalanná váltak, ezért szükséges az elektronikus közzététel szabályainak deklarálása.
Az elektronikus információszabadság törvényi szabályozása előírja a szervezetek számára, hogy internetes weboldalt kell fenntartaniuk. Ez azonban nem jelenti azt, hogy minden szervezetnek önállóan kellene fenntartania egy internetes oldalt. A törvény ugyanis lehetővé teszi, hogy bizonyos gazdaságossági szempontok figyelembevételével akár több szerv is közösen tartson fenn honlapot. Ennek azonban feltétele, hogy a közzétett közérdekű adatok a szerveknek megfelelően elkülöníthetőek legyenek, vagyis legyen világos, hogy melyik adat melyik szervtől származik. Ez elsősorban az önkormányzatok számára jelenthet könnyítést, egyben hatékony megoldást, hiszen a kistelepülések nem minden esetben képesek önállóan fenntartani egy website-ot. Nem minden közérdekű adatot kezelőnek kell tehát saját honlapot fenntartania. Ilyen kötelezettségük csak az országos illetékességű szerveknek, valamint a megyei (fővárosi) közigazgatási hivataloknak, és a jogszabályban tételesen felsorolt szerveknek van. Minden más közfeladatot ellátó szerv számára választási lehetőséget kínál jogalkotó azt illetően, hogy saját honlapon teszik-e közzé adataikat, avagy más szervvel együttműködnek az oldal üzemeltetésében.
A közzététel, illetve a honlapfenntartás kötelezettsége magában foglalja a közzétett információ naprakészen tartását is. Ennek előírása internetes közegben különösen indokolt, tekintettel egyrészt arra, hogy az állami és önkormányzati szervek honlapjainak elemzésekor sok esetben találkozhattunk elavult tartalommal, másrészt pedig arra, hogy az elektronikus közzététel kötelezettségét éppen az indokolja, hogy ez a közzétételi mód teszi leginkább lehetővé a tartalom könnyű aktualizálhatóságát, a folyamatos pontosítást, frissítést. A törvény ezért kötelezővé teszi a tartalom naprakészen tartását, oly módon, hogy az úgynevezett adatfelelőst, vagyis azt a szervet teszi felelőssé a közzétett közérdekű adatok hitelességéért és pontosságáért, amelynek a tevékenységével összefüggésben azok keletkeztek. Az adatfelelős, illetve az adatközlő belső szabályzatot alkot, amelyben megállapítja a közzétételi kötelezettség teljesítésének részletes szabályait.
A honlapfenntartás keretében arról is gondoskodni kell, hogy a közzétett közérdekű adatok mindenkor elérhetőek legyenek, vagyis az adatokhoz való hozzáférés ne ütközzön technikai akadályokba. A jogszabály tételesen meghatározza azt is, hogy a közzétételi kötelezettséggel érintett szerveknek mely adataikat, illetőleg milyen egyéb információkat (a jogszabály-előkészítés nyilvánossága) kell folyamatosan és naprakészen közzétenniük.
Az elektronikus közzététel a közfeladatot ellátó szerv által kezelt közérdekű és közérdekből nyilvános adatok közül azokra terjed ki, amelyek a közfeladatot ellátó szervekkel való kapcsolatfelvételhez, az általuk nyújtott szolgáltatások igénybevételéhez nyújtanak segítséget, illetve amelyek révén megvalósulhat az e szervek feletti társadalmi ellenőrzés. A kötelező közzététellel a törvény tehermentesíti a közfeladatot ellátó szerveket, ami azt eredményezi, hogy a tömegesen előforduló egyedi adatigénylések teljesítése helyett a szerv közreműködése nélkül is kielégíthetővé válik ez az információigény.
