1992. évi LXIII. törvény

a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról1

Az Országgyűlés - a Magyar Köztársaság Alkotmányában foglaltakkal összhangban - a személyes adatok védelmét, valamint a közérdekű adatok megismeréséhez való jog érvényesülését szolgáló alapvető szabályokról a következő törvényt alkotja:

I. fejezet

ÁLTALÁNOS RENDELKEZÉSEK

A törvény célja

1. § (1) E törvény célja annak biztosítása, hogy - ha e törvényben meghatározott jogszabály kivételt nem tesz - személyes adatával mindenki maga rendelkezzen, és a közérdekű adatokat mindenki megismerhesse.

(2) E törvényben foglaltaktól eltérni csak akkor lehet, ha azt e törvény kifejezetten megengedi.

(3) E törvény szerint megengedett kivételt csak meghatározott adatfajtára és adatkezelőre együttesen lehet megállapítani.

Értelmező rendelkezések

2. § E törvény alkalmazása során

1. személyes adat: a meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható;

2. különleges adat:

a) a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre,

b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett előéletre

vonatkozó személyes adatok;

3. közérdekű adat: az állami vagy helyi önkormányzati feladatot ellátó szerv kezelésében lévő, a személyes adat fogalma alá nem eső és a törvényben meghatározott kivételek körébe nem tartozó adat;

4. adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatok felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt), adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is;

5. adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;

6. nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik;

7. adatkezelő: a 4. pontban meghatározott tevékenységet végző vagy mással végeztető szerv vagy személy;

8. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges;

9. jogszabály: a törvény, az 1. § (1) bekezdése, a 6. § (1) bekezdése, a 12. § (1) bekezdése, a 24. §, a 25. § és a 28. § (2) bekezdése tekintetében a helyi önkormányzat rendelete is.

II. fejezet

A SZEMÉLYES ADATOK VÉDELME

Adatkezelés

3. § (1) Személyes adat akkor kezelhető, ha

a) ahhoz az érintett hozzájárul, vagy

b) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete elrendeli.

(2) Különleges adat akkor kezelhető, ha

a) az adatkezeléshez az érintett írásban hozzájárul, vagy

b) a 2. § 2. a) pontjában foglalt adatok esetében, az nemzetközi egyezményen alapul, vagy Alkotmányban biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében törvény elrendeli;

c) egyéb esetekben azt törvény elrendeli.

(3) Törvény közérdekből - az adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

(4) Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében.

(5) Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni.

4. § A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait - ha törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát (19. §) is, nem sérthetik.

Az adatkezelés célhoz kötöttsége

5. § (1) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.

(2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.

(3) Kötelező adatszolgáltatáson alapuló adatkezelést közérdekből lehet elrendelni.

6. § (1) Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is.

(2) Az érintettet tájékoztatni kell az adatkezelés céljáról, és arról, hogy az adatot kik fogják kezelni. A tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről.

Az adatok minősége

7. § (1) A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek:

a) felvételük és kezelésük tisztességes és törvényes;

b) pontosak, teljesek és ha szükséges időszerűek;

c) tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani.

(2) Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos.

Adattovábbítás, az adatkezelések összekapcsolása

8. § (1) Az adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek.

(2) Az (1) bekezdést kell alkalmazni az ugyanazon adatkezelő, valamint az állami és az önkormányzati szervek által kezelt adatok összekapcsolására is.

Adattovábbítás külföldre

9. § Személyes adat az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - külföldi adatkezelő részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy törvény azt lehetővé teszi, feltéve hogy az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek.

Adatbiztonság

10. § (1) Az adatkezelő köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg a sérülés vagy a megsemmisülés ellen.

Az érintettek jogai és érvényesítésük

11. § (1) Az érintett

a) tájékoztatást kérhet személyes adatai kezeléséről (12. és 13. §), valamint

b) kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - törlését (14-16. §).

(2) Az adatvédelmi nyilvántartásba [28. § (1) bek.] bárki betekinthet, az abban foglaltakról feljegyzést készíthet és kivonatot kérhet. A kivonatért díjat kell fizetni.

12. § (1) Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az adattovábbításra vonatkozó nyilvántartás és ennek alapján a tájékoztatási kötelezettség időtartamát az adatkezelést szabályozó jogszabály korlátozhatja. A korlátozás időtartama személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb nem lehet.

(2) Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában megadni a tájékoztatást.

(3) A (2) bekezdésben foglalt tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.

13. § (1) Az érintett tájékoztatását az adatkezelő csak akkor tagadhatja meg, ha azt a 16. §-ban meghatározott esetekben a törvény lehetővé teszi.

(2) Az adatkezelő köteles az érintettel a felvilágosítás megtagadásának indokát közölni.

(3) Az elutasított kérelmekről az adatkezelő az adatvédelmi biztost évente értesíti.

14. § (1) A valóságnak meg nem felelő adatot az adatkezelő helyesbíteni köteles.

(2) A személyes adatot törölni kell, ha

a) kezelése jogellenes;

b) az érintett - a 11. § (1) bekezdésének b) pontjában foglaltak szerint - kéri;

c) az adatkezelés célja megszűnt.

(3) A törlési kötelezettség - jogellenes adatkezelés kivételével - nem vonatkozik azon személyes adatra, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni.

15. § A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

16. § Az érintett jogait (11-15. §) törvény az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy bűnüldözés érdekében, továbbá állami vagy helyi önkormányzati pénzügyi érdekből, valamint az érintett vagy mások jogainak védelme érdekében korlátozhatja.

Bírósági jogérvényesítés

17. § (1) Az érintett, jogainak megsértése esetén, az adatkezelő ellen a bírósághoz fordulhat.

(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani.

(3) A perre az a bíróság illetékes, amelynek területén az adatkezelő székhelye van. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.

(4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, törlésére kötelezi, illetőleg az adatvédelmi biztost arra kötelezi, hogy az adatvédelmi nyilvántartásba való betekintést tegye lehetővé.

(5) A bíróság elrendelheti ítéletének az adatvédelmi nyilvántartásba történő bejegyzését, ha azt az adatvédelem érdekei és nagyobb számú érintett, e törvényben védett jogai megkövetelik.