1992. Act LXIII. évi LXIII. law törvény

Átírás

1 1992. Act LXIII. évi LXIII. law törvény protection of personal data and the data of public interest a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról The parliament - the Republic of Hungary, in accordance with the Constitution - the protection of personal data, to access public information and justice are the basic rules for the following Act: Az Országgyűlés - a Magyar Köztársaság Alkotmányában foglaltakkal összhangban - a személyes adatok védelmét, valamint a közérdekű adatok megismeréséhez való jog érvényesülését szolgáló alapvető szabályokról a következő törvényt alkotja: I I. chapter fejezet GENERAL PROVISIONS ÁLTALÁNOS RENDELKEZÉSEK The aim of the law A törvény célja 1st 1. (1) of this Act is to ensure that - if that statutory law does not make an exception - it has all the personal network carriers, and public information for all to enjoy. (1) E törvény célja annak biztosítása, hogy - ha e törvényben meghatározott jogszabály kivételt nem tesz - személyes adatával mindenki maga rendelkezzen, és a közérdekű adatokat mindenki megismerhesse. (2) of this Act may only be departed from that set, if it is expressly permitted by this Act. (2) E törvényben foglaltaktól eltérni csak akkor lehet, ha azt e törvény kifejezetten megengedi. (3) of this Act is permitted under an exception only for certain adatfajtára and controller combination can be determined. (3) E törvény szerint megengedett kivételt csak meghatározott adatfajtára és adatkezelőre együttesen lehet megállapítani. The Act A törvény hatálya 1 / A. 1/A. (1) This Act applies to the Republic of Hungary in the field of any data management and processing of data includes a natural person to apply, as well as data of public interest or public interest that public information is included. (1) E törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz.

2 (2) This Act shall wholly or partially automated device, as well as manual data management and data processing are equally applicable. (2) E törvényt a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell. (3) The provisions of this Act shall not apply to natural persons only for their own personal purposes adatkezeléseire. (3) Nem kell alkalmaznia e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire. Abbreviated Értelmező rendelkezések 2nd 2. The application of the Act: E törvény alkalmazása során: 1st of personal data: any specific (identified or identifiable) natural person (hereinafter referred to as relevant) associated with data drawn from this data, the subject of the conclusion. 1. személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. During the processing of personal data shall retain that status until the relationship with the subject can be restored. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. The person can be considered identifiable if it - directly or indirectly - the name, identifying sign, or one or more physical, physiological, psychological, economic, cultural or social characteristics of factors can be identified; A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül vagy közvetve - név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet; Second special data: 2. különleges adat: a) racial origin, nationality or ethnic minority, political opinion or party affiliation, religious or philosophical beliefs, in the interest of organizational membership, a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, b) the state of health, addictions, sexual life, relevant data, as well as the criminal personal data; b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat; Criminal third of personal data: the criminal proceedings or prior to the offense or a criminal context, the prosecution, or the crimes eligible for the bodies, and the resulting organization to prison, the person concerned may be associated with, and the criminal record of any personal data ; 3. bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a

3 büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetésvégrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; Fourth data of public interest: the state or local governments, and other public statutory body or person engaged in the management and the activities of the notion of personal information not covered in any manner or form, the information recorded or knowledge, regardless of treatment method, self-nature or in collections; 4. közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől; 5th in the public interest of public data: the concept of public information not subject to any information the disclosure of which, or the disclosure of the Act provides for the public interest; 5. közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli; Sixth contribution: the wishes of a voluntary and resolute expression, which is based on well informed and unequivocal consent to which the subject of personal data - full or covering the operations of - deal with; 6. hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; 7th protest: the statement, which criticizes the handling of personal data, and data management termination or cancellation of the data being sought; 7. tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri; Eighth controller: the natural or legal person or unincorporated organization, who or which defines the purpose of data management, data management (including the means) for making and implementing decisions, or its contractor performed data processor; 8. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja; 9th data management: the process used, regardless of the data on any operation or operations, such as collection, recording, recording, organization, storage,

