Hatály: 2018.VIII.25. - Váltás a jogszabály mai napon hatályos állapotára
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

Megnyitom a Jogtárban

 

2011. évi CXII. törvény

az információs önrendelkezési jogról és az információszabadságról * 

Az Országgyűlés az információs önrendelkezési jog és az információszabadság biztosítása érdekében, a személyes adatok védelmét, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését szolgáló alapvető szabályokról, valamint az ezen szabályok ellenőrzésére hivatott hatóságról az Alaptörvény végrehajtására, az Alaptörvény VI. cikke alapján a következő törvényt alkotja:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. A törvény célja

1. § *  E törvény célja a hatálya alá tartozó tárgykörökben az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon.

2. A törvény hatálya

2. § (1) *  E törvény hatálya - a személyes adatok tekintetében a (2)-(6) bekezdésben meghatározottak szerint - minden olyan adatkezelésre kiterjed, amely személyes adatra, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.

(2) *  Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet a III-V. és a VI/A. Fejezetben, valamint a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23-24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)-(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52-54. §-ban, az 55. § (1) és (2) bekezdésében, az 56-60. §-ban, a 60/A. § (1)-(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)-(10) bekezdésében, a 62-71. §-ban, a 72. §-ban, a 75. § (1)-(5) bekezdésében és az 1. mellékletben meghatározott kiegészítésekkel kell alkalmazni.

(3) *  Személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e törvényt kell alkalmazni.

(4) *  Személyes adatoknak a (2) és (3) bekezdés hatálya alá nem tartozó kezelésére

a) az általános adatvédelmi rendelet 4. cikkében, II-VI., és VIII-IX. fejezetében, valamint

b) az e törvény III-V. és VI/A. Fejezetében, továbbá a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23-24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)-(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52-54. §-ban, az 55. § (1) és (2) bekezdésében, az 56-60. §-ban, a 60/A. § (1)-(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)-(10) bekezdésében, a 62-71. §-ban, a 72. §-ban, a 75. § (1)-(5) bekezdésében és az 1. mellékletben

meghatározott rendelkezéseket kell alkalmazni.

(5) *  Személyes adatoknak az általános adatvédelmi rendelet hatálya alá tartozó kezelésére e törvény a (2) bekezdésben meghatározott rendelkezéseit, valamint más, törvényben meghatározott, a személyes adatok védelmére és a személyes adatok kezelésének feltételeire vonatkozó előírásokat - ha törvény vagy az Európai Unió kötelező jogi aktusa másként nem rendelkezik - akkor kell alkalmazni, ha

a) az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli egyetlen tevékenységi helye Magyarországon van, vagy

b) ha az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli egyetlen tevékenységi helye nem Magyarországon van, de az adatkezelő vagy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési művelet

ba) áruknak vagy szolgáltatásoknak a Magyarországon tartózkodó érintettek számára történő nyújtásához kapcsolódik, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért, vagy

bb) az érintett Magyarország területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódik.

(6) *  Nem kell alkalmazni e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.

(7) *  A közszféra információinak további felhasználására vonatkozóan törvény az adatszolgáltatás módjára és feltételeire, az azért fizetendő ellenértékre, valamint a jogorvoslatra vonatkozóan e törvénytől eltérő szabályokat állapíthat meg.

3. Értelmező rendelkezések

3. § E törvény alkalmazása során:

1. *  érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;

1a. *  azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. *  személyes adat: az érintettre vonatkozó bármely információ;

3. *  különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,

3a. *  genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;

3b. *  biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;

3c. *  egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

4. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;

5. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;

6. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli;

7. *  hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;

8. * 

9. *  adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;

9a. *  közös adatkezelő: az az adatkezelő, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;

10. *  adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

10a. *  bűnüldözési célú adatkezelés: a jogszabályban meghatározott feladat- és hatáskörében a közrendet vagy a közbiztonságot fenyegető veszélyek megelőzésére vagy elhárítására, a bűnmegelőzésre, a bűnfelderítésre, a büntetőeljárás lefolytatására vagy ezen eljárásban való közreműködésre, a szabálysértések megelőzésére és felderítésére, valamint a szabálysértési eljárás lefolytatására vagy ezen eljárásban való közreműködésre, továbbá a büntetőeljárásban vagy szabálysértési eljárásban megállapított jogkövetkezmények végrehajtására irányuló tevékenységet folytató szerv vagy személy (a továbbiakban együtt: bűnüldözési adatkezelést folytató szerv) ezen tevékenység keretei között és céljából - ideértve az ezen tevékenységhez kapcsolódó személyes adatok levéltári, tudományos, statisztikai vagy történelmi célból történő kezelését is - (a továbbiakban együtt: bűnüldözési cél) végzett adatkezelése;

