MAGYAR KÖZTÁRSASÁG KORMÁNYA

T/3735.
számú
törvényjavaslat

a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról
szóló 1992. évi LXIII. törvény módosításáról

Budapest, 2003. április

Az Országgyűlés a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Atv.) módosításáról - Magyarország európai uniós jogharmonizációs kötelezettségének teljesítése érdekében - a következő törvényt alkotja:

Az Atv. a következő 1/A. §-sal és alcímmel egészül ki:

"A törvény hatálya

1/A. §

(1) E törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz.

(2) E törvényt a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell.

(3) Nem kell alkalmaznia e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire."

Az Atv. 2. §-a helyébe a következő rendelkezések lépnek:

"2. §

E törvény alkalmazása során:

20. harmadik ország: minden olyan ország, amely nem tagja az Európai Uniónak."

(1) Az Atv. 3. §-a a következő új (3) bekezdéssel egészül ki, és a jelenlegi
(3)-(5) bekezdés számozása (4)-(6) bekezdésre változik:

"(3) Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg."

(2) Az Atv. 3. §-a a következő (7) és (8) bekezdésekkel egészül ki:

"(7) Az érintett a hozzájárulását az adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.

(8) Ha az érintett fizikai cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben sor kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére."

Az Atv. 4/A. §-a a következő (3)-(6) bekezdéssel egészül ki:

"(3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

(4) Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

(5) Az Európai Unió területén kívüli adatfeldolgozóval a megbízási szerződést az Európai Közösségek Bizottságának - az adatvédelmi biztos által a Magyar Közlönyben közzétett - Határozatában foglaltaknak megfelelő tartalommal kell elkészíteni.

(6) E törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással a Magyar Köztársaság területén székhellyel, telephellyel (fiókteleppel) vagy lakóhellyel (tartózkodási hellyel) rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek ki kell jelölnie egy képviselőt a Magyar Köztársaság területén."

Az Atv. 5. §-a a következő (4) és (5) bekezdéssel egészül ki:

"(4) A személyes adatot - akár az érintett hozzájárulásával, akár jogszabály alapján - különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges.

(5) Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűnüldözési és bűnmegelőzési, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, illetve a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó adatállományokat."

Az Atv. 6. §-ának (2) bekezdése helyébe a következő rendelkezés lép, egyidejűleg a § a következő (3)-(4) bekezdéssel egészül ki:

"(2) Az érintettet - egyértelműen és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

(3) Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.

(4) A tájékoztatás - különösen statisztikai vagy tudományos (ideértve a történelmi kutatásokat is) célú adatkezelés esetén - megtörténhet az adatgyűjtés tényének, az érintettek körének, az adatgyűjtés céljának, az adatkezelés időtartamának és az adatok megismerhetőségének mindenki számára hozzáférhető módon történő nyilvánosságra hozatalával, ha az egyénre szóló tájékoztatás lehetetlen vagy aránytalan költséggel járna."

Az Atv. 9. §-a helyébe a következő rendelkezések lépnek:

"9. §

(1) Személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévő adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha ahhoz az érintett hozzájárul, ha azt törvény lehetővé teszi, vagy ha arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelő védelmet biztosít az átadott adatok kezelése során.

(2) Az Európai Unió tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor."

Az Atv. a következő 9/A.§-sal és alcímmel egészül ki:

"Automatizált egyedi döntés

9/A. §

(1) Kizárólag számítástechnikai eszközzel végrehajtott automatizált adatfeldolgozással az érintett személyes jellemzőinek értékelésére csak akkor kerülhet sor, ha ahhoz kifejezetten hozzájárult, vagy azt törvény lehetővé teszi. Az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani.

(2) Az automatizált adatfeldolgozás esetén az érintettet - kérelmére - tájékoztatni kell az alkalmazott matematikai módszerről."

Az Atv. 10. §-ának (2) bekezdése helyébe a következő rendelkezés lép:

"(2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik."

Az Atv. 14. §-a (2) bekezdésének c) pontja helyébe a következő rendelkezés lép és a bekezdés a következő d) és e) pontokkal egészül ki:

"c) az hiányos vagy téves - és ez az állapot jogszerűen nem korrigálható -, feltéve, hogy a törlést törvény nem zárja ki;

d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;

e) azt a bíróság vagy az adatvédelmi biztos elrendelte."

Az Atv. 16. §-a helyébe a következő rendelkezés lép:

"16. §

Az érintett jogait (11-15.§) törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából - beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében."