4 alteration, use, transmission, disclosure, alignment or combination, blocking, erasure or destruction, and to prevent further use. for data of the photograph, sound or picture record and a person of physical characteristics (eg, finger or palm print, DNA sample, iris) is fixed; 9. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hangvagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is; 10th transmission: if the data is made available for a third person; 10. adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik; 11th disclosure: if the data is made available to anyone; 11. nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik; 12th deletion of the data unrecognizable in a manner that the reconstruction is no longer possible; 12. adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges; 13th adatzárolás: the transmission of data, knowledge, disclosure, conversion, alteration, destruction, deletion, linking, or coordination and used permanently or for a certain period to make it impossible; 13. adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele; 14th Data Shredding of the data or the media containing the complete physical destruction; 14. adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése; 15th data processing: the data management of technical tasks associated with the operations, regardless of the operations used to implement the method and device, and the place of employment; 15. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől; 16th processor means a natural or legal person or unincorporated organization, who has on behalf of the controller - including the provision of the act under the mandate - for the processing of personal data; 16. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező

5 szervezet, aki vagy amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi; 17th of personal data filing system (a system for recording): the personal data of any structured, functionally or geographically centralized, decentralized or dispersed, which is accessible according to specific criteria; 17. személyesadatnyilvántartó rendszer (nyilvántartó rendszer): személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető; 18th Record: a record of all managed data system; 18. adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége; 19th in third person means a natural or legal person or unincorporated organization or persons other than the data subject, the controller or data processor; 19. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; 20th State of the EEA: the European Union Member States and the European Economic Area Agreement and any other State Party and the State in which a citizen of the European Community and its Member States and the European Economic Area Agreement between the State not party to international treaties on the basis of European Economic Area agreement, a national of a State Party shall enjoy the same status; 20. EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Közösség és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; 21st country "means any State which is a non-eea state. 21. harmadik ország: minden olyan állam, amely nem EGT-állam. II. II. chapter fejezet PROTECTION OF PERSONAL DATA A SZEMÉLYES ADATOK VÉDELME Privacy Policy Adatkezelés 3rd 3. (1) Personal data may be managed if (1) Személyes adat akkor kezelhető, ha a) to the relevant consent or a) ahhoz az érintett hozzájárul, vagy

6 b) the law or - under the authority of the law, laid down in the circle - a local government decree. b) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete elrendeli. (2) Special data be managed if (2) Különleges adat akkor kezelhető, ha a) written consent to the data subject, or a) az adatkezeléshez az érintett írásban hozzájárul, vagy b) 2 b) a 2. 2) shall refer the case to the international convention based on the Constitution or fundamental law enforcement and national security, crime prevention or law enforcement orders to the law; 2. a) pontjában foglalt adatok esetében, az nemzetközi egyezményen alapul, vagy Alkotmányban biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében törvény elrendeli; c) otherwise ordered by law. c) egyéb esetekben azt törvény elrendeli. (3) obligatory data processing, the purpose and conditions to be treated and megismerhetőségét range of data, the processing time, as well as the controller of the data processing order is by law or government regulations. (3) Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg. (4) public interest law - expressed as an indication of the extent of the information - may order the disclosure of personal data. (4) Törvény közérdekből - az adatok körének kifejezett megjelölésével - elrendelheti a személyes adat nyilvánosságra hozatalát. In all other cases, the disclosure of the contribution of specific data for written consent. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. When in doubt, it shall be presumed that the person did not consent. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. (5) The consent shall be communicated to the public appearance of his or disclosure of data transferred to it. (5) Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében. (6) of the proceedings to request the necessary information to manage their contribution to be presumed. (6) Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. This is in fact concerned should be advised. Erre a tényre az érintett figyelmét fel kell hívni. (7) The question of consent in writing under the contract with the controller to enter the contract in order to fulfill. (7) Az érintett a hozzájárulását az