Az elektronikus közzétételi listák meghatározását ugyan a nemzetközi példák és a hazai viszonyok felmérése során szerzett tapasztalatokra alapozták, összeállításuk mégis nagy körültekintést igényel. Az elektronikus úton kötelezően közzéteendő adatok törvényi meghatározása adatfajtánként külön-külön összeállított közzétételi listákkal történik. Az állandóan hozzáférhető adatok két csoportba sorolhatók: az egyik csoport a valamennyi intézményre nézve kötelezően nyilvános adatkör (például postai, e-mail címek, struktúra, működésre vonatkozó jogi és belső szabályok stb.), a másik pedig az adott közintézmény által közzéteendő adatkörök csoportja, amelybe különös (például egy adott ágazatba sorolt valamennyi szervre vonatkozó) és egyedi adatok tartoznak.
Az általános közzétételi lista három részből tevődik össze: a szervezeti, a tevékenységre és működésre, valamint a gazdálkodásra vonatkozó adatok listájából. A szervezetre vonatkozó adatok kötelező közzétételének célja, hogy a közfeladatot ellátó szerv és vezető tisztségviselői legfontosabb adatai mellett a közfeladatot ellátó szervnek más szervekkel való kapcsolata is átlátható legyen, ami azért fontos, mert az állampolgároknak alapvető joguk és érdekük fűződik ahhoz, hogy a szervezeti rendszert összefüggéseiben is megismerjék.
A közérdekű adatok elektronikus közzététele akkor felel meg rendeltetésének, ha a polgárok könnyen megtalálják azt az információt, amelyre szükségük van, és ha az így megismert adatok valóságtartalmában és aktualitásában feltétlenül bízhatnak. Fontos továbbá, hogy az adatok egymásra tekintettel is értelmezhetőek legyenek, vagyis egymással összhangban álljanak, hiszen az adat önmagában nem hordoz jelentést, azt csak a kontextus biztosítja. Az érdeklődőnek a közzétett adatokból kell tudnia levonni mindazon következtetéseket, amelyek kapcsolatát az adott szervvel vagy intézménnyel meg fogják határozni. Ezek az elvek igen jól hangzó célkitűzéseket hordoznak, azonban a megvalósítás hátterében számottevő informatikai és egyéb fejlesztésnek kell állnia. Ahhoz tehát, hogy a jogszabály rendelkezései maradéktalanul teljesüljenek, nem elegendő az érintettek együttműködő hozzáállása, hanem jelentős állami szerepvállalás is szükséges.
3.3. Az adatvédelmi biztos
Az adatvédelmi biztos intézményének működése garanciát jelent a személyes és közérdekű adatokkal kapcsolatos jogok érvényesülésére. Az adatvédelmi biztossá az Országgyűlés olyan személyt választhat, akire nézve teljesülnek a törvényben foglalt követelmények.
3.3.1. Az adatvédelmi biztos jogosítványai, feladatai
Ahhoz, hogy megértsük, miért is jelent garanciát ez az intézmény az adatvédelmi jogszabályok érvényesülésére, röviden át kell tekintenünk, hogy milyen jogosítványai vannak az adatvédelmi biztosnak. Az adatvédelmi biztos jogosult arra, hogy bejelentés alapján vagy hivatalból ellenőrizze az adatkezelésre vonatkozó jogszabályok megtartását, feltéve hogy e tárgyban bírósági eljárás nincs folyamatban. Az adatvédelmi biztosnak ki kell vizsgálnia a hozzá érkező bejelentéseket, ebből pedig az következik, hogy az adatvédelemmel kapcsolatos jogok sérelme esetén bárki fordulhat az adatvédelmi biztoshoz. További feladata az adatvédelmi nyilvántartás vezetése, valamint annak elősegítése, hogy a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó jogszabályokkal kapcsolatos jogalkalmazás folyamatosan egységesedjék. Ennek érdekében az adatvédelmi biztos jogosult úgynevezett ajánlásokat kibocsátani, ugyan nem kötelező erejűek, de számottevő mértékben hozzájárulnak ahhoz, hogy az adatvédelem terén tapasztalható hiányosságok kiküszöbölhetőek legyenek. Az ajánlás lehet általános érvényű, de szólhat meghatározott adatkezelőnek is; ez utóbbi esetben az adatkezelő köteles az ajánlásra harminc napon belül érdemben válaszolni. Az adatvédelmi biztosnak véleményezési joga van az állami vagy egyéb közfeladatot ellátó szerv tevékenységét illetően, amennyiben az személyes, közérdekű, közérdekből nyilvános vagy egyéb okból közzéteendő adatot érint. Ő képviseli hazánkat az Európai Unió közös adatvédelmi felügyelő testületeiben, és folyamatosan figyelemmel kíséri az adatvédelemmel, az adatvédelmi garanciák érvényesülésével kapcsolatos folyamatokat és azok tendenciáit, valamint javaslatot tesz jogszabályok megalkotására. Az adatvédelmi biztosnak fontos jogosítványa, hogy kezdeményezheti az államtitokkörben és a szolgálati titokkörben meghatározott adatfajták szűkítését vagy bővítését.
