Kutatási sztenderdek



1995. évi CXIX. törvény
a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezelésérõl
Az Országgyûlés - kiindulva abból, hogy az Alkotmány szerint a Magyar Köztársaság biztosítja a személyes adatok védelméhez való jogot, valamint a tudományos kutatás szabadságát, a szabad véleménynyilvánítás és a piacgazdaság feltételeit; figyelembe véve a személyes adatok védelmérõl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, az Európa Tanács 108. számú Egyezményét a személyiségnek személyes adatok automatikus kezelésével kapcsolatos védelmérõl, valamint az Európa Tanács Ajánlásait - a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezelésérõl a következõ törvényt alkotja:
I.
Általános rendelkezések
1. § (1) E törvény hatálya kiterjed azokra a természetes és jogi személyekre, valamint jogi személyiséggel nem rendelkezõ szervezetekre, amelyek tudományos kutatás, közvélemény-kutatás, piackutatás és közvetlen üzletszerzéshez történõ kapcsolatfelvétel céljára név- és lakcímadatot igényelnek, illetõleg kezelnek.
(2) E törvény hatálya nem terjed ki a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelmérõl szóló 1995. évi LXVI. törvény alapján történõ kutatásra.
2. § (1) E törvény alkalmazása során:
1. Tudományos kutatás: az a tevékenység, amelynek célja a világról, annak jelentéseirõl, a jelenségek összefüggéseirõl szerzett ismeretek gyarapítása, és amelynél a vizsgált társadalmi, gazdasági és természeti jelenségek objektív összefüggéseinek a feltárásához név- és lakcímadat vagy a személyekkel történõ közvetlen kapcsolatfelvétel szükséges.
2. Közvélemény-kutatás: egyének és csoportjaik (a továbbiakban: érintett) véleményének és ítéletalkotásuk összetevõinek kutatása.
3. Piackutatás: az érintett fogyasztói szokásának vizsgálata.
4. Közvetlen üzletszerzés (direkt marketing): azoknak a közvetlen megkeresés módszerével végzett tájékoztató tevékenységeknek és kiegészítõ szolgáltatásoknak az összessége, amelyeknek célja az érintett részére termékek vagy szolgáltatások ajánlása, hirdetések továbbítása, a fogyasztók vagy kereskedelmi partnerek tájékoztatása, üzletkötés (vásárlás) elõmozdítása érdekében.
5. Közvetlen üzletszerzési (direkt marketing) lista (a továbbiakban: üzletszerzési lista): nevek és lakcímek gyûjteménye, amely az érintettekkel vagy kereskedelmi partnerekkel való kapcsolatfelvételt és kapcsolattartást szolgálja a közvetlen üzletszerzés céljából. A lista a néven és lakcímen kívül csak az ügyfelek és támogatók érdeklõdésére vonatkozó információt tartalmazhatja.
6. Tilalmi lista: azon érintettek név- és lakcímadatainak a nyilvántartása, akik nem járultak hozzá, hogy személyes adataikat e törvényben meghatározott közvetlen üzletszerzési célok valamelyikére felhasználják, vagy megtiltották azok e célból történõ további kezelését.
7. Tudományos kutató: az a természetes személy, aki tudományos fokozattal, illetõleg címmel rendelkezik és abban a tudományágban vagy tudományterületen, amelyben felkészültségét bizonyította, tudományos tevékenységet végez; továbbá, aki kutatási feladatot is ellátó szervtõl vagy alapítványi támogatótól kapott igazolás szerint tudományos kutatást végez.
8. Közvélemény-kutató, piackutató és közvetlen üzletszerzõ szerv: az a természetes és jogi személy vagy jogi személyiséggel nem rendelkezõ szervezet, amely a 2-4. pont alatti tevékenységet jogosult végezni.
9. Adatfeldolgozás: az adatkezelést érintõ, érdemi döntést nem jelentõ technikai feladatok elvégzése.
10. Anonimizálás: olyan technikai eljárás, amely biztosítja az érintett és az adat közötti kapcsolat helyreállítása lehetõségének végleges kizárását.
(2) Az e törvényben nem szabályozott kérdésekben, valamint a személyes adatok kezelésére vonatkozó fogalmak értelmezésére a személyes adatok védelmérõl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) rendelkezéseit kell alkalmazni.
A név- és lakcímadatok átvételének általános szabályai
3. § (1) A tudományos kutató, továbbá a közvélemény-kutató és a piackutató, valamint a közvetlen üzletszerzõ szerv - illetõleg az általuk az adatok kezelésére, átvételére megbízott szerv - kapcsolatfelvétel céljából név- és lakcímadatot a következõ forrásból gyûjthet, illetve használhat fel:
a) annak az érintettnek az adata, akivel korábban az adatkezelõ szerv kapcsolatban állt (üzletfél, támogató);
b) a jogszerûen nyilvánosságra hozatal céljából készített és nyilvánosságra hozott adatállományban, név- és címjegyzékben, valamint kiadványban - így különösen telefonkönyv, szaknévsor, statisztikai névjegyzék - szereplõ adat, feltéve, ha az adatgyûjtéskor vagy az adategyeztetéskor az érintettet tájékoztatták az eredetitõl eltérõ célra történõ adatfelhasználás lehetõségérõl, illetõleg a letiltás jogáról;
c) más, ugyanazon tevékenységet végzõ személytõl vagy szervtõl adat átvételével, amennyiben az érintett az adat átadását az errõl szóló elõzetes tájékoztatás után nem kifogásolta, vagy tiltotta meg;
d) adat igénylésével a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény (a továbbiakban: Nytv.) hatálya alá tartozó nyilvántartásból az Nytv.-ben meghatározott feltételekkel, feltéve, hogy a polgár az adatainak kiadását nem tiltotta meg [Nytv. 2. § (1) bek.].