7 adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. In this case, the contract must contain all the information, which is processing personal data - on the basis of this Law - that person must be familiar with, in particular the definition of the data to be treated, the processing period for the purpose of use, data transmission, data processing use. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából - e törvény alapján - az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. The contract should contain clear-cut manner that contributes to the signing of the contract, as defined in data management. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. (8) If the incapacity due to physical reasons or can not consent to give details of address, then his own or another person is essential to protect the interests and avert a disaster or emergency is or may be the extent necessary to prevent personal information, including details of the special, treatment. (8) Ha az érintett fizikai okból vagy cselekvőképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelőzéséhez szükséges mértékben sor kerülhet személyes adatainak, beleértve különleges adatait is, kezelésére. 4th 4. The right to the protection of personal data and the privacy rights - if the law makes no exception - for bringing his or her other interests, including the data of public interest ( 19), can not interfere. A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait - ha törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát (19. ) is, nem sérthetik. Data processing Adatfeldolgozás 4 / A 4/A. (1) by the data processing of personal data relating to the rights and obligations under this Act and other laws relating to data management within the framework determined by the controller. (1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit e törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. The data management operations for lawful instructions of the controller is responsible. Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel. (2) The data within the scope of activity, as defined by the limits of the controller is responsible for the processing of personal data, to change, deletion, forwarding and publishing. (2) Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok

8 feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. The activity of data processing to another processor may not be used. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe. (3) The data concerning the merits of the data controller may not, become aware of personal information solely to process the data controller under the provisions of its own for the purpose of processing does not perform as well as personal information under the provisions of the controller is required to store and preserve. (3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. (4) The processing of an agency contract shall be in writing. (4) Az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. The processing of data should not be given a mandate to undertaking a business activity for processing of personal data to interested users. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. (5) (5) (6) of this Act will apply if the European Union outside the handling of personal data controller engaged in the processing of the Republic of Hungary established within an establishment (branch) or resident (resident) are appointed in processor or in the tools used by unless this is the only means of transit through the territory of the European Union serves the purpose. (6) E törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással a Magyar Köztársaság területén székhellyel, telephellyel (fiókteleppel) vagy lakóhellyel (tartózkodási hellyel) rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Such a controller must designate a representative to the Republic of Hungary. Az ilyen adatkezelőnek ki kell jelölnie egy képviselőt a Magyar Köztársaság területén. The data Purposefulness Az adatkezelés célhoz kötöttsége 5th 5. (1) Personal data shall be processed only for specified purposes, exercise, and compliance with an obligation. (1) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. The data management at each stage must meet this goal. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.

9 (2) Only such personal data is treated as a realization of the purpose of data is essential to achieve the goal, only to the extent and time required to achieve that purpose. (2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. (3), based on compulsory supply of data management in the public interest may be imposed. (3) Kötelező adatszolgáltatáson alapuló adatkezelést közérdekből lehet elrendelni. (4) The personal data - whether the subject's consent or by law - in particular, may be treated as if this public duty or obligation to fulfill the laws of the controller of the data controller or a third party to exercise an official mission, the vital interests of the the contract between the controller and the performance of the controller or a legitimate interest pursued by a third party, for the operation of a lawful society organizations. (4) A személyes adatot - akár az érintett hozzájárulásával, akár jogszabály alapján - különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges. (5) Only State or local government body to manage the State's law enforcement and crime prevention, and administrative and judicial duties of the crime of personal data processed for the purpose, or infringement of civil litigation and non-contentious matters relating to data files. (5) Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűnüldözési és bűnmegelőzési, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, illetve a szabálysértési, a polgári peres és nemperes ügyekre vonatkozó adatokat tartalmazó adatállományokat. 6th 6. (1) The person concerned must be communicated to the coverage of the data that the data is voluntary or mandatory. (1) Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Mandatory reporting should be specified in the order data management legislation as well. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. (2) The individual - clearly and in detail - should be informed of all facts relating to data management, data management, and in particular the legal basis of the data and processing eligible person, the duration of the processing, or about who can get to know the information. (2) Az érintettet - egyértelműen és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra

