← Magyarország

3/2019. (III. 20.) BVOP utasítása a büntetés-végrehajtási szervek Adatvédelmi és Adatbiztonsági Szabályzatáról.

Röviden

Ez az utasítás a büntetés-végrehajtási szervek adatvédelmi és adatbiztonsági szabályzatát határozza meg, biztosítva a személyes adatok védelmét és a közérdekű adatok nyilvánosságát.

Amit szabályoz

Akire vonatkozik

Főbb pontok

📄 Jogszabály szövege
3/2019. (III. 20.) BVOP utasítása a büntetés-végrehajtási szervek Adatvédelmi és Adatbiztonsági Szabályzatáról. A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján – figyelemmel az információs önrendelkezési jogról és az  információszabadságról szóló 2011. évi CXII. törvény 25/A. § (3), 30. § (6), valamint 35. § (3) bekezdésére – kiadom az alábbi utasítást: I. Általános rendelkezések 1. Az utasítás hatálya a  Büntetés-végrehajtás Országos Parancsnokságára (a továbbiakban: BVOP), a  büntetésvégrehajtási intézetekre és intézményekre, a  fogvatartottak kötelező foglalkoztatására létrehozott gazdasági társaságokra (a továbbiakban együtt: bv. szervek), valamint az  állományukban szolgálatot teljesítő hivatásos szolgálati jogviszonyban, rendvédelmi igazgatási szolgálati jogviszonyban, munkavállalói jogviszonyban, valamint közfoglalkoztatási jogviszonyban álló állománytagokra (a továbbiakban: személyi állomány) terjed ki. 2. Az utasítás hatálya kiterjed a bv. szervek valamennyi adatkezelésére, amely személyes adatra (ideértve a különleges, genetikai, biometrikus, egészségügyi, bűnügyi személyes adatot stb.) vagy közérdekű, illetve közérdekből nyilvános adatra vonatkozik, az  adatkezelés céljától (pl. munkáltatói, gazdasági, bűnüldözési stb.) az  adatkezelés típusától (papíralapú, digitálisan kezelt) és az adatkezelési műveletek során alkalmazott eljárástól függetlenül. A bv. szervek területén, illetve területét határoló külső falakon és kapujánál, valamint az  elítéltek szállítására szolgáló járműben elhelyezett elektronikus megfigyelési eszközök alkalmazása során jelen utasítás rendelkezései is irányadóak. 3. Az utasítás kibocsátásának célja a  személyes adatok védelméhez fűződő alapvető jogon alapuló információs önrendelkezési jog érvényesülése érdekében az adatvédelmi és adatbiztonsági előírások meghatározása, valamint a  közérdekű adatok megismeréséhez és terjesztéséhez fűződő alapvető jogon alapuló információszabadság érvényesülése érdekében a  bv. szervek kezelésében lévő közérdekű adatok megismerésére irányuló igények elbírálásával, valamint az  elektronikus formában közzéteendő adatok nyilvánosságra hozatalával összefüggő feladatok meghatározása. II. Az adatkezelő szerv vezetőjének felelőssége, feladat- és hatásköre 4. Az adatvédelemre és információszabadságra vonatkozó előírások alkalmazása során adatkezelő szerv vezetőjének kell tekinteni a bv. szervek vezetőit. 5. Az adatkezelő szerv vezetője felelős: a) a vezetése alá tartozó szerv adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és működtetéséért, ennek keretében a  szerv által kezelt személyes adatok védelméhez szükséges személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó műszaki és szervezési intézkedések megtételéért; b) az alárendelt személyi állomány adatvédelmi oktatásáért és továbbképzéséért; c) a vezetése vagy irányítása alá tartozó szerv tevékenységének rendszeres adatvédelmi ellenőrzéséért, az  ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért, a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért, az általa vezetett szerv közzétételi listáinak naprakészségéért; d) az adatkezeléssel érintettek az  Európai Parlament és a  Tanács a  természetes személyeknek a  személyes adatok kezelése tekintetében történő védelméről és az  ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló (EU) 2016/679 rendeletében (a továbbiakban: általános adatvédelmi rendelet), az  információs önrendelkezési jogról és az  információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.), valamint az adott adatkezelést szabályozó ágazati jogszabályban meghatározott jogainak gyakorolásához szükséges feltételek biztosításáért; e) az általa vezetett bv. szerv, illetve irányítása alá tartozó szervek tevékenységéért, azok törvényes és szakszerű működéséért, ezen belül az  irányítása alatt álló személyi állomány adatkezelői tevékenységéért, az adatvédelmi előírások, valamint a kapcsolódó ügyviteli és minősített adat védelmére vonatkozó szabályok betartásáért. 6. Az adatkezelő szerv vezetőjének személyes felelőssége nem zárja ki az egyes állománytagok felelősségét. 7. Amennyiben a  személyes adatokhoz való jog megsértése miatt a  bv. szervnek sérelemdíj, kártérítés fizetési kötelezettsége keletkezik, a  személyes adatokhoz fűződő jogsértést ténylegesen elkövető személy kilétének felderítésére mindent meg kell tenni, és amennyiben ez  sikerrel jár, vele szemben kártérítési eljárást kell kezdeményezni, ha annak feltételei fennállnak. 