📄 Jogszabály szövege
3/2019. (III. 20.) BVOP utasítása a büntetés-végrehajtási szervek Adatvédelmi és Adatbiztonsági Szabályzatáról.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján – figyelemmel az információs önrendelkezési
jogról és az információszabadságról szóló 2011. évi CXII. törvény 25/A. § (3), 30. § (6), valamint 35. § (3) bekezdésére – kiadom
az alábbi utasítást:
I.
Általános rendelkezések 1. Az utasítás hatálya a Büntetés-végrehajtás Országos Parancsnokságára (a továbbiakban: BVOP), a büntetésvégrehajtási intézetekre és intézményekre, a fogvatartottak kötelező foglalkoztatására létrehozott gazdasági
társaságokra (a továbbiakban együtt: bv. szervek), valamint az állományukban szolgálatot teljesítő hivatásos
szolgálati jogviszonyban, rendvédelmi igazgatási szolgálati jogviszonyban, munkavállalói jogviszonyban, valamint
közfoglalkoztatási jogviszonyban álló állománytagokra (a továbbiakban: személyi állomány) terjed ki.
2. Az utasítás hatálya kiterjed a bv. szervek valamennyi adatkezelésére, amely személyes adatra (ideértve a különleges,
genetikai, biometrikus, egészségügyi, bűnügyi személyes adatot stb.) vagy közérdekű, illetve közérdekből nyilvános
adatra vonatkozik, az adatkezelés céljától (pl. munkáltatói, gazdasági, bűnüldözési stb.) az adatkezelés típusától
(papíralapú, digitálisan kezelt) és az adatkezelési műveletek során alkalmazott eljárástól függetlenül. A bv. szervek
területén, illetve területét határoló külső falakon és kapujánál, valamint az elítéltek szállítására szolgáló járműben
elhelyezett elektronikus megfigyelési eszközök alkalmazása során jelen utasítás rendelkezései is irányadóak.
3. Az utasítás kibocsátásának célja a személyes adatok védelméhez fűződő alapvető jogon alapuló információs
önrendelkezési jog érvényesülése érdekében az adatvédelmi és adatbiztonsági előírások meghatározása, valamint
a közérdekű adatok megismeréséhez és terjesztéséhez fűződő alapvető jogon alapuló információszabadság
érvényesülése érdekében a bv. szervek kezelésében lévő közérdekű adatok megismerésére irányuló igények
elbírálásával, valamint az elektronikus formában közzéteendő adatok nyilvánosságra hozatalával összefüggő
feladatok meghatározása.
II.
Az adatkezelő szerv vezetőjének felelőssége, feladat- és hatásköre
4. Az adatvédelemre és információszabadságra vonatkozó előírások alkalmazása során adatkezelő szerv vezetőjének
kell tekinteni a bv. szervek vezetőit.
5. Az adatkezelő szerv vezetője felelős:
a) a vezetése alá tartozó szerv adatvédelmi és adatbiztonsági intézményrendszerének kiépítéséért és
működtetéséért, ennek keretében a szerv által kezelt személyes adatok védelméhez szükséges személyi,
tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó műszaki és szervezési intézkedések
megtételéért;
b) az alárendelt személyi állomány adatvédelmi oktatásáért és továbbképzéséért;
c) a vezetése vagy irányítása alá tartozó szerv tevékenységének rendszeres adatvédelmi ellenőrzéséért,
az ellenőrzés során esetlegesen feltárt hiányosságok vagy jogszabálysértő körülmények megszüntetéséért,
a személyi felelősség megállapításához szükséges eljárás kezdeményezéséért, illetve lefolytatásáért, az általa
vezetett szerv közzétételi listáinak naprakészségéért;
d) az adatkezeléssel érintettek az Európai Parlament és a Tanács a természetes személyeknek a személyes
adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint
a 95/46/EK rendelet hatályon kívül helyezéséről szóló (EU) 2016/679 rendeletében (a továbbiakban: általános
adatvédelmi rendelet), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi
CXII. törvényben (a továbbiakban: Infotv.), valamint az adott adatkezelést szabályozó ágazati jogszabályban
meghatározott jogainak gyakorolásához szükséges feltételek biztosításáért;
e) az általa vezetett bv. szerv, illetve irányítása alá tartozó szervek tevékenységéért, azok törvényes és szakszerű
működéséért, ezen belül az irányítása alatt álló személyi állomány adatkezelői tevékenységéért,
az adatvédelmi előírások, valamint a kapcsolódó ügyviteli és minősített adat védelmére vonatkozó szabályok
betartásáért.
6. Az adatkezelő szerv vezetőjének személyes felelőssége nem zárja ki az egyes állománytagok felelősségét.
7. Amennyiben a személyes adatokhoz való jog megsértése miatt a bv. szervnek sérelemdíj, kártérítés fizetési
kötelezettsége keletkezik, a személyes adatokhoz fűződő jogsértést ténylegesen elkövető személy kilétének
felderítésére mindent meg kell tenni, és amennyiben ez sikerrel jár, vele szemben kártérítési eljárást kell
kezdeményezni, ha annak feltételei fennállnak.