Az adatvédelmi biztost eljárása során széles körű tájékozódási és iratbetekintési jog illeti meg, hiszen csupán ilyen módon tud az adatkezelések egész folyamata felett hatékony ellenőrzést gyakorolni. Az adatvédelmi biztost nem lehet arra hivatkozással "távol tartani", hogy az adott adatkezelés megismerése államtitkot vagy szolgálati titkot sért, a biztos azonban köteles a ténylegesen ebbe a kategóriába sorolható értesüléseket megőrizni. Az adatvédelmi biztos jogköre az adatminősítések felülvizsgálatára is kiterjed, ha tehát a biztos azt észleli, hogy valamely minősítés indokolatlan, előírhatja annak megváltoztatását vagy megszüntetését. Ha a minősítő ezzel nem ért egyet, a felszólítás megalapozatlansága tárgyában harminc napon belül a Fővárosi Bírósághoz fordulhat.
3.3.2. Intézkedési jogkör
Ha az adatvédelmi biztos azt észleli, hogy valamely adatkezelés jogellenes, először csupán felszólítja az adatkezelőt arra, hogy állítsa helyre a jogszerű állapotot, vagyis szüntesse meg az adatkezelést. Az adatkezelő haladéktalanul köteles a felhívásnak eleget tenni, és erről a biztost harminc napon belül írásban tájékoztatni.
Az adatvédelmi biztos tájékoztathatja a nyilvánosságot az eljárás megindításáról, a jogellenes adatkezelés vagy adatfeldolgozás tényéről, az adatkezelő vagy adatfeldolgozó személyéről és a kezelt adatok köréről, valamint az általa kezdeményezett intézkedésekről és a meghozott határozatokról. Ha az adatkezelő a személyes adatok jogellenes kezelésével nem hagy fel, az adatvédelmi biztos határozatot hoz, amelyben elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését, megsemmisítését, megtilthatja a jogosulatlan adatkezelést, és felfüggesztheti az adatok külföldre továbbítását.
3.3.3. Jogorvoslat
Az adatvédelmi biztos határozatával szemben közigazgatási úton nincs helye jogorvoslatnak, csupán a határozat bíróság előtti megtámadására van lehetőség. Erre az adatkezelő, az adatfeldolgozó vagy az érintett jogosult a határozat kézhezvételétől számított harminc napon belül. A bírósági felülvizsgálat indoka kizárólag jogszabálysértés lehet, egyéb szempontok mérlegelésére mód nincs. A bírósági felülvizsgálatnak halasztó hatálya annyiban van, hogy az adatokat az eljárás lezárultáig megsemmisíteni nem lehet, az adatok kezelését azonban az adatvédelmi biztos határozatának kézhezvételekor fel kell függeszteni, magukat az adatokat pedig zárolni kell.