(2) A tudományos kutatás, a közvélemény-kutatás, illetõleg a piackutatás megkezdéséhez szükséges minta kiválasztásakor, valamint közvetlen üzletszerzési lista összeállításakor nem lehet kiválasztási szempont olyan ismérv, amelybõl egyértelmûen különleges adatra lehet következtetni.
4. § (1) A polgárok személyi adatainak és lakcímének nyilvántartásából név- és lakcímadatok az alábbiak szerint igényelhetõk:
a) a tudományos kutatás céljára a kapcsolatfelvételhez az Nytv. 11. §-a (1) bekezdésének a)-e), g)-h) és k) pontjaiban meghatározott bármely szempont, továbbá
b) a közvélemény-kutatás és piackutatás megkezdéséhez szükséges minta kiválasztásához az Nytv. 11. §-a (1) bekezdésének c)-d), h) és k) pontjaiban meghatározott bármely szempont, valamint
c) az üzletszerzési lista összeállításához az Nytv. 11. §-a (1) bekezdésének c)-d), h) és k) pontjában meghatározott szempont
szerinti megoszlásban.
(2) Az (1) bekezdés alapján történõ adatigénylés esetén a kérelmezõnek az ott meghatározott tevékenység végzésére való jogosultságát is megfelelõen igazolnia kell.
(3) Az e törvény hatálya alá tartozó adatkezelõnek a név- és lakcímadatok pontosságát és idõszerûségét az érintettel való kapcsolattartással vagy a személyiadat- és lakcímnyilvántartással történõ rendszeres adategyeztetéssel kell biztosítani. Az adategyeztetés során a személyiadat- és lakcímnyilvántartás szerveinek tájékoztatnia kell az adatigénylõt arról is, ha az érintett idõközben adatainak átadását az Nytv. 2. §-ának (1) bekezdése alapján letiltotta. Ha az adatkezelõ az adatokat az adategyeztetést megelõzõen más szervnek is átadta, a letiltás tényérõl e szervet is értesítenie kell.
(4) A személyiadat- és lakcímnyilvántartásból az (1) bekezdés alapján igényelt adat csak az igényléstõl, illetõleg a legutóbbi egyeztetésbõl számított hat hónapon belül használható fel, illetõleg továbbítható.
Adatvédelem és adatbiztonság
5. § (1) A tudományos kutatás, a közvélemény-kutatás és piackutatás, valamint a közvetlen üzletszerzés céljára történõ adatkezelés során - az Avtv.-ben, valamint az e törvényben foglaltaknak megfelelõen - biztosítani kell az érintett jogát a személyes adatainak védelméhez. Így különösen:
a) a kapcsolatfelvétellel egyidejûleg az érintettet írásban tájékoztatni kell arról, hogy a megkeresõ az adatokat milyen forrásból szerezte; az adatfelhasználás céljáról, módjáról, idõtartamáról, az adatkezelés során közremûködõ (megbízott) igénybevételérõl és az esetleges késõbbi adatátadási szándékról; az adatkezelésre jogosult szerv vagy személy nevérõl és címérõl, valamint arról, hogy az adatszolgáltatás önkéntes, és jogában áll adatainak a megjelölt célra vagy annak egy részére történõ kezelésének a megszüntetését kérni;
b) biztosítani kell számára azt a jogot, hogy a további együttmûködést bármikor indokolás nélkül megtagadhatja, és errõl írásban tájékoztatni kell;
c) név- és lakcímadatainak az e törvényben meghatározott tevékenységek céljából történõ kezelését meg kell szüntetni, amennyiben ezt az érintett kéri, vagy adatainak kezeléséhez nem járul hozzá;
d) név- és lakcímadatait harmadik személynek vagy szervezetnek továbbítani - a 3. § (1) bekezdés c) pontja alapján történõ adattovábbítás, a megbízás alapján történõ adatfeldolgozás, valamint az e törvényben meghatározott adategyeztetés [4. § (3) bekezdése] kivételével - csak az érintett írásbeli hozzájárulásával lehet.
(2) Adatátadás esetén mind az adatátadónak, mind az - átvevõnek az érintett adatokról és az adatátvevõrõl, illetõleg - átadóról - az adatforgalom ellenõrizhetõségének biztosítása céljából - nyilvántartást kell vezetni. A nyilvántartást az adatátvétel, illetve az adatátadás évét követõ ötödik év végéig kell megõrizni. A megbízás alapján történõ adatfeldolgozás esetén a megbízó minõsül felelõs adatkezelõnek.
(3) A személyes adatoknak az adott célból történõ kezelését meg kell szüntetni, ha
a) az a cél, amelyre az adatokat kérték megvalósult, kivéve, ha az érintett az új cél megjelölésével az adatok további kezeléséhez írásban hozzájárult;
b) az érintett nyilatkozata szerint a megkeresõ szervezettel nem kíván együttmûködni.
(4) Az adatkezelés megszüntetésén a megsemmisítést vagy az anonimizálást, közvetlen üzletszerzés esetén pedig - ha a megszüntetés a (3) bekezdés b) pontján alapul - az üzletszerzési listán való törlést és egyidejûleg a 21. § szerinti tilalmi listára történõ felvételt kell érteni.
(5) Ha az adatkezelést annak bármely szakaszában az érintett kérelme alapján kell megszüntetni, ezért az érintettet jogi felelõsség nem terheli.