8. Az adatkezelő szerv vezetőjének feladat- és hatásköre:
a) a jogszabály által a feladat- és hatáskörébe utalt adatkezelési rendszerek egészének (nyilvántartások,
adattárak, munkafolyamatok, információáramlások és feldolgozások, jogosultságok) kialakítása és irányítása,
rendeltetésszerű működtetése, időszakos felülvizsgálata,
b) a személyes adatok megfelelő biztonságának biztosítása érdekében az adatkezelések szervezeti és működési
feltételeinek kialakítása, a működési és az adatbiztonsági követelmények érvényre juttatásának biztosítása,
c) az érintettek jogai érvényesülésének biztosítása érdekében az érintettek megfelelő tájékoztatására, valamint
az érintetti kérelmek határidőben történő elbírálására alkalmas eljárásrend kialakítása,
d) az adatvédelmi és adatbiztonsági szabályok gyakorlati érvényesülésének ellenőrzése, intézkedés
a hiányosságok felszámolására.
III.
A BVOP adatvédelmi tisztviselője 9. A BVOP adatvédelmi tisztviselője a BVOP Hivatal vezetője, helyettese a Jogi és Adatkezelési Főosztály vezetője.
10. Az adatvédelmi tisztviselő ellátja a személyes adatok védelmével és a közérdekű adatok nyilvánosságával
kapcsolatos feladatokat, munkaköri leírásában ezen feladatokat rögzíteni kell.
11. A BVOP adatvédelmi tisztviselője feladatai:
a) tájékoztatást nyújt és szakmai tanácsot ad a vonatkozó európai uniós és hazai jogszabályokban foglalt
adatvédelmi rendelkezések szerinti kötelezettségekről;
b) figyelemmel kíséri az adatvédelemmel és információszabadsággal összefüggő jogszabályváltozásokat,
ellenőrzi a személyes és közérdekű adatok kezelésére vonatkozó jogszabályok és belső szabályozó eszközök
érvényesülését;
c) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint
az érintettek jogainak biztosításában;
d) közreműködik az adatvédelmi hatásvizsgálat lefolytatásában;
e) gondoskodik a belső adatvédelmi és adatbiztonsági szabályzat folyamatos aktualizálásáról;
f ) gondoskodik az adatvédelmi nyilvántartás és az adatvédelmi incidensek nyilvántartásának vezetéséről;
g) adatvédelmi incidens bekövetkezése esetén haladéktalanul intézkedik annak kezelésére, valamint szükség
esetén ellátja a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) részére
történő bejelentéssel, illetve az érintett tájékoztatásával kapcsolatos feladatokat; indokolt esetben
a szolgálati út betartása mellett büntető-, szabálysértési, fegyelmi eljárást vagy egyéb felelősségre vonást
kezdeményez;
h) a feladatkörébe tartozó bejelentéseket kivizsgálja, illetve kivizsgálásra továbbítja az illetékes adatkezelő szerv
vezetőjének, valamint ellenőrzi a bejelentés tárgyában tett intézkedést;
i) kapcsolatot tart a Hatósággal és a társszervekkel;
j) nyilvántartást vezet a BVOP vonatkozásában az elutasított közérdekű adatigénylések számáról és
az elutasítások indokairól, és a bv. szervek adatainak összesítését követően minden év január 31-éig
tájékoztatja a Hatóságot az elutasított kérelmekről, valamint az elutasítások indokairól;
k) tájékoztatja a Hatóságot az adatvédelmi tisztviselő adatairól (név, postai és elektronikus levélcím) és azok
változásáról, továbbá gondoskodik ezen adatok a bv. szervezet honlapján történő közzétételéről;
l) állásfoglalást ad a BVOP szakterületei, valamint a bv. szervek részére az adatok nyilvánossága,
megismerhetősége tárgyában;
m) ellátja az Elektronikus információs rendszer biztonságáért felelős személy irányításán keresztül az SZMSZ-ben
és a külön jogszabályban meghatározott feladatait;
n) megszervezi az adatvédelmi tárgyú továbbképzéseket. 12. Az adatvédelmi tisztviselő feladatai elvégzéséhez szükséges mértékben – a minősített adatra vonatkozó szabályok
megtartásával – korlátozás nélkül jogosult a bv. szervek szakterületeinek adatkezeléseibe, az azzal kapcsolatos
ügyiratokba betekinteni.
IV.
A bv. szervek adatvédelmi tisztviselői 13. A bv. szervek vezetői kötelesek az irányításuk alá tartozó személyi állományból az adatvédelmi tevékenység
irányítása, felügyelete és ellenőrzése érdekében – a személyes adatok védelmére vonatkozó jogi előírások és
jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkező, a szerv jogszabályokban előírt, személyes adatok
kezelésére vonatkozó kötelezettségei teljesítésének elősegítésére alkalmas – adatvédelmi tisztviselőt, valamint
akadályoztatása esetére helyettest, helyetteseket kijelölni. Az adatvédelmi tisztviselő egyéb feladatokkal csak
az adatvédelmi feladatok ellátásának veszélye nélkül bízható meg.
14. Az adatvédelmi tisztviselő eljár a részére átruházott – munkaköri leírásában rögzített – adatvédelemmel összefüggő
feladatkörökben, az adatkezelő szerv vezetője ugyanakkor továbbra is felelős az adatkezelés jogszerűsége
érdekében hatáskörébe tartozó intézkedések megtételéért. Az adatvédelmi tisztviselő helyettesének, helyetteseinek
adatvédelemmel összefüggő feladatkörei megegyeznek az adatvédelmi tisztviselő adatvédelemmel összefüggő
feladatköreivel.