10 jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. The information should include the data management related to the rights and remedies as well. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. (3) the data management has also been informed that the existing legislation provides for linking the data to be transmitted or adatkezelésből admission. (3) Az adatkezelésről való tájékoztatás megtörténik azzal is, hogy jogszabály rendelkezik a már létező adatkezelésből továbbítással vagy összekapcsolással az adat felvételéről. (4) the information - in particular, statistical or scientific (including historical research, too) for processing the case - the existence of the data collection can take place, involving all the stakeholders, the purpose of data collection, data management and data megismerhetőségének duration for all manner of disclosure, if Information on the individual is impossible or would entail disproportionate cost. (4) A tájékoztatás - különösen statisztikai vagy tudományos (ideértve a történelmi kutatásokat is) célú adatkezelés esetén - megtörténhet az adatgyűjtés tényének, az érintettek körének, az adatgyűjtés céljának, az adatkezelés időtartamának és az adatok megismerhetőségének mindenki számára hozzáférhető módon történő nyilvánosságra hozatalával, ha az egyénre szóló tájékoztatás lehetetlen vagy aránytalan költséggel járna. Data quality Az adatok minősége 7th 7. (1) The processing of personal data must meet the following requirements: (1) A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek: a) recording and management in a fair and legitimate; a) felvételük és kezelésük tisztességes és törvényes; b) accurate, complete, timely and, if necessary; b) pontosak, teljesek és ha szükséges időszerűek; c) the storage method is suitable to the purpose of storage of the data subject only to the time needed to be identified. c) tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. (2) used without restriction, a general and uniform personal identification code is forbidden. (2) Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos. Transmission of data, the combination of data management Adattovábbítás, az adatkezelések összekapcsolása

11 8th 8. (1) Personal data may be transmitted and the various data management may be connected, if the subject has consented or law allows it, and if the processing of personal data for each of the conditions are met. (1) A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. (2) (1) shall apply to the same controller as well as state and local government agencies, managed by the data link as well. (2) Az (1) bekezdést kell alkalmazni az ugyanazon adatkezelő, valamint az állami és az önkormányzati szervek által kezelt adatok összekapcsolására is. Transfer of data abroad Adattovábbítás külföldre 9th 9. (1) Personal data (including special data) in the country - whatever the medium or the transmission - the third country in the controller or may be forwarded for processing, if (1) Személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha a) relevant to specifically consent, or a) ahhoz az érintett kifejezetten hozzájárult, vagy b) it is permitted by law, and the data is transferred to a third country, or the processing of personal data provided to the appropriate level of protection. b) azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. (2) The appropriate level of protection of personal data is ensured if (2) A személyes adatok megfelelő szintű védelme akkor biztosított, ha a) of the European Commission - a separate statutory instrument on the basis of - states that the third country ensures an adequate level of protection, a) az Európai Közösségek Bizottsága - külön törvényben meghatározott jogi aktus alapján - megállapítja, hogy a harmadik ország megfelelő szintű védelmet nyújt, b) the third country and the Republic of Hungary in the 11 subjects b) a harmadik ország és a Magyar Köztársaság között az érintetteknek a 11. to enforce its rights under the law to provide redress, as well as data management, data processing and control of an independent international treaty containing rules for the warranty is in effect or szerinti jogai érvényesítésére, a jogorvoslati jog biztosítására, valamint az adatkezelés, illetve az adatfeldolgozás független ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban, vagy

