📄 Jogszabály szövege
15/2018. (V. 25.) ORFK utasítása az ideiglenes adatvédelmi szabályzatáról.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény
6. § (1) bekezdés b) pontjában foglaltak alapján a természetes személyeknek a személyes adatok kezelése tekintetében történő
védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament
és Tanács 2016/679 számú rendelete 24. cikk (2) bekezdésében, valamint az információs önrendelkezési jogról
és az információszabadságról szóló 2011. évi CXII. törvény 30. § (6) bekezdésében meghatározottak végrehajtása érdekében
kiadom az alábbi utasítást:
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK 1. Az utasítás területi hatálya kiterjed
a) az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK);
b) a Készenléti Rendőrségre, a Repülőtéri Rendőr Igazgatóságra, a Nemzetközi Bűnügyi Együttműködési
Központra, a Rendőrségi Oktatási és Kiképző Központra, a Nemzetközi Oktatási Központra, a megyei (fővárosi)
rendőr-főkapitányságokra (a továbbiakban együtt: területi szervek);
c) a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban együtt: helyi szervek)
[az a)–c) alpontok a továbbiakban együtt: rendőrségi adatkezelő szervek].
2. Az utasítás hatálya kiterjed a rendőrségi adatkezelő szervek kezelésében lévő közérdekű adatokra és közérdekből
nyilvános adatokra vonatkozó, az információszabadsággal kapcsolatos követelmények teljesülésének biztosítására.
3. A bűncselekmények megelőzése, felderítése, a büntetőeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása
céljából történő, valamint a közbiztonságot fenyegető veszélyekkel szembeni védelmet és ezen veszélyek megelőzését
szolgáló adatkezelés tervezése, illetve végrehajtása kapcsán – jogszabály eltérő rendelkezése hiányában –
az utasításnak a hozzájáruláson alapuló adatkezelésre, az adatvédelmi hatásvizsgálat lefolytatására, az adatvédelmi
incidens bejelentésére és az előzetes konzultációra vonatkozó rendelkezései nem alkalmazhatók.
4. A minősített adatok kezelésére vonatkozó jogszabály eltérő rendelkezésének hiányában az utasítást alkalmazni kell
a minősített adathordozóban szerepeltetett személyes adatok kezelése során is.
5. A Rendőrség adatkezelési tevékenységében állandó vagy eseti jelleggel részt vevő vagy abban közreműködő,
a Rendőrség érdekkörében adatfeldolgozóként vagy közös adatkezelőként eljáró természetes és jogi személyekkel,
jogi személyiséggel nem rendelkező szervezetekkel kötendő szerződésekben, megállapodásokban érvényesíteni kell
a személyes adatok kezelésére vonatkozóan az utasításban meghatározott követelményeket.
6. Az utasításban foglaltakat kell alkalmazni a rendőrségi adatkezelő szervek által folytatott adatkezelési műveletekre
az adatok megjelenési formájától függetlenül, az adatkezelés teljes folyamatára kiterjedően – az adatok megszerzésétől
vagy a rendőrségi szervnél történő keletkezésétől azok törléséig, illetve megsemmisítéséig –, függetlenül attól, hogy
az adatok valamely nyilvántartási rendszer vagy valamely ügyben keletkezett irat részét képezik-e.
1. Alapelvek 7. A rendőrségi adatkezelő szerv
a) köteles a személyes adatok kezelését – jogszabály eltérő rendelkezése hiányában – az érintett számára
átlátható módon kialakítani és végrehajtani; b) személyes adatot csak meghatározott, egyértelmű és jogszerű célból – az adatkezelésre vonatkozó jogszabályi
előírások figyelembevételével – gyűjthet, rögzíthet vagy vehet át, személyes adatot az eredeti céllal össze nem
egyeztethető célból nem kezelhet, a kellően pontosan meghatározható cél nélküli adatkezelés, így különösen
az adatok készletező gyűjtése tilos;
c) kizárólag az adatkezelés céljai szempontjából szükséges, megfelelő és releváns adatokat kezelhet;
d) intézkedéseket hoz és hajt végre annak érdekében, hogy az adatkezelés céljai szempontjából felesleges vagy
pontatlan személyes adatok haladéktalanul törlésre vagy – amennyiben az adatkezelés jellegéből fakadóan
az értelmezhető – helyesbítésre kerüljenek;
e) biztosítja, hogy az érintett azonosítására alkalmas személyes adatok csak az adatkezelés céljainak eléréséhez
szükséges ideig kerüljenek megőrzésre, a cél elérését követően az adatok – a vonatkozó jogszabályi
rendelkezések által meghatározott keretek között – közérdekű archiválás céljából, tudományos és történelmi
kutatási célból vagy statisztikai célból őrizhetők meg;
f ) biztosítja a személyes adatok zárt, teljes körű, folytonos és kockázatokkal arányos védelmét, szervezési
és technikai intézkedéseket tesz különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen
elvesztésével, megsemmisülésével vagy károsodásával szembeni védelem kialakítása érdekében;
g) biztosítja a gyermekek és más kiszolgáltatott érintetti csoportok különös védelmét, a kifejezetten rájuk
vonatkozó adatkezelés kapcsán minden tájékoztatást és kommunikációt olyan módon hajt végre, amelyet
az érintettek könnyen megérthetnek.
8. A rendőrségi adatkezelő szerv vezetője köteles az alapelveknek történő megfelelést – ahol az értelmezhető,
dokumentált módon – igazolni, így különösen az érintett jogainak biztosítása és hozzájárulásának megszerzése
kapcsán, a végrehajtott ellenőrzésekre és oktatásokra, az előírt nyilvántartások vezetésére, továbbá az adatvédelmi
hatásvizsgálatokhoz kapcsolódó feladatokra vonatkozóan.
2. Értelmező rendelkezések 9. Az utasítás alkalmazásában:
a) adatbiztonság: a személyes adatok jogosulatlan vagy jogellenes kezelése, véletlen elvesztése, megsemmisítése
vagy károsodása elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége, az adatkezelés
azon állapota, amelyben a kockázati tényezőket – és ezáltal a fenyegetettséget – az alkalmazott védelmi
intézkedések a minimálisra csökkentik;
b) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármely eljárással előállított, személyes
adatot tartalmazó vagy azt megjelenítő tárgy vagy eszköz;
c) adatvédelem: a személyes adatok jogszerű kezelését, az érintett személyek védelmét és információs
önrendelkezési jogának teljesülését biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök
és módszerek összessége;
d) adatvédelmi hatásvizsgálat: a rendőrségi adatkezelő szerv által a valószínűsíthetően magas kockázatot jelentő
adatkezelés megkezdése előtt lefolytatott, majd azt követően rendszeresen ismételt eljárás, amelynek célja
az érintett természetes személyek jogaira nézve gyakorolt hatások vizsgálata, és a magas kockázatú adatkezelési
műveletek jelentette kockázatok mérséklése;
e) egységes elektronikus adatvédelmi nyilvántartás: a rendőrségi adatkezelő szervek által végzett adatkezelési
tevékenységeket összesítő egységes nyilvántartás;
f ) hírközlő eszköz: bármilyen technikai eszköz, technológiai eljárás, amely jelzések, adatok, információk
továbbítására, fogadására alkalmas, így különösen azok a készülékek, amelyek egy vagy több fogadó személy
számára kép, hang, adat továbbítására alkalmasak, így például a távbeszélő, a rádió, valamint az elektronikus
adatátviteli lehetőséget biztosító eszköz;
g) hordozható eszköz: olyan hardver eszköz, amely adathordozó vagy adathordozót tartalmaz, és funkcionalitása
a könnyű szállítást és használhatóságot biztosítja;
h) hozzáférési jogosultság: az a jogosultság, amelynek birtokában a jogosult személy számára elérhetővé,
megismerhetővé válnak az adott adatállományban kezelt személyes adatok;
i) közös adatkezelés: olyan adatkezelés, amely esetében a rendőrségi adatkezelő szerv a feladatkörébe tartozó
adatkezelés céljait és eszközeit más adatkezelő szervvel közösen határozza meg, így különösen a közös
elektronikus információs rendszer vagy adatkezelési felület alkalmazása;
j) közvetlen hozzáférési jogosultság: adott adatállomány informatikai alkalmazás igénybevételével kezelt
adatainak megismeréséhez adott olyan jogosultság, amely a jogosultnak lehetőséget biztosít arra, hogy
az adatállományban kezelt adatokhoz az általa megválasztott időpontban közvetlen lekérdezéssel hozzáférjen;
k) közvetlen lekérdezés: az adott adatállományban kezelt adatokba – az adatkezelő által előzetesen rendelkezésre
bocsátott általános lekérdezési jogosultság felhasználásával – előre meghatározatlan időpontban és
alkalommal, naplózott formában történő betekintés, valamint a lekérdező döntése alapján az így
megismerhetővé vált információk kinyomtatása vagy más módon történő rögzítése.