6. § (1) A tudományos kutatónak, továbbá a közvélemény-kutató, a piackutató és a közvetlen üzletszerzõ szervnek az adatok biztonságáról megfelelõ technikai és szervezési intézkedésekkel kell gondoskodni. Ennek során - a tudományos kutató kivételével - belsõ adatvédelmi és adatbiztonsági szabályzatot kell készíteni, melyek kialakításához az e törvény hatálya alá tartozó tevékenységeket végzõ szervezetek szakmai képviseleti szervezetei önszabályozó tevékenységgel nyújtanak segítséget.
(2) Az (1) bekezdésben meghatározott intézkedésekrõl és azok kötelezõ betartásáról az adatkezelõket és az adatok kezelésében részt vevõ személyeket (alkalmazott, megbízott) tájékoztatni kell.
(3) Az adatkezelõ az e törvény hatálya alá tartozó adatkezeléseket - kivéve, ha az tudományos kutatás célját szolgálja, és nem hozzák nyilvánosságra [Avtv. 30. § h) pont] - a tevékenység megkezdése elõtt az Avtv. 28. §-ának (1) bekezdése alapján köteles az adatvédelmi biztosnak bejelenteni.
II.
Tudományos kutatási célú adatkezelés
7. § (1) A tudományos kutatónak az e törvény hatálya alá tartozó kutatás megkezdése elõtt kutatási adatkezelési tervet kell készítenie. A tervet módosítani kell, ha az adatkezelés célja a kutatás folyamata alatt megváltozik. A kutatási adatkezelési tervnek tartalmaznia kell:
a) a kutatási jogosultságot,
b) a kutatás célját,
c) a kezelendõ személyes adatok körét és azok forrását,
d) az adatkezelés folyamatát,
e) az érintett jogai gyakorlati érvényesíthetõségének biztosítékait, valamint
f) az adatvédelmet biztosító technikai és szervezési intézkedéseket.
(2) A kutatási adatkezelési tervet az adatkezelés jogszerûségének bizonyíthatósága és az ellenõrzés lehetõségének biztosítása céljából az adatok kezelésének megszüntetéséig meg kell õrizni.
(3) Intézeti tudományos kutatás esetén a tudományos kutató jogait és kötelezettségeit a kutatási tevékenységet végzõ szervet illetik meg, illetõleg terhelik.
Adatátvétel és adattovábbítás
8. § (1) A tudományos kutatás céljából a 3. § szerint átvett név- és lakcím adatok újabb információk beszerzése céljából történõ felhasználásához az elhunyt személy örökösének a hozzájárulása szükséges, ha az érintett személy az adatok felvételét vagy átvételét megelõzõ harminc éven belül elhalt. Amennyiben az örökös személye nem állapítható meg, vagy hozzájárulásának beszerzése aránytalan nehézséget jelentene, úgy a hozzájárulást az elhunyt személy hozzátartozója is megadhatja.
(2) A tudományos kutatásban érintett személlyel történõ kapcsolatfelvételhez szükséges adatok a 3. § (1) bekezdése alapján vehetõk át. A kapcsolatfelvételt követõen az érintett név- és lakcímadata csak a vele való folyamatos kapcsolattartáshoz használható fel, és a kutatás befejezésekor az adatok kezelését meg kell szüntetni.
9. § (1) Ha az 5. § (1) bekezdésében meghatározott tájékoztatási kötelezettség teljesítése a kutatási cél megvalósulását veszélyeztetné, akkor az adatgyûjtés befejezését követõen kell az érintett személyt adatainak felhasználásáról és jogairól teljeskörûen tájékoztatni.
(2) Ha az érintett a név- és lakcímadatainak a kezelését az (1) bekezdés alapján adott tájékoztatás alkalmával vagy a kutatás késõbbi idõpontjában megtiltja, azokat kérelmére meg kell semmisíteni, és errõl az érintettet írásban tájékoztatni kell.
(3) Az (1) bekezdés szerinti tájékoztatási kötelezettségtõl, illetõleg a hozzájárulás beszerzésétõl csak akkor lehet eltekinteni, ha a kutatás célja szociális, népegészségügyi, közoktatási vagy környezetvédelmi érdekekkel van összefüggésben, és a tájékoztatás vagy hozzájárulás beszerzése az érintettek nagy száma miatt aránytalanul sok idõt, költséget és emberi munkát igényelne. A tájékoztatás, illetõleg a hozzájárulás beszerzése mellõzésének jogszerûségéért az adatigénylõ felelõs.
10. § A cselekvõképtelen vagy korlátozottan cselekvõképes személy esetén a tájékoztatást a törvényes képviselõ részére kell megadni, aki gyakorolja az érintettet megilletõ nyilatkozattételi jogokat is.
11. § Külföldi tudományos kutató, ha e törvény hatálya alá tartozó adatkezelést kíván végezni, illetõleg, ha a belföldi tudományos kutató a tevékenységét külföldi megbízás alapján végzi, errõl a tényrõl az érintettet köteles írásban tájékoztatni. Külföldre csak anonimizált adat továbbítható, kivéve, ha az érintett az adatai átadásához írásban hozzájárult.
III.
A közvélemény-kutatási és piackutatási célú adatkezelés
12. § (1) A közvélemény-kutatás, illetõleg a piackutatás (a továbbiakban együtt: közvélemény-kutatás) megkezdése elõtt a közvélemény-kutató, illetõleg piackutató szervnek (a továbbiakban együtt: közvélemény-kutató szerv) az adatkezelés folyamatának nyomon követése érdekében kutatási adatkezelési tervet kell készítenie, melynek tartalmaznia kell a 7. § (1) bekezdésében meghatározott információkat.