15. Az adatvédelmi tisztviselő feladatai:
a) tájékoztatást nyújt és szakmai tanácsot ad a vonatkozó európai uniós és hazai jogszabályokban foglalt
adatvédelmi rendelkezések szerinti kötelezettségekről;
b) figyelemmel kíséri az adatvédelemmel és információszabadsággal összefüggő jogszabályváltozásokat,
ellenőrzi a személyes és közérdekű adatok kezelésére vonatkozó jogszabályok és belső szabályozó eszközök
érvényesülését;
c) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint
az érintettek jogainak biztosításában;
d) közreműködik az adatvédelmi hatásvizsgálat lefolytatásában;
e) elkészíti az adatkezelő szerv adatvédelmet érintő belső szabályozó eszközeinek tervezetét;
f ) vezeti az adatkezelő szerv adatvédelmi nyilvántartását, valamint az adatvédelmi incidensek nyilvántartását;
g) kivizsgálja a bv. szerv adatkezelésével összefüggésben érkező panaszokat, kifogásokat;
h) az adatkezelő szerv vezetőjének megbízásából ellenőrzi az adatkezelő szervnél az adatvédelmi
követelmények megtartását, adatvédelmi incidens bekövetkezése esetén haladéktalanul intézkedik annak
kezelésére, valamint szükség esetén ellátja a Hatóság részére való bejelentéssel, illetve az érintett
tájékoztatásával kapcsolatos feladatokat; indokolt esetben az adatkezelő szerv vezetőjénél kezdeményezi
a felelősség megállapításához szükséges eljárás lefolytatását;
i) a bejelentésköteles incidensekről a jegyzőkönyv felterjesztésével jelentést tesz, továbbá a honlapon
közzététellel megvalósuló érintetti tájékoztatás esetén annak tervezetét jóváhagyás céljából azonnal
felterjeszti a BVOP adatvédelmi tisztviselőjének;
j) tájékoztatja a Hatóságot az adatvédelmi tisztviselő adatairól (név, postai és elektronikus levélcím) és azok
változásáról, továbbá gondoskodik ezen adatok nyilvánosságra hozataláról;
k) gondoskodik a bv. szerv személyi állományának oktatásáról;
l) felügyeli az adatkezelő szerv adattovábbítási tevékenységét, különös tekintettel a nemzetközi
együttműködés keretében továbbítandó személyes adatokra, felkérésre adatvédelmi szempontból állást
foglal az adatok továbbításának jogszerűségével kapcsolatban;
m) közreműködik a kérelem tárgyában érintett szakterülettel az érintett hozzáférési joga gyakorlására vonatkozó
kérelmére, illetve a közérdekű adat megismerésére irányuló kérelmekre adandó válasziratok elkészítésében;
n) a beérkezett közérdekű adatigénylést haladéktalanul, az elkészített választervezetet az adatigénylés
beérkezését követő 8 napon belül felterjeszti a BVOP adatvédelmi tisztviselője részére;
o) az elutasított közérdekű adatigénylések számáról és az elutasítások indokairól nyilvántartást vezet, melynek
éves összesítését a tárgyévet követő év január 10-ig felterjeszti a BVOP adatvédelmi tisztviselője részére;
p) ellátja mindazon feladatokat, amelyeket a bv. szerv adatvédelmi és adatbiztonsági szabályzata részére
feladatként meghatároz.
16. Az adatvédelmi tisztviselő adatvédelemmel összefüggő feladatainak ellátása során szükség szerint együttműködik
az informatikai szakterülettel és az elektronikus információs rendszer biztonságáért felelős személlyel, valamint
az adatkezeléssel érintett szakterületekkel.
V.
A bv. szervek által vezetett nyilvántartások és az adatvédelmi nyilvántartás
17. A bv. szervek az általuk kezelt személyes adatokról a Robotzsaru integrált ügyviteli, ügyfeldolgozó és elektronikus
iratkezelő rendszerben e célból létrehozott iktatókönyvben adatvédelmi nyilvántartást vezetnek.
18. A bv. szerv által kezelt, személyes adatot tartalmazó adatkezelések adatvédelmi nyilvántartásba vételét az érintett
szakterület az 1. melléklet szerinti adatlap megküldésével kezdeményezi az adatvédelmi tisztviselőnél.
19. A bv. szervek szakterületei gondoskodnak az általuk kezelt személyes adatok vonatkozásában az adatvédelmi
adatlap folyamatos felülvizsgálatáról és szükség szerinti aktualizálásáról, az adatvédelmi adatlap tartalmában
bekövetkezett változás esetén az aktualizált adatvédelmi adatlapot haladéktalanul továbbítják a bv. szerv
adatvédelmi tisztviselője részére.
20. A bv. szervek által kezelt személyes adatokba betekintésekről, valamint az adatok és azok kezelésével összefüggő
információk érintett részére való rendelkezésre bocsátásáról az érintett szakterület a 2. melléklet szerinti betekintési
nyilvántartást vezet, amely tartalmazza
a) a betekintést/másolatot kérő, hozzáférési jogot gyakorló nevét, rendelkezésre álló azonosító adatait,
b) a kérelem keltét,
c) az igényelt adatok, illetve információk körét,
d) a kérelem teljesítésének időpontját,
e) a hozzáférés, betekintés korlátozásának vagy megtagadásának jogi és ténybeli indokait.
21. Az adattovábbításról a 3. melléklet szerinti adattovábbítási nyilvántartást kell vezetni. A nyilvántartás vezetése
annak a szakterületnek a feladata, amely az adattovábbítást végezte. A törvényi előíráson alapuló, rendszeres
adattovábbításokat elegendő a nyilvántartásban egyszer, a jogszabályi hely megjelölésével, az adattovábbítási
időpontok/időszakok megjelölésével, valamint az érintett adatkör és személyi kör megjelölésével feltüntetni,
azonban a jogszabályváltozás miatt bekövetkezett változásokat ebben az esetben is dokumentálni kell.