II. FEJEZET
RÉSZLETES RENDELKEZÉSEK 3. A rendőrségi adatkezelő szerv vezetőjének feladatai
10. A rendőrségi adatkezelő szerv vezetője az általa vezetett rendőrségi adatkezelő szerv vonatkozásában felel
a) az adatvédelmi és adatbiztonsági intézményrendszer kiépítéséért és működtetéséért;
b) a személyes adatok védelméhez és az információszabadsággal kapcsolatos követelmények érvényesüléséhez
szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések
meghozataláért;
c) az alárendelt személyi állomány adatvédelmi oktatásáért és rendszeres továbbképzéséért;
d) a rendszeres adatvédelmi ellenőrzésért, az ellenőrzés során esetlegesen feltárt hiányosságok vagy
jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás
kezdeményezéséért, ennek érdekében a hatáskörébe tartozó eljárások lefolytatásáért;
e) az érintett jogainak gyakorlásához, valamint tájékoztatásához szükséges feltételek biztosításáért;
f ) az adatvédelmi hatásvizsgálatok lefolytatásáért és rendszeres felülvizsgálatáért, valamint az ahhoz szükséges
feltételek biztosításáért;
g) az adatvédelmi hatásvizsgálat eredményének függvényében előzetes konzultáció kezdeményezéséért
a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (a továbbiakban: NAIH);
h) az adatvédelmi incidensek nyilvántartásáért, a jogszabályi feltételek fennállása esetén a NAIH részére
határidőben történő bejelentéséért, valamint az adatvédelmi incidenssel érintettek tájékoztatásáért;
i) az adatvédelmi feladatok ellátására alkalmas adatvédelmi tisztviselő kijelöléséért, nevének és elérhetőségének
a NAIH részére történő bejelentéséért, és arról az ORFK adatvédelmi tisztviselőjének tájékoztatásáért;
j) az adatvédelmi tisztviselő feladatainak végrehajtásához, a személyes adatokhoz és az adatkezelési
műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek
fenntartásához szükséges feltételek és források biztosításáért;
k) az adatvédelmi tevékenységgel kapcsolatos közzétételi kötelezettség teljesítéséért;
l) a közérdekű adatokra és közérdekből nyilvános adatokra irányuló adatigénylések határidőben történő
megválaszolásáért. 4. Az adatvédelmi tisztviselő és adatvédelmi megbízott
11. Az országos rendőrfőkapitány és a területi szervek vezetője az adatvédelemmel kapcsolatos tevékenység
jogszerűségének, valamint az érintetti jogok érvényesülésének biztosítása érdekében a rendőrségi adatkezelő szerv
állományából adatvédelmi tisztviselőt jelöl ki.
12. A megyei (fővárosi) rendőr-főkapitányság adatvédelmi tisztviselője ellátja a megyei (fővárosi) rendőr-főkapitányság
alárendeltségébe tartozó helyi szervek adatvédelmi tisztviselői feladatait is.
13. A rendészeti, bűnügyi, gazdasági és személyügyi országos rendőrfőkapitány-helyettesek az irányításuk alatt álló
szervezeti egység állományából az adatvédelmi feladatokat támogató adatvédelmi megbízottat jelölnek ki, az ORFK
szervezeti elemei adatvédelmi megbízottat jelölhetnek ki, akik közreműködnek a személyes adatok jogszerű kezelését
biztosító feladatok végrehajtásában.
14. A területi szerv tevékenységéhez kapcsolódóan az érintettek jogaira nézve fennálló kockázatok mértéke, valamint
az ellátandó feladatok jellege, összetettsége és mennyisége alapján a területi szerv vezetője az adatvédelmi tisztviselő
tevékenységének támogatása érdekében a területi szerv állományából adatvédelmi megbízottat vagy megbízottakat
jelölhet ki.
15. A helyi szerv vezetője köteles az adatvédelmi tisztviselő tevékenységének támogatása érdekében a szerv állományából
adatvédelmi megbízottat kijelölni.
16. Az adatvédelmi tisztviselő az adatvédelmi megbízott számára az utasításban meghatározottak végrehajtása céljából
végzett tevékenységének a területi vagy a helyi szervnél történő végrehajtásában történő közreműködés érdekében
feladatot határozhat meg.
17. Az adatvédelmi tisztviselőt a személyes adatok védelme területén szerzett ismeretei és gyakorlati tapasztalatai,
valamint a számára jogszabályban vagy normában meghatározott feladatok ellátására való alkalmasság alapján,
írásban kell kijelölni.
18. Nem lehet olyan személyt kijelölni adatvédelmi tisztviselőnek, akinek a Polgári Törvénykönyvről szóló 2013. évi
V. törvény szerinti hozzátartozója az adatkezelő szervnél adatkezeléssel kapcsolatos döntések meghozatalára jogosult
személy.
19. Az adatvédelmi tisztviselő munkaköri leírásának tartalmaznia kell a főbb ellátandó feladatait, különösen azt, hogy
ezen tevékenységét mely szervek vonatkozásában végzi.
20. Az adatvédelmi tisztviselő kijelöléséről az ORFK adatvédelmi tisztviselőjét soron kívül tájékoztatni kell, nevét
és elérhetőségét a NAIH nyilvántartásába be kell jelenteni.
21. Az adatvédelmi tisztviselő számára feladatainak ellátása céljából, az ahhoz szükséges mértékben biztosítani kell
a minősítéssel védett iratokba történő betekintést, és az ennek jogszerű gyakorlásához szükséges személyi biztonsági
feltételeknek történő megfelelést.
22. Adatvédelmi tisztviselőnek felsőfokú végzettséggel rendelkező személy jelölhető ki. Az adatvédelmi tisztviselő
az ORFK adatvédelmi tisztviselője által szervezett képzést követő vizsga teljesítésével igazolja a szükséges adatvédelmi
ismeretek meglétét.
23. Az adatvédelmi tisztviselő a kijelölését követő 60 napon belül köteles vizsgát tenni. Sikertelen vizsga esetén legfeljebb
két alkalommal, a kijelölését követő 60 napon belül megismételt vizsgát tehet. A vizsgák sikertelensége esetén
a rendőrségi adatkezelő szerv vezetője köteles más adatvédelmi tisztviselőt kijelölni.
24. Az adatvédelmi megbízott a területi szerv adatvédelmi tisztviselője által szervezett vizsgát tesz.
25. A rendőrségi adatkezelő szerv vezetője köteles bevonni az adatvédelmi tisztviselőt a személyes adatok védelmét
érintő döntések, így különösen az adatvédelmet érintő normák, szerződések, együttműködési megállapodások
és adatkezelésekre vonatkozó döntések előkészítésébe és kidolgozásába.
26. A rendőrségi adatkezelő szerv vezetője biztosítja az adatvédelmi tisztviselő, valamint – az adatvédelmi tisztviselő által
az adatvédelmi megbízott számára meghatározott feladata kapcsán eljárva – az adatvédelmi megbízott számára
a hozzáférést a feladatai végrehajtásához szükséges elektronikus rendszerekhez, iratokhoz, egyéb adathordozókhoz,
valamint a szakmai ismeretei naprakészen tartásához szükséges feltételeket, jogosultságokat és erőforrásokat
rendelkezésére bocsátja.
27. A rendőrségi adatkezelő szerv vezetője biztosítja annak lehetőségét, hogy az állomány bármely tagja a hivatali út
betartása nélkül, továbbá az adatkezeléssel érintett egyéb személyek közvetlenül és egyszerű módon fordulhassanak
az adatvédelmi tisztviselőhöz.