Az Atv. a következő 16/A. §-sal és alcímmel egészül ki:

"Tiltakozási jog

16/A. §

(1) Az érintett tiltakozhat személyes adatának kezelése ellen, ha

(2) Az adatkezelő - az adatkezelés egyidejű felfüggesztésével - a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszüntetni, és az adatokat törölni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

(3) Amennyiben az érintett az adatkezelőnek a (3) bekezdés alapján meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - e törvény szerint bírósághoz fordulhat.

(4) Ha az adatátvevő törvényes jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, az adatokhoz való hozzájutás érdekében - e törvény szerint - bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja."

(1) Az Atv. 17. §-ának (1) bekezdése helyébe a következő rendelkezés lép:

"(1) Az érintett a jogainak megsértése esetén, valamint a 16/A.§ (4) bekezdésében meghatározott személy, az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el."

(2) Az Atv. 17. § (3)-(5) bekezdése helyébe a következő rendelkezések lépnek:

"(3) A perre az adatkezelő székhelye (lakóhelye) szerinti bíróság az illetékes. A per - az érintett választása szerint - az érintett lakóhelye (tartózkodási helye) szerinti bíróság előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.

(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, törlésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve a
16/A. § (4) bekezdésében meghatározott személy által kért adat kiadására kötelezi.

(5) A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett e törvényben védett jogai megkövetelik."

Az Atv. 19. §-a a következő (7) bekezdéssel egészül ki:

"(7) A közérdekű adatok nyilvánosságát korlátozhatja továbbá az Európai Unió jogszabálya az Európai Unió jelentős pénzügy- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is."

Az Atv. 24. §-a a következő d)-e) pontokkal egészül ki:

(Az adatvédelmi biztos)

"d) elősegíti a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó törvényi rendelkezések egységes alkalmazását;

e) gyakorolja és ellátja az e törvényben meghatározott hatásköröket és feladatokat."

Az Atv. 25. §-ának (3) bekezdése helyébe a következő rendelkezés lép, és a § a következő (4) bekezdéssel egészül ki:

"(3) Ha az adatkezelő vagy adatfeldolgozó a jogellenes adatkezelést (adatfeldolgozást) nem szünteti meg, az adatvédelmi biztos elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését, illetve megtilthatja a jogosulatlan adatkezelést vagy adatfeldolgozást, továbbá felfüggesztheti az adatok külföldre továbbítását. Az adatvédelmi biztos tájékoztathatja a nyilvánosságot a jogosulatlan adatkezelés (adatfeldolgozás) tényéről, az adatkezelő (adatfeldolgozó) személyéről és a kezelt adatok köréről, valamint az általa kezdeményezett intézkedésekről.

(4) Az adatkezelő, az adatfeldolgozó vagy az adatkezeléssel érintett személy az adatvédelmi biztos intézkedése ellen bírósághoz fordulhat. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban fel kell függeszteni és az adatokat zárolni kell."

Az Atv. 28. §-ának (1) bekezdése a következő h) alponttal egészül ki:

(Az adatkezelő köteles e tevékenysége megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni)

"h) a belső adatvédelmi felelős nevét és elérhetőségi adatait."

Az Atv. a következő 31. és 31/A. §-okkal és alcímekkel egészül ki:

"Előzetes ellenőrzés

31. §

(1) Az adatvédelmi biztos a nyilvántartásba vételt megelőzően előzetes ellenőrzést végezhet.

(2) Új adatállomány feldolgozását vagy új adatfeldolgozási technológia alkalmazását megelőzően az adatvédelmi biztos előzetes ellenőrzést végezhet a következő adatkezeléseket végző adatkezelőknél:

(3) Az adatkezelőnek az új adatállomány feldolgozására vagy az új adatfeldolgozási technológia alkalmazására irányuló szándékát a tevékenység megkezdését megelőzően 30 nappal be kell jelentenie az adatvédelmi biztosnak. Az adatvédelmi biztos az előzetes ellenőrzésre vonatkozó igényét a bejelentéstől számított 8 napon belül köteles jelezni az adatkezelőnek, és az ellenőrzést 30 napon belül köteles elvégezni. Az adatkezelő a feldolgozást csak az adatvédelmi biztos előzetes ellenőrzésének befejezése után kezdheti meg.

(4) Az ellenőrzés alapján az adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel az adatkezelőt. Ha az adatvédelmi biztos az adatkezelést elrendelő jogszabályt kifogásolja, ajánlást tehet a jogszabály módosítására.

