Az érintett számára több lehetőség biztosított a jogsértő adatkezeléssel szemben, amelyek – költséghatékonyság szempontjából legalábbis – egyfajta sorrendet is jelentenek a jogérvényesítés rendszerében, így az érintett:
1. kérelmezheti az adatkezelőnél tájékoztatását személyes adatai kezeléséről, személyes adatainak helyesbítését, valamint személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy zárolását;
2. az érintett tiltakozhat személyes adatának kezelése ellen;
3. az érintett a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat;
4. az érintett a jogainak megsértése esetén bírósághoz fordulhat.
Tájékoztatás kérése az adatkezeléssel kapcsolatban
Az érintett kérelmezheti az adatkezelőnél tájékoztatását személyes adatai kezeléséről.
Kérelmére az adatkezelő tájékoztatást ad az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.
Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Az adatok adattovábbítási nyilvántartásban való megőrzésére irányuló – és ennek alapján a tájékoztatási – kötelezettség időtartamát az adatkezelést előíró jogszabály korlátozhatja. E korlátozás körében személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb időtartam nem állapítható meg.
Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. A tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett.
Az érintett tájékoztatását az adatkezelő csak az adatkezelés korlátozásának jogszabályban meghatározott eseteiben tagadhatja meg (Infotv. 9.§ (1) és 19.§). A tájékoztatás megtagadása esetén az adatkezelőnek írásban közölnie kell, hogy a felvilágosítás megtagadására a jogszabály mely rendelkezése alapján került sor. A felvilágosítás megtagadása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (Hatóság) fordulás lehetőségéről. Az elutasított kérelmekről az adatkezelő a Hatóságot évente a tárgyévet követő év január 31-éig értesíti.
Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti.
Adattörlés
A személyes adatot törölni kell, ha kezelése jogellenes, az érintett kéri, az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható -, az adatkezelés célja megszűnt vagy az adatok tárolásának törvényben meghatározott határideje lejárt, illetve azt a bíróság vagy a Hatóság elrendelte.
A személyes adat zárolása
Törlés helyett az adatkezelő zárolja a személyes adatot, ha az érintett ezt kéri, vagy ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit. Az így zárolt személyes adat kizárólag addig kezelhető, ameddig fennáll az az adatkezelési cél, amely a személyes adat törlését kizárta.
…megjelölése
Az adatkezelő megjelöli az általa kezelt személyes adatot, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.
Értesítési kötelezettség a személyes adat helyesbítése, törlése, zárolása, megjelölése esetén
A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.
Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a helyesbítés, zárolás vagy törlés iránti kérelem elutasításának ténybeli és jogi indokait. A helyesbítés, törlés vagy zárolás iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a Hatósághoz fordulás lehetőségéről.
Tiltakozás személyes adat kezelése ellen
Az érintett tiltakozhat személyes adatának kezelése ellen,
1. ha a személyes adatok kezelése vagy továbbítása kizárólag az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy az adatkezelő, adatátvevő vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve kötelező adatkezelés esetén;
2. ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik; valamint
3. törvényben meghatározott egyéb esetben.
Az adatkezelő kötelezettségei a tiltakozással kapcsolatban
Az adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.
Ha az adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést – beleértve a további adatfelvételt és adattovábbítást is – megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.
A Nemzeti Adatvédelmi és Információszabadság Hatóság eljárásai
A Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll. A Hatóság vizsgálata nem minősül közigazgatási hatósági eljárásnak, arra a közigazgatási hatósági eljárás általános szabályairól szóló törvényt nem kell alkalmazni. A Hatóság vizsgálata ingyenes, a vizsgálat költségeit a Hatóság előlegezi és viseli.
Ha a Hatóság a személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatos jogsérelem vagy annak közvetlen veszélye fennállását megalapozottnak tartja, az adatkezelőt a jogsérelem orvoslására, illetve annak közvetlen veszélye megszüntetésére szólítja fel.
Az adatkezelő – egyetértése esetén – haladéktalanul megteszi a felszólításban megjelölt szükséges intézkedéseket, és a megtett intézkedéseiről, illetve – egyet nem értése esetén – álláspontjáról a felszólítás kézhezvételétől számított harminc napon belül írásban tájékoztatja a Hatóságot.