28. Az adatvédelmi tisztviselő a rendőrségi adatkezelő szervnél más feladatokat is elláthat, azonban a rendőrségi
adatkezelő szerv köteles biztosítani, hogy ezekből a más feladatokból adódóan ne keletkezzen összeférhetetlenség,
és az egyéb munkaköri feladatok ellátása nem veszélyeztetheti az adatvédelmi tisztviselői feladatok ellátását.
29. Amennyiben az adatvédelmi tisztviselő a szervezetben betöltött helye vagy beosztása miatt az utasításban foglalt
feladataitól eltérő célból is jogosult személyes adatok kezelésének célját meghatározni vagy adatkezeléssel
kapcsolatos döntéseket meghozni, az összeférhetetlenség megelőzése érdekében köteles az e körbe tartozó
tevékenységét az ORFK adatvédelmi tisztviselőjének bejelenteni. Ezen tevékenység jóváhagyása esetén
az adatvédelmi tisztviselő ebbe a körbe tartozó tevékenységét az ORFK adatvédelmi tisztviselője ellenőrizheti.
30. Az adatvédelmi megbízott feladatainak ellátásához szükséges feltételeket a foglalkoztató rendőrségi adatkezelő
szerv biztosítja.
31. Az adatvédelmi tisztviselő elősegíti, hogy a rendőrségi adatkezelő szerv az adatvédelmi követelményeknek
– megfelelően dokumentált módon – eleget tegyen, így különösen:
a) az adatvédelemre vonatkozó jogszabályokban, közjogi szervezetszabályozó eszközökben és belső normákban
foglalt jogi előírásokról, kötelezettségekről naprakész tájékoztatást, illetőleg érvényesítésüket szolgáló
tanácsot ad a rendőrségi adatkezelő szerv állományának tagjai számára;
b) részt vesz az adatvédelmet érintő belső normák kidolgozásában és közreműködik az adatkezeléssel járó vagy
azt eredményező döntések előkészítésében;
c) elősegíti a rendőrségi adatkezelő szerv állománya adatvédelmi és adatbiztonsági tudatosságának növelését,
ennek érdekében szervezi az adatkezelési folyamatokban részt vevő állomány képzését;
d) megvizsgálja az új adatkezelések és adatkezelésekkel kapcsolatos döntések következtében az érintettek
jogaira nézve megjelenő kockázatokat, a valószínűsíthetően magas kockázatot jelentő adatkezelésekre
vonatkozóan kezdeményezi a rendőrségi adatkezelő szerv vezetőjénél az adatvédelmi hatásvizsgálat
lefolytatását;
e) szakmai tanácsaival segíti és felügyeli az adatvédelmi hatásvizsgálat lefolytatását, a hatásvizsgálatról szóló
jelentés elkészítését;
f ) rendszeresen és dokumentált módon felülvizsgálja az adatvédelmi hatásvizsgálattal érintett adatkezelések
változásait és az ismételt vizsgálat lefolytatásának szükségességét;
g) közreműködik a NAIH-val folytatott előzetes konzultáció lefolytatásában, annak szükségességéről előzetesen
kikéri az ORFK adatvédelmi tisztviselőjének véleményét;
h) tevékenysége során együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására
jogosult szervekkel és hatóságokkal, így különösen kapcsolatot tart a NAIH-val, közreműködik a rendőrségi
adatkezelő szervet érintő vizsgálatok lefolytatásában és az ezekkel összefüggő megkeresések
megválaszolásában;
i) kivizsgálja a rendőrségi adatkezelő szerv adatkezelésével összefüggésben érkező panaszokat és kifogásokat,
kezdeményezi a panasz orvoslásához szükséges intézkedések megtételét, közreműködik az érintettek jogainak
gyakorlásában;
j) előkészíti az érintett személyes adatai kezeléséhez kapcsolódó jogai gyakorlása során, valamint vezetői döntés
alapján, az abban meghatározott körben az információszabadsággal kapcsolatban előterjesztett kérelmekre
vonatkozó döntéseket;
k) a rendőrségi adatkezelő szerv vezetője által jóváhagyott ellenőrzési tervet készít, a tervben foglaltak szerint
– szükség esetén, így különösen adatvédelmi incidens bekövetkezése miatt ezen túlmenően is – ellenőrzi
a rendőrségi adatkezelő szervnél az adatvédelmi és adatbiztonsági követelmények megtartását;
l) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény szerint
meghatározott adatgazda közreműködésével ellenőrzi a rendőrségi adatkezelő szerv és harmadik felek
elektronikus információs rendszereihez kapcsolódó hozzáférési jogosultságokról szóló nyilvántartás naprakész
vezetését és rendszeres felülvizsgálatát;
m) ellenőrzi az országos nyilvántartásokból történő lekérdezések során a célhoz kötött adatkezelés elvének
érvényesülését;
n) ellenőrzi az adattovábbításhoz kapcsolódó naplózási és nyilvántartási tevékenységet;
o) az adatkezeléssel kapcsolatos előírások megszegésének észlelése esetén felhív a jogszerű állapot haladéktalan
helyreállítására, és a hiányosságokat a szolgálati út betartásával – amennyiben emiatt a szolgálati vagy
adatvédelmi érdek sérelmet szenvedne, úgy közvetlenül – jelzi a rendőrségi adatkezelő szerv vezetőjének,
indokolt esetben kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását;
p) közreműködik az adatvédelmi incidensek kivizsgálásában, vezeti a rendőrségi adatkezelő szerv adatvédelmi
incidens nyilvántartását, és a vizsgálat eredménye alapján – az ORFK adatvédelmi tisztviselőjének egyidejű
értesítése mellett – a jogszabályi feltételek fennállása esetén bejelenti azt a NAIH részére, és amennyiben
szükséges, intézkedik az érintettek tájékoztatására;
q) vezeti a rendőrségi adatkezelő szerv 56. pont szerinti adatvédelmi nyilvántartását;
r) felügyeli a rendőrségi adatkezelő szerv adatszolgáltatási tevékenységét, különös tekintettel a nemzetközi
együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást
foglal az adatok továbbításának jogszerűségével kapcsolatban;
s) segíti az alárendelt rendőri szerv adatvédelmi tevékenységét;
t) tájékoztatja az ORFK adatvédelmi tisztviselőjét a rendőrségi adatkezelő szervnél végezni tervezett
új adatkezelésekről, és az egységes elektronikus adatvédelmi nyilvántartásba történő rögzítés érdekében
megküldi az adatkezelésre vonatkozó dokumentációt, így az adatkezelési adatlapot, az adatkezelési
tájékoztatót, valamint – amennyiben az adatkezelés tekintetében szükséges az adatvédelmi hatásvizsgálat
elkészítése – a hatásvizsgálati jelentést;
u) évente, a tárgyévet követő március 31-éig értékeli a rendőrségi adatkezelő szerv adatvédelmi és adatbiztonsági
helyzetét, az erről készült jelentést az ORFK adatvédelmi tisztviselőjének a tárgyévet követő április 15-éig
megküldi;
v) személyes adatot nem tartalmazó kimutatást vezet a közérdekű és a közérdekből nyilvános adatok megismerése
iránt benyújtott és elutasított kérelmekről, az elutasítás indokairól, amelyekről – a rendőrségi adatkezelő szerv
vezetőjének felterjesztett jelentésben – a tárgyévet követő év január 15-éig tájékoztatja az ORFK adatvédelmi
tisztviselőjét;
w) személyes adatot nem tartalmazó kimutatást vezet az érintettnek a személyes adatai kezelésével kapcsolatos
hozzáférésre, helyesbítésre, törlésre, tiltakozásra, valamint korlátozásra vonatkozóan benyújtott és elutasított
kérelméről, az elutasítás indokairól, amelyekről – a rendőrségi adatkezelő szerv vezetőjének felterjesztett
jelentésben – a tárgyévet követő év január 15-éig tájékoztatja az ORFK adatvédelmi tisztviselőjét;
x) vezeti a Belügyminisztérium Nyilvántartások Vezetéséért Felelős Helyettes Államtitkárság (a továbbiakban: BM
NYHÁT) által vezetett adattárakból közvetlen lekérdezési jogosultság engedélyezésére feljogosított személyek
névjegyzékét;
y) részt vesz a NAIH, illetve az ORFK adatvédelmi tisztviselője által szervezett képzéseken.