Belső adatvédelmi felelős és adatvédelmi szabályzat

31/A. §

(1) Az adatkezelő, illetőleg az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni:

(2) A belső adatvédelmi felelős:

(3) Az (1) bekezdésben meghatározott adatkezelőknek, valamint - az adatvédelmi nyilvántartásba bejelentési kötelezettség alá nem eső adatkezelők kivételével - egyéb állami és önkormányzati adatkezelőknek, e törvény végrehajtása érdekében, adatvédelmi és adatbiztonsági szabályzatot kell készíteniük."

Az Atv. a következő 32/A. §-sal és alcímmel egészül ki:

"Személyes adatok felhasználása statisztikai célra

32/A. §

(1) A statisztikai célra felvett, átvett vagy feldolgozott személyes adatok csak statisztikai célra használhatók fel. A külön törvény szerinti egyedi statisztikai adatok - beleértve a személyes adatokat is - a statisztikai céltól eltérő célra semmilyen módon vagy jogcímen nem vehetők át, nem dolgozhatók fel és nem hozhatók nyilvánosságra.

(2) A személyes adatok statisztikai célra történő kezelésének részletes szabályait külön törvény határozza meg."

(1) E törvény - a (2) bekezdésben foglalt kivétellel - 2004. január 1-jén lép hatályba, egyidejűleg az Atv. 30. §-a utáni "Adatvédelmi Iroda" alcím elhagyásra kerül.

(2) E törvénynek az Európai Unióra vonatkozó, a 4. §-sal megállapított 4/A. § (5) bekezdése és a (6) bekezdésében a "kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja" szövegrésze; a 7. §-sal megállapított
9. § (2) bekezdése; valamint 11. §-a és 14. §-ának (3) bekezdése a Magyar Köztársaságnak az Európai Unióhoz történő csatlakozásáról szóló nemzetközi szerződés hatályba lépésének napján lép hatályba.

(3) E törvény a Magyar Köztársaság és az Európai Közösségek és azok tagállamai között társulás létesítéséről szóló, Brüsszelben, 1991. december 16-án aláírt Európai Megállapodás tárgykörében, a Megállapodást kihirdető 1994. évi I. törvény 3. §-ával összhangban az Európai Közösségeknek a személyes adatok kezelése vonatkozásában az egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló az Európai Parlament és a Tanács 95/46/EK Irányelvével összeegyeztethető szabályozást tartalmaz.

(1) E törvény hatálybalépésével egyidejűleg a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény 24/A. §-a (1) bekezdésének a) pontja a hatályát veszti, egyúttal a b) pont jelölése megszűnik.

(2) E törvény hatálybalépésével egyidejűleg a személyazonosító jel helyébe lépő azonosító módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény 4. §-a a következő (3) bekezdéssel egészül ki:

"(3) A polgár részére - kérelmére - megfelelő biztonsági rendszerrel ellátott azonosító kártya is kiadható, amely természetes személyazonosító adatait és azonosító kódjait tartalmazza. Az azonosító kártyát úgy kell kialakítani, hogy adattartalmából az adatkezelő csak azokat az adatokat és azonosító kódokat ismerhesse meg, amelyek kezelésére jogosult."

Az Európai Unióhoz történő csatlakozásunkhoz szükséges jogharmonizációs feladatok körébe tartozik a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény és a vonatkozó EU irányelv teljes összhangjának megteremtése. Ennek érdekében szükséges az Európai Parlament és a Tanács "az egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról" szóló 95/46/EK. Irányelvének teljes harmonizálása. A hatályos törvényi szabályozás módosítását a 2002. évi Országjelentés is megemlíti, mint elvárt és teljesítendő feladatot.

Az adatvédelmi törvény jogharmonizációs módosításának szükségessége elsősorban abból adódik, hogy a magyar törvény évekkel korábban készült, mint az Irányelv, és időközben, a technikai fejlődés következtében, változott az adatvédelem nemzetközi gyakorlata. Lényeges szempont az is, hogy az Irányelv alapján az uniós tagállamokon belül egységes elvek alapján lehet csak adatot kezelni, illetve továbbítani a tagállamok között, aminek meg kell teremteni a belső jogi feltételeit.