Az eljárás menete
A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság adatvédelmi hatósági eljárást indíthat. Az adatvédelmi hatósági eljárásra a közigazgatási hatósági eljárás általános szabályairól szóló törvényt az e törvényben meghatározott eltérésekkel kell alkalmazni. Az adatvédelmi hatósági eljárás kizárólag hivatalból indítható, az akkor sem minősül kérelemre indult eljárásnak, ha az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg. Ha azonban az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg, a bejelentőt az adatvédelmi hatósági eljárás megindításáról, illetve befejezéséről értesíteni kell.
A Hatóság adatvédelmi hatósági eljárást indít, ha a bejelentésen alapuló vizsgálat alapján vagy egyébként valószínűsíthető a személyes adatok jogellenes kezelése, és a jogellenes adatkezelés személyek széles körét érinti, különleges adatokat érint, vagy nagy érdeksérelmet vagy kárveszélyt idézhet elő.
Az adatvédelmi hatósági eljárásban az ügyintézési határidő két hónap. Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság
1. elrendelheti a valóságnak nem megfelelő személyes adat helyesbítését,
2. elrendelheti a jogellenesen kezelt személyes adatok zárolását, törlését vagy megsemmisítését,
3. megtilthatja a személyes adatok jogellenes kezelését vagy feldolgozását,
4. megtilthatja a személyes adatok külföldre történő továbbítását vagy átadását,
5. elrendelheti az érintett tájékoztatását, ha azt az adatkezelő jogellenesen tagadta meg, valamint
6. százezertől tízmillió forintig terjedő bírságot szabhat ki.
A bírósági felülvizsgálat kezdeményezésére irányadó keresetindítási határidő lejártáig, illetve felülvizsgálat kezdeményezése esetén a bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg.
Mikor és milyen pert indíthat a Hatóság?
Ha az adatkezelő a vizsgálat során tett felszólításának nem tesz eleget, a közérdekű adatok és a közérdekből nyilvános adatokkal kapcsolatos jogsértés miatt a Hatóság az adatkezelői tájékoztatásra vonatkozó határidő lejártát követő harminc napon belül keresettel kérheti a bíróságtól az adatkezelőnek a Hatóság felszólítása szerinti magatartásra való kötelezését. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.
A bíróság kérelemre elrendelheti ítéletének – az adatkezelő azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha azt az adatvédelem, illetve az információszabadság érdekeinek és nagyobb számú érintett e törvényben védett jogainak védelme megköveteli.
Adatvédelmi audit
Az adatvédelmi audit a Hatóság olyan szolgáltatása, amelynek célja a végzett vagy tervezett adatkezelési műveletek a Hatóság által meghatározott és közzétett szakmai szempontok szerinti értékelésén keresztül a magas szintű adatvédelem és adatbiztonság megvalósítása. Tervezett adatkezelési műveletek akkor vonhatók audit alá, ha az adatkezelésre vonatkozó koncepció kidolgozottsága ezt lehetővé teszi.
Adatvédelmi auditot a Hatóság az adatkezelő kérelmére folytathat le. Az adatvédelmi audit lefolytatása iránti kérelem benyújtását követő tizenöt napon belül az adatvédelmi audit lefolytatásáért fizetendő ellenérték mértékét és az adatvédelmi audit elvégzésének várható időpontját a Hatóság közli az adatkezelővel. A Hatóság az adatvédelmi auditot abban az esetben folytatja le, ha a Hatóság közlését követő tizenöt napon belül az adatkezelő nyilatkozik arról, hogy a Hatóság közlésében megállapított feltételek ismeretében az adatvédelmi audit lefolytatása iránti kérelmét fenntartja.
Az adatvédelmi audit lefolytatásáért fizetendő ellenérték mértékét – az elvégzendő tevékenység mértékével arányosan – a Hatóság állapítja meg, az azonban nem haladhatja meg az ötmillió forintot.
Bíróság előtti jogérvényesítés a jogszerűtlen adatkezelés miatt
Ha az érintett az adatkezelőnek a döntésével nem ért egyet, illetve ha az adatkezelő a határidőt elmulasztja, az érintett – a döntés közlésétől, illetve a határidő utolsó napjától számított 30 napon belül – bírósághoz fordulhat.
Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. A bizonyítási teher tehát a jogszabály alapján megfordul. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Nemzeti Adatvédelmi és Információszabadság Hatóság az érintett pernyertessége érdekében beavatkozhat.
Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve a jogszabályban meghatározott, adatátvevő által kért adat kiadására kötelezi.
Melyek a kártérítés érvényesítésére vonatkozó speciális előírások?
Az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.