32. A rendőrségi adatkezelő szerv adatvédelmi és adatbiztonsági helyzetét értékelő jelentés tartalmazza
a) a rendőri adatkezelő szervnél lefolytatott adatvédelmi ellenőrzések megállapításait;
b) az esetlegesen feltárt szabálytalanságokat, hiányosságokat és a megszüntetésükre tett intézkedéseket;
c) az érintettek megjelölése nélkül a rendőri adatkezelő szervek állományába tartozók ellen az adatvédelmi
előírások megsértése miatt indított fegyelmi és büntetőeljárásokra vonatkozó adatokat;
d) a rendőri adatkezelő szerveknél lefolytatott oktatások és továbbképzések gyakorlatát;
e) a NAIH által esetlegesen lefolytatott vizsgálatok megállapításait, a megtett intézkedéseket és az esetleges
adatvédelmi hatósági eljárást, az azt befejező határozat tartalmának összefoglalását;
f ) a közérdekű és a közérdekből nyilvános adatok megismerésére irányuló adatigénylésekkel kapcsolatos
értékelést;
g) az adatvédelmi incidensekkel kapcsolatos tájékoztatást;
h) az ORFK adatvédelmi tisztviselője által az adatvédelmi feladatok aktualitásaira figyelemmel előzetesen
meghatározott szempontokat. 33. Az ORFK adatvédelmi tisztviselője az ORFK Hivatalának vezetője, aki tevékenységét az országos rendőrfőkapitány
közvetlen irányítása alatt végzi.
34. Az ORFK adatvédelmi tisztviselője – a 31. pontban meghatározott feladatai mellett – ellátja a rendőrségi adatkezelő
szervek adatvédelmi tevékenységének szakmai irányítását, amelynek keretében az ORFK Hivatal Biztonság-felügyeleti
és Ügykezelési Osztály közreműködésével
a) az adatvédelmet érintő jogszabályok tervezeteinek koordinációja során kidolgozza és képviseli a Rendőrség
álláspontját;
b) a beépített és alapértelmezett adatvédelem elvének teljesülése érdekében közreműködik az adatkezelésekre
vonatkozó döntések előkészítésében és kidolgozásában;
c) állásfoglalásaival segíti a rendőrségi adatkezelő szervek adatvédelmi tevékenységét, az egységes gyakorlat
kialakítását;
d) a Rendőrség adatkezelési tevékenységét érintő ügyekben kialakítja a Rendőrség álláspontját, kapcsolatot tart
a NAIH képviselőivel, a rendészetért felelős minisztérium és a társszervek adatvédelmi tisztviselőivel;
e) gondoskodik a Rendőrség egységes elektronikus adatvédelmi nyilvántartásának vezetéséről;
f ) összeállítja és közzéteszi az ORFK elektronikus adatvédelmi nyilvántartását;
g) figyelemmel kíséri a rendőrségi adatkezelő szervek által folytatott adatvédelmi hatásvizsgálatokat és az azok
eredményeként meghatározott intézkedések végrehajtását;
h) vezeti a rendőrségi adatkezelő szervek által folytatott adatvédelmi hatásvizsgálatokról szóló nyilvántartást;
i) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére
hívja fel az adatkezelőt vagy adatfeldolgozót, indokolt esetben vizsgálat lefolytatását kezdeményezi
a rendőrségi adatkezelő szerv vezetőjénél;
j) vezeti a rendőrségi adatkezelő szervek adatvédelmi tisztviselőinek névjegyzékét és az elérhetőségeiket
tartalmazó belső nyilvántartást, és intézkedik annak a Rendőrség intranetes oldalán történő hozzáférhetővé
tétele érdekében;
k) ellenőrzi a rendőrségi adatkezelő szerveknél az adatkezelésre vonatkozó követelmények, valamint
az információs önrendelkezési joggal, az információszabadsággal és az adatbiztonsággal kapcsolatos
jogszabályok és belső normák betartását;
l) továbbítja a BM NYHÁT felé az ORFK állományába tartozó egyéni felhasználók közvetlen hozzáférési
jogosultságának igénylését és visszavonását, gondoskodik az ezzel kapcsolatos nyilvántartás vezetéséről;
m) továbbképzést szervez a rendőrségi adatkezelő szervek adatvédelmi tisztviselői és szükség szerint
az adatvédelmi megbízottai számára;
n) az adatvédelmi tisztviselők jelentései alapján évente április 30-áig elkészíti a Rendőrség adatvédelmi
helyzetéről szóló jelentést;
o) évente – a tárgyévet követő év január 31-éig – tájékoztatja a NAIH elnökét a rendőrségi adatkezelő szervek által
a személyes adatok kezelésével kapcsolatos elutasított kérelmekről és azok indokairól;
p) évente – a tárgyévet követő év január 31-éig – tájékoztatja a NAIH elnökét a rendőrségi adatkezelő szervek által
a közérdekű adatok, közérdekből nyilvános adatok megismerésére irányuló elutasított kérelmekről, valamint
az elutasítás indokairól.
5. A hozzájáruláson alapuló adatkezeléshez kapcsolódó elvárások 35. A rendőrségi adatkezelő szerv által személyes adatok különleges kategóriáiba tartozó adat az érintett hozzájárulása
alapján abban az esetben kezelhető, ha az adatkezeléshez az érintett írásban járult hozzá.
36. Nem tekinthető önkéntesnek a hozzájárulás, így nem alkalmazható jogalapként olyan adatkezelések során, ahol
az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, illetve a hozzájárulás megtagadása vagy
visszavonása számára kárt okozna. Nem tekinthető a hozzájárulás önkéntesnek akkor sem, ha az érintettnek nincs
lehetősége külön-külön hozzájárulás adására, illetve a hozzájárulás megtagadására a különböző személyes
adatkezelési műveletek vagy adatkörök vonatkozásában.
6. Közös adatkezelés 37. A rendőrségi adatkezelő szerv vezetője a közös adatkezelés megkezdése előtt megállapodást köt a közös adatkezelővel,
amelyben az adatvédelmi jogszabályok által előírt kötelezettségek teljesítéséért fennálló, feladataikkal összefüggő
felelősségük megosztását meg kell határozni, kivéve, ha a felelősség megosztása jogszabályban rendezett.
A megállapodásban nem zárható ki az érintetti jogok gyakorlásával kapcsolatos feladatok valamelyik fél általi
teljesítésének kötelezettsége.
38. A közös adatkezelésre vonatkozó legfontosabb szempontokról – az adatok érintettől történő felvétele esetén
az adatok felvételekor, amennyiben ez nem lehetséges vagy az adatokat a rendőrségi adatkezelő szerv nem
közvetlenül az érintettől szerzi be, úgy a Rendőrség internetes honlapján közzétett elektronikus adatvédelmi
nyilvántartásban hozzáférhetővé tett tájékoztatóval – az érintettet tájékoztatni kell.