8. Az adatkezelő szerv vezetőjének feladat- és hatásköre: a) a jogszabály által a  feladat- és hatáskörébe utalt adatkezelési rendszerek egészének (nyilvántartások, adattárak, munkafolyamatok, információáramlások és feldolgozások, jogosultságok) kialakítása és irányítása, rendeltetésszerű működtetése, időszakos felülvizsgálata, b) a személyes adatok megfelelő biztonságának biztosítása érdekében az adatkezelések szervezeti és működési feltételeinek kialakítása, a működési és az adatbiztonsági követelmények érvényre juttatásának biztosítása, c) az érintettek jogai érvényesülésének biztosítása érdekében az érintettek megfelelő tájékoztatására, valamint az érintetti kérelmek határidőben történő elbírálására alkalmas eljárásrend kialakítása, d) az adatvédelmi és adatbiztonsági szabályok gyakorlati érvényesülésének ellenőrzése, intézkedés a hiányosságok felszámolására. III. A BVOP adatvédelmi tisztviselője 9. A BVOP adatvédelmi tisztviselője a BVOP Hivatal vezetője, helyettese a Jogi és Adatkezelési Főosztály vezetője. 10. Az adatvédelmi tisztviselő ellátja a  személyes adatok védelmével és a  közérdekű adatok nyilvánosságával kapcsolatos feladatokat, munkaköri leírásában ezen feladatokat rögzíteni kell. 11. A BVOP adatvédelmi tisztviselője feladatai: a) tájékoztatást nyújt és szakmai tanácsot ad a  vonatkozó európai uniós és hazai jogszabályokban foglalt adatvédelmi rendelkezések szerinti kötelezettségekről; b) figyelemmel kíséri az  adatvédelemmel és információszabadsággal összefüggő jogszabályváltozásokat, ellenőrzi a személyes és közérdekű adatok kezelésére vonatkozó jogszabályok és belső szabályozó eszközök érvényesülését; c) közreműködik, illetve segítséget nyújt az  adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában; d) közreműködik az adatvédelmi hatásvizsgálat lefolytatásában; e) gondoskodik a belső adatvédelmi és adatbiztonsági szabályzat folyamatos aktualizálásáról; f ) gondoskodik az adatvédelmi nyilvántartás és az adatvédelmi incidensek nyilvántartásának vezetéséről; g) adatvédelmi incidens bekövetkezése esetén haladéktalanul intézkedik annak kezelésére, valamint szükség esetén ellátja a  Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) részére történő bejelentéssel, illetve az  érintett tájékoztatásával kapcsolatos feladatokat; indokolt esetben a  szolgálati út betartása mellett büntető-, szabálysértési, fegyelmi eljárást vagy egyéb felelősségre vonást kezdeményez; h) a feladatkörébe tartozó bejelentéseket kivizsgálja, illetve kivizsgálásra továbbítja az illetékes adatkezelő szerv vezetőjének, valamint ellenőrzi a bejelentés tárgyában tett intézkedést; i) kapcsolatot tart a Hatósággal és a társszervekkel; j) nyilvántartást vezet a  BVOP vonatkozásában az  elutasított közérdekű adatigénylések számáról és az  elutasítások indokairól, és a  bv. szervek adatainak összesítését követően minden év január 31-éig tájékoztatja a Hatóságot az elutasított kérelmekről, valamint az elutasítások indokairól; k) tájékoztatja a  Hatóságot az  adatvédelmi tisztviselő adatairól (név, postai és elektronikus levélcím) és azok változásáról, továbbá gondoskodik ezen adatok a bv. szervezet honlapján történő közzétételéről; l) állásfoglalást ad a  BVOP szakterületei, valamint a  bv. szervek részére az  adatok nyilvánossága, megismerhetősége tárgyában; m) ellátja az Elektronikus információs rendszer biztonságáért felelős személy irányításán keresztül az SZMSZ-ben és a külön jogszabályban meghatározott feladatait; n) megszervezi az adatvédelmi tárgyú továbbképzéseket. 12. Az adatvédelmi tisztviselő feladatai elvégzéséhez szükséges mértékben – a minősített adatra vonatkozó szabályok megtartásával – korlátozás nélkül jogosult a  bv. szervek szakterületeinek adatkezeléseibe, az  azzal kapcsolatos ügyiratokba betekinteni. IV. A bv. szervek adatvédelmi tisztviselői 13. A bv. szervek vezetői kötelesek az  irányításuk alá tartozó személyi állományból az  adatvédelmi tevékenység irányítása, felügyelete és ellenőrzése érdekében – a  személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkező, a szerv jogszabályokban előírt, személyes adatok kezelésére vonatkozó kötelezettségei teljesítésének elősegítésére alkalmas – adatvédelmi tisztviselőt, valamint akadályoztatása esetére helyettest, helyetteseket kijelölni. Az  adatvédelmi tisztviselő egyéb feladatokkal csak az adatvédelmi feladatok ellátásának veszélye nélkül bízható meg. 14. Az adatvédelmi tisztviselő eljár a részére átruházott – munkaköri leírásában rögzített – adatvédelemmel összefüggő feladatkörökben, az  adatkezelő szerv vezetője ugyanakkor továbbra is felelős az  adatkezelés jogszerűsége érdekében hatáskörébe tartozó intézkedések megtételéért. Az adatvédelmi tisztviselő helyettesének, helyetteseinek adatvédelemmel összefüggő feladatkörei megegyeznek az  adatvédelmi tisztviselő adatvédelemmel összefüggő feladatköreivel. 