12 c) the third country, the data controller or data processing or data processing, a description of the rules shows that the processing or data processing to ensure an adequate level of protection of personal data, their rights and their enforcement, especially when the treatment or processing of a special Commission of the European Union prescribed by law and act accordingly by. c) a harmadik országbeli adatkezelő vagy adatfeldolgozó az adatkezelés vagy adatfeldolgozás szabályainak ismertetésével igazolja, hogy az adatkezelés vagy adatfeldolgozás során megfelelő szinten biztosítja a személyes adatok védelmét, az érintettek jogait és azok érvényesítését, különösen, ha az adatkezelést vagy az adatfeldolgozást az Európai Unió Bizottsága külön törvényben meghatározott jogi aktusának megfelelően végzi. (3) Personal data of international legal assistance in order to implement the Convention for a particular purpose and content to be transferred to third countries. (3) Személyes adatok nemzetközi jogsegélyegyezmény végrehajtása érdekében, az egyezményben meghatározott célból és tartalommal továbbíthatók harmadik országba. (4) of the EEA States for the transmission of data must be regarded as the Republic of Hungary within the transmission would take place. (4) Az EGTállamokba irányuló adattovábbítást úgy kell tekinteni, mintha a Magyar Köztársaság területén belüli adattovábbításra kerülne sor. Automated individual decisions Automatizált egyedi döntés 9 / A. 9/A. (1) only carried out by means of computer-automated data processing of the personal characteristics of the assessment may be made only if it is expressly agreed or permitted by law. (1) Kizárólag számítástechnikai eszközzel végrehajtott automatizált adatfeldolgozással az érintett személyes jellemzőinek értékelésére csak akkor kerülhet sor, ha ahhoz kifejezetten hozzájárult, vagy azt törvény lehetővé teszi. The data should have the opportunity to express their position. Az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani. (2) In the case of automated processing of the data subject - the request - the employee must be informed of the mathematical method and its significance. (2) Az automatizált adatfeldolgozás esetén az érintettet - kérelmére - tájékoztatni kell az alkalmazott matematikai módszerről és annak lényegéről. Privacy Adatbiztonság 10th 10. (1) The controller, as the overall activities of the processor is required to ensure the security of data, must also take the technical and organizational measures and establish the procedural rules of this Act, and other data and confidentiality necessary to enforce the rules. (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok

13 biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. (2) In particular, the data must be protected from unauthorized access, alteration, transmission, publication, deletion or destruction, and accidental destruction or damage. (2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. The protection of personal data in order to ensure the technical protection measures should be taken to a separate controller, the processor, or the telecommunications or information technology asset manager, if the personal data to a network, or other information means. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. The subjects' rights and their enforcement Az érintettek jogai és érvényesítésük 11th 11. (1) of the (1) Az érintett a) request for information about personal information management ( 12 and 13) and a) tájékoztatást kérhet személyes adatai kezeléséről (12. és 13. ), valamint b) request correction of personal information, and - within the statutory exception provided for data management - delete ( ). b) kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - törlését ( ). (2) The protection register [28th (2) Az adatvédelmi nyilvántartásba [28. (1).] Any person may inspect, take notes and prepare an extract request. (1) bek.] bárki betekinthet, az abban foglaltakról feljegyzést készíthet és kivonatot kérhet. The abstract fee. A kivonatért díjat kell fizetni. 12th 12. (1) The relevant information on the request of the controller is managed by it, or its contractor processing data processed by the data management, the legal basis of the duration of the name, address (seat) and activity related to the data, and ensure that those who and for what purpose received or will receive the data. (1) Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. With the transfer of records - and thus the obligation of information - data management legislation for the duration of the limit. Az

14 adattovábbításra vonatkozó nyilvántartás - és ennek alapján a tájékoztatási kötelezettség - időtartamát az adatkezelést szabályozó jogszabály korlátozhatja. The restriction of personal data for the period of five years, the case of sensitive data can not be shorter than twenty years. A korlátozás időtartama személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb nem lehet. (2) The controller is required to date of application for the shortest period of time, but not later than 30 days in writing and provide the information in a comprehensible form. (2) Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül írásban, közérthető formában megadni a tájékoztatást. (3) (2) the information contained is free, if the information requested in the current year, the same field of information request, the controller has not yet submitted. (3) A (2) bekezdésben foglalt tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos területre vonatkozó tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. In other cases, reimbursement may be determined. Egyéb esetekben költségtérítés állapítható meg. The expenses have been paid shall be refunded if the data were treated unlawfully, or to request correction of information held. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. 13th 13. (1) The relevant information to the controller can only refuse if it is 16 (1) Az érintett tájékoztatását az adatkezelő csak akkor tagadhatja meg, ha azt a 16. In the cases specified in the law allows. -ban meghatározott esetekben a törvény lehetővé teszi. (2) The controller and the information required for stakeholders to communicate the reasons for the refusal. (2) Az adatkezelő köteles az érintettel a felvilágosítás megtagadásának indokát közölni. (3) of the rejected applications, the controller shall annually report on data protection. (3) Az elutasított kérelmekről az adatkezelő az adatvédelmi biztost évente értesíti. 14th 14. (1) The facts do not conform to the controller of personal data must be corrected. (1) A valóságnak meg nem felelő személyes adatot az adatkezelő helyesbíteni köteles. (2) Personal data shall be deleted if (2) A személyes adatot törölni kell, ha a) unlawful treatment; a) kezelése jogellenes;

