Az Országgyűlés a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Atv.) módosításáról - Magyarország európai uniós jogharmonizációs kötelezettségének teljesítése érdekében - a következő törvényt alkotja:
1. § Az Atv. a következő 1/A. §-sal és alcímmel egészül ki:
„A törvény hatálya
1/A. § (1) E törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz.
(2) E törvényt a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell.
(3) Nem kell alkalmaznia e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.”
2. § Az Atv. 2. §-a helyébe a következő rendelkezések lépnek:
„2. § E törvény alkalmazása során:
1. személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet;
2. különleges adat:
a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra,
b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat;
3. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat;
4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső adat;
5. közérdekből nyilvános adat: minden olyan, természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet kezelésében lévő vagy rá vonatkozó, a közérdekű adat fogalma alá nem tartozó adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli;
6. hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez;
7. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri;
8. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja;
9. adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is;
10. adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;
11. nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik;
12. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
13. adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele;
14. adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése;
15. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől;
16. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi;
17. személyesadat-nyilvántartó rendszer (nyilvántartó rendszer): személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;
18. adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége;
19. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval;
20. harmadik ország: minden olyan ország, amely nem tagja az Európai Uniónak.”
3. § (1) Az Atv. 3. §-a a következő új (3) bekezdéssel egészül ki, és a jelenlegi (3)-(5) bekezdés számozása (4)-(6) bekezdésre változik:
„(3) Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg.”
(2) Az Atv. 3. §-a a következő (7) és (8) bekezdésekkel egészül ki:
„(7) Az érintett a hozzájárulását az adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.
(8) Ha az érintett fizikai cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben sor kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére.”
4. § Az Atv. 4/A. §-a a következő (3)-(6) bekezdéssel egészül ki:
„(3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
(4) Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
(5) Az Európai Unió területén kívüli adatfeldolgozóval a megbízási szerződést az Európai Közösségek Bizottságának - az adatvédelmi biztos által a Magyar Közlönyben közzétett - Határozatában foglaltaknak megfelelő tartalommal kell elkészíteni.
(6) E törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással a Magyar Köztársaság területén székhellyel, telephellyel (fiókteleppel) vagy lakóhellyel (tartózkodási hellyel) rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek ki kell jelölnie egy képviselőt a Magyar Köztársaság területén.”
5. § Az Atv. 5. §-a a következő (4) és (5) bekezdéssel egészül ki:
„(4) A személyes adatot - akár az érintett hozzájárulásával, akár jogszabály alapján - különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges.
(5) Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűnüldözési és bűnmegelőzési, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, illetve a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó adatállományokat.”
6. § Az Atv. 6. §-ának (2) bekezdése helyébe a következő rendelkezés lép, egyidejűleg a § a következő (3)-(4) bekezdéssel egészül ki:
„(2) Az érintettet - egyértelműen és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
(3) Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.
(4) A tájékoztatás - különösen statisztikai vagy tudományos (ideértve a történelmi kutatásokat is) célú adatkezelés esetén - megtörténhet az adatgyűjtés tényének, az érintettek körének, az adatgyűjtés céljának, az adatkezelés időtartamának és az adatok megismerhetőségének mindenki számára hozzáférhető módon történő nyilvánosságra hozatalával, ha az egyénre szóló tájékoztatás lehetetlen vagy aránytalan költséggel járna.”
7. § Az Atv. 9. §-a helyébe a következő rendelkezés lép:
„9. § (1) Személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévő adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha ahhoz az érintett hozzájárul, ha azt törvény lehetővé teszi, vagy ha arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelő védelmet biztosít az átadott adatok kezelése során.
(2) Az Európai Unió tagállamaiba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor.”
8. § Az Atv. a következő 9/A. §-sal és alcímmel egészül ki:
„Automatizált egyedi döntés
9/A. § (1) Kizárólag számítástechnikai eszközzel végrehajtott automatizált adatfeldolgozással az érintett személyes jellemzőinek értékelésére csak akkor kerülhet sor, ha ahhoz kifejezetten hozzájárult, vagy azt törvény lehetővé teszi. Az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani.
(2) Az automatizált adatfeldolgozás esetén az érintettet - kérelmére - tájékoztatni kell az alkalmazott matematikai módszerről és annak lényegéről.”
9. § Az Atv. 10. §-ának (2) bekezdése helyébe a következő rendelkezés lép:
„(2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.”