15. Az adatvédelmi tisztviselő feladatai: a) tájékoztatást nyújt és szakmai tanácsot ad a  vonatkozó európai uniós és hazai jogszabályokban foglalt adatvédelmi rendelkezések szerinti kötelezettségekről; b) figyelemmel kíséri az  adatvédelemmel és információszabadsággal összefüggő jogszabályváltozásokat, ellenőrzi a személyes és közérdekű adatok kezelésére vonatkozó jogszabályok és belső szabályozó eszközök érvényesülését; c) közreműködik, illetve segítséget nyújt az  adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában; d) közreműködik az adatvédelmi hatásvizsgálat lefolytatásában; e) elkészíti az adatkezelő szerv adatvédelmet érintő belső szabályozó eszközeinek tervezetét; f ) vezeti az adatkezelő szerv adatvédelmi nyilvántartását, valamint az adatvédelmi incidensek nyilvántartását; g) kivizsgálja a bv. szerv adatkezelésével összefüggésben érkező panaszokat, kifogásokat; h) az adatkezelő szerv vezetőjének megbízásából ellenőrzi az  adatkezelő szervnél az  adatvédelmi követelmények megtartását, adatvédelmi incidens bekövetkezése esetén haladéktalanul intézkedik annak kezelésére, valamint szükség esetén ellátja a  Hatóság részére való bejelentéssel, illetve az  érintett tájékoztatásával kapcsolatos feladatokat; indokolt esetben az  adatkezelő szerv vezetőjénél kezdeményezi a felelősség megállapításához szükséges eljárás lefolytatását; i) a bejelentésköteles incidensekről a  jegyzőkönyv felterjesztésével jelentést tesz, továbbá a  honlapon közzététellel megvalósuló érintetti tájékoztatás esetén annak tervezetét jóváhagyás céljából azonnal felterjeszti a BVOP adatvédelmi tisztviselőjének; j) tájékoztatja a  Hatóságot az  adatvédelmi tisztviselő adatairól (név, postai és elektronikus levélcím) és azok változásáról, továbbá gondoskodik ezen adatok nyilvánosságra hozataláról; k) gondoskodik a bv. szerv személyi állományának oktatásáról; l) felügyeli az  adatkezelő szerv adattovábbítási tevékenységét, különös tekintettel a  nemzetközi együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást foglal az adatok továbbításának jogszerűségével kapcsolatban; m) közreműködik a kérelem tárgyában érintett szakterülettel az érintett hozzáférési joga gyakorlására vonatkozó kérelmére, illetve a közérdekű adat megismerésére irányuló kérelmekre adandó válasziratok elkészítésében; n) a beérkezett közérdekű adatigénylést haladéktalanul, az  elkészített választervezetet az  adatigénylés beérkezését követő 8 napon belül felterjeszti a BVOP adatvédelmi tisztviselője részére; o) az elutasított közérdekű adatigénylések számáról és az elutasítások indokairól nyilvántartást vezet, melynek éves összesítését a tárgyévet követő év január 10-ig felterjeszti a BVOP adatvédelmi tisztviselője részére; p) ellátja mindazon feladatokat, amelyeket a  bv. szerv adatvédelmi és adatbiztonsági szabályzata részére feladatként meghatároz. 16. Az adatvédelmi tisztviselő adatvédelemmel összefüggő feladatainak ellátása során szükség szerint együttműködik az  informatikai szakterülettel és az  elektronikus információs rendszer biztonságáért felelős személlyel, valamint az adatkezeléssel érintett szakterületekkel. V. A bv. szervek által vezetett nyilvántartások és az adatvédelmi nyilvántartás 17. A bv. szervek az általuk kezelt személyes adatokról a Robotzsaru integrált ügyviteli, ügyfeldolgozó és elektronikus iratkezelő rendszerben e célból létrehozott iktatókönyvben adatvédelmi nyilvántartást vezetnek. 18. A bv. szerv által kezelt, személyes adatot tartalmazó adatkezelések adatvédelmi nyilvántartásba vételét az érintett szakterület az 1. melléklet szerinti adatlap megküldésével kezdeményezi az adatvédelmi tisztviselőnél. 19. A bv. szervek szakterületei gondoskodnak az  általuk kezelt személyes adatok vonatkozásában az  adatvédelmi adatlap folyamatos felülvizsgálatáról és szükség szerinti aktualizálásáról, az  adatvédelmi adatlap tartalmában bekövetkezett változás esetén az  aktualizált adatvédelmi adatlapot haladéktalanul továbbítják a  bv. szerv adatvédelmi tisztviselője részére. 20. A bv. szervek által kezelt személyes adatokba betekintésekről, valamint az adatok és azok kezelésével összefüggő információk érintett részére való rendelkezésre bocsátásáról az érintett szakterület a 2. melléklet szerinti betekintési nyilvántartást vezet, amely tartalmazza a) a betekintést/másolatot kérő, hozzáférési jogot gyakorló nevét, rendelkezésre álló azonosító adatait, b) a kérelem keltét, c) az igényelt adatok, illetve információk körét, d) a kérelem teljesítésének időpontját, e) a hozzáférés, betekintés korlátozásának vagy megtagadásának jogi és ténybeli indokait. 21. Az adattovábbításról a  3.  