22. Az adattovábbítási nyilvántartás tartalmazza
a) az érintett nevét,
b) az adattovábbítás időpontját,
c) az adattovábbítás célját és jogalapját,
d) az adatigénylő nevét vagy megnevezését,
e) a továbbított adatok fajtáját (maguk a szolgáltatott adatok nem képezik az adattovábbítási nyilvántartás
részét). 23. A bv. szervnél rendszeresített személyes adatot kezelő elektronikus nyilvántartásokból is előállítható
az adattovábbítási nyilvántartás, amennyiben az adattovábbítás e rendszeren keresztül történt. Az adattovábbítási
nyilvántartásnak ebben az esetben is meg kell felelnie a tartalmi követelményeknek.
24. A bv. szervek az általuk kezelt adatokkal összefüggésben felmerült adatvédelmi incidensekről a 4. melléklet szerinti
jegyzőkönyvekből álló nyilvántartást vezetnek, mely tartalmazza az incidens
a) leírását, bekövetkezésének körülményeit (helye, időpontja, oka stb.),
b) hatásait (érintetti jogok sérülése, érintetti kör nagysága stb.),
c) kezelésére tett intézkedéseket (kezelés módja, időpontja, Hatóságnál való bejelentés, érintett értesítése
esetén ennek ténye stb.). 25. A bv. szervek az elutasított közérdekű adatigénylésekről, valamint azok indokairól nyilvántartást vezetnek.
VI.
Az adatvédelmi hatásvizsgálat és az előzetes konzultáció
26. Valamennyi új vagy a korábbiaktól eltérő adatkezelést előíró vagy eredményező jogszabály vagy belső szabályozó
eszköz, eljárásrend, eszköz vagy technológia bevezetését vagy változását megelőzően, az előkészítés során
az adatvédelmi tisztviselő megvizsgálja, hogy a tervezett adatkezelésnek várhatóan milyen hatásai lesznek
az érintettek alapvető jogai érvényesülésére (a továbbiakban: előzetes kockázatbecslés).
27. Az előzetes kockázatbecslés során az adatvédelmi tisztviselő az általános adatvédelmi rendelet, illetve az Infotv.
rendelkezései alapján, a Hatóság iránymutatásai figyelembevételével, szükség esetén az érintett szakterületek
véleményének kikérésével vagy bevonásával azonosítja a tervezett adatkezeléssel járó várható kockázatokat
az érintettek alapvető jogai érvényesülése vonatkozásában. Az adatvédelmi tisztviselő az előzetes kockázatbecslés
eredményét írásban rögzíti.
28. Nem szükséges adatvédelmi hatásvizsgálatot lefolytatni, amennyiben az adatvédelmi tisztviselő megállapítja, hogy
a) az előzetes kockázatbecslés alapján a tervezett adatkezelés valószínűsíthetően nem jár magas kockázattal,
b) a tervezett adatkezelés a Hatóság által meghatározott kivételi körbe tartozik,
c) a tervezett adatkezeléssel megegyező adatkezelés esetében korábban lefolytatott adatvédelmi
hatásvizsgálat eredménye rendelkezésre áll, vagy
d) a jogszabályban előírt adatkezelés esetében a jogalkotó lefolytatta előzetesen a hatásvizsgálatot.
29. Az adatvédelmi hatásvizsgálat lefolytatásáról vagy mellőzéséről az adatvédelmi tisztviselő által tett megállapítások
figyelembevételével a bv. szerv vezetője dönt.
30. Az adatvédelmi hatásvizsgálat lefolytatásának elrendelése esetén a bv. szerv vezetője a tervezett adatkezelés
tárgyát, formáját figyelembe véve kijelöli az abban részt vevő személyeket, illetve szakterületeket.
31. Az adatvédelmi hatásvizsgálat lefolytatásának mellőzése esetén annak indokait az adatvédelmi tisztviselő írásban
rögzíti, és az előzetes kockázatbecslés irataihoz csatolja.
32. Az adatvédelmi hatásvizsgálat lefolytatása során az általános adatvédelmi rendelet, illetve az Infotv. rendelkezései
alapján, a Hatóság iránymutatásai figyelembevételével az arra kijelölt csoport a Hatóság honlapjáról letölthető
adatvédelmi hatásvizsgálati szoftver („PIA software”) alkalmazásával rögzíti
a) a tervezett adatkezelési műveletek általános leírását és az adatkezelés céljainak meghatározását,
b) a tervezett adatkezelés céljaira figyelemmel az adatkezelési műveletek vonatkozásában elvégzett
szükségességi és arányossági vizsgálat eredményét,
c) az érintett alapvető jogai érvényesülését fenyegető kockázatokat,
d) a kockázatok kezelését célzó adatbiztonsági intézkedések részletes leírását és értékelését.
33. Az adatvédelmi hatásvizsgálat eredményéről összefoglaló jelentés készül, mely tartalmazza a hatásvizsgálat
lefolytatásának okait, a lefolytatására kijelölt csoportban részt vevők szerep- és felelősségi köreit, a 32. pontban
foglaltakat, valamint annak megállapítását, hogy a hatásvizsgálat alapján a tervezett adatkezelés magas
kockázatú-e.