10b. *  nemzetbiztonsági célú adatkezelés: a nemzetbiztonsági szolgálatok jogszabályban meghatározott feladat- és hatáskörében végzett adatkezelése, valamint a rendőrség terrorizmust elhárító szervének jogszabályban meghatározott feladat- és hatáskörében végzett, a nemzetbiztonsági szolgálatokról szóló törvény hatálya alá tartozó adatkezelése;

10c. *  honvédelmi célú adatkezelés: a honvédségi adatkezelésről szóló törvény és a Magyarország területén szolgálati céllal tartózkodó külföldi fegyveres erők, valamint a Magyarország területén felállított nemzetközi katonai parancsnokságok és állományuk nyilvántartásáról szóló törvény hatálya alá tartozó adatkezelés;

11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

11a. *  közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;

11b. *  nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet és annak alárendelt szervei, továbbá olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre;

12. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

13. *  adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;

14. * 

15. *  adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;

16. *  adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;

17. *  adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;

18. *  adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;

19. adatfelelős: az a közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő közérdekű adatot előállította, illetve amelynek a működése során ez az adat keletkezett;

20. *  adatközlő: az a közfeladatot ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatot - az adatfelelős által hozzá eljuttatott adatot honlapon közzéteszi;

21. adatállomány: az egy nyilvántartásban kezelt adatok összessége;

22. *  harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;

23. EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

24. harmadik ország: minden olyan állam, amely nem EGT-állam;

25. * 

26. *  adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

27. *  profilalkotás: személyes adat bármely olyan - automatizált módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;

28. *  címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;

29. *  álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;

II. FEJEZET

A SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ KÖVETELMÉNYEK * 

4. A személyes adatok kezelésének alapelvei * 

4. § (1) *  Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok gyűjtésének és kezelésének tisztességesnek és törvényesnek kell lennie.

(2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

(3) A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

(4) Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.

(4a) *  Az adatkezelés során arra alkalmas műszaki vagy szervezési - így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító - intézkedések alkalmazásával biztosítani kell a személyes adatok megfelelő biztonságát.

(5) *  A személyes adatok kezelését tisztességesnek és törvényesnek kell tekinteni, ha az érintett véleménynyilvánítási szabadságának biztosítása érdekében az érintett véleményét megismerni kívánó személy az érintett lakóhelyén vagy tartózkodási helyén felkeresi, feltéve, hogy az érintett személyes adatait e törvény rendelkezéseinek megfelelően kezelik és a személyes megkeresés nem üzleti célra irányul. A személyes megkeresésre a munka törvénykönyve szerinti munkaszüneti napon nem kerülhet sor.

5. *  Az adatkezelés jogalapja és általános feltételei

5. § *  (1) Személyes adat akkor kezelhető, ha

a) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén - helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,

b) az a) pontban meghatározottak hiányában az az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult,

c) az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy

d) az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.

(2) Különleges adat

a) az (1) bekezdés c)-d) pontjában meghatározottak szerint, vagy

b) akkor kezelhető, ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához feltétlenül szükséges és azzal arányos, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése, felderítése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli.

(3) Az (1) bekezdés a) pontjában, a (2) bekezdés b) pontjában, valamint az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.

(4) Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűncselekmények megelőzésére, felderítésére és üldözésére irányuló, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, valamint a szabálysértési, a polgári peres és nemperes ügyekre, valamint a közigazgatási peres és nemperes ügyekre vonatkozó adatokat tartalmazó nyilvántartásokat.

(5) Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

(6) Különleges adatok kezelése esetén az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó megfelelő műszaki és szervezési intézkedésekkel biztosítja, hogy az adatkezelési műveletek végzése során a különleges adatokhoz kizárólag az rendelkezzen hozzáféréssel, akinek az adatkezelési művelettel összefüggő feladatának ellátásához feltétlenül szükséges.

(7) Bűnügyi személyes adatok kezelése esetén - ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik - a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni.

(8) A tudományos kutatást végző szerv vagy személy személyes adatot nyilvánosságra hozhat, ha az a történelmi eseményekről folytatott kutatások eredményeinek bemutatásához szükséges.