melléklet szerinti adattovábbítási nyilvántartást kell vezetni. A  nyilvántartás vezetése annak a  szakterületnek a  feladata, amely az  adattovábbítást végezte. A  törvényi előíráson alapuló, rendszeres adattovábbításokat elegendő a  nyilvántartásban egyszer, a  jogszabályi hely megjelölésével, az  adattovábbítási időpontok/időszakok megjelölésével, valamint az  érintett adatkör és személyi kör megjelölésével feltüntetni, azonban a jogszabályváltozás miatt bekövetkezett változásokat ebben az esetben is dokumentálni kell. 22. Az adattovábbítási nyilvántartás tartalmazza a) az érintett nevét, b) az adattovábbítás időpontját, c) az adattovábbítás célját és jogalapját, d) az adatigénylő nevét vagy megnevezését, e) a továbbított adatok fajtáját (maguk a  szolgáltatott adatok nem képezik az  adattovábbítási nyilvántartás részét). 23. A bv. szervnél rendszeresített személyes adatot kezelő elektronikus nyilvántartásokból is előállítható az adattovábbítási nyilvántartás, amennyiben az adattovábbítás e rendszeren keresztül történt. Az adattovábbítási nyilvántartásnak ebben az esetben is meg kell felelnie a tartalmi követelményeknek. 24. A bv. szervek az általuk kezelt adatokkal összefüggésben felmerült adatvédelmi incidensekről a 4. melléklet szerinti jegyzőkönyvekből álló nyilvántartást vezetnek, mely tartalmazza az incidens a) leírását, bekövetkezésének körülményeit (helye, időpontja, oka stb.), b) hatásait (érintetti jogok sérülése, érintetti kör nagysága stb.), c) kezelésére tett intézkedéseket (kezelés módja, időpontja, Hatóságnál való bejelentés, érintett értesítése esetén ennek ténye stb.). 25. A bv. szervek az elutasított közérdekű adatigénylésekről, valamint azok indokairól nyilvántartást vezetnek. VI. Az adatvédelmi hatásvizsgálat és az előzetes konzultáció 26. Valamennyi új vagy a korábbiaktól eltérő adatkezelést előíró vagy eredményező jogszabály vagy belső szabályozó eszköz, eljárásrend, eszköz vagy technológia bevezetését vagy változását megelőzően, az  előkészítés során az  adatvédelmi tisztviselő megvizsgálja, hogy a  tervezett adatkezelésnek várhatóan milyen hatásai lesznek az érintettek alapvető jogai érvényesülésére (a továbbiakban: előzetes kockázatbecslés). 27. Az előzetes kockázatbecslés során az  adatvédelmi tisztviselő az  általános adatvédelmi rendelet, illetve az  Infotv. rendelkezései alapján, a  Hatóság iránymutatásai figyelembevételével, szükség esetén az  érintett szakterületek véleményének kikérésével vagy bevonásával azonosítja a  tervezett adatkezeléssel járó várható kockázatokat az érintettek alapvető jogai érvényesülése vonatkozásában. Az adatvédelmi tisztviselő az előzetes kockázatbecslés eredményét írásban rögzíti. 28. Nem szükséges adatvédelmi hatásvizsgálatot lefolytatni, amennyiben az adatvédelmi tisztviselő megállapítja, hogy a) az előzetes kockázatbecslés alapján a tervezett adatkezelés valószínűsíthetően nem jár magas kockázattal, b) a tervezett adatkezelés a Hatóság által meghatározott kivételi körbe tartozik, c) a tervezett adatkezeléssel megegyező adatkezelés esetében korábban lefolytatott adatvédelmi hatásvizsgálat eredménye rendelkezésre áll, vagy d) a jogszabályban előírt adatkezelés esetében a jogalkotó lefolytatta előzetesen a hatásvizsgálatot. 29. Az adatvédelmi hatásvizsgálat lefolytatásáról vagy mellőzéséről az adatvédelmi tisztviselő által tett megállapítások figyelembevételével a bv. szerv vezetője dönt. 30. Az adatvédelmi hatásvizsgálat lefolytatásának elrendelése esetén a  bv. szerv vezetője a  tervezett adatkezelés tárgyát, formáját figyelembe véve kijelöli az abban részt vevő személyeket, illetve szakterületeket. 31. Az adatvédelmi hatásvizsgálat lefolytatásának mellőzése esetén annak indokait az  adatvédelmi tisztviselő írásban rögzíti, és az előzetes kockázatbecslés irataihoz csatolja. 32. Az adatvédelmi hatásvizsgálat lefolytatása során az általános adatvédelmi rendelet, illetve az  Infotv. rendelkezései alapján, a  Hatóság iránymutatásai figyelembevételével az  arra kijelölt csoport a  Hatóság honlapjáról letölthető adatvédelmi hatásvizsgálati szoftver („PIA software”) alkalmazásával rögzíti a) a tervezett adatkezelési műveletek általános leírását és az adatkezelés céljainak meghatározását, b) a tervezett adatkezelés céljaira figyelemmel az  adatkezelési műveletek vonatkozásában elvégzett szükségességi és arányossági vizsgálat eredményét, c) az érintett alapvető jogai érvényesülését fenyegető kockázatokat, d) a kockázatok kezelését célzó adatbiztonsági intézkedések részletes leírását és értékelését. 33. Az adatvédelmi hatásvizsgálat eredményéről összefoglaló jelentés készül, mely tartalmazza a  hatásvizsgálat lefolytatásának okait, a  lefolytatására kijelölt csoportban részt vevők szerep- és felelősségi köreit, a  32.  pontban foglaltakat, valamint annak megállapítását, hogy a  hatásvizsgálat alapján a  tervezett adatkezelés magas kockázatú-e. 34. A bv. szerv vezetője a  tervezett adatkezelés megkezdését megelőzően előzetes konzultációt kezdeményez a Hatósággal, amennyiben a) az adatvédelmi hatásvizsgálat eredményeként megállapításra kerül, hogy a  tervezett adatkezelés az érintettek alapvető jogai érvényesülésére nézve magas kockázattal jár, vagy b) a tervezett adatkezelés a  Hatóság honlapján közzétett hatásvizsgálati listán szereplő magas kockázatúnak minősített adatkezelés-típusnak minősül. 