7. Adatfeldolgozó igénybevételének szabályai 39. Az adatfeldolgozói szerződésben az alábbi – az adatfeldolgozóra vonatkozó – kötelezettségeket kell rögzíteni:
a) az adatfeldolgozó az átvett adatokat, beleértve a személyes adat harmadik ország vagy nemzetközi szervezet
számára továbbításának esetét is – jogszabályon alapuló adatkezelés kivételével – kizárólag a rendőrségi
adatkezelő szerv írásbeli utasításai alapján, annak keretei között kezeli;
b) az adatfeldolgozó köteles megakadályozni az adatokhoz történő jogosulatlan, illetve jogosultságot meghaladó
mértékű hozzáférést, amelynek érdekében kötelezettséget vállal arra, hogy az adattovábbítással érintett
adatok kezelésére feljogosított személyek – jogszabályon alapuló megfelelő titoktartási kötelezettség
hiányában – titoktartási kötelezettséget vállalnak;
c) gondoskodik a jogszabály által meghatározott adatbiztonsági követelményeknek való maradéktalan
megfelelőségről, annak legfontosabb jellemzőiről tájékoztatja a rendőrségi adatkezelő szervet az adatkezelésre
vonatkozó tájékoztató elkészítése és az adatvédelmi hatásvizsgálat teljes körű lefolytathatósága érdekében;
d) az adatfeldolgozó vállalja, hogy a rendőrségi adatkezelő szerv előzetes írásbeli hozzájárulása nélkül nem vesz
igénybe további adatfeldolgozót, a további adatfeldolgozó igénybevétele esetén pedig az betartja a rendőrségi
adatkezelő szerv, valamint az adatfeldolgozó között létrejött adatfeldolgozói szerződésben foglaltakat;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges
mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához
kapcsolódó kérelmek megválaszolása tekintetében;
f ) az adatfeldolgozó köteles segítséget nyújtani a rendőrségi adatkezelő szerv részére az érintett tájékoztatásra
vonatkozó kötelezettségének teljesítése során, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó
rendelkezésére álló információkat;
g) az adatfeldolgozó köteles az adatfeldolgozói szerződés teljesítését követően – a rendőrségi adatkezelő szerv
döntése alapján – valamennyi, a részére átadott személyes adatot törölni, megsemmisíteni vagy azokat
visszajuttatni a rendőrségi adatkezelő szerv részére, beleértve az arról készített másolatokat is, kivéve,
ha jogszabály a személyes adatok további tárolását írja elő, vagy azok az alkalmazott technikai megoldások
jellemzőiből eredően nem törölhetők;
h) az adatfeldolgozó köteles a rendőrségi adatkezelő szerv rendelkezésére bocsátani minden olyan információt,
amely az adatfeldolgozói tevékenységből származó kötelezettségek teljesítésének igazolásához szükséges,
továbbá amely lehetővé teszi és elősegíti a rendőrségi adatkezelő szerv vagy az általa megbízott más ellenőr
által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
40. A rendőrségi adatkezelő szerv kizárólag olyan adatfeldolgozót vehet igénybe, aki vagy amely megfelelő garanciát
nyújt az adatkezelés jogszabályban foglalt követelményeinek történő megfelelés, és az érintettek jogainak védelmét
biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. A rendőrségi adatkezelő szerv ezzel
kapcsolatos döntésének előkészítésében az adatvédelmi tisztviselő és az érintett rendőri szerv elektronikus
információbiztonságért felelős vezetője közreműködik.
41. Az adat megismerésére vagy továbbítására vonatkozó kérelem esetén az érdemi döntést a rendőrségi adatkezelő
szerv vezetője vagy az általa kijelölt személy köteles, illetve jogosult meghozni, erre az adatfeldolgozó figyelmét
az adatfeldolgozói szerződésben is fel kell hívni.
8. Az adatvédelmi hatásvizsgálat lefolytatása és az előzetes konzultáció kezdeményezése
42. Az adatkezelést előíró vagy a végrehajtása során adatkezelést eredményező döntés, így különösen az adatkezelő
szerv hatáskörébe tartozó, az adatok korábbiaktól eltérő kezelését előíró norma, eljárásrend, valamint az azt
eredményező eszköz, nyilvántartás vagy elektronikus információs rendszer alkalmazásának előkészítése során
az adatvédelmi tisztviselő előzetes adatvédelmi kockázatelemzést végez, ennek keretében azonosítja az adatkezeléssel
érintett személy jogaira nézve megjelenő – jogszabály által vagy a NAIH joggyakorlatában nevesített – lehetséges
kockázatokat.
43. Az adatvédelmi tisztviselő kockázatelemzési feladata kapcsán kikérheti a tervezett adatkezelés által érintett személyek,
a döntés végrehajtásáért felelős szakterület, valamint az azzal érintett elektronikus információs rendszerek
üzemeltetésében részt vevő vagy biztonságáért felelős személyek véleményét, azonban az nem eredményezheti
a döntés előkészítésének szükségtelen elhúzódását.
44. Amennyiben a tervezett adatkezelés kapcsán annak körülményeire, így különösen céljára, az érintettek körére,
az adatkezelési műveletek során alkalmazott technológiára tekintettel – az adatkezeléssel várhatóan érintett
személyek jogaira nézve – valószínűsíthetően magas kockázatot az adatvédelmi tisztviselő nem azonosít, vagy
megállapítható, hogy az adatkezelés az adatvédelmi hatásvizsgálat lefolytatása alóli mentesítést tartalmazó valamely
jogszabályban meghatározott kivételi körbe tartozik, úgy ennek tényét írásban rögzíti. Az adatvédelmi tisztviselő
az adatkezelés megkezdését követően köteles ezt bejegyezni az adatkezeléshez kapcsolódó dokumentációba,
így különösen feltüntetni a rendőrségi adatkezelő szerv adatvédelmi nyilvántartásában.
45. Az adatvédelmi tisztviselő – a döntése alapjául szolgáló legfontosabb szempontokat írásban megjelölve – adatvédelmi
hatásvizsgálat lefolytatását kezdeményezi a rendőrségi adatkezelő szerv vezetőjénél
a) a jogszabályi rendelkezés alapján adatvédelmi hatásvizsgálattal kötelezően vizsgálandó adatkezelési
tevékenységek esetén;
b) a dokumentált módon lefolytatott előzetes kockázatelemzés eredményeként valószínűsíthetően magas
kockázatot jelentő adatkezelésként azonosított tevékenységek, folyamatok vagy tervezetek esetében.
46. A rendőrségi adatkezelő szerv vezetője az adatvédelmi tisztviselő javaslatára elrendeli az adatvédelmi hatásvizsgálat
lefolytatását vagy írásban rögzíti mellőzésének okait és az adatvédelmi tisztviselő kapcsolódó álláspontját.
Az adatvédelmi hatásvizsgálat lefolytatásáig vagy az annak elmaradásával kapcsolatos okok írásban történő
rögzítéséig az adatkezelésről szóló döntés nem hozható meg.
47. Az adatvédelmi hatásvizsgálat lefolytatására a döntés végrehajtásáért felelős szakterület, valamint az azzal érintett
elektronikus információs rendszerek üzemeltetését ellátó vagy az elektronikus vagy fizikai biztonságáért felelős
szakterület résztvevőt jelöl ki. Az adatvédelmi hatásvizsgálat lefolytatását az adatvédelmi tisztviselő támogatja, abban
az adatvédelmi megbízott részt vehet. Amennyiben annak jogszabályban meghatározott feltételei fennállnak, akkor
ki kell kérni az adatkezeléssel érintett személyek vagy az azok képviseletét ellátó szervezet kapcsolódó véleményét.
48. Az adatvédelmi hatásvizsgálat során keletkezett iratok esetében vizsgálni kell, hogy azok tartalmaznak-e a rendőrségi
adatkezelő szerv döntését előkészítő olyan adatokat, amelyekre figyelemmel szükséges a „Nem nyilvános!” jelzés
feltüntetése.
49. A rendőrségi adatkezelő szerv vezetője köteles megvizsgálni, hogy a hatásvizsgálat során keletkezett adatok vagy
azok egy része esetében fennállnak-e a minősítés jogszabályban meghatározott feltételei.
50. Az adatvédelmi hatásvizsgálat eredményeiről minősített adatot nem tartalmazó összefoglaló jelentést kell készíteni,
amely tartalmazza
a) a hatásvizsgálat lefolytatásának okait;
b) a hatásvizsgálatra vonatkozó szerep- és felelősségi köröket;
c) a hatásvizsgálat során alkalmazott módszertan leírását;
d) az adatkezelés folyamatának bemutatását;
e) az adatvédelmi alapelveknek történő megfelelést;
f ) az érintetti jogok biztosításának módját;
g) az érintettek alapvető jogainak érvényesülését fenyegető kockázatok leírását és jellegét;
h) az adatbiztonsági intézkedések értékelését;
i) a jogszerűség biztosítása érdekében tervezett intézkedések leírását és a végrehajtásának feladattervét.
51. Az adatvédelmi hatásvizsgálat összefoglaló jelentését a rendőrségi adatkezelő szerv vezetője hagyja jóvá.
Az összefoglaló jelentést és a kapcsolódó adatvédelmi tisztviselői véleményt nyilvántartásba vétel céljából meg kell
küldeni az ORFK adatvédelmi tisztviselőjének.
52. Az adatvédelmi hatásvizsgálatról szóló összefoglaló jelentés döntés előkészítéséhez nem szükséges részei
felhasználhatók az adatkezelésre vonatkozó tájékoztatóban, illetve az adatkezelés nyilvántartási adatlapján.
53. Az ORFK adatvédelmi tisztviselőjének előzetes tájékoztatását követően a rendőrségi adatkezelő szerv előzetes
konzultációt kezdeményez a NAIH-nál, amennyiben azt jogszabály kötelezően előírja, vagy az adatvédelmi
hatásvizsgálat arra az eredményre jut, hogy a tervezett adatkezelés jelentette kockázat nem mérsékelhető
a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon.