10. § Az Atv. 14. §-a (2) bekezdésének c) pontja helyébe a következő rendelkezés lép, és a bekezdés a következő d) és e) pontokkal egészül ki:
(A személyes adatot törölni kell, ha)
„c) az hiányos vagy téves - és ez az állapot jogszerűen nem korrigálható -, feltéve, hogy a törlést törvény nem zárja ki;
d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
e) azt a bíróság vagy az adatvédelmi biztos elrendelte.”
11. § Az Atv. 16. §-a helyébe a következő rendelkezés lép:
„16. § Az érintett jogait (11-15. §) törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából - beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében.”
12. § Az Atv. a következő 16/A. §-sal és alcímmel egészül ki:
„Tiltakozási jog
16/A. § (1) Az érintett tiltakozhat személyes adatának kezelése ellen, ha
a) a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el;
b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik;
c) a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi.
(2) Az adatkezelő - az adatkezelés egyidejű felfüggesztésével - a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
(3) Amennyiben az érintett az adatkezelőnek a (2) bekezdés alapján meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - e törvény szerint bírósághoz fordulhat.
(4) Ha az adatátvevő törvényes jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, a (2) bekezdés alapján történő értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében - e törvény szerint - bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.
(5) Ha a bíróság az adatátvevő kérelmét elutasítja, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. Az adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő a (4) bekezdésben meghatározott határidőn belül nem fordul bírósághoz.
(6) Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította.”
13. § (1) Az Atv. 17. §-ának (1) bekezdése helyébe a következő rendelkezés lép:
„(1) Az érintett a jogainak megsértése esetén, valamint a 16/A. § (4) bekezdésében meghatározott személy, az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.”
(2) Az Atv. 17. §-ának (3)-(5) bekezdése helyébe a következő rendelkezések lépnek:
„(3) A perre az adatkezelő székhelye (lakóhelye) szerinti bíróság az illetékes. A per - az érintett választása szerint - az érintett lakóhelye (tartózkodási helye) szerinti bíróság előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.
(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, törlésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve a 16/A. § (4) bekezdésében meghatározott személy által kért adat kiadására kötelezi.
(5) A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett e törvényben védett jogai megkövetelik.”
14. § Az Atv. 19. §-ának (5) bekezdése helyébe a következő rendelkezés lép, egyidejűleg a § a következő (7) bekezdéssel egészül ki:
„(5) Ha törvény másként nem rendelkezik, a belső használatra készült, valamint a döntés-előkészítéssel összefüggő adat a kezelését követő húsz éven belül nem nyilvános. Kérelemre az adatok megismerését a szerv vezetője e határidőn belül is engedélyezheti.”
„(7) A közérdekű adatok nyilvánosságát korlátozhatja továbbá az Európai Unió jogszabálya az Európai Unió jelentős pénzügy- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is.”
15. § Az Atv. 24. §-a a következő d)-e) pontokkal egészül ki:
(Az adatvédelmi biztos)
„d) elősegíti a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó törvényi rendelkezések egységes alkalmazását;
e) gyakorolja és ellátja az e törvényben meghatározott hatásköröket és feladatokat.”
16. § Az Atv. 25. §-ának (3) bekezdése helyébe a következő rendelkezés lép, és a § a következő (4) bekezdéssel egészül ki:
„(3) Ha az adatkezelő vagy adatfeldolgozó a jogellenes adatkezelést (adatfeldolgozást) nem szünteti meg, az adatvédelmi biztos elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését, illetve megtilthatja a jogosulatlan adatkezelést vagy adatfeldolgozást, továbbá felfüggesztheti az adatok külföldre továbbítását. Az adatvédelmi biztos tájékoztathatja a nyilvánosságot a jogosulatlan adatkezelés (adatfeldolgozás) tényéről, az adatkezelő (adatfeldolgozó) személyéről és a kezelt adatok köréről, valamint az általa kezdeményezett intézkedésekről.
(4) Az adatkezelő, az adatfeldolgozó vagy az adatkezeléssel érintett személy az adatvédelmi biztos intézkedése ellen bírósághoz fordulhat. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban fel kell függeszteni és az adatokat zárolni kell.”
17. § Az Atv. 28. §-ának (1) bekezdése a következő h) alponttal egészül ki:
(Az adatkezelő köteles e tevékenysége megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni)
„h) a belső adatvédelmi felelős nevét és elérhetőségi adatait.”
18. § Az Atv. a következő 31. és 31/A. §-okkal és alcímekkel egészül ki:
„Előzetes ellenőrzés
31. § (1) Az adatvédelmi biztos a nyilvántartásba vételt megelőzően előzetes ellenőrzést végezhet.