35. Az összefoglaló jelentés alapján az  adatkezelés megkezdését megelőzően a  bv. szerv vezetője meghatározza az  adatkezelés megvalósulásának nyomon követésében részt vevő személyeket, illetve szakterületeket és az adatkezelés felülvizsgálatának gyakoriságát és módszerét. VII. Az adatkezelések megkezdésének, az érintetti jogok érvényesítésének eljárásrendje 36. Az adatkezelés jogalapja az alábbiak figyelembevételével határozható meg: a) személyes adat az  általános adatvédelmi rendelet hatálya alá tartozó kezelésére az  általános adatvédelmi rendelet 6. cikkében, b) különleges adat az  általános adatvédelmi rendelet hatálya alá tartozó kezelésére az  általános adatvédelmi rendelet 9. cikkében, c) személyes adat az Infotv. hatálya alá tartozó bűnüldözési célú kezelésére az Infotv. 5. §-ában, d) különleges adat az Infotv. hatálya alá tartozó bűnüldözési célú kezelésére az Infotv. 5. §-ában felsorolt jogalapok alapján kerülhet sor. 37. A hozzájárulást – későbbi igazolhatósága érdekében – írásban kell rögzíteni. 38. A bv. szerv az  érintett részére az  adatkezelés megkezdése előtt vagy az  első adatkezelési művelet megkezdését követően haladéktalanul írásban rendelkezésre bocsátja a) az adatkezelő – bevonása esetén az adatfeldolgozó – megnevezését és elérhetőségeit, b) az adatvédelmi tisztviselő adatait (név, postai és elektronikus levélcím), c) az adatkezelés célját és d) az érintettet adatkezeléssel kapcsolatban megillető jogok (hozzáféréshez, helyesbítéshez, korlátozáshoz és törléshez való jog), valamint azok érvényesítése módjának (Hatósághoz vagy bírósághoz fordulás) ismertetését. 39. A bv. szerv az  érintett részére az  adatkezelés megkezdése előtt vagy az  első adatkezelési művelet megkezdését követően haladéktalanul tájékoztatást nyújt a) az adatkezelés jogalapjáról, b) a kezelt személyes adatok megőrzésének időtartamáról, c) a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az  adattovábbítás címzettjeinek köréről, d) a kezelt személyes adatok gyűjtésének forrásáról és e) az adatkezelés körülményeivel összefüggő minden további érdemi tényről. 40. Az érintettek 38–39.  pontban foglalt előzetes tájékoztatása az  adatkezelést végző szerv vagy szakterület kötelezettsége. Az előzetes tájékoztatás megtörténtét írásban rögzíteni kell. 41. Az érintett által benyújtott, hozzáféréshez, helyesbítéshez, az adatkezelés korlátozásához vagy törléshez való joga érvényesítésére irányuló kérelem elbírálása és megválaszolása a bv. szerv a kérelemmel érintett adatkezelést végző szakterületének feladata. 42. A bv. szervek kötelesek a  nyilvántartásba vett adatkezeléseiket időszakosan felülvizsgálni abból a  szempontból, hogy az  adatkezelés céljának megvalósulásához szükséges-e a  személyes adatok kezelése, illetve az  általános adatvédelmi rendelet és az  Infotv. rendelkezéseinek megfelel-e. Törvényben elrendelt kötelező adatkezelés esetén a felülvizsgálatot az adatkezelést elrendelő jogszabályban meghatározott gyakorisággal, ennek hiányában, továbbá nem kötelező adatkezelés esetén legfeljebb háromévente el kell végezni. A  felülvizsgálat körülményeit és eredményét írásban kell dokumentálni, az iratot tíz évig meg kell őrizni. VIII. Az adatvédelmi incidens kezelése 43. Adatvédelmi incidens bekövetkezésének észlelése esetén haladéktalanul jelentést kell tenni a bv. szerv szakterületi vezetőjének. 44. A szakterület vezetője haladéktalanul tájékozódik a  bekövetkezett adatvédelmi incidens körülményiről, szükség esetén az  adatvédelmi tisztviselő bevonásával felméri, hogy az  incidens valószínűsíthetően kockázatot eredményez-e az  érintettek jogai érvényesülése vonatkozásában, és intézkedik a  kárelhárítás, kárenyhítés érdekében. 45. A szakterület vezetője a) haladéktalanul értesíti az  adatvédelmi tisztviselőt az  adatvédelmi incidens bekövetkezéséről, és rendelkezésére bocsátja az  incidenssel kapcsolatban rendelkezésre álló iratokat és információkat, amennyiben az előzetes felmérés alapján valószínűsíthetően kockázattal jár az adatvédelmi incidens, b) írásban tájékoztatja az  adatvédelmi tisztviselőt az  adatvédelmi incidens bekövetkezéséről, amennyiben a felmérés során megállapítja, hogy nem jár kockázattal az incidens. 46. A 45.  pont a)  alpontja szerinti esetben az  adatvédelmi tisztviselő a  rendelkezésre álló iratok, információk alapján, valamint szükség esetén az  érintett szakterület(ek), illetve a  szükséges szakértelemmel rendelkező személy bevonásával elvégzi a kockázatbecslést a bekövetkezett adatvédelmi incidenssel összefüggésben. 