A jogharmonizációs módosítás előkészítésében az adatvédelmi biztos részt vett, és a törvényjavaslattal egyetért. Adatvédelmi biztos úr is hangsúlyozta azt, hogy a magyar adatvédelmi szabályozás megfelelően garantálja az alkotmányos alapelvek érvényesülését, alapvetően megfelel az uniós irányelvben foglaltaknak, és csak néhány kérdéskört érintő módosítás szükséges a teljes összhang megteremtéséhez.

Az adatvédelmi törvény jelenleg nem tartalmaz kifejezett rendelkezést a hatályát illetően, arra az általános joghatósági elvek érvényesülnek, illetve csak az egyes konkrét szabályokból lehet következtetni a hatályra. Ez az Unióba történő belépésünk után értelmezési problémákat vet fel, különös tekintettel a külföldi és a magyar adatkezelők és adatfeldolgozók egymáshoz való viszonyára, illetve a külföldre irányuló adatkezelésekre.

Indokolt ezért - figyelembe véve az Irányelv megfelelő rendelkezéseit (4. cikk, 25. cikk) is - a törvény személyi, tárgyi és területi hatályát pontosan meghatározni. Ennek megfelelően a Javaslat kimondja, hogy a törvény hatálya a Magyar Köztársaság területén folytatott minden adatkezelésre és adatfeldolgozásra kiterjed, tekintet nélkül az adatkezelő vagy adatfeldolgozó állampolgárságára, székhelyére vagy lakóhelyére.

Indokolt nevesíteni a hatályos törvényből már eddig is következő szabályt, hogy a törvény rendelkezéseit mind a számítástechnikai eszközzel, mind a manuális módon végzett adatkezelésekre alkalmazni kell. Nem kell alkalmazniuk viszont - összhangban az Irányelvvel (3. cikk 2. pont) - a törvényt a természetes személyeknek a kizárólag saját személyes céljaikat szolgáló adatkezeléseikre.

A hatályos törvény fogalomrendszerét módosítani kell az Irányelv végrehajtásához szükséges mértékben, illetve ki kell egészíteni azokkal a fogalmakkal, amelyeknek a magyar jogba történő beépítése az Irányelv (2. cikk) megfelelő alkalmazása érdekében, illetve a technikai fejlődés következtében szükségessé vált.

Így a "személyes adat" fogalmánál meg kell határozni, hogy különösen mikor tekinthető azonosíthatónak az adott személy (pl. azonosító számmal, fizikai, mentális, gazdasági, kulturális, stb. tényezővel). (Irányelv 2. cikk a/ pont)

A "különleges adatok" közé fel kell venni a szakszervezeti tagságra vonatkozó adatot, amit az Irányelv (8. cikk 1. pont) ide sorol. Tekintettel a magyar jogi szóhasználatra a szakszervezeti tagság helyett az "érdekképviseleti tagság" kifejezést tartalmazza a Javaslat.

A nemzetközi adatvédelmi gyakorlatnak megfelelően a Javaslat külön meghatározza a "bűnügyi személyes adat" fogalmát, amely nemcsak a büntetett előéletre vonatkozó adatot, hanem a bűnmegelőzéssel és a bűnüldözéssel összefüggésben keletkező információkat is magában foglalja.

Nevesítve és egyértelműen szükséges meghatározni az érintett "hozzájárulásának" fogalmát (Irányelv 2. cikk h/ pont), amelynek mindig önkéntesnek, határozottnak és félreérthetetlennek kell lennie, illetve megfelelő tájékoztatáson kell alapulnia.

Ugyancsak rendelkezik a Javaslat a már ismert és használt, csak törvényileg még nem meghatározott fogalmakról. Ilyenek a harmadik személy (Irányelv 2. cikk f/ pont), a harmadik ország, a tiltakozás (Irányelv 14. cikk), az adatzárolás, az adatmegsemmisítés, a személyesadat-nyilvántartó rendszer (Irányelv 2. cikk c/ pont) vagy az adatállomány. Ezek egy részének meghatározása az Irányelv valamely konkrét pontja miatt, más része pedig az Irányelv több rendelkezésének tartalmából következően szükséges.

Pontosítani kell az adatkezelő és az adatkezelés fogalmát is. A részletesebb meghatározás egyrészt így tükrözi az adatvédelmet érintő technikai fejlődést (hang- és képfelvétel, DNS minta, íriszkép, stb.), másrészt jobban segíti a törvény gyakorlati végrehajtását az adatkezelési formák felsorolásával.