34. A bv. szerv vezetője a tervezett adatkezelés megkezdését megelőzően előzetes konzultációt kezdeményez
a Hatósággal, amennyiben
a) az adatvédelmi hatásvizsgálat eredményeként megállapításra kerül, hogy a tervezett adatkezelés
az érintettek alapvető jogai érvényesülésére nézve magas kockázattal jár, vagy
b) a tervezett adatkezelés a Hatóság honlapján közzétett hatásvizsgálati listán szereplő magas kockázatúnak
minősített adatkezelés-típusnak minősül. 35. Az összefoglaló jelentés alapján az adatkezelés megkezdését megelőzően a bv. szerv vezetője meghatározza
az adatkezelés megvalósulásának nyomon követésében részt vevő személyeket, illetve szakterületeket és
az adatkezelés felülvizsgálatának gyakoriságát és módszerét.
VII.
Az adatkezelések megkezdésének, az érintetti jogok érvényesítésének eljárásrendje
36. Az adatkezelés jogalapja az alábbiak figyelembevételével határozható meg:
a) személyes adat az általános adatvédelmi rendelet hatálya alá tartozó kezelésére az általános adatvédelmi
rendelet 6. cikkében,
b) különleges adat az általános adatvédelmi rendelet hatálya alá tartozó kezelésére az általános adatvédelmi
rendelet 9. cikkében,
c) személyes adat az Infotv. hatálya alá tartozó bűnüldözési célú kezelésére az Infotv. 5. §-ában,
d) különleges adat az Infotv. hatálya alá tartozó bűnüldözési célú kezelésére az Infotv. 5. §-ában
felsorolt jogalapok alapján kerülhet sor.
37. A hozzájárulást – későbbi igazolhatósága érdekében – írásban kell rögzíteni.
38. A bv. szerv az érintett részére az adatkezelés megkezdése előtt vagy az első adatkezelési művelet megkezdését
követően haladéktalanul írásban rendelkezésre bocsátja
a) az adatkezelő – bevonása esetén az adatfeldolgozó – megnevezését és elérhetőségeit,
b) az adatvédelmi tisztviselő adatait (név, postai és elektronikus levélcím),
c) az adatkezelés célját és
d) az érintettet adatkezeléssel kapcsolatban megillető jogok (hozzáféréshez, helyesbítéshez, korlátozáshoz és
törléshez való jog), valamint azok érvényesítése módjának (Hatósághoz vagy bírósághoz fordulás)
ismertetését.
39. A bv. szerv az érintett részére az adatkezelés megkezdése előtt vagy az első adatkezelési művelet megkezdését
követően haladéktalanul tájékoztatást nyújt
a) az adatkezelés jogalapjáról,
b) a kezelt személyes adatok megőrzésének időtartamáról,
c) a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek
köréről,
d) a kezelt személyes adatok gyűjtésének forrásáról és
e) az adatkezelés körülményeivel összefüggő minden további érdemi tényről.
40. Az érintettek 38–39. pontban foglalt előzetes tájékoztatása az adatkezelést végző szerv vagy szakterület
kötelezettsége. Az előzetes tájékoztatás megtörténtét írásban rögzíteni kell.
41. Az érintett által benyújtott, hozzáféréshez, helyesbítéshez, az adatkezelés korlátozásához vagy törléshez való joga
érvényesítésére irányuló kérelem elbírálása és megválaszolása a bv. szerv a kérelemmel érintett adatkezelést végző
szakterületének feladata.
42. A bv. szervek kötelesek a nyilvántartásba vett adatkezeléseiket időszakosan felülvizsgálni abból a szempontból,
hogy az adatkezelés céljának megvalósulásához szükséges-e a személyes adatok kezelése, illetve az általános
adatvédelmi rendelet és az Infotv. rendelkezéseinek megfelel-e. Törvényben elrendelt kötelező adatkezelés esetén
a felülvizsgálatot az adatkezelést elrendelő jogszabályban meghatározott gyakorisággal, ennek hiányában, továbbá
nem kötelező adatkezelés esetén legfeljebb háromévente el kell végezni. A felülvizsgálat körülményeit és
eredményét írásban kell dokumentálni, az iratot tíz évig meg kell őrizni.
VIII.
Az adatvédelmi incidens kezelése 43. Adatvédelmi incidens bekövetkezésének észlelése esetén haladéktalanul jelentést kell tenni a bv. szerv szakterületi
vezetőjének.
44. A szakterület vezetője haladéktalanul tájékozódik a bekövetkezett adatvédelmi incidens körülményiről, szükség
esetén az adatvédelmi tisztviselő bevonásával felméri, hogy az incidens valószínűsíthetően kockázatot
eredményez-e az érintettek jogai érvényesülése vonatkozásában, és intézkedik a kárelhárítás, kárenyhítés
érdekében.
45. A szakterület vezetője
a) haladéktalanul értesíti az adatvédelmi tisztviselőt az adatvédelmi incidens bekövetkezéséről, és
rendelkezésére bocsátja az incidenssel kapcsolatban rendelkezésre álló iratokat és információkat,
amennyiben az előzetes felmérés alapján valószínűsíthetően kockázattal jár az adatvédelmi incidens,
b) írásban tájékoztatja az adatvédelmi tisztviselőt az adatvédelmi incidens bekövetkezéséről, amennyiben
a felmérés során megállapítja, hogy nem jár kockázattal az incidens.
46. A 45. pont a) alpontja szerinti esetben az adatvédelmi tisztviselő a rendelkezésre álló iratok, információk alapján,
valamint szükség esetén az érintett szakterület(ek), illetve a szükséges szakértelemmel rendelkező személy
bevonásával elvégzi a kockázatbecslést a bekövetkezett adatvédelmi incidenssel összefüggésben.