(2) A közvélemény-kutatás megkezdéséhez a név- és lakcímadatok csak a 3. § (1) bekezdésében meghatározott forrásból vehetõk át.
13. § (1) A közvélemény-kutató szerv a 12. § alapján megszerzett vagy rendelkezésre álló név- és lakcímadatokat a kapcsolatfelvételen kívül egyéb célra csak az érintett írásbeli hozzájárulásával használhatja fel.
(2) Ha a közvélemény-kutató szerv és az érintett között kapcsolat jön létre, a kapcsolatfelvétel után haladéktalanul a név- és lakcímadatokat a közvélemény-kutatás egyéb adataitól le kell választani, azt elkülönítetten kell tárolni, és biztosítani kell, hogy a közvélemény-kutatással érintett személye ne legyen azonosítható. A név- és lakcímadatok ismételt kapcsolatfelvételre csak akkor használhatók fel, ha az érintett a folyamatos kapcsolattartáshoz vagy az ismételt kapcsolatfelvételhez írásban hozzájárul. Az érintett név- és lakcímadatait, valamint egyéb személyes adatait és az általa nyújtott információkat csak akkor lehet együttesen feldolgozni, illetõleg tárolni, ha az érintett ehhez írásban külön és kifejezetten hozzájárult.
(3) A (2) bekezdés alapján elkülönítetten tárolt név- és lakcímadatok feldolgozására olyan technikai módszert kell kialakítani, amely lehetetlenné teszi a megkérdezett válaszainak a név- és lakcímadataival történõ összekapcsolását.
(4) A (2) bekezdés szerinti név- és lakcímadatok kezelését az érintett ilyen irányú kérelme alapján haladéktalanul, ennek hiányában a közvélemény-kutatási tevékenység megszüntetésével egyidejûleg, illetõleg a folyamatos kapcsolattartás befejezésekor - az 5. § (4) bekezdése szerint eljárva - kell megszüntetni.
14. § (1) A közvélemény-kutatás során adott válaszok feldolgozásának minden szakaszában biztosítani kell a megkérdezett személy teljes anonimitását, valamint a véleményadás önkéntességét.
(2) A közvélemény-kutatás eredményeként kialakított következtetésben nem szerepelhet az érintett azonosítására alkalmas adat.
(3) A közvélemény-kutatás során az érintett személyes adatai, illetõleg véleménye alapján nem lehet olyan intézkedést tenni, döntést hozni, vagy következtetést levonni, amely a személyére vonatkozik vagy azt érinti.
15. § A közvélemény-kutató szerv az érintettek személyiségi jogairól, a személyes adatok védelmérõl és az adatvédelmi követelmények megszegésének jogkövetkezményeirõl köteles a megbízásából eljáró személyeket megfelelõen kioktatni. A személyes adatok védelméért a közvélemény-kutató szerv a felelõs.
16. § (1) Külföldi közvélemény-kutató szerv vagy személy, ha e törvény hatálya alá tartozó adatkezelést kíván végezni, illetõleg, ha a belföldi közvélemény-kutató szerv vagy személy tevékenységét külföldi megbízás alapján végzi, errõl a tényrõl az érintettet köteles írásban tájékoztatni. Külföldre csak olyan feldolgozott információ továbbítható, amelybõl az érintett személyére nem lehet következtetni, kivéve, ha az érintett az adatai átadásához írásban hozzájárult.
(2) A piackutatás céljára gyûjtött adatok nem adhatók át közvetlen üzletszerzés céljára.
IV.
A közvetlen üzletszerzési célú adatkezelés
17. § (1) A közvetlen üzletszerzõ szerv a jogszerû tevékenységének végzéséhez szükséges listák összeállításához a név- és lakcímadatokat csak a 3. § (1) bekezdésében meghatározott forrásból vehet át, és az e törvényben elõírt feltételek teljesítése esetén gyûjthet.
(2) A 3. § (1) bekezdés a) pontja tekintetében üzletfélnek vagy támogatónak az tekinthetõ, aki akaratlagos cselekedetével - a termékekre vagy szolgáltatásokra vonatkozóan információkat kérve, vagy nyilvános hirdetésre válaszolva - a maga részérõl is kapcsolatokat kezdeményezett és ennek során név- és lakcímadatait az adatkezelõ közvetlen üzletszerzõ szervnek átadta.
(3) A nem kereskedelmi célú versenyek és rejtvénypályázatok szervezése esetén az abban részt vevõ személyek által átadott adatok csak akkor használhatók fel üzletszerzési lista összeállításához, ha az érintettek figyelmét felhívták arra, hogy adataikat közvetlen üzletszerzés céljára is fel kívánják használni, és ehhez írásban hozzájárultak.
18. § (1) Az üzletszerzési listán szereplõ név- és lakcímadatok harmadik személy részére - a 3. § (1) bekezdésének c) pontja kivételével - közvetlen üzletszerzés céljára, illetõleg egyéb célból akkor adhatók át, ha ehhez az érintettek a harmadik szerv nevének és tevékenységének ismeretében írásban hozzájárultak.
(2) Adatátadás esetén az üzletszerzési lista felhasználásának feltételeit az adatátadó és az adatátvevõ szerzõdésben határozza meg. Az (1) bekezdésben elõírt feltételek hiányában megkötött szerzõdés semmis.
(3) A közvetlen üzletszerzési lista nem kapcsolható össze piackutatás céljára gyûjtött adatállománnyal.