6. § *  Kizárólag automatizált adatkezelésen - így különösen profilalkotáson - alapuló, az érintett személyére vagy jogos érdekeire hátrányos vagy az érintettet jelentős mértékben érintő jogkövetkezményekkel járó döntés meghozatalára kizárólag akkor kerülhet sor, ha azt törvény vagy az Európai Unió kötelező jogi aktusa kifejezetten lehetővé teszi és

a) az nem sérti az egyenlő bánásmód követelményét,

b) az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó az

ba) érintettet - kérelmére - tájékoztatja a döntéshozatali mechanizmus során alkalmazott módszerről és szempontokról,

bb) érintett kérelmére a döntés eredményét emberi közreműködés alkalmazásával felülvizsgálja, valamint

c) arra - törvény vagy az Európai Unió kötelező jogi aktusának eltérő rendelkezése hiányában - nem különleges adatok felhasználásával kerül sor.

7. § *  (1) Bűnüldözési célú adatkezelés esetén az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó - ha az aránytalan nehézséggel vagy költséggel nem jár - az általa kezelt személyes adatokat annak alapján rendszerezi, hogy azok azon érintettek személyes adatai

a) akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt vagy szabálysértést követtek el vagy bűncselekményt készülnek elkövetni,

b) akik büntetőjogi vagy szabálysértési felelősségét jogerősen megállapították,

c) akik bűncselekmény vagy szabálysértés sértettjei voltak, vagy akikről megalapozottan feltételezhető, hogy bűncselekmény vagy szabálysértés sértettjei lehetnek, vagy

d) akik az a)-c) pontban meghatározottakon túl bűncselekménnyel vagy szabálysértéssel, vagy azok elkövetőivel kapcsolatba hozhatóak, így különösen, akik a büntetőeljárás során tanúként meghallgathatóak, a bűncselekményről vagy a szabálysértésről információval szolgálhatnak, vagy az a) és b) pontban meghatározott érintettekkel kapcsolatban állnak vagy velük összefüggésbe hozhatóak.

(2) Bűnüldözési célú adatkezelés esetén az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó - ha az aránytalan nehézséggel vagy költséggel nem jár - egyértelműen megkülönbözteti az érintettel kapcsolatba hozható tényeket és az érintettel kapcsolatba hozható szubjektív értékeléseket.

6. *  Az adattovábbítás feltételei

8. § *  (1) Az adattovábbítást megelőzően az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó megvizsgálja a továbbítandó személyes adatok pontosságát, teljességét és naprakészségét.

(2) Ha az (1) bekezdésben meghatározott vizsgálat eredményeként az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó azt állapítja meg, hogy a továbbítandó adatok pontatlanok, hiányosak vagy már nem naprakészek, azokat kizárólag abban az esetben továbbíthatja, ha

a) az az adattovábbítás céljának megvalósulásához elengedhetetlenül szükséges, és

b) az adattovábbítással egyidejűleg tájékoztatja a címzettet az adatok pontosságával, teljességével és naprakészségével összefüggésben rendelkezésére álló információkról.

(3) Ha az adattovábbítást követően jut az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó tudomására, hogy az adattovábbítás törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott feltételei nem teljesültek, arról a címzettet haladéktalanul értesíti.

9. § *  (1) Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az adatkezelő vagy az adatfeldolgozó személyes adatot akként vesz át, hogy az adattovábbító adatkezelő vagy adatfeldolgozó az adattovábbítással egyidejűleg jelzi a személyes adat

a) kezelésének lehetséges célját,

b) kezelésének lehetséges időtartamát,

c) továbbításának lehetséges címzettjeit,

d) érintettje e törvényben biztosított jogainak korlátozását, vagy

e) kezelésének egyéb feltételeit

[az a)-e) pont a továbbiakban együtt: adatkezelési feltételek], a személyes adatokat átvevő adatkezelő és adatfeldolgozó (a továbbiakban: adatátvevő) a személyes adatot az adatkezelési feltételeknek megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési feltételeknek megfelelően biztosítja.

(2) Az adatátvevő az adatkezelési feltételekre tekintet nélkül is kezelheti a személyes adatot és biztosíthatja az érintett jogait, ha ahhoz az adattovábbító adatkezelő előzetes jóváhagyását adta.

(3) Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az adatkezelő vagy az adatfeldolgozó adatkezelési feltételek alkalmazásának kötelezettségével kezel személyes adatot, annak továbbításával egyidejűleg tájékoztatja a címzettet az adatkezelési feltételekről és az azok alkalmazására vonatkozó jogi kötelezettségről.