47. Amennyiben a kockázatbecslés eredménye alapján az adatvédelmi incidens kockázattal jár az érintettek jogai
érvényesülése vonatkozásában, az adatvédelmi tisztviselő lehetőség szerint a tudomásszerzést követő 72 órán belül
a Hatóság honlapján elérhető adatvédelmi incidensbejelentő rendszeren keresztül megteszi a bejelentést, ezzel
egyidejűleg jelentést tesz a bv. szerv vezetője felé a bekövetkezett adatvédelmi incidensről. Amennyiben
a bejelentés nem teljesíthető az előírt határidőben, a bejelentésben meg kell jelölni a késedelem okait.
48. Amennyiben a kockázatbecslés eredménye alapján az adatvédelmi incidens magas kockázattal jár az érintettek
jogai érvényesülése vonatkozásában, és nem áll fenn az általános adatvédelmi rendeletben, illetve az Infotv.-ben
meghatározott mentesülési okok egyike sem, az adatvédelmi tisztviselő haladéktalanul jelentést tesz a bv. szerv
vezetője felé, és dokumentált módon tájékoztatja az érintetteket, vagy amennyiben a közvetlen tájékoztatás
aránytalan erőfeszítéssel járna, intézkedik a tájékoztatás közzétételéről a bv. szerv honlapján.
IX.
Eljárás a Hatóság fellépése esetén 49. Amennyiben a bv. szervnél a Hatóság
a) vizsgálatot,
b) adatvédelmi hatósági eljárást vagy
c) titokfelügyeleti hatósági eljárást
indít, az érintett adatkezelő szerv adatvédelmi tisztviselője a BVOP adatvédelmi tisztviselőjét – a szolgálati út
betartásával – haladéktalanul értesíti.
50. A Hatóság vizsgálatával, valamint az adatvédelmi és a titokfelügyeleti hatósági eljárással érintett adatkezelő
szakterületi vezetője köteles a Hatóság részére
a) minden szükséges tájékoztatást szóban és írásban megadni,
b) az összes olyan adat megismerését és iratba való betekintést és a másolatok készítését lehetővé tenni, amely
személyes adatokkal, közérdekű adatokkal vagy közérdekből nyilvános adatokkal összefügghet,
c) biztosítani azokba a helyiségekbe való belépést, ahol adatkezelés folyik, valamint az adatkezelési műveletek
végzéséhez használt eszközökhöz való hozzáférést,
d) a minősített adatok megismerését elősegíteni.
51. Ha a bv. szerv a Hatóság adatvédelmi és titokfelügyeleti hatósági eljárásban hozott határozatát nem fogadja el,
adatvédelmi hatósági eljárás esetén az adatvédelmi tisztviselő, titokfelügyeleti hatósági eljárás esetén a biztonsági
vezető véleményének kikérését követően a bírósági felülvizsgálat kezdeményezésére nyitva álló határidőn belül
a bírósághoz fordulhat.
52. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők
meg.
X.
Adatbiztonsági intézkedések 53. A személyes adatok megfelelő szintű biztonságának biztosítása érdekében az egyes adatkezelésekhez a hozzáférési
jogosultságot a jogosult elöljárójának személyre szólóan kell megállapítania, figyelemmel a kijelölt vagy
felhatalmazott személy beosztására és az ahhoz kapcsolódó jogszabályban meghatározott feladatra.
A jogosultságot az érintett munkaköri leírásában is rögzíteni kell. Amennyiben a jogosultság megállapítására alapot
adó körülményben változás történik, haladéktalanul intézkedni kell a jogosultság módosítására vagy visszavonására.
54. A jogosultságot megállapító vezető köteles gondoskodni arról, hogy a betekintési és hozzáférési jogosultságok
a személyzeti változásokkal összhangban aktualizálásra kerüljenek. A személyi állomány tagja jogviszonyának
megszűnése esetén legkésőbb az érintett utolsó munkában töltött napján intézkedni kell a betekintési és
hozzáférési jogosultságok visszavonására. A leszerelő lap mindaddig nem írható alá, amíg a betekintési, illetve
hozzáférési jogosultság visszavonásának tényét a leszerelő lap szignálásával az arra hatáskörrel rendelkező
szakterületek nem igazolták.
55. Közfoglalkoztatott kizárólag abban az esetben láthat el ügykezelői, ügyviteli feladatokat, amennyiben
a munkavégzés céljából rendelkezésére bocsátott adatok kezelése egyértelműen azonosítható, és esetleges későbbi
adatsértés esetén bizonyítható, hogy ki és milyen mértékben ismerhette meg azokat, valamint amennyiben
a közfoglalkoztatott a jelen utasításban, a büntetés-végrehajtási szervezet Egységes Iratkezelési Szabályzatában és
a büntetés-végrehajtási szervezet Informatikai Biztonsági Szabályzatában foglaltak ismeretéből beszámol, továbbá
amennyiben nyilatkozatot tesz, amelyben felelősséget vállal az adatvédelmi és adatbiztonsági szabályok
betartásáért.
56. A személyes adatok fizikai biztonságának biztosítása érdekében az adatkezelések során a személyes vagy
különleges adatot tartalmazó papíralapú iratokat, illetve adathordozókat páncélszekrényben vagy biztonsági zárral
és szárazlakattal ellátott lemezszekrényben vagy biztonsági zárral, vasráccsal és szárazlakattal, illetve elektronikus
védelemmel ellátott helyiségben kell őrizni.
57. Az elektronikus információs rendszerben keletkezett, feldolgozott vagy továbbított személyes adatok adminisztratív,
fizikai és logikai védelmének – mely az elektronikus információs rendszerben kezelt adatok bizalmassága,
sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása
szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos – biztosítása érdekében az 58–60. pontban
meghatározott intézkedéseket kell tenni.