(2) Új adatállomány feldolgozását vagy új adatfeldolgozási technológia alkalmazását megelőzően az adatvédelmi biztos előzetes ellenőrzést végezhet a következő adatkezeléseket végző adatkezelőknél:
a) országos hatósági, munkaügyi és bűnügyi adatállományok;
b) pénzügyi szervezetek és közüzemi szolgáltatók ügyfelekre vonatkozó adatkezelései;
c) távközlési szolgáltatóknak a szolgáltatást igénybe vevőkre vonatkozó adatkezelései;
d) külön törvényben meghatározott egyedi statisztikai adatokat tartalmazó adatállományok.
(3) Az adatkezelőnek az új adatállomány feldolgozására vagy az új adatfeldolgozási technológia alkalmazására irányuló szándékát a tevékenység megkezdését megelőzően 30 nappal be kell jelentenie az adatvédelmi biztosnak. Az adatvédelmi biztos az előzetes ellenőrzésre vonatkozó igényét a bejelentéstől számított 8 napon belül köteles jelezni az adatkezelőnek, és az ellenőrzést 30 napon belül köteles elvégezni. Az adatkezelő a feldolgozást csak az adatvédelmi biztos előzetes ellenőrzésének befejezése után kezdheti meg.
(4) Az ellenőrzés alapján az adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel az adatkezelőt. Ha az adatvédelmi biztos az adatkezelést elrendelő jogszabályt kifogásolja, ajánlást tehet a jogszabály módosítására.
Belső adatvédelmi felelős és adatvédelmi szabályzat
31/A. § (1) Az adatkezelő, illetőleg az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni:
a) az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőnél és adatfeldolgozónál;
b) a pénzügyi szervezetnél;
c) a távközlési és közüzemi szolgáltatónál.
(2) A belső adatvédelmi felelős:
a) közreműködik, illetőleg segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
c) kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
d) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;
e) vezeti a belső adatvédelmi nyilvántartást;
f) gondoskodik az adatvédelmi ismeretek oktatásáról.
(3) Az (1) bekezdésben meghatározott adatkezelőknek, valamint - az adatvédelmi nyilvántartásba bejelentési kötelezettség alá nem eső adatkezelők kivételével - egyéb állami és önkormányzati adatkezelőknek, e törvény végrehajtása érdekében, adatvédelmi és adatbiztonsági szabályzatot kell készíteniük.”
19. § Az Atv. a következő 32/A. §-sal és alcímmel egészül ki:
„Személyes adatok felhasználása statisztikai célra
32/A. § (1) A statisztikai célra felvett, átvett vagy feldolgozott személyes adatok csak statisztikai célra használhatók fel. A külön törvény szerinti egyedi statisztikai adatok - beleértve a személyes adatokat is - a statisztikai céltól eltérő célra semmilyen módon vagy jogcímen nem adhatók és vehetők át, nem dolgozhatók fel és nem hozhatók nyilvánosságra.
(2) A személyes adatok statisztikai célra történő kezelésének részletes szabályait külön törvény határozza meg.”
20. § (1) E törvény - a (2) bekezdésben foglalt kivétellel - 2004. január 1-jén lép hatályba, egyidejűleg az Atv. 30. §-a utáni „Adatvédelmi Iroda” alcím elhagyásra kerül.
(2) E törvénynek az Európai Unióra vonatkozó, a 4. §-sal megállapított 4/A. § (5) bekezdése és a (6) bekezdésében a „kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja” szövegrésze; a 7. §-sal megállapított 9. § (2) bekezdése; valamint 11. §-a és 14. §-ának (3) bekezdése a Magyar Köztársaságnak az Európai Unióhoz történő csatlakozásáról szóló nemzetközi szerződés hatálybalépésének napján lép hatályba.
(3) E törvény a Magyar Köztársaság és az Európai Közösségek és azok tagállamai között társulás létesítéséről szóló, Brüsszelben, 1991. december 16-án aláírt Európai Megállapodás tárgykörében, a Megállapodást kihirdető 1994. évi I. törvény 3. §-ával összhangban az Európai Közösségeknek a személyes adatok kezelése vonatkozásában az egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló az Európai Parlament és a Tanács 95/46/EK Irányelvével összeegyeztethető szabályozást tartalmaz.
21. § E törvény hatálybalépésével egyidejűleg a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény 24/A. §-a (1) bekezdésének a) pontja a hatályát veszti, egyúttal a b) pont jelölése megszűnik.