54. A rendőrségi adatkezelő szervek széles körét érintő adatkezelést előíró vagy a végrehajtása során adatkezelést
eredményező döntések előkészítése során az előzetes adatvédelmi kockázatelemzést az ORFK folytatja le.
9. A Rendőrség egységes elektronikus adatvédelmi nyilvántartása és a rendőrségi adatkezelő szervek
adatvédelmi nyilvántartása
55. A Rendőrség honlapján közzé kell tenni a Rendőrség egységes elektronikus adatvédelmi nyilvántartását, amely
tartalmazza a rendőrségi adatkezelő szervek által folytatott adatkezelések jellemzőit és az azokhoz kapcsolódó
érintetti jogokat rögzítő érintetti tájékoztatókat.
56. A rendőrségi adatkezelő szerv a Rendőrség egységes elektronikus adatvédelmi nyilvántartásának vezetése céljára
létrehozott iktatókönyvében (a továbbiakban: Iktatókönyv) nyilvántartásba vett, az adatkezelés főbb jellemzőit
ismertető adatlapokból álló adatvédelmi nyilvántartást vezet. Az adatlapon kötelező adattartalomként szerepeltetni
kell
a) a közös adatkezelő nevét, elérhetőségét, vezetőjének vagy képviselőjének és az adatvédelmi tisztviselőjének
a nevét és elérhetőségét;
b) az adatkezelés rövid megnevezését;
c) az adatkezelés célját és esetleges részcéljait;
d) az adatkezelés jogszerűségét biztosító jogalapot, az azt biztosító jogszabály helyének megjelölésével,
jogi kötelezettség teljesítése esetén az annak tartalmát pontosan meghatározó uniós vagy nemzeti jogszabály
helyének megjelölésével;
e) az adatkezeléssel érintett személyes adatok körének ismertetését, külön nevesítve a személyes adatok
különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra
és a bűncselekményekre vonatkozó személyes adatok kezelését;
f ) az adatkezeléssel feltételezhetően érintett személyek körét;
g) az adatkezelés lehetséges címzettjeinek kategóriáit, akiknek a személyes adatokat továbbítják;
h) az igénybe vett adatfeldolgozó nevét, elérhetőségét, vezetőjének vagy képviselőjének nevét;
i) a harmadik országbeli személyek vagy szervezetek, nemzetközi szervezetek részére történő adattovábbítás
esetén annak címzettjét, az érintett adatkört és annak célját és jogalapját;
j) az adatkezelés időtartamát vagy az annak meghatározására irányadó szempontokat;
k) amennyiben lehetséges, az adatbiztonsági intézkedések általános leírását, illetőleg az iratkezelésre és/vagy
az informatikai biztonsági szabályzatra vonatkozó belső norma kapcsolódó rendelkezéseit meghatározó
pontjaira történő utalást.
57. A rendőrségi adatkezelő szerv az általa végzett adatkezelések jellemzőit köteles az adatvédelmi tisztviselő útján
a Rendőrség honlapján közzétenni, és annak naprakész vezetéséről gondoskodni. Kizárólag olyan adatkezelés tehető
közzé, amelynek érintetti tájékoztatóját a rendőrségi adatkezelő szerv vezetője jóváhagyta, és az a rendőrségi
adatkezelő szerv külön iktatókönyvében nyilvántartásba vételre került.
58. A rendőrségi adatkezelő szerv az adatkezelési tevékenységében bekövetkező változást, így különösen új adatkezelési
tevékenység megkezdését vagy megszüntetését haladéktalanul átvezeti az adatvédelmi nyilvántartásában,
és az adatvédelmi tisztviselője útján gondoskodik annak a Rendőrség honlapján történő közzétételéről.
59. A Rendőrség honlapján kizárólag az ORFK adatvédelmi tisztviselője által létrehozott Iktatókönyvben nyilvántartásba
vett érintetti tájékoztató tehető közzé.
60. Amennyiben a rendőrségi adatkezelő szerv olyan új, személyes adatok kezelésével járó tevékenységet kíván folytatni,
amelynek érintetti tájékoztatója még nem található meg a Rendőrség egységes elektronikus adatvédelmi
nyilvántartásában, úgy köteles – még a változás rendőrségi adatkezelő szervnél vezetett adatvédelmi nyilvántartásában
történő bejegyzését megelőzően – arról az ORFK adatvédelmi tisztviselőjét tájékoztatni.
61. A Rendőrség egységes elektronikus adatvédelmi nyilvántartásában korábban még nem szereplő adatkezelés
jogszerűségének vizsgálatát – így különösen az alapelveknek történő megfelelést és a kapcsolódó dokumentáció
teljességét –, valamint az új adatlappal történő kiegészítését az ORFK adatvédelmi tisztviselője, szükség esetén
az elektronikus információbiztonságért felelős vagy a vizsgált adatkezelésben érintett szakterület bevonásával végzi.
62. Országos szintű adatkezelést az országos rendőrfőkapitány vagy a szakterület szerint hatáskörrel rendelkező
helyettese, területi szintű adatkezelést az adatkezelő területi szerv vezetője, helyi szintű adatkezelést az adatkezelő
helyi szerv vezetője jogosult írásban elrendelni.
10. Az adatigénylés és a lekérdezés során irányadó szabályok
63. A rendőrségi adatkezelő szerv feladataihoz kapcsolódó egyes eljárások során az országos hatósági nyilvántartásokból
vagy más célból kezelt adatbázisokból lekért vagy átvett, de az ügy szempontjából érdektelenné vált vagy fel nem
használt személyes adatok esetében az ügy előadója az ügyirat továbbítását, illetőleg irattárba helyezését megelőzően
gondoskodik azok dokumentált törléséről, illetve megsemmisítéséről.
64. Az olyan elektronikus információs rendszerek esetében, ahol az adatkezelés célját, az érintett adatokat, illetve
az adatkezelést folytató személy azonosítását lehetővé tevő adatok és az elvégzett műveletek folyamatos és zárt
rendszerben történő naplózása nem biztosított, a törvényi előírások teljesítése érdekében más módon – így különösen
manuálisan vezetett lekérdezési napló vagy a nyilvántartásból történő lekérdezéshez alkalmazott információs
rendszerben történő rögzítéssel – kell gondoskodni az adatkezelési művelet céljának dokumentálásáról.
65. Az adatkérés naplózására irányadó szabályokat megfelelően alkalmazni kell a rendőrségi adatkezelő szerv állománya
részére az ügyeleti szolgálat és a tevékenység-irányítási központ által teljesített adatszolgáltatás esetén is. A naplózási
tevékenységet az adatvédelmi tisztviselő rendszeresen, de legalább félévente dokumentált módon ellenőrzi.
66. A folyamatos ügyeleti vagy tevékenység-irányítási szolgálatot ellátók esetében az adatbázisba történő belépés
és abból történő adattovábbítás csak az ügyeleti vagy tevékenység-irányítási szolgálatot ellátó személy saját
hozzáférési kódjának felhasználásával történhet. Az ügyeleti vagy tevékenység-irányítási szolgálatot ellátók a szolgálat
átadásakor kötelesek kilépni a számítógépes rendszerekből, a szolgálatba lépők pedig saját jogosultságuk és azonosító
kódjuk alapján belépni a rendszerekbe.
67. Az elrendelt akciók, fokozott ellenőrzések időtartamára az adatkérésre jogosultak körét, a hozzáférés módját,
az adatszolgáltatás naplózásának rendjét, valamint ezen átmeneti intézkedések hatályának lejártát az akció vagy
a fokozott ellenőrzés elrendeléséről szóló intézkedésben vagy az annak végrehajtására készített tervben kell
meghatározni.
11. Adattovábbítás a Rendőrség által kezelt személyes adatokból
68. Az adatkezelő rendőri szerv az adattovábbítás feltételeinek meglétét minden egyes személyes adattal összefüggésben
köteles ellenőrizni, így különösen azt, hogy az igényelt adatokra vonatkozóan az adatok kezelőjének minősül-e.