19. § Külföldi közvetlen üzletszerzõ szerv, ha e törvény hatálya alá tartozó adatkezelést kíván végezni, illetõleg, ha a belföldi közvetlen üzletszerzõ szerv a tevékenységét külföldi megbízás alapján végzi, errõl a tényrõl az érintettet köteles írásban tájékoztatni. Név- és lakcímadat külföldre csak adatfeldolgozás céljára, vagy abban az esetben továbbítható, ha az adat átadásához az érintett írásban hozzájárult; és csak abban az esetben, ha az adatvédelmi követelmények az adatátvevõnél is biztosítottak. A külföldre történõ adatátadást az adatvédelmi biztosnak elõzetesen be kell jelenteni.
Az érintett jogai
20. § (1) Minden érintettnek joga van arra, hogy
a) megtagadja vagy megtiltsa név- és lakcímadatainak az üzletszerzési listára való felvételét, közvetlen üzletszerzési - illetõleg azon belül meghatározott konkrét - célra történõ felhasználását, illetõleg harmadik személynek átadását;
b) kérje személyes adatainak az adatkezelõ birtokában lévõ valamennyi vagy meghatározott célú üzletszerzési listán történõ kezelésének megszüntetését, beleértve a harmadik személy részére átadott adatokat is. Az adatkezelõ köteles írásban tájékoztatni az érintettet kérésének teljesítésérõl.
(2) Az érintettet kérelmére az adatkezelést végzõ közvetlen üzletszerzõ szerv köteles az általa kezelt adatairól írásban tájékoztatni, illetõleg azokat helyesbíteni. A harmadik személy részére átadott adatok helyesbítését vagy törlését - a hat hónapon belül továbbított adatok vonatkozásában - az érintett kérelmére az adatátadó szerv köteles kezdeményezni.
(3) Az e törvény alapján adatkezelést végzõ közvetlen üzletszerzõ szervek kötelesek azonosító adataikat (név/cégnév, lakcím/telephely) megfelelõ módon mindazon személyek tudomására hozni, akiknek név- és lakcímadatai az üzletszerzési listán szerepelnek, illetõleg, akiket arra fel kívánnak venni.
A tilalmi lista
21. § (1) A közvetlen üzletszerzõ szervnek nyilvántartást (tilalmi listát) kell vezetni azoknak az érintetteknek a név- és lakcímadatairól, akik megtagadták az együttmûködést, illetõleg kérték adataik kezelésének az adott célból történõ megszüntetését, vagy ahhoz nem járultak hozzá, illetõleg az adatok átvétele után a személyiadat- és lakcímnyilvántartás szervénél éltek az adatletiltás jogával.
(2) A tilalmi lista célja annak biztosítása, hogy a rajta szereplõ érintettek adatai ismételten ne kerüljenek átvételre, harmadik személynek átadásra, illetõleg új listára felvételre. A tilalmi listán szereplõ érintettek részére küldemény nem küldhetõ, kivéve, ha a tilalom csak egyedileg meghatározott célra vonatkozik.
(3) A tilalmi lista kezelésére a közvetlen üzletszerzõ szervek közösen harmadik szervet is megbízhatnak, e szerv azonban csak a (2) bekezdéssel összefüggõ adatfeldolgozási tevékenységet végezheti el.
(4) A tilalmi listán szereplõ adatokat az adatkezelõ a (2) bekezdésben meghatározottak teljesítésének biztosításához szükséges mértékig használhatja fel, más adatállománnyal nem kapcsolhatja össze, nem adhatja át, más célra nem használhatja fel, és köteles biztosítani az érintettnek a 19. § (1) bekezdés b) pontjában meghatározott jogainak gyakorlását.
V.
Átmeneti és záró rendelkezések
22. § (1) Az e törvény 1. §-ának hatálya alá tartozó adatkezelõk - kivéve, ha az adatok kezeléséhez az érintett korábban írásban hozzájárult - kötelesek a törvény hatálybalépése után folyamatosan, de legkésõbb a következõ felhasználással egyidejûleg a rendelkezésükre álló adatállományt felülvizsgálni, és ennek során
a) tudományos kutatás esetén kérni az érintett írásbeli hozzájárulását adatai további kezeléséhez;
b) a közvélemény-kutatás, a piackutatás és a közvetlen üzletszerzés céljából történõ adatkezelés esetén - szükség szerint - adategyeztetést kérni a személyiadat- és lakcímnyilvántartástól, majd az érintetteket egy éven belül értesíteni adataik kezelésérõl az e törvény 5. §-a szerinti módon.
(2) Az adatkezelõk a náluk meglévõ és az (1) bekezdés alapján felülvizsgálatra nem került adatállományokat e törvény hatálybalépését követõ egy éven belül kötelesek megsemmisíteni, vagy anonimizálni.
23. § (1) E törvény a kihirdetésétõl számított 15. napon lép hatályba.
(2)
 
 



1992. évi LXIII. törvény
a személyes adatok védelméről
és a közérdekű adatok nyilvánosságáról

Az Országgyűlés - a Magyar Köztársaság Alkotmányában foglaltakkal összhangban - a személyes adatok védelmét, valamint a közérdekű adatok megismeréséhez való jog érvényesülését szolgáló alapvető szabályokról a következő törvényt alkotja:
I. fejezet
ÁLTALÁNOS RENDELKEZÉSEK
A törvény célja
1. § (1) E törvény célja annak biztosítása, hogy - ha e törvényben meghatározott jogszabály kivételt nem tesz - személyes adatával mindenki maga rendelkezzen, és a közérdekű adatokat mindenki megismerhesse.
(2) E törvényben foglaltaktól eltérni csak akkor lehet, ha azt e törvény kifejezetten megengedi.