15 b) for the purpose - 11 b) az érintett - a 11. (1), b) of that - requests; (1) bekezdésének b) pontjában foglaltak szerint - kéri; c) incomplete or false - and this state can not lawfully be corrected - provided that the cancellation is not excluded by law; c) az hiányos vagy téves - és ez az állapot jogszerűen nem korrigálható -, feltéve, hogy a törlést törvény nem zárja ki; d) the purpose of processing discontinued or the data storage statutory deadline has expired; d) az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; e) the court or the Privacy Commissioner has ordered. e) azt a bíróság vagy az adatvédelmi biztos elrendelte. (3) Cancellation of obligation - illegal data exception - does not apply to personal data, a medium of archival material relating to the protection of the law to archival custody should be granted. (3) A törlési kötelezettség - jogellenes adatkezelés kivételével - nem vonatkozik azon személyes adatra, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni. 15th 15. The correction and the erasure of the subject, and all must be notified of the details have been forwarded for processing. A helyesbítésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. The notice may be omitted if this is the purpose of data management with regard to the legitimate interests are not infringed. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti. 16th 16. The relevant rights ( ) Act to restrict the State's internal and external security, including defense, national security, crime prevention or law enforcement purposes, as well as state and local government economic or financial interest, or the European Union, a major economic or financial interests, and activities relating to the exercise of disciplinary offenses and ethics, labor and safety breaches are subject to the prevention and detection purposes - including in each case, the control and supervision will be - as well as the subject or to protect the rights of others. Az érintett jogait ( ) törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűnmegelőzés vagy a bűnüldözés érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, illetve az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából - beleértve minden esetben az ellenőrzést és a felügyeletet is -, továbbá az érintett vagy mások jogainak védelme érdekében. Right to object Tiltakozási jog

16 16 / A. 16/A. (1) The protest against the treatment of personal data is when (1) Az érintett tiltakozhat személyes adatának kezelése ellen, ha a) personal data management (transfer) only to the controller or the data necessary for the enforcement of rights or legitimate interests, unless ordered by the data management of Law; a) a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el; b) the use or transmission of personal data for direct marketing, public opinion research, or for the purpose of scientific research; b) a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; c) exercise its right to protest the law would otherwise allow. c) a tiltakozás jogának gyakorlását egyébként törvény lehetővé teszi. (2) The controller - the simultaneous suspension of the processing - the objection is required to the date of application as soon as possible, but not more than 15 days to examine, and the outcome of the applicant in writing. (2) Az adatkezelő - az adatkezelés egyidejű felfüggesztésével - a tiltakozást köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 nap alatt megvizsgálni, és annak eredményéről a kérelmezőt írásban tájékoztatni. If the objection is justified, the controller is required for data management - including additional data collection and transmission of data is - and to remove the data block, and the protest, respectively on the basis of the measures taken to notify all those to whom the objection concerned the personal data previously transmitted, and who obliged to take measures to enforce the right to protest. Amennyiben a tiltakozás indokolt, az adatkezelő köteles az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszüntetni és az adatokat zárolni, valamint a tiltakozásról, illetőleg az annak alapján tett intézkedésekről értesíteni mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében. (3) Where is the data controller (2) has taken on the decision not to agree, against - the notification within 30 days - under this law to court. (3) Amennyiben az érintett az adatkezelőnek a (2) bekezdés alapján meghozott döntésével nem ért egyet, az ellen - annak közlésétől számított 30 napon belül - e törvény szerint bírósághoz fordulhat. (4) If the data necessary for the enforcement of legal right to protest because the data is not forthcoming, the (2) notification under the notification within 15 days, in order to obtain the data - under this law - the court against the controller. (4) Ha az adatátvevő törvényes jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, a (2) bekezdés alapján történő értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében - e