69. Adatvédelmi szempontból akkor tekinthető az adattovábbítás jogszerűnek, ha a személyes adatot kezelő szerv vagy
személy jogosult annak továbbítására, az adattovábbítás címzettje (adatkérő) pedig rendelkezik az adat kezeléséhez
szükséges jogalappal vagy az érintett írásos – a vonatkozó jogszabályi elvárásoknak megfelelő tartalmú –
hozzájárulásával, és az adatkérés célja mindezzel összhangban van. Az adattovábbítás feltételeinek megléte
és a célhoz kötöttség a jogszerűség együttes követelménye.
70. Harmadik személy vagy szerv által benyújtott adattovábbítási kérelem elbírálása – a törvényben kötelezően előírt
adattovábbítás esetét kivéve – a rendőrségi adatkezelő szerv vezetőjének vagy az általa kijelölt vezetőnek
a hatáskörébe tartozik, azzal kapcsolatban köteles kikérni az adatvédelmi tisztviselő véleményét. Az adatigénylés
abban az esetben teljesíthető, ha az tartalmazza
a) az adatigénylés célját, jogalapját;
b) a kért adatok körének pontos meghatározását;
c) az érintett személy azonosításához szükséges adatokat, több személyre vonatkozó adatigénylés esetén
az érintettek azonosításához szükséges csoportképző ismérveket. 71. Amennyiben az adatigénylés olyan személyes adatra vonatkozik, amely esetében az adatkezelő más szerv, a rendőrségi
adatkezelő szerv pedig az érintett adatállományból csak adatkérésre jogosult, az adatkérést – törvény eltérő
rendelkezése hiányában – el kell utasítani, és az adatkérőt tájékoztatni kell arról, hogy a kért adatokat mely adatkezelő
szervtől igényelheti.
72. Az adattovábbítás történhet kérelem alapján egyedi adatszolgáltatással, illetőleg – törvény ilyen tartalmú rendelkezése
vagy erre vonatkozó megállapodás alapján – közvetlen hozzáférés biztosításával.
12. Adattovábbítási nyilvántartás 73. Amennyiben olyan adat továbbítására kerül sor, amellyel kapcsolatban az adattovábbítást végző rendőrségi
adatkezelő szerv – a személyes adat érintettjének a természetes személyeknek a személyes adatok kezelése
tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül
helyezéséről szóló Európai Parlament és Tanács 2016/679 számú rendelete vagy az információs önrendelkezési jogról
és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) által biztosított jogait érintő –
adatkezelési korlátozást jelzett, az adatkezelési korlátozást szerepeltetni kell az adattovábbítási nyilvántartásban.
74. Az olyan elektronikus információs rendszerek esetében, ahol a folyamatos és zárt rendszerben történő naplózás nem
biztosított, valamint manuális adatkezelések esetén az adatkezelés célját, az érintett adatokat, illetve az adatkezelést
folytató személy azonosítását lehetővé tevő adatokra és az elvégzett műveletekre vonatkozóan papíralapú
adattovábbítási nyilvántartás vezetéséről kell gondoskodni.
13. A közvetlen lekérdezés 75. A közvetlen lekérdezést biztosító rendszert – a lekérdezés és a felhasználás jogszerűségének dokumentálása
érdekében – úgy kell kialakítani, hogy
a) a személyes adatokhoz történő hozzáférés egyedi azonosító és jelszó megadásához kötötten történjen;
b) a lekérdezés naplózása biztosított legyen;
c) a hozzáférésre felhatalmazott munkatárs a lekérdezéskor a rendszer erre a célra kialakított állományában
rögzíteni tudja az adatkérés céljára utaló adatot, így különösen az ügyszámot.
76. Amennyiben a lekérdezéskor nincs lehetőség a közvetlen lekérdezést biztosító rendszerben a lekérdezés céljának
rögzítésére, a lekérdezést végző köteles dokumentálni a lekérdezéssel érintett adatbázis megjelölését, a lekérdezés
időpontját és célját.
77. A rendőri szervek személyi állományának tagja részére közvetlen hozzáférési jogosultság igénylésének
kezdeményezésére az érintett legalább osztályvezető jogállású vezetője jogosult (a továbbiakban: kezdeményező
vezető). A jogosultságok kiadását, jogszerűségét az adatvédelmi tisztviselő ellenőrizheti.
78. A rendőrségi adatkezelő szerv adatkezelése esetén a kezdeményező vezető gondoskodik a közvetlen hozzáférési
jogosultság beállítása érdekében készített elektronikus igénylés adatkezelő szerv részére történő továbbításáról.
79. A nem rendőri szerv adatkezelése esetén a kezdeményezést a rendőrségi adatkezelő szerv vezetője által kijelölt
személy részére kell továbbítani, aki az adatkezelő szervnek küldi meg a közvetlen hozzáférési jogosultság beállítására
vonatkozó elektronikus igénylést.
80. A közvetlen hozzáférési jogosultsággal rendelkezők naprakész, egyedi azonosítójával ellátott névjegyzékét
(a továbbiakban: hozzáférésre jogosultak nyilvántartása) a rendőrségi adatkezelő szerv vezetője által kijelölt személy
vezeti, akinek a részére az elektronikus igénylés egy példányát meg kell küldeni.
81. A közvetlen hozzáférési jogosultsággal rendelkező személy munkakörét érintő változás, illetőleg a jogviszonyának
megszűnése esetén a kezdeményező vezető köteles kezdeményezni a jogosultság módosítását, illetőleg visszavonását.
A kezdeményezés egy példányát továbbítani kell a hozzáférésre jogosultak nyilvántartására kijelölt személynek.
82. A közvetlen hozzáférési jogosultsággal rendelkező személy kizárólag a munkaköri feladatainak ellátásával
kapcsolatban – a célhoz kötöttség elvének szem előtt tartásával – a feladatkörének ellátásához szükséges adatokat
kérheti le és használhatja fel.
83. A közvetlen hozzáférési jogosultsággal rendelkező személy a jelszavát más személynek nem hozhatja tudomására.
84. A közvetlen lekérdezés törvényi feltételeinek fennállása esetén a rendőrségi adatkezelő szerv a nem rendőri
adatigénylő szervnél megállapodás megkötését kezdeményezi
a) a rendszer igénybevételének feltételei;
b) a rendszer használatának technikai és adatbiztonsági követelményei;
c) a költségviselés rendjének
rögzítése céljából.
85. A megállapodás tartalmazza különösen
a) a közvetlen lekérdezések célját;
b) az adatokhoz történő hozzáférés jogalapját;
c) a lekérhető adatfajtákat;
d) a lekérdezésre feljogosított személyi kör megjelölését;
e) az adatok jogszerű felhasználására felhívó záradékot;
f ) a közvetlen lekérdezésre irányadó, jelen címben meghatározott előírásokat.
14. Adattovábbítás hírközlő eszköz alkalmazásával 86. A rendőrségi nyilvántartásokban kezelt személyes adatot hírközlő eszközön csak a rendőrségi adatkezelő szervek
állománya számára, ügyeleti szolgálat, tevékenység-irányítási központ vagy a szerv szervezeti és működési
szabályzatában vagy ügyrendjében erre kijelölt szervezeti elem továbbíthat. Ettől eltérni csak halaszthatatlan esetben,
az élet, a testi épség vagy a vagyonbiztonság megóvása érdekében lehet, amelynek lezárultát követően az eltérés
okait és a hírközlő eszközön adott tájékoztatás tartalmát dokumentálni kell, illetve azokat az adattovábbítási
nyilvántartásban rögzíteni szükséges.
87. Az adatigénylő jogosultságáról jelszó alkalmazásával, visszahívással vagy egyéb arra alkalmas módon meg kell
győződni. Ha az igénylő jogosultsága nem állapítható meg, a tájékoztatás hírközlő eszközön nem teljesíthető.
88. Hírközlő eszközön történő adatszolgáltatás esetén a legszükségesebb adatok közlésére kell szorítkozni.
15. Az érintettek jogai, valamint az érintett jogainak érvényesítésével összefüggő feladatok
89. Az érintettet megillető jogok gyakorlására – az adatkezelésre vonatkozó előzetes általános tájékozódáshoz való jog
kivételével – az érintettek adatainak védelmét szolgáló adatbiztonsági követelményeket szem előtt tartva csak
a kérelmező megfelelő azonosítása, illetve kérelme tartalmának hitelesítését biztosító követelmények fennállása
esetén van lehetőség. Nem biztosítható ezen jogok gyakorlása különösen az elektronikus aláírással nem hitelesített,
vagy a kérelmező személyének azonosítását nem biztosító elektronikus levél, valamint telefax útján érkezett kérelmek
esetén.