(3) E törvény szerint megengedett kivételt csak meghatározott adatfajtára és adatkezelőre együttesen lehet megállapítani.
A törvény hatálya
1/A. § (1) E törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz.
(2) E törvényt a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell.
(3) Nem kell alkalmaznia e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.
Értelmező rendelkezések
2. § E törvény alkalmazása során:
1. személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet;
2. különleges adat:
a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra,
b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat;
3. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső adat;
5. közérdekből nyilvános adat: minden olyan, természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet kezelésében lévő vagy rá vonatkozó, a közérdekű adat fogalma alá nem tartozó adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
6. hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
7. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
8. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;
9. adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is;
10. adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;
11. nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik;
12. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
13. adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele;
14. adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése;
15. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől;
16. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi;
17. személyesadat-nyilvántartó rendszer (nyilvántartó rendszer): személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;
18. adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége;
19. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;
20. harmadik ország: minden olyan ország, amely nem tagja az Európai Uniónak.
II. fejezet
A SZEMÉLYES ADATOK VÉDELME
Adatkezelés
3. § (1) Személyes adat akkor kezelhető, ha
a) ahhoz az érintett hozzájárul, vagy
b) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete elrendeli.
(2) Különleges adat akkor kezelhető, ha
a) az adatkezeléshez az érintett írásban hozzájárul, vagy
b) a 2. § 2. a) pontjában foglalt adatok esetében, az nemzetközi egyezményen alapul, vagy Alkotmányban biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében törvény elrendeli;
c) egyéb esetekben azt törvény elrendeli.
(3) Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg.
(4) Törvény közérdekből - az adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.
(5) Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében.
(6) Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.
(7) Az érintett a hozzájárulását az adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
(8) Ha az érintett fizikai cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben sor kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére.
4. § A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait - ha törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát (19. §) is, nem sérthetik.
Adatfeldolgozás
4/A. § (1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit e törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel.
(2) Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe.
(3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
(4) Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
(5)
(6) E törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással a Magyar Köztársaság területén székhellyel, telephellyel (fiókteleppel) vagy lakóhellyel (tartózkodási hellyel) rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel. Az ilyen adatkezelőnek ki kell jelölnie egy képviselőt a Magyar Köztársaság területén.
Az adatkezelés célhoz kötöttsége
5. § (1) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.
(2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.
(3) Kötelező adatszolgáltatáson alapuló adatkezelést közérdekből lehet elrendelni.
(4) A személyes adatot - akár az érintett hozzájárulásával, akár jogszabály alapján - különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges.
(5) Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűnüldözési és bűnmegelőzési, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, illetve a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó adatállományokat.
6. § (1) Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is.
(2) Az érintettet - egyértelműen és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
(3) Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.
(4) A tájékoztatás - különösen statisztikai vagy tudományos (ideértve a történelmi kutatásokat is) célú adatkezelés esetén - megtörténhet az adatgyűjtés tényének, az érintettek körének, az adatgyűjtés céljának, az adatkezelés időtartamának és az adatok megismerhetőségének mindenki számára hozzáférhető módon történő nyilvánosságra hozatalával, ha az egyénre szóló tájékoztatás lehetetlen vagy aránytalan költséggel járna.
Az adatok minősége
7. § (1) A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek:
a) felvételük és kezelésük tisztességes és törvényes;
b) pontosak, teljesek és ha szükséges időszerűek;
c) tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani.
(2) Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos.
Adattovábbítás, az adatkezelések összekapcsolása
8. § (1) Az adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.
(2) Az (1) bekezdést kell alkalmazni az ugyanazon adatkezelő, valamint az állami és az önkormányzati szervek által kezelt adatok összekapcsolására is.
Adattovábbítás külföldre
9. § (1) Személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévő adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha ahhoz az érintett hozzájárul, ha azt törvény lehetővé teszi, vagy ha arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelő védelmet biztosít az átadott adatok kezelése során.
(2)
Automatizált egyedi döntés
9/A. § (1) Kizárólag számítástechnikai eszközzel végrehajtott automatizált adatfeldolgozással az érintett személyes jellemzőinek értékelésére csak akkor kerülhet sor, ha ahhoz kifejezetten hozzájárult, vagy azt törvény lehetővé teszi. Az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani.
(2) Az automatizált adatfeldolgozás esetén az érintettet - kérelmére - tájékoztatni kell az alkalmazott matematikai módszerről és annak lényegéről.
Adatbiztonság
10. § (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
(2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.
Az érintettek jogai és érvényesítésük
11. § (1) Az érintett
a) tájékoztatást kérhet személyes adatai kezeléséről (12. és 13. §), valamint
b) kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - törlését (14-16. §).
(2) Az adatvédelmi nyilvántartásba [28. § (1) bek.] bárki betekinthet, az abban foglaltakról feljegyzést készíthet és kivonatot kérhet. A kivonatért díjat kell fizetni.
12. § (1) Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az adattovábbításra vonatkozó nyilvántartás - és ennek alapján a tájékoztatási kötelezettség - időtartamát az adatkezelést szabályozó jogszabály korlátozhatja. A korlátozás időtartama személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb nem lehet.
(2) Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában megadni a tájékoztatást.
(3) A (2) bekezdésben foglalt tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
13. § (1) Az érintett tájékoztatását az adatkezelő csak akkor tagadhatja meg, ha azt a 16. §-ban meghatározott esetekben a törvény lehetővé teszi.
(2) Az adatkezelő köteles az érintettel a felvilágosítás megtagadásának indokát közölni.