A közérdekű adatok nyilvánosságához kapcsolódva egy új fogalmat illeszt be a Javaslat az adatvédelem és az információszabadság rendszerébe, a "közérdekből nyilvános adat" fogalmát. Ez az adatkategória - amely az "üvegzseb" program keretében meghatározott célkitűzésekkel összhangban már beépült a Polgári Törvénykönyvbe is - azokat a magán adatokat foglalja magában, amelyeket (akár természetes személyre, akár jogi személyre vagy jogi személyiséggel nem rendelkező szervezetre vonatkozóan) törvény közérdekből nyilvánosnak minősít, de amelyek nem esnek a "közérdekű adat" fogalma alá, mivel nem állami vagy helyi önkormányzati feladatot vagy egyéb közfeladatot ellátó szerv tevékenységére vonatkoznak.

A közérdekből nyilvános adat fogalmának bevezetésével egyértelműen el lehet határolni a közszféra főszabályként és természeténél fogva nyilvános adatait és a magánszféra kivételesen, valamely az adatok bizalmas kezelésénél fontosabb közérdekből nyilvánossá tett adatainak kezelését, megszüntetve ezzel egy, a megfelelő jogérvényesítést akadályozó gyakorlati problémát. Közérdekből nyilvános adat például a magánszemélyek vagy szervezetek közpénzek felhasználásával kapcsolatos adata vagy a gazdasági tevékenységükkel kapcsolatos környezetvédelmi adatok, de e körbe tartozik a közszereplő személyek nyilvánosság számára megismerhető személyes adata is.

Az Irányelv (7. és 8. cikk) az adatkezelés jogalapjának tekintetében külön kategóriaként említi a magánjogi szerződés teljesítéséhez szükséges adatkezeléseket (amelyek tartalmilag az érintett hozzájárulásának körébe tartoznak), illetve nevesítve meghatároz olyan esetköröket, amelyek különösen megalapozzák a személyes adatok kezelését. A hatályos magyar törvény az érintett hozzájárulását és a törvényi elrendelést mint jogalapot alapelvként mondja ki, de nem részletezi, hogy milyen érdekek érvényesülése teheti szükségessé az adatkezelést.

Az Irányelvvel való összhang megteremtése érdekében szabályozza a Javaslat a magánjogi szerződésekkel kapcsolatos adatkezeléseket, valamint meghatározza azokat a főbb érdekeket, amelyek érvényesítése alkotmányosan megalapozza a személyes adatok kezelését. Ilyenek például a közérdekű feladatok, az adatkezelő törvényes kötelezettségének teljesítése, a hivatalos feladat gyakorlása, az adatkezelő vagy harmadik személy jogos érdekének érvényesítése, a magánjogi szerződések, az érintett létfontosságú érdekeinek védelme, a civil szervezetek működése (Irányelv 7. cikk b/-f/ pont, 8. cikk 2. b/, d/ pont).

A gyakorlati tapasztalatok bizonyítják, hogy számos olyan élethelyzet előfordul, amikor az érintett nem képes önrendelkezési jogának gyakorlására, mert fizikai állapotánál fogva ideiglenesen cselekvőképtelenné válik. Ebben az esetben saját vagy más személy létfontosságú érdekeinek védelme, katasztrófa- vagy szükséghelyzet elhárítása és megelőzése érdekében lehetőséget kell biztosítani a személyes adatok (beleértve a különleges adatokat is) szükséges mértékű kezelésére. (Irányelv 8. cikk 2. c/ pont.)

Az Irányelv (8. cikk 5. pont) alapján a Javaslat kimondja, hogy a bűnüldözési és bűnmegelőzési, a közigazgatási és az igazságszolgáltatási feladatok ellátásához szükséges bűnügyi személyes adatok kezelését, valamint a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó adatállományokat csak állami vagy önkormányzati szerv kezelheti. Az adatállományok az egy nyilvántartó rendszerben kezelt adatok összességét jelentik, tehát a korlátozás nem vonatkozik minden egyedi (adott esetben az eljáráshoz szükséges) adatkezelésre.

Pontosítja a Javaslat az adatfeldolgozásra vonatkozó hatályos szabályokat is kimondva, hogy az adatfeldolgozó érdemi döntést nem hozhat, saját célú adatfeldolgozást nem végezhet (Irányelv 16. és 17. cikk). A feldolgozandó adatokat felhasználó üzleti tevékenységben érdekelt vállalkozás nem bízható meg az adatfeldolgozással. Az adatfeldolgozásra vonatkozó megbízási szerződést - amelyek tartalmi kellékét az Európai Bizottság határozza meg - minden esetben írásba kell foglalni. A bizottság határozatát az adatvédelmi biztos a Magyar Közlönyben teszi közzé.