90. A rendőrségi adatkezelő szerv kizárólag bűncselekmények megelőzése, felderítése, büntetőeljárás lefolytatása vagy
büntetőjogi szankciók végrehajtása céljából folytatott adatkezelés kapcsán
a) törvény korlátozó rendelkezése alapján, vagy
b) személyes adatok más adatkezelő szervtől jogszabály alapján történt átvétele esetén az adattovábbító szerv
korlátozó rendelkezése alapján
tagadhatja meg az érintett tájékoztatását vagy hozzáférési jogának gyakorlását a megtagadás alapjául szolgáló
pontos törvényi rendelkezés, továbbá a bírósági jogorvoslat és a NAIH-hoz fordulás lehetőségének megjelölésével.
91. A rendőrségi adatkezelő szerv az érintett részére nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető
és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti. A rendőrségi
adatkezelő szerv az információt írásban, elektronikus úton, illetve az érintett kérelmére szóban is megadhatja,
amennyiben az érintett személyazonossága igazolt.
92. Az érintett hozzáférési jogának gyakorlása során a tájékoztatást és az adatról kért első másolatot díjmenetesen kell
biztosítani, kivéve, ha az érintett kérelme – annak ismétlődő jellege vagy jogszabályban, illetve a NAIH joggyakorlata
értelmében – túlzó. Ez esetben – eltérő jogszabályi rendelkezés hiányában – a rendőrségi adatkezelő szerv jogosult
észszerű, a közérdekű adat iránti igény teljesítéséért megállapítható költségtérítés mértékéről szóló jogszabály
előírásai szerint megállapított mértékű adminisztrációs díjat felszámítani.
16. Az adatvédelmi incidenskezelési eljárásrend 93. Az adatbiztonság sérülése, illetve a rendőrségi adatkezelő szerv által kezelt személyes adatok véletlen vagy jogellenes
megsemmisülése, elvesztése, módosulása, jogosulatlan továbbítása vagy nyilvánosságra hozatala, továbbá
az azokhoz való jogosulatlan hozzáférés (a továbbiakban: adatvédelmi incidens) bekövetkezését annak észlelését
követően azonnal jelenteni kell a szervezeti egység vezetőjének.
94. A szervezeti egység vezetője vagy az általa kijelölt személy a jelzést követően azonnal tájékozódik az eset lényeges
körülményeiről, és a kárenyhítési intézkedések megtétele mellett értékeli annak az érintettek jogaira nézve gyakorolt
hatásának súlyosságát.
95. A szervezeti egység vezetője vagy az általa kijelölt személy azonosítja, hogy az incidens valószínűsíthetően jár-e
az érintettre nézve fizikai, vagyoni vagy nem vagyoni károkozással. Amennyiben az adatvédelmi incidens
– jogszabályban rögzített vagy a NAIH joggyakorlata által kialakított jellemzők alapján – valószínűsíthetően
a) magas kockázattal jár a természetes személyek jogaira nézve, akkor azonnal és a szolgálati út kihagyásával
közvetlenül értesíti a szerv adatvédelmi tisztviselőjét;
b) kockázattal jár a természetes személyek jogaira nézve, akkor soron kívül és a szolgálati út kihagyásával
közvetlenül értesíti a szerv adatvédelmi tisztviselőjét;
c) nem jár kockázattal a természetes személyek jogaira nézve, akkor soron kívül és a szolgálati út betartásával
értesíti a szerv adatvédelmi tisztviselőjét. 96. Az értesítésnek tartalmaznia kell
a) a bekövetkezett incidens jellegét;
b) az incidenssel valószínűsíthetően érintett személyek körét;
c) a valószínűsíthetően érintett adatok kategóriáit, nagyságrendjét;
d) a megtett halaszthatatlan intézkedéseket.
97. Az adatvédelmi tisztviselő – a 95. pont a) alpontja szerinti esetben azonnal, a 95. pont b) alpontja szerinti esetben
soron kívül – megvizsgálja az értesítésben foglaltakat. A vizsgálatba szükség szerint bevonhatja a rendőrségi
adatkezelő szerv informatikai biztonságért felelős vezetőjét és biztonsági vezetőjét, a szervezeti egység vezetőjét
vagy a szakterület tekintetében szakértelemmel rendelkező személyeket.
98. Az adatvédelmi tisztviselő indokolatlan késedelem nélkül, de legkésőbb az adatvédelmi incidens észlelésétől
számított 72 órán belül a rendelkezésre álló adatokat bejelenti a NAIH-hoz az e célból rendszeresített felületen
keresztül, amennyiben az értesítésben foglaltak az adatvédelmi tisztviselő előzetes értékelése szerint
valószínűsíthetően helytállóak, és annak jogszabályban meghatározott feltételei fennállnak. A bejelentéssel
egyidejűleg az adatvédelmi tisztviselő tájékoztatja a rendőrségi adatkezelő szerv vezetőjét az adatvédelmi incidensről.
99. Ha a bejelentés 72 órán belül nem tehető meg, akkor a késedelmes jelentésben meg kell jelölni a késedelem okát,
az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
100. Az adatvédelmi tisztviselő a bejelentést követően intézkedik a kivizsgálás szükség szerinti pontosításáról,
és amennyiben megállapítja, hogy az incidens valószínűsíthetően magas kockázattal jár a természetes személyek
jogaira nézve, akkor – a rendőrségi adatkezelő szerv vezetőjének tájékoztatása mellett – tájékoztatnia kell
az érintetteket az adatvédelmi incidensről. Amennyiben arra észszerű módon nincs lehetőség, úgy az incidens főbb
jellemzőire vonatkozó értesítés soron kívüli közzétételét kezdeményezi a Rendőrség honlapján.
101. Az adatvédelmi tisztviselő az adatvédelmi incidensek nyilvántartását az információbiztonsági incidensés eseménykezelési folyamatra alkalmazandó informatikai támogató rendszer útján, az elektronikus
információbiztonságért felelős vezető közreműködésével végzi.
17. Ellenőrzés 102. A rendőrségi adatkezelő szervek vezetői kötelesek gondoskodni a NAIH feladat- és hatáskörével összefüggésben
végzett ellenőrzések eredményes végrehajtásához szükséges közreműködésről.
103. Az egyes rendőrségi adatkezelő szervek, szolgálati ágak, szolgálatok és szakszolgálatok szakmai tevékenységét érintő
átfogó ellenőrzéseknek ki kell terjedniük a szakmai feladatellátáshoz szükséges adatkezelések törvényességének
ellenőrzésére is.
104. A rendőrségi adatkezelő szerv adatvédelmi tevékenységének célellenőrzését az ORFK adatvédelmi tisztviselője
és a rendőrségi adatkezelő szerv szakirányítására jogosult szerv vezetője is elrendelheti.
105. A rendőrségi adatkezelő szerv adatvédelmi tisztviselője havonta köteles ellenőrizni az adatkezelő szervnél kiosztott
hozzáférési jogosultságok aktualizálásának végrehajtását. Az ellenőrzést – a hozzáférésre jogosultak nyilvántartása
alapján – a rendőrségi adatkezelő szerv rendszergazdájával (informatikai szakemberével) közösen kell végrehajtani.
106. Az adatvédelmi tisztviselő végzi az országos nyilvántartásokból történő lekérdezések során a célhoz kötött adatkezelés
elve érvényesülésének ellenőrzését. Az ellenőrzés végrehajtása során a közvetlen hozzáférési jogosultsággal
rendelkező személyek közül havi rendszerességgel kiválasztott jogosultak esetén – az adatkezelővel, illetőleg
az érintett szolgálati elöljárójával szükség szerint együttműködve – azt kell vizsgálni, hogy az ellenőrzésre kiválasztott
adatlekérdezés összefüggésben volt-e az érintett munkaköri feladatainak végrehajtásával kapcsolatos ügyintézéssel.
107. Az ellenőrzés megállapításairól, az esetlegesen feltárt hiányosságokról, jogszabály- vagy normasértésekről
az ellenőrzést végző az ellenőrzés befejezését követően írásban köteles tájékoztatni a rendőrségi adatkezelő szerv
vezetőjét, aki köteles haladéktala …
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.