47. Amennyiben a  kockázatbecslés eredménye alapján az  adatvédelmi incidens kockázattal jár az  érintettek jogai érvényesülése vonatkozásában, az adatvédelmi tisztviselő lehetőség szerint a tudomásszerzést követő 72 órán belül a  Hatóság honlapján elérhető adatvédelmi incidensbejelentő rendszeren keresztül megteszi a  bejelentést, ezzel egyidejűleg jelentést tesz a  bv. szerv vezetője felé a  bekövetkezett adatvédelmi incidensről. Amennyiben a bejelentés nem teljesíthető az előírt határidőben, a bejelentésben meg kell jelölni a késedelem okait. 48. Amennyiben a  kockázatbecslés eredménye alapján az  adatvédelmi incidens magas kockázattal jár az  érintettek jogai érvényesülése vonatkozásában, és nem áll fenn az  általános adatvédelmi rendeletben, illetve az  Infotv.-ben meghatározott mentesülési okok egyike sem, az  adatvédelmi tisztviselő haladéktalanul jelentést tesz a  bv. szerv vezetője felé, és dokumentált módon tájékoztatja az  érintetteket, vagy amennyiben a  közvetlen tájékoztatás aránytalan erőfeszítéssel járna, intézkedik a tájékoztatás közzétételéről a bv. szerv honlapján. IX. Eljárás a Hatóság fellépése esetén 49. Amennyiben a bv. szervnél a Hatóság a) vizsgálatot, b) adatvédelmi hatósági eljárást vagy c) titokfelügyeleti hatósági eljárást indít, az  érintett adatkezelő szerv adatvédelmi tisztviselője a  BVOP adatvédelmi tisztviselőjét – a  szolgálati út betartásával – haladéktalanul értesíti. 50. A Hatóság vizsgálatával, valamint az  adatvédelmi és a  titokfelügyeleti hatósági eljárással érintett adatkezelő szakterületi vezetője köteles a Hatóság részére a) minden szükséges tájékoztatást szóban és írásban megadni, b) az összes olyan adat megismerését és iratba való betekintést és a másolatok készítését lehetővé tenni, amely személyes adatokkal, közérdekű adatokkal vagy közérdekből nyilvános adatokkal összefügghet, c) biztosítani azokba a helyiségekbe való belépést, ahol adatkezelés folyik, valamint az adatkezelési műveletek végzéséhez használt eszközökhöz való hozzáférést, d) a minősített adatok megismerését elősegíteni. 51. Ha a  bv. szerv a  Hatóság adatvédelmi és titokfelügyeleti hatósági eljárásban hozott határozatát nem fogadja el, adatvédelmi hatósági eljárás esetén az adatvédelmi tisztviselő, titokfelügyeleti hatósági eljárás esetén a biztonsági vezető véleményének kikérését követően a  bírósági felülvizsgálat kezdeményezésére nyitva álló határidőn belül a bírósághoz fordulhat. 52. A bíróság jogerős döntéséig a  vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg. X. Adatbiztonsági intézkedések 53. A személyes adatok megfelelő szintű biztonságának biztosítása érdekében az egyes adatkezelésekhez a hozzáférési jogosultságot a  jogosult elöljárójának személyre szólóan kell megállapítania, figyelemmel a  kijelölt vagy felhatalmazott személy beosztására és az  ahhoz kapcsolódó jogszabályban meghatározott feladatra. A jogosultságot az érintett munkaköri leírásában is rögzíteni kell. Amennyiben a jogosultság megállapítására alapot adó körülményben változás történik, haladéktalanul intézkedni kell a jogosultság módosítására vagy visszavonására. 54. A jogosultságot megállapító vezető köteles gondoskodni arról, hogy a  betekintési és hozzáférési jogosultságok a  személyzeti változásokkal összhangban aktualizálásra kerüljenek. A  személyi állomány tagja jogviszonyának megszűnése esetén legkésőbb az  érintett utolsó munkában töltött napján intézkedni kell a  betekintési és hozzáférési jogosultságok visszavonására. A  leszerelő lap mindaddig nem írható alá, amíg a  betekintési, illetve hozzáférési jogosultság visszavonásának tényét a  leszerelő lap szignálásával az  arra hatáskörrel rendelkező szakterületek nem igazolták. 55. Közfoglalkoztatott kizárólag abban az  esetben láthat el ügykezelői, ügyviteli feladatokat, amennyiben a munkavégzés céljából rendelkezésére bocsátott adatok kezelése egyértelműen azonosítható, és esetleges későbbi adatsértés esetén bizonyítható, hogy ki és milyen mértékben ismerhette meg azokat, valamint amennyiben a közfoglalkoztatott a  jelen utasításban, a büntetés-végrehajtási szervezet Egységes Iratkezelési Szabályzatában és a büntetés-végrehajtási szervezet Informatikai Biztonsági Szabályzatában foglaltak ismeretéből beszámol, továbbá amennyiben nyilatkozatot tesz, amelyben felelősséget vállal az  adatvédelmi és adatbiztonsági szabályok betartásáért. 56. A személyes adatok fizikai biztonságának biztosítása érdekében az  adatkezelések során a  személyes vagy különleges adatot tartalmazó papíralapú iratokat, illetve adathordozókat páncélszekrényben vagy biztonsági zárral és szárazlakattal ellátott lemezszekrényben vagy biztonsági zárral, vasráccsal és szárazlakattal, illetve elektronikus védelemmel ellátott helyiségben kell őrizni. 57. Az elektronikus információs rendszerben keletkezett, feldolgozott vagy továbbított személyes adatok adminisztratív, fizikai és logikai védelmének – mely az  elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a  rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a  kockázatokkal arányos – biztosítása érdekében az  58–60.  