17 törvény szerint - bírósághoz fordulhat az adatkezelő ellen. The controller is also subject to the Prosecution to call. Az adatkezelő az érintettet is perbe hívhatja. (5) If the court rejects the request for the data, the controller is required for the communication of personal information in the paragraph be deleted within 3 days. (5) Ha a bíróság az adatátvevő kérelmét elutasítja, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. The data controller must also be removed when the data in (4) within a specified period not go to court. Az adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő a (4) bekezdésben meghatározott határidőn belül nem fordul bírósághoz. (6) The controller can not delete the data when the treatment ordered by the law. (6) Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. The data is not transmitted to the data for the controller if you agreed with the objection or the objection, the court found justification. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, illetőleg a bíróság a tiltakozás jogosságát megállapította. Judicial enforcement Bírósági jogérvényesítés 17th 17. (1) The data subject's rights violated, and the 16 / A. (1) Az érintett a jogainak megsértése esetén, valamint a 16/A. (4) of the person, the controller against the court. (4) bekezdésében meghatározott személy, az adatkezelő ellen bírósághoz fordulhat. The court case is acting out of turn. A bíróság az ügyben soron kívül jár el. (2) That the data in the legislation complies with the controller is required to prove. (2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. (3) the litigation, the controller seat (residence), the court of jurisdiction. (3) A perre az adatkezelő székhelye (lakóhelye) szerinti bíróság az illetékes. The lawsuit - the choice - the domicile (residence) may also be brought before the court. A per - az érintett választása szerint - az érintett lakóhelye (tartózkodási helye) szerinti bíróság előtt is megindítható. The lawsuit may also be a party who otherwise has no legal capacity. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. (4) If the court accepts the application, the controller of the information as the data is correct, delete, automated individual decision to annul the right to object to take into account, and 16 / A. (4) Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, törlésére, az automatizált egyedi döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve a 16/A. (4) of the data requested by the person who

18 commits the issue. (4) bekezdésében meghatározott személy által kért adat kiadására kötelezi. (5) The court may order a judgment - the publication of the controller identification data - the disclosure of the privacy interests of those involved and a greater number of rights protected by law require. (5) A bíróság elrendelheti ítéletének - az adatkezelő azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha azt az adatvédelem érdekei és nagyobb számú érintett e törvényben védett jogai megkövetelik. Compensation Kártérítés 18th 18. (1) The data controller is the illegal handling of data protection requirements or technical breach caused injury to others will be charged. (1) Az adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. To impose the controller is responsible for damage caused by the processor as well. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. The controller is exempted from liability if he proves that the damage was outside the scope of data management for unavoidable reason. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. (2) do not have to compensate the damage in so far as the victim of intentional or grossly negligent conduct. (2) Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott. III. III. chapter fejezet The data of public interest A KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGA 19th 19. (1) The state or local governments and other public statutory body or person engaged (hereinafter referred to as body) of the matters within its mandate - in particular, state and local government budget and its implementation, state and municipal property management, the use of public funds and contracts to do so with the operators of private organizations and individuals for special or exclusive rights to provide for - must facilitate and ensure accurate and prompt information to the public. (1) Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy (a továbbiakban együtt: szerv) a feladatkörébe tartozó ügyekben - így különösen az állami és önkormányzati költségvetésre és annak végrehajtására, az állami és önkormányzati vagyon kezelésére, a közpénzek felhasználására és az erre kötött szerződésekre, a piaci szereplők, a magánszervezetek és -személyek részére különleges vagy kizárólagos jogok biztosítására vonatkozóan - köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását.