(4) Ha a (2) bekezdésben, továbbá a 10. § (2) bekezdés c) pont ca) alpontjában meghatározott előzetes jóváhagyás megadására az e törvény hatálya alá tartozó adatkezelő jogosult, ezen előzetes jóváhagyást az adatkezelő akkor jogosult megadni, ha az az adattovábbítás körülményeit - ideértve az adattovábbítás szükségességét és célját - figyelembe véve nem ütközik a Magyarország joghatósága alatt álló jogalanyok tekintetében alkalmazandó jogi rendelkezésbe, így különösen, ha az adattovábbítás - ideértve a közvetett adattovábbítást is - címzettje tekintetében a személyes adatok megfelelő szintű védelme a 10. § (4) bekezdés a)-c) pontjában foglaltak alapján vélelmezhető.

(5) Az adattovábbító adatkezelőt - kérelmére - az adatátvevő tájékoztatja az átvett személyes adatok felhasználásáról.

10. § *  (1) Személyes adatot az e törvény hatálya alá tartozó adatkezelő vagy adatfeldolgozó harmadik országban, továbbá nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó részére - a közvetett adattovábbítást is ideértve - akkor továbbíthat (a továbbiakban együtt: nemzetközi adattovábbítás), ha

a) a nemzetközi adattovábbításhoz az érintett kifejezetten hozzájárult, vagy

b) a nemzetközi adattovábbítás az adatkezelés céljának eléréséhez szükséges, valamint

ba) annak során az adatkezelésnek az 5. §-ban előírt feltételei teljesülnek, és

bb) a harmadik országban, illetve a nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó tekintetében a továbbított személyes adatok megfelelő szintű védelme biztosított, vagy

c) a nemzetközi adattovábbítás a 11. §-ban meghatározott kivételes esetekben szükséges.

(2) Bűnüldözési célú adatkezelés esetén nemzetközi adattovábbításra az (1) bekezdésben meghatározott feltételek teljesülése esetén is csak akkor kerülhet sor, ha

a) az bűnüldözési célból szükséges,

b) annak címzettje

ba) bűnüldözési adatkezelést folytató szerv, vagy

bb) nem bűnüldözési adatkezelést folytató szerv és a 11. § (3) bekezdésében meghatározott feltételek teljesülnek, és

c) nemzetközi adattovábbítással érintett személyes adatnak valamely EGT-állam adatkezelőjétől történő átvétele esetén,

ca) a nemzetközi adattovábbítást ezen személyes adatok tekintetében az EGT-állam adatkezelője vagy képviseletében eljáró más szerv vagy személy előzetesen jóváhagyta, vagy

cb) - a közvetett adattovábbítás kivételével - a nemzetközi adattovábbítás Magyarország vagy valamely más EGT-állam alapvető érdekeit vagy ezen államok vagy harmadik ország közbiztonságát fenyegető súlyos és közvetlen veszély megelőzése érdekében szükséges és a ca) alpont szerinti előzetes jóváhagyás beszerzése ezen érdekek sérelme nélkül a nemzetközi adattovábbítást megelőzően nem lehetséges.

(3) Az adatkezelő a (2) bekezdés c) pont cb) alpontjában meghatározott nemzetközi adattovábbítást követően arról haladéktalanul tájékoztatja a (2) bekezdés c) pont ca) alpontja szerinti előzetes jóváhagyásra jogosult szervet vagy személyt.

(4) A személyes adatok megfelelő szintű védelmét - az ellenkező bizonyításáig - biztosítottnak kell tekinteni, ha

a) az Európai Unió kötelező jogi aktusa azt megállapítja,

b) az a) pont szerinti jogi aktus hiányában vagy alkalmazásának felfüggesztése esetén az érintetteknek a 14. §-ban, a 22. §-ban és a 23. §-ban foglalt jogai érvényesítésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés alkalmazandó Magyarország és azon harmadik ország, illetve nemzetközi szervezet között, amelynek joghatósága kiterjed a nemzetközi adattovábbítás címzettjére, vagy

c) az a)-b) pontban meghatározott jogi aktus hiányában vagy alkalmazásának felfüggesztése esetén a nemzetközi adattovábbítást megelőzően az adatkezelő a személyes adatok továbbításának valamennyi körülményét megvizsgálta és megállapította, hogy a személyes adatok megfelelő szintű védelme tekintetében megfelelő garanciák állnak fenn.

11. § *  (1) Ha a személyes adatok megfelelő szintű védelme a 10. § (4) bekezdés a)-c) pontjában foglaltak alapján nem vélelmezhető, nemzetközi adattovábbítás az érintett kifejezett hozzájárulásának hiányában kizárólag abban az esetben lehetséges, ha az

a) az érintett vagy más személy létfontosságú érdekeinek védelme érdekében szükséges,

b) valamely EGT-állam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása érdekében szükséges,

c) egyedi ügyben, eseti jelleggel az adatkezelő által végzett vizsgálatok vagy eljárások hatékony és eredményes lefolytatása érdekében szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával, vagy

d) egyedi ügyben, eseti jelleggel az érintett vagy más jogi igényeinek előterjesztése, érvényesítése, illetve védelme érdekében szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával.