58. Az adminisztratív védelem keretében gondoskodni kell szervezési, szabályozási, ellenőrzési intézkedések
megtételéről, továbbá a védelemre vonatkozó oktatásról.
59. A fizikai védelem keretében biztosítani kell a rendelkezésre állás és működőképesség megőrizhetőségének
követelményeit. A bv. szerv tulajdonában, használatában lévő hardvereszközöket kategorizálni kell
a hardvereszközön keletkezett, feldolgozott vagy továbbított adat kategóriának megfelelően. A hardvereszközök
védelmi intézkedéseinek kialakításánál figyelembe kell venni az adat érzékenységét, és biztosítani kell az adat
magas fokú rendelkezésre állását.
60. A logikai védelmi megoldásoknak biztosítania kell az adat bizalmassága és sértetlensége megőrizhetőségének
követelményeit. A logikai védelmi intézkedések kialakításánál figyelembe kell venni az adat érzékenységét.
A védelmi intézkedések célja bizalmasság esetén, hogy az adatot, információt csak az arra jogosultak és csak
a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról,
sértetlenség esetén az adat tartalma és tulajdonságai az elvárttal megegyeznek.
XI.
A közérdekű adatok közzétételének és a közérdekű adatigénylések intézésének eljárási szabályai
61. A bv. szervek kötelesek a bv. szervezet honlapján az 5. melléklet szerinti adatokat közzétenni az Infotv.
1. mellékletében meghatározott közlési és megőrzési időpontok szerint.
62. A honlapon közzéteendő adatok koordinálását a Kommunikációs Főosztály a tárgykör szerint illetékes szakterület
közreműködésével végzi. A honlap karbantartása a BVOP-ra vonatkozóan a Kommunikációs Főosztály, a bv.
szervekre vonatkozóan a bv. szerv vezetője által kijelölt személy feladata.
63. A BVOP tekintetében a közzéteendő adatok vonatkozásában az adatszolgáltatást
a) az 5. melléklet I. Szervezeti, személyzeti adatai vonatkozásában – a 10. pont kivételével – a Humán Szolgálat
vezetője,
b) az 5. melléklet I. Szervezeti, személyzeti adatai közül a 10. pont, a II. Tevékenységre, működésre vonatkozó
adatai közül a 2., 4., 7. és 10. pontban meghatározottak vonatkozásában a Kommunikációs Főosztály vezetője,
c) az 5. melléklet II. Tevékenységre, működésre vonatkozó adatai közül az 1., 6. és 13. pontban meghatározottak
vonatkozásában a Jogi és Adatkezelési Főosztály vezetője,
d) az 5. melléklet II. Tevékenységre, működésre vonatkozó adatai közül a 11. és 12. pontban meghatározottak
vonatkozásában a szakmailag illetékes főosztály vezetője,
e) az 5. melléklet III. Gazdálkodási adatok vonatkozásában – a 7–8. pont kivételével – a Közgazdasági Főosztály
vezetője,
f ) az 5. melléklet III. Gazdálkodási adatai közül a 7. pont vonatkozásában a projektet koordináló főosztály
vezetője, a 8. pont vonatkozásában a Műszaki és Ellátási Főosztály vezetője
végzi.
64. A bv. szervek tekintetében a közzéteendő adatok vonatkozásában az adatszolgáltatásért a bv. szervek vezetői
felelősek.
65. A BVOP-ra vonatkozó közzétételi kötelezettség alá eső adatokat informatikai úton kell továbbítani a Kommunikációs
Főosztály részére. Az informatikai úton történő továbbítás BVOP szervezetén belüli infrastrukturális feltételeit, azok
működtetéséhez szükséges technikai segítségnyújtást az Informatikai Főosztály biztosítja. Az adatok továbbítását
az illetékes szakterületek a továbbítandó adat mennyiségi és minőségi tulajdonságai függvényében főként
elektronikus levélként vagy elektronikus levél csatolmányaként vagy jogosultsági rendszeren alapuló file/mappa
megosztással (BVORG) – e-mailen történő értesítéssel egyidejűleg – végzik.
66. A közérdekű adatigénylés teljesítésére az igény beérkezésétől számított legfeljebb 15 nap áll rendelkezésre,
a határidő a bv. szervhez érkezést követő munkanapon kezdődik.
67. Az adatvédelmi tisztviselő az adatigénylés beérkezését követően haladéktalanul megvizsgálja az adatigénylést.
Amennyiben az adatigénylés nem egyértelmű, a bv. szerv felhívja az adatigénylőt az igény pontosítására.
68. Ha az adatigényléssel érintett adat elektronikus formában nyilvánosan elérhető, az adatigénylés teljesíthető
az adatot tartalmazó nyilvános forrás megjelölésével is.
69. Az adatvédelmi tisztviselő megvizsgálja, hogy az igénylő nyújtott-e be azonos adatkörre vonatkozó adatigénylést.
Amennyiben megállapításra kerül, hogy az igényelt adatok megegyeznek az azonos igénylő által egy éven belül
benyújtott adatigénylésben szereplő adatokkal, a bv. szerv nem köteles eleget tenni az adatigénylésnek abban
a részében, feltéve, hogy az azonos adatkörbe tartozó adatokban változás nem állt be. Ennek érdekében a bv.
szervek gondoskodnak az egy éven belül benyújtott közérdekű adatigényléseknek visszakereshetőségéről.
70. Ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik, vagy az adatigénylés teljesítése a bv.
szerv alaptevékenységének ellátásához szükséges munkaerőforrás aránytalan mértékű igénybevételével jár,
az adatigénylés teljesítésére rendelkezésre álló 15 napos határidő egy alkalommal 15 nappal meghosszabbítható,
erről a bv. szerv az adatigénylőt az igény beérkezését követő 15 napon belül tájékoztatja.
71. Az adatigénylés teljesítéséért az Infotv. 29. § (3)–(6) bekezdései alapján költségtérítés állapítható meg.
72. Az adatszolgáltatást a bv. szerv az Infotv. 29. § (3) bekezdése szerinti esetben a 66. pontban foglalt határidőben,
az Infotv. 29. § (4) bekezdésében foglalt esetben a költségtérítésnek az adatigénylő általi megfizetését követő
15 napon belül teljesíti.
73. Amennyiben az igényelt közérdekű adatot tartalmazó dokumentum az igénylő által meg nem ismerhető adatot is
tartalmaz, a választervezet összeállításakor figyelemmel kell lenni a meg nem ismerhető adatok felismerhetetlenné
tételére.
74. Az adatigénylés teljesítésének megtagadása esetén a megtagadásról, annak indokairól, valamint a rendelkezésre
álló jogorvoslati lehetőségekről az adatigénylőt az igény beérkezését követő 15 napon belül tájékoztatni kell.
XII.
Ellenőrzés 75. Az adatkezelési rendelkezések betartásának ellenőrzésére jogosult:
a) az adatkezelő szerv vezetője vagy az általa írásban kijelölt személy;
b) az adatkezelő szerv adatvédelmi tisztviselője;
c) a BVOP Ellenőrzési Szolgálatának és az adatkezelő szerv ellenőrzési szolgálata állományának erre
felhatalmazott tagja;
d) a BVOP Jogi és Adatkezelési Főosztálya állományának erre felhatalmazott tagja;
e) a belügyminiszter által írásban felhatalmazott személy;
f ) a jogszabályban erre felhatalmazott személy.
76. Az ellenőrzésre feljogosított az ellenőrzés céljára figyelemmel az ellenőrzés érdekében minden olyan helyiségbe
beléphet, ahol adatkezelés folyik, az adatkezelést végzőktől minden olyan kérdésben felvilágosítást kérhet, minden
olyan adatkezelést megismerhet, vagy abba betekinthet, amely az ellenőrzött szerv adatkezelési tevékenységével
összefügg, és az adatok megismerését jogszabály nem korlátozza.
77. Az egyes bv. szervek, szakterületek szakmai tevékenységét érintő átfogó ellenőrzéseknek ki kell terjedniük a szakmai
feladatellátáshoz szükséges adatkezelések törvényességének ellenőrzésére is.
78. Az ellenőrzés során feltárt hiányosságokról, esetleges jogszabály- vagy normasértésekről az ellenőrzést végző
az ellenőrzés befejezését követően írásban köteles tájékoztatni az adatkezelő szerv vezetőjét, aki köteles
haladéktalanul megtenni a jogszerű állapot helyreállításához szükséges intézkedéseket, illetve indokolt esetben
elrendeli vagy kezdeményezi a személyi felelősség megállapításához szükséges eljárás lefolytatását.
XIII.
Oktatás, tájékoztatás 79. A bv. szerv állományába újonnan felvételre került olyan személyeket, akik munkakörüknél fogva személyes adatokat
kezelnek, az adatvédelmi tisztviselő az érintettek közvetlen vezetője kezdeményezésére köteles az állományba
vételt követő négy hónapon belül adatvédelmi oktatásban részesíteni, és részükre a szükséges jogszabályokat, belső
normákat és egyéb segédanyagokat rendelkezésre bocsátani.
80. Az adatvédelmi tisztviselő az adatkezelő szerv személyes adatok kezelését végző személyi állományát
a bekövetkezett adatvédelmi tárgyú jogszabály- és normaváltozásokról köteles tájékoztatni, indokolt esetben
– különösen a jelentősebb adatvédelmi tárgyú normaváltozások vagy az ellenőrzés során feltárt visszatérő vagy
egyébként súlyos hiányosságok esetén – az érintett állomány kötelező adatvédelmi oktatását elvégezni.
81. Az adatvédelmi tisztviselő az adatkezelő szerv információszabadsággal összefüggő feladatok ellátásáért felelős
személyi állományát a közérdekű adatok nyilvánosságával összefüggő jogszabály- és normaváltozásokról köteles
tájékoztatni, indokolt esetben – különösen a jelentősebb normaváltozások vagy az ellenőrzés során feltárt
visszatérő vagy egyébként súlyos hiányosságok esetén – az érintett állomány kötelező, információszabadság tárgyú
oktatását elvégezni.
82. Az adatvédelmi tisztviselők rendszeres továbbképzéséről a BVOP adatvédelmi tisztviselője gondoskodik.
XIV.
Záró rendelkezések 83. Ez az utasítás a közzétételét követő napon lép hatályba.
84. Az utasítás hatálybalépésétől számított 60 napon belül a bv. szervek vezetői kötelesek felülvizsgálni és jelen
utasításnak megfelelően módosítani az irányításuk alá tartozó szerv adatvédelmi és adatbiztonsági szabályzatát.
85. A bv. szervek vezetői kötelesek a 42. pontban foglalt felülvizsgálatot első alkalommal 2019. december 31-ig
elvégezni.
86. Hatályát veszti a büntetés-végrehajtási szervek Adatvédelmi és Adatbiztonsági Szabályzatának kiadásáról szóló
52/2017. (V. 31.) OP szakutasítás.
Dr. Tóth Tamás bv. vezérőrnagy s. k.,
országos parancsnok
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.