Az adatfeldolgozások tekintetében kiterjed a törvény hatálya arra az Európai Unió területén kívül működő adatkezelőre is, aki az adatfeldolgozáshoz Magyarország területén lévő személyt vagy eszközt vesz igénybe. (Irányelv 4. cikk 1.c/ pont.) Ebben az esetben az adatkezelőnek ki kell jelölnie egy képviselőt, aki Magyarország területén működik. E szabály alól kivételt képez, ha az igénybe vett eszköz kizárólag az Unióba irányuló átmenő adatforgalom céljait szolgálja.

Az Irányelv rendelkezik az érintett tájékoztatásáról, ami az érintett önrendelkezési jogának gyakorlásához elengedhetetlen feltétel. Ezzel összhangban kiegészíti a Javaslat az adatvédelmi törvénynek az adatkezelő általános tájékoztatási kötelezettségére (Irányelv 10. és 11. cikk) vonatkozó részét, amely független az érintett kérelemre történő tájékoztatásától (Irányelv 12. cikk 1. pont). Az adatok felvételét vagy az adatkezelés megkezdését megelőző általános tájékoztatási kötelezettség kiterjed minden, az adatkezelést érintő lényeges tényre, beleértve az érintett jogait és jogorvoslati lehetőségeit.

Vannak olyan helyzetek, amikor az egyénre szóló tájékoztatás lehetetlen vagy aránytalan költséggel járna, mint például a statisztikai vagy a tudományos célú (beleértve a történelmi kutatásokat is) adatkezelések esetén (Irányelv 11. cikk 2. pont). Ilyenkor a tájékoztatást mindenki számára hozzáférhető módon az információ nyilvánosságra hozásával kell teljesíteni.

Az Európai Unióhoz való csatlakozásunkkal az adattovábbítás szempontjából nem tehetünk különbséget a Magyarország területén belüli és az Unió tagállamaiba irányuló adatáramlások között. Az Unió adatvédelmi szempontból ugyanis egységes egészet képez, ahol az Irányelv alapelveit egyformán kell alkalmazni (Irányelv 1. cikk 2/ pont).

Ezért a külföldre történő adattovábbítás szempontjából - csatlakozásunk után - a nem uniós tagállamba, azaz úgynevezett harmadik országba irányuló adattovábbításokat lehet és kell megkülönböztetni, és szigorúbban szabályozni (Irányelv 25. cikk). Ilyen adattovábbításra csak akkor kerülhet sor, ha a harmadik ország joga megfelelő védelmet biztosít. A megfelelő védelem kritériumait az Unió erre jogosult szerve állapítja meg (Irányelv 25. cikk 4. pont).

Új elemként kerül bevezetésre a magyar jogba az automatizált egyedi döntés, amelynek szabályait az Irányelvben (15. cikk) foglaltakkal összhangban kell megállapítani. Az automatizált egyedi döntés az érintett személyes jellemzőinek olyan értékelését jelenti, amikor adatait kizárólag számítástechnikai eszközzel végrehajtott, automatizált módszerrel dolgozzák fel. Ezt a módszert egyre elterjedtebben alkalmazzák például a munkavállalók felvételénél vagy teljesítményének értékelésénél, hitelkérelmek elbírálásánál, biztosítási kockázat megállapításánál.

Automatizált egyedi döntés alkalmazásakor is szükséges az érintett kifejezett hozzájárulása vagy törvényi felhatalmazás. Az érintett számára pedig biztosítani kell, hogy álláspontját kifejthesse. Kérelmére tájékoztatni kell az alkalmazott matematikai (logikai) módszerről is (Irányelv 12. cikk 1. pont).

Az adatbiztonság követelményeit - az adatvédelem területét jelentősen befolyásoló technikai fejlődés következtében - ki kell terjeszteni a távközlési vagy informatikai eszköz (hálózat) működtetésére is. Az adatbiztonság követelményének biztosítása egyébként mindig az adott adatkezelés jellegétől függ. Az egyedi kritériumokat az ágazati adatvédelmi és adatkezelési jogszabályok, valamint az adatvédelmi és adatbiztonsági szabályzatok tartalmazzák. A törvényi rendelkezések gyakorlati érvényesülésének elősegítése érdekében az adatvédelmi biztos meghatározhatja azokat a paramétereket, amelyeket az adatkezelők követni tudnak az adatbiztonsági előírás teljesítésekor.