(3) Az elutasított kérelmekről az adatkezelő az adatvédelmi biztost évente értesíti.
14. § (1) A valóságnak meg nem felelő adatot az adatkezelő helyesbíteni köteles.
(2) A személyes adatot törölni kell, ha
a) kezelése jogellenes;
b) az érintett - a 11. § (1) bekezdésének b) pontjában foglaltak szerint - kéri;
c) az hiányos vagy téves - és ez az állapot jogszerűen nem korrigálható -, feltéve, hogy a törlést törvény nem zárja ki;
d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
e) azt a bíróság vagy az adatvédelmi biztos elrendelte.
(3) A törlési kötelezettség - jogellenes adatkezelés kivételével - nem vonatkozik azon személyes adatra, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni.
15. § A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
16. § Az érintett jogait (11-15. §) törvény az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy bűnüldözés érdekében, továbbá állami vagy helyi önkormányzati pénzügyi érdekből, valamint az érintett vagy mások jogainak védelme érdekében korlátozhatja.
Tiltakozási jog
16/A. § (1) Az érintett tiltakozhat személyes adatának kezelése ellen, ha
a) a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
c) a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.
(2) Az adatkezelő - az adatkezelés egyidejű felfüggesztésével - a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
(3) Amennyiben az érintett az adatkezelőnek a (2) bekezdés alapján meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - e törvény szerint bírósághoz fordulhat.
(4) Ha az adatátvevő törvényes jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, a (2) bekezdés alapján történő értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében - e törvény szerint - bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.
(5) Ha a bíróság az adatátvevő kérelmét elutasítja, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. Az adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő a (4) bekezdésben meghatározott határidőn belül nem fordul bírósághoz.
(6) Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította.
Bírósági jogérvényesítés
17. § (1) Az érintett a jogainak megsértése esetén, valamint a 16/A. § (4) bekezdésében meghatározott személy, az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.
(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani.
(3) A perre az adatkezelő székhelye (lakóhelye) szerinti bíróság az illetékes. A per - az érintett választása szerint - az érintett lakóhelye (tartózkodási helye) szerinti bíróság előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.
(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, törlésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve a 16/A. § (4) bekezdésében meghatározott személy által kért adat kiadására kötelezi.
(5) A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett e törvényben védett jogai megkövetelik.
Kártérítés
18. § (1) Az adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
(2) Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.
III. fejezet
A KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGA
19. § (1) Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy (a továbbiakban együtt: szerv) a feladatkörébe tartozó ügyekben - így különösen az állami és önkormányzati költségvetésre és annak végrehajtására, az állami és önkormányzati vagyon kezelésére, a közpénzek felhasználására és az erre kötött szerződésekre, a piaci szereplők, a magánszervezetek és -személyek részére különleges vagy kizárólagos jogok biztosítására vonatkozóan - köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását.
(2) Az (1) bekezdésben említett szervek rendszeresen közzé- vagy más módon hozzáférhetővé teszik a tevékenységükkel kapcsolatos legfontosabb - így különösen a hatáskörükre, illetékességükre, szervezeti felépítésükre, szakmai tevékenységükre, annak eredményességére is kiterjedő értékelésére, a birtokukban lévő adatfajtákra és a működésükről szóló jogszabályokra, valamint a gazdálkodásukra vonatkozó - adatokat. E szervek hatáskörében eljáró személyek neve, beosztása vagy besorolása és munkaköre - ha törvény másként nem rendelkezik - bárki számára hozzáférhető, nyilvános adat. A tájékoztatás módját, a vonatkozó adatok körét jogszabály is megállapíthatja.
(3) Az (1) bekezdésben említetteknek lehetővé kell tenniük, hogy a kezelésükben lévő közérdekű adatot bárki megismerhesse, kivéve, ha az adatot törvény alapján az arra jogosult szerv állam- vagy szolgálati titokká nyilvánította, illetve ha az nemzetközi szerződésből eredő kötelezettség alapján minősített adat, továbbá, ha a közérdekű adatok nyilvánosságához való jogot - az adatfajták meghatározásával - törvény
a) honvédelmi;
b) nemzetbiztonsági;
c) bűnüldözési vagy bűnmegelőzési;
d) központi pénzügyi vagy devizapolitikai érdekből;
e) külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra;
f) bírósági eljárásra tekintettel
korlátozza.
(4) Az (1) bekezdésben említett szervek hatáskörében eljáró személynek a feladatkörével összefüggő személyes adata a közérdekű adat megismerését nem korlátozza.
(5) Ha törvény másként nem rendelkezik, a belső használatra készült, valamint a döntés-előkészítéssel összefüggő adat a kezelését követő húsz éven belül nem nyilvános. Kérelemre az adatok megismerését a szerv vezetője e határidőn belül is engedélyezheti.
(6) A közérdekű adatok megismerésével és nyilvánosságával összefüggésben az üzleti titok megismerésére a Polgári Törvénykönyvben foglaltak az irányadók.
(7) A közérdekű adatok nyilvánosságát korlátozhatja, továbbá az Európai Unió jogszabálya az Európai Unió jelentős pénzügy- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is.
20. § (1) A közérdekű adat megismerésére irányuló kérelemnek az adatot kezelő szerv a kérelem tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül, közérthető formában tesz eleget. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről annak tárolási módjától függetlenül - költségtérítés ellenében - a kérelmező másolatot kérhet.
(2) A kérelem megtagadásáról - annak indokaival együtt - 8 napon belül írásban értesíteni kell a kérelmezőt.