pontban meghatározott intézkedéseket kell tenni. 58. Az adminisztratív védelem keretében gondoskodni kell szervezési, szabályozási, ellenőrzési intézkedések megtételéről, továbbá a védelemre vonatkozó oktatásról. 59. A fizikai védelem keretében biztosítani kell a  rendelkezésre állás és működőképesség megőrizhetőségének követelményeit. A  bv. szerv tulajdonában, használatában lévő hardvereszközöket kategorizálni kell a  hardvereszközön keletkezett, feldolgozott vagy továbbított adat kategóriának megfelelően. A  hardvereszközök védelmi intézkedéseinek kialakításánál figyelembe kell venni az  adat érzékenységét, és biztosítani kell az  adat magas fokú rendelkezésre állását. 60. A logikai védelmi megoldásoknak biztosítania kell az  adat bizalmassága és sértetlensége megőrizhetőségének követelményeit. A  logikai védelmi intézkedések kialakításánál figyelembe kell venni az  adat érzékenységét. A  védelmi intézkedések célja bizalmasság esetén, hogy az  adatot, információt csak az  arra jogosultak és csak a  jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a  felhasználásáról, sértetlenség esetén az adat tartalma és tulajdonságai az elvárttal megegyeznek. XI. A közérdekű adatok közzétételének és a közérdekű adatigénylések intézésének eljárási szabályai 61. A bv. szervek kötelesek a  bv. szervezet honlapján az  5.  melléklet szerinti adatokat közzétenni az  Infotv. 1. mellékletében meghatározott közlési és megőrzési időpontok szerint. 62. A honlapon közzéteendő adatok koordinálását a  Kommunikációs Főosztály a  tárgykör szerint illetékes szakterület közreműködésével végzi. A  honlap karbantartása a  BVOP-ra vonatkozóan a  Kommunikációs Főosztály, a  bv. szervekre vonatkozóan a bv. szerv vezetője által kijelölt személy feladata. 63. A BVOP tekintetében a közzéteendő adatok vonatkozásában az adatszolgáltatást a) az 5. melléklet I. Szervezeti, személyzeti adatai vonatkozásában – a 10. pont kivételével – a Humán Szolgálat vezetője, b) az 5.  melléklet I. Szervezeti, személyzeti adatai közül a  10.  pont, a  II. Tevékenységre, működésre vonatkozó adatai közül a 2., 4., 7. és 10. pontban meghatározottak vonatkozásában a Kommunikációs Főosztály vezetője, c) az 5. melléklet II. Tevékenységre, működésre vonatkozó adatai közül az 1., 6. és 13. pontban meghatározottak vonatkozásában a Jogi és Adatkezelési Főosztály vezetője, d) az 5. melléklet II. Tevékenységre, működésre vonatkozó adatai közül a 11. és 12. pontban meghatározottak vonatkozásában a szakmailag illetékes főosztály vezetője, e) az 5. melléklet III. Gazdálkodási adatok vonatkozásában – a 7–8. pont kivételével – a Közgazdasági Főosztály vezetője, f ) az 5.  melléklet III. Gazdálkodási adatai közül a  7.  pont vonatkozásában a  projektet koordináló főosztály vezetője, a 8. pont vonatkozásában a Műszaki és Ellátási Főosztály vezetője végzi. 64. A bv. szervek tekintetében a  közzéteendő adatok vonatkozásában az  adatszolgáltatásért a  bv. szervek vezetői felelősek. 65. A BVOP-ra vonatkozó közzétételi kötelezettség alá eső adatokat informatikai úton kell továbbítani a Kommunikációs Főosztály részére. Az informatikai úton történő továbbítás BVOP szervezetén belüli infrastrukturális feltételeit, azok működtetéséhez szükséges technikai segítségnyújtást az  Informatikai Főosztály biztosítja. Az  adatok továbbítását az  illetékes szakterületek a  továbbítandó adat mennyiségi és minőségi tulajdonságai függvényében főként elektronikus levélként vagy elektronikus levél csatolmányaként vagy jogosultsági rendszeren alapuló file/mappa megosztással (BVORG) – e-mailen történő értesítéssel egyidejűleg – végzik. 66. A közérdekű adatigénylés teljesítésére az  igény beérkezésétől számított legfeljebb 15 nap áll rendelkezésre, a határidő a bv. szervhez érkezést követő munkanapon kezdődik. 67. Az adatvédelmi tisztviselő az  adatigénylés beérkezését követően haladéktalanul megvizsgálja az  adatigénylést. Amennyiben az adatigénylés nem egyértelmű, a bv. szerv felhívja az adatigénylőt az igény pontosítására. 68. Ha az  adatigényléssel érintett adat elektronikus formában nyilvánosan elérhető, az  adatigénylés teljesíthető az adatot tartalmazó nyilvános forrás megjelölésével is. 69. Az adatvédelmi tisztviselő megvizsgálja, hogy az  igénylő nyújtott-e be azonos adatkörre vonatkozó adatigénylést. Amennyiben megállapításra kerül, hogy az  igényelt adatok megegyeznek az  azonos igénylő által egy éven belül benyújtott adatigénylésben szereplő adatokkal, a  bv. szerv nem köteles eleget tenni az  adatigénylésnek abban a  részében, feltéve, hogy az  azonos adatkörbe tartozó adatokban változás nem állt be. Ennek érdekében a  bv. szervek gondoskodnak az egy éven belül benyújtott közérdekű adatigényléseknek visszakereshetőségéről. 70. Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, vagy az adatigénylés teljesítése a bv. szerv alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, az  adatigénylés teljesítésére rendelkezésre álló 15 napos határidő egy alkalommal 15 nappal meghosszabbítható, erről a bv. szerv az adatigénylőt az igény beérkezését követő 15 napon belül tájékoztatja. 71. Az adatigénylés teljesítéséért az Infotv. 29. § (3)–(6) bekezdései alapján költségtérítés állapítható meg. 72. Az adatszolgáltatást a  bv. szerv az  Infotv. 29.  § (3)  bekezdése szerinti esetben a  66.  pontban foglalt határidőben, az  Infotv. 29.  § (4)  bekezdésében foglalt esetben a  költségtérítésnek az  adatigénylő általi megfizetését követő 15 napon belül teljesíti. 73. Amennyiben az igényelt közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is tartalmaz, a választervezet összeállításakor figyelemmel kell lenni a meg nem ismerhető adatok felismerhetetlenné tételére. 74. Az adatigénylés teljesítésének megtagadása esetén a  megtagadásról, annak indokairól, valamint a  rendelkezésre álló jogorvoslati lehetőségekről az adatigénylőt az igény beérkezését követő 15 napon belül tájékoztatni kell. XII. Ellenőrzés 75. Az adatkezelési rendelkezések betartásának ellenőrzésére jogosult: a) az adatkezelő szerv vezetője vagy az általa írásban kijelölt személy; b) az adatkezelő szerv adatvédelmi tisztviselője; c) a BVOP Ellenőrzési Szolgálatának és az  adatkezelő szerv ellenőrzési szolgálata állományának erre felhatalmazott tagja; d) a BVOP Jogi és Adatkezelési Főosztálya állományának erre felhatalmazott tagja; e) a belügyminiszter által írásban felhatalmazott személy; f ) a jogszabályban erre felhatalmazott személy. 76. Az ellenőrzésre feljogosított az  ellenőrzés céljára figyelemmel az  ellenőrzés érdekében minden olyan helyiségbe beléphet, ahol adatkezelés folyik, az adatkezelést végzőktől minden olyan kérdésben felvilágosítást kérhet, minden olyan adatkezelést megismerhet, vagy abba betekinthet, amely az  ellenőrzött szerv adatkezelési tevékenységével összefügg, és az adatok megismerését jogszabály nem korlátozza. 77. Az egyes bv. szervek, szakterületek szakmai tevékenységét érintő átfogó ellenőrzéseknek ki kell terjedniük a szakmai feladatellátáshoz szükséges adatkezelések törvényességének ellenőrzésére is. 78. Az ellenőrzés során feltárt hiányosságokról, esetleges jogszabály- vagy normasértésekről az  ellenőrzést végző az  ellenőrzés befejezését követően írásban köteles tájékoztatni az  adatkezelő szerv vezetőjét, aki köteles haladéktalanul megtenni a  jogszerű állapot helyreállításához szükséges intézkedéseket, illetve indokolt esetben elrendeli vagy kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását. XIII. Oktatás, tájékoztatás 79. A bv. szerv állományába újonnan felvételre került olyan személyeket, akik munkakörüknél fogva személyes adatokat kezelnek, az  adatvédelmi tisztviselő az  érintettek közvetlen vezetője kezdeményezésére köteles az  állományba vételt követő négy hónapon belül adatvédelmi oktatásban részesíteni, és részükre a szükséges jogszabályokat, belső normákat és egyéb segédanyagokat rendelkezésre bocsátani. 80. Az adatvédelmi tisztviselő az  adatkezelő szerv személyes adatok kezelését végző személyi állományát a  bekövetkezett adatvédelmi tárgyú jogszabály- és normaváltozásokról köteles tájékoztatni, indokolt esetben –  különösen a  jelentősebb adatvédelmi tárgyú normaváltozások vagy az  ellenőrzés során feltárt visszatérő vagy egyébként súlyos hiányosságok esetén – az érintett állomány kötelező adatvédelmi oktatását elvégezni. 81. Az adatvédelmi tisztviselő az  adatkezelő szerv információszabadsággal összefüggő feladatok ellátásáért felelős személyi állományát a  közérdekű adatok nyilvánosságával összefüggő jogszabály- és normaváltozásokról köteles tájékoztatni, indokolt esetben – különösen a  jelentősebb normaváltozások vagy az  ellenőrzés során feltárt visszatérő vagy egyébként súlyos hiányosságok esetén – az érintett állomány kötelező, információszabadság tárgyú oktatását elvégezni. 82. Az adatvédelmi tisztviselők rendszeres továbbképzéséről a BVOP adatvédelmi tisztviselője gondoskodik. XIV. Záró rendelkezések 83. Ez az utasítás a közzétételét követő napon lép hatályba. 84. Az utasítás hatálybalépésétől számított 60 napon belül a  bv. szervek vezetői kötelesek felülvizsgálni és jelen utasításnak megfelelően módosítani az irányításuk alá tartozó szerv adatvédelmi és adatbiztonsági szabályzatát. 85. A bv. szervek vezetői kötelesek a  42.  pontban foglalt felülvizsgálatot első alkalommal 2019. december 31-ig elvégezni. 86. Hatályát veszti a  büntetés-végrehajtási szervek Adatvédelmi és Adatbiztonsági Szabályzatának kiadásáról szóló 52/2017. (V. 31.) OP szakutasítás. Dr. Tóth Tamás bv. vezérőrnagy s. k., országos parancsnok

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.