(2) Bűnüldözési célú adatkezelés esetén, ha a nemzetközi adattovábbítás címzettje bűnüldözési adatkezelést folytató szerv és a személyes adatok megfelelő szintű védelme a 10. § (4) bekezdés a)-c) pontjában foglaltak alapján nem vélelmezhető, nemzetközi adattovábbítás az érintett kifejezett hozzájárulásának hiányában kizárólag abban az esetben lehetséges, ha az

a) az (1) bekezdés a) és b) pontjában meghatározott valamely célból szükséges,

b) az érintett jogos érdekének érvényesítéséhez szükséges,

c) valamely bűnüldözési célból egyedi ügyben, eseti jelleggel szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával, vagy

d) valamely bűnüldözési célhoz kapcsolódó jogi igények előterjesztésére, érvényesítésére, illetve védelmére irányuló egyedi ügyben, eseti jelleggel szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával.

(3) Bűnüldözési célú adatkezelés esetén, ha a nemzetközi adattovábbítás címzettje nem bűnüldözési adatkezelést folytató szerv, nemzetközi adattovábbítás az érintett kifejezett hozzájárulásának hiányában kizárólag egyedi ügyben, eseti jelleggel, abban az esetben lehetséges, ha

a) az a nemzetközi adattovábbítást végző adatkezelő feladat- és hatáskörébe tartozó bűnüldözési célból feltétlenül szükséges,

b) az nem jár az érintett alapvető jogainak aránytalan korlátozásával,

c) bűnüldözési adatkezelést folytató szerv részére történő nemzetközi adattovábbítás útján a nemzetközi adattovábbítás célja hatékonyan nem érhető el,

d) a nemzetközi adattovábbítást végző adatkezelő a nemzetközi adattovábbítás tekintetében joghatósággal rendelkező harmadik országbeli vagy nemzetközi szervezet keretében bűnüldözési adatkezelést folytató szervet a nemzetközi adattovábbításról haladéktalanul tájékoztatja, kivéve, ha ezen tájékoztatás esetén a nemzetközi adattovábbítás célja hatékonyan nem érhető el, és

e) a nemzetközi adattovábbítást végző adatkezelő tájékoztatja a címzettet a továbbított adatok kezelésének lehetséges céljáról.

12. § *  (1) Ha az adatkezelő vagy az adatfeldolgozó a nemzetközi adattovábbítást

a) a 10. § (4) bekezdés c) pontjában foglalt vélelemre alapítja, vagy

b) bűnüldözési célú adatkezelés esetén nem bűnüldözési adatkezelést folytató szerv címzett részére végzi,

az adatkezelő az azonos célból, azonos címzett részére, első alkalommal történő nemzetközi adattovábbítást követően haladéktalanul tájékoztatja a Hatóságot a nemzetközi adattovábbítás céljáról, a továbbított adatok címzettjéről és köréről, valamint - az a) pontban meghatározott esetben - a nemzetközi adattovábbítás rendszerességéről.

(2) Ha az adatkezelő vagy az adatfeldolgozó a nemzetközi adattovábbítást

a) a 10. § (4) bekezdés c) pontjában foglalt vélelemre alapítja, vagy

b) bűnüldözési célú adatkezelés esetén

ba) bűnüldözési adatkezelést folytató szerv részére a 11. § (2) bekezdésben meghatározottak szerint végzi, vagy

bb) nem bűnüldözési adatkezelést folytató szerv címzett részére végzi,

az adatkezelő a nemzetközi adattovábbítás körülményeit, így különösen az (1) bekezdésben meghatározott adatokat, továbbá a nemzetközi adattovábbítás időpontját, a továbbított személyes adatokat, valamint - az a) pontban meghatározott esetben - az adatkezelő által vizsgált és megfelelően azonosított garanciák megnevezését dokumentálja, e dokumentációt a 25/F. § (4) bekezdésében meghatározott ideig megőrzi és azt a Hatóság kérésére rendelkezésére bocsátja.

13. § *  (1) Az EGT-államba, valamint az Európai Unió működéséről szóló szerződés V. címének 4. és 5. fejezete szerint létrehozott ügynökségek, hivatalok és szervek részére irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.

(2) Nemzetközi adattovábbítás az általános adatvédelmi rendelet 96. cikkében, valamint a 2016/680 (EU) irányelv 61