(3) A közérdekű adat közléséért az adatkezelő szerv vezetője - legfeljebb a közléssel kapcsolatban felmerült költség mértékéig - költségtérítést állapíthat meg. A kérelmező kérésére a költség összegét előre közölni kell.
(4) A 19. § (1) bekezdésében említett szervek évente értesítik az adatvédelmi biztost az elutasított kérelmekről, valamint az elutasítások indokairól.
21. § (1) Ha a közérdekű adatra vonatkozó kérését nem teljesítik, a kérelmező a bírósághoz fordulhat.
(2) A megtagadás jogszerűségét és megalapozottságát az adatot kezelő szerv köteles bizonyítani.
(3) A pert a megtagadás közlésétől számított 30 napon belül az ellen a szerv ellen kell megindítani, amely a kért felvilágosítást megtagadta.
(4) A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.
(5) Az egész országra kiterjedő hatáskörű szerv ellen indult per a megyei (fővárosi) bíróság hatáskörébe tartozik. A helyi bíróság hatáskörébe tartozó ügyekben a megyei bíróság székhelyén lévő helyi bíróság, Budapesten a Pesti Központi Kerületi Bíróság jár el. A bíróság illetékességét az adatközlést nem teljesítő szerv székhelye (működési helye) alapítja meg.
(6) A bíróság soron kívül jár el.
(7) Ha a bíróság a kérelemnek helyt ad, határozatában az adatkezelő szervet a kért közérdekű adat közlésére kötelezi.
22. § E fejezet rendelkezései nem alkalmazhatók a közhitelű nyilvántartásból történő - külön törvényben szabályozott - adatszolgáltatásra.
IV. fejezet
AZ ADATVÉDELMI BIZTOS
ÉS AZ ADATVÉDELMI NYILVÁNTARTÁS

Adatvédelmi biztos
23. § (1) A személyes adatok védelméhez és a közérdekű adatok nyilvánosságához való alkotmányos jog védelme érdekében az Országgyűlés adatvédelmi biztost választ azok közül az egyetemi végzettségű, büntetlen előéletű, kiemelkedő tudású elméleti vagy legalább 10 évi szakmai gyakorlattal rendelkező magyar állampolgárok közül, akik az adatvédelmet érintő eljárások lefolytatásában, felügyeletében vagy tudományos elméletében jelentős tapasztalatokkal rendelkeznek és köztiszteletnek örvendenek.
(2) Az adatvédelmi biztosra - e törvényben foglalt eltérésekkel - az állampolgári jogok országgyűlési biztosáról szóló törvény rendelkezéseit kell alkalmazni.
24. § Az adatvédelmi biztos
a) ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabály megtartását;
b) kivizsgálja a hozzá érkezett bejelentéseket;
c) gondoskodik az adatvédelmi nyilvántartás vezetéséről;
d) elősegíti a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó törvényi rendelkezések egységes alkalmazását;
e) gyakorolja és ellátja az e törvényben meghatározott hatásköröket és feladatokat.
25. § (1) Az adatvédelmi biztos figyelemmel kíséri a személyes adatok védelmének és a közérdekű adatok nyilvánossága érvényesülésének feltételeit. Javaslatot tesz az adatkezelést és a közérdekű adatok nyilvánosságát érintő jogszabályok megalkotására, illetve módosítására, véleményezi az ilyen jogszabályok tervezetét. Kezdeményezheti az államtitokkörben, valamint a szolgálati titokkörben meghatározott adatfajták szűkítését vagy bővítését.
(2) Az adatvédelmi biztos a jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólítja fel. Az adatkezelő haladéktalanul köteles megtenni a szükséges intézkedéseket, és erről 30 napon belül írásban tájékoztatni az adatvédelmi biztost.
(3) Ha az adatkezelő vagy adatfeldolgozó a jogellenes adatkezelést (adatfeldolgozást) nem szünteti meg, az adatvédelmi biztos elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését, illetve megtilthatja a jogosulatlan adatkezelést vagy adatfeldolgozást, továbbá felfüggesztheti az adatok külföldre továbbítását. Az adatvédelmi biztos tájékoztathatja a nyilvánosságot a jogosulatlan adatkezelés (adatfeldolgozás) tényéről, az adatkezelő (adatfeldolgozó) személyéről és a kezelt adatok köréről, valamint az általa kezdeményezett intézkedésekről.
(4) Az adatkezelő, az adatfeldolgozó vagy az adatkezeléssel érintett személy az adatvédelmi biztos intézkedése ellen bírósághoz fordulhat. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban fel kell függeszteni és az adatokat zárolni kell.
26. § (1) Az adatvédelmi biztos a feladatai ellátása során az adatkezelőtől minden olyan kérdésben felvilágosítást kérhet, és az összes olyan iratba betekinthet, adatkezelést megismerhet, amely személyes vagy közérdekű adatokkal összefügghet.
(2) Az adatvédelmi biztos minden olyan helyiségbe beléphet, ahol adatkezelés folyik.
(3) Az államtitok és szolgálati titok az adatvédelmi biztost e §-ban szabályozott jogainak gyakorlásában nem akadályozhatja, de a titok megtartására vonatkozó rendelkezések rá nézve is kötelezőek. Az államtitkot vagy a szolgálati titkot érintő adatkezelés esetén az adatvédelmi biztos jogait csak személyesen, vagy az általa kezdeményezett nemzetbiztonsági ellenőrzésen átesett munkatársai útján gyakorolhatja.
(4) Ha az adatvédelmi biztos eljárása során az adat minősítését - a nemzetközi szerződés alapján keletkezett minősített adatok kivételével - indokolatlannak tartja, a minősítőt annak megválto