3.3.4. Előzetes ellenőrzés
A jogszabály lehetővé teszi, hogy az adatvédelmi biztos meghatározott esetekben az adatok nyilvántartásba vétele előtt úgynevezett előzetes ellenőrzést végezzen. Az ellenőrzés alapján az adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel az adatkezelőt. Ha az adatvédelmi biztos nem csupán az adatkezelést, hanem az azt elrendelő jogszabályt is kifogásolja, ajánlást tehet a jogszabály módosítására.
3.4. Az adatvédelmi nyilvántartás
Az adatvédelmi nyilvántartás az egyes adatkezelésekkel kapcsolatos tényeket és információkat tartalmazó adatbázis, amely az adatkezelők jogszabályban meghatározott bejelentései alapján jön létre. Ilyen bejelentési kötelezettsége van például a szabályozás tárgya szerint illetékes miniszternek, az országos hatáskörű szerv vezetőjének, valamint a polgármesternek, amennyiben jogszabály által elrendelt adatkezelést folytatnak. A nemzetbiztonsági szerveknek adatkezelésük célját és jogalapját kell bejelenteniük. Az adatvédelmi nyilvántartás működési elve az úgynevezett nyilvántartási számon alapszik, amelyet az adatkezelő az első nyilvántartásba vételkor kap meg. Ezt a számot innentől kezdve az adatok továbbításakor, nyilvánosságra hozásakor és az érintettnek való kiadásakor mindig fel kell tüntetni.
A törvény nevesít bizonyos adatkezeléseket, amelyeket nem kell bejelenteni az adatvédelmi nyilvántartásba. Ilyen például az az adatkezelés, amely az adatkezelővel munkaviszonyban vagy ügyfélkapcsolatban álló személyek adatait tartalmazza, illetőleg amely egyház, vallásfelekezet vagy vallási közösség belső szabályai szerint történik. Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést sem, amely az egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmazza, illetőleg amely a hivatalos statisztika vagy a tudományos kutatás céljait szolgálja.
3.5. Belső adatvédelmi felelős és adatvédelmi szabályzat
A belső adatvédelmi felelős intézménye arra szolgál, hogy az adatkezelés folyamata tovább strukturálódjék, pontosabban, hogy az adatvédelemre vonatkozó jogszabályok megszegése esetén a mulasztás számon kérhető legyen. A jogszabály szerint az adatkezelő vagy az adatfeldolgozó szervezetén belül közvetlenül a szerv vezetőjének felügyelete alá tartozó belső adatvédelmi felelőst kell kinevezni vagy megbízni. Ilyen felelősnek kell működnie például a pénzügyi szervezeteknél, a távközlési és közüzemi szolgáltatóknál, továbbá az országos hatósági adatállományt kezelő adatkezelőnél vagy adatfeldolgozónál. A belső adatvédelmi felelős közreműködik az adatkezeléssel összefüggő döntések meghozatalában, kivizsgálja a hozzá érkezett bejelentéseket, ellenőrzi az adatkezelésre vonatkozó jogszabályok, a belső adatvédelmi szabályzat és az adatbiztonság követelményeinek megtartását, valamint elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot, és vezeti a belső adatvédelmi nyilvántartást.
3.6. Speciális adatkezelések
Az olyan személyes adatot, amelyet tudományos kutatás céljára vettek fel, egyéb célra felhasználni nem lehet. Az ilyen személyes adatot, amint a kutatási cél megengedi, anonimizálni kell. Mindaddig, amíg erre sor nem kerül, szigorúan el kell különíteni, és külön kell tárolni azokat az adatokat, amelyek természetes személy azonosítására alkalmasak. A tudományos kutatás céljára felvett személyes adatot nyilvánosságra hozni csak az érintett beleegyezésével, illetőleg abban az esetben lehet, ha az történelmi eseményekkel kapcsolatos kutatások eredményeinek bemutatásához szükséges. Hasonló rendelkezések vonatkoznak a statisztikai céllal felvett adatokra is.