A törlési kötelezettség szabályait pontosítja és egészíti ki a Javaslat, külön meghatározva a hiányos vagy téves adatok törlését, ha ez az állapot jogszerűen nem korrigálható, illetve ha törvény nem zárja ki a törlést. A törlést a bíróság vagy az adatvédelmi biztos is elrendelheti.

Az érintett - kérelemre érvényesíthető - jogait (tájékoztatás, helyesbítés, törlés) csatlakozásunk után az EU jelentős gazdasági vagy pénzügyi érdekéből is korlátozni lehet (Irányelv 12. cikk és 13. cikk 1. e/ pont). A Javaslat ezzel kiegészíti a hatályos szabályozást.

Lehetőséget kell teremteni arra is, hogy az érintett jogait az ellenőrzési feladatokkal, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, illetve munkajogi kötelezettségszegésekkel kapcsolatos eljárás során korlátozhassák. (Irányelv 13. cikk 1. d/ és f/ pont.)

Mindezekkel a korlátozásokkal szemben, természetesen, változatlanul fennáll az érintett jogorvoslati lehetősége (bírósági út), amelynek szabályait a módosítással kibővült lehetőségekkel kiegészíti a Javaslat. Egyben biztosítja a személyes adatok védelmével kapcsolatos perekben is a soron kívüli eljárást, amelyet a közérdekű adatok nyilvánosságával összefüggésben már tartalmaz a hatályos törvény.

Viszonylag széles körben biztosítja az Irányelv (14. cikk) az érintett számára a tiltakozás (kifogásolás) jogát, amellyel különösen akkor élhet, ha az adatkezelés vagy az adattovábbítás kizárólag az adatkezelő vagy az adatátvevő harmadik személy érdekét szolgálja, ha az adatokat közvetlen üzletszerzésre, közvélemény-kutatásra vagy tudományos kutatásra kívánják felhasználni. A magyar jogban egyes ágazati adatvédelmi törvények már biztosítják a tiltakozás jogát (népesség-nyilvántartás, direkt marketing).

A tiltakozási jog gyakorlásának szabályait rendezni kell az adatvédelmi törvényben is, meghatározva az eljárási határidőket és az adatkezelő kötelezettségeit. Az érintett, ha úgy látja, hogy tiltakozási jogával nem tudott megfelelően élni, bírósághoz fordulhat. A tiltakozási jog gyakorlásával összefüggésben jogorvoslati jog illeti meg azt a harmadik személyt is, aki ennek következtében nem jut hozzá valamely jogának vagy jogos érdekének az érvényesítéséhez szükséges adatokhoz.

A közérdekű adatok nyilvánossága körében csatlakozásunk után új korlátozási ok lesz az Unió jelentős pénzügyi vagy gazdaságpolitikai érdeke, amivel a Javaslat kiegészíti a hatályos szabályozást.

Az Irányelv (28. cikk) meghatározza, hogy milyen hatáskörrel kell rendelkeznie az adatvédelem területén az úgynevezett felügyelő hatóságnak (vagy hatóságoknak). Ilyen felügyelő hatóság tipikusan az adatvédelmi biztos, akinek a jelenlegi hatásköre sokkal szűkebb, mint amit az Irányelv előír. Ezért módosítja a Javaslat az adatvédelmi törvény vonatkozó rendelkezéseit, és kiegészíti az adatvédelmi biztos hatáskörét bizonyos hatósági jellegű jogosítványokkal. Ennek megfelelően az adatvédelmi biztosnak lehetősége lesz arra, hogy elrendelje a jogellenes adatkezelések zárolását, törlését vagy megsemmisítését, hogy megtiltsa a jogosulatlan adatkezeléseket vagy feldolgozásokat, valamint, hogy felfüggessze az adatok külföldre továbbítását.

Az adatkezelőnek meghatározott határidőn belül eleget kell tennie a biztos által elrendelteknek. Az adatkezelő számára pedig biztosítja a Javaslat a bírósághoz fordulás lehetőségét, ha nem ért egyet a biztos által előírt intézkedéssel.

Az adatvédelmi biztos jogosítványai közé tartozik az előzetes ellenőrzés (Irányelv 20. cikk) lehetősége. Előzetes ellenőrzést végezhet a biztos az adatkezelés adatvédelmi nyilvántartásba vételét megelőzően, valamint meghatározott nagy adatkezelőknél, ha azok új adatállomány feldolgozását vagy új adatvédelmi technológia felhasználását tervezik. Ez utóbbi esetben az adatfeldolgozást csak az ellenőrzés lefolytatása után lehet megkezdeni.