19 (2) (1) in paragraph agencies regularly publish, electronically or otherwise, and if required to do so for the 20 (2) Az (1) bekezdésben meghatározott szervek rendszeresen elektronikusan vagy más módon közzéteszik, továbbá erre irányuló igény esetén a 20. accordance with the provisions relating to access to the most important activity - particularly in the sphere of competence, organizational structure, professional activities, including evaluating the effectiveness of their operation and the types of data held on the legislation, as well as for farming - data. rendelkezései szerint hozzáférhetővé teszik a tevékenységükkel kapcsolatos legfontosabb - így különösen a hatáskörükre, illetékességükre, szervezeti felépítésükre, szakmai tevékenységükre, annak eredményességére is kiterjedő értékelésére, a birtokukban lévő adatfajtákra és a működésükről szóló jogszabályokra, valamint a gazdálkodásukra vonatkozó - adatokat. The communication channels, the data also confirm the scope of the legislation. A tájékoztatás módját, a vonatkozó adatok körét jogszabály is megállapíthatja. (3) (1) mentioned should allow their disposal to get to know anybody in public data unless the data under the Act, the body responsible for classifying it, or if the obligations arising from international agreements on the basis of classified information, and, if the the right to publicize information of public interest - the definition of types of data - Law (3) Az (1) bekezdésben említetteknek lehetővé kell tenniük, hogy a kezelésükben lévő közérdekű adatot bárki megismerhesse, kivéve, ha az adatot törvény alapján az arra jogosult szerv minősítette, illetve ha az nemzetközi szerződésből eredő kötelezettség alapján minősített adat, továbbá, ha a közérdekű adatok nyilvánosságához való jogot - az adatfajták meghatározásával - törvény a) national defense; a) honvédelmi; b) national security; b) nemzetbiztonsági; c) law enforcement or crime prevention; c) bűnüldözési vagy bűnmegelőzési; d) a central interest, financial or foreign exchange; d) központi pénzügyi vagy devizapolitikai érdekből; e) Foreign relations, relations with international organizations; e) külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra; f) a judicial or administrative procedure with regard to f) bírósági vagy közigazgatási hatósági eljárásra tekintettel limit. korlátozza. (4) If the law provides otherwise, the public interest of the public data (1) of the bodies specified in the tasks and responsibilities associated with the person acting in their personal data and any other person in public office these responsibilities

20 related to personal information. (4) Ha törvény másként nem rendelkezik, közérdekből nyilvános adat az (1) bekezdésben meghatározott szervek feladat- és hatáskörében eljáró személy feladatkörével összefüggő személyes adata, továbbá egyéb, közfeladatot ellátó személy e feladatkörével összefüggő személyes adata. These data to know whether the public information law should apply. Ezen adatok megismerésére e törvénynek a közérdekű adatok megismerésére vonatkozó rendelkezéseit kell alkalmazni. (5) Where otherwise provided by law, public interest law or public data State, or local government bodies on a contract basis or otherwise required to be used can not be satisfied by bodies or persons providing services under management by these activities relating to personal data are not data. (5) Ha törvény másként nem rendelkezik, közérdekből nyilvános adat a jogszabály vagy állami, illetőleg helyi önkormányzati szervvel kötött szerződés alapján kötelezően igénybe veendő vagy más módon ki nem elégíthető szolgáltatást nyújtó szervek vagy személyek kezelésében levő, e tevékenységükre vonatkozó, személyes adatnak nem minősülő adat. (6) The public information and publicity in conjunction with trade secret knowledge of the Civil Code shall be governed by. (6) A közérdekű adatok megismerésével és nyilvánosságával összefüggésben az üzleti titok megismerésére a Polgári Törvénykönyvben foglaltak az irányadók. (7) The data of public interest to restrict the legislation of the European Union, the European Union is a financial or economic interest of, including monetary, budgetary and fiscal interests. (7) A közérdekű adatok nyilvánosságát korlátozhatja továbbá az Európai Unió jogszabálya az Európai Unió jelentős pénzügy- vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is. 19 / A. 19/A. (1) 19 (1) A 19. (1) of the body in terms of authority and responsibility of taking a decision on proceeding up or down, the foundation for a decision within ten years from the generation of the data is not public. (1) bekezdésében meghatározott szerv feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított tíz évig nem nyilvános. These data, awareness - 19 Ezen adatok megismerését - a 19. (1) of the consideration - the operator may authorize the head of the body. (1) bekezdésében foglaltakat mérlegelve - az azt kezelő szerv vezetője engedélyezheti. (2) The decision on the need for a foundation for understanding the data - in (1) within a specified period - to take a decision after it refused if the data is a legitimate body of knowledge of its rules of procedure or terms of reference and powers of the unauthorized care free from outside influence, so especially the data that give rise to the position of the decisions made during the preparation of the