Az előzetes ellenőrzés lehetőségét az új adatállomány feldolgozását vagy új technológia alkalmazását megelőzően csak a kifejezetten nagy mennyiségű adatot kezelő szervezeteknél indokolt előírni, mint amilyenek az országos hatósági vagy munkaügyi adatállományokat kezelők, a pénzügyi szervezetek (bankok, biztosítók, nyugdíjpénztárak, stb.) a közüzemi és a távközlési szolgáltatók. Ezek közös jellemzője, hogy adatkezelésük a lakosság széles körét érinti, így fokozottabb a személyes adatok sérelmének veszélye.

Ugyanezeknél a nagy adatállományokat kezelő szervezeteknél indokolt előírni a belső adatvédelmi felelős kinevezését, valamint belső adatvédelmi szabályzat készítését. A belső adatvédelmi felelős az adatkezelő szervezetén belül gondoskodik az adatvédelmi rendelkezések betartásáról, az adatkezelések jogszerűségének biztosításáról, kivizsgálja az adatkezelésekkel kapcsolatos panaszokat, és elősegíti a visszás helyzetek kiküszöbölését.

Az adatvédelmi biztos fontos feladata az adatvédelmi rendelkezések érvényesülésének ellenőrzése mellett az is, hogy elősegítse a törvényi rendelkezések gyakorlati alkalmazását, amelynek egyébként már kialakult a gyakorlata. Indokolt ezért ennek a feladatnak nevesítése a törvényben.

Az adatvédelmi biztos jogkörének hatósági jellegű jogosítványokkal történő kibővítése felveti azt a kérdést, hogy ez idegen az országgyűlési biztosok jogintézményétől. A hatósági jellegű jogkör valóban nem jellemzője az ombudsmani intézménynek. Ezzel kapcsolatban azonban meg kell jegyezni, hogy egyrészt nincs olyan törvényi előírás, amely kizárná, hogy valamely biztos ilyen jogosítványokat kapjon. Másrészt az adatvédelmi biztosnak már most is van hatósági jellegű jogköre a titokminősítés területén. A jogosítványok kibővítése pedig uniós követelmény, és a többi tagállamban is az adatvédelmi ombudsman látja el ezeket a feladatokat.

A hatályos törvényi szabályozás nem szól a legnagyobb adatkezelést folytató területről, a statisztikáról, amelynek szabályait külön törvény határozza meg, és amelyet az Unió is elkülönítetten, szigorúbb garanciarendszerek biztosításával kezel. Alapelvi garanciaként ki kell mondani, hogy a statisztikai célra felvett és kezelt egyedi adatok csak és kizárólag statisztikai célból kezelhetők, és semmilyen más jogcímen nem használhatók fel. Ez az alkotmányos garanciája a statisztikai célból felvett adatok védelmének, egyúttal biztosítja a statisztika megbízhatóságát, amely egyik alapja a társadalom információs igénye kielégítésének.

A Javaslat szerint a törvény 2004. január 1-jén lép hatályba, így csatlakozásunk ténylegessé válásáig (2004. május) elég idő áll az adatkezelők rendelkezésére az új szabályokra való felkészüléshez.

Az Európai Unióra vonatkozó rendelkezéseket csak a csatlakozásunk napjától kell alkalmazni, ezért ezek eltérő hatályba lépéséről rendelkezik a Javaslat.

A külföldre történő adattovábbítás szabályainak változásával összhangban (7. §) hatályon kívül kell helyezni a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény 24/A. §-a (1) bekezdésének a) pontját, amely az igazságügy-miniszter és az adatvédelmi biztos hatáskörébe utalta annak megállapítását, hogy mely ország tekinthető azonos védelmet biztosítónak a személyes adatok kezelése szempontjából. E rendelkezés uniós csatlakozásunk után nem alkalmazható.

A személyazonosító jel helyébe lépő azonosító módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény módosítása lehetővé teszi, hogy a természetes személyek részére személyazonosító adataikat és azonosító kódjaikat tartalmazó azonosító kártyát adjanak ki. Az azonosító kártya csak az érintett kérelmére adható ki és olyan biztonsági rendszerrel kell ellátni, amely az adatkezelő számára csak annak az adatnak vagy kódnak a megismerését teszi lehetővé, amely kezelésére jogosult.